230
bog‘liq. Tarmoqlararo ekranni ulashning quyidagi sxemalari keng tarqalgan:
- ekranlovchi marshrutizatordan foydalanilgan himoya sxemalari;
- lokal tarmoqni umumiy himoyalash sxemalari;
- himoyalanuvchi yopiq va himoyalanmaydigan ochiq kismtarmoqli
sxemalar;
- yopiq va ochiq qism tarmoqlarni alohida himoyalovchi sxemalar.
Ekranlovchi marshrutizatordan foydalanilgan himoya sxemasi.
Paketlarni filtrlashga asoslangan tarmoqlararo ekran keng tarqalgan va
amalga oshirilishi oson. U himoyalanuvchi tarmoq va bo‘lishi mumkin bo‘lgan
G‘anim ochiq tarmoq orasida joylashgan ekranlovchi
marshrutizatordan iborat
(8.10-rasm).
Ekranlovchi marshrutizator (paketli filtr) kiruvchi va chiquvchi paketlarni
ularning adreslari va portlari asosida blokirovka qilish va filtrlash uchun
konfigurasiyalangan.
Himoyalanuvchi tarmoqdagi kompyuterlar Internetdan to‘g‘ridan-to‘g‘ri
foydalana oladi, Internetning ulardan foydalanishining ko‘p qismi esa blokirovka
qilinadi. Umuman, ekranlovchi marshrutizator yuqorida
tavsiflangan himoyalash
siyosatidan istalganini amalga oshirishi mumkin. Ammo, agar marshrutizator
paketlarni manba porti va kirish yo‘li va chiqish yo‘li portlari nomeri bo‘yicha
filtrlamasa, "oshkora ruxsat etilmagani man qilingan" siyosatini amalga oshirish
qiyinlashadi.
Paketlarni filtrlashga asoslangan tarmoqlararo ekranning kamchiliklari
quyidagilar:
- filtrlash
qoidalarining murakkabligi; ba’zi hollarda bu qoidalar majmui
Ekranlovchi marshrutizator
Ochiq tashqi
tarmoq
Himoyalanadigan
ichki tarmoq
8.10-rasm. Tarmoqlararo ekran – ekranlovchi marshrutizator
231
bajarilmasligi mumkin;
- filtrlash qoidalarini to‘liq
testlash mumkin emasligi; bu tarmoqni
testlanmagan xujumlardan himoyalanmasligiga olib keladi;
- xodisalarni ro‘yxatga olish imkoniyatining yo‘qligi; natijada ma’murga
mashrutizatorning xujumga duch kelganligini va obro‘sizlantirilganligini aniqlash
qiyinlashadi.
Lokal tarmoqni umumiy himoyalash sxemalari.
Bitta tarmoq interfeysli
brandmauerlardan foydalanilgan himoyalash sxemalari (8.11-rasm)
xavfsizlik va
konfigurasiyalashning qulayligi nuqtai nazaridan samarasiz hisoblanadi. Ular ichki
va tashqi tarmoqlarni fizik ajratmaydilar, demak, tarmoqlararo aloqaning ishonchli
himoyasini ta’minlay olmaydilar.
Lokal tarmoqni umumiy himoyalash sxemasi eng oddiy echim bo‘lib, unda
brandmauer lokal tarmoqni tashqi G‘anim tarmoqdan butunlay ekranlaydi (8.12-
rasm). Marshrutizator va brandmauer orasida faqat bitta yo‘l bo‘lib, bu yo‘l orqali
butun trafik o‘tadi. Brandmauerning ushbu varianti "oshkora ruxsat etilmagani man
qilingan" prinsipiga asoslangan himoyalash siyosatini amalga oshiradi. Odatda
marshrutizator shunday sozlanadiki, brandmauer tashqaridan ko‘rinadigan
yagona
mashina bo‘ladi.
Ochiq tashqi
tarmoq
Himoyalnadigan
ichki tarmoq
8.11- rasm. Bitta tarmoq interfeysli firewall yordamida lokal tarmoqni himoyalash
Tarmoqlararo
ekran
Ochiq serverlar
Marshrutizator
Marshrutizator
232
Lokal tarmoq tarkibidagi ochiq serverlar ham tarmoqlararo ekranlar
tomonidan himoyalanadi. Ammo, tashqi tarmoq foydalana
oladigan serverlarni
himoyalanuvchi lokal tarmoqlarning boshqa resurslari bilan birlashtirish
tarmoqlararo aloqa xavfsizligini jiddiy pasaytiradi.
Tarmoqlararo
ekran
foydalanadigan
xostga
foydalanuvchilarni
kuchaytirilgan autentifikatsiyalash uchun dastur o‘ranatilishi mumkin.
Dostları ilə paylaş: