Axborot xavfsizligi
Tarmoqlararo ekranlarni ulashning asosiy sxemalari
Yüklə 2,72 Mb. Pdf görüntüsü
|
| Tarmoqlararo ekranlarni ulashning asosiy sxemalari.
Korporativ tarmoqni global tarmoqlarga ulaganda himoyalanuvchi tarmoqning global tarmoqdan va global tarmoqning himoyalanuvchi tarmoqdan foydalanishini cheklash, hamda ulanuvchi tarmoqdan global tarmoqning masofadan ruxsatsiz foydalanishidan himoyalashni ta’minlash lozim. Bunda tashkilot o‘zining tarmog‘i va uning komponentlari xususidagi axborotni global tarmoq foydalanuvchilaridan bekitishga manfaatdor. Masofadagi foydalanuvchilar bilan ishlash himoyalanuvchi tarmoq resurslaridan foydalanishning qat’iy cheklanishini talab etadi. Tashkilotdagi korporativ tarmoq tarkibida ko‘pincha himoyalanishning turli sathli birnecha segmentlarga ega bo‘lishi ehtiyoji tug‘iladi: - bemalol foydalaniluvchi segmentlar (masalan, reklama WWW-serverlari); - foydalanish chegaralangan segmentlar (masalan, tashkilotning masofadagi uzellari xodimlarining foydalanishi uchun); - yopiq segmentlar (masalan, tashkilotning moliya lokal qism tarmog‘i) Tarmoqlararo ekranlarni ulashda turli sxemalardan foydalanish mumkin. Bu sxemalar himoyalanuvchi tarmoq ishlashi sharoitiga, hamda ishlatiladigan brandmauerlarning tarmoq interfeyslari soniga va boshqa xarakteristikalariga 230 bog‘liq. Tarmoqlararo ekranni ulashning quyidagi sxemalari keng tarqalgan: - ekranlovchi marshrutizatordan foydalanilgan himoya sxemalari; - lokal tarmoqni umumiy himoyalash sxemalari; - himoyalanuvchi yopiq va himoyalanmaydigan ochiq kismtarmoqli sxemalar; - yopiq va ochiq qism tarmoqlarni alohida himoyalovchi sxemalar. Ekranlovchi marshrutizatordan foydalanilgan himoya sxemasi. Paketlarni filtrlashga asoslangan tarmoqlararo ekran keng tarqalgan va amalga oshirilishi oson. U himoyalanuvchi tarmoq va bo‘lishi mumkin bo‘lgan G‘anim ochiq tarmoq orasida joylashgan ekranlovchi marshrutizatordan iborat (8.10-rasm). Ekranlovchi marshrutizator (paketli filtr) kiruvchi va chiquvchi paketlarni ularning adreslari va portlari asosida blokirovka qilish va filtrlash uchun konfigurasiyalangan. Himoyalanuvchi tarmoqdagi kompyuterlar Internetdan to‘g‘ridan-to‘g‘ri foydalana oladi, Internetning ulardan foydalanishining ko‘p qismi esa blokirovka qilinadi. Umuman, ekranlovchi marshrutizator yuqorida tavsiflangan himoyalash siyosatidan istalganini amalga oshirishi mumkin. Ammo, agar marshrutizator paketlarni manba porti va kirish yo‘li va chiqish yo‘li portlari nomeri bo‘yicha filtrlamasa, "oshkora ruxsat etilmagani man qilingan" siyosatini amalga oshirish qiyinlashadi. Paketlarni filtrlashga asoslangan tarmoqlararo ekranning kamchiliklari quyidagilar: - filtrlash qoidalarining murakkabligi; ba’zi hollarda bu qoidalar majmui Ekranlovchi marshrutizator Ochiq tashqi tarmoq Himoyalanadigan ichki tarmoq 8.10-rasm. Tarmoqlararo ekran – ekranlovchi marshrutizator 231 bajarilmasligi mumkin; - filtrlash qoidalarini to‘liq testlash mumkin emasligi; bu tarmoqni testlanmagan xujumlardan himoyalanmasligiga olib keladi; - xodisalarni ro‘yxatga olish imkoniyatining yo‘qligi; natijada ma’murga mashrutizatorning xujumga duch kelganligini va obro‘sizlantirilganligini aniqlash qiyinlashadi. Lokal tarmoqni umumiy himoyalash sxemalari. Bitta tarmoq interfeysli brandmauerlardan foydalanilgan himoyalash sxemalari (8.11-rasm) xavfsizlik va konfigurasiyalashning qulayligi nuqtai nazaridan samarasiz hisoblanadi. Ular ichki va tashqi tarmoqlarni fizik ajratmaydilar, demak, tarmoqlararo aloqaning ishonchli himoyasini ta’minlay olmaydilar. Lokal tarmoqni umumiy himoyalash sxemasi eng oddiy echim bo‘lib, unda brandmauer lokal tarmoqni tashqi G‘anim tarmoqdan butunlay ekranlaydi (8.12- rasm). Marshrutizator va brandmauer orasida faqat bitta yo‘l bo‘lib, bu yo‘l orqali butun trafik o‘tadi. Brandmauerning ushbu varianti "oshkora ruxsat etilmagani man qilingan" prinsipiga asoslangan himoyalash siyosatini amalga oshiradi. Odatda marshrutizator shunday sozlanadiki, brandmauer tashqaridan ko‘rinadigan yagona mashina bo‘ladi. Ochiq tashqi tarmoq Himoyalnadigan ichki tarmoq 8.11- rasm. Bitta tarmoq interfeysli firewall yordamida lokal tarmoqni himoyalash Tarmoqlararo ekran Ochiq serverlar Marshrutizator Marshrutizator 232 Lokal tarmoq tarkibidagi ochiq serverlar ham tarmoqlararo ekranlar tomonidan himoyalanadi. Ammo, tashqi tarmoq foydalana oladigan serverlarni himoyalanuvchi lokal tarmoqlarning boshqa resurslari bilan birlashtirish tarmoqlararo aloqa xavfsizligini jiddiy pasaytiradi. Tarmoqlararo ekran foydalanadigan xostga foydalanuvchilarni kuchaytirilgan autentifikatsiyalash uchun dastur o‘ranatilishi mumkin. Yüklə 2,72 Mb. Dostları ilə paylaş:
|