Oʻzbеkiston rеspublikasi axborot tеxnologiyalari va kommunikatsiyalarini rivojlantirish vazirligi



Yüklə 7,38 Mb.
Pdf görüntüsü
səhifə68/93
tarix02.12.2023
ölçüsü7,38 Mb.
#137380
1   ...   64   65   66   67   68   69   70   71   ...   93
Тармоқ хавфсизлиги 16 шрифт

Topshiriq 

17.7-rasmda keltirilgan tarmoq topologiyasini Cisco Packet 
Tracer dasturida tuzing;

Qurilmalarga berilgan tarmoqlar bo’yicha manzil bering; 

ASA 5505 fiirewallini sozlang; 

Qurilgan topologiyani testlab ko’ring. 


182 
17.7-rasm. Tarmoq topologiyasi 
Nazorat savollari 
1.
Tarmoqlararo ekranni funksiyalarini tushuntiring? 
2.
ASA firewallining qanday funksional imkoniyatlari 
mavjud? 
3.
ASA da NATqanday sozlanadi?
4.
Cisco AVC nima? 
5.
IPSdan NGIPS nimasi bilan afzal? 
16-LABORATORIYA ISHI 
TARMOQ MARSHRUZATORIDA DMZ NI OʻRNATISH
Ishdan maqsad. 
Tarmoq marshruzatorida DMZni oʻrnatish 
ko`nikmalarini hosil qilish. 
Nazariy qism 
Tarmoq xavfsizligi boʻyicha mutaxassislar potensial zararni 
hali aniqlanmagan zaifliklarini oldini olish uchun choralar koʻrishlari 
kerak. Buning uchun ideal yechim - bu bitta muhim server internetdan 
"koʻrinmaydigan" boʻlishi kerak, lekin internetdan butunlay ajralib 
qolish imkonsizdir. Biz xizmatning funksionalligi va uning xavfsizligi 
oʻrtasida oqilona kelishuvni oʻrnatishimiz kerak. 
Internetga ulangan koʻpgina kompaniyalar oʻzlarining pochta 
serverlariga ega, ular bir xil turdagi boshqa pochta serverlaridan 
pochta xabarlarini qabul qilishadi. Ushbu serverga internetning 


183 
istalgan joyidan ulanish uchun kirish kerak boʻlishi kerak, chunki 
SMTP protokoli
(
Simple Mail Transport Protocol
)
yordamida 
kompaniyaning serveriga toʻgʻridan-toʻgʻri ulanish orqali kelgan 
keyingi xatni kim yuborishini taxmin qilish mumkin emas. Bir 
tomondan, pochta serveri xavfsizligini ta'minlash kerak, ya'ni 
ruxsatsiz ulanishlarni iloji boricha cheklash lozim, boshqa tomondan 
esa internetdan imkon qadar koʻproq foydalanishiga imkoniyat 
yaratish kerak. Aniqlanishsiz ulanishlarni qabul qilishi kerak boʻlgan 
serverlar odatda "umumiy" deb nomlanadi, ya'ni global tarmoqning 
har qanday foydalanuvchisi uchun kirish mumkin. Umumiy 
serverlarini oʻz ichiga olgan qurilish tizimlariga yondashuv ichki 
serverlarga asoslangan tizimlarni yaratish yondashuvidan farq qilishi 
kerak. Bu serverning ochiqligi sababli yuzaga keladigan oʻziga xos 
xatarlar tomonidan belgilanadi. 
Serverlarning ochiqligi bilan bogʻliq muammolarni hal qilish 
uchun marshrutizatordagi paketlarni filtrlash qoidalari va aniq 
belgilangan 
tarmoq 
xavfsizligi 
siyosati 
orqali 
umumiy 
foydalaniladigan serverlar va lokal tarmoqni ajratishdan iborat boʻlgan 
kompleks yondashuv mavjud. Ichki va umumiy tarmoqlarni ajratish 
uchun 
tarmoq 
xavfsizligi 
mutaxassislari 
tomonidan 
keng 
qoʻllaniladigan tasdiqlangan yechim mavjud - Demilitarizatsiya 
qilingan Zona (DMZ). Ushbu yechimning mohiyati serverlarning 
birortasidan lokal tarmoqqa ulanishlarni nazoratsiz oʻrnatishga imkon 
bermasligi uchun umumiy serverlarning tarmoqda joylashuvi. Hatto 
buzgʻunchi ulardan birini boshqara oladigan boʻlsa ham, masalan, 
dasturiy ta'minotda yangi zaiflikdan foydalangan holda, u ichki 
tarmoqqa nazoratsiz kira olmaydi. Bunday yechimning mohiyati 
umumiy serverlarni lokal tarmoqdan deyarli butunlay ajratib 
qoʻyishdan iborat, ammo faqat ushbu serverlardan kelib chiqadigan 
ulanishlar uchun, chunki bu ulanishlar boshqaruvni qoʻlga olgan 
buzgʻunchi tomonidan boshqarilishi mumkin. Shu bilan birga
serverlarning oʻzi ham internetdan, ham lokal tarmoqdan boshlangan 
ulanishlar uchun ochiq boʻlishi kerak. 
Demilitarizatsiya qilingan zona orqali korporativ tarmoqqa 
kirib borishini himoya qilish uchun tarmoqlararo ekran ishlatiladi. 
Dasturiy va apparat ta'minot tarmoqlararo ekranlari mavjud. Dasturiy 
ta’minot uchun alohida mashina kerak. Aparat tarmoqlararo ekranini 


184 
oʻrnatish uchun uni tarmoqqa ulash va minimal konfiguratsiyani 
sozlash kerak. Odatda, dasturiy ta'minot ekranlari tarmoqlarni himoya 
qilish uchun ishlatiladi, bu yerda tarmoq kengligi egiluvchanligini 
taqsimlash va foydalanuvchilar uchun protokollar yordamida trafikni 
cheklash bilan bogʻliq koʻplab sozlamalarni oʻrnatishga hojat 
qolmaydi. 
Agar tarmoq katta boʻlsa va yuqori ishlash talab etilsa
qoʻshimcha tarmoqlararo ekranlarini ishlatish yanada foydali boʻladi. 
Koʻpgina hollarda, bitta emas, balki ikkita tarmoqlararo ekranlarini 
ishlatiladi - biri DMZni tashqi ta'sirlardan himoya qiladi, ikkinchisi 
uni korporativ tarmoqning ichki qismidan ajratib turadi(16.1-rasm). 
Tashkilot tarmogʻi qismtarmoqlardan iborat va shunga koʻra, 
tashqaridan ham, ichkaridan ham kirishga muhtoj boʻlgan serverlar bir 
xil tarmoqda (DMZ yoki demilitarizatsiya zonasi deb ham ataladi), 
foydalanuvchilar va lokal manbalar esa turli qismtarmoqlarda 
joylashgan. Ushbu topologiya bilan DMZdagi serverlar Internetdan, 
boshqasi lokal tarmoqdan tarmoqlararo ekran bilan ajratilishi kerak. 
Shu bilan birga, "tashqi tomondan" kerakli resurslarga kirish tashqi 
tarmoqlararo ekranda amalga oshirilishi kerak. 

Yüklə 7,38 Mb.

Dostları ilə paylaş:
1   ...   64   65   66   67   68   69   70   71   ...   93




Verilənlər bazası müəlliflik hüququ ilə müdafiə olunur ©muhaz.org 2024
rəhbərliyinə müraciət

gir | qeydiyyatdan keç
    Ana səhifə


yükləyin