Oʻzbеkiston rеspublikasi axborot tеxnologiyalari va kommunikatsiyalarini rivojlantirish vazirligi



Yüklə 7,38 Mb.
Pdf görüntüsü
səhifə69/93
tarix02.12.2023
ölçüsü7,38 Mb.
#137380
1   ...   65   66   67   68   69   70   71   72   ...   93
Тармоқ хавфсизлиги 16 шрифт

Intranet (LAN)
DMZ
Router (WAN)
16.1-rasm. Ikki tomonlama tarmoqlararo ekranli DMZ arxitekturasi 
Biroq, har kim ham, ayniqsa kichik kompaniyalar, tarmoqni 
himoya qilish uchun ikkita serverdan foydalanishga qodir emas. 
Shuning uchun, ular koʻpincha arzonroq variantga murojaat qilishadi: 
uchta server sifatida bitta server interfeysidan foydalanish. Keyin bitta 
interfeys Internetga, ikkinchisi DMZ ga, uchinchisi lokal tarmoqqa 


185 
ulanadi. Amalda, DMZ umumiy tarmoq manzillari bilan alohida 
qismtarmoq sifatida amalga oshiriladi(16.2-rasm), bunda jismoniy 
yoki VLAN (Virtual Local Area Network) texnologiyasidan 
foydalangan holda, korxonaning lokal tarmogʻidan ajratiladi. 
Intranet (LAN)
Router (WAN)
DMZ
16.2-rasm. Yagona tarmoqlararo ekranli DMZ arxitekturasi 
Ommaviy serverlari tomonidan ichki tarmoqqa ulanish 
urinishlarini filtrlash marshrutizatordagi paketli filtr yordamida 
amalga oshiriladi. 
Marshrutizatorning oʻzi ommaviy serverlaridan biri sifatida 
koʻrib chiqilishi kerak va unga nisbatan xavfsizlik siyosati ommaviy 
serverlarida qoʻllanilishi kerak. Va shuni yodda tutish kerakki, agar 
marshrutizator buzilgan boʻlsa, hech qanday DMZ siyosati yordam 
bermaydi – ya’ni kraker sizning ichki tarmogʻingizga kirish huquqiga 
ega boʻladi. Shunday qilib, umumiy tarmoqni qurishda marshrutizator 
xavfsizligiga alohida e'tibor berishingiz kerak. 
Ushbu tarmoq dizayni bilan barcha ommaviy serverlar alohida 
DMZ segmentida oʻrnatiladi. Shu bilan birga, ommaviy serverlarning 
internet va lokal tarmoq bilan aloqasi faqat ulanishlarni 
moslashuvchan boshqarishingiz mumkin boʻlgan marshrutizator orqali 
amalga oshiriladi. 
Ikkinchi variantni amalga oshirishda uning kamchiliklariga 
e'tibor 
qaratish 
lozim. 
Avvalo, 
bu 
umumiy 
tarmoqning 
ishonchliligining pasayishiga olib keladi. Agar server osilib qolsa yoki 
qayta ishga tushirilsa, DMZda joylashgan resurslar foydalanuvchilar 
uchun vaqtincha mavjud boʻlmaydi. Masalan, agar sizning 


186 
tarmogʻingizda bitta pochta serveri boʻlsa va u DMZda joylashgan 
boʻlsa, u holda tarmoqlararo ekranni oʻchirib qoʻysangiz, u ishlamay 
qoladi va pochta mijozidagi foydalanuvchilar ulanishga oid xato 
xabarlarini qabul qilishni boshlaydilar. Natijada, tizim ma'muriga 
tarmoqning ishlamay qolishi toʻgʻrisida qoʻngʻiroqlar va shikoyatlar 
oqimi paydo boʻldi. 
Bitta serverdan foydalanishning yana bir kamchiligi shundaki, u 
ishlamay 
qolganda, 
almashtirishga 
sarflagan 
barcha 
vaqtda 
tashkilotning lokal tarmogʻi deyarli ishlamay qoladi. 
Ushbu topologiyaning eng muhim kamchiligi, agar tajovuzkor 
serverga kirishni uddalasa, u DMZga ham, lokal tarmoqqa ham kirish 
huquqiga ega boʻladi. 
Agar 
ikkita 
tarmoqlararo 
ekran 
ishlatilsa, 
unda 
bu 
kamchiliklarning barchasi qisman yoki toʻliq yoʻq qilinishi mumkin. 
Agar ulardan bittasi bir necha daqiqa ichida ishlamay qolsa, serverga 
boshqa tarmoq kartasini qoʻshish va sozlamalarga tegishli 
oʻzgartirishlar kiritish orqali "a" variantidan tarmoq "b" variantiga 
aylantirilishi mumkin. Bundan tashqari, ikkita tarmoqlararo ekrandan 
foydalanish orqali tarmoq xavfsizligi yaxshilanadi. Masalan, agar 
tajovuzkor WAN va DMZ ga ulangan serverga kirib olishga muvaffaq 
boʻlsa, u holda lokal tarmoq resurslari unga mavjud boʻlmaydi. 

Yüklə 7,38 Mb.

Dostları ilə paylaş:
1   ...   65   66   67   68   69   70   71   72   ...   93




Verilənlər bazası müəlliflik hüququ ilə müdafiə olunur ©muhaz.org 2024
rəhbərliyinə müraciət

gir | qeydiyyatdan keç
    Ana səhifə


yükləyin