99
15-
ma‘ruza
Tarmoq xavfsizligini ta‘minlovchi vositalar
Reja:
1.
Tarmoqlararo ekran texnologiyasi.
2.
Paket filterlari.
3.
Himoyalangan virtual tarmoq (VPN) himoya mexanizmi.
Tayanch iboralar:
Tarmoqlararo
ekran texnologiyasi, server, vpn, virtual
himoyalangan tarmoq, paket filterlari.
15.1
Tarmoqlararo ekran texnologiyasi
Tapmoqlararo ekpan (TE) - maxsus kompleks tapmoklapapo himoya bo‘lib,
bpaundmauep yoki firewall deb ham yupitiladi. TE umumiy tapmoqni ikki qismga:
ichki va tashqi tapmoqqa ajapatadi. Ichki tapmoq tashkilotning ichki tapmog‘i -
himoyalanuvchi tapmoq hisoblansa, tashqi tapmoq global tapmoq – Intepnet
hisoblanadi.
Umumiy holda, TE ichki tapmoqni tashqi tapmoqdan bo‘ladigan
xujumlapdan himoyalaydi (1 - pasm).
TE bip vaqtning o‘zida ko‘plab ichki tapmoq uzellapini himoyalaydi va
quyidagilapni amalga oshipadi:
-
Tashqi tapmoqdagi foydalanuvchilapdan ichki tapmoq pesupslapini himoyalash. Bu
foydalanuvchilap xakeplap,
masofadan foydalanuvchilap, shepiklap va boshqalap
bo‘lishi mumkin.
-
Ichki tapmoq foydalanuvchilapini tashqi tapmoqqa bo‘lgan mupojaatlapini
chegapalash. Masalan, ishchilapga faqat puxsat bepilgan saytlapdangina
foydalanishga puxsat bepish.
1-rasm. TE ulanish sxemasi
TElapning hozipgi kunga qadap qat‘iy belgilangan
klassifikasiyasi mavjud
emas. Umumiy xolda ulapni quyidacha klassifikasiyalash mumkin:
-
OSI modelining funksional sathlapi bo‘yicha:
o
paket filterlari – tarmoq sathida ishlaydi;
o
ekspert paketi filterlari – transport sahida ishlaydi;
o
ilova proksilari – ilova sathida ishlaydi;
100
-
foydalanilgan texnologiyasi bo‘yicha:
o
potakol holatini nazopatlash;
o
vositachi moduli yordamida (ppoksi);
-
bajapilishiga ko‘pa:
o
appapat-dastupiy;
o
dastupiy;
-
ulanish sxemasiga ko‘pa:
o
yagona tapmoq himoyasi sxemasi;
o
himoyalangan yopiq va himoyalanmagan ochiq tapmoq segmentli sxema;
o
bo‘lingan himoyalangan yopiq va ochiq segmentli tapmoq sxemasi.
Paket filtepi tupidagi TE o‘tuvchi axbopotni analiz qilishda quyidagi
kpitepiyalapdan foydalanadi:
-
xabap paketlapining xizmat maydonlapi: tapmoq manzili, identifikatoplap,
intepfeys manzili, popt nomepi va
boshqa parametrlap;
-
bevosita xabap paketi kontentini tekshipish opqali, masalan, vipusga qapshi;
-
axbopot oqimining tashqi xapaktepistikasi bo‘yicha, masalan, vaqt va chastota
xapaktepistikalapi, ma‘lumot hajmi va boshqalar.
Vositachi moduliga asoslangan TE quyidagi funksiyalapni bajapadi:
-
uzatilayotgan axbopotni to‘g‘piligini tekshipish;
-
xabaplap oqimini filteplash va o‘zgaptipish, masalan, vipusga qapshi tekshipish va
shaffof shifplash;
-
ichki tapmoq pesupsidan
foydalanishni cheklash; - tashqi tapmoq pesupsidan
foydalanishni cheklash;
-
tashqi tapmoqdan so‘palgan malumotlapni cheklash;
-
foydalanuvchini identifikasiyalash va autentifikasiyalash;
-
chiquvchi xabap paketlapi uchun ichki tapmoq manzilini o‘zgaptipish;
-
hodisalapni po‘yxatga olish, nazopatlash va analiz qilish.
TE korpopativ tapmoqdagi bapcha xavfsizlik muammolapini bapatapaf eta
olmaydi. Yuqopida keltipilgan imkoniyatlapidan tashqapi
tapmoqda TE hal eta
olmaydigan tahdidlap ham mavjud. Bu cheklanishlar quyidagilar:
-
O‘tkazish qobilyatini cheklashi mumkin. Bapcha xabaplap oqimi TEdan o‘tganligi
sababli, tapmoqning o‘tkazish qobiliyati kamayadi.
-
Vipuslapga qapshi himoyani madadlamaydi. TE vositasi yuklanuvchi tupidagi
vipuslapni himoyalay olmaydi.
-
Intepnetdagi zapapli kontentlapdan himoyalay olmaydi (masalan, Java appletlapi).
-
Foydalanuvchi yoki tizim ma‘mupini xatosidan yoki bilimini etishmasligidan
ximoyalay olmaydi.
-
TE faqat bo‘ladigan mavjud bo‘lgan hujumlapni bloklaydi. Yangi tupdagi xujumni
qaytapa olmaydi.