Oʻzbеkiston rеspublikasi axborot tеxnologiyalari va kommunikatsiyalarini rivojlantirish vazirligi
Yüklə 5,01 Kb. Pdf görüntüsü
|
- Bu səhifədəki naviqasiya:
- Nazorat savollari
- 16-LABORATORIYA ISHI TARMOQ MARSHRUZATORIDA DMZ NI OʻRNATISH Ishdan maqsad.
| Topshiriq
17.7-rasmda keltirilgan tarmoq topologiyasini Cisco Packet Tracer dasturida tuzing; Qurilmalarga berilgan tarmoqlar bo’yicha manzil bering; ASA 5505 fiirewallini sozlang; Qurilgan topologiyani testlab ko’ring. 182 17.7-rasm. Tarmoq topologiyasi Nazorat savollari 1. Tarmoqlararo ekranni funksiyalarini tushuntiring? 2. ASA firewallining qanday funksional imkoniyatlari mavjud? 3. ASA da NATqanday sozlanadi? 4. Cisco AVC nima? 5. IPSdan NGIPS nimasi bilan afzal? 16-LABORATORIYA ISHI TARMOQ MARSHRUZATORIDA DMZ NI OʻRNATISH Ishdan maqsad. Tarmoq marshruzatorida DMZni oʻrnatish ko`nikmalarini hosil qilish. Nazariy qism Tarmoq xavfsizligi boʻyicha mutaxassislar potensial zararni hali aniqlanmagan zaifliklarini oldini olish uchun choralar koʻrishlari kerak. Buning uchun ideal yechim - bu bitta muhim server internetdan "koʻrinmaydigan" boʻlishi kerak, lekin internetdan butunlay ajralib qolish imkonsizdir. Biz xizmatning funksionalligi va uning xavfsizligi oʻrtasida oqilona kelishuvni oʻrnatishimiz kerak. Internetga ulangan koʻpgina kompaniyalar oʻzlarining pochta serverlariga ega, ular bir xil turdagi boshqa pochta serverlaridan pochta xabarlarini qabul qilishadi. Ushbu serverga internetning 183 istalgan joyidan ulanish uchun kirish kerak boʻlishi kerak, chunki SMTP protokoli ( Simple Mail Transport Protocol ) yordamida kompaniyaning serveriga toʻgʻridan-toʻgʻri ulanish orqali kelgan keyingi xatni kim yuborishini taxmin qilish mumkin emas. Bir tomondan, pochta serveri xavfsizligini ta'minlash kerak, ya'ni ruxsatsiz ulanishlarni iloji boricha cheklash lozim, boshqa tomondan esa internetdan imkon qadar koʻproq foydalanishiga imkoniyat yaratish kerak. Aniqlanishsiz ulanishlarni qabul qilishi kerak boʻlgan serverlar odatda "umumiy" deb nomlanadi, ya'ni global tarmoqning har qanday foydalanuvchisi uchun kirish mumkin. Umumiy serverlarini oʻz ichiga olgan qurilish tizimlariga yondashuv ichki serverlarga asoslangan tizimlarni yaratish yondashuvidan farq qilishi kerak. Bu serverning ochiqligi sababli yuzaga keladigan oʻziga xos xatarlar tomonidan belgilanadi. Serverlarning ochiqligi bilan bogʻliq muammolarni hal qilish uchun marshrutizatordagi paketlarni filtrlash qoidalari va aniq belgilangan tarmoq xavfsizligi siyosati orqali umumiy foydalaniladigan serverlar va lokal tarmoqni ajratishdan iborat boʻlgan kompleks yondashuv mavjud. Ichki va umumiy tarmoqlarni ajratish uchun tarmoq xavfsizligi mutaxassislari tomonidan keng qoʻllaniladigan tasdiqlangan yechim mavjud - Demilitarizatsiya qilingan Zona (DMZ). Ushbu yechimning mohiyati serverlarning birortasidan lokal tarmoqqa ulanishlarni nazoratsiz oʻrnatishga imkon bermasligi uchun umumiy serverlarning tarmoqda joylashuvi. Hatto buzgʻunchi ulardan birini boshqara oladigan boʻlsa ham, masalan, dasturiy ta'minotda yangi zaiflikdan foydalangan holda, u ichki tarmoqqa nazoratsiz kira olmaydi. Bunday yechimning mohiyati umumiy serverlarni lokal tarmoqdan deyarli butunlay ajratib qoʻyishdan iborat, ammo faqat ushbu serverlardan kelib chiqadigan ulanishlar uchun, chunki bu ulanishlar boshqaruvni qoʻlga olgan buzgʻunchi tomonidan boshqarilishi mumkin. Shu bilan birga, serverlarning oʻzi ham internetdan, ham lokal tarmoqdan boshlangan ulanishlar uchun ochiq boʻlishi kerak. Demilitarizatsiya qilingan zona orqali korporativ tarmoqqa kirib borishini himoya qilish uchun tarmoqlararo ekran ishlatiladi. Dasturiy va apparat ta'minot tarmoqlararo ekranlari mavjud. Dasturiy ta’minot uchun alohida mashina kerak. Aparat tarmoqlararo ekranini 184 oʻrnatish uchun uni tarmoqqa ulash va minimal konfiguratsiyani sozlash kerak. Odatda, dasturiy ta'minot ekranlari tarmoqlarni himoya qilish uchun ishlatiladi, bu yerda tarmoq kengligi egiluvchanligini taqsimlash va foydalanuvchilar uchun protokollar yordamida trafikni cheklash bilan bogʻliq koʻplab sozlamalarni oʻrnatishga hojat qolmaydi. Agar tarmoq katta boʻlsa va yuqori ishlash talab etilsa, qoʻshimcha tarmoqlararo ekranlarini ishlatish yanada foydali boʻladi. Koʻpgina hollarda, bitta emas, balki ikkita tarmoqlararo ekranlarini ishlatiladi - biri DMZni tashqi ta'sirlardan himoya qiladi, ikkinchisi uni korporativ tarmoqning ichki qismidan ajratib turadi(16.1-rasm). Tashkilot tarmogʻi qismtarmoqlardan iborat va shunga koʻra, tashqaridan ham, ichkaridan ham kirishga muhtoj boʻlgan serverlar bir xil tarmoqda (DMZ yoki demilitarizatsiya zonasi deb ham ataladi), foydalanuvchilar va lokal manbalar esa turli qismtarmoqlarda joylashgan. Ushbu topologiya bilan DMZdagi serverlar Internetdan, boshqasi lokal tarmoqdan tarmoqlararo ekran bilan ajratilishi kerak. Shu bilan birga, "tashqi tomondan" kerakli resurslarga kirish tashqi tarmoqlararo ekranda amalga oshirilishi kerak. Yüklə 5,01 Kb. Dostları ilə paylaş:
|