logo
  1. Главная страница
  2. Презентации
  3. Общий
  4. Тармоқлараро экран технологияси

Тармоқлараро экран технологияси

Загружено в:

16.11.2024

Скачано:

0

Размер:

626.828125 KB
Скачать
Т армоқлараро экран технологияси Режа: 1. Тармоқлараро экранлар технологиясиниг ривожланиш босқичлари. 2. Тармоқ пакетлари фильтрацияси. 3. Тармоқларо экранларнинг OSI модели сатҳларида қўлланилиши. Тармоқлараро экран (ТЭ) - брандмауэр ёки firewall системаси деб хам аталувчи тармоқлараро ҳимоянинг ихтисослаштирилган комплекси. Тармоқлараро экран умумий тармоқни икки ёки ундан кўп қисмларга ажратиш ва маълумот пакетларини чегара орқали умумий тармоқнинг бир қисмидан иккинчисига ўтиш шартларини белгиловчи қоидалар тўпламини амалга ошириш имконини беради. Одатда, бу чегара корхонанинг корпоратив (локал) тармоғи ва Internet глобал тармоқ орасида ўтказилади. Тармоқлараро экранлар гарчи корхона локал тармоғи уланган корпоратив интратармоғидан қилинувчи ҳужумлардан ҳимоялашда ишлатилишлари мумкин бўлсада, одатда улар корхона ички тармоғини Internet глобал тармоқдан суқилиб киришдан ҳимоялайди. Аксарият тижорат ташкилотлари учун тармоқлараро экранларнинг ўрнатилиши ички тармоқ хавфсизлигини таъминлашнинг зарурий шарти ҳисобланади. Корпоратив тармоқларда эшелон ҳимоянинг асосий элементларидан бири тармоқлараро экрандир. Бундан ташқари тармоқлараро экран ички ва ташқи периметрларнинг биринчи ҳимоя қурилмаси ҳисобланади. Тармоқлараро экран (ТЭ) локал (бир компонентли) ёки функционал тақсимланган восита (комплекс) бўлиб, у АКТларида кирувчи ва чиқувчи маълумотларни бошқаради ва маълумотларни фильтрлаш орқали АКТ ҳимоясини таъминлайди, белгиланган мезонлар асосида ахборот текширувини амалга ошириб, ахборотлар тарқалишида қарор қабул қилади. ТЭ тармоқдан ўтувчи барча пакетларни кўради ва иккала (кириш, чиқиш) йўналиш бўйича пакетларни белгиланган қоидалар асосида текшириб уларга рухсат бериш ёки бермасликни ҳал қилади. Шунингдек, ТЭ икки тармоқ орасидаги ҳимояни амалга оширади, яъни ҳимояланаётган тармоқни очиқ ташқи тармоқдан ҳимоялайди. Тармоқлараро экранни улаш схемасиРухсат этилмаган тармоқлараро фойдаланишга қарши таъсир кўрсатиш учун тармоқлараро экран ички тармоқ ҳисобланувчи ташкилотнинг ҳимояланувчи тармоғи ва ташқи аним тармоқ орасида жойланиши лозим. Бунда бу тармоқлар орасидаги барча алоқа фақат тармоқлараро экран орқали амалга оширилиши лозим. Ташкилий нуқтаи назаридан тармоқлараро экран ҳимояланувчи тармоқ таркибига киради. ТЭ технологияси ёш бўлсада, лекин жадал суръатлар билан ривожланмоқда. Қуйидаги расмда бу технологиянинг тахминий ривожланиш даври кўрсатилган.   ТЭ технологиясининг ривожланиш даври Тармоқларо экранларнинг OSI модели сатҳларида қўлланилиши ПАКЕТЛАРНИ ФИЛЬТРЛАШ Бу технология олдин фақат тармоқ сатҳида IP адрес манбаи ва қабул қилувчи манзилларини фильтрлаш орқали амалга оширилганлиги сабабли фақат тармоқ сатҳида қўлланилган. Ҳозирги вақтда транспорт сатҳида ҳам пакетларни фильтрлаш орқали тармоқ трафиги таҳлил қилинади. Ҳар бир IP-пакет кўпгина қоидаларга мувофиқ текширилади. Бу қоидалар ТСР/IP модели тармоқ ва транспорт сатҳида сарлавҳа таркибига асосланган ҳолда алоқа ўрнатади, таҳлил қилади ва пакетлар ҳаракатини йўналишларини белгилайди. Пакет фильтрлари қуйидагиларни назорат қилади: • Физик интерфейс, пакет қаердан келади; • Манбанинг IP манзили; • Қабул қилувчининг IP манзили; • Транспорт сатҳи турига кўра (TCP, UDP, ICMP); • Манба ва қабул қилувчи транспорт портлари. Пакетларни фильтрлаш архитектурасининг схемаси Тармоқ адресларини трансляциялаш Пакетларни фильтрловчи ТЭлар кўпинча тармоқ пакетлари адресларини шундай ўзгартирадики, бунда чиқувчи оқим бошқа IP манзил билан ташқи тармоққа тарқалади. Бу схема тармоқ адресларни трансляциялаш (Network Address Translation, NAT) схемаси деб аталади. NAT схемаси қўлланилиши натижасида, биринчидан ички тармоқ топологияси ва манзиллар схемасини бекитиб туради, иккинчидан ташкилот ичидаги фойдаланилаётган IP адреслар ҳажмини камайтиради. Тармоқ адресларни трансляциялашнинг функционал схемаси қуйидаги расмда келтирилган. Адресларни трансляциялаш схемаси 1 - 176.25.10.1 ишчи станцияси, 2- маршрутизатор, 3- сервер 191.13.13.13 Пакетларни фильтрлаш жараёни. Фильтрлаш жараёнида пакетлар агар қоидаларга мувофиқ келса, у кейинги ишлов ёки узатиш учун тармоқ стекига ўтказилади. Барча кирувчи пакетлар фильтрлашнинг берилган қоидасига мувофиқ текширилади. Бунда пакет йўқотилади ёки тармоқ стекига уни етказиб бериш учун узатилади. Пакет фильтрлари қандай амалий протоколлар қўлланилишини ҳал қила олмайди. Қоидаларнинг иккита руйхати мавжуд: таъқиқлаш руйхати (deny) ва рухсат этиш руйхати (permit). Тармоқ пакетлари иккала руйхат текширувидан ўтади. Пакетлар текширувининг умумий схемаси: • агар қоидалар рухсат берса, пакет узатилишга рухсат берилади; • агар қоидалар таъқиқласа, бу ҳолатда пакет йўқ қилинади; • агар битта ҳам қоида қўлланилмаса, пакет йўқ қилинади. Филтрлашда пакетларни қайта ишлаш схемаси Афзалиги Камчилиги Тезроқ ишлайди (бошқа технологиядаги ТЭлар билан солиштирилганда); ТЭни аппарат сифатида амалга ошириш мумкин; Ф ойдаланувчидан хостларни конфигурация қилиш талаб қилинмайди; NAT схемаси ички IP адресларни “беркитади”. Амалий протоколларни тушунмайди; Кўпгина протоколларни, ҳаттоки асосий хизматлардан фойдаланиш протоколларини чеклай олмаслиги (масалан put, get FTP бўйруқлари); Боғланишни кузата олмаслиги (сеанс ҳақида ахборот тақдим этмаслиги); Пакет таркибидаги ахборотларни қайта ишлашга имконияти пастлиги; Ички компютерлар орқали ТЭ сервер хизмати ахборотларини чекламаслик; Амалий жиҳатдан аудит ўтказа олмаслиги; Қоидаларни тестлаш мураккаблиги.Фильтрлаш технологиясининг авфзаллик ва камчиликлари СЕАНС САТҲИ ТАРМОҚЛАРАРО ЭКРАНЛАРИ Ушбу ТЭлар ҳақиқатан пакет ТСР боғланиш сўрови эканлигини ёки ўрнатилган боғланиш маълумотларини тақдим этаётганлигини ёки икки транспорт сатҳи орасида виртуал боғланишига тегишли эканлигини текширади. Боғланиш ўрнатилгандан сўнг жадвал қўйидаги маълумотларни ўзида сақлайди: • сеанс идентификатори; • боғланиш ҳолати(қўл сиқишиш, ўрнатилган, ёпилган); • ахборотлар кетма кетлиги(олдинги байтларнинг рақам кетма кетлиги, байроқ ҳолати ва б.); • Манба ва қабул қилувчининг IP манзили; • Портлар рақами, сеанс қатнашчилари; • Физик интерфейс, пакет қаерга келиб тушади; • Физик интерфейс, пакет қаерга узатилади; Сеанс сатҳида функциялашган ТЭ схемаси Авфзаллиги Камчилиги Муайян хост билан боғланишни маън қилиш имконияти; NAT дан фойдаланиб - ички IP манрзилларни бекитиш. ТСР дан бошқа протоколлар рухсатини чеклай олмаслик; Юқори сатҳ протоколлари учун текширувни ташкил эта олмаслик; Чекланган аудит (юқори сатҳ протоколлари билан заиф алоқа ); Қўшимча функцияларга рухсат бекмаслик HTTP кэшлаш ‑ жавоблари, URL ни филтрлаш, аутентификация; Қоидаларни тестлаш мураккаблиги.Сеанс сатҳи ТЭ технологиясининг афзаллик ва камчиликлари Амалий сатҳ тармоқлари экранлари Ушбу ТЭ лар боғланиш ўрнатишдан олдин тармоқ пакетларини айнан амалий сатҳга мослигини баҳолайди. Улар амалий сатҳдаги барча тармоқ пакетлари маълумотларни таҳлил қилади ва ахборотлар кетма кетлигини ҳамда тўлиқ (тугатилган) ҳолдаги боғланишни ўрнатади. Шу билан бирга, ТЭлар хавфсизликнинг бошқа параметрлари, яъни амалий сатҳнинг ички маълумотларини ташкил этувчилари (пароллар, хизмат сўровлари)ни ҳам текширади. Амалий сатҳнинг кўпгина ТЭ лари махсуслаштирилган дастурий таъминот ва proxy хизматларни ўз ичига олади. Функциялашган proxy хизмат схемаси қуйидаги расмда кўрсатилган. Функциялашган proxy хизмати схемаси. 1 ишчи станция, 2 сервер‑ ‑ Амалий сатҳда функциялашган ТЭ схемаси Авфзалиги Камчилиги Юқори сатҳ протоколлари билан ишлай олади( HTTP , FTP ) ; Ҳолат ва сеанс ҳақида қисқача ахборот, илова ҳолатининг тўлиқ ахборотини сақлаш имконияти; Тармоқнинг муайян хизматидан фойдаланишни чеклаш имконияти; Ташқи сервер билан тўғридан тўғри боғланишни маън ‑ қилиш; Proxy шафофлиги; Қўшимча хусусиятларни реализация қилиш имконияти ( URL ни фильтрлаш, аутентификация); Сифатлм аудит. ТЭ серверида Proxy хизмати тармоқ стекини ўзгартиришни талаб қилади; Proxy хизмати портни эшитади (худди тармоқ сканери каби, ТЭ ундан фойдалана олмайди); Вақтинчалик кечикиш (кирувчи пакет икки марта яьни илова ва proxy да қайта ишланади); Янги proxy ҳар бир назоратдаги протокол учун қўшилиши шарт; Proxy хизматлари одатда мижозлар процедурасини ўзгартиришни талаб қилади; Proxy хизматлари амалий сатҳ ОТ ва ДТ хатоликларига заиф; Пакетларда жойлашган қуйи сатҳлардаги маълумотлар текшируви ташкил этилмайди; Proxy хизмати қўшимча парол ёки аутентификация жараёнини талаб қилиши мумкин.Амалий сатҳ ТЭларининг авфзалик ва камчиликлари . Назорат саволлари: 1. Тармоқлараро экранлар технологиясиниг ривожланиш босқичлари. 2. Тармоқ пакетлари фильтрацияси кетма-кетлиги. 3. Филтрлаш технологиясининг авфзаллик ва камчиликлари ? 4 . Тармоқларо экранларнинг OSI модели сатҳларида қўлланилиши. 5 . Амалий сатҳ тармоқлари экранлари. ФОЙДАЛАНИЛГАН АДАБИЁТЛАР • С.К. Ғаниев, М.М. Каримов, К.А. Ташев Ахборот хавфсизлиги. “ ALOQACHI” – 2008. • В асильков А. В. В асильков А. А. В асильков И. А. Информационные системы и их безопасность. Москва-2011. • В. П. Мельников, С. А. Клейменов, А. М. Петраков Информационная безопасность и защита информации. Москва Издательский центр “Академия” -2009 • В асильков А. В. В асильков И. А Безопасность и управление доступен в информационных системах. Москва-2010. • В. Ф. Шаньгин Комплексная защита информации в корпоративных системах. Москва ИД “ФОРУМ” – ИНФРА-М 2010.

Т армоқлараро экран технологияси Режа: 1. Тармоқлараро экранлар технологиясиниг ривожланиш босқичлари. 2. Тармоқ пакетлари фильтрацияси. 3. Тармоқларо экранларнинг OSI модели сатҳларида қўлланилиши.

Тармоқлараро экран (ТЭ) - брандмауэр ёки firewall системаси деб хам аталувчи тармоқлараро ҳимоянинг ихтисослаштирилган комплекси. Тармоқлараро экран умумий тармоқни икки ёки ундан кўп қисмларга ажратиш ва маълумот пакетларини чегара орқали умумий тармоқнинг бир қисмидан иккинчисига ўтиш шартларини белгиловчи қоидалар тўпламини амалга ошириш имконини беради. Одатда, бу чегара корхонанинг корпоратив (локал) тармоғи ва Internet глобал тармоқ орасида ўтказилади. Тармоқлараро экранлар гарчи корхона локал тармоғи уланган корпоратив интратармоғидан қилинувчи ҳужумлардан ҳимоялашда ишлатилишлари мумкин бўлсада, одатда улар корхона ички тармоғини Internet глобал тармоқдан суқилиб киришдан ҳимоялайди. Аксарият тижорат ташкилотлари учун тармоқлараро экранларнинг ўрнатилиши ички тармоқ хавфсизлигини таъминлашнинг зарурий шарти ҳисобланади.

Корпоратив тармоқларда эшелон ҳимоянинг асосий элементларидан бири тармоқлараро экрандир. Бундан ташқари тармоқлараро экран ички ва ташқи периметрларнинг биринчи ҳимоя қурилмаси ҳисобланади. Тармоқлараро экран (ТЭ) локал (бир компонентли) ёки функционал тақсимланган восита (комплекс) бўлиб, у АКТларида кирувчи ва чиқувчи маълумотларни бошқаради ва маълумотларни фильтрлаш орқали АКТ ҳимоясини таъминлайди, белгиланган мезонлар асосида ахборот текширувини амалга ошириб, ахборотлар тарқалишида қарор қабул қилади. ТЭ тармоқдан ўтувчи барча пакетларни кўради ва иккала (кириш, чиқиш) йўналиш бўйича пакетларни белгиланган қоидалар асосида текшириб уларга рухсат бериш ёки бермасликни ҳал қилади. Шунингдек, ТЭ икки тармоқ орасидаги ҳимояни амалга оширади, яъни ҳимояланаётган тармоқни очиқ ташқи тармоқдан ҳимоялайди.

Тармоқлараро экранни улаш схемасиРухсат этилмаган тармоқлараро фойдаланишга қарши таъсир кўрсатиш учун тармоқлараро экран ички тармоқ ҳисобланувчи ташкилотнинг ҳимояланувчи тармоғи ва ташқи аним тармоқ орасида жойланиши лозим. Бунда бу тармоқлар орасидаги барча алоқа фақат тармоқлараро экран орқали амалга оширилиши лозим. Ташкилий нуқтаи назаридан тармоқлараро экран ҳимояланувчи тармоқ таркибига киради.

ТЭ технологияси ёш бўлсада, лекин жадал суръатлар билан ривожланмоқда. Қуйидаги расмда бу технологиянинг тахминий ривожланиш даври кўрсатилган.   ТЭ технологиясининг ривожланиш даври

Похожие

FDDI технологияси
ШИРИНМИЯ ЕТИШТИРИШ ТЕХНОЛОГИЯСИ ВА УНИНГ МАХСУЛОТ СИФАТИГА ТА'СИРИ
ТАДҚИҚОТ МЕТОДИ ВА МЕТОДОЛОГИЯСИ
Algoritm va uning xossalari
ТАЪЛИМ ПСИХОЛОГИЯСИ