Kiruvchi va chiquvchi trafik
Tarmoq trafigi server nuqtai nazaridan kiruvchi yoki chiquvchi bo'lishi mumkinligi sababli, xavfsizlik devori har ikkala holat uchun alohida qoidalar to'plamini saqlaydi. Boshqa joydan kelib chiqadigan trafik, kiruvchi trafik, server yuboradigan chiquvchi trafikdan boshqacha ko'rib chiqiladi. Ko'pchilik chiquvchi trafikka ruxsat berish server uchun odatiy holdir, chunki server odatda o'zi uchun ishonchli hisoblanadi. Shunday bo'lsa-da, chiquvchi qoidalar to'plami serverga tajovuzkor yoki zararli dastur tomonidan buzilgan taqdirda keraksiz aloqani oldini olish uchun ishlatilishi mumkin.
Xavfsizlik devorining afzalliklarini maksimal darajada oshirish uchun siz boshqa tizimlar serveringiz bilan o'zaro aloqada bo'lishini xohlagan barcha usullarni aniqlab olishingiz, ularga aniq ruxsat beruvchi qoidalarni yaratishingiz va keyin barcha boshqa trafikni to'xtatishingiz kerak. Yodda tutingki, tegishli chiqish qoidalari mavjud bo'lishi kerak, shunda server har qanday tegishli kiruvchi ulanishlarga chiquvchi bildirishnomalarni yuborish imkonini beradi. Bundan tashqari, server odatda turli sabablarga ko'ra, masalan, yangilanishlarni yuklab olish yoki ma'lumotlar bazasiga ulanish uchun o'zining chiquvchi trafigini ishga tushirishi kerakligi sababli, bu holatlarni chiqish qoidalari to'plamiga kiritish muhimdir.
Chiqish qoidalarini yozish
Faraz qilaylik, bizning misol xavfsizlik devori sukut bo'yicha chiquvchi trafiknito'xtatishga o'rnatilgan. Bu bizning kiruvchiqabul qilishqoidalarimiz qo'shimcha chiqish qoidalarisiz foydasiz bo'lishini anglatadi.
Xavfsizlik devori qoidalari bo'limidagi kiruvchi xavfsizlik devori qoidalarini (1 va 3) to'ldirish va ushbu manzillar va portlar bo'yicha to'g'ri aloqa o'rnatish uchun biz ushbu chiquvchi xavfsizlik devori qoidalaridan foydalanishimiz mumkin:
80 va 443-portda (HTTP va HTTPS) umumiy tarmoq interfeysiga belgilangan chiquvchi trafikni qabul qiling
22-portda (SSH) shaxsiy tarmoq interfeysiga o‘rnatilgan chiquvchi trafikni qabul qiling
E'tibor bering, biz to'xtatilgan kiruvchi trafik uchun qoidani aniq yozishimiz shart emas (kiruvchi qoida 2), chunki server bu ulanishni o'rnatishi yoki tasdiqlashi shart emas.
Do'stlaringiz bilan baham: |