Deyarli har bir o'rta va yirik tashkilotda Internet mavjud va unga ulangan tashkiliy tarmoq mavjud. Tashqi Internet va ichki tarmoq chegarasida tarmoqni ajratish tarmoq xavfsizligi uchun muhim ahamiyatga EGA
Download 36.77 Kb.
|
- Bu sahifa navigatsiya:
- Paketni filtrlash qoidasi ikki qismdan iborat
|
Paketlarni filtrlash
Paket filtrlash xavfsizlik devorlari asosan manba yoki maqsad IP manzillari, protokol, manba yoki maqsad port raqamlari va IP sarlavhasidagi boshqa parametrlar kabi mezonlarga asoslangan paketlarga ruxsat beradi yoki bloklaydi. Qaror IP sarlavha maydonlaridan boshqa omillarga asoslanishi mumkin, masalan, ICMP xabar turi, TCP SYN va ACK bitlari va boshqalar. Paketni filtrlash qoidasi ikki qismdan iborat - Tanlash mezonlari - qaror qabul qilish uchun shart va shablon bilan taqqoslash sifatida ishlatiladi. Harakatlar maydoni - Bu qism IP paketi tanlash mezonlariga mos keladigan bo'lsa, bajarilishi kerak bo'lgan harakatni belgilaydi. Harakat blokirovka qilish (rad etish) yoki paketning xavfsizlik devori orqali o'tishiga ruxsat berish (ruxsat berish) bo'lishi mumkin. Paketlarni filtrlash odatda marshrutizatorlar yoki kalitlarda kirishni boshqarish ro'yxatini (ACL) sozlash orqali amalga oshiriladi. ACL - paketlarni filtrlash qoidalari jadvali. Trafik interfeysga kirganda yoki undan chiqayotganda, xavfsizlik devori har bir kiruvchi paketga yuqoridan pastga kirishni boshqarish ro'yxatini qo'llaydi, mos keladigan mezonlarni topadi va alohida paketlarga ruxsat beradi yoki rad etadi. Fuqaroligi bo'lmagan xavfsizlik devori qandaydir qiyin vositadir. U paketni tekshiradi va agar u belgilangan joriy aloqaning bir qismi bo'lmasa ham, mezonlarga javob bersa, uni uzatishga imkon beradi. Binobarin, zamonaviy tarmoqlarda bunday xavfsizlik devorlari holatini ko'rsatadigan xavfsizlik devorlari bilan almashtiriladi. Ushbu turdagi xavfsizlik devori fuqaroligi bo'lmagan xavfsizlik devorlarining faqat ACL-ga asoslangan paketlarni tekshirish usullaridan ko'ra chuqurroq tekshirish usulini taklif qiladi. Holatli xavfsizlik devori TCP/IP darajasida ulanishlarni doimiy ravishda tekshirish uchun ulanishni o'rnatish va o'chirish jarayonini nazorat qiladi. Bu ularga ulanishlar holatini kuzatish va istalgan vaqtda qaysi xostlar ochiq, ruxsat etilgan ulanishlar mavjudligini aniqlash imkonini beradi. Ular qoidalar bazasiga faqat yangi ulanish so'ralganda murojaat qiladilar. Mavjud ulanishlarga tegishli paketlar xavfsizlik devorining ochiq ulanish holati jadvali bilan taqqoslanadi va ruxsat berish yoki blokirovka qilish to'g'risida qaror qabul qilinadi. Bu jarayon vaqtni tejaydi va qo'shimcha xavfsizlikni ta'minlaydi. Hech bir paketga xavfsizlik devori orqali o'tishga ruxsat berilmaydi, agar u allaqachon o'rnatilgan ulanishga tegishli bo'lmasa. U xavfsizlik devoridagi faol bo'lmagan ulanishlarni to'xtatishi mumkin, shundan so'ng u ushbu ulanish uchun paketlarni qabul qilmaydi. Download 36.77 Kb. Do'stlaringiz bilan baham: 
|