Microsoft Word ˆ% siyosati metodichka asosiy (2). docx
Download 153.79 Kb. Pdf ko'rish
|
Tarmoqlararo ekran yordamida kiberhujumlarga qarshi himoyani taminlash
|
O’ZBEKISTON RESPUBLIKASI AXBOROT TEXNOLOGIYALARI VA KOMMUKINATSIYALARINI RIVOJLANTIRISH VAZIRLIGI MUXAMMAD AL-XORAZMIY NOMIDAGI TOSHKENT AXBOROT TEXNOLOGIYALARI UNIVERSITETI “Kiberxavfsizlik va kriminalistika” kafedrasi 5330300- “Аxborot xavfsizligi (sohalar bo’yicha)” ta’lim yoʼnalishi bakalavriat 4 bosqich talabalari uchun “ KIBERXAVFSIZLIK SIYOSATI ” fanidan amaliy ishlarini bajarish bo’yicha USLUBIY QO’LLANMA Ташкент – 2022 2 Ushbu o‘quv qo‘llanma 5330300- “Axborot xavfsizligi (sohalar bo‘yicha)” yo‘nalishi bo‘yicha bakalavriat ta’lim yo‘nalishi talabalari uchun tashkilotda izchil kiberxavfsizlik siyosatini yaratish bo‘yicha amaliy ko‘nikmalarni egallash maqsadida yaratilgan. Uslubiy qo‘llanmada xavfsizlik vositalari va ularning kiberxavfsizlik siyosatiga ta’siri bilan bog‘liq asosiy masalalar, tarmoqlararo ekran va antivirus dasturlari, foydalanuvchi qayd yozuvi va parollar siyosati uchun kiberxavfsizlik siyosatini to‘g‘ri shakllantirish, Internetda to'g'ri ishlashni tashkil etish shuningdek, talabalarning mustaqil fikrlashlarini rivojlantirish, axborot xavfsizligi hodisalariga javob berish va boshqarish masalalarini taqqoslash, tahlil qilish qobiliyati bo‘yicha amaliy bilim, malaka va ko‘nikmalarni shakllantirishga qaratilgan. Bundan tashqari, qo’llanmada past, o'rta va yuqori tahdidli muhitlar uchun xavfsizlik siyosatini ishlab chiqishga misollar keltirilgan. Tuzuvchilar: Muminova S.Sh. “Kiberxavfsizlik va kriminalistika” kafedrasi katta o’qituvchisi, TATU Mavlonov O.N “Kiberxavfsizlik va kriminalistika” kafedrasi katta o’qituvchisi, TATU Safoyev N.N “Kiberxavfsizlik va kriminalistika” kafedrasi assistenti, TATU Shakarov M.A “Kiberxavfsizlik va kriminalistika” kafedrasi assistenti, TATU Taqrizchilar: N.B.Nasrullayev Muhammad al-Xorazmiy nomidagi TATU Nurafshon filiali direktori, PhD, dotsent Z.T.Xudoyqulov Muhammad al-Xorazmiy nomidagi TATU “Kriptologiya” kafedrasi mudiri, PhD, dotsent Muxammad al-Xorazmiy nomidagi Toshkent axborot texnologiyalari universiteti , 2022 y. 3 KIRISH Uslubiy qo'llanmada mavzular tarmoqlararo ekran xavfsizlik siyosatini shakllantirish, antivirus dasturlari xavfsizlik siyosati, tarmoqda foydalanuvchini autentifikatsiya qilish siyosatini shakllantirish va Google Authenticator yordamida foydalanuvchi qayd yozuvlarini himoya qilish, parollar siyosati, foydalanuvchi tomonidan parolni boshqarish vositalari va parol menejerini sozlash, bulutli xizmatlar orqali foydalanuvchi ma'lumotlarini zaxiralash, internetda foydalanuvchi ma'lumotlarining maxfiyligini ta'minlash vositalarini o'rganish, shuningdek, ijtimoiy injineriya tahdidlariga qarshi himoya choralarini qo’llash (pochta orqali spam cheklash, ulanishni boshqarish) bo’yicha amaliy bilimlarni o'zlashtirish uchun amaliy ishlar topshiriqlari ko’rnishida berilgan. “Kiberxavfsizlik siyosati” kursi mutahassilik fani bo‘lib, 4-kursda o‘qitiladi. Ushbu kursni o'rganish "Kiberxavfsizlik asoslari", "Tarmoq xavfsizligi", "Kiber huquq va kiber etika" va "Ma'lumotlar xavfsizligi" kabi axborot xavfsizligi bilan bog'liq fanlar bo'yicha bilim va ko'nikmalarni talab qiladi. Har bir amaliy ish amaliy ishning mavzusi, ishdan maqsadi, nazariy va amaliy qismlar, topshiriq va nazorat savollari kabi tarkibiy qismlardan iborat. O'quv semestrida talabalar amaliy ko'rsatmalar asosida topshiriqlarni bajarishlari va hisobotlarni topshirishlari kerak. Har bir mavzu, amaliy ish mavzusidan qat'iy nazar, quyidagi tarkibiy qismlardan iborat bo'lishi kerak: 1. Sarlavha sahifasi 2. Ishning mavzusi va maqsadi. 3. Asosiy qism (topshiriqni bajarish tartibi). 4. Xavfsizlik savollariga javoblar 5. Adabiyot 4 1-AMALIY ISH TARMOQLARARO EKRAN YORDAMIDA KIBERHUJUMLARGA QARSHI HIMOYANI TA’MINLASH. Ishdan maqsad: Tarmoqlararo ekran xavfsizlik siyosatini shakllantirish hamda lokal tarmoqni hujumlardan himoya qilish uchun tarmoqlararo ekranni o'rnatish va sozlash bo'yicha amaliy ko'nikmalarni egallash. Nazariy qism. Tarmoqlararo ekran xavfsizlik siyosati. Ma’lumki, ko'pgina tashkilotlar o’z foydalanuvchilarini Internet xizmatlaridan oson foydalanishlari uchun o'zlarining mahalliy tarmoqlarini Internetga ulaganlar. Internet odatda xavfsiz emasligi sababli, ushbu LANdagi qurilmalar ruxsatsiz foydalanish va tashqi hujumlarga qarshi zaif hisoblanadi. Tarmoqlararo ekran ishonchli tarmoq va ishonchsiz tarmoq o'rtasidagi kirishni boshqarish uchun ishlatilishi mumkin bo'lgan xavfsizlik vositasidir. Tarmoqlararo ekran bitta komponent emas, balki tashkilotning Internetdan foydalanish mumkin bo'lgan resurslarini himoya qilish strategiyasidir. Tarmoqlararo ekran xavfsiz bo'lmagan Internet va xavfsizroq ichki tarmoqlar o'rtasida qo'riqchi vazifasini bajaradi. Tarmoqlararo ekranning asosiy vazifasi kirishni boshqarishni markazlashtirishdir. Agar masofaviy foydalanuvchilar tarmoqlararo ekrandan o'tmasdan ichki tarmoqlarga kira olsalar, uning samaradorligi nolga yaqin. Misol uchun, agar xizmat safarida bo'lgan menejer ofisida shaxsiy kompyuteriga modem ulangan bo'lsa, u holda u o'z kompyuteriga xizmat safaridan qo'ng'iroq qilishi mumkin va bu shaxsiy kompyuter ham ichki xavfsiz tarmoqda joylashganligi sababli, ushbu shaxsiy kompyuter bilan dial-up ulanishini o'rnatishga qodir bo'lgan buzg’unchilar tarmoqlararo ekran himoyasini chetlab o'tishlari mumkin. Agar foydalanuvchi biror provayder bilan Internetga ulangan bo'lsa va tez-tez ish mashinasidan modem yordamida Internetga ulansa, u tarmoqlararo ekran himoyasini chetlab o'tib, xavfsiz bo'lmagan Internetga ulanishni o'rnatadi. 5 Tarmoqlararo ekranlar ko'pincha tashkilot intranet segmentlarini himoya qilish uchun ishlatilishi mumkin, ammo bu yerda birinchi navbatda Internet bilan bog'liq muammolar taqdim etilgan. Tarmoqlararo ekranlar bir nechta himoya turlarini ta'minlaydi: ular kiruvchi trafikni bloklashi mumkin; ular kiruvchi trafikni faqat ishonchli ichki tizimlarga yo'naltirishi mumkin; ular zaif tizimlarni Internetdan himoyalashning boshqa yo’li mavjud bo’lmaganda, ularni berkitishi mumkin; ular ichki tarmoqqa kiruvchi va undan chiquvchi trafikni qayd qilishlari mumkin; ular tizim nomlari, tarmoq topologiyasi, tarmoq qurilmalari turlari va ichki foydalanuvchi identifikatorlari kabi ma'lumotlarni Internetdan yashirishi mumkin; ular standart ilovalar taqdim etganidan ko'ra kuchliroq autentifikatsiyani ta'minlay oladi. Har qanday himoya vositasida bo’lgani kabi, ish qulayligi va xavfsizligi o'rtasida muayyan kelishuvlarga ehtiyoj bor. Shaffoflik - bu Tarmoqlararo ekranning ham ichki foydalanuvchilar uchun, ham tarmoqlararo ekran orqali o’zaro muloqotni amalga oshiradigan tashqi foydalanuvchilar uchun ko’rish imkoniyatining mavjudligidir. Tarmoqlararo ekran foydalanuvchilarning tarmoqqa kirishiga to'sqinlik qilmasa, ular uchun shaffofdir. Odatda, Tarmoqlararo ekranlar ichki tarmoq foydalanuvchilari uchun shaffof bo'lishi uchun tuzilgan va boshqa tomondan, tarmoqlararo ekran ichki tarmoqqa tashqaridan kirishga harakat qilayotgan tashqi foydalanuvchilar uchun shaffof bo'lmagan tarzda tuzilgan. Bu odatda yuqori darajadagi xavfsizlikni ta'minlaydi va ichki foydalanuvchilarga xalaqit bermaydi. Siyosatga misollar. Barcha tashkilotlar hech bo'lmaganda riskning past darajasi uchun qurilgan siyosatdan foydalanishlari kerak. O'rtacha risk uchun 6 "o'rtacha risk" va risk yuqori bo’lganda "Yuqori risk" va "O'rtacha risk" qismlarni kiritish kerak. Risk past bo’lganda. Foydalanuvchi. Internetga kirish huquqini talab qiladigan barcha foydalanuvchilar buni tashkilot tomonidan tasdiqlangan dasturiy ta'minot va tashkilotning Internet shlyuzlari orqali amalga oshirishlari kerak. Shaxsiy tarmoqlarimiz va Internet o'rtasida kompyuterlarimizni himoya qilish uchun tarmoqlararo ekran o'rnatilgan. Xodimlar modemlar yoki tarmoq tunnel dasturlari yordamida Internetga ulanishda uni chetlab o'tishga urinmasliklari kerak. Ba'zi protokollar bloklangan yoki ulardan foydalanish cheklangan. Agar sizga o'z vazifalaringizni bajarish uchun protokol kerak bo'lsa, bo'lim boshlig'ingiz va Internet xavfsizligi bo'yicha mutaxassis bilan bog'lanishingiz kerak. Bo'lim boshlig'i. Ishonchsiz tarmoqlardan kompaniya tarmog'iga kirishni oldini olish uchun kompaniya tarmog'i va Internet o'rtasida tarmoqlararo ekran o'rnatilishi kerak. Tarmoqlararo ekran tarmoq xizmatlari uchun mas'ul sifatida tanlanishi kerak, u ham unga xizmat ko'rsatish uchun javobgardir. Tashkilot tarmog'idan yoki tashkilot tarmog'iga ulangan tarmoqlardan Internetga kirishning barcha boshqa shakllari (masalan, modemlar) taqiqlanishi kerak. Internetga kirishni talab qiladigan barcha foydalanuvchilar buni tashkilot tomonidan tasdiqlangan dasturiy ta'minot va Internet shlyuzlari orqali amalga oshirishlari kerak. Avtomatlashtirish bo'limi xodimi. Favqulodda tugallangach, barcha tarmoqlararo ekranlar hech qanday xizmatlarga kirish imkoniga ega bo'lmasligi va internetga kirishni tiklash uchun tarmoqlararo ekran administratorining kelishini talab qilishi kerak. Manba marshrutizatisiyasi barcha tarmoqlararo ekranlar va tashqi routerlarda o'chirilgan bo'lishi kerak. 7 Tarmoqlararo ekran o’zini ichki tarmoqdan kelgan trafikka o'xshab tutadigan aslida tashqi interfeyslardan kelgan har qanday trafikni rad qilishi kerak. Tarmoqlararo ekran barcha seanslarning batafsil tizim jurnallarini saqlashi kerak, shunda ular ishdagi g'ayritabiiy vaziyatlarni aniqlash uchun ko'rib chiqilishi mumkin. Jurnallar kirish faqat vakolatli xodimlar uchun ruhsat etiladigan muhitda va joyda saqlanishi kerak. Tarmoqlararo ekranlar ishlashdan oldin sinovdan o'tkazilishi va to'g'ri konfiguratsiyalanganligiga tekshirilishi kerak. Tarmoqlararo ekran chiquvchi ulanishlar uchun shaffof qilib sozlanishi kerak. Tarmoq xizmatlari uchun mas'ul shaxslar tomonidan boshqacha qaror qabul qilinmasa, barcha kiruvchi ulanishlar ushlab qolinishi va tarmoqlararo ekran orqali o'tkazilishi kerak. Tarmoqlararo ekran Batafsil hujjatlari har doim yuritilishi va xavfsiz joyda saqlanishi kerak. Bunday hujjatlar, hech bo'lmaganda, barcha tarmoq qurilmalarining IP-manzillari bilan tashkilot tarmog'ining diagrammasini, tashqi yangiliklar serverlari, marshrutizatorlar, DNS-serverlar va boshqalar kabi mashinalarning IP-manzillarini va paketlarni filtrlash qoidalari va boshqalar kabi konfiguratsiya parametrlarini o'z ichiga olishi kerak. Tarmoqlararo ekran konfiguratsiyasi o'zgarganda bunday hujjatlar yangilanishi kerak. Risk o’rtacha bo’lganda. Foydalanuvchi. Tashkilotning ichki tizimlariga masofadan kirish uchun bir martalik parollar va aqlli kartalar yordamida autentifikatsiya qilish talab etiladi. Bo'lim boshlig'i. Tarmoqlararo ekran ma'murlari va kompyuter xavfsizligi uchun mas'ul bo'lgan boshqa rahbarlar muntazam ravishda (kamida uch oyda bir marta) tarmoq xavfsizligi siyosatini ko'rib chiqishlari kerak. Tarmoq talablari va tarmoq xizmatlari o'zgarishi bilan xavfsizlik siyosati yangilanishi va qayta tasdiqlanishi kerak. Agar o'zgartirishlar kiritish kerak bo'lsa, tarmoqlararo ekran ma'muri tarmoqlararo ekranga o'zgartirishlar kiritish va siyosatni o'zgartirish uchun javobgardir. 8 Tashkilotning ichki tarmog'ining tuzilishi va parametrlari tarmoqlararo ekran orqasida ko'rinmasligi kerak. Avtomatlashtirish bo'limi. Tarmoqlararo ekran shunday sozlanishi kerakki, sukut bo'yicha ruxsat berilmagan barcha xizmatlar rad etilishi kerak. Internetga kirish yoki noto'g'ri foydalanish urinishlarini aniqlash uchun uning jurnallarini muntazam tekshirish kerak. Tarmoqqa kirish, diskda bo'sh joy yo'qligi va boshqalar kabi darhol e'tibor berishni talab qiladigan vaziyat yuzaga kelganda, tarmoqlararo ekran tizim ma'murini deyarli darhol xabardor qilishi kerak. Tarmoqlararo ekran maxsus kompyuterda ishlashi kerak - kompilyatorlar, muharrirlar, aloqa dasturlari va boshqalar kabi tarmoqlararo ekran bo'lmagan barcha dasturlarni olib tashlash yoki ularga kirishni bloklash kerak. Risk yuqori bo’lganda. Foydalanuvchi. Tashkilot tizimlaridan shaxsiy maqsadlarda Internetdan foydalanish taqiqlanadi. Internetga barcha kirishlar qayd etilgan bo’ladi. Ushbu qoidani buzgan xodimlar jazolanadi. Sizning brauzeringiz shunday tuzilgan bo’lishi kerakki, ba'zi saytlarga kirish taqiqlanadi. Ushbu saytlarga kirishga bo'lgan barcha urinishlar rahbariyatga xabar qilinadi. Bo'lim boshlig'i. Tashkilot tizimlaridan shaxsiy maqsadlarda Internetdan foydalanish taqiqlanadi. Internetga barcha kirishlar qayd etilgan bo’ladi. Ushbu qoidani buzgan xodimlar jazolanadi. Avtomatlashtirish bo'limi. Barcha Internetga kirishlar ro'yxatga olinishi kerak. Amaliy qism. Yakuniy foydalanuvchilar butun vaqtlarini u yoki bu dasturiy ta'minot bilan ishlaydigan kompyuterlarda o'tkazishlari aniq. Bizning davrimizda deyarli har bir mahsulot ma'lum darajada mahalliy yoki global tarmoqlar bilan bog'langan va trafik bilan ishlaydi. Ko'pgina xavfsizlikka e'tibor beradigan kompaniyalarning standart amaliyoti TCP va UDP portlarini tinglashdan barcha ruxsatsiz trafikni blokirovka qilish hizmatini taqdim etadi. 9 Mijoz operatsion tizimlari va kiruvchi trafikni qabul qiladigan ilovalarda, foydalanuvchilarga sukut bo'yicha ma'lum bir so'rov bloklanganligi va foydalanuvchi ba'zi choralar ko'rishi kerakligi to'g'risida xabar beradigan dialog oynasi ko'rsatiladi, server operatsion tizimlarida esa bunday dialog chiqmaydi. Shuning uchun, agar foydalanuvchilar trafikni qabul qilishi kerak bo'lgan muayyan dastur bilan ishlasa, Windows brendmauyerida buning uchun alohida qoida yaratilishi kerak. Dastur uchun qoidalar dasturiy ta'minot ishlab chiquvchilari dasturiy mahsulotni o'rnatishda mustaqil ravishda ishlab chiqaradigan qoidalar bilan deyarli bir xil bo’ladi. Ushbu turdagi qoida, foydalanilgan port raqamlaridan qat'i nazar, ma'lum bir bajariladigan fayl uchun ulanishga ruxsat beruvchi yoki bloklaydigan alohida qoida yaratish uchun ishlatiladi. Ya'ni, uni yaratishda siz ma'lum portlar bilan cheklanmaysiz, ularning mavjudligi siz bilmagan bo'lishingiz ham mumkin. Shuning uchun ko'pchilik uchun ushbu turdagi qoida eng foydali va dolzarb bo'lib chiqishi mumkin, chunki har bir foydalanuvchi (va ba'zan ma'mur) ma'lum bir dastur qaysi portlardan foydalanishi haqida aniq tasavvurga ega emas. Ko'pgina hollarda ushbu turdagi qoidadan foydalanish eng yaxshisidir, lekin shuni ta'kidlash kerakki, agar ma'lum bir xizmatda o'zining bajariladigan fayli bo'lmasa, bu tur ishlatilmaydi. Keling, ushbu turdagi qoida qanday yaratilganligini ko'rib chiqaylik. Faqat namuna uchun quyidagi ssenariylarning barchasi testlash maqsadida sohta kompaniya domenlari bilan bog’liq bo’lgan alohida GPO obyekti guruhli siyosatni boshqarish muharririda yaratiladi. Ushbu qurilma bilan bir qatorda, albatta, siz "xavfsizlik rejimida Windows tarmoqlararo ekran" (Windows tarmoqlararo ekrankengaytirilgan xavfsizlik bilan) qo'shimchasini ham ishlatishingiz mumkin, buning uchun faqat wf.msc faylini ishga tushirish kerak. Shunday qilib, bunday qoidani yaratish uchun quyidagi amallarni bajarish kifoya: 1. Guruh siyosatini boshqarish muharriri jihozida quyidagi ketma ketlikda sozlamalarga o'tish kerak Конфигурация компьютера → Политики → Конфигурация Windows → Параметры безопасности → Межсетевой 10 экран Windows в режиме повышенной безопасности → Межсетевой экран Windows в режиме повышенной безопасности Правила для входящих подключений (Computer Configuration → Policies → Windows Setting → Security Settings → Windows Tarmoqlararo ekran with Advanced Security → Windows Tarmoqlararo ekran with Advanced Security Inbound Rules); 2. Tafsilotlar maydonida kontekst menyusini oching va u yerdan 1.1- rasmda ko'rsatilganidek, «Создать правило» (New Rule) buyrug'ini tanlang: 1.1-rasm. Kiruvchi ulanishlar uchun qoida yaratish 3. Yangi kiruvchi ulanish uchun qoida yaratish bo'yicha ko'rsatilgan masterning birinchi sahifasi «Тип правила» (Rule Type) da - sizga yaratiladigan qoida turini tanlash imkoniyati beriladi. Dastlab dastur uchun qoida yaratish rejalashtirilganligi sababli, siz hech qanday amallarni bajarishingiz shart emas, shunchaki «Для программы» (Program) opsiyasidagi parametrni qoldiring va 1.2-rasmda ko'rsatilganidek, «Далее» (Next) tugmasini bosing. 11 1.2-rasm. Kiruvchi ulanishlar uchun yaratiladigan qoida turini tanlash 1.3-rasm. O'rnatilgan dasturiy mahsulotga havola qo'shish 12 4. «Программа» (Program) sahifasiga kirganingizdan so'ng, qoidaga o'zi yaratilayotgan bajariluvchi faylning yo’lini ko'rsatishingiz kerak. Misol uchun, bu holatda biz «Skype» dasturi uchun barcha kiruvchi ulanishlarni ta’qiqlaymiz, ya'ni Путь программы» (This program path) matn maydonida «C:Program Files (x86)SkypePhoneSkype.exe» ko'rsatiladi. Masterning ushbu sahifasi 1.3- rasmda ko'rsatilgan. 5. Endi masterning «Действие» (Action) deb nomlangan keyingi sahifasida siz yaratgan qoida uchun kerakli harakatni ko'rsatishingiz kerak. Ushbu sahifada Windows tarmoqlararo ekranuchun uchta asosiy harakatni topishingiz mumkin: Разрешить подключение (Allow the Connection). Ushbu amalni tanlaganingizda, siz masterning barcha oldingi sahifalarida ko'rsatilgan mezonlarga mos keladigan barcha ulanishlarga ruxsat berasiz; Разрешить безопасное подключение (Allow the connection if it is secure). Windows tarmoqlararo ekran qoidasi uchun ushbu qiymat sizning oldingizda ko'rsatilgan mezonlarga javob beradigan va IPSec protokoli bilan himoyalangan bo'lsa, ulanishga ruxsat berish imkonini beradi; Блокировать подключение (Block the connection). Bunday holda, Kengaytirilgan xavfsizlik rejimida Windows tarmoqlararo ekran siz ilgari ko'rsatgan mezonlarga mos keladigan ulanish urinishlarini to'xtatadi. Garchi dastlab barcha ulanishlar tarmoqlararo ekrantomonidan bloklangan bo'lsa-da, bu qiymat ma'lum bir dastur uchun ulanishlarni bloklashingiz kerak bo'lsa foydali bo'ladi. Ushbu misolda, natijani darhol sezish uchun, ko'rsatilgan dastur uchun kiruvchi trafik rad etiladi, ya'ni parametr oxirgi variantga o'rnatilishi kerak, ya'ni «Блокировать подключение» (Block the Connection). 6. «Профиль» (Profile) sahifasida hozirgi holatda bizni qiziqtiradigan profil tanlanadi. Ushbu misolda «Доменный» (Domain) profili tanlanadi; 7. Ushbu masterning «Имя» (Name) deb nomlangan oxirgi sahifasida siz faqat yaratilgan qoida uchun nom ko'rsatishingiz kerak. Agar kerak bo'lsa, tegishli 13 maydonga qoidangizning batafsil tavsifini qo'shsangiz, bu juda foydali bo'ladi. Qoidaning o'zi «Skype x86 on 64 OS» deb nomlanadi. Masterning barcha sahifalari uchun variantlarni tanlashni tugatgandan so'ng, «Готово» (Finish) tugmasini bosing; 8. Endi bir xil xatti-harakatlarni takrorlash kerak, ammo Windows tarmoqlararo ekran chiqish qoidalari uchun. Endi olingan natijalarni tekshirish qoldi. Qo'shimcha testlash uchun sniffer bebaho yordam berishi mumkin. Ya'ni, siz sinov ostidagi dasturni ochib, ma'lumotlarni olishga harakat qilishingiz kerak. Natijada, 1.4-rasmda ko'rib turganingizdek, dastur tarmoqqa ulana olmadi va bunday qoidalar faollashtirilgandan so'ng, trafik uzatilishi to'xtatildi. 1.4 -rasm. Windows tarmoqlararo ekrani qoidasini qo'llash natijasi Port uchun huquqlar. Ilovalar hamma narsani cheklashi mumkin emas. Agar sizning foydalanuvchilaringiz ma'lum bir portda trafikni qabul qiluvchi bir nechta turli ilovalardan foydalanishlari mumkin bo'lsa, siz har bir ilova uchun qoida yaratib ovvora bo’lmasdan, shunchaki foydalanuvchi trafigini ma'lum TCP yoki UDP portlariga cheklab qo'ying va faqat haqiqatda korporativ ilovalaringiz 14 tomonidan talab qilinadigan portlardan foydalaning. Bu usul ma'lum darajada sizni tashqaridan ma'lum miqdordagi hujumlardan qutqaradi. Bu safar biz TCP 110 portini blokirovka qilish misolini ko'rsatamiz, ma’lumki, pochta xabarlarini qabul qilish uchun Post Office Protocol v3, POP3 protokoli javobgar. Buning uchun quyidagi harakatlar amalga oshiriladi: 1. Guruh siyosatini boshqarish muharriri oldingi misolda bo'lgani kabi sahifaga kiriladi va ma'lumot maydonining kontekst menyusidan yuqorida ko'rsatilganidek, «Создать правило» (New Rule) tanlanadi; 2. Bu safar «Тип правила» (Rule Type) sahifasida siz «Для порта» (Port) parametri tanlashingiz va keyingi sahifaga o'tishingiz kerak; 3. 1.5-rasmda ko'rinib turganidek, avvalgi bosqichda ko'rsatilgan variantni tanlagandan so'ng, siz birinchi nazorat elementida kerak bo'lgan Протокол и порты» (Protocols and Ports) o'tasiz, u yerda «Укажите протокол, к которому будет применяться это правило» (Does the rule apply to TCP or UDP) deb nomlangan boshqaruv oynasidan protokol turini tanlang (UDP yoki TCP), masalan, «Протокол TCP» (TCP) va portlarni aniqlash uchun mas'ul bo'lgan parametrlar guruhida parametrni «Определенные локальные порты» (Specific local ports) ga o’rnating va tegishli matn maydonida port raqamini 110 qilib ko’rsating. 4. Qoida uchun harakatni aniqlash sahifasida siz oldingi misoldagi kabi parametrni «Блокировать подключение» (Block the Connection) opsiyasiga o'rnatishingiz va keyingi sahifasiga o'tishingiz kerak; 5. «Профиль» (Profile) sahifasida kerakli profil ham tanlanadi, masalan, domen profili. Keyin davom etishingiz mumkin; 6. Oxirgi sahifa, «Имя» (Name) sahifasi, unda yaratilgan qoida nomini belgilash qoladi, masalan, «Blocking 110 Port» deb nomalanadi va yangi qoida saqlanadi; 7. Avvalgi misolda bo'lgani kabi, bir xil chiqish qoidasi yaratiladi 15 1.5-rasm. Bloklanadigan portlarni aniqlash Belgilangan qoidalarning ishlashini tekshirish uchun biz pochta mijozini ishga tushiramiz va yangi xatlarni qabul qilishga urinib ko’ramiz. 1.6-rasmda ko'rishingiz mumkinki, POP3-dan foydalanib pochtani olishga urinayotganda quyidagi xatolik yuz beradi: 1.6-rasm. Yangi xabarlarni qabul qilishga urinish 16 Oldindan belgilangan qoidalar. Windows operatsion tizimini ishlab chiquvchilar tabiiy ravishda turli funktsional imkoniyatlarni amalga oshirish uchun korporativ muhitda tizim ma'murlari tomonidan talab qilinishi mumkin bo'lgan turli xil stsenariylardan xabardor bo’ladilar. Aynan shuning uchun Kengaytirilgan xavfsizlik bilan Windows tarmoqlararo ekran, masalan, Windows Media Playerni tarmoq yoki Internet orqali kirish, Windows boshqaruv uskunalari bilan masofadan ishlash, tarmoqlararo ekranni, voqealar jurnalini, xizmatlarni, rejalashtirilgan vazifalarni yoki butun operatsion tizimni masofadan boshqarish uchun mo’ljallangan BranchCache kabi funksiyalarning to'liq ishlashi uchun istalgan vaqtda yoqilishi mumkin bo'lgan bir qator oldindan belgilangan qoidalarni o'z ichiga oladi. Microsoft korporatsiyasi tomonidan bularning barchasi siz uchun allaqachon o'ylab topilgan va u yoki bu funksiya imkoniyatni yoqish uchun faqat bir necha tugmani bosish kerak holos. "Результирующая групповая политика" deb nomlangan guruh siyosatining funktsionalligi bilan bog'liq bunday nosozliklarni bartaraf etish vositasi Windows Management instrumentation Service, ya'ni WMI mijoz kompyuterida ishga tushirilishini va ishlashini talab qiladi. Bundan tashqari, Windows tarmoqlararo ekran kiruvchi qoidalarida WMI vositasidan foydalanish imkoniyati yoqilsa yaxshi natijaga erishish mumkin. Quyida qanday qilib bunday qoidani tezda yaratishingiz mumkinligini ko’rib chiqamiz. 1. Yana bir bor Guruh siyosatini boshqarish muharririning allaqachon ochilgan zarur tugunida, tafsilotlar panelining kontekst menyusidan kuchaytirilgan xavfsizlik rejimida Windows tarmoqlararo ekranning kiruvchi ulanishlari uchun yangi qoida yaratish uchun mas'ul bo'lgan buyruqni chaqirish kerak; 2. Qoida turini tanlash sahifasida, bu holda siz «Предопределенные» (Predefined) variantida to'xtashingiz kerak, bu yerda ochiladigan ro'yxatdan kerakli qoida turini tanlashingiz mumkin. Misol uchun, ushbu misolda ko'rib turganingizdek, «Инструментарий управления Windows (WMI)» (Windows Management Instrumentation (WMI)) qoidasini tanlashingiz kerak. 17 Aytgancha, bunday oldindan belgilangan qoidalarning 40 dan ortiq turi mavjudligini sezmaslik mumkin emas (1.7-rasmga qarang). Kerakli oldindan belgilangan qoidani tanlagandan so'ng, siz «Далее» (Next) tugmasini bosishingiz mumkin; 3. Yangi «Предопред. правила» (Predefined Rules) sahifasida siz tanlagan amalni amalga oshirish uchun Windows operatsion tizimi zarur deb hisoblagan qoidalarni tanlashingiz mumkin. Misol uchun, 1.8-rasmda ko'rib turganingizdek, Windows boshqaruv uskunalariga istisnolar qo'shish uchun siz asinxron kiruvchi trafik, shuningdek kiruvchi WMI va DCOM trafiki uchun qoidalar yaratishingiz kerak. Yaratilayotgan qoidalardagi katakchalarni belgilab, masterning keyingi sahifasiga o'tishingiz mumkin. 1.7-rasm. Windows tarmoqlararo ekranining oldindan belgilangan qoidalarini tanlash 18 1.8-rasm. Yaratilayotgan qoidalarni ishga tushirish 4. Oldindan belgilangan qoidalar holatida kiruvchi ulanish qoidalarini yaratish uchun masterning oxirgi sahifasida siz yaratiladigan qoidalar nomini emas (axir u masterning oldingi sahifasida aniqlangan edi), balki yaratiladigan barcha qoidalar uchun kerakli harakatni tanlashingiz kerak. Bunday holda siz trafikning o'tishiga ruxsat berishingiz kerak bo'lganligi sababli, "«Разрешить подключение» (Allow the Connection) harakati tanlanadi va shundan so'ng qoidalarning o'zi yaratiladi. 1.9-rasm. WMI uchun qoida yaratish 19 1.9-rasmda ko'rib turganingizdek, Guruh siyosati sozlamalari yangilangandan so'ng, bunday qoidalar muvaffaqiyatli yaratiladi va ular «Межсетевой экран Windows в режиме повышенной безопасности» qo'shimcha oynasida paydo bo'ladi. Windows tarmoqlararo ekranining moslashtirilgan qoidalari. Yuqorida tavsiflangan uchta misolga qo'shimcha ravishda, Windows tarmoqlararo ekrani qoidalarining keng tarqalgan bir nechta qo'shimcha turlari mavjud, ular orasida: Muayyan tizim xizmati uchun qoida yaratish; Uchinchi tomon protokoli uchun qoida yaratish; Qoidalarni faqat tanlangan IP manzillarga qo'llash. Tizim xizmati uchun qoida yaratish. Quyidagi bosqichma-bosqich ko'rsatmalarda siz Telnet xizmati uchun kiruvchi ulanishlarni qanday rad etishni bilib olasiz. Buning uchun quyidagi amallar bajariladi: 1. Guruh siyosatini boshqarish muharririning tegishli tugunidan yangi kiruvchi ulanish qoidalarini yaratish masteri chaqiriladi; 2. Masterning birinchi sahifasida «Настраиваемые» (Custom) qoida turi tanlanadi, shundan so‘ng siz masterning keyingi sahifasiga o‘tishingiz mumkin. 3. E’tibor bering, bu holda «Программа» (Program) sahifasi yuqoridagi birinchi misoldagi bir xil nomdagi sahifadan biroz farq qiladi, chunki bu yerda, kompyuterda o'rnatilgan barcha dasturlarga bo’lgan yo’lni ko’rsatishdan tashqari, qoida qo’llaniladigan tizim xizmatini tanlash imkoniga ega bo’lasiz. Telnet uchun mas'ul bo'lgan asosiy dastur tlntsvr.exe ekanligi ma'lum bo'lganligi sababli, belgi «Путь программы» (This program path) opsiyasiga o'rnatiladi va matn maydoniga "%systemroot%system32tlntsvr.exe" kiritiladi. Ta’kidlash zarurki, ushbu dastur nafaqat telnet xizmati bilan ishlashi mumkin, shuning uchun bu holda qoida doirasini cheklash uchun xizmatlarni tanlashning mahsus tugmasi, ya’ni «Службы» (Services) bo'limidagi «Настроить» (Customize) tugmasini ishlatishingiz kerak bo'ladi. 20 1.10-rasmda ko'rib turganingizdek, ushbu tugmani bosish orqali oldingizda yangi dialog oynasi paydo bo'ladi, uning yordamida siz bir vaqtning o'zida barcha mumkin bo'lgan dastur va xizmatlarni tanlashingiz, faqat xizmatlarni tanlashingiz, ma'lum bir xizmatni ko'rsatishingiz yoki siz ko'rsatgan mezonlar asosida bir nechta xizmatlarni tanlashingiz mumkin. Guruh siyosatining boshqa tarkibiy qismlarida bo'lgani kabi, ushbu ro'yxat faqat guruh siyosati ob'ekti yaratiladigan va kompyuterda o'rnatilgan xizmatlarni tanlash imkonini beradi. Ushbu nuqta GPO ob'ektlarini rejalashtirish va amalga oshirishda juda muhim bo'lishi mumkin. Ushbu misolda belgini «Применять к службе» (Apply to this service)ga o’rnatamiz va Telnet xizmatini tanlaymiz; 1.10-rasm. Telnet xizmatini tanlash 4. «Протокол и порты» (Protocols and Ports) sahifasi, aslida, o'zgarishsiz qolishi mumkin. Ya'ni, protokol turi sifatida har qanday protokol qolishi mumkin, bu esa mahalliy va masofaviy portlarni o'rnatish imkoniyati yo'qligini bildiradi. 5. Masterning navbatdagi sahifasi - butunlay yangi sahifa «Область» (Scope) - bu bosqichda uni o'zgartirish mumkin emas, chunki biz bu haqda biroz keyinroq batafsilroq gaplashamiz. Hozircha to'g'ridan-to'g'ri keyingi sahifaga o'tamiz; 6. Oldingi misollardan tanish bo'lgan «Действие» (Action) sahifasida kerakli harakat tanlanadi. Ushbu misolda vazifa kiruvchi Telnet ulanishlarini 21 blokirovka qilish bilan bog'liq bo'lganligi sababli, bu erda belgini «Блокировать подключение» (Block the connection) opsiyasiga o'rnatiladi; 7. Masterning keyingi sahifasi «Профиль» (Profile) sahifasi bo'lib, unda qoida qo'llaniladigan profillarni tanlash odat holdir. Ushbu misolda barcha uchta Profil uchun bayroqlar o'rnatiladi, undan so'ng masterning so'nggi sahifasiga o'tishingiz mumkin; 8. «Имя» (Name) sahifasida siz faqat yaratilgan qoida nomini, masalan, «Telnet deny» deb ko'rsatishingiz va yangi Windows tarmoqlararo ekrani qoidasi uchun barcha o'zgarishlarni saqlashingiz kerak. Endi ushbu qoidaning ishlayotganligini tekshirish vaqti keldi. Buning uchun buyruq satri oynasini oching va telnet 1.11-rasmda ko'rib turganingizdek, biz dir kabi oddiy buyruqlarni kiritishga, ya'ni katalogni ko'rib chiqishga ham erisholmadik. Telnet-serveriga ulanishga urinayotganda, Windows PowerShell buyruqlar qobig'i 23-port yordamida serverga ulanishning iloji yo'qligini ko'rsatuvchi xatolik yuz berdi. 1.11-rasm. Telnet-serveriga ulanishdagi xatolik Uchinchi tomon protokoli uchun qoidalar yaratish. Tizim xizmatlari uchun qoidalar yaratishdan tashqari, muayyan protokollar va portlar uchun qoidalar ham yaratishingiz mumkin. Yuqoridagi namoyishlardan birida ko’rsatilganidek, port uchun qoidalar yaratish yordamida sizga bir yoki bir nechta TCP / UDP portlarini tanlash imkoniyati beriladi. Biroq, ICMP, IGMI yoki L2TP kabi har qanday begona protokol uchun kiruvchi trafikka nisbatan yangi qoida yaratishingiz kerak bo'lsa nima qilish mumkin? Avvalgi misolda bo'lgani kabi, bunday vazifani hal qilish uchun siz Windows tarmoqlararo ekranining maxsus qoidalarini yaratish imkoniyatidan foydalanishingiz kerak. Quyidagi misolda qanday qilib barcha ICMP-v4 trafigini bloklashingiz mumkinligini ko'rib chiqamiz. Shunday qilib: 22 1. Guruh siyosatini boshqarish muharririda tafsilotlar panelining kontekst menyusidan yangi kirish qoidasini yaratish variantini tanlang; 2. Masterning birinchi sahifasida, yuqorida aytib o'tilganidek, belgini «Настраиваемые» (Custom) variantiga o'rnatishingiz va masterning ikkinchi sahifasiga o'tishingiz kerak; 3. Bu yerda, «Программа» (Program) sahifasida, yuqorida qo'yilgan vazifa shartlariga ko'ra, ICMP-v4 protokoli uchun barcha kiruvchi trafik bloklanishi kerakligi sababli, belgini «Все программы» (All Programs) opsiyasiga o’rnatishimiz va «Далее» (Next) tugmasini bosish kerak; 4. «Порты» (Ports) sahifasiga o'tganingizdan so'ng, «Тип протокола» (Protocol Type) birinchi ochiladigan ro'yxatidan kerakli protokol turini tanlashingiz mumkin. E'tibor bering, Microsoft eng keng tarqalgan transport sathi protokollarini qo'shish orqali ko'plab ma'murlarning hayotini sezilarli darajada soddalashtirishga harakat qilgan. Ularga quyidagilarni kiritish mumkin: IPv6 Hop-by-Hop opsiyasi, HOPOPT nomi bilan ham tanilgan, 0 raqami ostida ro‘yxatdan o‘tgan; Xato xabarlarini yuborish uchun foydalaniladigan 1-raqam ostidagi Internet Control Message Protocol (ICMP-v4) boshqaruv xabari protokoli, aslida aynan shu holat bizni qiziqtiradi; Internet Group Management Protocol – IGMP (2-raqam) guruh ma'lumotlarini uzatishni boshqarish protokoli; TCP uzatishlarini boshqaruv protokoli (6-raqam); UDP protokoli (foydalanuvchilarning maxsus daytagram protokoli, 17-raqam); IPv6 inkapsulyatsiya protokoli – 41 raqam; IPv6-Route deb nomlangan va 43 raqami ostida belgilanadigan IPv6 uchun Routing Header protokoli; Navbatdagi protokol – Fragment Header for IPv6 — IPv6-Frag, 44 raqam; Tarmoq paketlarini tunnellash protokoli, Generic Routing Encapsulation, GRE, 47-raqam; 23 IPv6 uchun boshqaruv xabarlari protokoli, IPv6-ICMP, 58-raqam; 59-raqamli protokol – No Next Header for IPv6, IPv6-NoNxt; IPv6-Opts protokoli (Destination Options for IPv6), 60-raqam; marshrutizatorlar guruhini bitta virtual routerga birlashtirish va ularga 112 raqami bilan umumiy IP-manzilni (VRRP) belgilash protokoli; Pragmatic General Multicast (PGM) ma’lumotlarni ishonchli ko’pmanzilli uzatish tarmoq protokoli, 113-raqam; Shuningdek, ushbu ro'yxatda taqdim etilgan oxirgi protocol Layer Two tuning Protocol Version 3 (L2TP) tunnellash protokoli bo’lib, u virtual xususiy tarmoqlarni qo'llab-quvvatlash uchun ishlatiladi, 115-raqam. Mahalliy va masofaviy portlarni ko’rsatilgan ro'yxatdan faqat TCP yoki UDP protokoli tanlangan bo'lsangizgina belgilashingiz mumkin. Tabiiyki, barcha mavjud protokollar ushbu ochiladigan ro'yxatda taqdim etilmaydi (ularning 140 dan ortiq turlari mavjud) va agar siz biron bir noyob protokolni belgilashingiz kerak bo'lsa, siz har doim ushbu ro'yxatdan «Настроить» (Custom) opsiyasini tanlashingiz va kerakli protokolning tegishli matn maydoni raqami (nomi emas, balki raqami)ni ko'rsatishingiz zarur. Misol uchun, agar siz RDP protokolini tarmoqlararo ekran qoidasida ko'rsatishingiz kerak bo'lsa, siz shunchaki 27 raqamini kiritasiz. 1.Ushbu misolda, ushbu ro'yxatdan ICMP-v4 protokolini tanlang va agar sizga ushbu protokol uchun qo'shimcha sozlamalar kerak bo'lsa, dialog oynasining pastki qismidagi «Настройка» (Customize) tugmasini bosing. Ko'rsatilgan dialog oynasida, 1.12-rasmda ko'rsatilganidek, qoidangizga qo'llash uchun maxsus ICMP turlarini tanlashingiz mumkin. Bizning misolimizda barcha turlardan foydalaniladi, shuning uchun joriy muloqot oynasiga o'zgartirish kiritish shart emas. Masterning ushbu sahifasida barcha o'zgarishlar amalga oshirilgandan so'ng, siz «Далее» (Next) tugmasini bosishingiz mumkin; 2. «Область» (Scope) sahifasi yana bir bor o‘tkazib yuboriladi va «Действие» (Action) sahifasida vazifaga muvofiq, trafikni blokirovka qilish varianti tanlanadi; 24 1.12- rasm. Protokollar va portlar uchun maxsus qoidalar sahifasi va ICMP sozlamalari dialog oynasi 3. Oxirgi ikki «Профиль»(Profile) va «Имя» (Name) sahifalarida profillar, shuningdek, yaratilgan qoidaning nomi ko'rsatiladi, aytaylik: «Block ICMP-v4». Shundan so'ng, «Готово» (Finish) tugmasini bosish orqali keyingi qoida yaratiladi. Ushbu qoida to'g'ri ishlayotganini tekshirish qoldi. Buni amalga oshirish uchun buyruq satri oynasini oching va ba'zi manzillarni "ping" qilishga harakat qiling. 1.13-rasmda ko'rib turganingizdek, buni qiib bo’lmadi, bu qoida xatosiz qo'llanilganligini anglatadi. 1.13-rasm. Windows tarmoqlararo ekranining qo’llanilgan qoidasini testlash 25 Qoidalarni faqat tanlangan IP-manzillar uchun qo'llash. Windows tarmoqlararo ekrani qoidalarining oxirgi turi shunday qoidani qo'llash sohasi bilan bog'liq. Boshqacha qilib aytganda, agar siz Windows tarmoqlararo ekrani qoidalarining bir qismini faqat alohida kompyuter guruhiga qo’llashingiz kerak bo'lsa, buning uchun bir nechta guruh siyosati ob'ektlarini yaratishingiz va ularni turli bo'linmalar bilan bog'lashingiz yoki har bir bunday ob'ekt uchun o'z ko'lamini ko'rsatishingiz shart emas. Siz shunchaki bitta GPO ob'ektida qoidalar to'plamini yaratishingiz va ularning o'z qo’llanish doirasini ko'rsatishingiz mumkin. Quyidagi misol mahalliy manzillari 10.1.1.112 - 10.1.1.130 oralig'ida bo'lgan kompyuterlar uchun RDP portini bloklaydigan qoida yaratilgan vaziyatni ko'rsatadi. Bunday qoida yaratish uchun quyidagilarni bajarish zarur: 1. GPME muharririning «Правила для исходящих подключений» (Outbound Rules) tugunida bo'lgan holda, yangi kiruvchi ulanish uchun qoida yaratish masterini oching; 2. Ushbu bo'limdagi oldingi ikkita tasvirlangan holatda bo'lgani kabi, sehrgarning birinchi sahifasida «Настраиваемые» (Custom) opsiyasi tanlanadi, undan so'ng «Далее» (Next) tugmasini bosishingiz mumkin; 3. Foydalanuvchilar 3389-portdagi masofaviy ish stoliga ulanish uchun tez- tez «Подключение к удаленному рабочему столу» dasturidan foydalanganligi sababli, «Программа» (Program) sahifasida «Путь программы» (This program path) parametriga belgi o'rnatish va tegishli matn maydonida «C:WindowsSystem32mstsc.exe»ni qo’shtirnoqsiz kiritish, keyin «Далее» (Next) tugmasini bosish tavsiya etiladi; 4. «Протокол и порты» (Protocols and Ports) sahifasida «Тип протокола» (Protocol type)da ochiladigan ro'yxatdan TCP protokolini tanlang va «Локальный порт» (Local port) ro'yxatida «Все порты» (Specific Ports) opsiyasini tanlang; 5. Keyingi sahifa – Область» (Scope) sahifasi – hozir bizni ko‘proq qiziqtirmoqda. Yuqorida aytib o'tilganidek, masterning ushbu sahifasida siz 26 mahalliy va masofaviy kompyuterlar uchun IP-manzillarni belgilashingiz mumkin, ularga ushbu qoidada o'rnatilgan cheklovlar qo’llaniladi. 6. Bu yerda, 1.14-rasmda ko'rsatilganidek, mahalliy va masofaviy IP-larni boshqarish uchun ikkita asosiy bo'lim mavjud. E'tibor bering, agar mahalliy kompyuterning IP-manzili mahalliy manzillar ro'yxatida paydo bo'lsa, har qanday masofaviy IP-manzildan kiruvchi barcha trafik joriy qoidada belgilangan ruxsatlarni qondiradi. Ushbu sahifada, ham mahalliy, ham masofaviy manzillar bo'lsa, «Любой IP-адрес» (Any IP address) opsiyasini tanlasangiz, qoida mahalliy IP manzil sifatida ko'rsatilgan istalgan manzilga ega tarmoq paketlarini filtrlaydi va mahalliy kompyuter har doim qoidani qondiradi. Agar siz aniq IP manzillarini ko'rsatishingiz kerak bo'lsa, belgini «Указанные IP-адреса» (These IP addresses) opsiyasiga o'rnating va «Добавить» (Add) tugmasini bosganingizda ochiladigan dialog oynasidan foydalanib, ma'lum bir manzilni, manzil oralig'ini yoki qismtarmoqni belgilang. 1.14-rasmda ko'rib turganingizdek, ip-manzillarni qo'shish dialog oynasini chaqirganda, siz birinchi variantda «IP-адрес или подсеть» (This IP address or subnet) yoki alohida IP-manzilni yoki kompaniyaning kompyuterlarining butun qismtarmog'ini belgilashingiz mumkin va «Диапазон IP-адресов» (This IP address range) opsiyasiga tanlanganda esa bunday manzillarning faqat ma'lum bir diapazonini ko’rsatishingiz mumkin. Misol uchun, bu holda, avval o'rnatilgan shartga ko'ra, belgini ikkinchi variantga o'rnatishingiz kerak va tegishli "dan" va "gacha" maydonlariga 10.1.1.112 va 10.1.1.130 manzillarini kiritishingiz kerak. Bundan tashqari, siz yaratgan qoida qo'llaniladigan interfeys turlarini o'rnatish uchun mas'ul bo'lgan «Настроить» (Customize) tugmasini alohida tanlashingiz mumkin. Tanlash uchun lokal, masofaviy yoki simsiz ulanishni o'z ichiga olgan uchta asosiy interfeys turi mavjud. Ko'rib turganingizdek, bu holda, ushbu muloqot oynasidan faqat birinchi va oxirgi pozitsiyalar tanlanadi: 27 1.14-rasm. "Область" sahifasi va IP manzillarini qo'shish uchun dialog oynalari 7. Shundan so'ng, boshqa misollardan ma'lum bo'lgan uchta sahifa sozlanadi, ya’ni harakat (bu holda u ulanishni blokirovka qiladi), qoida qo’llaniladigan profil (masalan, faqat domen profili) tanlanadi va yaratilgan qoida nomi (masalan, bu qoida «Block RDP for mstsc.exe» deb ataladi).exe») kiritladi. Yaratilgan qoida uchun barcha sozlamalar aniqlangandan so'ng, «Готово» (Finish) tugmasini bosish mumkin. Va yana bir bor natijalarni sinab ko'rish kerak. Buni amalga oshirish uchun ko'rsatilgan manzil diapazoniga kiradigan kompyuterni olish, keyin kerakli dasturni ochish va masofadan ish stoliga ulanishga harakat qilish zarur. 1.15- rasmda ko'rinib turganidek, bu holda hamma narsa to'g'ri amalga oshirildi va foydalanuvchi ulanishni taqiqladi: 1.15-rasm. Tarmoqlararo ekran so’nggi qoidasining sinov natijalari 28 Asosan, ushbu turdagi qoidalar kelajakda turli biznes maqsadlari va ehtiyojlariga mos keladigan murakkab korxona qoidalarini yaratish uchun zarur bo'lgan bazani ta'minlaydi. Vazifa: Tarmoqlararo ekran amaliy qismda ko'rsatilgan ketma-ketlikda sozlang va tarmoqlararo ekran siyosatini ishlab chiqish tartibini o'rganing Nazorat savollari: 1. Tarmoqlararo ekran nima? Tarmoqlararo ekranning asosiy funktsiyalarini sanab o'ting. 2. Tarmoqlararo ekran xavfsizlik siyosati qanday shakllantiriladi? 3. Risklar "past", "o'rta" va "yuqori" bo'lgan sharoitlarda qanday sozlamalarni amalga oshirish kerak? 4. Tarmoqlararo ekranning asosiy turlarini ko’rsating. 5. Trafikka nisbatan xavfsizlik devori tomonidan qanday standart hatti- harakatlar amalga oshiriladi? 6. Dasturlar uchun qoida qanday yaratiladi? Yaratilgan qoida uchun qanday profillar tanlanishi mumkin? 7. Paket filtratsiyasi asosidagi va router asosida tarmoqlararo ekranlarning o'xshashligi nimada? 8. Nima uchun xavfsizlik devori qoidalari to'plamidagi qoidalar tartibi muhim rol o'ynaydi? 2-AMALIY ISH ZARARKUNANDA DASTURLARNI ANIQLASH VA ULARDAN HIMOYA QILISH VOSITALARI. Ishning maqsadi: Kompyuter viruslaridan himoyalash vositalari bn ishlash amaliy ko'nikmalariga ega bo'lish va antiviruslar uchun xavfsizlik siyosatini shakllantirish bo'yicha ko'nikmalarni o'zlashtirish Nazariy qism. Antivirus siyosati zararkunanda dastur aniqlanganda yuzaga keladigan harakatlar va ogohlantirishlarning sozlamalarini nazorat qiladi. Zararkunanda Download 153.79 Kb. Do'stlaringiz bilan baham: 
|