Microsoft Word ax kitob янги doc
-расм. Татбиқий шлюз ишлаш схемаси
Download 5.8 Mb.
|
Ахборот хавфсизлиги (word)
- Bu sahifa navigatsiya:
- Тармоқлараро экранлар асосидаги тармоқ ҳимоясининг схемалари
|
7.9-расм. Татбиқий шлюз ишлаш схемаси.
Татбиқий сатҳ шлюзи ишлатадиган воситачилар сеанс сатҳи шлюзла- рининг канал воситачиларидан жиддий фарқланади. Биринчидан, татбиқий сатҳ шлюзлари муайян иловалар (дастурий серверлар) билан боғланган, ик- кинчидан улар OSI моделининг татбиқий сатҳида хабарлар оқимини фильтрлашлари мумкин. Татбиқий сатҳ шлюзлари воситачи сифатида мана шу мақсадлар учун махсус ишлаб чиқилган ТСР/1Рнинг муайян хизматларининг дастурий сер- верлари - HTTP, FTP, SMTP, NNTP ва ҳ. - серверларидан фойдаланади. Бу дастурий серверлар брандмауэрларда резидент режимида ишлайди ва TCP/IPнинг мос хизматларига тааллуқли ҳимоялаш функцияларини амалга оширади. UDP трафигига UDP-пакетлар таркибининг махсус транслятори хизмат кўрсатади. Ички тармоқ ишчи сервери ва ташқи тармоқ компьютери орасида иккита уланиш амалга оширилади: ишчи станциядан брандмауэргача ва брандмауэрдан белгиланган жойгача. Канал воситачиларидан фарқли ҳолда, татбиқий сатҳ шлюзининг воситачилари фақат ўзлари хизмат қилувчи ило- валар генерациялаган пакетларни ўтказади. Масалан, HTTP хизматининг воситачи-дастури фақат шу хизмат генерациялаган трафикни ишлайди. Агар қандайдир иловада ўзининг воситачиси бўлмаса, татбиқий сатҳдаги шлюз бундай иловани ишлай олмайди ва у блокировка қилинади. Масалан, агар татбиқий сатҳдаги шлюз фақат HTTP, FTP ва Telnet восита- чи-дастурларидан фойдаланса, у фақат шу хизматларга тегишли пакетларни ишлайди ва қолган хизматларнинг пакетларини блокировка қилади. Татбиқий сатҳ шлюзи воситачилари, канал воситачиларидан фарқли ҳолда, ишланувчи маълумотлар таркибини текширишни таьминлайди. Улар ўзлари хизмат кўрсатадиган татбиқий сатҳ протоколларидаги командалар- нинг алоҳида хилларини ва хабарлардаги ахборотлани фильтрлашлари мум- кин. Татбиқий сатҳ шлюзини созлашда ва хабарларни фильтрлаш қоидаларини тавсифлашда қуйидаги параметрлардан фойдаланилади: сервис номи, ундан фойдаланишнинг жоиз вақт оралиғи, ушбу сервисга боғлиқ хабар таркибига чегаралашлар, сервис ишлатадиган компьютерлар, фойдала- нувчи идентификатори, аутентификациялаш схемалари ва ҳ. Татбиқий сатҳ шлюзи қуйидаги афзалликларга эга: аксарият воситачилик функцияларини бажара олиши туфайли локал тармоқ ҳимоясининг юқори даражасини таьминлайди; иловалар сатҳида ҳимоялаш кўпгина қўшимча текширишларни амалга оширишга имкон беради, натижада дастурий таъминот камчиликла- рига асосланган муваффақиятли хужумлар ўтказиш эҳтимоллиги камаяди; татбиқий сатҳ шлюзининг ишга лаёқатлиги бузилса, бўлинувчи тармоқлар орасида пакетларнинг тўппа-тўғри ўтиши блокировка қилинади, натижада, рад қилиниши туфайли ҳимояланувчи тармоқнинг хавфсизлиги пасаймайди. Татбиқий сатҳ шлюзининг камчиликларига қуйидагилар киради: нархининг нисбатан юқорилиги; брандмауэрнинг ўзи, ҳамда уни ўрнатиш ва конфигурациялаш муо- лажаси етарлича мураккаб; компьютер платформаси унумдорлигига ва ресурслари ҳажмига қуйиладиган талабларнинг юқорилиги; фойдаланувчилар учун шаффофликнинг йўқлиги ва тармоқлараро алоқа ўрнатилишида ўтказиш қобилиятининг сусайиши. Охирги камчиликка батафсил тухталамиз. Воситачилар сервер ва ми- жоз орасида пакетлар узатилишида оралиқ ролини бажаради. Аввал восита- чи билан уланиш ўрнатилади, сўнгра воситачи адресат билан уланишни яратиш ёки яратмаслик хусусида қарор қабул қилади. Мос ҳолда татбиқий сатҳ шлюзи ишлаши жараёнида ҳар қандай рухсат этилган уланишни қайталайди. Натижада фойдаланувчилар учун шаффофлик йўқолади ва ула- нишга хизмат қилишга қўшимча ҳаражат сарфланади. Эксперт сатҳи шлюзи. Татбиқий сатҳ шлюзининг фойдаланувчилар учун шаффофлигининг йўқлиги ва тармоқлараро алоқа ўрнатилишида ўтказиш қобилиятининг сусайиши каби жиддий камчиликларини бартараф этиш мақсадида пакетларни фильтрлашнинг янги технологияси ишлаб чиқилган. Бу технологияни баьзида уланиш холатини назоратлашли фильтрлаш (stateful inspection) ёки эксперт сатҳидаги фильтрлаш деб юри- тишади. Бундай фильтрлаш пакетлар ҳолатини кўп сатҳли таҳлиллашнинг махсус усуллари (SMLT) асосида амалга оширилади. Ушбу гибрид технология тармоқ сатҳида пакетларни ушлаб қолиш ва ундан уланишни назорат қилишда ишлатилувчи татбиқий сатҳ ахборотини чиқариб олиш орқали уланиш ҳолатини кузатишга имкон беради. Ишлаши асосини ушбу технология ташкил этувчи тармоқлараро экран эксперт сатҳ брандмауэри деб юритилади. Бундай брандмауэрлар ўзида экранловчи маршрутизаторлар ва татбиқий сатҳ шлюзлари элемент - ларини уйғунлаштиради. Улар ҳар бир пакет таркибини берилган хавфсиз- лик сиёсатига мувофиқ баҳолайдилар. Шундай қилиб эксперт сатҳидаги брандмауэрлар қуйидагиларни назо- ратлашга имкон беради: мавжуд қоидалар жадвали асосида ҳар бир узатилувчи пакетни; ҳолатлар жадвали асосида ҳар бир сессияни; ишлаб чиқилган воситачилар асосида ҳар бир иловани. Эксперт сатҳ тармоқлараро экранларининг афзалликлари сифатида уларнинг фойдаланувчилар учун шаффофлигини, ахборот оқимини ишла- шининг юқори тезкорлигини ҳамда улар орқали ўтувчи пакетларнинг IP- адресларини ўзгартирмаслигини кўрсатиш мумкин. Охирги афазаллик. IP- адресдан фойдаланувчи татбиқий сатҳнинг ҳар қандай протоколининг бун- дай брандмауэрлардан ҳеч қандай ўзгаришсиз ёки махсус дастурлашсиз бирга ишлай олишини англатади. Бундай брандмауэрларнинг авторизацияланган мижоз ва ташқи тармоқ компьютери орасида тўғридан-тўғри уланишга йўл қўйиши, ҳимоянинг унчалик юқори бўлмаган даражасини таъминлайди. Шу сабабли амалда эксперт сатҳини фильтрлаш технологиясидан комплекс брандмауэр- лар ишлаши самарадорлигини оширишда фойдаланилади. Эксперт сатҳнинг фильтрлаш технологиясини ишлатувчи комплекс брандмауэрларга мисол тариқасида Fire Wall-1 ва ON Оиагбларни кўрсатиш мумкин. Тармоқлараро экранлар асосидаги тармоқ ҳимоясининг схемалари Тармоқлараро алоқани самарали ҳимоялаш учун брандмауэр тизими тўғри ўрнатилиши ва конфигурацияланиши лозим. Ушбу жараён қуйидагиларни ўз ичига олади: тармоқлараро алоқа сиёсатини шакллантириш; брандмауэрни улаш схемасини танлаш ва параметрларини созлаш. Download 5.8 Mb. Do'stlaringiz bilan baham: 
|