Muhammad al-xorazmiy nomidagi toshkent axborot texnologiyalari universiteti farg’ona
Arxitektura xavfsizligi jihatlari
Download 65.35 Kb.
|
691-21 Guruh Xurshid Otajonov Mustaqil ish
|
Arxitektura xavfsizligi jihatlari
Universal operatsion tizimlar yordamida tarmoq muhitiga xos bo'lgan tahdidlarga qarshi kurashish mumkin emas. Umumiy OS - bu katta dastur, ehtimol, aniq xatolardan tashqari, noqonuniy ravishda imtiyozlar olish uchun ishlatilishi mumkin bo'lgan ba'zi xususiyatlarni o'z ichiga oladi. Zamonaviy dasturlash texnologiyasi bunday katta dasturlarni xavfsiz qilishga imkon bermaydi. Bundan tashqari, murakkab tizim bilan shug'ullanadigan ma'mur har doim ham kiritilgan o'zgarishlarning barcha oqibatlarini hisobga olmaydi. Va nihoyat, ko'p foydalanuvchilardan iborat universal tizimda xavfsizlik teshiklari foydalanuvchilar tomonidan doimiy ravishda yaratiladi (zaif va / yoki kamdan-kam hollarda o'zgartirilgan parollar, noto'g'ri o'rnatilgan kirish huquqlari, qarovsiz terminal va boshqalar). Yagona istiqbolli usul, soddaligi tufayli rasmiy yoki norasmiy tekshirishga ruxsat beruvchi maxsus xavfsizlik xizmatlarini ishlab chiqish bilan bog'liq. Xavfsizlik devori - bu turli xil tarmoq protokollariga xizmat ko'rsatish bilan bog'liq bo'lgan keyingi parchalanish imkonini beradigan vosita. Xavfsizlik devori himoyalangan (ichki) tarmoq va tashqi muhit (tashqi tarmoqlar yoki korporativ tarmoqning boshqa segmentlari) o'rtasida joylashgan. Birinchi holda, ular tashqi ME haqida gapirishadi, ikkinchisida - ichki. Sizning nuqtai nazaringizga qarab, tashqi xavfsizlik devori birinchi yoki oxirgi (lekin yagona) himoya chizig'i deb hisoblanishi mumkin. Birinchisi, siz dunyoga tashqi hujumchi nigohi bilan qarasangiz. Ikkinchisi - agar biz korporativ tarmoqning barcha komponentlarini himoya qilishga intilsak va ichki foydalanuvchilarning noqonuniy xatti -harakatlarini oldini olsak. Xavfsizlik devori - bu faol auditni o'rnatish uchun ideal joy. Bir tomondan, ham birinchi, ham oxirgi mudofaa chizig'ida shubhali harakatlarni aniqlash o'ziga xos tarzda muhimdir. Boshqa tomondan, ME tashqi muhit bilan aloqani uzishgacha shubhali harakatlarga o'zboshimchalik bilan kuchli reaktsiyani amalga oshirishga qodir. Ammo shuni bilishingiz kerakki, ikkita xavfsizlik xizmatini ulash, asosan, mavjudlik hujumlari uchun qulay teshikni yaratishi mumkin. Xavfsizlik devoriga korporativ resurslarga kirishga muhtoj bo'lgan tashqi foydalanuvchilarning identifikatsiyasini / autentifikatsiyasini tayinlash maqsadga muvofiqdir (tarmoqqa yagona kirish kontseptsiyasini qo'llab-quvvatlagan holda). Himoyani ajratish tamoyillari tufayli, tashqi aloqalarni himoya qilish uchun odatda ikki qismli ekran ishlatiladi (8-rasmga qarang). Birlamchi filtrlash (masalan, "qora ro'yxat" ga kiruvchi hujumlar bilan xavfli bo'lgan SNMP boshqaruv protokoli paketlarini yoki ma'lum IP -manzillari bo'lgan paketlarni blokirovka qilish) chegara yo'riqchisi tomonidan amalga oshiriladi (keyingi bo'limga ham qarang). demilitarizatsiya zonasi deb ataladi (tashkilotning tashqi axborot xizmatlari qabul qilinadigan o'rtacha xavfsizlikka ega tarmoq)-korporativ tarmoqning ichki qismini himoya qiluvchi asosiy ME. Nazariy jihatdan, xavfsizlik devori (ayniqsa, ichki) ko'p protokoli bo'lishi kerak, lekin amalda TCP / IP protokoli oilasining ustunligi shunchalik kuchliki, boshqa protokollarni qo'llab-quvvatlash xavfsizlik uchun zararli bo'lib tuyuladi. xizmat qanchalik himoyasiz bo'lsa). Umuman olganda, tashqi va ichki xavfsizlik devorlari to'siqqa aylanishi mumkin, chunki tarmoq trafigi tez o'sib bormoqda. Ushbu muammoni hal qilish usullaridan biri MEni bir nechta apparat qismlariga bo'lish va maxsus vositachi serverlarni tashkil qilishni o'z ichiga oladi. Asosiy xavfsizlik devori kiruvchi trafikni turiga qarab tasniflashi va filtrlashni tegishli vositachilarga topshirishi mumkin (masalan, HTTP trafigini tahlil qiluvchi vositachi). Chiquvchi trafikni birinchi navbatda vositachi server qayta ishlaydi, u ham funktsional foydali harakatlarni bajarishi mumkin, masalan, tashqi veb -serverlarning sahifalarini keshlash, bu umuman tarmoqdagi yukni va ayniqsa asosiy ME ni kamaytiradi. Korporativ tarmoq faqat bitta tashqi kanalni o'z ichiga olgan holatlar, qoida emas, balki istisno hisoblanadi. Aksincha, korporativ tarmoq har biri Internetga ulangan bir necha geografik tarqalgan segmentlardan iborat bo'lgan odatiy holatdir. Bunday holda, har bir ulanish o'z ekrani bilan himoyalangan bo'lishi kerak. Aniqroq aytganda, korporativ tashqi xavfsizlik devori birlashtirilgan va barcha komponentlarni izchil boshqarish (boshqarish va audit) muammosini hal qilish zarur deb hisoblashimiz mumkin. Kompozit korporativ ME -larning (yoki ularning tarkibiy qismlarining) qarama -qarshi tomoni - shaxsiy xavfsizlik devorlari va shaxsiy himoya vositalari. Birinchisi, shaxsiy kompyuterlarga o'rnatilgan va faqat ularni himoya qiladigan dasturiy mahsulotlar. Ikkinchisi alohida qurilmalarda amalga oshiriladi va uy ofis tarmog'i kabi kichik lokal tarmoqni himoya qiladi. Xavfsizlik devorlarini o'rnatayotganda, siz avval muhokama qilingan me'moriy xavfsizlik tamoyillariga amal qilishingiz kerak, birinchi navbatda, soddaligi va boshqarilishi, himoyani ajratish, shuningdek, xavfli holatga o'tishning iloji yo'qligi. Bundan tashqari, nafaqat tashqi, balki ichki tahdidlarni ham hisobga olish kerak. Download 65.35 Kb. Do'stlaringiz bilan baham: 
|