77 
Ichki  tarmoq  ishchi  serveri  va  tashqi  tarmoq  komp`yuteri  orasida  ikkita 
ulanish amalga oshiriladi: ishchi stantsiyadan brandmauergacha va brandmauerdan 
belgilangan joygacha. Kanal vositachilaridan farqli xolda, tatbiqiy satx shlyuzining 
vositachilari  faqat  o`zlari  xizmat  qiluvchi  ilovalar  generatsiyalagan  paketlarni 
o`tkazadi.  Masalan,  HTTP  xizmatining  vositachi-dasturi  faqat  shu  xizmat 
generatsiyalagan trafikni ishlaydi. 
Agar  qandaydir  ilovada  o`zining  vositachisi  bo`lmasa,  tatbiqiy  satxdagi 
shlyuz  bunday  ilovani  ishlay  olmaydi  va  u  blokirovka  qilinadi.  Masalan,  agar 
tatbiqiy  satxdagi  shlyuz  faqat  HTTP,  FTP  va  Telnet  vositachi-dasturlaridan 
foydalansa,  u  faqat  shu  xizmatlarga  tegishli  paketlarni  ishlaydi  va  qolgan 
xizmatlarning paketlarini blokirovka qiladi. 
Tatbiqiy  satx  shlyuzi  vositachilari,  kanal  vositachilaridan  farqli  xolda, 
ishlanuvchi  ma`lumotlar  tarkibini  tekshirishni  ta`minlaydi.  Ular  o`zlari  xizmat 
ko`rsatadigan  tatbiqiy  satx  protokollaridagi  komandalarning  aloxida  xillarini  va 
xabarlardagi axborotlani fil`trlashlari mumkin. 
Tatbiqiy  satx  shlyuzini  sozlashda  va  xabarlarni  fil`trlash  qoidalarini 
tavsiflashda  quyidagi  parametrlardan  foydalaniladi:  servis  nomi,  undan 
foydalanishning  joiz  vaqt  oralig`i,  ushbu  servisga  bog`liq  xabar  tarkibiga 
chegaralashlar,  servis  ishlatadigan  komp`yuterlar,  foydalanuvchi  identifikatori, 
autentifikatsiyalash sxemalari va x. 
Tatbiqiy satx shlyuzi quyidagi afzalliklarga ega: 
-  aksariyat  vositachilik  funktsiyalarini  bajara  olishi  tufayli  lokal  tarmoq 
ximoyasining yuqori darajasini ta`minlaydi; 
-  ilovalar  satxida  ximoyalash  ko`pgina  qo`shimcha  tekshirishlarni  amalga 
oshirishga  imkon  beradi,  natijada  dasturiy  ta`minot  kamchiliklariga  asoslangan 
muvaffaqiyatli xujumlar o`tkazish extimolligi kamayadi; 

 
78 
-  tatbiqiy  satx  shlyuzining  ishga  layoqatligi  buzilsa,  bo`linuvchi  tarmoqlar 
orasida  paketlarning  to`ppa-to`g`ri  o`tishi  blokirovka  qilinadi,  natijada,  rad 
qilinishi tufayli ximoyalanuvchi tarmoqning xavfsizligi pasaymaydi. 
Tatbiqiy satx shlyuzining kamchiliklariga quyidagilar kiradi: 
- narxining nisbatan yuqoriligi; 
- brandmauerning o`zi, xamda uni o`rnatish va konfiguratsiyalash muolajasi 
etarlicha murakkab; 
-  komp`yuter  platformasi  unumdorligiga  va  resurslari  xajmiga  quyiladigan 
talablarning yuqoriligi; 
-  foydalanuvchilar  uchun  shaffoflikning  yo`qligi  va  tarmoqlararo  aloqa 
o`rnatilishida o`tkazish qobiliyatining susayishi. 
Oxirgi kamchilikka batafsil tuxtalamiz. Vositachilar server va mijoz orasida 
paketlar uzatilishida oraliq rolini bajaradi. Avval vositachi bilan ulanish o`rnatiladi, 
so`ngra vositachi  adresat  bilan ulanishni  yaratish  yoki  yaratmaslik  xususida qaror 
qabul qiladi. Mos xolda tatbiqiy satx shlyuzi ishlashi jarayonida xar qanday ruxsat 
etilgan ulanishni qaytalaydi. Natijada foydalanuvchilar uchun shaffoflik yo`qoladi 
va ulanishga xizmat qilishga qo`shimcha xarajat sarflanadi. 
Ekspert  satxi  shlyuzi.  Tatbiqiy  satx  shlyuzining  foydalanuvchilar  uchun 
shaffofligining 
yo`qligi 
va 
tarmoqlararo 
aloqa 
o`rnatilishida 
o`tkazish 
qobiliyatining  susayishi  kabi  jiddiy  kamchiliklarini  bartaraf  etish  maqsadida 
paketlarni  fil`trlashning  yangi  texnologiyasi  ishlab  chiqilgan.  Bu  texnologiyani 
ba`zida  ulanish  xolatini  nazoratlashli              fil`trlash  (stateful  inspection)  yoki 
ekspert satxidagi fil`trlash deb yuritishadi. Bunday fil`trlash paketlar xolatini ko`p 
satxli taxlillashning maxsus usullari (SMLT) asosida amalga oshiriladi. 
Ushbu gibrid texnologiya tarmoq satxida paketlarni ushlab qolish va undan 
ulanishni nazorat qilishda ishlatiluvchi tatbiqiy satx axborotini chiqarib olish orqali 
ulanish xolatini kuzatishga imkon beradi. 

 
79 
Ishlashi  asosini  ushbu  texnologiya  tashkil  etuvchi  tarmoqlararo  ekran 
ekspert satx brandmaueri deb yuritiladi. Bunday brandmauerlar o`zida ekranlovchi 
marshrutizatorlar  va  tatbiqiy  satx  shlyuzlari  elementlarini  uyg`unlashtiradi.  Ular 
xar bir paket tarkibini berilgan xavfsizlik siyosatiga muvofiq baxolaydilar.  
Shunday  qilib  ekspert  satxidagi  brandmauerlar  quyidagilarni  nazoratlashga 
imkon beradi: 
- mavjud qoidalar jadvali asosida xar bir uzatiluvchi paketni; 
- xolatlar jadvali asosida xar bir sessiyani; 
- ishlab chiqilgan vositachilar asosida xar bir ilovani. 
Ekspert  satx  tarmoqlararo  ekranlarining  afzalliklari  sifatida  ularning 
foydalanuvchilar  uchun  shaffofligini,  axborot  oqimini  ishlashining  yuqori 
tezkorligini 
xamda 
ular 
orqali 
o`tuvchi 
paketlarning 
IP-adreslarini 
o`zgartirmasligini ko`rsatish mumkin. Oxirgi afazallik. IP-adresdan foydalanuvchi 
tatbiqiy satxning xar qanday protokolining bunday brandmauerlardan xech qanday 
o`zgarishsiz yoki maxsus dasturlashsiz birga ishlay olishini anglatadi. 
Bunday  brandmauerlarning  avtorizatsiyalangan  mijoz  va  tashqi  tarmoq 
komp`yuteri  orasida  to`g`ridan-to`g`ri  ulanishga  yo`l  qo`yishi,  ximoyaning 
unchalik  yuqori  bo`lmagan  darajasini  ta`minlaydi.  Shu  sababli  amalda  ekspert 
satxini 
fil`trlash 
texnologiyasidan 
kompleks 
brandmauerlar 
ishlashi 
samaradorligini 
oshirishda 
foydalaniladi. 
Ekspert 
satxning 
fil`trlash 
texnologiyasini ishlatuvchi kompleks brandmauerlarga misol tariqasida Fire Wall-
1 va ON Guardlarni ko`rsatish mumkin. 
 
 
 
3.3.  Tarmoqlararo ekranlar asosidagi tarmoq ximoyasining sxemalari 

 
80 
 
Tarmoqlararo aloqani samarali ximoyalash uchun brandmauer tizimi to`g`ri 
o`rnatilishi va konfiguratsiyalanishi lozim. Ushbu jarayon quyidagilarni o`z ichiga 
oladi: 
- tarmoqlararo aloqa siyosatini shakllantirish; 
- brandmauerni ulash sxemasini tanlash va parametrlarini sozlash. 
Tarmoqlararo aloqa siyosatini shakllantirish. Tarmoqlararo aloqa 
siyosatini shakllantirishda quyidagilarni aniqlash lozim: 
- tarmoq servislaridan foydalanish siyosati; 
- tarmoqlararo ekran ishlashi siyosati. 
Tarmoq  servislaridan  foydalanish  siyosati  ximoyalanuvchi  komp`yuter 
tarmoqning barcha servislarini taqdim etish, xamda ulardan foydalanish qoidalarini 
belgilaydi.  Ushbu  siyosat  doirasida  tarmoq  ekrani  orqali  taqdim  etiluvchi  barcha 
servislar va xar bir servis uchun mijozlarning joiz adreslari berilishi lozim. Undan 
tashqari, foydalanuvchilar uchun qachon va qaysi foydalanuvchilar qaysi servisdan 
va  qaysi  komp`yuterda  foydalanishlarini  tavsiflovchi  qoidalar  ko`rsatilishi  lozim. 
Foydalanish  usullariga  chegaralashlar  xam  beriladi.  Bu  chegaralashlar 
foydalanuvchilarning  Internetning  man  etilgan  servislaridan  aylanma  yo`l  orqali 
foydalanishlariga 
yo`l 
qo`ymaslik 
uchun 
zarur. 
Foydalanuvchilar 
va 
komp`yuterlarni  autentifikatsiyalash  qoidalari,  xamda  tashkilot  lokal  tarmog`i 
tashqarisidagi foydalanuvchilarning ishlash sharoitlari aloxida belgilanishi lozim. 
Tarmoqlararo 
ekran 
ishlashi 
siyosatida 
tarmoqlararo 
aloqani 
boshqarishning  brandmauer  ishlashi  asosidagi  bazaviy  printsipi  beriladi.  Bunday 
printsiplarning quyidagi ikkitasidan biri tanlanishi mumkin: 
- oshkora ruxsat etilmagani man qilingan; 
- oshkora man etilmaganiga ruxsat berilgan. 

 
81 
"Oshkora  ruxsat  etilmagani  man  qilingan"  printsipi  tanlanganida 
tarmoqlararo ekran shunday sozlanadiki, xarqanday ruxsat etilmagan tarmoqlararo 
aloqalar  blokirovka  qilinadi.  Ushbu  printsip  axborot  xavfsizligining  barcha 
soxalarida  ishlatiluvchi  foydalanishning  mumtoz  modeliga  mos  keladi.  Bunday 
yondashish,  imtiyozlarni  minimallashtirish  printsipini  adekvat  amalga  oshirishga 
imkon berishi sababli, xavfsizlik nuqtai nazaridan yaxshiroq xisoblanadi. Moxiyati 
bo`yicha  "oshkora  ruxsat  etilmagani  man  qilingan"  printsipi  bilmaslik  zarar 
keltirishi  faktini  e`tirof  etishdir.  Ta`kidlash  lozimki,  ushbu  printsipga  asosan 
ta`riflangan  foydalanish  qoidalari  foydalanuvchilarga  ma`lum  noqulayliklar 
tug`dirishi mumkin. 
"Oshkora  man  etilmaganiga  ruxsat  berilgan"  printsipi  tanlanganida 
tarmoqlararo  ekran  shunday  sozlanadiki,  faqat  oshkora  man  etilgan  tarmoqlararo 
aloqalar  blokirovka  qilinadi.  Bu  xolda,  foydalanuvchilar  tomonidan  tarmoq 
servislaridan  foydalanish  qulayligi  oshadi,  ammo  tarmoqlararo  aloqa  xavfsizligi 
pasayadi.  Foydalanuvchilarning  tarmoqlararo  ekranni  chetlab  o`tishlariga  imkon 
tug`iladi,  masalan  ular  siyosat  man  qilmagan  (xatto  siyosatda  ko`rsatilmagan) 
yangi  servislaridan  foydalanishlari  mumkin.  Ushbu  printsip  amalga  oshirilishida 
ichki  tarmoq  xakerlarning  xujumlaridan  kamroq  ximoyalangan  bo`ladi.  Shu 
sababli,  tarmoqlararo  ekranlarni  ishlab  chiqaruvchilari  odatda  ushbu  printsipdan 
foydalanmaydilar. 
Tarmoqlararo  ekran  simmetrik  emas.  Unga  ichki  tarmoqning  tashqi 
tarmoqdan  va  aksincha  foydalanishni  chegaralovchi  qoidalar  aloxida  beriladi. 
Umumiy  xolda,  tarmoqlararo  ekranning  ishi  quyidagi  ikkita  gurux  funktsiyalarni 
dinamik tarzda bajarishga asoslangan: 
- u orqali o`tayotgan axborot oqimini fil`trlash; 
- tarmoqlararo aloqa amalga oshirilishida vositachilik. 

 
82 
Oddiy  tarmoqlararo  ekranlar  bu  funktsiyalarning  birini  bajarishga 
mo`ljallangan.  Kompleks  tarmoqlararo  ekranlar  ximoyalashning  ko`rsatilgan 
funktsiyalarining birgalikda bajarilishini ta`minlaydi. 
Tarmoqlararo ekranlarni ulashning asosiy sxemalari. Korporativ tarmoqni 
global  tarmoqlarga  ulaganda  ximoyalanuvchi  tarmoqning  global  tarmoqdan  va 
global  tarmoqning  ximoyalanuvchi  tarmoqdan  foydalanishini  chegaralash,  xamda 
ulanuvchi  tarmoqdan  global  tarmoqning  masofadan  ruxsatsiz  foydalanishidan 
ximoyalashni  ta`minlash  lozim.  Bunda  tashkilot  o`zining  tarmog`i  va  uning 
komponentlari  xususidagi  axborotni  global  tarmoq  foydalanuvchilaridan 
berkitishga 
manfaatdor. 
Masofadagi 
foydalanuvchilar 
bilan 
ishlash 
ximoyalanuvchi tarmoq resurslaridan foydalanishning qat`iy chegaralanishini talab 
etadi. 
Tashkilotdagi korporativ tarmoq tarkibida ko`pincha ximoyalanishning turli 
satxli birnechi segmentlarga ega bo`lishi extiyoji tug`iladi: 
- bemalol foydalaniluvchi segmentlar (masalan, reklama WWW-serverlari); 
- foydalanish chegaralangan segmentlar (masalan, tashkilotning masofadagi 
uzellari xodimlarining foydalanishi uchun); 
- yopiq segmentlar (masalan, tashkilotning moliya lokal qism tarmog`i) 
Tarmoqlararo ekranlarni ulashda turli sxemalardan foydalanish mumkin. Bu 
sxemalar  ximoyalanuvchi  tarmoq  ishlashi  sharoitiga,  xamda  ishlatiladigan 
brandmauerlarning  tarmoq  interfeyslari  soniga  va  boshqa  xarakteristikalariga 
bog`liq. Tarmoqlararo ekranni ulashning quyidagi sxemalari keng tarqalgan: 
- ekranlovchi marshrutizatordan foydalanilgan ximoya sxemalari; 
- lokal tarmoqni umumiy ximoyalash sxemalari; 
-  ximoyalanuvchi  yopiq  va  ximoyalanmaydigan  ochiq  kism  tarmoqli 
sxemalar; 

 
83 
- yopiq va ochiq qism tarmoqlarni aloxida ximoyalovchi sxemalar. 
Ekranlovchi marshrutizatordan foydalanilgan ximoya sxemasi. 
Paketlarni  fil`trlashga  asoslangan  tarmoqlararo  ekran  keng  tarqalgan  va 
amalga  oshirilishi  oson.  U  ximoyalanuvchi  tarmoq  va  bo`lishi  mumkin  bo`lgan 
g`anim  ochiq  tarmoq  orasida  joylashgan  ekranlovchi  marshrutizatordan  iborat 
(3.10-rasm). 
Ekranlovchi  marshrutizator  (paketli  fil`tr)  kiruvchi  va  chiquvchi  paketlarni 
ularning  adreslari  va  portlari  asosida  blokirovka  qilish  va  fil`trlash  uchun 
konfiguratsiyalangan. 
Ximoyalanuvchi  tarmoqdagi  komp`yuterlar  Internetdan  to`g`ridan-to`g`ri 
foydalanaoladi,  Internetning  ulardan  foydalanishining  ko`p  qismi  esa  blokirovka 
qilinadi.  Umuman,  ekranlovchi  marshrutizator  yuqorida  tavsiflangan  ximoyalash 
siyosatidan  istalganini  amalga  oshirishi  mumkin.  Ammo,  agar  marshrutizator 
paketlarni  manba  porti  va  kirish  yo`li  va  chiqish  yo`li  portlari  nomeri  bo`yicha 
fil`trlamasa,  "oshkora  ruxsat  etilmagani  man  qilingan"  siyosatini  amalga  oshirish 
qiyinlashadi.  
Paketlarni  fil`trlashga  asoslangan  tarmoqlararo  ekranning  kamchiliklari 
quyidagilar: 
-  fil`trlash  qoidalarining  murakkabligi;  ba`zi  xollarda  bu  qoidalar  majmui 
bajarilmasligi mumkin; 
Ekranlovchi marshrutizator 
 
 
Ochiq tashqi 
 
Himoyalanadigan 
ichki tarmoq 
3.10-rasm. Tarmoqlararo ekran – ekranlovchi marshrutizator 

 
84 
-  fil`trlash  qoidalarini  to`liq  testlash  mumkin  emasligi;  bu  tarmoqni 
testlanmagan xujumlardan ximoyalanmasligiga olib keladi; 
-  xodisalarni  ruyxatga  olish  imkoniyatining  yo`qligi;  natijada  ma`murga 
mashrutizatorning  xujumga  duch  kelganligini  va  obro`sizlantirilganligini  aniqlash 
qiyinlashadi. 
Lokal  tarmoqni  umumiy  ximoyalash  sxemalari.  Bitta  tarmoq  interfeysli 
brandmauerlardan  foydalanilgan  ximoyalash  sxemalari  (3.11-rasm)  xavfsizlik  va 
konfiguratsiyalashning  qulayligi  nuqtai  nazaridan  samarasiz  xisoblanadi.  Ular 
ichki  va  tashqi  tarmoqlarni  fizik  ajratmaydilar,  demak,  tarmoqlararo  aloqaning 
ishonchli ximoyasini ta`minlay olmaydilar.  
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
Ochiq tashqi 
 
Himoyalanadigan 
ichki tarmoq 
3.11-rasm. Bitta tarmoq interfeysli firewall yordamida lokal tarmoqni 
himoyalash 
Tarmoqlararo ekran 
Ochiq serverlar  
Marshrutizator 
Marshrutizator  

 
85 
 
 
 
 
 
Lokal tarmoqni umumiy ximoyalash sxemasi eng oddiy echim bo`lib, unda 
brandmauer  lokal  tarmoqni  tashqi  g`anim  tarmoqdan  butunlay  ekranlaydi  (3.12-
rasm).  
 
Marshrutizator va brandmauer orasida faqat bitta yo`l bo`lib, bu yo`l orqali 
butun trafik o`tadi. Brandmauerning ushbu varianti "oshkora ruxsat etilmagani man 
qilingan"  printsipiga  asoslangan  ximoyalash  siyosatini  amalga  oshiradi.  Odatda 
marshrutizator  shunday  sozlanadiki, brandmauer  tashqaridan  ko`rinadigan  yagona 
mashina bo`ladi. 
Lokal  tarmoq  tarkibidagi  ochiq  serverlar  xam  tarmoqlararo  ekranlar 
tomonidan  ximoyalanadi.  Ammo,  tashqi  tarmoq  foydalanaoladigan  serverlarni 
ximoyalanuvchi  lokal  tarmoqlarning  boshqa  resurslari  bilan  birlashtirish 
tarmoqlararo aloqa xavfsizligini jiddiy pasaytiradi. 
Tarmoqlararo 
ekran 
foydalanadigan 
xostga 
foydalanuvchilarni 
kuchaytirilgan autentifikatsiyalash uchun dastur o`ranatilishi mumkin. 
 
Ochiq tashqi 
tarmoq 
 
Himoyalanadigan 
ichki tarmoq 
3.12-rasm. Lokal tarmoqni umumiy himoyalash sxemasi 
Marshrutizator  
 
Tarmoqlararo 
ekran 

 
86 
Ximoyalanuvchi  yopiq  va  ximoyalanmaydigan  ochiq  qism  tarmoqli 
sxemalar. Agar lokal tarmoq tarkibida umumfoydalanuvchi ochiq serverlar  bo`lsa 
ularni tarmoqlararo ekrandan oldin ochiq qism tarmoq sifatida chiqarish maqsadga 
muvofiq xisoblanadi (3.13-rasm). 
Ushbu  usul  lokal  tarmoq  yopiq  qismining  kuchli  ximoyalanishini,  ammo 
tarmoqlararo ekrangacha joylashgan ochiq serverlarning pasaygan ximoyalanishini 
ta`minlaydi. 
 
 
 
 
 
 
 
 
 
 
 
 
 
Ba`zi  brandmauerlar  bu  serverlarni  o`zida  joylashtiradi.  Ammo  bu 
brandmauerning xavfsizligi va komp`yuterning yuklanishi nuqtai nazaridan yaxshi 
echim  xisoblanmaydi.  Ximoyalanuvchi  yopiq  va  ximoyalanmaydigan  ochiq  qism 
tarmoqli  sxemani  ochiq  qism  tarmoq  xavfsizligiga  qo`yiladigan  talablarning 
 
 
Ochiq tashqi 
Lokal tarmoqning 
himoyalanadigan 
yopiq qismtarmog`i  
 
3.13-rasm. Himoyalanadigan yopiq va himoyalanmaydigan ochiq qismtarmoqli sxema 
Marshrutizator  
Tarmoqlararo 
ekran 
Lokal tarmoqning 
ochiq 
qismtarmog`i 

 
87 
bo`lmagan xollarida ishlatilishi maqsadga muvofiq xisoblanadi. Agar ochiq server 
xavfsizligiga  yuqori  talablar  qo`yilsa,  yopiq  va  ochiq  qism  tarmoqlarni  aloxida 
ximoyalash sxemalaridan foydalanish zarur. 
Yopiq va ochiq qism tarmoqlarni aloxida ximoyalovchi sxemalar. Bunday 
sxemalar uchta tarmoq interfeysli bitta brandmauer (3.14-rasm) yoki ikkita tarmoq 
 
Ochiq tashqi 
tarmoq 
Lokal tarmoq 
himoyalanadigan 
yopiq osttarmog`i 
3.14 -rasm. Uchta tarmoq interfeysli bir brandmauer asosida yopiq va 
ochiq qism tarmoqlarni alohida himoyalash sxemasi 
Marshrutizator  
Tarmoqlararo 
ekran 
Lokal tarmoq 
himoyalangan 
ochiq osttarmog`i 
 
 
Ochiq tashqi 
Lokal tarmoqning 
himoyalanadigan  
yopiq qismtarmog`i 
3.15-rasm. Ikkita tarmoq interfeysli ikkita brandmauer asosida yopiq va 
ochiq qismtarmoqlarni alohida himoyalash sxemasi 
Marshrutizator  
Tarmoqlararo 
ekran 
Локал тармоқнинг 
ҳимояланадиган  
очиқ қисмтармоғи 
Tarmoqlararo 
ekran 
Lokal tarmoqning 
himoyalanadigan  
ochiq qismtarmog`i 

 
88 
interfeysli ikkita brandmauer (7.15-rasm) asosida  
qurilishi  mumkin.  Ikkala  xolda  xam  ochiq  va  yopiq  qism  tarmoqlardan  faqat 
tarmoqlararo  ekran  orqali  foydalanish  mumkin.  Bunda  ochiq  qism  tarmoqdan 
foydalanish yopiq qism tarmoqdan foydalanishga imkon bermaydi. 
Ikkita  brandmauerli  sxema  tarmoqlararo  aloqa  xavfsizligining  yuqori 
darajasini ta`minlaydi. Bunda xar bir brandmauer yopiq tarmoqni ximoyalashning 
aloxida eshelonini xosil qiladi, ximoyalanuvchi ochiq qism tarmoq esa ekranlovchi 
qism tarmoq sifatida ishtirok etadi. 
Odatda  ekranlovchi  qism  tarmoq  shunday  konfiguratsiyalanadiki,  qism 
tarmoq  komp`yuteridan  g`anim  tashqi  tarmoq  va  lokal  tarmoqning  yopiq  qism 
tarmog`i  foydalana  olsin.  Ammo  tashqi  tarmoq  va  yopiq  qism  tarmoq  orasida 
to`g`ridan-to`g`ri  axborot  paketlarini  almashish  mumkin  emas.  Ekranlovchi  qism 
tarmoqli  tizimni  xujum  qilishda,  bo`lmaganida  ximoyaning  ikkita  mustaqil 
chizig`ini bosib o`tishga to`g`ri keladi. Bu esa juda murakkab masala xisoblanadi. 
Tarmoqlararo  ekran  xolatlarini  monitoringlash  vositalari  bunday  urinishni  doimo 
aniqlashi  va  tizim  ma`muri  o`z  vaqtida  ruxsatsiz  foydalanishga  qarshi  zaruriy 
choralar ko`rishi mumkin. 
Ta`kidlash  lozimki,  aloqaning  kommutatsiyalanuvchi  liniyasi  orqali 
ulanuvchi  masofadagi  foydalanuvchilarning  ishi  xam  tashkilotda  o`tkaziluvchi 
xavfsizlik  siyosatiga  muvofiq  nazorat  qilinishi  shart.  Bunday  masalaning 
namunaviy xal etilishi – zaruriy funktsional imkoniyatlarga ega bo`lgan masofadan 
foydalanish  serverini  (terminal  serverni)  o`rnatish.  Terminal  server  bir  necha 
asinxron  portlarga  va  lokal  tarmoqning  bitta  interfeysiga  ega  bo`lgan  tizim 
xisoblanadi.  Asinxron  portlar  va  lokal  tarmoq  orasida  axborot  almashish  faqat 
tashqi foydalanuvchini autentifikatsiyalashdan keyin amalga oshiriladi. 
Terminal  serverni  ulash  shunday  amalga  oshirish  lozimki,  uning  ishi  faqat 
tarmoqlararo ekran orqali bajarilsin. Bu masofalagi foydalanuvchilarning tashkilot 

 
89 
axborot  resurslari  bilan  ishlash  xavfsizligining  kerakli  darajasini  ta`minlashga 
imkon beradi.  
Terminal serverni ochiq kism tarmoq tarkibiga kiritilganida bunday ulanish 
joiz  xisoblanadi.  Terminal  serverning  dasturiy  ta`minoti  kommutatsiyalanuvchi 
kanallar  orqali  aloqa  seanslarini  ma`murlash  va  nazoratlash  imkoniyatini 
ta`minlashi  lozim.  Zamonaviy  terminal  serverlarni  boshqarish  modullari  serverni 
o`zini xavfsizligini ta`minlash va mijozlarning foydalanishini chegaralash bo`yicha 
etarlicha rivojlangan imkoniyatlarga ega va quyidagi funktsiyalarni bajaradi: 
-  ketma-ket  portlardan,  PPP  protokoli  bo`yicha  masofadan,  xamda  ma`mur 
konsolidan foydalanishda lokal parolni ishlatish; 
-  lokal  tarmoqning  qandaydir  mashinasining  autentifikatsiyalashga 
so`rovidan foydalanish; 
- autentifikatsiyalashning tashqi vositalaridan foydalanish; 
- terminal serveri portlaridan foydalanishni nazoratlovchi ruyxatni o`rnatish; 
- terminal server orqali aloqa seanslarini protokollash. 
Shaxsiy va taqsimlangan tarmoq ekranlari. Oxirgi bir necha yil mobaynida 
korporativ  tarmoq  tuzilmasida  ma`lum  o`zgarishlar  sodir  bo`ldi.  Agar  ilgari 
bunday  tarmoq  chegaralarini  aniq  belgilash  mumkin  bo`lgan  bo`lsa,  xozirda  bu 
mumkin emas. Yaqindayoq bunday chegara barcha marshrutizatorlar yoki boshqa 
qurilmalar (masalan, modemlar) orqali o`tar va ular yordamida tashqi tarmoqlarga 
chiqilar edi. Ammo xozirda tarmoqlararo ekran orqali ximoyalanuvchi tarmoqning 
to`la  xuquqli  egasi  –  ximoyalanuvchi  perimetr  tashqarisidagi  xodim  xisoblanadi. 
Bunday  xodimlar  sirasiga  uydagi  yoki  mexnat  safaridagi  xodimlar  kiradi. 
Shubxasiz,  ularga  xam  ximoya  zarur.  Ammo  barcha  an`anaviy  tarmoqlararo 
ekranlar  shunday  qurilganki,  ximoyalanuvchi  foydalanuvchilar  va  resurslar 
ularning  ximoyasida  korporativ  yoki  lokal  tarmoqning  ichki  tomonida  bo`lishlari 
shart. Bu esa mobil foydalanuvchilar uchun mumkin emas.  

 
90 
Bu muammoni echish uchun quyidagi yondashishlar taklif etilgan: 
- taqsimlangan tarmoqlararo ekranlardan (distributed firewall) foydalanish; 
- virtual xususiy tarmoq VPNlar imkoniyatidan foydalanish. 
Taqsimlangan  tarmoqlararo  ekran  tarmoqning  aloxida  komp`yuterini 
ximoyalovchi markazdan boshqariluvchi tarmoq mini-ekranlar majmuidir. 
Taqsimlangan  brandmauerlarning  qator  funktsiyalari  (masalan  markazdan 
boshqarish, xavfsizlik siyosatini tarqatish) shaxsiy foydalanuvchilar uchun ortiqcha 
bo`lganligi  sababli,  taqsimlangan  brandmauerlar  modifikatsiyalandi.  Yangi 
yondashish shaxsiy tarmoqli ekranlash texnologiyasi nomini oldi. Bunda tarmoqli 
ekran ximoyalanuvchi  shaxsiy  komp`yuterda o`rnatiladi. Komp`yuterning shaxsiy 
ekrani  (personal  firewall)  yoki  tarmoqli  ekranlash  tizimi  deb  ataluvchi  bunday 
ekran,  boshqa  barcha  tizimli  ximoyalash  vositalariga  bog`liq  bo`lmagan  xolda 
butun  chiquvchi  va  kiruvchi  trafikni  nazoratlaydi.  Aloxida  komp`yuterni 
ekranlashda  tarmoq  servisdan  foydalanuvchanlik  madadlanadi,  ammo  tashqi 
faollikning  yuklanishi  pasayadi.  Natijada,  shu  tariqa  ximoyalanuvchi  komp`yuter 
ichki  servislarining  zaifligi  pasayadi,  chunki  chetki  niyati  buzuq  odam  oldin, 
ximoyalash  vositalari  sinchiklab  va  qat`iy  konfiguratsiyalangan,  ekranni  bosib 
o`tishi lozim. 
Taqsimlangan  tarmoqlararo  ekranning  shaxsiy  ekrandan  asosiy  farqi-
taqsimlangan tarmoqlararo ekranda markazdan boshqarish funktsiyasining borligi. 
Agar shaxsiy tarmoqli ekranlar ular o`rnatilgan komp`yuter orqali boshqarilsa (uy 
sharoitida  qo`llanishga  juda  mos),  taqsimlangan  tarmoqlararo  ekranlar 
tashkilotning  bosh  ofisida  o`rnatilgan  boshqarishning  umumiy  konsoli  tomonidan 
boshqarilishi mumkin. 
Korporativ  tarmoq  ruxsatsiz  foydalanishdan  xaqiqatan  xam  ximoyalangan 
xisoblanadi, qachonki uning Internetdan kirish nuqtasida ximoya vositalari xamda 
tashkilot  lokal  tarmog`i  fragmentlarini,  korporativ  serverlarini  va  aloxida 
komp`yuterlar  xavfsizligini  ta`minlovchi  echimlar  mavjud  bo`lsa.  Taqsimlangan 

 
91 
yoki  shaxsiy  tarmoqlararo  ekran  asosidagi  echimlar    aloxida  komp`yuterlar, 
korporativ  serverlar  va  tashkilot  lokal  tarmoq  fragmentlari  xavfsizligini 
ta`minlashni a`lo darajada bajaradi. 
Taqsimlangan  tarmoqlararo  ekranlar,  an`anaviy  tarmoqlararo  ekranlardan 
farqli  ravishda,  qo`shimcha  dasturiy  ta`minot  bo`lib,  xususan  korporativ 
serverlarni,  masalan  Internet-serverlarni  ishonchli  ximoyalashi  mumkin. 
Korporativ  tarmoqni  ximoyalashning  oqilona  echimi  –  ximoyalash  vositasini  u 
ximoya  qiluvchi  serveri  bilan  bir  platformada  joylashtirishdir.  7.16-rasmda 
korporativ  serverlarni  taqsimlangan  tarmoqlararo  ekranlar  yordamida  ximoyalash 
sxemasi keltirilgan. 
 
 
 
 
 
 
 
 
 
 
 
 
 
 

Download 1.5 Mb.

Do'stlaringiz bilan baham: