-rasm paketlarni filtrlash bilan tarmoq ekrani

Vuzlit ru рефераты, курсовые, дипломные


-rasm paketlarni filtrlash bilan tarmoq ekrani


Download 195.54 Kb.
bet8/19
Sana20.06.2023
Hajmi195.54 Kb.
#1629482
1   ...   4   5   6   7   8   9   10   11   ...   19
Bog'liq
kurs ish

2-rasm paketlarni filtrlash bilan tarmoq ekrani
Masalan, ichki tarmoq bir nechta tizimlardan tashqari barcha xost kompyuterlar bilan barcha kirish ulanishlarini bloklashi mumkin. Ushbu tizimlar uchun faqat ma'lum xizmatlarga ruxsat berilishi mumkin (SMTPbitta tizim uchun SMTPTELNET, boshqasi uchun TELNET yoki FTP). TCP va UDP portlari orqali filtrlashda ushbu siyosat filtr yo'riqnoma yoki paketlarni filtrlash qobiliyatiga ega xost kompyuter tomonidan amalga oshirilishi mumkin.
Filtr routerining ishlashiga misol sifatida men 123.4 manzili bilan ichki tarmoqqa ma'lum ulanishlarga imkon beradigan xavfsizlik siyosatini amalga oshirishni ko'rib chiqaman.*.* TELNET ulanishlariga faqat bitta 123.4.5.6 manzilli xost kompyuteriga ruxsat beriladi, bu amaliy TELNET shlyuzi bo'lishi mumkin va SMTP ulanishlari faqat ikkita elektron pochta shlyuzi bo'lishi mumkin bo'lgan 123.4.5.7 va 123.4.5.8 manzilli ikkita xost kompyuteriga ruxsat beriladi. NNTP (NetworkNewsTransferProtocol) orqali almashish faqat 129.6.48.254 manzili bo'lgan yangiliklar serveridan va faqat 123.4.5.9 manzili bo'lgan NNTP tarmoq serveridan, NTP (tarmoq vaqti) protokoli esa barcha xost kompyuterlar uchun ruxsat etiladi. Boshqa barcha serverlar va paketlar bloklanadi.Walkie Talkies
Birinchi qoida TCP paketlarini internetdan port raqami 1023 dan katta bo'lgan har qanday manbadan 123.4.5.6 manzili bo'lgan qabul qiluvchiga 23-portga o'tkazishga imkon beradi. 23-port TELNET serveriga ulanganva barcha TELNET mijozlari kamida 1024 raqamlari bo'lgan imtiyozsiz portlarga ega bo'lishi kerak.
Ikkinchi va uchinchi qoidalar xuddi shunday ishlaydi va paketlarni qabul qiluvchilarga 123.4.5.7 va 123.4.5.8 manzillari bilan SMTP tomonidan ishlatiladigan 25-portga o'tkazishga ruxsat SMTPberadi.
To'rtinchi qoida paketlarni tarmoqning NNTP serveriga o'tkazadi, lekin faqat 129.6.48.254 manzili bo'lgan jo'natuvchidan 123.4.5.9 manzili bo'lgan qabul qiluvchiga 119 manzil porti bilan (129.6.48.254-bu ichki tarmoq yangiliklarni qabul qiladigan yagona NNTP serveri, shuning uchun NNTP protokolini bajarish uchun tarmoqqa kirish NNTPfaqat shu tizim bilan cheklangan).
Beshinchi qoida TCP o'rniga UDP protokolidan foydalanadigan NTP trafigiga ruxsat TCPberadi. har qanday manbadan har qanday ichki tarmoq qabul qiluvchisiga.Va nihoyat, oltinchi qoida boshqa barcha paketlarni bloklaydi. Agar bu qoida bo'lmasa, yo'riqnoma boshqa turdagi paketlarni bloklashi yoki bloklamasligi mumkin edi.
Yuqorida paketlarni filtrlashning juda oddiy misoli ko'rib chiqildi. Amaldagi qoidalar yanada murakkab filtrlashni amalga oshirishga imkon beradi va yanada moslashuvchan.
Paketlarni filtrlash qoidalarini shakllantirish qiyin va odatda sekin qo'lda sinovdan tashqari ularning to'g'riligini tekshirish uchun hech qanday vosita yo'q. Ba'zi filtr marshrutizatorlarida protokollash vositalari mavjud emas, shuning uchun agar paketlarni filtrlash qoidalari xavfli paketlarning yo'riqnoma orqali o'tishiga imkon bersa, bunday paketlarni penetratsiya oqibatlari aniqlanmaguncha aniqlab bo'lmaydi. Tarmoq ma'muri samarali filtrlash qoidalarini yaratishga muvaffaq bo'lsa ham, ularning imkoniyatlari cheklangan. Masalan, administrator yo'riqnoma yuboruvchining manzili noma'lum bo'lgan barcha paketlarni rad etadigan qoidani belgilaydi. Biroq, xaker o'zining "zararli" paketida jo'natuvchining manzili sifatida ishonchli (vakolatli) mijozning haqiqiy manzilidan foydalanishi mumkin. Bunday holda, filtr yo'riqchisi soxta paketni haqiqiy paketdan ajrata olmaydi va uni o'tkazib yuboradi. Amaliyot shuni ko'rsatadiki, manzilni almashtirish deb ataladigan bunday hujum Internetda juda keng tarqalgan Internetva ko'pincha samarali bo'ladi.
Faqat Osi-ISO ochiq tizimlarning o'zaro ta'siri mos yozuvlar modelining tarmoq darajasida ishlaydigan paketlarni filtrlaydigan xavfsizlik devori OSI-ISOodatda faqat ip paket sarlavhalarida mavjud bo'lgan ma'lumotlarni tekshiradi. Shuning uchun uni aldash qiyin emas: xaker ruxsat beruvchi filtrlash qoidalariga javob beradigan sarlavha yaratadi. Paket sarlavhasidan tashqari, ushbu toifadagi xavfsizlik devorlari tarkibidagi boshqa ma'lumotlar tekshirilmaydi.
К положительным качествамFiltrlash routerlarining ijobiy fazilatlariga quyidagilar kiradi:

  • nisbatan arzon narx;

  • filtrlash qoidalarini aniqlashda moslashuvchanlik;

  • paketlardan o'tishda biroz kechikish.

НедостаткамиFiltrlash routerlarining kamchiliklari:

  • ichki tarmoq internetdan ko'rinadi (yo'naltirilgan)Internet;

  • paketlarni filtrlash qoidalarini tavsiflash qiyin va TCP va UDP texnologiyalari bo'yicha juda yaxshi bilimlarni talab UDPqiladi;

  • paketlarni filtrlash bilan xavfsizlik devorining ishlashi buzilgan taqdirda, uning orqasidagi barcha kompyuterlar to'liq himoyalanmagan yoki kirish imkoni bo'lmaydi;

  • ip-manzil yordamida autentifikatsiyani ip-manzilni almashtirish orqali aldash mumkin (hujum qiluvchi tizim o'zining IP-manzilidan foydalangan holda boshqasini taqlid qiladi);

  • foydalanuvchi darajasida autentifikatsiya mavjud emas.




Download 195.54 Kb.

Do'stlaringiz bilan baham:
1   ...   4   5   6   7   8   9   10   11   ...   19



Ma'lumotlar bazasi mualliflik huquqi bilan himoyalangan ©fayllar.org 2024
ma'muriyatiga murojaat qiling