Xavfsizlik devorlarining turlari
Seans darajasini filtrlash
Download 274.43 Kb.
|
Kompyuter Tarmoqlari Sherzod
|
Seans darajasini filtrlash
Faol ulanishlarni kuzatishga qarab, xavfsizlik devorlari quyidagilar bo'lishi mumkin: fuqaroligi bo'lmagan(oddiy filtrlash), ular joriy ulanishlarni kuzatmaydi (masalan, TCP), lekin ma'lumotlar oqimini faqat statik qoidalar asosida filtrlaydi; davlat, statistik paket tekshiruvi (SPI)(kontekst asosida filtrlash), joriy ulanishlarni kuzatish va faqat tegishli protokollar va ilovalarning mantiqiy va algoritmlarini qondiradigan paketlarni o'tkazib yuborish. SPI bilan xavfsizlik devorlari sizga turli xil DoS hujumlari va ba'zi tarmoq protokollaridagi zaifliklarni samaraliroq hal qilish imkonini beradi. Bundan tashqari, ular H.323, SIP, FTP va boshqalar kabi protokollarning ishlashini ta'minlaydi, ular statik qoidalar bilan tavsiflash qiyin bo'lgan va ko'pincha standart, fuqaroligi bo'lmagan xavfsizlik devori bilan mos kelmaydigan qabul qiluvchilar o'rtasida ma'lumotlarni uzatish uchun murakkab sxemalardan foydalanadilar. Ushbu filtrlashning afzalliklari quyidagilardan iborat: paket tarkibini tahlil qilish; 7-qatlam protokollarining ishlashi haqida hech qanday ma'lumot talab qilinmaydi. Kamchiliklari: dastur darajasidagi ma'lumotlarni tahlil qilish qiyin (ehtimol ALG - Application level shlyuzidan foydalanish). Ilova darajasidagi shlyuz, ALG (ilova darajasidagi shlyuz) - dastur protokolini tushunadigan NAT routerining komponenti va ushbu protokol paketlari u orqali o'tganda ularni NAT ortidagi foydalanuvchilar protokoldan foydalanishlari mumkin bo'lgan tarzda o'zgartiradi. ALG xizmati tarmoq manzillarini tarjima qilishga ruxsat berilmagan dastur qatlami protokollarini (masalan, SIP, H.323, FTP va boshqalar) qo'llab-quvvatlaydi. Ushbu xizmat interfeysdan keladigan paketlardagi dastur turini aniqlaydi ichki tarmoq va tashqi interfeys orqali ular uchun manzil/port tarjimasini mos ravishda bajaring. SPI texnologiyasi (Stateful Packet Inspection) yoki davlat paketlarini tekshirish texnologiyasi bugungi kunda transportni boshqarishning ilg'or usuli hisoblanadi. Ushbu texnologiya har bir himoyalangan protokol yoki tarmoq xizmati uchun alohida vositachi yoki proksi-ilovani talab qilmasdan, maʼlumotlarni dastur darajasigacha boshqarish imkonini beradi. Tarixan, xavfsizlik devorlari umumiy maqsadli paketli filtrlardan paydo bo'lgan, keyin individual protokollar uchun vositachi dasturlar paydo bo'la boshlagan va nihoyat, davlat tekshiruvi texnologiyasi ishlab chiqilgan. Oldingi texnologiyalar faqat bir-birini to'ldirdi, lekin ulanishlar ustidan har tomonlama nazoratni ta'minlamadi. Paket filtrlari xavfsizlik bo'yicha yakuniy qarorni qabul qilish uchun zarur bo'lgan ulanish va dastur holati ma'lumotlariga kirish imkoniga ega emas. Brokerlar faqat dastur darajasidagi ma'lumotlarni qayta ishlaydilar, bu ko'pincha tizimni buzish uchun turli imkoniyatlarni keltirib chiqaradi. Davlat tekshiruvi arxitekturasi noyobdir, chunki u shlyuz mashinasi orqali o'tadigan barcha ma'lumotlarni manipulyatsiya qilish imkonini beradi: paketdan olingan ma'lumotlar, ulanish holati ma'lumotlari, ilova uchun zarur bo'lgan ma'lumotlar. Download 274.43 Kb. Do'stlaringiz bilan baham: 
|