Amaliy mashg‘ulot. Demilitarizatsiya zonasi – dmz sozlamalarini o‘rganish Ishdan maqsad: Demilitarizatsiya zonasi – dmz sozlamalarini o‘rganish
Download 78.65 Kb.
|
4-dedlain
– Amaliy mashg‘ulot. Demilitarizatsiya zonasi – DMZ sozlamalarini o‘rganishIshdan maqsad: Demilitarizatsiya zonasi – DMZ sozlamalarini o‘rganishNazariy qism DMZ (ing. Demilitarized Zone — demilitarized zone, DMZ) — davlat xizmatlarini oʻz ichiga olgan va ularni xususiy xizmatlardan ajratuvchi tarmoq segmenti. Masalan, veb-xizmat davlat xizmati sifatida harakat qilishi mumkin: uni taqdim etuvchi server, jismoniy jihatdan mahalliy tarmoqda (Intranet) joylashgan bo'lib, tashqi tarmoqdan (Internet) har qanday so'rovlarga javob berishi kerak, boshqa mahalliy resurslar esa (uchun). masalan, fayl serverlari, ishchi stantsiyalar) tashqi kirishdan ajratilgan bo'lishi kerak. DMZ ning maqsadi mahalliy tarmoqqa qo'shimcha xavfsizlik qatlamini qo'shishdan iborat bo'lib, u davlat xizmatlaridan biriga hujum qilingan taqdirda zararni minimallashtirish imkonini beradi: tashqi tajovuzkor faqat DMZ uskunasiga to'g'ridan-to'g'ri kirish huquqiga ega. Bu nom "demilitarizatsiya zonasi" harbiy atamasidan kelib chiqqan - urushayotgan davlatlar o'rtasidagi harbiy harakatlarga yo'l qo'yilmagan hudud. Boshqacha qilib aytadigan bo'lsak, tashrif buyuruvchining yomon niyati bo'lmasa, DMZga kirish har ikki tomon uchun ham ochiq. O'xshashlik bo'yicha, DMZ tushunchasi (masalan, umumiy Internetga shlyuzni qurishda) mahalliy tarmoqda tarmoqning qolgan qismi kabi xavfsiz bo'lmagan (ichki) va jamoat (tashqi) kabi xavfli bo'lmagan hudud ajratilganligidir). Tashqi tarmoqlardan to'g'ridan-to'g'ri kirish uchun ochiq tizimlar odatda tajovuzkorlar uchun asosiy nishon bo'lib, tahdidlarga duchor bo'ladi. Natijada, ushbu tizimlarga to'liq ishonish mumkin emas. Shuning uchun ushbu tizimlarning tarmoq ichida joylashgan kompyuterlarga kirishini cheklash kerak. Tashqi hujumlardan himoya qilish bilan birga, DMZ odatda trafikni ushlab turish kabi ichki hujumlarga hech qanday aloqasi yo'q. Segmentlarni ajratish va ular orasidagi trafikni nazorat qilish, qoida tariqasida, maxsus qurilmalar - xavfsizlik devorlari tomonidan amalga oshiriladi. Bunday qurilmaning asosiy vazifalari: tashqi tarmoqdan DMZ ga kirishni boshqarish; ichki tarmoqdan DMZ ga kirishni boshqarish; ichki tarmoqdan tashqi tarmoqqa kirishga ruxsat berish (yoki nazorat qilish); - tashqi tarmoqdan ichki tarmoqqa kirishni taqiqlash. Ba'zi hollarda DMZ ni tashkil qilish uchun yo'riqnoma yoki hatto proksi-server yetarli bo'ladi. DMZ serverlari, agar kerak bo'lsa, ichki tarmoqdagi alohida xostlarga ulanish imkoniyati cheklangan bo'lishi mumkin [K 1]. DMZ-da serverlar va tashqi tarmoq bilan aloqa, shuningdek, DMZ-ni Internetga qaraganda ma'lum xizmatlarni joylashtirish uchun xavfsizroq qilish uchun cheklangan. DMZ serverlarida faqat kerakli dasturlar bajarilishi kerak, keraksiz dasturlar o'chiriladi yoki butunlay o'chiriladi. DMZ tarmoq arxitekturasining turli xil variantlari mavjud. Ikki asosiy - bitta xavfsizlik devori va ikkita xavfsizlik devori bilan. Ushbu usullarga asoslanib, siz ishlatiladigan uskunaning imkoniyatlariga va ma'lum bir tarmoqdagi xavfsizlik talablariga mos keladigan soddalashtirilgan va juda murakkab konfiguratsiyalarni yaratishingiz mumkin. DMZ bilan tarmoq yaratish uchun kamida uchta tarmoq interfeysiga ega bo'lgan bitta xavfsizlik devoridan foydalanish mumkin: biri provayderga (WAN), ikkinchisi - ichki tarmoqqa (LAN), uchinchisi - DMZ ga. Bunday sxemani amalga oshirish oson, lekin jihozlar va ma'muriyatga qo'shimcha talablar qo'yadi: xavfsizlik devori DMZ va ichki tarmoqqa boradigan barcha trafikni qayta ishlashi kerak. Shu bilan birga, u bitta nosozlik nuqtasiga aylanadi va agar u buzilgan bo'lsa (yoki sozlamalardagi xato), ichki tarmoq tashqi tarmoqdan bevosita himoyasiz bo'ladi. – rasm. Bitta xavfsizlik devori yordamida tuzilgan tarmoq – rasm. Ikkita xavfsizlik devori yordamida tuzilgan tarmoq DMZ ni yaratish uchun ikkita xavfsizlik devori qo'llanilganda yanada xavfsizroq yondashuv hisoblanadi: ulardan biri tashqi tarmoqdan DMZ ga, ikkinchisi - DMZ dan ichki tarmoqqa ulanishlarni boshqaradi. Bunday holda, ichki resurslarga muvaffaqiyatli hujum qilish uchun ikkita qurilma buzilgan bo'lishi kerak. Bundan tashqari, tashqi ekranda sekinroq dastur qatlamini filtrlash qoidalari sozlanishi mumkin, bu esa ichki segmentning ishlashiga salbiy taʼsir koʻrsatmasdan mahalliy tarmoqning yaxshilangan himoyasini taʼminlaydi. Ikki xil ishlab chiqaruvchining ikkita xavfsizlik devori va (afzal) turli arxitekturadan foydalanish orqali yanada yuqori darajadagi himoya ta'minlanishi mumkin - bu ikkala qurilmaning bir xil zaiflikka ega bo'lish ehtimolini kamaytiradi. Misol uchun, ikki xil ishlab chiqaruvchilarning interfeyslari konfiguratsiyasida tasodifiy noto'g'ri konfiguratsiya kamroq sodir bo'ladi; bir sotuvchining tizimida topilgan xavfsizlik teshigi boshqa sotuvchining tizimida tugash ehtimoli kamroq. Ushbu arxitekturaning kamchiliklari yuqori narx hisoblanadi. Ba'zi SOHO-sinf marshrutizatorlari tashqi tarmoqdan ichki serverlarga (DMZ xost yoki ochiq xost rejimi) kirishni ta'minlash funktsiyasiga ega. Ushbu rejimda ular boshqa yo'l bilan tarjima qilinganlardan tashqari, barcha portlari ochiq (himoyalanmagan) bo'lgan xostni ifodalaydi. Bu haqiqiy DMZ ta'rifiga to'liq mos kelmaydi, chunki ochiq portlari bo'lgan server ichki tarmoqdan ajratilmagan. Ya'ni, DMZ xosti ichki tarmoqdagi resurslarga erkin ulanishi mumkin, shu bilan birga, haqiqiy DMZ dan ichki tarmoqqa ulanishlar, agar maxsus ruxsat berish qoidasi [K 1] bo'lmasa, ularni ajratuvchi xavfsizlik devori tomonidan bloklanadi. DMZ xosti subnetting taqdim etadigan xavfsizlik afzalliklarining hech birini ta'minlamaydi va ko'pincha barcha portlarni boshqa xavfsizlik devori yoki qurilmaga yo'naltirishning oddiy usuli sifatida ishlatiladi. Download 78.65 Kb. Do'stlaringiz bilan baham: 
|