16.2 Желіаралық экрандардың негізгі компоненттері
Желіаралық экрандардың компоненттерінің көбісін келесі үш категориялардың біреуіне қатыстыруға болады: фильтрлеу маршрутизаторлар, желілік деңгейдегі шлюздар, қолданбалы деңгейдегі шлюздар. Бұл категорияларды нақты желіаралық экрандардың базалық компоненттері ретінде қарастыруға болады. Аталған категориялардың тек қана біреуінен тұратын желіаралық экрандардың саны аз. Сонда да, бұл категориялар желіаралық экрандардың бір-бірінен айыратын маңызды мүмкіншіліктерін көрсетеді.
Фильтрулеу маршрутизаторлар кірудегі және шығудағы пакеттерді тіркеу мақсатымен конфигурацияланған серверде жұмыс жасайтын программа немесе маршрутизатор болып табылады. Пакеттердің TCP- және IP-бас жолдарында орнатылған ақпарат негізінде олардың фильтрлеуі орындалады.
Фильтрлеу маршрутизатор әдетте IP-пакеттерді фильтрлеуін пакет бас жолының өрістерінің келесідей топтар негізінде орындайды: жіберушінің IP-адресі (пакетті жіберген жүйенің адресі); алушының IP-адресі (пакетті қабылдайтын жүйенің адресі); жіберушінің порты (жіберуші жүйедегі қосылу порты); қабылдаушы порты (қабылдаушы жүйедегі қосылу порты).
Фильтрлеу маршрутизаторлардың кемшіліктері:
- ішкі желі Internet желісінен көрінеді (маршрутизацияланады);
- пакеттерді фильтрлеу ережелерінің бейнеленуі күрделі және TCP, UDP технологияларын жақсы білуді талап етеді;
- пакеттердің фильтрациясын орындайтын желіаралық экранның жұмыс қабілеті бұзылған кезде одан кейін орналасқан компьютерлердің барлығына қол жету рұқсатсыз немесе қорғалмаған болып қалады;
- IP-адрес көмегімен өткізілетін аутентификацияны IP-адрестің орын басып алдауға болады;
- пайдаланушылар деңгейіндегі аутентификация жоқ.
Артықшылықтары: төмен баға; фильтрлеу ережелерін анықтағанның иілгіштігі, пакеттер өткен кезде кідіру уақыты кішкене.
Желілік деңгейдегі шлюздер. Оларды кей-кезде желілік адрестерді аудару жүйелер немесе OSI моделінің сеанстық денгейіндегі шлюздер деп атайды. Осындай шлюзда клиент пен сыртқы хост-компьютердің тікелей өзара байланысу болмайды.
Желілік деңгейдегі шлюз сенімді клиенттің белгілі қызметтерге сұранысын қабылдап, сұранған сеанстың рұқсат етілгенін тексергеннен кейін сыртқы хост-компьютермен байланысты орнатады. Содан кейін шлюз екі бағыттағы да пакеттерді олардың мазмұнына қарамай фильтрлемей көшірмелейді.
Жалпы айтқанда желілік деңгейдегі шлюздердің көбісі өзіндік өнім болып табылмайды, олар қолданбалы деңгейдегі шлюздермен бірге қамсыздандырылады.
Қолданбалы деңгейдегі шлюздер. Қолданбалы деңгейдегі шлюздер клиентпен сыртқы хост-компьютердің арасындағы тікелей өзара байланысуын болғызбайды. Шлюз барлық кірудегі және шығудағы пакеттерді қолданбалы деңгейде фильтрлейді. Қолданбалылармен байланысқан сарапшы-серверлер шлюздер арқылы белгілі серверлермен генарцияланатын ақпаратты қайта бағыттайды.
Қауіпсіздіктің жоғарылау деңгейіне және иілгіштікке жету үшін қолданбалы деңгейдегі шлюздер мен фильтрлеу маршрутизаторларды бір желіаралық экранда бірлестіруге болады.
Сарапшы-серверлерді қолданудың артықшылықтары:
- қолданбалы деңгейдегі шлюздер тек қана оған қызмет жасауға рұқсат берілген қызметтерді өткізеді:
- қолданбалы деңгейдегі шлюздер хаттамаларды фильтрлей алады. Пакеттерді фильтрлеуге қосымша көптеген қолданбалы деңгейдегі шлюздер барлық сервермен орындалатын әрекеттерді тіркеп, мүмкін болатын қорғаудың бұзылатыны туралы хабар беріп тұрады.
Пайдаланушыны аутентификациялау. Желіаралық экран желіге қол жеткізуді орталықтандырып, басқаратын болғандықтан, оны аутентификациялауды күшейту үшін программалық және жабдықтық қамтамасыздандыруды орнатуға логикалық орын деп есептейді.
Сонымен, Internet-ке модемдік шығуы бар компьютерлерге қаскүнемдердің шабуыл жасаудың үлкен мүмкіншілігі бар, және де олардан бастап басқа компьютерлерге шабуылдар орнатуларына болады. Желіаларық экрандаудың жүйелерін қолдану қауіптердің бірсыпырасынан қорғалуға мүмкіндік бергенімен, олардың бірсыпыра кемшіліктері бар, сонымен бірге, олар қарсы тұралмайтын қауіптер де бар.
Желіаралық экрандар мен модемдерді қолданудың әртүрлі сұлбалары компьютерлерді анықталған қауіптерден қорғауға негізделген. Internet желісінен әртүрлі қауіптерге табысты қарсы тұру үшін модемдік байланыстардың орнын тиімді басатын желіаралық экрандардың негізгі типтерінің үйлестіруін қолдану керек.
Сонда да желіаралық экрандау жүйелері қазіргі кезде алыстағы компьютерлерді Internet желісінен шабуылдарға қарсы тұра алатын сенімді барьер болады.
Достарыңызбен бөлісу: |