Дипломдық жоба рұқсатсыз қатынас құрудан ақпаратты қорғауға



Pdf көрінісі
бет21/41
Дата09.04.2022
өлшемі3,55 Mb.
#138631
түріДиплом
1   ...   17   18   19   20   21   22   23   24   ...   41
Байланысты:
Дипломды жоба р сатсыз атынас рудан а паратты ор ау а

2.8 Желіаралық экрандар
Желіаралық экрандау корпоративтік желінің қорғанысының негізгі 
элементі болып саналады. 


41 
41 
Желіаралық экран (ЖЭ) – желіаралық қорғаудың арнайы кешені және оны 
кейде firewall жүйесі немесе басқаша айтқанда, брандмауэр деп атайды. 
Желіаралық экран желіні екі немесе одан да көп бөліктерге жіктеп, желінің бір 
бөлігінің шекарасынан екіншісіне дестелердің таралудың ереже жиынтығын 
жүзеге асырайды. Әдетте, бұл шекара кәсіпорынның корпоративтік желісі мен 
ғаламтор желісі арасында жүргізіледі. 
Көп жағдайлар желіаралық экрандар кәсіпорынның ішкі желісін Интер-нет 
желісінен туындалатын шабуылдардан қорғауға арналған, бірақ кейде ол 
кәсіпорын қосылған интражеліден келетін шабуылдарға қарсы әрекет жасай 
алуға қабілетті. Желіаралық экрандардың технологиясы корпоративтік желілерді 
сыртқы қауіптерден қорғаудың алғашқы технологиялардың бірі болып 
саналады. 
Көптеген кәсіпорындар үшін ішкі желінің қауіпсіздігін қамтамасыз етуде 
желіаралық экранды орнату қажетті шара болып табылады. 
Желіаралық экрандардың қызметтері. Желіаралық рұқсатсыз қол жеткізуге 
қарсы әрекет жасау мақсатында желіаралық экрандар қорғалған желі мен мүмкін 
болатын қауіпті сыртқы желі арасында орналасу қажет. Сонымен қатар осы 
желілер арасында өзара әрекеттесу желіаралық экран арқылы ұйымдастырылу 
керек. Ұйымдастыру сипаттамасы бойынша желіаралық экран жалпы қорғау 
жүйесінің құрамында қамтылады. 
Ішкі желінің көптеген түйіндерін қорғайтын желіаралық экран екі негізгі 
міндеттерді шешуге бағытталған: 

сыртқы пайдаланушылардың корпоративтік желінің ішкі ресурстарына 
қол жеткізуін шектеу. Бұл қолданушыларға серіктес кәсіпорындар, алыстағы 
пайдаланушылар, кәсіпорынның кейбір қызметкерлері және хакерлер, 
қаскүнемдер жатады;
 

қорғалған желінің пайдаланушылардың сыртқы ресурстарға қатынас 
құру әрекеттерін ажырату. Осы шешім серверлерге қатынас құруды реттеуге 
жағдай жасайды.
 
 
13 – сурет Желіаралық экранның қосылу сұлбасы 
Қазіргі кезге дейін желіаралық экрандардың жалпы көпшілікке 
мойындалған жіктелімі жоқ. ЖЭ келесі басты белгілер арқылы сипаттауға 
болады. 


42 
42 
OSI үлгісіндегі деңгейлерде атқаратын функциялары бойынша: 

десте фильтрі (экрандалатын бағытбағдарлауыш);
 

сеанс деңгейіндегі шлюз;
 

қолданбалы деңгейдегішлюз;
 

сараптық деңгейдегі шлюз.
 

қолданылатын технологиясы бойынша
:

хаттама күйін бақылау;
 

делдал модульдерге сүйеніп қызмет атқаратын.
 

орындау бойынша


аппараттық-бағдарламалық;
 

бағдарламалық;
 

қосылу сұлбасы бойынша: 

желіні біртұтас қорғау сұлбасы;
 

желінің қорғалмайтын ашық және қорғалатын жабық сегменттерінің 
құрылымы;
 

желінің қорғалатын ашық және жабық сегменттерінің жіктелген түрінің 
сұлбасы.
 
Трафикті сүзгіден өткізу

Ақпарат ағымдарын сүзгіден өткізу экран 
арқылы оларды таңдамалы түрде өткізу және басқа да түрлендірулермен 
жүргізіледі. Сүзгіден өткізу қауіпсіздік саясатына сәйкес желіаралық экранға 
орнатылған ережелер жиынтығымен орындалады. Сол себепті желіаралық 
экранды ақпараттық ағымдарды өңдейтін сүзгілердің реттілігі арқылы көрсетуге 
болады. 
14 – сурет Желіаралық экранның құрылымы 
Әр сүзгі келесі әрекеттерді орындау арқылы фильтрлеудің жеке 
ережелерін түсіндіруге арналған: 
а)
берілген ережелер бойынша ақпаратты талдау шектері, мысал ретінде 
қолданбалар түрлері немесе жіберуші мен қабылдаушының мекенжайлары. 


43 
43 
б)
ережелер бойынша төмендегі шешімдерді қабылдау: 

деректерді өткізбей қою; 

деректерді қабылдаушы атынан өңдеу және жіберушіге қайта жіберу; 

талдауды жалғастыру мақсатында деректерді келесі сүзгіге жіберу; 

келесі сүзгілерді ескермей деректерді өткізу. 
Сүзгіден өткізу ережелері қосымша әрекеттерді беру мүмкін. Сәйкесінше, 
сүзгіден өткізу ережелері оны жүзеге асырайтын шарттар тізімін анықтайды: 

кейінгі деректерді жіберуге рұқсат беру немесе бермеу; 

қосымша қорғау мүмкіндіктерін орындау. 
Ақпараттық ағымдарды талдаудың шектері ретінде келесі параметрлерді 
қолдануға мүмкіндік береді: 

құрамында желілік мекенжайлар, идентификаторлар, интерфейс 
мекенжайлары, порт нөмірлері және тағы басқа маңызды деректер болатын 
хабарламалама пакеттерінің қызметтік өрістері; 

компьютерлік вирустарды тексеруге арналған хабарлама пакеттері; 

ақпарат ағымының сыртқы сипаттамалары, мысалы уақыт, жиілік 
сипаттамалары, деректердің көлемі. 
Қолданылатын талдаудың критерийлері сүзгіден өткізу жүргізілетін OSI 
үлгісінің деңгейлеріне тәуелді болмақ. Жалпы жағдайда желіаралық экран
дестелерді сүзгіден өткізу кезінде OSI үлгісінің деңгейі неғұрлым жоғары болса, 
қорғауды қамтамасыз ету деңгейі соғұрлым жоғары болады. 
Делдалдық функцияларын орындау. Делдалдық функцияларын ЖЭ
делдал-бағдарламалар немесе экрандаушы агенттер деп аталатын арнайы 
бағдарламалар арқылы жүзеге асырады. Берілген бағдарламалар резидентті 
болып табылады, яғни ішкі және сыртқы желі арқылы десте хабарламаларын 
алмасуға рұқсат берілмейді. 
Ішкі желіден сыртқы желіге қатынас құру қажеттілігі пайда болған 
жағдайда желіаралық экраны бар компьютерде делдал-бағдарламамен 
логикалық байланыс орнатылу қажет. Делдал-бағдарлама желіаралық 
әрекеттесуді тексеріп, сонымен қатар рұқсат етілген соң берілген компьютермен 
жеке байланыс орнатады. Ішкі және сыртқы желі компьютерлері арасында хабар 
алмасу осы делдал-бағдарлама арқылы іске асырылады. 
Жалпы жағдайда делдал-бағдарламалар келесі қызметтерді орындай 
алады: 

жіберілетін, қабылданатын деректердің түпнұсқалығын тексеру; 

хабарламалар ағымын сүзгіден өткізу және түрлендіру; 

желінің ішкі ресурстарына қатынас құруды ажырату; 

желінің сыртқы ресурстарына қатынас құруды ажырату; 

сыртқы желіден келетін деректерді кэштеу; 

қолданушыларды идентификациялау мен аутентификациялау; 

шығыс хабарламалардың дестелері үшін ішкі желілік мекенжайларды 
үлестіру; 

оқиғаларды тіркеу, тіркелген ақпаратқа талдау жасау, қорытынды 
есептемелерді генерациялау. 


44 
44 
Желіаралық экрандарды қосудың негізгі сұлбалары

Корпоративтік 
желілердің ғаламдық желілерге қосылуы кезінде қорғалатын желіден ғаламдық 
желіге және ғаламдық желіден қорғалатын желіге қатынас құруды бөлу қажет, 
сонымен қатар қосылатын желінің ғаламдық желі тарапынан туындалатын 
қашықтан рұқсатсыз қатынас құрудан қорғауды қамтамасыз ету қажет. 
Алыстағы қолданушылармен жұмыс қорғалатын желінің ақпараттық 
ресурстарына қатынас құрудың қатал шектеулерін орнатуды талап етеді. 
Мекемелерде корпоративтік желінің қорғау деңгейі әр түрлі, бірнеше 
сегменттерді құрастыру қажет болады: 

қатынас құрудың еркін сегменті (жарнамалық WWW-сервер); 

қатынас құрудың шектеулі сегменті (қашықтағы қолданушылар 
байланысу түйіндері); 

жабық сегменттер (ұйымның жергілікті ішкі қаржылық желісі). 
Қолданылатын желіаралық экрандардың сипаттамаларына және қор-
ғалатын желіде жұмыс істеу шарттарына байланысты оның әр түрлі сұлбалары 
қолданылады. Желіаралық экрандардың қосылуының келесі сұлбалары кең 
таралған болып есептеледі: 

желіні экрандаушы бағытбағдарлауыш арқылы қорғау сұлбалары; 

жергілікті желіні біртұтас қорғау сұлбалары; 

қорғаусыз ашық және қорғалатын жабық ішкі желілер сұлбалары; 

үлестірілген қорғалатын ашық және жабық ішкі желілер сұлбалары. 
Желіні экрандаушы бағытбағдарлауыш арқылы қорғау сұлбасы. 
Дестелерді сүзгіден өткізуге негізделген желіаралық экрандар кең таралған және 
жүзеге асыруда ең қарапайымы болып саналады. Оның құрамына қорғалған желі 
мен мүмкін болатын қауіпті ашық сыртқы желі арасында орналасқан 
экрандаушы бағытбағдарлауыш кіреді. Экрандаушы бағытбағдарлауыштың 
міндеті – кіріс және шығыс дестелерді олардың мекенжай мен порттарын талдау 
негізінде тұйықтап тастау.
15 – сурет Желіаралық экран – экрандаушы бағытбағдарлауыш 
Қорғалған желіде орналасқан компьютерлерде интернет желісіне тікелей 
қатынас құруға мүмкіндік бар, ал интернет желісі тарапынан жасалатын қатынас 
құру мүмкіндіктері бұғатталады.
Экрандаушы бағытбағдарлауыштың кемшін тұстары: 

сүзгіден өткізу ережелерінің күрделі болуы; 

сүзгіден өткізу ережелерін толық тестілеу мүмкіндігінің болмауы; 

оқиғаларды тіркеу мүмкіндігінің жоқтығы. 


45 
45 
Бірнеше желілік интерфейсі бар желілік экрандардың қосылу сұлба-лары. 
Бір интерфейсі бар ЖЭ қосылу сұлбалары қауіпсіздік тұрғысынан тиімсіз болып 
табылады. Олар желіні физикалық тұрғыда сыртқы және ішкі деп жіктемейді, 
сол себепті желіаралық әрекеттесудің қауіпсіздігін толық қамтамасыз ете 
алмайды.
16 - сурет Бір желілік интерфейсі бар ЖЭ арқылы жергілікті желіні қорғау 
Осы мәселелерді шешу үшін екі немесе бірнеше желілік интер-фейсі бар 
ЖЭ қолданылады. Қорғалған жергілікті желіні ашық және жабық ішкі желілерге 
жіктеу дұрыс болып табылады. Ішкі ашық желі - ғаламдық желі тарапынан қол 
жеткізуге болатын желі деп есептеледі. Оның ішіне жалпы қол жетімдісі FTP-, 
WWW-, FTP-, SMTP-серверлер жатады.
Кең таралған сұлбалардың түрлері ретінде қарастырылады: 

жергілікті желіні біртұтас қорғау сұлбасы; 

ішкі ашық және жабық желі сұлбасы; 

бөлінген ішкі ашық және жабық желілер сұлбасы.
Жергілікті желіні бірыңғай қорғау сұлбасы
 
ішкі жергілікті желіні қор-
ғауды ЖЭ мүмкін қауіпті сыртқы желіні толық экрандау арқылы жүзеге 
асыратын қарапайым амалы болып табылады. 
17 – сурет Жергілікті желіні бірыңғай қорғау сұлбасы 
Желіаралық экран жергілікті желіге кіретін ашық серверлерді қорғайды. 
Алайда сыртқы желінің серверлерін қорғалатын желінің ақпараттық 


46 
46 
ресурстарымен біріктіру желіаралық әрекеттесудің қауіпсіздігін едәуір 
төмендетеді. Сондықтан берілген сұлбаны ашық серверлерсіз немесе ашық 
серверлерді шектеулі пайдаланушыларға бөліп қолдану жөн болар еді.
Ашық қорғалмайтын және жабық қорғалатын ішкі желілер сұлбасы 
жергілікті желіде жалпы қатынас құруға ашық серверлер болған жағдайда 
қолданылмақ. Көрсетілген сұлбада қорғалатын жабық ішкі желі және 
қауіпсіздігі төмен ашық ішкі желі қамтылады. 
18 - сурет Қорғалмайтын ашық және қорғалатын жабық ішкі желілер 
сұлбасы 
Берілген сұлбаны ашық ішкі желіге қауіпсіздік бойынша талаптары 
орташа болған кезде қолдану ыңғайлы болып табылады. 
Ал егер ашық ішкі желіге қауіпсіздік бойынша талаптары жоғары болса, 
онда бөлінген қорғалатын ашық және жабық ішкі желі сұлбасын қолдану қажет. 
Бөлінген қорғалатын ашық және жабық ішкі желілер сұлбасы берілген 
сұлба үш желілік интерфейсі бар бір ЖЭ негізінде немесе екі желілік интерфейсі 
бар қос ЖЭ негізінде құрастырылады. Екі жағдайда ашық және жабық ішкі 
желілерге қол жетімділік желіаралық экран арқылы іске асады.
Берілген екі сұлбалардың ішінде желіаралық әрекеттесудің қауіпсіздік 
деңгейінің көрсеткіші жоғары – екі желіаралық экрандары бар сұлба болып 
табылады. Қорғалатын ашық ішкі желі экрандаушы ішкі желі ретінде әрекет 
етеді. 
Экрандаушы ішкі желі арқылы мүмкін болатын қауіпті сыртқы желі және 
қорғалатын жабық желі компьютерлеріне қатынас құру қамтамасыз етіледі. 
Бірақ сыртқы желі мен жабық ішкі желі арасында тікелей ақпарат алмасу 
мүмкіндігі қолдау таппаған. Экрандаушы ішкі желі жүйелеріне шабуылды 
жүзеге асыру үшін алдымен қорғаудың екі тәуелсіз шектерін өткізу қажет. 
Желіаралық экрандар күйінің мониторинг құралдары іс жүзінде шабуылдарды 
анықтауға мүмкіндік береді және жүйе әкімшісі рұқсатсыз қатынас құруға 
қарсы, қажетті уақытында керек әрекеттерді жасай алады.


47 
47 
 
19 – сурет Бір желіаралық экран негізінде үш желілік интерфейсі бар 
бөлінген қорғалатын ашық және жабық ішкі желілер сұлбасы 
20 - сурет Екі желіаралық экран негізінде екі желілік интерфейсі бар
бөлінген қорғалатын ашық және жабық ішкі желілер сұлбасы 
Сонымен қатар ұйымның қашықтағы қолданушылармен жұмысы 
қауіпсіздік саясаты бойынша жүргізілуі тиіс. Бұл мәселенің қарапайым шешімі – 
терминалды серверді орнату. Терминалды сервер жергілікті желінің бір 
интерфейсі және бірнеше асинхрондық порттары бар жүйе. Жергілікті желі мен 
асинхронды порттар арасында ақпарат алмасу сыртқы қолданушы 
аутентификацияны өткен соң жүзеге асырылады.
Терминалды сервердің жұмысы тек қана желіаралық экран арқылы іске 
асырылу керек. Бұл қашықтағы қолданушылардың ұйымның ақпарат 
ресурстарымен жұмыс істеуі кезінде қауіпсіздіктің қажетті деңгейін қамта-масыз 
етеді. 
Терминалды сервердің бағдарламалық қамтамасы коммутация арналары 
арқылы байланыс сеанстарына әкімшілік ету, сонымен қатар бақылау 


48 
48 
мүмкіндіктерін ұсыну керек. Қазіргі терминалдық серверлердің бақылау 
модульдері көптеген қауіпсіздік мүмкіндіктерімен қамтамасыз етілген, оның 
ішінде: 

тізбекті портқа, әкімші құралдарына қашықтан және тікелей қатынас 
құруға жергілікті құпия сөзді қолдану;

жергілікті желінің кез келген компьютерінен аутентификация 
сұранысын жүзеге асыру;

аутентификацияның сыртқы құралдарын пайдалану; 

терминалды сервердің порттарына қатынас құрудың бақылау тізімін 
орнату; 

терминалды сервер арқылы байланыс сеанстарын хаттамалау. 


49 
49 


Достарыңызбен бөлісу:
1   ...   17   18   19   20   21   22   23   24   ...   41




©engime.org 2024
әкімшілігінің қараңыз

    Басты бет