Желіаралық экрандар қажеттілігі және олардың түрлері

МАЗМҰНЫ.

1-бөлім. Желіаралық экрандар

     1.1  Желіаралық экрандар қажеттілігі және олардың түрлері

2-бөлім. Желіаралық экрандардың жіктелімі

3-бөлім.  Желіаралық экрандарды қолданудың жағымды жақтары мен кемшіліктері

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Желіаралық экрандар

 

2.1. Желіаралық экрандар қажеттілігі және олардың түрлері

Internet желісі еркін ақпарат алмасуға арналған ашық жүйе ретінде құрылғандықтан, қайкөй Internet арқылы әр түрлі әрекеттер орындай алады:

• мекеменің ішкі желісіне еніп, құпия ақпараттарға рұқсатсыз қатынас құру мүмкіндігіне ие болу;
• мекеме үшін құнды болып табылатын ақпаратты рұқсатсыз көшіріп алу;
• серверлердің құпиясөздері мен мекен –жайларын иемдену, сөйтіп серверлердің ішіндегі ақпаратты қолға түсіру;
• тіркелген пайдаланушының атын жамылып, мекеменің ақпараттық жүйесіне ену;

Мекеме желісін Интернетке қосқан кезде корпаративтік желіні рұқсатсыз қатынас құрудан қорғау үшін төмендегі шешімдердің бірі пайдаланылуы мүмкін:

• дестелік сүзгі орнатылған бағдарғылауыш;
• қатынас құру тізімдері негізінде тетігін жүзеге асыратын, арнайыландырылған бағдарғылауыш;
• дестелік сүзгілеуді жүзеге асыратын арнайы утилиттермен күшейтілген UNIX немесе MS Windows операциялық жүйесі;
• аппараттық-бағдарламалық немесе бағдарламалық желіаралық экран.

Бүгінгі таңда кеңінен  таралған, қатынас құруға болатындардың  тізімін қамтитын бағдарғылауыш  негізінде корпаративтік желіні қорғау, арнайыландырылған бағдарғылауыштардың  көмегімен жүзеге асырылады.  Бұл  тәсіл жоғары тиімділікпен және қауіпсіздіктің жеткілікті дәрежесімен сипатталады. Мәселен, осындай шешімді Cisco компаниясының 12000, 7600 сериялы бағдарғылауыштары қолдайды.

Дестелік сүзгілеу функциясымен күшейтілген операциялық жүйелер  негізіндегі корпоративтік желіні қорғау кезінде жүйелік программалық қамтама бағдарғылау, сүзгілеу, сервистік  қызмет ету, т.с.с. сияқты функцияларды орындай алады. Менімділік, қауіпсіздік  және өнімділік деңгейі жағынан  қарағанда UNIX тәрізді операциялық жүйелерді осы мақсат үшін пайдалану тиімді.

Бірақ, жоғарыдағы шешімдердің  ішінде корпаративтік желіні желіаралық экранның көмегімен қорғау жоғары деңгейлік  қауіпсіздікке қол жеткізуге  мүмкіндік береді.

Ішкі желі үшін төнетін  қауіп-қатерлерді анықтауда желіаралық экранның алатын орны ерекше [2,13, 14, 16, 23].  Желіаралық экрандардың негізгі мақсаты желілік коммуникацияларды (компьютерлік желінің сыртынан немесе ішінен туындайтын) рұқсат етілмеген қатынас құрулардан қорғау болып табылады. Көбінесе, желіаралық экрандар бірнеше әртүрлі компьютерлерде орналасқан кешен болып табылады. Желіралақы экрандар (баранмауэр, firewall) –бұл қауіпсіз ішкі желілер мен қауіпті сыртқы желілер арасында орналасқан желілер арасындағы деректер ағынын зерттеутін бір немесе бірнеше құрылғылар жиыны.

Желіаралық экранды қауіпсіз және қауіпті желілер арасындағы арашық деп қарастыруға болады. Брандмауэр термині (firewall-отты қабырға, ЖАЭ-желіаралық экран) өрт болған жағдайда, оттің таралуына жол бермейтін, отқа төзімді дегенді білдіретін, құрылыс технологиясындағы ұғымнан алынған. Желілік желіаралық экран –бұл басқа желілерден болатын шабуылдарға қарсы тұра алатын құрал, қорғалатын желіге қатынас құруды бақылап тұратын қауіпсіздік жүйесі. Қорғалынбаған желіден келіп түскен кез келген сұратым осы желіаралық экран арқылы өтеді, ал бұл болса, әрбір сервер мен компьютерді жеке-жеке қорғаудан бас тартуға мүмкіндік береді.

Желіаралық экран міндетін (жабық желіні зиян келтіруі мүмкін сырттағы хосттарда орналасқан қызметтерден қорғау үшін арналған) бағдарғылауыш, дербес компьютер, хост немесе хосттар  жиынтығы атқара алады. Әдеттер желіралық  экранды ішкі желінің сыртқы шекарасында, Internet желісіне қосылу нүктесінде орналастырылады. Бірақ желіаралық экран желінің ішінде де орналасуы мүмкін.

Сонымен желіаралық экран  – бұл әрбір желіні екі немесе одан да көп бөлікке бөліп, желінің  бір бөлігінен екінші бөлігіне деректер дестелерінің шекара арқылы өту шарттарын  анқытайтын ережелер жиынын жүзеге асыруға  мүмкіндік беретін желіаралық қорғау жүйесі. Әдетте, бұл шекара мекеменің  корпаративтік желісі мен Internet ауқымды желісі арасында жүргізіледі. Желіаралық экрандар желіні бірнеше сегменттерге бөлу арқылы мекеме желісінің ішкі қауіпсіздік саясатын ұйымдастыруға мүмкіндік береді. 

Желіаралық экран деректер ағының түгелімен өзі арқылы өткізіп, әрбір өткізілетін десте жайында (оны әрі қарай өткізу-өткізбеу туралы) шешім қабылдап отырады. Желіаралық экран осы операциясы орындай  алу үшін, оған сүзгілеу ережесінің жиынын реттеп беру керек.

Сүзгілеу ережелері қорғалатын желіде қабылданған қауіпсіздік  саясатына байланысты қалыптастырылады.

Желіаралық экран жүйесінің  негізгі сынарлары:

• Желінің қауіпсіздік саясаты;
• Аутентификациялау тетігі;
• Дестелердің сүзгілеу тетігі;
• Қолданбалық деңгейдің ретқақпасы;

Желіаралық экран таңдап алынған қауіпсіздік саясатын жүзеге асыруға бейімделіп құрамдар жиыны  болып табылады. Әр мекеменің желілік  қауіпсіздік саясаты және екі  құрамдас бөлікті қамтуы керек: желілік  сервистерге қолжеткізу саясаты  және желіаралық экрандарды іске асыру  саясаты.

Желілік сервистерге қолжеткізу саясаты мекемедегі ақпараттық ресурстарды  қорғауға байланысты сол мекеменің  жалпы саясатының нақтыламасы болуы  керек.  Желіаралық экран мекеменің  ресурстарын сәтті қорғау үшін пайдаланушылардың  желілік сервистерге қолжеткізу саясаты қабылданған саясатына  сәйкес (пайдаланушылар шектеулі түрде  қатынас құра алатын) Internet сервистерінің тізімі анықталады. Сондай-ақ Internet желісінің тыйым салынған сервистеріне пайдаланушылардың басқа жолмен қол жеткізбеуі үшін, қатынас құру әдістеріне шектеулер қойылады.

Желіаралық экран сервистерге  қолжеткізудің бірқатар саясаттарын  жүзеге асыра алады. Әдетте желілік  сервистерге қолжеткізу саясаты  келесі қағидаттардың біріне негізделген:

• Интернеттен ішкі желіге тыйым салу және ішкі желіден Интернетке шығуға рұқсат  беру;
• Тек жекелеген авторландырылған жүйелердің (мәселен, ақпараттық және пошталық серверлердің)  ғана жұмысын қамтамасыз ете отырып, Интернеттен ішкі желіге шектерген түрде қатынас құруға мүмкіндік беру.

Ішкі желі ресурстарына қатынас  құру ережесі желіаралық экрандарды жүзеге асыру саясатына сәйкес анықталады. Ішкі ресурстарға қатынас құру ережесі  мына қағидаттардың біреуінің негізінде  қалыптастырылады: 

А) анық түрде рұқсат етілгендердің  бәріне тыйым салу;

Б) анық түрде тыйым салынбағандардың бәріне тыйым салу.

Желіаралық экрандардың  көмегімен ішкі желіні қорғаудың  тиімділігі желілік сервистерге  және ішкі ресурстарына қатынас құрудың  таңдап алынған саясатымен қатар  желіаралық экранның негізгі сыңарларын іріктеу мен пайдалануға да байланысты болады.

Желіаралық экрандарға қойылатын  функционалдық талаптар:

• Желілік деңгейде сүзгілеу;
• Қолданбалық деңгейде сүзгілеу;
• Сүзгілеу және әкімшілік ету ережелерін баптау;
• Желілік аутентификациялау құралдарын енгізу;
• Тіркеу журналдарын ендіру және есепке алу.

Желіаралық экрандар тұжырымдамасының маңызды эелементтерінің бір  – аутентификациялау (пайдаланушының тұпнұсқалығын тексеру). Яғни пайдаланушы  тек өзінің дәл сол адам екендігін  дәллелденгеннен кейін ғана қызметтің  белгілі бір түрін пайдалануға  құқық ала алады. Мұндай жағдайда, сервис осы пайдаланушыға қандай қызмет түрлері рұқсат етілгендігін анықтау үдерісі авторизациялау деп аталады.

Қандай да бір болмасын пайдаланушының атынан сервисті қолдануға  сұраныс келіп түскен кезде, желіаралық экран осы адам үшін аутентификациялаудың қандай тәсілі белшіленгенін тексереді, одан кейін аутентификациялау серверіне  басқару міндетін жүктейді. Аутентификациялау  серверінен оң жауап алғаннан кейін, желіаралық экран пайдаланушының сұранысына сәйкес байласу орнатады. Әдетте, коммерциялық желіралық экрандардың көпшілігі  аутентификациялау сұлбаларының бірнеше  түрін қолдайды. Сондықтан, желілік  қауіпсіздік әкімшісінің осы  сұлбалардың ішінен ең тиімдісін  таңдап алуға мүмкіндігі бар.

Егер корпаративтік желіде Интернет тарапынан кіріс нұктелерін қорғау құралдары болса, сондай-ақ ,жекелеген  компьютерлер, корпаративтік серверлер  және жергілікті желінің үзінділерінің  қауіпсіздігін қамтамасыз ететін шешімдер болса, онда мұндай корпаративтік желі рұқсатсыз қатынас құрудан шын  мәнінде қорғалған деп санауға  болады. Жекелеген компьютерлердің, корпаративтік серверлердің, жергілікті желі үзінділерінің қауіпсіздігін  бөлініп-таратылған немесе дербес желіаралық экрандар ойдағыдай қамтамасыз ете  алады.

Компанияның ішкі корпоративтік  серверлері, әдетте Windows NT/2000/2003, Linux, Unix сияқты операциялық жүйелердің басқаруымен істейтін қолданбалар болып табылады. Осы себепті корпоративтік серверлерге әр түрлі шабуылдар жиі жасалынып тұрады.

Серверлерді қорғаудың қарапайым  тәсілі-серверлер мен Интернет арасындағы желіаралық экран орнату. Дұрыс пішінүйлесімдірілген кезде көптеген желіаралық экрандар ішкі серверлерді сыртқы қайкөйлерден қорғай алады, ал кейбіреулері DOS типті шабуылдарды анықтай және олардың алдын ала біледі.  Дегенмен, бұл тәсілдердің өзне тән кемшіліктері де бар. Корпоративтік серверлер жалғыз ғана желіаралық экранмен қорғалған болса, онда қатынас құруды бақылаудың барлық ережелері және деректер бір жерге жинақталған болып шығады. Осылайша, желіаралық экрандар желінің осал орнына (жіңішке жеріне) айналады да, оған түсетін жүктеменің өсуіне байланысты оның өнімділігі елеулі түрде төмендей бастайды.

Алдыңғы сұлбаның баламасы –қосымша серверлер қоб және әрбір сервердің алдына желіаралық экран орнату (мәселен, Checkpoint компаниясының Firewall-1 немесе Cisco компаниясының Cisco PIX Firewall). Желіаралық экран сервердің бөлінген ресурсына айналуына нәтижесінде ЖАЭ-нің «жіңішке жер» мәселесі шешіледі және желінің жалпы күй-жайына жеке желіаралық экранның істен шығуының тигізетін әсері азаяды. Бірақ, бұл жағдайда мекеменің жабдыққа кететін шығындарының көбейе түсетіні сөзсіз. Сонымен қатар, желге әкімшілік ету мен қызмет шығындары да өсе түседі.

Корпоративтік серверлерді  қорғау мәселенсін шешудің ең қолайлы  тәсілі –қауіпсіздік құралдарын олар қорғайтын сервермен бір платформада  орналастыру. Бұл мәселе бөлініп-тарататылған немесе дербес желіаралық экрандарды қолдану жолымен жүзеге асырылады. Мұндай шешімдер дәстүрлі желіаралық экранның функционалдық мүмкіндіктерін елеулі толықтыра түседі және оларды ішкі немесе Internet серврлерді қорғауда қолдануға болады. Бөлініп-таратылған желіаралық экрандар корпортивтік серверлерді сенімді түрде қорғайтын қосымша бағдарламалық қамтама болып табылады.

Сонымен желіаралық экран:

• жіберілетін ақпаратты деректерді тасымалдау құралдары мен орталарына (жерсеріктік арналарына, оптикалық байланыс арналарына, телефондық байласуларға т.б.) тәуелсіз қорғайды;
• өзгертуді талап етпей, кез кедген қолбанбаларды қорғайды;
• мекеменің өсуіне және қауіпсіздік саясаты талаптарының жетілдірілуіне қарай, оларды уақытта кеңейту және күрделендіру мүмкіндіктерін ескеретін, қорғаныштың масштабталатын жүйесін жүзеге асыруға мүмкіндік береді;
• жекелеген желілік ақпараттық жүйелер мен қолданбаларды (оларда қолданылатын желі топологиясына тәуелсіз) қорғайды;
• мекеменің ақпараттық жүйесін сыртқы орта шабуылдарынан қорғайды;
• тек сыртқы ашық байласуларға ған емес, сондай-ақ корпорацияның ішкі желілерінде де ақпаратты жолай ұстап қалудан және оны өзгертуден қорғайды;
• ақпараттық қауіпсіздіктің корпоративтік саясатының дамуына, технологиялардың жаңаруына, желінің кеңейуіне қарай жеңіл қайта пішінүйлесімдіруге болады.

 

 

Желіаралық экрандардың  жіктелімі

 

Қазіргі уақытта желіаралық экрандардың біріңғай және көпшілік мойындаған жүктелімі жоқ. Желіаралық экрандар көрсететін OSI (ФЖЭ, ашық жүйелер  әрекеттілігі) үлгісінің деңгейіне байланысты ЖАЭ-ның мынадай сыныптарын тап өтуге болады:

а) сүзгілейтін бағдарғылауыштар;

б) сеанстық деңгейдің ретқақпалары (circuit level gateway);

в) қолбанбалық деңгейлердің ретқақпалары (application –level gateway);

Бұларды желіаралық экрандардың  базалық сыңарлары деп қарауға  болады. Нақты айтқанда, тек кейбір желіаралық экрандар ғана осы аталған  сыңарлардың біреуінен тұрады.

Қауіпсіздікті ұйымдастыру  масштабына және мекемеде қабылданған  қауіпсіздік саясатына байланысты әр түрлі желіаралық экрандар қолданылуы мүмкін. Ондаған түйіндермен жұмыс  істейтін шағын мекемелер үшін, орталықтандырылған басқаруды қолданбай-ақ жергілікті пішінүйлесімдіруге мүмкіндік беретін ыңғайлы графикалық интерфейсі бар желіаралық экрандарды пайдалануға болады. Ал ірі кәсіпорындарда, жергілікті желіаралық экранды басқаруды жне ауани жекеше желілерге қолдау көрсетуді қамтамасыз ететін консолдары мен басқару менеджерлері бар жүйелерді қолданған дұрыс.