Jump to content

Галын хана

Википедиа — Чөлөөт нэвтэрхий толь
(Firewall-с чиглүүлэгдэв)
Галын ханын сүлжээн дэх байрлалыг үзүүлсэн зураглал

Тооцооллын салбарт галын хана хэмээх нь сүлжээний аюулгүй байдлын систем бөгөөд сүлжээний орж гарах урсгалыг тохируулсан дүрмийн дагуу хянадаг юм. Галын хана, итгэмжит, аюулгүй дотоод сүлжээ болон өөр нэгэн харь сүлжээ (жишээ нь, Интернэт) хооронд хаалт бий болгодог.[1] Галын хана уямж болон хатуумж хэрэгслийн аль алинаар хэрэглэгддэг. Хатуумжид суурилсан олон галын хана хамгаалдаг дотоод сүлжээндээ DHCP сэрвер гэх мэтийн нэмэлт үйлчилгээ үзүүлдэг.

Хувийн тооцоолуур дахь үйлдлийн систем уямжид суурилсан галын ханаар нийтлэг Интернэтээс хамгаалах боломж олгох нь бий. Мөнхүү сүлжээ хооронд өгөгдөл дамжуулдаг рүүтэр хэрэгслүүд галын ханын бүрэлдэхүүнтэй байдагаас гадна үүний эсрэгээр галын ханууд рүүтэрийн үндсэн үүргийг гүйцэтгэж байдаг.[2]

Өгөгдөл хаагуур түгж байгаагаас, өгөгдлийн урсгалыг хаана замдаж байгаагаас, мөн өгөгдлийн мөрдүүлж буй төлөвөөс хамааран олон төрлийн галын хана байдаг.[3]

Сүлжээний түвшин буюу пакет шүүлтүүр

[засварлах | кодоор засварлах]

Сүлжээний түвшний галын хана (мөн пакет шүүлтүүр ч гэдэг) бол TCP/IP протоколын багцын харьцангуй доод түвшинд ажилладаг ба тохируулсан дүрмийн цуглуулгад эс нийцсэн пакетыг галын ханаар нэвтрүүлэхгүй байх ажилтай. Галын ханын эрхлэгч дүрмийг тодорхойлж болох ба тэгээгүй тохиолдолд системийн өгөгдмөл дүрэм үйлчилж болно. "Пакет шүүлтүүр" хэмээх нэршил BSD үйлдлийн системээс үүдэлтэй.

Сүлжээний түвшний галын хана ерөнхийдөө хоёр дэд төрөлд багтдаг: төлөвтэй болон төлөвгүй. Төлөвтэй галын хана идэвхитэй горимыг бүртгэн байдаг ба тэдгээр "төлвийн мэдээллийг" ашиглан пакет боловсруулалтыг хурдасгадаг. Аливаа сүлжээний холболтыг хэд хэдэн үзүүлэлтээр дүрсэлж болдог. Эдгээрээс нэрлэвэл: үүсвэр ба зорьсон IP хаяг, UDP эсвэл TCP порт, холболтын наслалтын тухайн үе (горимын байгуулалт, гар барих, өгөгдөл дамжуулга, холболтын төгсгөл гэх зэрэг). Хэрэв аль нэг пакет бүртгэгдсэн холболттой таарахгүй бол шинэ холболтын дүрмийн дагуу боловсрогдох болно. Харин пакет галын ханын төлвийн хүснэгтээс үзээд бүртгэгдсэн холболт болж таарвал нэмж боловсруулалтанд оролгүй цааш явах юм.

Төлөвгүй галын хана илүү бага санах ой шаарддаг. Холболтын горим хайж олохоос бага хугацаа шаарддаг энгийн шүүлтүүрэнд хурдтай үйлчилж чаддаг. Мөн холболтын горимын ойлголт байхгүй сүлжээний төлөвгүй протоколын шүүлтүүр болдог тохиолдол бий. Гэвч энэ галын хана харилцагч хоорондын холболтын наслалтаас хамааран элдэв төвөгтэй шийдвэр гаргаж чаддаггүй.

Шинээр гарсан галын ханууд пакетын маш олон үзүүлэлтээр шүүж чаддаг болсон. Жишээ нь: үүсвэр IP хаяг, үүсвэр TCP ба UDP порт, зорьсон IP хаяг эсвэл порт, WWW, FTP гэх мэт зорьсон үйлчилгээ, зэрэг болно. Түүнчлэн протокол, TTL утга гэх мэтчилэн олон үзүүлэлтээр шүүж чаддаг байна.

Юникс хувилбаруудад нийтлэг ашиглагддаг пакет шүүлтүүрүүдээс нэрлэвэл: IPFilter (янз бүр), ipfw (FreeBSD/Mac OS X), NPF (NetBSD), PF (OpenBSD болон зарим BSD), iptables/ipchains (Линукс).

Хэрэглээний түвшин

[засварлах | кодоор засварлах]

Хэрэглээний түвшний галын хана гэж TCP/IP багцын хэрэглээний түвшинд (жишээ нь, бүх вэбхөтөчийн урсгал, эсвэл бүх тэлнет буюу ftp урсгал) ажилладаг галын ханыг хэлдэг ба тухайн програмаар орж гарч буй бүх пакетыг замдах чадвартай байдаг. Харин бусад пакетын урсгалыг хаадаг (ихэвчлэн явуулсан хүнд мэдэгдэлгүй орхидог).

Галын хана пакет шалган зохисгүй агуулга илрүүлж сүлжээний өт, трояаны тархалтыг хязгаарлах буюу тархалтаас сэргийлэх чадвартай. Нэмэлт шалгуур тавьснаар пакет дамжуулгад хоцролт үүсч болно.

Хэрэглээний галын хана аливаа процесс ирж буй холболтыг хүлээн зөвшөөрөх эсэхийг шийдэж ажилладаг. Ингэхдээ сокет хүсэлтэнд холбогдож хэрэглээний түвшин болон OSI загварын доод түвшин хоорондын холболтыг шүүдэг байна. Сокет хүсэлтэнд холбогддож хэрэглээний галын ханыг сокет шүүлтүүр ч гэж нэрлэдэг. Хэрэглээний галын ажиллагааны хувьд хана пакет шүүлтүүртэй төстэй ч процесс тус бүрт шүүлтүүрийн (зөвшөөр/хаа) дүрэм хэрэгжүүлж байдгаараа порт тус бүрээр холболт шүүдэгээс ялгаатай юм.

Төлөөлөгч сэрвер (прокси; зориулалтын техник хангамж эсвэл ерөнхий зориулалтын төхөөрөмж дээрх программ хангамж байдлаар ажиллах) ирж буй зарим пакетанд (жишээ нь, холболтын хүсэлт) програмын зүгээс хариулж, заримыг нь хаах байдлаар галын ханын үүрэг гүйцэтгэж болдог. Төлөөлөгч сэрвер бол ямар нэг сүлжээний програмын нэг сүлжээнээс нөгөөд хандах хаалга болдог. Энэ утгаар сүлжээний хэрэглэгчийг төлөөлөх үүрэгтэй байдаг.[1]

Төлөөлөгч аливаа дотоод сүлжээг гаднаас нь бусниулахад амаргүй болгож, дотоод сүлжээ доголдсон ч галын ханын цаанаас ирэх халдлагыг хорьсон хэвээр байж чадах юм (програмын төлөөлөгч бүрэн бүтэн, зөв тохиргоотой байх үед). Эсрэгээр, халдлага үйлдэгч нийтэд нээлттэй системийг булаан эзэлж, өөрийн зорилгодоо төлөөлөгч болгон ашиглаж болох юм. Энэ тохиолдолд төлөөлөгч бусад дотоод төхөөрөмжүүдэд өөрийгөө мөнөөх систем мөн хэмээн дүр үзүүлж байх юм. Хэдийгээр дотоод сүлжээний орон зайг ашигласнаар аюулгүй байдал дээшилдэг ч, эвдэн сүйтгэгчид хуурамч IP хаяг ашиглах зэргээр зорьсон сүлжээндээ пакет дамжуулах аргуудыг ашиглах боломжтой.

Сүлжээний хаягийн орчуулга

[засварлах | кодоор засварлах]

Галын хананууд сүлжээний хаягийн орчуулгын (NAT) боломжтой байх нь олонтаа. Галын ханаар хамгаалагдсан хостууд RFC 1918-д тодорхойлогдсон "хувийн хаягийн орон зай"-д хаягжилттай байдаг. Галын хана ихэвчлэн хамгаалсан хостуудын жинхэнэ хаягийг нуух чадвартай байдаг. NAT боломжийг анхлан хязгаарлагдмал тоотой IPv4 хаягжилтыг зохицуулахын тулд болон байгууллага дахь нийтийн хаягийн тоо болон хаягжилтын зардлыг бууруулахын тулд боловсруулан бүтээсэн юм. Хамгаалагдсан төхөөрөмжийн хаягийг нуух гэдэг сүлжээний тандалтаас хамгаалахад улам чухал болсон.[4]

Галын ханыг монгол хэлээр "галт хана" гэж эндүүрэн нэрлэх нь цөөнгүй. "Галд авалцсан хана" бус "галаас хамгаалдаг хана" болохыг дор тайлбарлав.

Барилга барихад гал нэвтрүүлдэггүй хана байдаг ба тэр нь нэг өрөөнд гарсан галыг бусад өрөө рүү нэвтрэхгүй байлгах үүрэгтэй байдаг. Галын хана муу эсвэл гал хэт их хүчтэй үед нэг өрөөнд гарсан гал бусад өрөө рүү дамжиж барилга тэр чигээрээ шатдаг байна.

Тооцооллын сүлжээнд хэрэглэдэг галын хана мөн дээрхтэй агаар нэг - Гаднаас орж ирэх галыг дотогш нэвтрүүлэхгүй байх үүрэгтэйгээс гадна, олон дэд сүлжээнүүдтэй тохиолдолд аль нэг сүлжээнд гарсан галыг бусад сүлжээ рүү дамжуулах ёсгүй. Дээд зэргийн нууцлалтай сүлжээ дэд хэсэг бүртээ галын ханатай байхын учир энэ юм.[5]

  1. 1.0 1.1 Oppliger, Rolf (May 1997). "Internet Security: FIREWALLS and BEYOND". Communications of the ACM. 40 (5): 94. doi:10.1145/253769.253802.
  2. Definition of Firewall, Check Point Resources
  3. "Firewalls". MemeBridge. Татаж авсан: 13 June 2014.
  4. "Advanced Security: Firewall". Microsoft. Татаж авсан: 2014-08-28.
  5. М.Очирхуяг. "Галт хана уу?, Галын хана уу?"