Port kompyuter tarmoqlari operatsion tizimdagi aloqaning so'nggi nuqtasidir. Ushbu atama qo'shimcha qurilmalarga ham tegishli, ammo dasturiy ta'minotda u ma'lum bir xizmat yoki jarayon turini aniqlaydigan mantiqiy tuzilishga ishora qiladi. Port har doim xostning IP-manzili yoki aloqa protokoli turi bilan bog'liq. U sessiya manzilini tayinlashni yakunlaydi. Port har bir protokol va manzil uchun 16-raqamli raqam yordamida, shuningdek port raqami deb nomlanadi. Ko'pincha ma'lum xizmatlarni aniqlash uchun ma'lum port raqamlari ishlatiladi. Ro'yxatdagi bir necha ming kishidan 1024 ta ma'lum raqamlar maxsus kelishuv asosida himoyalangan. Ular xostda aniq xizmat turlarini belgilaydilar. Jarayonlarni boshqarish uchun asosan portlardan foydalaniladigan protokollardan foydalaniladi. Bunga TCP uzatishni boshqarish protokoli yoki Internet Protocol to'plamidan foydalanuvchi Datagram protokoli kiradi.
Qiymat
TCP portlari kompyuterlar har uchida bir vaqtning o'zida bitta dasturni ishga tushirishi mumkin bo'lgan to'g'ridan-to'g'ri nuqta-bog'lanish uchun kerak emas. Ularga bo'lgan ehtiyoj ushbu mashinalar bir vaqtning o'zida bir nechta dasturni bajarishga qodir bo'lganidan keyin paydo bo'ldi. Ular o'zlarini zamonaviy paketli kommutatsiya qilingan tarmoqlarga ulangan deb topishdi. Mijoz-server arxitekturasi modelida portlar, dasturlar va tarmoq mijozlari xizmatni boshlash uchun ulanadi. Dastlabki ma'lumotlar almashinuvi port raqami bilan bog'langandan so'ng ular multiplekslash xizmatlarini ko'rsatadilar. U xizmat ko'rsatish so'rovlarining har bir nusxasini maxsus yo'nalishga almashtirish orqali ozod qilinadi. Muayyan raqamga ulanish amalga oshirilmoqda. Bu qo'shimcha mijozlarga kutishsiz xizmat ko'rsatishga imkon beradi.
Tafsilotlar
UDP va TCP o'zlarining segment sarlavhalarida maqsad port raqamini va manbasini ko'rsatish uchun ishlatiladi. Port raqami imzosiz 16-bitli raqam. U 0 dan 65535 gacha bo'lishi mumkin. Ammo TCP portlari 0 dan foydalana olmaydi, UDP uchun manba port ixtiyoriy. Nolga teng qiymat uning yo'qligini anglatadi. Ushbu jarayon Internet-rozetkada transport protokoli, port raqami va IP-manzil yordamida kirish yoki chiqish kanallarini bog'laydi. Ushbu jarayon bog'lanish deb ham ataladi. Bu tarmoq orqali ma'lumotlarni qabul qilish va uzatish imkonini beradi. Tarmoq dasturi operatsion tizim barcha dastur portlaridan chiquvchi ma'lumotlarni tarmoqqa uzatish uchun ishlatiladi. Shuningdek, u keladigan tarmoq paketlarini raqam va IP-manzilga mos ravishda yo'naltiradi. Xuddi shu IP-manzilga va portlarning kombinatsiyasiga transport protokoli, faqat bitta jarayonni bog'lash mumkin. Ixtiyoriy to'qnashuvlar deb ham ataladigan dasturlarning ishlamay qolishi, bir nechta dastur bir xil protokol yordamida bir xil IP-manzilda bir xil port raqamlari bilan aloqa o'rnatishga urinishda sodir bo'ladi.
Ular qanday qo'llaniladi
Umumiy xizmatlarni amalga oshiradigan dasturlarda mijozlarga xizmat ko'rsatish so'rovlarini qabul qilish uchun maxsus ajratilgan va taniqli UDP va TCP portlar ro'yxatidan foydalanish odatiy holdir. Ushbu jarayon telefonni tinglash deb ham ataladi. Bu taniqli portdan so'rov qabul qilishni va mijoz bilan server o'rtasida bir xil mahalliy port raqamidan foydalanib boshqasiga dialog o'rnatishni o'z ichiga oladi. Boshqa mijozlar ulanishni davom ettirishi mumkin. Buning iloji bor, chunki TCP aloqasi mahalliy va uzoq portlar va manzillar zanjiri sifatida aniqlanadi. Standart portlar UDP va TCP IANA yoki Internet tomonidan tayinlangan raqamlar idorasi tomonidan nazorat qilinadigan konvensiya bilan belgilanishi mumkin. Odatda, tarmoq xizmatlarining asosiy qismi birinchi navbatda Butun dunyo Internetda 1024 dan kichik port raqamlari ishlatiladi. Ko'pgina operatsion tizimlarda dasturlar ularga ulanish uchun maxsus imtiyozlarni talab qiladi. Shu sababli ular ko'pincha IP-tarmoqlarning ishlashi uchun juda muhim hisoblanadi. Boshqa tomondan, ulanishning oxirgi mijozi qisqa muddatli foydalanish uchun ajratilgan ulardan ko'proq foydalanishga intiladi. Shu sababli, vaqtinchalik portlar deb nomlangan.
Tuzilishi
TCP portlari transport paketining paket sarlavhasida kodlangan. Ularni nafaqat qabul qiluvchi va uzatuvchi shaxsiy kompyuterlar, balki tarmoq infratuzilmasining boshqa tarkibiy qismlari ham osonlikcha talqin qilishlari mumkin. Xususan, xavfsizlik devorlari odatda paketlarni maqsad port raqamlari va ularning manbalariga qarab ajratish uchun tuzilgan. Qayta yo'naltirish bunga klassik misoldir. Bitta kompyuterdagi bir qator portlarga ketma-ket ulanishga urinishlar ularni skanerlash deb ham ataladi. Bunday protseduralar, odatda, zararli nosozlik urinishlari yoki tarmoq ma'murlari bunday hujumlarni oldini olish uchun mumkin bo'lgan zaif tomonlarni izlashlari bilan bog'liq. TCP portini ochishga qaratilgan harakatlar kompyuterlar tomonidan yozib olinadi va boshqariladi. Ushbu texnikada server bilan uzluksiz aloqani ta'minlash uchun bir qator ortiqcha ulanishlar qo'llaniladi.
Foydalanish misollari
UDP va TCP portlaridan faol foydalaniladigan asosiy misol Internet-pochta tizimidir. Server elektron pochta bilan ishlash uchun ishlatiladi. Umuman olganda, u ikkita xizmatga muhtoj. Birinchi xizmat elektron pochta orqali va boshqa serverlardan tashish uchun ishlatiladi. Bunga oddiy pochta orqali uzatish protokoli (SMTP) yordamida erishiladi. SMTP xizmatining ilovasi kiruvchi so'rovlarni qayta ishlash uchun odatda TCP 25-portni tinglaydi. Boshqa xizmat - bu POP yoki IMAP. Ular serverdan elektron pochta xabarlarini olish uchun foydalanuvchilarning mashinalarida elektron pochta orqali mijoz dasturlari uchun talab qilinadi. POP xizmatlari 110 raqamli TCP portidan raqamlarni tinglashadi. Yuqoridagi barcha xizmatlar bitta kompyuterda ishlashi mumkin. Port raqami, bu sodir bo'lganda, masofaviy qurilma tomonidan so'ralgan xizmatni ajratib turadi. Agar server tinglash portining raqami to'g'ri aniqlangan bo'lsa, mijoz uchun ushbu parametr dinamik intervalgacha aniqlanadi. Mijozlar va server alohida hollarda IANA tomonidan tayinlangan maxsus TCP portlaridan foydalanadi. DHCP yaxshi misoldir. Bu erda mijoz baribir UDP 68 dan foydalanadi va server UDP 67 dan foydalanadi.
URL-larda foydalanish
Ba'zan port raqamlari Internetda yoki boshqa bir xil tabelalarda aniq ko'rinadi axborot resurslariURL kabi. HTTP standartlari TCP port 80 ga va HTTPS standartlari 443 portiga o'rnatiladi. Boshqa variantlar ham mavjud. Masalan, http://www.example.com:8080/path URL manzili veb-brauzerning hTTP-server 8080 ga ulanadi.
UDP va TCP portlarining ro'yxati
Yuqorida ta'kidlab o'tilganidek, IANA yoki InternetA tomonidan imzolangan raqamlar vakolatxonasi DNS-Root, IP-adreslash va boshqa Internet-protokol manbalarini global muvofiqlashtirish uchun javobgardir. Ushbu protseduralar taniqli Internet-xizmatlari uchun tez-tez ishlatiladigan portlarni ro'yxatdan o'tkazishni o'z ichiga oladi. Barcha port raqamlari uchta diapazonga bo'linadi: taniqli, ro'yxatdan o'tgan va shaxsiy yoki dinamik. 0 dan 1023 gacha raqamlarga ega bo'lgan taniqli portlar. Ularni tizim portlari deb ham atashadi. Ushbu diapazondagi yangi qiymatlarga talablar boshqa ro'yxatga olishlarga qaraganda ancha qat'iydir.
Misollari
Ma'lum portlar ro'yxatidagi portlarga quyidagilar kiradi:
- TCP 443 porti - HTTPS;
- 21 - Fayllarni uzatish protokoli;
- 22- xavfsiz qobiq;
- 25 - STMP pochtani uzatishning oddiy protokoli;
- 53 - DNS domen nomlari tizimi;
- 119 - Tarmoq yangiliklarini uzatish protokoli yoki NNTP;
- 80 - HTTP gipermatnli uzatish protokoli;
- 143 - Internet-xabarlarga kirish protokoli;
- 123 - NTP tarmog'ining vaqt protokoli;
- 161 - bu oddiy tarmoqni boshqarish protokoli SNMP.
Ro'yxatdan o'tgan portlarning raqamlari 1024 dan 49151 gacha bo'lishi kerak. Internet tomonidan tayinlangan raqamlar bo'yicha ma'muriyat barcha ma'lum va ro'yxatdan o'tgan diapazonlarning rasmiy ro'yxatini olib boradi. Chastotani yoki dinamik portlar 29152 dan 65535 gacha. Ushbu diapazondan foydalanishning biri vaqtinchalik portlar.
Yaratilish tarixi
Port raqamlari kontseptsiyasi ARPANETning dastlabki yaratuvchilari tomonidan ishlab chiqilgan. Dastur mualliflari va tizim ma'murlari o'rtasida norasmiy hamkorlik orqali ishlab chiqilgan. O'sha paytda "port raqami" atamasi hali ishlatilmagan. Masofali xost raqamlari qatori 40 bitli raqam edi. Dastlabki 32 bit bugungi IPv4 manziliga o'xshardi. Birinchi 8 bit eng ahamiyatli edi. Raqamning unchalik ahamiyatsiz qismi (ular 33 dan 40 gacha bitlar) AEN deb nomlangan ob'ektni bildiradi. Bu zamonaviy port raqamining prototipi edi. Soket raqamlari katalogini yaratish birinchi marta 1972 yil 26 martda taklif qilingan. Keyin tarmoq ma'murlariga har bir doimiy raqamni tarmoq xizmatlari va funktsiyalari bo'yicha tavsiflash tavsiya etildi. Keyinchalik ushbu ma'lumotnoma RFC 433 da 1972 yil qishda nashr etilgan. Unda xostlar ro'yxati, ularning port raqamlari va tarmoqdagi har bir tugun foydalanadigan mos funktsiya mavjud edi. Birinchi marta port raqamlarining rasmiy qiymatlari 1972 yil may oyida hujjatlashtirildi. Shu bilan birga, saqlash uchun maxsus ma'muriy funktsiya taklif qilingan ushbu reestr... TCP portlarining birinchi ro'yxati quyidagi oraliqlarga bo'lingan 256 AEN qiymatini o'z ichiga olgan:
- 0 dan 63 gacha - butun tarmoqning standart funktsiyalari;
- 64 dan 127 gacha - xostga xos funktsiyalar;
- 128 dan 239 gacha - kelajakda foydalanish uchun ajratilgan funktsiyalar;
- 240 dan 255 gacha - har qanday eksperimental funktsiya.
ARPANET-ning dastlabki kunlarida AEN asl ulanish protokoli va tarmoqni boshqarish dasturi komponentasi yoki NCP bilan ishlatilgan soket nomini ham tilga oldi. Bunday holda, NCP TCP / IP portlaridan foydalanadigan zamonaviy Internet protokollarining kashfiyotchisi bo'lgan.
UDP Ilovalari
UDP, boshqa ko'plab dasturlar qatorida Trivial File Transfer Protocol (TFTP), Simple Network Management Protocol (SNMP) va Routing Information Protocol (RIP) ni ham qo'llab-quvvatlaydi.
TFTP (oddiy fayl uzatish protokoli). Bu asosan operatsion tizimni kompyuterga fayl serveridan nusxalash va o'rnatish uchun ishlatiladi,
TFTP. TFTP - bu File Transfer Protocol (FTP) ga qaraganda kichikroq dastur. Odatda TFTP tarmoqlarda oddiy fayllarni uzatish uchun ishlatiladi. TFTP o'z xatosini va ketma-ket boshqarish mexanizmini o'z ichiga oladi va shuning uchun transport qatlamida qo'shimcha xizmatlarga ehtiyoj qolmaydi.
SNMP (Simple Network Management Protocol) ularga biriktirilgan tarmoqlar va qurilmalarni nazorat qiladi va boshqaradi va tarmoqning ishlashi haqida ma'lumot to'playdi. SNMP protokol ma'lumotlarini blokirovka qiluvchi xabarlarni yuboradi, bu tarmoqni boshqarish dasturini tarmoqdagi qurilmalarni kuzatishga imkon beradi.
RIP (Routing Information Protocol) ichki marshrutlash protokoli bo'lib, u Internetda emas, balki tashkilot ichida ishlatilishini anglatadi.
TCP ILOVALARI
TCP ko'plab boshqa dasturlar qatorida FTP, Telnet va Simple Mail Transfer Protocol (SMTP) ni ham qo'llab-quvvatlaydi.
FTP (Fayllarni uzatish protokoli) - bu FTP server dasturiga boshqa kompyuterga bog'langan ishlaydigan kompyuter dasturidan foydalangan holda fayllarni nusxalash uchun ishlatiladigan to'liq xususiyatli dastur. masofaviy kompyuter... Ushbu dastur yordamida fayllarni qabul qilish va yuborish mumkin.
Telnet sizga masofali qurilmada, odatda UNIX xostida, yo'riqchida yoki o'chirgichda terminal sessiyalarini o'rnatishga imkon beradi. Bu tarmoq ma'muriga kompyuterning ketma-ket portini boshqarish uchun tarmoq qurilmasini xuddi yaqin joyda boshqarish imkoniyatini beradi. Telnet foydaliligi belgilar rejimi buyrug'i sintaksisini ishlatadigan tizimlar bilan cheklangan. Telnet foydalanuvchi grafik muhitini boshqarishni qo'llab-quvvatlamaydi.
SMTP (oddiy pochtani uzatish protokoli) - bu Internet uchun pochta orqali uzatish protokoli. Bu elektron pochta xabarlarini uzatishni qo'llab-quvvatlaydi pochta mijozlari va pochta serverlari.
PORTLARNI YAXSHI BILAN
IANA tomonidan taniqli portlar 1023 va undan past oraliqda joylashgan. Ular Internet uchun zarur bo'lgan dasturlarga tayinlangan.
Ro'yxatdan o'tgan portlar
Ro'yxatdan o'tgan portlar IANA tomonidan kataloglanadi va 1024 dan 49151 gacha. Ushbu portlar Lotus Mail kabi litsenziyalangan dasturlarda qo'llaniladi.
DINAMIKA BERILADIGAN PORTLAR
Dinamik ravishda ajratilgan portlarga 49152 dan 65535 gacha raqamlar beriladi. Ushbu portlar uchun raqamlar ma'lum bir seans davomida dinamik ravishda beriladi.
Manbalar: Vikipediya, Microsoft, portscan.ru
Kompyuterimda qaysi portlar ochilganligini qanday bilishim mumkin?
- Windows uchun: Boshlash → "cmd" → Administrator sifatida ishga tushirish → "netstat -bn"
- Avast kabi antivirus dasturi xavfsizlik devoridagi faol portlarni ko'rish qobiliyatiga ega: Asboblar -\u003e Xavfsizlik devori -\u003e Tarmoq ulanishlari.
Shuningdek foydali buyruqlar netstat:
Ethernet statistikasini va barcha protokollar statistikasini ko'rsatish uchun quyidagi buyruqni kiriting:
netstat -e -s
Faqat TCP va UDP protokollari statistikasini ko'rsatish uchun quyidagi buyruqni kiriting:
netstat -s -p tcp udp
Har 5 soniyada faol TCP ulanishlarini va jarayon identifikatorlarini ko'rsatish uchun quyidagi buyruqni kiriting:
nbtstat -o 5
Raqamli shakl yordamida faol TCP ulanishlarini va jarayon identifikatorlarini ko'rsatish uchun quyidagi buyruqni kiriting:
nbtstat -n -o
Quyidagi holat qiymatlari TCP soketlari uchun amal qiladi:
| YO'Q | Yopiq. Soket ishlatilmayapti. |
| Tinglash (tinglash) | Kiruvchi ulanishlarni kutish. |
| SYN_SENT | Aloqa o'rnatishga faol harakat qilmoqda. |
| SYN_RECEIVED | Ulanishni dastlabki sinxronlash jarayoni olib borilmoqda. |
| O'RNATILDI | Aloqa o'rnatildi. |
| CLOSE_WAIT | Eng chekkasi uzilib qoldi; rozetkaning yopilishini kutish. |
| FIN_WAIT_1 | Soket yopilgan; ulanishni uzish. |
| Yopish | Soket yopiladi, so'ngra masofadagi tomon uzilib qoladi; Tasdiqlashni kutmoqdaman. |
| LAST_ACK | Masofadagi tomon uzilib, keyin rozetka yopiladi; Tasdiqlashni kutmoqdaman. |
| FIN_WAIT_2 | Soket yopilgan; uzoq tomonning uzilishini kutish. |
| TIME_WAIT | Soket yopiq, ammo tarmoqdagi paketlarni qayta ishlashni kutmoqda |
Eng ko'p ishlatiladigan portlar ro'yxati
| № | Port | Protokol | Tavsif | |
|---|---|---|---|---|
| 1 | 20 | FTP ma'lumotlari | Fayl uzatish protokoli - fayl uzatish protokoli. Ma'lumotlar porti. | |
| 2 | 21 | FTP nazorati | Fayl uzatish protokoli - fayl uzatish protokoli. Jamoalar uchun port. | |
| 3 | 22 | SSH | Secure SHell - bu "xavfsiz qobiq". Protokol masofaviy boshqarish operatsion tizim. | |
| 4 | 23 | telnet | TErminaL Tarmoq. Matn interfeysini tarmoq orqali amalga oshirish uchun protokol. | |
| 5 | 25 | SMTP | Oddiy pochta uzatish protokoli - bu oddiy pochta uzatish protokoli. | |
| 6 | 42 | G'ALABALAR | Windows Internet nomi xizmati. IP-manzillarni joylashtirish uchun NetBIOS kompyuter nomlarini xaritalash xizmati. | |
| 7 | 43 | Kim | "Kim". Domen nomlari va IP-manzillar egalari to'g'risida ro'yxatga olish ma'lumotlarini olish uchun protokol. | |
| 8 | 53 | DNS | Domen nomlari tizimi - domen nomlari tizimi. | |
| 9 | 67 | DHCP | Dynamic Host Configuration Protocol - protokol dinamik sozlash tugun. Dinamik IP olish. | |
| 10 | 69 | TFTP | Trivial File Transfer Protocol - bu oddiy fayl uzatish protokoli. | |
| 11 | 80 | HTTP / Veb | HyperText Transfer Protocol - Gipermatnli uzatish protokoli. | |
| 12 | 110 | POP3 | Post Office Protocol 3-versiyasi - elektron pochta xabarlarini qabul qilish protokoli, 3-versiya. | |
| 13 | 115 | SFTP | SSH fayllarni uzatish protokoli. Xavfsiz ma'lumotlarni uzatish protokoli. | |
| 14 | 123 | NTP | Tarmoq uchun vaqt protokoli. Kompyuterning ichki soatini sinxronlashtirish uchun protokol. | |
| 15 | 137 | NetBIOS | Tarmoqning asosiy kirish / chiqish tizimi. Tarmoq kiritish / chiqarish operatsiyalarini ta'minlash uchun protokol. Ism xizmati. | |
| 16 | 138 | NetBIOS | Tarmoqning asosiy kirish / chiqish tizimi. Tarmoq kiritish / chiqarish operatsiyalarini ta'minlash uchun protokol. Ulanish xizmati. | |
| 17 | 139 | NetBIOS | Tarmoqning asosiy kirish / chiqish tizimi. Tarmoq kiritish / chiqarish operatsiyalarini ta'minlash uchun protokol. Sessiya xizmati. | |
| 18 | 143 | IMAP | Internet xabarlariga kirish protokoli. Elektron pochtaga kirish uchun dastur qatlami protokoli. | |
| 19 | 161 | SNMP | Simple Network Management Protocol - bu oddiy tarmoqni boshqarish protokoli. Qurilmani boshqarish. | |
| 20 | 179 | BGP | Border Gateway Protocol, chegara shlyuzi protokoli. Dinamik marshrutlash protokoli. | |
| 21 | 443 | HTTPS | HyperText Transfer Protocol Secure) - bu shifrlashni qo'llab-quvvatlaydigan HTTP protokoli. | |
| 22 | 445 | SMB | Server xabarlarini blokirovka qilish. Fayllar, printerlar va tarmoq manbalari uchun masofaviy kirish protokoli. | |
| 23 | 514 | Syslog | Tizim jurnali. Davom etayotgan tizim voqealari to'g'risida xabarlarni yuborish va ro'yxatdan o'tkazish uchun protokol. | |
| 24 | 515 | LPD | Line Printer Daemon. Printerda masofadan bosib chiqarish protokoli. | |
| 25 | 993 | IMAP SSL | SSL shifrlashni qo'llab-quvvatlovchi IMAP protokoli. | |
| 26 | 995 | POP3 SSL | SSL shifrlashni qo'llab-quvvatlovchi POP3 protokoli. | |
| 27 | 1080 | Paypoq | SOCKet Secure. Xavfsiz anonim kirishni olish uchun protokol. | |
| 28 | 1194 | OpenVPN | Virtual Private Network (VPN) texnologiyasini ochiq manbali tatbiq etish. | |
| 29 | 1433 | MSSQL | Microsoft SQL Server bu ma'lumotlar bazasini boshqarish tizimi. Asosiy kirish porti. | |
| 30 | 1702 | L2TP (IPsec) | Virtual xususiy tarmoqni qo'llab-quvvatlash protokoli. Shuningdek, ma'lumotlarni himoya qilishni ta'minlaydigan protokollar to'plami. | |
| 31 | 1723 | PPTP | Nuqtadan serverga xavfsiz ulanish uchun tunnel protokoli. | |
| 32 | 3128 | Proksi-server | Hozirda port ko'pincha proksi-serverlar tomonidan ishlatiladi. | |
| 33 | 3268 | LDAP | Yengil katalogga kirish protokoli - engil katalogga kirish protokoli (katalog xizmati). | |
| 34 | 3306 | MySQL | Kirish MySQL ma'lumotlar bazalari ma'lumotlar. | |
| 35 | 3389 | RDP | Masofadagi ish stoli protokoli - Windows uchun ish stoli protokoli. | |
| 36 | 5432 | PostgreSQL | PostgreSQL ma'lumotlar bazalariga kirish. | |
| 37 | 5060 | SIP | Sessiyani tashkil etish va multimedia tarkibini uzatish uchun protokol. | |
| 38 | 5900 | VNC | Virtual Network Computing - bu kompyuter ish stoliga masofadan kirish tizimidir. | |
| 39 | 5938 | TeamViewer | TeamViewer - qo'llab-quvvatlash tizimi masofaviy boshqarish kompyuter va ma'lumotlar almashinuvi. | |
| 40 | 8080 | HTTP / Veb | HTTP protokoli uchun alternativ port. Ba'zan proksi-serverlar foydalanadi. | |
| 41 | 10000 | NDMP | Ommabop port: Webmin, SIP Voice, VPN IPSec TCP orqali. | |
| 42 | 20000 | DNP |
| 1-rasm: Asosiy Nmap skanerlash sessiyasi |
- Port 135 ko'plab Windows texnologiyalarining RPC so'nggi nuqtalarini xaritalash xususiyati tomonidan ishlatiladi - masalan, COM / DCOM dasturlari, DFS, voqealar jurnallari, fayllarni ko'paytirish dvigatellari, xabarlarni navbatga qo'yish va Microsoft Outlook. Ushbu port perimetri xavfsizlik devorida bloklanishi kerak, ammo Windows funksiyasini saqlab turganda uni yopish qiyin.
- Port 139 NetBIOS Session Service tomonidan ishlatiladi, bu boshqa kompyuterlarni qidirish brauzerini, fayllarni almashish xizmatini, Net Logon va Server xizmatlarini topishga imkon beradi. 135-port kabi yopilish qiyin.
- Port 445 Windows tomonidan ishlatiladi birgalikda ishlash fayllar bilan. Ushbu portni yopish uchun siz Microsoft Networks uchun Fayl va printer almashishni bloklashingiz kerak. Ushbu portni yopish kompyuterning boshqa masofaviy manbalarga ulanishiga to'sqinlik qilmaydi; ammo, boshqa kompyuterlar ushbu tizimga ulana olmaydi.
- 1025 va 1026 portlari dinamik ravishda ochiladi va boshqa tizim tomonidan qo'llaniladi windows jarayonlari, xususan, turli xil xizmatlar tomonidan.
- Port 3389 Remote Desktop tomonidan ishlatiladi, u sukut bo'yicha yoqilmagan, lekin mening sinov kompyuterimda faol. Portni yopish uchun Tizim xususiyatlari oynasidagi Masofadagi yorlig'iga o'ting va foydalanuvchilarga ushbu kompyuterga masofadan ulanishga ruxsat berish katagiga belgi qo'ying.
Ochiq UDP portlarini qidirib toping va keraksizlarini yoping. Skanerlash dasturi ko'rsatiladi ochiq portlar tarmoqdan ko'rinadigan kompyuterlar. Shu kabi natijalarni xost tizimida joylashgan vositalar yordamida olish mumkin.
Xostni skanerlash
Tarmoq porti skaneridan tashqari, xost tizimidagi ochiq portlarni quyidagi buyruq yordamida aniqlash mumkin (xost tizimida ishga tushirish).
Netstat - bir
Ushbu buyruq Windows va UNIX-da ishlaydi. Netstat kompyuterdagi faol portlarning ro'yxatini keltiradi. Windows 2003 Windows XP-da mos keladigan dastur identifikatorini (PID) olish uchun -o parametrini qo'shing. 2-rasmda avval portlar uchun skanerlangan o'sha kompyuter uchun Netstat chiqishi ko'rsatilgan. Iltimos, ilgari faol bo'lgan bir nechta portlar yopilganligini unutmang.
Xavfsizlik devori jurnalini tekshirish
Tarmoq orqali ma'lumotlarni yuboradigan yoki qabul qiladigan tarmoq dasturlarini aniqlashning yana bir foydali usuli bu xavfsizlik devori jurnalida ko'proq ma'lumotlarni to'plash va tahlil qilishdir. Xavfsizlik devorining tashqi interfeysidagi ma'lumotlarni sanab o'tilgan yozuvlarni rad etish "shovqin trafigi" (masalan, qurtlar, skanerlar, ping-testlar) Internetni to'sib qo'yganligi sababli foydali bo'lishi mumkin emas. Agar siz ruxsat berilgan paketlarni ichki interfeysdan kiritsangiz, barcha kiruvchi va chiquvchi tarmoq trafigini ko'rishingiz mumkin.
Tarmoqdagi xom trafik ma'lumotlarini ko'rish uchun siz tarmoqqa ulanadigan va aniqlangan har qanday tarmoq paketlarini yozib oladigan tarmoq analizatorini o'rnatishingiz mumkin. Eng ko'p ishlatiladigan bepul tarmoq analizatori UNIX uchun Tcpdump (Windows versiyasi Windump deb nomlanadi), bu sizning kompyuteringizga o'rnatilishi oson. Dasturni o'rnatgandan so'ng, uni barcha trafikni olish uchun barcha tarmoq paketlarini qabul qilish uchun sozlang, so'ngra uni tarmoq tugmachasidagi port monitoriga ulang va tarmoq orqali o'tadigan barcha trafikni kuzatib boring. Port monitorining konfiguratsiyasi quyida muhokama qilinadi. Tcpdump bu juda moslashuvchan dastur bo'lib, u sizga maxsus filtrlardan foydalangan holda tarmoq trafigini ko'rishga imkon beradi va faqat IP-manzillar va portlar yoki barcha paketlar haqida ma'lumot beradi. Tegishli filtrlarsiz katta tarmoqlarda tarmoq axlatxonalarini ko'rish qiyin, ammo muhim ma'lumotlarni yo'qotmaslik uchun ehtiyot bo'lish kerak.
Komponentlarni birlashtirish
Hozirgacha biz tarmoqdan foydalangan holda dasturlarni aniqlashda ishlatilishi mumkin bo'lgan turli usul va vositalarni ko'rib chiqdik. Ularni birlashtirib, ochiq tarmoq portlarini qanday aniqlashni ko'rsatadigan vaqt keldi. Tarmoqdagi suhbatdosh kompyuterlar juda ajoyib! Birinchidan, Microsoft hujjatini o'qish tavsiya etiladi ". Xizmatga umumiy nuqtai va tarmoq portiga qo'yiladigan talablar Windows Server tizim "( http://support.microsoft.com/default.aspx?scid\u003dkb;en-us;832017), bu protokollar (TCP va UDP) va ilovalar tomonidan ishlatiladigan port raqamlari va eng asosiylari ro'yxati windows xizmatlari Server. Ushbu hujjat ushbu xizmatlarni va ular foydalanadigan tegishli tarmoq portlarini tavsiflaydi. Buni administratorlar uchun yuklab olish va chop etish tavsiya etiladi windows tarmoqlari ma'lumotnoma.
Tarmoq analizatorining konfiguratsiyasi
Yuqorida ta'kidlab o'tilganidek, dasturlarda ishlatiladigan portlarni aniqlashning bir usuli bu kompyuterlar o'rtasidagi trafikni kuzatishda tarmoq analizatoridan foydalanishdir. Barcha trafikni ko'rish uchun siz tarmoq analizatorini kalitdagi port yoki port monitoriga ulashingiz kerak. Hubdagi har bir port har bir kompyuterning ushbu markazga ulangan barcha trafigini ko'radi, ammo hublar eskirgan texnologiya va aksariyat kompaniyalar ularni kalitlarga almashtirmoqda yaxshi ishlash, ammo tahlil qilish uchun noqulay: kalitning har bir porti faqat ushbu portga ulangan bitta kompyuterga yo'naltirilgan trafikni qabul qiladi. Butun tarmoqni tahlil qilish uchun siz kalitning har bir portiga yo'naltirilgan trafikni kuzatishingiz kerak.
Buning uchun kommutatorda port monitorini sozlash kerak (turli xil sotuvchilar uni oraliq port yoki aks ettirilgan port deb atashadi). Cisco Systems-dan Cisco Catalyst kalitiga port monitorini o'rnatish oson. Kommutatorda ro'yxatdan o'tishingiz va Enable rejimini yoqishingiz kerak, keyin terminal rejimini sozlashingiz va barcha kuzatilgan trafik yuborilishi kerak bo'lgan kalit portining interfeys raqamini kiriting. Nihoyat, barcha kuzatiladigan portlarni ko'rsatishingiz kerak. Masalan, quyidagi buyruqlar uchta Fast Ethernet portini kuzatib boradi va trafik nusxasini 24-portga yo'naltiradi.
Interfeysi FastEthernet0 / 24 portli monitor FastEthernet0 / 1 portli monitor FastEthernet0 / 2 portli monitor FastEthernet0 / 3 uchi
IN ushbu misol 24-portga ulangan tarmoq analizatori kalitning dastlabki uchta portiga ulangan kompyuterlarning barcha chiquvchi va kiruvchi trafiklarini ko'rib chiqadi. Yaratilgan konfiguratsiyani ko'rish uchun buyruqni kiriting
Xotirani yozing
Dastlabki tahlil
Tarmoq orqali o'tadigan ma'lumotlarni tahlil qilishning bir misolini ko'rib chiqamiz. Agar tarmoq tahlilidan foydalanilsa linux kompyuteri, statistik rejimda IPTraf kabi dastur yordamida tarmog'ingizdagi paketlarning turi va chastotasi to'g'risida to'liq tushuncha olishingiz mumkin. Trafik ma'lumotlarini Tcpdump yordamida topish mumkin.
TCP / IP - bu Internetning asosi bo'lib, u orqali kompyuterlar geografik joylashuvidan qat'i nazar dunyoning istalgan joyidan ma'lumot yuboradi va qabul qiladi. Boshqa mamlakatda TCP / IP kompyuteriga kirish qo'shni xonadagi kompyuter kabi oson. Kirish protsedurasi ikkala holatda ham bir xil, ammo boshqa mamlakatda mashinaga ulanish bir necha millisekundadan ko'proq vaqt talab qilishi mumkin. Natijada har qanday mamlakat fuqarolari Amazon.com saytida bemalol xarid qilishlari mumkin; ammo, mantiqiy yaqinlik tufayli, vazifa yanada murakkablashadi axborotni muhofaza qilish: Dunyoning istalgan nuqtasida Internetga ulangan kompyuterning har qanday egasi boshqa har qanday mashina bilan ruxsatsiz ulanishni o'rnatishga urinishi mumkin.
Xavfsizlik devorlari va shubhali trafikni aniqlash tizimlarini o'rnatish IT mutaxassisining vazifasidir. Paketni tahlil qilish manba va manzil IP-manzillari va shu bilan bog'liq bo'lgan tarmoq portlari haqida ma'lumot chiqaradi. Tarmoq portlarining qiymati IP-manzillardan kam emas; bu foydali trafikni tarmoqqa kiradigan va chiqadigan yolg'on va zararli xabarlardan ajratishning eng muhim mezonlari. Internet tarmog'i trafigining katta qismi TCP va UDP paketlaridan iborat bo'lib, ular kompyuterlar trafikni bir dasturdan ikkinchisiga yo'naltirish uchun foydalanadigan tarmoq portlari haqidagi ma'lumotlarni o'z ichiga oladi. Xavfsiz xavfsizlik devori va tarmoqning zaruriy sharti shundaki, administrator ushbu portlardan kompyuterlar va tarmoq qurilmalari tomonidan qanday foydalanilishini to'liq tushunishi kerak.
Portlarni o'rganish
Tarmoq portlarining asosiy printsiplarini bilish har qanday tizim ma'muri uchun foydali bo'ladi. TCP va UDP portlari haqida asosiy tushunchaga ega bo'lgan holda, ma'mur tarmoqdagi muhandis yoki xavfsizlik devori maslahatchisini chaqirmasdan, ishlamay qolgan tarmoq dasturini tashxislashi yoki kompyuterni Internetga kirish uchun himoya qilishi mumkin.
Ushbu maqolaning birinchi qismida (ikki qismdan iborat) tarmoq portlarini ko'rib chiqish uchun zarur bo'lgan asosiy tushunchalar tasvirlangan. Jami tarmoq portlarining joylashishi tarmoq modeli va tarmoq portlarining o'rni va NAT (Tarmoq manzilini tarjima qilish - tarjima tarmoq manzillari) kompaniyaning kompyuterlarida Internetga ulanadigan xavfsizlik devori. Va nihoyat, tegishli tarmoq portlarida tarmoq trafigini aniqlash va filtrlash qulay bo'lgan joyda tarmoq nuqtalari ko'rsatiladi. 2-qism umumiy dasturlar va operatsion tizimlar foydalanadigan ba'zi portlarni ko'rib chiqadi va tarmoqdagi ochiq portlarni topish uchun ba'zi vositalarni taqdim etadi.
Tarmoq protokollarining qisqacha sharhi
TCP / IP - bu kompyuterlar bir-biri bilan aloqa o'rnatadigan tarmoq protokollari to'plami. TCP / IP to'plami operatsion tizimga o'rnatilgan va ushbu protokollarga kirishni ta'minlaydigan dastur kodlari qismlaridan boshqa narsa emas. TCP / IP standart hisoblanadi, shuning uchun Windows mashinasidagi TCP / IP dasturlari UNIX mashinasidagi o'xshash dastur bilan muvaffaqiyatli aloqa qilishi kerak. Tarmoqning dastlabki kunlarida, 1983 yilda muhandislar kompyuterlarning kabel orqali dasturgacha qanday tarmoqlar orqali aloqa qilishini tasvirlash uchun yetti qatlamli OSI o'zaro ishlash modelini ishlab chiqdilar. OSI modeli fizik, ma'lumotlar havolasi, tarmoq, transport, sessiya ma'lumotlarini namoyish qilish va dastur qatlamlaridan iborat. Internet va TCP / IP ma'murlari birinchi navbatda tarmoq, transport va dastur qatlamlari bilan shug'ullanishadi, ammo muvaffaqiyatli tashxis qo'yish uchun ma'lum bo'lishi kerak bo'lgan boshqa qatlamlar mavjud. OSI modelining ancha yoshiga qaramay, ko'plab mutaxassislar uni ishlatadilar. Masalan, tarmoq muhandisi 1-darajali yoki 2-darajali kalitlarni gapirganda va xavfsizlik devori sotuvchisi 7-qatlamni boshqarish haqida gapirganda, ular OSI modelida aniqlangan qatlamlarni nazarda tutadi.
Ushbu maqola 4-qatlamda joylashgan tarmoq portlarini tasvirlaydi - transport. TCP / IP to'plamida ushbu portlar TCP va UDP protokollari tomonidan ishlatiladi. Ammo biz borishdan oldin batafsil tavsif bir daraja, siz OSI ning yetti qatlami va ular bajaradigan rol bilan qisqacha tanishishingiz kerak zamonaviy tarmoqlar TCP / IP.
1 va 2 qatlamlar: jismoniy kabellar va MAC-manzillar
Jismoniy 1-darajali signal signal tarqaladigan haqiqiy muhitni ifodalaydi - masalan, mis kabel, optik tolali kabel yoki radio signallari (Wi-Fi holatida). Qatlam 2, ma'lumotlar havolasi, jismoniy muhitda uzatish uchun ma'lumotlar formatini tavsiflaydi. 2-qatlamda paketlar freymlarga joylashtirilgan va asosiy oqim nazorati va xatolar bilan ishlashni amalga oshirish mumkin. Ethernet nomi bilan mashhur IEEE 802.3 standarti zamonaviy LAN uchun eng keng tarqalgan Layer 2 standartidir. Oddiy tarmoq kaliti - bu 2-darajali qurilma, bu orqali bir nechta kompyuterlar jismonan bir-biri bilan bog'lanib, o'zaro aloqa o'rnatadilar. Ba'zida IP-manzillari to'g'ri ko'rinsa ham, ikkita kompyuter bir-biriga ulana olmaydi: muammo, Layer 2 muammosini ko'rsatadigan, manzilni hal qilish protokoli (ARP) keshidagi xatolar tufayli bo'lishi mumkin. (Access Point, AP) faqat simsiz AP ulanishlariga ruxsat berish uchun MAC manzillarini filtrlashni ta'minlaydi tarmoq adapterlari ma'lum bir MAC manzili bilan.
3 va 4 qatlamlar: IP-manzillar va tarmoq portlari
Qatlam 3, tarmoqqa ulangan, marshrutizatsiyani qo'llab-quvvatlaydi. TCP / IP-da marshrutlash IP-da amalga oshiriladi. Paketning IP-manzili Layer 3-ga tegishli. Tarmoq routerlari - bu paketlarning IP-manzillarini tahlil qiladigan va paketlarni boshqa yo'riqchiga yo'naltiradigan yoki paketlarni mahalliy kompyuterlarga etkazib beradigan Layer 3 qurilmalari. Agar tarmoqda shubhali paket topilgan bo'lsa, birinchi navbatda paketning qaerdan kelib chiqqanligini aniqlash uchun paketning IP-manzilini tekshirish kerak.
Tarmoq qatlami bilan birgalikda Layer 4 (transport) tarmoq muammolarini aniqlash uchun yaxshi boshlanish nuqtasidir. Internetda Layer 4 TCP va UDP protokollarini va paketni ma'lum bir dastur bilan bog'laydigan tarmoq port ma'lumotlarini o'z ichiga oladi. Tarmoq to'plami Tarmoq trafigini ushbu dasturga yo'naltirish uchun kompyuter ilova bilan TCP yoki UDP tarmoq port aloqasidan foydalanadi. Masalan, TCP-port 80 veb-server dasturi bilan bog'langan. Ushbu portni dasturlarga xaritasi xizmat sifatida tanilgan.
TCP va UDP farq qiladi. Asosan, TCP ikkita dastur o'rtasida ma'lumot almashish uchun ishonchli aloqani ta'minlaydi. Muloqot qilishdan oldin, ikkita dastur TCP bilan uch bosqichli qo'l siqish jarayonini yakunlab, aloqa o'rnatishi kerak. UDP ko'proq yong'in va unutish usulidir. TCP dasturlari uchun aloqa ishonchliligi protokol bilan ta'minlanadi va UDP dasturi ulanishning ishonchliligini mustaqil ravishda tekshirishi kerak.
Tarmoq porti - bu 1 dan 65535 gacha bo'lgan raqam, ular o'rtasida aloqada bo'lgan ikkala dastur tomonidan ko'rsatilgan va ma'lum. Masalan, mijoz odatda serverga shifrlanmagan so'rovni TCP-portning 80-manzilidagi manzilga yuboradi. Odatda, kompyuter DNS-so'rovini DNS-serverga UDP portidagi 53-manzilda yuboradi. Mijoz va serverda manba va manzilning IP-manzili, shuningdek, farq qilishi mumkin bo'lgan manba va maqsadli tarmoq porti. Tarixiy jihatdan 1024 dan past bo'lgan barcha port raqamlari "taniqli port raqamlari" deb nomlangan va Internet tomonidan tayinlangan raqamlar idorasida (IANA) ro'yxatdan o'tgan. Ba'zi operatsion tizimlarda faqat tizim jarayonlari ushbu oraliqdagi portlardan foydalanishi mumkin. Bundan tashqari, tashkilotlar portni o'zlarining ilovalariga bog'lash uchun 1024 dan 49151 gacha bo'lgan portlarni IANA-da ro'yxatdan o'tkazishlari mumkin. Ushbu ro'yxatdan o'tish bitta port raqamidan foydalanmoqchi bo'lgan dasturlar o'rtasida ziddiyatlarning oldini olishga yordam beradigan tuzilmani taqdim etadi. Ammo, umuman olganda, hech qanday dastur boshqa faol dastur tomonidan band bo'lmasa, ma'lum bir portni talab qilishiga to'sqinlik qilmaydi.
Tarixiy jihatdan server kam raqamli portlarni tinglashi mumkin va mijoz yuqori raqamli portdan (1024 dan yuqori) ulanishni boshlashi mumkin. Masalan, veb-mijoz veb-serverga ulanishni 80-manzil portida ochishi mumkin, ammo TCP porti 1025 kabi o'zboshimchalik bilan manba portini birlashtirishi mumkin. Mijozga javoban veb-server mijozga paketini 80-manzil porti va 1025-manzil porti bilan murojaat qiladi. IP-manzil va portning kombinatsiyasi rozetka deb nomlanadi va kompyuterda noyob bo'lishi kerak. Shu sababli, bitta kompyuterda ikkita alohida veb-saytga ega bo'lgan veb-serverni o'rnatishda, siz 1: 80 va address2: 80 kabi bir nechta IP-manzillardan foydalanishingiz yoki veb-serverni bir nechta tarmoq portlarida tinglash uchun sozlashingiz kerak, masalan, 1: 80 va manzil 1: 81. Ba'zi veb-serverlar xost sarlavhasini so'rab, bir nechta veb-saytlarning bitta portda ishlashiga ruxsat beradi, ammo aslida bu funktsiyani ko'proq veb-server dasturi bajaradi. yuqori daraja 7.
Tarmoq funktsiyalari operatsion tizimlar va dasturlarda mavjud bo'lganligi sababli, dasturchilar IANA-da barcha dasturlarni ro'yxatdan o'tkazmasdan, 1024 dan yuqori portlardan foydalanishni boshladilar. Internetdan har qanday tarmoq portini qidirib, odatda ushbu portdan foydalanadigan dasturlar haqida ma'lumotni tezda topishingiz mumkin. Shu bilan bir qatorda, siz yaxshi ma'lum bo'lgan portlarni qidirishingiz va eng keng tarqalgan portlar ro'yxatini topadigan ko'plab saytlarni topishingiz mumkin.
Tarmoq dasturlarini kompyuterda blokirovka qilishda yoki xavfsizlik devoridagi nuqsonlarni bartaraf etishda ko'p ish Layer 3 IP-manzillari va Layer 4 protokollari va tarmoq portlarini tasniflash va filtrlash bilan bog'liq. TCP va UDP portlari.
Tarmoq portlarini bilish va ular bilan tanishish xavfsizlik devoriga qoidalar berish bilan chegaralanmaydi. Masalan, ba'zi tizim tuzatishlarida microsoft xavfsizligi NetBIOS portlarini yopish tartibini tavsiflaydi. Ushbu chora operatsion tizimdagi zaifliklar orqali kirib boradigan qurtlarni tarqalishini cheklashga yordam beradi. Ushbu portlarni qanday va qaerda yopish kerakligini bilib, siz juda muhim yamoqni joylashtirishga tayyorgarlik ko'rayotganda o'zingizning tarmog'ingiz uchun xavfni kamaytira olasiz.
Va to'g'ridan-to'g'ri 7-darajaga
Hozirgi kunda 5-qatlam (sessiya) va 6-qatlam (taqdimot) haqida kamdan-kam eshitiladi, ammo 7-darajali dastur (dastur) xavfsizlik devori sotuvchilari orasida dolzarb mavzudir. Tarmoq xavfsizlik devorlarini rivojlantirishning eng yangi tendentsiyasi - bu tarmoq protokollari bilan dasturning ishlashini tahlil qilish usullarini tavsiflovchi 7-darajali boshqarish. Tarmoq paketining foydali ma'lumotlarini tahlil qilib, xavfsizlik devori u orqali o'tadigan trafikning qonuniyligini aniqlashi mumkin. Masalan, veb-so'rovda Layer 4 paketining (TCP porti 80) ichida GET buyrug'i mavjud. Agar sizning xavfsizlik devoringiz Layer 7 xususiyatlarini amalga oshirsa, siz GET iborasini tasdiqlashingiz mumkin. Yana bir misol - ko'plab peer-to-peer (P2P) fayllarni almashish dasturlari 80-portni o'g'irlashi mumkin. Natijada, ruxsatsiz shaxs dasturni o'zi tanlagan portdan foydalanishi uchun sozlashi mumkin - ehtimol ushbu xavfsizlik devorida ochiq qolishi kerak bo'lgan port. Kompaniya xodimlariga Internetga kirish kerak bo'lsa, 80-portni ochish kerak, ammo qonuniy veb-trafikni kimdir tomonidan 80-portga yo'naltirilgan P2P trafigidan ajratish uchun xavfsizlik devori Layer 7 boshqaruvini ta'minlashi kerak.
Xavfsizlik devorining roli
Tarmoq qatlamlarini tavsiflab, orasidagi aloqa mexanizmining tavsifiga o'tishimiz mumkin tarmoq dasturlari xavfsizlik devorlari orqali, ishlatilgan tarmoq portlariga alohida e'tibor bering. Quyidagi misolda, mijozlar brauzeri xavfsizlik devori boshqa tomonidagi veb-server bilan aloqa o'rnatadi, xuddi kompaniya xodimi Internetdagi veb-serverga kirish kabi.
Ko'pgina Internet xavfsizlik devorlari 3 va 4 qatlamlarda ishlaydi, so'ngra kirish va chiqish tarmoqlarining trafigini tekshirish yoki ruxsat berish yoki blokirovka qilish uchun ishlaydi. Umuman olganda, administrator blokirovka qilinadigan yoki ruxsat beriladigan trafikning IP-manzillarini va tarmoq portlarini belgilaydigan Kirish nazorati ro'yxatlarini (ACL) yaratadi. Masalan, Internetga kirish uchun siz brauzerni ishga tushirasiz va uni veb-saytga yo'naltirasiz. Kompyuter sarlavha va foydali yukdan iborat bo'lgan IP-paketlar ketma-ketligini yuborish orqali chiquvchi ulanishni boshlaydi. Sarlavha marshrut ma'lumotlarini va boshqa paket atributlarini o'z ichiga oladi. Xavfsizlik devori qoidalari ko'pincha marshrut ma'lumotlarini hisobga olgan holda tuziladi va odatda manba va manzil IP-manzillarini (3-qavat) va paketli protokolni (4-qavat) o'z ichiga oladi. Internetni ko'rib chiqishda, manzilning IP-manzili veb-serverga tegishli bo'lib, protokol va manzil porti (standart) TCP 80. Manba IP-manzili - bu foydalanuvchi Internetni ko'rib chiqayotgan kompyuterning manzili va manba porti odatda dinamik ravishda berilgan raqam. 1024 dan oshdi. Foydali ma'lumotlar sarlavhaga bog'liq emas va foydalanuvchi dasturi tomonidan yaratiladi; bu holda, bu veb-serverga veb-sahifani taqdim etish uchun so'rov.
Xavfsizlik devori chiquvchi trafikni tahlil qiladi va xavfsizlik devori qoidalariga muvofiq unga imkon beradi. Ko'pgina kompaniyalar o'z tarmoqlaridan barcha chiquvchi trafikka ruxsat berishadi. Ushbu yondashuv konfiguratsiya va joylashishni soddalashtiradi, ammo tarmoqdan chiqadigan ma'lumotlar ustidan nazoratning etishmasligi xavfsizlikni pasaytiradi. Masalan, troyan oti korxona tarmog'idagi kompyuterga zarar etkazishi va shu kompyuterdan Internetdagi boshqa kompyuterga ma'lumot yuborishi mumkin. Bunday chiquvchi ma'lumotlarni blokirovka qilish uchun ACL yaratish mantiqan.
Ko'pgina xavfsizlik devorlari tomonidan chiqadigan yondashuvdan farqli o'laroq, ularning aksariyati kirish trafigini blokirovka qilish uchun tuzilgan. Odatda, xavfsizlik devorlari faqat ikkita holatda kirish trafigiga ruxsat beradi. Birinchisi, foydalanuvchi tomonidan oldindan yuborilgan so'rovga javoban keladigan trafik. Masalan, brauzerda veb-sahifaning manzilini ko'rsatsangiz, xavfsizlik devori HTML va veb-sahifaning boshqa tarkibiy qismlarini tarmoqqa kiritishga imkon beradi. Ikkinchi holat - Internetdagi ichki xizmatni joylashtirish, masalan pochta serveri, Veb yoki FTP sayti. Bunday xizmatni xosting qilish odatda port tarjimasi yoki serverni nashr qilish deb nomlanadi. Port tarjimasini amalga oshirish har bir xavfsizlik devori sotuvchisidan boshqasiga farq qiladi, ammo asosiy printsip bir xil. Ma'mur xizmatni belgilaydi, masalan, veb-server uchun TCP port 80 va xizmatni joylashtirish uchun ichki server. Agar paketlar xavfsizlik devoriga ushbu xizmatga mos keladigan tashqi interfeys orqali kirsa, u holda portni tarjima mexanizmi ularni tarmoqdagi xavfsizlik devori ortida yashiringan ma'lum bir kompyuterga yo'naltiradi. Port tarjimasi quyida tavsiflangan NAT xizmati bilan birgalikda ishlatiladi.
NAT asoslari
NAT kompaniyadagi bir nechta kompyuterlarga umumiy IP-manzillarning kichik maydonini bo'lishishga imkon beradi. Kompaniyaning DHCP-server IP-manzilni "Izohlar so'rovi" (RFC) № 1918-da belgilangan shaxsiy, Internetga yo'naltirilmaydigan IP-manzillar bloklaridan biridan ajratishi mumkin. Bir nechta kompaniyalar ham bir xil shaxsiy IP-manzil maydonidan foydalanishlari mumkin. Shaxsiy IP subnetslariga 10.0.0.0/8, 172.16.0.0/12 va 192.168.0.0/16 misollar keltirish mumkin. Internet-routerlar shaxsiy manzillardan biriga yo'naltirilgan har qanday paketlarni bloklaydi. NAT - bu shaxsiy IP-manzillardan foydalanadigan kompaniyalarga Internetdagi boshqa kompyuterlar bilan aloqa o'rnatishga imkon beruvchi xavfsizlik devori xususiyati. Xavfsizlik devori har qanday kompyuter Internetga kirish imkoniyatiga ega bo'lishi uchun shaxsiy ichki IP-manzillar uchun kirish va chiqish trafigini qanday efirga uzatishni biladi.
