Itifaki ya TCP/IP ndio msingi wa Mtandao, ambapo kompyuta hutuma na kupokea taarifa kutoka popote duniani, bila kujali eneo la kijiografia. Kufikia kompyuta ya TCP/IP katika nchi nyingine ni rahisi kama kufikia kompyuta katika chumba kinachofuata. Utaratibu wa ufikiaji unafanana katika hali zote mbili, ingawa kuunganisha kwenye mashine katika nchi nyingine kunaweza kuchukua milisekunde chache zaidi. Matokeo yake, raia wa nchi yoyote wanaweza kununua kwa urahisi kwenye Amazon.com; hata hivyo, kutokana na ukaribu wa kimantiki, kazi ya usalama wa habari inakuwa ngumu zaidi: mmiliki yeyote wa kompyuta iliyounganishwa kwenye mtandao popote duniani anaweza kujaribu kuanzisha muunganisho usioidhinishwa na mashine nyingine yoyote.
Ni wajibu wa wataalamu wa TEHAMA kusakinisha ngome na mifumo ili kugundua trafiki inayotiliwa shaka. Uchanganuzi wa pakiti hupata maelezo kuhusu chanzo na anwani za IP lengwa na bandari za mtandao zinazohusika. Thamani ya bandari za mtandao sio duni kwa anwani za IP; hivi ndivyo vigezo muhimu zaidi vya kutenganisha trafiki muhimu kutoka kwa ujumbe bandia na hatari unaoingia na kutoka kwenye mtandao. Trafiki nyingi za mtandao wa Intaneti huwa na pakiti za TCP na UDP, ambazo zina taarifa kuhusu bandari za mtandao ambazo kompyuta hutumia kuelekeza trafiki kutoka programu moja hadi nyingine. Sharti la lazima kwa ngome na usalama wa mtandao ni kwa msimamizi kuwa na ufahamu wa kina wa jinsi kompyuta na vifaa vya mtandao vinatumia milango hii.
Kusoma bandari
Ujuzi wa kanuni za msingi za uendeshaji wa bandari za mtandao zitakuwa muhimu kwa msimamizi wa mfumo wowote. Kwa ufahamu wa kimsingi wa bandari za TCP na UDP, msimamizi anaweza kutambua kwa kujitegemea programu iliyoshindwa ya mtandao au kulinda kompyuta ambayo itafikia Mtandao bila kumpigia simu mhandisi wa mtandao au mshauri wa ngome.
Sehemu ya kwanza ya kifungu hiki (kinachojumuisha sehemu mbili) inaelezea dhana za kimsingi zinazohitajika kujadili bandari za mtandao. Mahali pa bandari za mtandao katika muundo wa jumla wa mtandao na jukumu la bandari za mtandao na firewall ya NAT (Tafsiri ya Anwani ya Mtandao) katika viunganisho vya kompyuta za kampuni kwenye mtandao itaonyeshwa. Hatimaye, pointi za mtandao zitaonyeshwa ambayo ni rahisi kutambua na kuchuja trafiki ya mtandao kwenye bandari za mtandao zinazofanana. Sehemu ya 2 inaangalia baadhi ya milango inayotumiwa na programu za kawaida na mifumo ya uendeshaji na inatanguliza baadhi ya zana za kutafuta milango wazi ya mtandao.
Muhtasari mfupi wa itifaki za mtandao
TCP/IP ni seti ya itifaki za mtandao ambazo kompyuta huwasiliana. Kitengo cha TCP/IP si chochote zaidi ya vipande vya msimbo wa programu vilivyosakinishwa katika mfumo wa uendeshaji ambao hutoa ufikiaji wa itifaki hizi. TCP/IP ni kiwango, kwa hivyo programu za TCP/IP kwenye mashine ya Windows zinapaswa kuwasiliana kwa mafanikio na programu sawa kwenye mashine ya UNIX. Katika siku za mwanzo za mtandao, mnamo 1983, wahandisi walitengeneza muundo wa unganisho wa OSI wa safu saba ili kuelezea michakato ya mtandao wa kompyuta, kutoka kwa kebo hadi programu. Muundo wa OSI unajumuisha viungo vya kimwili, data, mtandao, usafiri, kipindi na tabaka za programu. Wasimamizi wanaofanya kazi mara kwa mara na Mtandao na TCP/IP kimsingi hushughulika na mtandao, usafiri na tabaka za maombi, lakini kwa ajili ya utambuzi wa mafanikio ni muhimu kujua tabaka nyingine. Licha ya umri wa juu wa mfano wa OSI, bado hutumiwa na wataalamu wengi. Kwa mfano, mhandisi wa mtandao anapozungumza kuhusu swichi za Tabaka la 1 au Tabaka la 2, au mchuuzi wa ngome anazungumza kuhusu udhibiti wa Tabaka la 7, anazungumzia tabaka zilizofafanuliwa katika muundo wa OSI.
Makala hii inazungumzia bandari za mtandao ziko kwenye safu ya 4 - usafiri. Katika safu ya TCP/IP, bandari hizi hutumiwa na itifaki za TCP na UDP. Lakini kabla ya kuingia katika maelezo ya safu moja, ni muhimu kuangalia kwa haraka tabaka saba za OSI na majukumu wanayocheza katika mitandao ya kisasa ya TCP/IP.
Tabaka la 1 na la 2: Kebo za kawaida na anwani za MAC
Safu ya 1, halisi, inawakilisha njia halisi ambayo mawimbi hupitia, kama vile kebo ya shaba, kebo ya fibre optic, au mawimbi ya redio (katika hali ya Wi-Fi). Safu ya 2, kiunga cha data, inaelezea umbizo la data kwa usambazaji katika hali halisi. Katika Safu ya 2, pakiti zimepangwa katika fremu na udhibiti wa msingi wa mtiririko na ushughulikiaji wa hitilafu unaweza kutekelezwa. Kiwango cha IEEE 802.3, kinachojulikana zaidi kama Ethernet, ndicho kiwango cha kawaida cha Tabaka 2 kwa mitandao ya kisasa ya eneo. Swichi ya kawaida ya mtandao ni kifaa cha Tabaka 2 ambacho kupitia kompyuta nyingi huunganisha na kubadilishana data. Wakati mwingine kompyuta mbili haziwezi kuunganishwa hata kama anwani za IP zinaonekana kuwa sahihi; tatizo linaweza kusababishwa na hitilafu katika kashe ya Itifaki ya Azimio la Anwani (ARP), ikionyesha tatizo kwenye Tabaka la 2. Zaidi ya hayo, baadhi ya sehemu za ufikiaji zisizo na waya (Ufikiaji). Point, AP) hutoa uchujaji wa anwani ya MAC, ikiruhusu tu adapta za mtandao zilizo na anwani mahususi ya MAC kuunganishwa kwenye AP isiyotumia waya.
Tabaka 3 na 4: Anwani za IP na bandari za mtandao
Safu ya 3, mtandao, inasaidia uelekezaji. Katika TCP/IP, uelekezaji unatekelezwa katika IP. Anwani ya IP ya pakiti ni ya Tabaka la 3. Vipanga njia vya mtandao ni vifaa vya Tabaka 3 ambavyo huchanganua anwani za IP za pakiti na kusambaza pakiti kwenye kipanga njia kingine au kuwasilisha pakiti kwa kompyuta za ndani. Ikiwa pakiti ya tuhuma imegunduliwa kwenye mtandao, hatua ya kwanza ni kuangalia anwani ya IP ya pakiti ili kuamua asili ya pakiti.
Pamoja na safu ya mtandao, safu ya 4 (usafiri) ni mahali pazuri pa kuanzia kwa utambuzi wa shida za mtandao. Kwenye Mtandao, Safu ya 4 ina itifaki za TCP na UDP na taarifa kuhusu bandari ya mtandao inayohusisha pakiti na programu mahususi. Rafu ya mtandao wa kompyuta hutumia mtandao wa TCP au UDP uhusiano wa bandari na programu kuelekeza trafiki ya mtandao kwa programu hiyo. Kwa mfano, bandari ya TCP 80 inahusishwa na programu ya seva ya Wavuti. Upangaji huu wa milango kwa programu unajulikana kama huduma.
TCP na UDP ni tofauti. Kimsingi, TCP hutoa muunganisho wa kuaminika kwa mawasiliano kati ya programu mbili. Kabla ya mawasiliano kuanza, maombi haya mawili lazima yaanzishe muunganisho kwa kukamilisha mchakato wa kupeana mkono wa TCP wa hatua tatu. UDP ni zaidi ya mbinu ya moto-na-kusahau. Kuegemea kwa uunganisho kwa programu za TCP kunahakikishwa na itifaki, lakini programu ya UDP inapaswa kuangalia kwa kujitegemea uaminifu wa uunganisho.
Lango la mtandao ni nambari kati ya 1 na 65535 ambayo imebainishwa na kujulikana kwa programu zote mbili ambazo mawasiliano yanaanzishwa. Kwa mfano, mteja kwa kawaida hutuma ombi ambalo halijasimbwa kwa seva katika anwani lengwa kwenye bandari ya TCP 80. Kwa kawaida, kompyuta hutuma ombi la DNS kwa seva ya DNS kwenye anwani inayolengwa kwenye mlango wa UDP 53. Mteja na seva zina chanzo. na anwani ya IP lengwa, na mlango wa mtandao wa chanzo na lengwa, ambazo zinaweza kutofautiana. Kihistoria, nambari zote za bandari zilizo chini ya 1024 zinaitwa "nambari za bandari zinazojulikana" na zimesajiliwa na Mamlaka ya Nambari Zilizokabidhiwa za Mtandao (IANA). Kwenye baadhi ya mifumo ya uendeshaji, michakato ya mfumo pekee ndiyo inaweza kutumia milango katika safu hii. Zaidi ya hayo, mashirika yanaweza kusajili bandari 1024 kupitia 49151 na IANA ili kuhusisha bandari na maombi yao. Usajili huu unatoa muundo unaosaidia kuepuka migongano kati ya programu zinazojaribu kutumia nambari ya mlango sawa. Walakini, kwa ujumla, hakuna chochote cha kuzuia programu kutoka kwa ombi la bandari maalum mradi tu haijachukuliwa na programu nyingine inayofanya kazi.
Kihistoria, seva inaweza kusikiliza kwenye milango yenye nambari za chini, na mteja anaweza kuanzisha muunganisho kwenye mlango wenye nambari za juu (zaidi ya 1024). Kwa mfano, mteja wa Wavuti anaweza kufungua muunganisho kwa seva ya Wavuti kwenye mlango wa 80, lakini akahusisha mlango chanzo uliochaguliwa kwa nasibu, kama vile TCP port 1025. Wakati wa kujibu mteja, seva ya Wavuti huelekeza pakiti kwa mteja na chanzo. bandari 80 na bandari fikio 1025. Mchanganyiko wa anwani ya IP na bandari inaitwa tundu na lazima iwe ya kipekee kwenye kompyuta. Kwa sababu hii, wakati wa kusanidi seva ya Wavuti iliyo na Wavuti mbili tofauti kwenye kompyuta moja, lazima utumie anwani nyingi za IP, kama vile anwani1:80 na anwani2:80, au usanidi seva ya Wavuti kusikiliza kwenye bandari nyingi za mtandao, kama vile. kama anwani1:80 na anwani1:81. Baadhi ya seva za Wavuti huruhusu Tovuti nyingi kufanya kazi kwenye mlango mmoja kwa kuomba kichwa cha mwenyeji, lakini utendakazi huu unafanywa na programu ya seva ya Wavuti kwenye safu ya juu ya 7.
Kadiri uwezo wa mitandao ulivyopatikana katika mifumo ya uendeshaji na programu, watengenezaji programu walianza kutumia nambari za bandari zilizo juu zaidi ya 1024 bila kusajili programu zote na IANA. Kwa kutafuta mtandao kwa mlango wowote wa mtandao, unaweza kupata taarifa haraka kuhusu programu zinazotumia mlango huo. Au unaweza kutafuta Bandari Zinazojulikana na kupata tovuti nyingi zinazoorodhesha bandari zinazojulikana zaidi.
Unapozuia programu za mtandao kwenye kompyuta au utatuzi wa hitilafu za ngome, kazi nyingi hutokana na kuainisha na kuchuja anwani za IP za Tabaka la 3 na itifaki za Tabaka la 4 na bandari za mtandao. Ili kutofautisha haraka kati ya trafiki halali na ya kutiliwa shaka, unapaswa kujifunza kutambua 20 zaidi. zinazotumika sana katika bandari za TCP na UDP za biashara.
Kujifunza kutambua na kuzoea milango ya mtandao huenda zaidi ya kugawa sheria za ngome. Kwa mfano, baadhi ya viraka vya usalama vya Microsoft huelezea jinsi ya kufunga bandari za NetBIOS. Kipimo hiki husaidia kupunguza kuenea kwa minyoo ambayo hupenya kupitia udhaifu katika mfumo wa uendeshaji. Kujua jinsi na mahali pa kufunga milango hii kunaweza kusaidia kupunguza hatari za usalama wa mtandao huku ukijiandaa kupeleka kiraka muhimu.
Na moja kwa moja hadi kiwango cha 7
Ni nadra kusikia kuhusu Tabaka 5 (kikao) na Tabaka la 6 (wasilisho) siku hizi, lakini Tabaka la 7 (maombi) ni mada motomoto miongoni mwa wachuuzi wa ngome. Mwelekeo mpya zaidi wa ngome za mtandao ni ukaguzi wa Tabaka la 7, ambao unafafanua mbinu zinazotumiwa kuchanganua jinsi programu inavyoingiliana na itifaki za mtandao. Kwa kuchambua mzigo wa pakiti ya mtandao, ngome inaweza kuamua ikiwa trafiki inayopita ndani yake ni halali. Kwa mfano, ombi la Wavuti lina taarifa ya GET ndani ya pakiti ya Tabaka 4 (TCP port 80). Ikiwa ngome yako ina utendaji wa Tabaka la 7, unaweza kuthibitisha kuwa taarifa ya GET ni sahihi. Mfano mwingine ni kwamba programu nyingi za kushiriki faili za peer-to-peer (P2P) zinaweza kuteka nyara bandari 80. Kwa sababu hiyo, mtu wa nje anaweza kusanidi programu kutumia bandari anayochagua - uwezekano mkubwa ni bandari ambayo inapaswa kuachwa wazi ndani. firewall iliyotolewa. Ikiwa wafanyikazi wa kampuni wanahitaji ufikiaji wa Mtandao, bandari 80 lazima ifunguliwe, lakini ili kutofautisha trafiki halali ya Wavuti kutoka kwa trafiki ya P2P iliyoelekezwa na mtu hadi bandari ya 80, firewall lazima itoe safu ya 7 ya udhibiti.
Jukumu la firewall
Baada ya kuelezea tabaka za mtandao, tunaweza kuendelea kuelezea utaratibu wa mawasiliano kati ya programu za mtandao kupitia ngome, tukizingatia sana bandari za mtandao zinazotumiwa. Katika mfano ufuatao, kivinjari cha mteja huwasiliana na seva ya Wavuti kwenye upande mwingine wa ngome, kama vile mfanyakazi wa kampuni angewasiliana na seva ya Wavuti kwenye Mtandao.
Ngome nyingi za Mtandao hufanya kazi katika safu ya 3 na 4 ili kuchunguza na kisha kuruhusu au kuzuia trafiki ya mtandao inayoingia na kutoka. Kwa ujumla, msimamizi anaandika orodha za udhibiti wa ufikiaji (ACLs) ambazo hufafanua anwani za IP na bandari za mtandao za trafiki ambazo zimezuiwa au kuruhusiwa. Kwa mfano, ili kufikia Wavuti, unahitaji kuzindua kivinjari na uelekeze kwenye Tovuti. Kompyuta huanzisha muunganisho unaotoka kwa kutuma mlolongo wa pakiti za IP zinazojumuisha kichwa na maelezo ya upakiaji. Kijajuu kina maelezo ya njia na sifa nyingine za pakiti. Sheria za ngome mara nyingi huandikwa kwa kuzingatia maelezo ya uelekezaji na kwa kawaida huwa na chanzo na anwani za IP (safu ya 3) na itifaki ya pakiti (safu ya 4). Wakati wa kuvinjari Wavuti, anwani ya IP ya mwisho ni ya seva ya Wavuti, na itifaki na bandari lengwa (kwa chaguo-msingi) ni TCP 80. Anwani ya IP ya chanzo ni anwani ya kompyuta ambayo mtumiaji hufikia Wavuti, na chanzo. bandari kawaida ni nambari iliyokabidhiwa kwa nguvu , kubwa kuliko 1024. Taarifa muhimu haitegemei kichwa na hutolewa na programu ya mtumiaji; katika kesi hii, ni ombi kwa seva ya Wavuti kutoa ukurasa wa Wavuti.
Firewall huchambua trafiki inayotoka na kuiruhusu kulingana na sheria za ngome. Makampuni mengi huruhusu trafiki yote ya nje kutoka kwa mtandao wao. Mbinu hii hurahisisha usanidi na utumiaji, lakini inapunguza usalama kwa sababu ya ukosefu wa udhibiti wa data inayoondoka kwenye mtandao. Kwa mfano, Trojan horse inaweza kuambukiza kompyuta kwenye mtandao wa biashara na kutuma taarifa kutoka kwa kompyuta hiyo hadi kwenye kompyuta nyingine kwenye mtandao. Inaleta maana kuunda orodha za udhibiti wa ufikiaji ili kuzuia habari kama hizo zinazotoka.
Tofauti na mbinu inayotoka ya ngome nyingi, nyingi zimeundwa ili kuzuia trafiki inayoingia. Kwa kawaida, ngome huruhusu trafiki inayoingia tu katika hali mbili. Ya kwanza ni trafiki inayofika kwa kujibu ombi linalotoka lililotumwa hapo awali na mtumiaji. Kwa mfano, ukielekeza kivinjari chako kwa anwani ya ukurasa wa Wavuti, ngome huruhusu msimbo wa HTML na vipengele vingine vya ukurasa wa Wavuti kuingia kwenye mtandao. Kesi ya pili ni kupangisha huduma ya ndani kwenye Mtandao, kama vile seva ya barua, Wavuti au tovuti ya FTP. Kupangisha huduma kama hiyo kwa kawaida huitwa tafsiri ya bandari au uchapishaji wa seva. Utekelezaji wa tafsiri ya bandari hutofautiana kati ya wachuuzi wa ngome, lakini kanuni ya msingi ni sawa. Msimamizi anafafanua huduma, kama vile TCP port 80 kwa seva ya Wavuti na seva ya nyuma ili kupangisha huduma. Ikiwa pakiti huingia kwenye firewall kupitia kiolesura cha nje kinacholingana na huduma hii, basi utaratibu wa kutafsiri bandari huwapeleka kwenye kompyuta maalum kwenye mtandao iliyofichwa nyuma ya ngome. Tafsiri ya bandari inatumika pamoja na huduma ya NAT iliyofafanuliwa hapa chini.
Misingi ya NAT
Kwa NAT, kompyuta nyingi katika kampuni zinaweza kushiriki nafasi ndogo ya anwani ya IP ya umma. Seva ya DHCP ya kampuni inaweza kutenga anwani ya IP kutoka kwa mojawapo ya vizuizi vya anwani ya IP vya faragha, visivyoweza kupitika vya Mtandao vilivyofafanuliwa katika Ombi la Maoni (RFC) Nambari 1918. Kampuni nyingi pia zinaweza kushiriki nafasi sawa ya anwani ya IP ya kibinafsi. Mifano ya subneti ndogo za IP ni 10.0.0.0/8, 172.16.0.0/12, na 192.168.0.0/16. Vipanga njia vya mtandao huzuia pakiti zozote zinazoelekezwa kwenye mojawapo ya anwani za faragha. NAT ni kipengele cha ngome ambacho huruhusu makampuni yanayotumia anwani za kibinafsi za IP kuwasiliana na kompyuta nyingine kwenye mtandao. Firewall inajua jinsi ya kutafsiri trafiki inayoingia na kutoka kwa anwani za kibinafsi za ndani za IP ili kila kompyuta iweze kufikia Mtandao.
Kuna aina mbili za kubadilishana data kutoka kwa kompyuta hadi kwa kompyuta - data ngurumo Na vikao. Datagramu ni ujumbe ambao hauhitaji uthibitisho wa kupokea kutoka kwa mhusika anayepokea, na ikiwa uthibitisho huo ni muhimu, mpokeaji lazima atume ujumbe maalum mwenyewe. Ili kubadilishana data kwa njia hii, vyama vya kupokea na kusambaza lazima vizingatie kikamilifu itifaki fulani ili kuepuka kupoteza habari. Kila datagramu ni ujumbe wa kujitegemea, na ikiwa kuna datagrams kadhaa kwenye LAN, utoaji wao kwa anwani, kwa ujumla, haujahakikishiwa. Katika hali hii, datagram kawaida ni sehemu ya ujumbe, na kwenye LAN nyingi kasi ya uwasilishaji ya datagramu ni kubwa zaidi kuliko ujumbe katika vipindi.
KATIKA kipindi inachukuliwa kuwa uunganisho wa mantiki umeundwa kwa kubadilishana ujumbe kati ya kompyuta na upokeaji wa ujumbe umehakikishiwa. Ingawa datagramu zinaweza kusambazwa kwa nyakati nasibu, katika kipindi kipindi hukatishwa kabla ya ujumbe kutumwa, na kipindi lazima kifungwe ubadilishanaji wa data utakapokamilika.
Mifumo ya uendeshaji ya kompyuta nyingi inasaidia hali ya multiprogramming, i.e. programu kadhaa zinaendeshwa kwa wakati mmoja (michakato kadhaa inayoendesha sambamba). Kwa kiwango fulani cha usahihi, tunaweza kusema kwamba mchakato huo ndio mwisho wa ujumbe. Hata hivyo, kwa sababu michakato huundwa na kukomeshwa kwa nguvu, mtumaji huwa na taarifa za kutosha kutambua mchakato huo kwenye kompyuta nyingine. Kwa hiyo, inakuwa muhimu kuamua marudio ya data kulingana na kazi zilizofanywa na taratibu, bila kujua chochote kuhusu taratibu zinazotekelezwa na kazi hizi.
Kwa vitendo, badala ya kufikiria mchakato kama mahali pa mwisho, kila kompyuta inadhaniwa kuwa na seti ya maeneo yanayoitwa bandari za itifaki. Kila bandari inatambuliwa na nambari kamili (0 hadi 65535). Katika kesi hiyo, mfumo wa uendeshaji hutoa utaratibu wa mawasiliano unaotumiwa na taratibu za kuonyesha bandari ambayo wanaendesha au bandari ambayo wanahitaji kufikia. Kwa kawaida, lango huwekwa Buffer, na data inayofika kwenye mlango fulani kabla ya mchakato kuwa tayari kuipokea haitapotea: itawekwa kwenye foleni hadi mchakato uipate.
Ili kuelewa vyema teknolojia ya bandari, fikiria ukienda benki kuweka amana. Ili kufanya hivyo, unahitaji kwenda kwenye dirisha fulani, ambapo operator atajaza nyaraka na utafungua akaunti. Katika mfano huu, benki inawakilisha kompyuta, na waendeshaji wa benki ni programu zinazofanya kazi maalum.Lakini madirisha ni bandari, na kila dirisha katika benki mara nyingi huhesabiwa (1, 2,3 ...).
Vile vile hutumika kwa bandari, kwa hiyo, ili kuwasiliana na bandari kwenye kompyuta nyingine, mtumaji lazima ajue anwani ya IP ya kompyuta ya mpokeaji na nambari ya bandari kwenye kompyuta. Kila ujumbe una nambari ya bandari ya kompyuta ambayo ujumbe unashughulikiwa, na nambari ya kituo cha chanzo cha kompyuta ambacho jibu linapaswa kutumwa. Hii inafanya uwezekano wa kujibu mtumaji kwa kila mchakato.
Bandari za TCP/IP zilizo na nambari 0 hadi 1023 zina upendeleo na hutumiwa na huduma za mtandao, ambazo, kwa upande wake, zinaendesha na haki za msimamizi (mtumiaji bora). Kwa mfano, huduma ya Kushiriki Faili ya Windows na Folda hutumia bandari 139, lakini ikiwa haifanyiki kwenye kompyuta, basi unapojaribu kufikia huduma hii (yaani, bandari hii), utapokea ujumbe wa kosa.
Bandari za TCP/IP 1023 hadi 65535 hazina upendeleo na hutumiwa na programu za mteja kupokea majibu kutoka kwa seva. Kwa mfano, kivinjari cha mtumiaji, wakati wa kufikia seva ya wavuti, hutumia bandari 44587 ya kompyuta yake, lakini hufikia bandari 80 ya seva ya wavuti. Baada ya kupokea ombi, seva ya wavuti hutuma jibu kwa bandari 44587, ambayo hutumiwa na kivinjari cha wavuti.
Kwa kifupi orodha ya bandari:1. TUKA: Tupa mlango (RFC 863)
2. FTP: 21 kwa amri, 20 kwa data
3. SSH: 22 (ufikiaji wa mbali)
4. Telnet: 23 (ufikiaji wa mbali)
5. SMTP: 25, 587
6. DNS: 53 (UDP)
7.DHCP: 67, 68/UDP
8. TFTP: 69/UDP
9. HTTP: 80, 8080
10.POP3: 110
11. NTP: 123 (seva ya wakati) (UDP)
12. IMAP: 143
13. SNMP: 161
14. HTTPS: 443
15. MySQL: 3306
16. Iserver: 3055
17. RDP: 3389 (ufikiaji wa mbali)
18. OSCAR (ICQ): 5190
19. XMPP (Jabber): 5222/5223/5269
20. Traceroute: zaidi ya 33434 (UDP)
21. BitTorrent: 6969, 6881-6889
...
1. RFC 863 - Itifaki ya Kuacha
Hati hii ina kiwango cha jumuiya ya mtandao ya ARPA. Wapangishi wa Mtandao wa ARPA wanaochagua kuauni itifaki ya Tupa wanatarajiwa kuzingatia vipimo hivi. Tupa ni zana muhimu ya kupima na kutatua hitilafu. Huduma hii inatupa tu data zote zilizopokelewa.
Huduma ya Tupa yenye msingi wa TCPO ni mojawapo ya vibadala vya huduma vya kutupa ambayo hutekelezwa kulingana na TCP. Seva husikiliza miunganisho ya TCP kwenye mlango wa 9. Muunganisho unapoanzishwa, data yote iliyopokelewa juu yake hutupwa bila kutuma majibu yoyote. Utupaji wa data unaendelea hadi muunganisho utakapokatishwa na mtumiaji.
Huduma ya Kutupa Kulingana na UDP - Kibadala kingine cha huduma ya kutupa kimejengwa juu ya UDP. Seva husikiliza datagramu za UDP kwenye bandari 9 na inapogunduliwa, hutupa datagramu zilizopokelewa bila kutuma taarifa yoyote.
2. FTP (Itifaki ya Uhamisho wa Faili) ni itifaki iliyoundwa kwa ajili ya kuhamisha faili kwenye mitandao ya kompyuta. FTP hukuruhusu kuungana na seva za FTP, kutazama yaliyomo kwenye saraka, na kupakua faili kutoka kwa seva au kwa seva; Kwa kuongeza, hali ya uhamisho wa faili kati ya seva inawezekana.
Bandari inayotoka 20, iliyofunguliwa kwa upande wa seva, hutumiwa kwa maambukizi ya data, bandari 21 - kwa maambukizi ya amri.
3. SSH (Kiingereza: Secure Shell - “secure shell”) - itifaki ya mtandao ya kiwango cha kikao ambayo inaruhusu udhibiti wa mbali wa mfumo wa uendeshaji na upangaji wa miunganisho ya TCP (kwa mfano, kwa uhamishaji wa faili). Mlango wa 22 hutumiwa kwa usimamizi wa mbali. kupitia programu za mteja itifaki ya ssh (SSH - Salama Shell) Unaweza kuifunga kwa kuzima programu ya udhibiti wa seva.
4. TELNET (Kiingereza TERminaL NETwork) - itifaki ya mtandao ya kutekeleza interface ya maandishi kwenye mtandao (katika hali yake ya kisasa - kwa kutumia usafiri wa TCP).
5. SMTP (Itifaki Rahisi ya Uhawilishaji Barua) ni itifaki ya mtandao iliyoundwa kwa ajili ya kutuma barua pepe kupitia mitandao ya TCP/IP. Ili kufanya kazi kupitia itifaki ya SMTP, mteja huunda muunganisho wa TCP kwa seva kupitia mlango wa 25.
Wakati mwingine watoa huduma hukataza kutuma barua kupitia lango 25, na kulazimisha mteja kutumia seva zao za SMTP pekee. Lakini, kama unavyojua, kuna ujanja ...
Kwa chaguo-msingi, postfix inafanya kazi tu kwenye bandari 25. Lakini unaweza kuifanya ifanye kazi kwenye bandari 587. Ili kufanya hivyo, unahitaji tu kufuta mstari kwenye /etc/postfix/master.cf faili:
kuwasilisha inet n - - - - smtpd
6. DNS (Kiingereza: Domain Name System) ni mfumo wa kompyuta unaosambazwa kwa ajili ya kupata taarifa kuhusu vikoa. Itifaki ya DNS hutumia TCP au UDP port 53 kujibu maombi.
7. DHCP (Itifaki ya Usanidi wa Mwenyeji Mwenye Nguvu) ni itifaki ya mtandao inayoruhusu kompyuta kupata kiotomatiki anwani ya IP na vigezo vingine muhimu ili kufanya kazi kwenye mtandao wa TCP/IP. Itifaki hii inafanya kazi kwa mfano wa seva ya mteja. Kwa usanidi wa kiotomatiki, kompyuta ya mteja, katika hatua ya usanidi wa kifaa cha mtandao, inawasiliana na kinachojulikana kama seva ya DHCP na inapokea vigezo muhimu kutoka kwake. Msimamizi wa mtandao anaweza kutaja anuwai ya anwani zinazosambazwa na seva kati ya kompyuta. Hii inakuwezesha kuepuka usanidi wa mwongozo wa kompyuta za mtandao na kupunguza idadi ya makosa. Itifaki ya DHCP inatumika katika mitandao mingi ya TCP/IP.Itifaki ya DHCP ni itifaki ya seva ya mteja, yaani, inahusisha mteja wa DHCP na seva ya DHCP. Usambazaji wa data unafanywa kwa kutumia itifaki ya UDP, na seva inapokea ujumbe kutoka kwa wateja kwenye bandari 67 na kutuma ujumbe kwa wateja kwenye bandari 68.
8. TFTP (Itifaki ya Uhamisho wa Faili ya Kiingereza ya Trivial) hutumiwa hasa kwa boot ya awali ya vituo vya kazi vya diskless. TFTP, tofauti na FTP, haina uwezo wa uthibitishaji (ingawa kuchuja kwa anwani ya IP kunawezekana) na inategemea itifaki ya usafiri ya UDP.
9. HTTP (iliyofupishwa kutoka kwa Itifaki ya Uhamisho ya HyperText ya Kiingereza - "itifaki ya uhamishaji wa maandishi kwa herufi kubwa") - itifaki ya kiwango cha maombi ya uhamishaji data (hapo awali katika mfumo wa hati hypertext). Bandari ya 80 ni bandari ya seva za wavuti. Bandari 80-83 wanawajibika kwa kazi kupitia itifaki ya HTTP.
10. POP3. Bandari ya 110 (uunganisho wa Opera POP3) inawajibika kwa kutuma na kupokea barua.
11. Itifaki ya Muda wa Mtandao (NTP) - itifaki ya mtandao ya kusawazisha saa ya ndani ya kompyuta kwa kutumia mitandao yenye latency ya kutofautiana Kuweka huduma ya wakati (NTP) katika Windows 2003 / 2008 / 2008 R2 ... na chanzo hufanyika kwa kutumia itifaki ya NTP - bandari ya UDP 123 .
12. IMAP (Itifaki ya Ufikiaji wa Ujumbe wa Mtandao) ni itifaki ya safu ya programu ya kufikia barua pepe. Inategemea itifaki ya usafiri ya TCP na hutumia bandari 143.
13. SNMP (Itifaki Rahisi ya Usimamizi wa Mtandao) ni itifaki ya usimamizi wa mtandao wa mawasiliano kulingana na usanifu wa UDP. Vifaa vinavyotumia SNMP kwa kawaida ni vipanga njia, swichi, seva, vituo vya kazi, vichapishaji, modemu, n.k. Huduma ya SNMP:
Inatumia API ya Soketi za Windows.
Hutuma na kupokea ujumbe kwa kutumia UDP (bandari 161) na hutumia IP kusaidia utumaji ujumbe wa SNMP.
Inakuja na maktaba za ziada (DLL) ili kusaidia MIB zisizo za kawaida.
Inajumuisha API ya Kidhibiti cha SNMP ya Microsoft Win32 ili kurahisisha usanidi wa programu ya SNMP.
14. HTTPS (Itifaki ya Uhamisho wa Hypertext Salama) - ugani wa itifaki ya HTTP ambayo inasaidia usimbaji fiche. Data inayotumwa kupitia itifaki ya HTTPS "imejaa" katika itifaki ya kriptografia ya SSL au TLS, na hivyo kuhakikisha ulinzi wa data hii. Tofauti na HTTP, HTTPS hutumia mlango wa TCP 443 kwa chaguo-msingi.
15. MySQL ni mfumo wa usimamizi wa hifadhidata bila malipo. MOJA LAKINI mysql haifanyi kazi. (ILIACHA KAZI KWA WAKATI n)
16. 3055-mtandao wa ndani.
17. RDP (Kiingereza: Remote Desktop Protocol) ni itifaki ya kiwango cha programu-miliki iliyonunuliwa na Microsoft kutoka Citrix, inayotumiwa kuhakikisha mtumiaji wa mbali anafanya kazi na seva inayoendesha huduma ya uunganisho wa terminal. Wateja wapo kwa karibu matoleo yote ya Windows (ikiwa ni pamoja na Windows CE na Mobile), Linux, FreeBSD, Mac OS X, Android, Symbian. Lango chaguo-msingi ni TCP 3389.
18. Seva ya ICQ.
19. XMPP (Itifaki ya Kueneza Ujumbe na Uwepo), ambayo zamani ilijulikana kama Jabber.
5222/5223 - mteja-server, 5269 - seva.
20. Traceroute ni programu ya matumizi ya kompyuta iliyoundwa ili kuamua njia za data kwenye mitandao ya TCP/IP. (vyanzo vingine vinaonyesha kuwa inatosha kutaja safu ya bandari kutoka 33434 hadi 33534)
21. BitTórrent (lit. Kiingereza “bit stream”) - itifaki ya mtandao ya peer-to-peer (P2P) ya kushiriki faili za ushirika kupitia mtandao.
20:11:35 20Itifaki ya TCP/IP ndio msingi wa Mtandao, ambapo kompyuta hutuma na kupokea taarifa kutoka popote duniani, bila kujali eneo la kijiografia. Kufikia kompyuta ya TCP/IP katika nchi nyingine ni rahisi kama kufikia kompyuta katika chumba kinachofuata. Utaratibu wa ufikiaji unafanana katika hali zote mbili, ingawa kuunganisha kwenye mashine katika nchi nyingine kunaweza kuchukua milisekunde chache zaidi. Matokeo yake, raia wa nchi yoyote wanaweza kununua kwa urahisi kwenye Amazon.com; hata hivyo, kutokana na ukaribu wa kimantiki, kazi ya usalama wa habari inakuwa ngumu zaidi: mmiliki yeyote wa kompyuta iliyounganishwa kwenye mtandao popote duniani anaweza kujaribu kuanzisha muunganisho usioidhinishwa na mashine nyingine yoyote.
Ni wajibu wa wataalamu wa TEHAMA kusakinisha ngome na mifumo ili kugundua trafiki inayotiliwa shaka. Uchanganuzi wa pakiti hupata maelezo kuhusu chanzo na anwani za IP lengwa na bandari za mtandao zinazohusika. Thamani ya bandari za mtandao sio duni kwa anwani za IP; hivi ndivyo vigezo muhimu zaidi vya kutenganisha trafiki muhimu kutoka kwa ujumbe bandia na hatari unaoingia na kutoka kwenye mtandao. Trafiki nyingi za mtandao wa Intaneti huwa na pakiti za TCP na UDP, ambazo zina taarifa kuhusu bandari za mtandao ambazo kompyuta hutumia kuelekeza trafiki kutoka programu moja hadi nyingine. Sharti la lazima kwa ngome na usalama wa mtandao ni kwa msimamizi kuwa na ufahamu wa kina wa jinsi kompyuta na vifaa vya mtandao vinatumia milango hii.
Kusoma bandari
Ujuzi wa kanuni za msingi za uendeshaji wa bandari za mtandao zitakuwa muhimu kwa msimamizi wa mfumo wowote. Kwa ufahamu wa kimsingi wa bandari za TCP na UDP, msimamizi anaweza kutambua kwa kujitegemea programu iliyoshindwa ya mtandao au kulinda kompyuta ambayo itafikia Mtandao bila kumpigia simu mhandisi wa mtandao au mshauri wa ngome.
Sehemu ya kwanza ya kifungu hiki (kinachojumuisha sehemu mbili) inaelezea dhana za kimsingi zinazohitajika kujadili bandari za mtandao. Mahali pa bandari za mtandao katika muundo wa jumla wa mtandao na jukumu la bandari za mtandao na firewall ya NAT (Tafsiri ya Anwani ya Mtandao) katika viunganisho vya kompyuta za kampuni kwenye mtandao itaonyeshwa. Hatimaye, pointi za mtandao zitaonyeshwa ambayo ni rahisi kutambua na kuchuja trafiki ya mtandao kwenye bandari za mtandao zinazofanana. Sehemu ya 2 inaangalia baadhi ya milango inayotumiwa na programu za kawaida na mifumo ya uendeshaji na inatanguliza baadhi ya zana za kutafuta milango wazi ya mtandao.
Muhtasari mfupi wa itifaki za mtandao
TCP/IP ni seti ya itifaki za mtandao ambazo kompyuta huwasiliana. Kitengo cha TCP/IP si chochote zaidi ya vipande vya msimbo wa programu vilivyosakinishwa katika mfumo wa uendeshaji ambao hutoa ufikiaji wa itifaki hizi. TCP/IP ni kiwango, kwa hivyo programu za TCP/IP kwenye mashine ya Windows zinapaswa kuwasiliana kwa mafanikio na programu sawa kwenye mashine ya UNIX. Katika siku za mwanzo za mtandao, mnamo 1983, wahandisi walitengeneza muundo wa unganisho wa OSI wa safu saba ili kuelezea michakato ya mtandao wa kompyuta, kutoka kwa kebo hadi programu. Muundo wa OSI unajumuisha viungo vya kimwili, data, mtandao, usafiri, kipindi na tabaka za programu. Wasimamizi wanaofanya kazi mara kwa mara na Mtandao na TCP/IP kimsingi hushughulika na mtandao, usafiri na tabaka za maombi, lakini kwa ajili ya utambuzi wa mafanikio ni muhimu kujua tabaka nyingine. Licha ya umri wa juu wa mfano wa OSI, bado hutumiwa na wataalamu wengi. Kwa mfano, mhandisi wa mtandao anapozungumza kuhusu swichi za Tabaka la 1 au Tabaka la 2, au mchuuzi wa ngome anazungumza kuhusu udhibiti wa Tabaka la 7, anazungumzia tabaka zilizofafanuliwa katika muundo wa OSI.
Makala hii inazungumzia bandari za mtandao ziko kwenye safu ya 4 - usafiri. Katika safu ya TCP/IP, bandari hizi hutumiwa na itifaki za TCP na UDP. Lakini kabla ya kuingia katika maelezo ya safu moja, ni muhimu kuangalia kwa haraka tabaka saba za OSI na majukumu wanayocheza katika mitandao ya kisasa ya TCP/IP.
Tabaka la 1 na la 2: Kebo za kawaida na anwani za MAC
Safu ya 1, halisi, inawakilisha njia halisi ambayo mawimbi hupitia, kama vile kebo ya shaba, kebo ya fibre optic, au mawimbi ya redio (katika hali ya Wi-Fi). Safu ya 2, kiunga cha data, inaelezea umbizo la data kwa usambazaji katika hali halisi. Katika Safu ya 2, pakiti zimepangwa katika fremu na udhibiti wa msingi wa mtiririko na ushughulikiaji wa hitilafu unaweza kutekelezwa. Kiwango cha IEEE 802.3, kinachojulikana zaidi kama Ethernet, ndicho kiwango cha kawaida cha Tabaka 2 kwa mitandao ya kisasa ya eneo. Swichi ya kawaida ya mtandao ni kifaa cha Tabaka 2 ambacho kupitia kompyuta nyingi huunganisha na kubadilishana data. Wakati mwingine kompyuta mbili haziwezi kuunganishwa hata kama anwani za IP zinaonekana kuwa sahihi; tatizo linaweza kusababishwa na hitilafu katika kashe ya Itifaki ya Azimio la Anwani (ARP), ikionyesha tatizo kwenye Tabaka la 2. Zaidi ya hayo, baadhi ya sehemu za ufikiaji zisizo na waya (Ufikiaji). Point, AP) hutoa uchujaji wa anwani ya MAC, ikiruhusu tu adapta za mtandao zilizo na anwani mahususi ya MAC kuunganishwa kwenye AP isiyotumia waya.
Tabaka 3 na 4: Anwani za IP na bandari za mtandao
Safu ya 3, mtandao, inasaidia uelekezaji. Katika TCP/IP, uelekezaji unatekelezwa katika IP. Anwani ya IP ya pakiti ni ya Tabaka la 3. Vipanga njia vya mtandao ni vifaa vya Tabaka 3 ambavyo huchanganua anwani za IP za pakiti na kusambaza pakiti kwenye kipanga njia kingine au kuwasilisha pakiti kwa kompyuta za ndani. Ikiwa pakiti ya tuhuma imegunduliwa kwenye mtandao, hatua ya kwanza ni kuangalia anwani ya IP ya pakiti ili kuamua asili ya pakiti.
Pamoja na safu ya mtandao, safu ya 4 (usafiri) ni mahali pazuri pa kuanzia kwa utambuzi wa shida za mtandao. Kwenye Mtandao, Safu ya 4 ina itifaki za TCP na UDP na taarifa kuhusu bandari ya mtandao inayohusisha pakiti na programu mahususi. Rafu ya mtandao wa kompyuta hutumia mtandao wa TCP au UDP uhusiano wa bandari na programu kuelekeza trafiki ya mtandao kwa programu hiyo. Kwa mfano, bandari ya TCP 80 inahusishwa na programu ya seva ya Wavuti. Upangaji huu wa milango kwa programu unajulikana kama huduma.
TCP na UDP ni tofauti. Kimsingi, TCP hutoa muunganisho wa kuaminika kwa mawasiliano kati ya programu mbili. Kabla ya mawasiliano kuanza, maombi haya mawili lazima yaanzishe muunganisho kwa kukamilisha mchakato wa kupeana mkono wa TCP wa hatua tatu. UDP ni zaidi ya mbinu ya moto-na-kusahau. Kuegemea kwa uunganisho kwa programu za TCP kunahakikishwa na itifaki, lakini programu ya UDP inapaswa kuangalia kwa kujitegemea uaminifu wa uunganisho.
Lango la mtandao ni nambari kati ya 1 na 65535 ambayo imebainishwa na kujulikana kwa programu zote mbili ambazo mawasiliano yanaanzishwa. Kwa mfano, mteja kwa kawaida hutuma ombi ambalo halijasimbwa kwa seva katika anwani lengwa kwenye bandari ya TCP 80. Kwa kawaida, kompyuta hutuma ombi la DNS kwa seva ya DNS kwenye anwani inayolengwa kwenye mlango wa UDP 53. Mteja na seva zina chanzo. na anwani ya IP lengwa, na mlango wa mtandao wa chanzo na lengwa, ambazo zinaweza kutofautiana. Kihistoria, nambari zote za bandari zilizo chini ya 1024 zinaitwa "nambari za bandari zinazojulikana" na zimesajiliwa na Mamlaka ya Nambari Zilizokabidhiwa za Mtandao (IANA). Kwenye baadhi ya mifumo ya uendeshaji, michakato ya mfumo pekee ndiyo inaweza kutumia milango katika safu hii. Zaidi ya hayo, mashirika yanaweza kusajili bandari 1024 kupitia 49151 na IANA ili kuhusisha bandari na maombi yao. Usajili huu unatoa muundo unaosaidia kuepuka migongano kati ya programu zinazojaribu kutumia nambari ya mlango sawa. Walakini, kwa ujumla, hakuna chochote cha kuzuia programu kutoka kwa ombi la bandari maalum mradi tu haijachukuliwa na programu nyingine inayofanya kazi.
Kihistoria, seva inaweza kusikiliza kwenye milango yenye nambari za chini, na mteja anaweza kuanzisha muunganisho kwenye mlango wenye nambari za juu (zaidi ya 1024). Kwa mfano, mteja wa Wavuti anaweza kufungua muunganisho kwa seva ya Wavuti kwenye mlango wa 80, lakini akahusisha mlango chanzo uliochaguliwa kwa nasibu, kama vile TCP port 1025. Wakati wa kujibu mteja, seva ya Wavuti huelekeza pakiti kwa mteja na chanzo. bandari 80 na bandari fikio 1025. Mchanganyiko wa anwani ya IP na bandari inaitwa tundu na lazima iwe ya kipekee kwenye kompyuta. Kwa sababu hii, wakati wa kusanidi seva ya Wavuti iliyo na Wavuti mbili tofauti kwenye kompyuta moja, lazima utumie anwani nyingi za IP, kama vile anwani1:80 na anwani2:80, au usanidi seva ya Wavuti kusikiliza kwenye bandari nyingi za mtandao, kama vile. kama anwani1:80 na anwani1:81. Baadhi ya seva za Wavuti huruhusu Tovuti nyingi kufanya kazi kwenye mlango mmoja kwa kuomba kichwa cha mwenyeji, lakini utendakazi huu unafanywa na programu ya seva ya Wavuti kwenye safu ya juu ya 7.
Kadiri uwezo wa mitandao ulivyopatikana katika mifumo ya uendeshaji na programu, watengenezaji programu walianza kutumia nambari za bandari zilizo juu zaidi ya 1024 bila kusajili programu zote na IANA. Kwa kutafuta mtandao kwa mlango wowote wa mtandao, unaweza kupata taarifa haraka kuhusu programu zinazotumia mlango huo. Au unaweza kutafuta Bandari Zinazojulikana na kupata tovuti nyingi zinazoorodhesha bandari zinazojulikana zaidi.
Unapozuia programu za mtandao kwenye kompyuta au utatuzi wa hitilafu za ngome, kazi nyingi hutokana na kuainisha na kuchuja anwani za IP za Tabaka la 3 na itifaki za Tabaka la 4 na bandari za mtandao. Ili kutofautisha haraka kati ya trafiki halali na ya kutiliwa shaka, unapaswa kujifunza kutambua 20 zaidi. zinazotumika sana katika bandari za TCP na UDP za biashara.
Kujifunza kutambua na kuzoea milango ya mtandao huenda zaidi ya kugawa sheria za ngome. Kwa mfano, baadhi ya viraka vya usalama vya Microsoft huelezea jinsi ya kufunga bandari za NetBIOS. Kipimo hiki husaidia kupunguza kuenea kwa minyoo ambayo hupenya kupitia udhaifu katika mfumo wa uendeshaji. Kujua jinsi na mahali pa kufunga milango hii kunaweza kusaidia kupunguza hatari za usalama wa mtandao huku ukijiandaa kupeleka kiraka muhimu.
Na moja kwa moja hadi kiwango cha 7
Ni nadra kusikia kuhusu Tabaka 5 (kikao) na Tabaka la 6 (wasilisho) siku hizi, lakini Tabaka la 7 (maombi) ni mada motomoto miongoni mwa wachuuzi wa ngome. Mwelekeo mpya zaidi wa ngome za mtandao ni ukaguzi wa Tabaka la 7, ambao unafafanua mbinu zinazotumiwa kuchanganua jinsi programu inavyoingiliana na itifaki za mtandao. Kwa kuchambua mzigo wa pakiti ya mtandao, ngome inaweza kuamua ikiwa trafiki inayopita ndani yake ni halali. Kwa mfano, ombi la Wavuti lina taarifa ya GET ndani ya pakiti ya Tabaka 4 (TCP port 80). Ikiwa ngome yako ina utendaji wa Tabaka la 7, unaweza kuthibitisha kuwa taarifa ya GET ni sahihi. Mfano mwingine ni kwamba programu nyingi za kushiriki faili za peer-to-peer (P2P) zinaweza kuteka nyara bandari 80. Kwa sababu hiyo, mtu wa nje anaweza kusanidi programu kutumia bandari anayochagua - uwezekano mkubwa ni bandari ambayo inapaswa kuachwa wazi ndani. firewall iliyotolewa. Ikiwa wafanyikazi wa kampuni wanahitaji ufikiaji wa Mtandao, bandari 80 lazima ifunguliwe, lakini ili kutofautisha trafiki halali ya Wavuti kutoka kwa trafiki ya P2P iliyoelekezwa na mtu hadi bandari ya 80, firewall lazima itoe safu ya 7 ya udhibiti.
Jukumu la firewall
Baada ya kuelezea tabaka za mtandao, tunaweza kuendelea kuelezea utaratibu wa mawasiliano kati ya programu za mtandao kupitia ngome, tukizingatia sana bandari za mtandao zinazotumiwa. Katika mfano ufuatao, kivinjari cha mteja huwasiliana na seva ya Wavuti kwenye upande mwingine wa ngome, kama vile mfanyakazi wa kampuni angewasiliana na seva ya Wavuti kwenye Mtandao.
Ngome nyingi za Mtandao hufanya kazi katika safu ya 3 na 4 ili kuchunguza na kisha kuruhusu au kuzuia trafiki ya mtandao inayoingia na kutoka. Kwa ujumla, msimamizi anaandika orodha za udhibiti wa ufikiaji (ACLs) ambazo hufafanua anwani za IP na bandari za mtandao za trafiki ambazo zimezuiwa au kuruhusiwa. Kwa mfano, ili kufikia Wavuti, unahitaji kuzindua kivinjari na uelekeze kwenye Tovuti. Kompyuta huanzisha muunganisho unaotoka kwa kutuma mlolongo wa pakiti za IP zinazojumuisha kichwa na maelezo ya upakiaji. Kijajuu kina maelezo ya njia na sifa nyingine za pakiti. Sheria za ngome mara nyingi huandikwa kwa kuzingatia maelezo ya uelekezaji na kwa kawaida huwa na chanzo na anwani za IP (safu ya 3) na itifaki ya pakiti (safu ya 4). Wakati wa kuvinjari Wavuti, anwani ya IP ya mwisho ni ya seva ya Wavuti, na itifaki na bandari lengwa (kwa chaguo-msingi) ni TCP 80. Anwani ya IP ya chanzo ni anwani ya kompyuta ambayo mtumiaji hufikia Wavuti, na chanzo. bandari kawaida ni nambari iliyokabidhiwa kwa nguvu , kubwa kuliko 1024. Taarifa muhimu haitegemei kichwa na hutolewa na programu ya mtumiaji; katika kesi hii, ni ombi kwa seva ya Wavuti kutoa ukurasa wa Wavuti.
Firewall huchambua trafiki inayotoka na kuiruhusu kulingana na sheria za ngome. Makampuni mengi huruhusu trafiki yote ya nje kutoka kwa mtandao wao. Mbinu hii hurahisisha usanidi na utumiaji, lakini inapunguza usalama kwa sababu ya ukosefu wa udhibiti wa data inayoondoka kwenye mtandao. Kwa mfano, Trojan horse inaweza kuambukiza kompyuta kwenye mtandao wa biashara na kutuma taarifa kutoka kwa kompyuta hiyo hadi kwenye kompyuta nyingine kwenye mtandao. Inaleta maana kuunda orodha za udhibiti wa ufikiaji ili kuzuia habari kama hizo zinazotoka.
Tofauti na mbinu inayotoka ya ngome nyingi, nyingi zimeundwa ili kuzuia trafiki inayoingia. Kwa kawaida, ngome huruhusu trafiki inayoingia tu katika hali mbili. Ya kwanza ni trafiki inayofika kwa kujibu ombi linalotoka lililotumwa hapo awali na mtumiaji. Kwa mfano, ukielekeza kivinjari chako kwa anwani ya ukurasa wa Wavuti, ngome huruhusu msimbo wa HTML na vipengele vingine vya ukurasa wa Wavuti kuingia kwenye mtandao. Kesi ya pili ni kupangisha huduma ya ndani kwenye Mtandao, kama vile seva ya barua, Wavuti au tovuti ya FTP. Kupangisha huduma kama hiyo kwa kawaida huitwa tafsiri ya bandari au uchapishaji wa seva. Utekelezaji wa tafsiri ya bandari hutofautiana kati ya wachuuzi wa ngome, lakini kanuni ya msingi ni sawa. Msimamizi anafafanua huduma, kama vile TCP port 80 kwa seva ya Wavuti na seva ya nyuma ili kupangisha huduma. Ikiwa pakiti huingia kwenye firewall kupitia kiolesura cha nje kinacholingana na huduma hii, basi utaratibu wa kutafsiri bandari huwapeleka kwenye kompyuta maalum kwenye mtandao iliyofichwa nyuma ya ngome. Tafsiri ya bandari inatumika pamoja na huduma ya NAT iliyofafanuliwa hapa chini.
Misingi ya NAT
Kwa NAT, kompyuta nyingi katika kampuni zinaweza kushiriki nafasi ndogo ya anwani ya IP ya umma. Seva ya DHCP ya kampuni inaweza kutenga anwani ya IP kutoka kwa mojawapo ya vizuizi vya anwani ya IP vya faragha, visivyoweza kupitika vya Mtandao vilivyofafanuliwa katika Ombi la Maoni (RFC) Nambari 1918. Kampuni nyingi pia zinaweza kushiriki nafasi sawa ya anwani ya IP ya kibinafsi. Mifano ya subneti ndogo za IP ni 10.0.0.0/8, 172.16.0.0/12, na 192.168.0.0/16. Vipanga njia vya mtandao huzuia pakiti zozote zinazoelekezwa kwenye mojawapo ya anwani za faragha. NAT ni kipengele cha ngome ambacho huruhusu makampuni yanayotumia anwani za kibinafsi za IP kuwasiliana na kompyuta nyingine kwenye mtandao. Firewall inajua jinsi ya kutafsiri trafiki inayoingia na kutoka kwa anwani za kibinafsi za ndani za IP ili kila kompyuta iweze kufikia Mtandao.
Katika Mtini. Kielelezo cha 1 kinaonyesha muunganisho wa kimsingi wa NAT kati ya mteja na seva ya Wavuti. Katika Hatua ya 1, trafiki iliyoelekezwa kwenye mtandao kutoka kwa kompyuta kwenye mtandao wa ushirika huingia kwenye interface ya ndani ya firewall. Firewall hupokea pakiti na hufanya ingizo kwenye jedwali la ufuatiliaji wa unganisho, ambalo hudhibiti tafsiri ya anwani. Ngome basi hubadilisha anwani ya chanzo cha kibinafsi ya pakiti na anwani yake ya nje ya umma ya IP na kutuma pakiti kwenye lengwa lake kwenye Mtandao (hatua ya 2). Kompyuta lengwa hupokea pakiti na kupeleka jibu kwa ngome (hatua ya 3). Mara tu ngome inapopokea pakiti hii, hutafuta chanzo cha pakiti asili kwenye jedwali la ufuatiliaji wa muunganisho, na kuchukua nafasi ya anwani ya IP lengwa na anwani ya IP ya kibinafsi inayolingana, na kupeleka pakiti kwenye kompyuta chanzo (hatua ya 4). Kwa sababu ngome hutuma pakiti kwa niaba ya kompyuta zote za ndani, hubadilisha mlango wa mtandao wa chanzo, na habari hii huhifadhiwa kwenye jedwali la ufuatiliaji la muunganisho wa ngome. Hii ni muhimu ili kuhakikisha kuwa soketi zinazotoka zinabaki za kipekee.
Ni muhimu kuelewa jinsi NAT inavyofanya kazi kwa sababu NAT hubadilisha anwani ya IP na bandari za mtandao za pakiti za trafiki. Uelewa huu husaidia katika kutambua makosa. Kwa mfano, inakuwa wazi kwa nini trafiki sawa inaweza kuwa na anwani tofauti za IP na bandari za mtandao kwenye miingiliano ya nje na ya ndani ya ngome.
Kwanza msingi, kisha muundo
Kuelewa kanuni za msingi za mitandao kutoka kwa programu, ngome, na pande za mlango sio tu kwa wahandisi wa mtandao. Leo, ni nadra kupata mfumo wa kompyuta ambao haujaunganishwa kwenye mtandao, na hata wasimamizi wa mfumo wanaweza kutatua shida zao kwa urahisi kwa kuelewa angalau misingi ya kutumia bandari za mtandao kuwasiliana na programu kupitia mtandao.
Sehemu ya pili ya kifungu itaangalia zana za kugundua programu kwenye mtandao kwa kuchambua bandari za mtandao zinazohusika. Ili kupata programu zinazofungua milango ya kusikiliza na zinazoweza kufikiwa kupitia mtandao, kompyuta inapigwa kura kupitia mtandao (scan scan) na ndani (scan host). Zaidi ya hayo, kwa kutazama kumbukumbu za firewall, unaweza kuchunguza trafiki ya mtandao inayovuka mpaka wa mtandao na kuangalia kwenye bandari mbalimbali za mtandao zinazotumiwa na programu za Windows na UNIX.
MAOMBI YA UDP
UDP pia inaauni Itifaki ya Uhawilishaji Faili Ndogo (TFTP), Itifaki Rahisi ya Kudhibiti Mtandao (SNMP), na Itifaki ya Taarifa ya Njia (RIP), kati ya programu zingine nyingi.
TFTP (Itifaki ya Kawaida ya Kuhamisha Faili). Inatumika sana kwa kunakili na kusanikisha mfumo wa kufanya kazi kwenye kompyuta kutoka kwa seva ya faili,
TFTP. TFTP ni programu ndogo kuliko Itifaki ya Uhamishaji Faili (FTP). Kwa kawaida, TFTP hutumiwa kwenye mitandao kwa uhamisho rahisi wa faili. TFTP inajumuisha udhibiti wake wa makosa na utaratibu wa nambari za mlolongo na, kwa hiyo, itifaki hii haihitaji huduma za ziada kwenye safu ya usafiri.
SNMP (Itifaki Rahisi ya Usimamizi wa Mtandao) hufuatilia na kudhibiti mitandao na vifaa vilivyoambatishwa kwao, na kukusanya taarifa kuhusu utendaji wa mtandao. SNMP hutuma ujumbe wa PDU unaoruhusu programu ya usimamizi wa mtandao kufuatilia vifaa kwenye mtandao.
RIP (Itifaki ya Taarifa za Uelekezaji) ni itifaki ya uelekezaji wa ndani, ambayo inamaanisha inatumika ndani ya shirika lakini si kwenye Mtandao.
MAOMBI YA TCP
TCP pia inasaidia FTP, Telnet, na Itifaki Rahisi ya Uhawilishaji Barua (SMTP), kati ya programu zingine nyingi.
FTP (Itifaki ya Uhawilishaji Faili) ni programu iliyoangaziwa kamili ambayo hutumiwa kunakili faili kwa kutumia programu ya mteja inayoendesha kwenye kompyuta moja iliyounganishwa na programu ya seva ya FTP kwenye kompyuta nyingine ya mbali. Kwa kutumia programu hii, faili zinaweza kupokelewa na kutumwa.
Telnet hukuruhusu kuanzisha vipindi vya wastaafu ukitumia kifaa cha mbali, kwa kawaida ni seva pangishi ya UNIX, kipanga njia, au swichi. Hii humpa msimamizi wa mtandao uwezo wa kudhibiti kifaa cha mtandao kana kwamba kiko karibu, kwa kutumia mlango wa mfululizo wa kompyuta kudhibiti. Umuhimu wa Telnet ni mdogo kwa mifumo inayotumia sintaksia ya amri kulingana na herufi. Telnet haitumii udhibiti wa mazingira ya picha ya mtumiaji.
SMTP (Itifaki Rahisi ya Uhamisho wa Barua) ni itifaki ya uhamishaji barua kwa Mtandao. Inasaidia uhamishaji wa ujumbe wa barua pepe kati ya wateja wa barua pepe na seva za barua pepe.
BANDARI MAZURI
Bandari zinazojulikana zimepewa na IANA na huanzia 1023 na chini. Wamepewa programu ambazo ni msingi wa Mtandao.
BANDARI ZILIZOSAJILIWA
Lango zilizosajiliwa zimeorodheshwa na IANA na huanzia 1024 hadi 49151. Lango hizi hutumiwa na programu zilizoidhinishwa kama vile Lotus Mail.
BANDARI ZILIZOPANGIWA KWA NGUVU
Bandari zilizogawiwa kwa nguvu zimepewa nambari kutoka 49152 hadi 65535. Nambari za bandari hizi huwekwa kwa nguvu kwa muda wa kipindi mahususi.
