ข้อมูลองค์ความรู้โดย
พงษ์สกล สุขสราญจิต
ตำแหน่ง การตลาด

:: FIREWALL::

ประเภททางด้าน IT หลัก :   Networking & Infrastructure
ประเภททางด้าน IT ย่อย :   Firewalls
  ลงข้อมูลเมื่อ 20:15:19 20/03/2013
  Page View (1726) แบ่งปัน

รู้จักกับ Firewall
 

ในความหมายทางด้านการก่อสร้างแล้ว ไฟร์วอลล์ จะหมายถึง กำแพงที่เอาไว้ป้องกันไฟไม่ให้ลุกลามไปยังส่วนอื่นๆ ส่วนทางด้านคอมพิวเตอร์นั้นก็จะมีความหมายคล้ายๆ กันก็คือ เป็นระบบที่เอาไว้ป้องกันอันตรายจากอินเตอร์เน็ตหรือเน็ตเวิร์กภายนอกนั่นเอง

ไฟร์วอลล์ เป็นคอมโพเน็นต์หรือกลุ่มของคอมโพเน็นต์ ที่ทำหน้าที่ในการควบคุมการเข้าถึง ระหว่างเน็ตเวิร์กภายนอกหรือเน็ตเวิร์กที่เราคิดว่าไม่ปลอดภัย กับเน็ตเวิร์กภายในหรือเน็ตเวิร์กที่เราต้องการจะป้องกัน โดยที่คอมโพเน็นต์นั้นอาจจะเป็นเราเตอร์ คอมพิวเตอร์ หรือเน็ตเวิร์ก ประกอบกันก็ได้ ขึ้นอยู่กับวิธีการหรือ Firewall Architecture ที่ใช้

 
รูปที่ 1 Firewall กั้นระหว่าง อินเตอร์เน็ตกับเน็ตเวิร์กภายใน
 
การควบคุมการเข้าถึงของไฟร์วอลล์นั้น สามารถทำได้ในหลายระดับ และหลายรูปแบบขึ้นอยู่ชนิดหรือเทคโนโลยีของไฟร์วอลล์ที่นำมาใช้ เช่น เราสามารถกำหนดได้ว่าจะให้มีการเข้ามาใช้เซอร์วิสอะไรได้บ้าง จากที่ไหน เป็นต้น
 
สิ่งที่ไฟร์วอลล์ช่วยได้
ไฟล์วอลล์สามารถช่วยเพิ่มความปลอดภัยให้กับระบบได้โดย
 
 
บังคับใช้นโยบายด้านความปลอดภัย โดยการกำหนดกฏให้กับ ไฟล์วอลล์ว่า จะอนุญาตหรือไม่ให้ใช้เซอร์วิสชนิดใด
 
ทำให้การพิจารณาดุแลและการตัดสินใจ ด้านความปลอดภัยของระบบเป็นไปได้ง่ายขึ้น เนื่องจากการติดต่อทุกชนิดกับเน็ตเวิร์คภายนอกนั้น จะต้องผ่านไฟร์วอลล์ การดูแลทค่จุดนี้ เป็นการดูแลความปลอดภัยในระบบดับของเน็ตเวอร์ค (Network-based Security)
  บันทึกข้อมูล กิจกรรมต่างๆ ที่ผ่านเข้าออกเน็ตเวิร์กได้อย่างมีประสิทธิภาพ
 
ป้องกันเน็ตเวิร์กบางส่วนจากการเข้าถึงของเน็ตเวิร์กภายนอก เช่น ถ้าหากเรามีบางส่วนที่ต้องการให้ ภายนอกเข้ามาใช้เซอร์วิส (เช่น ถ้ามีเว็บเซอร์ฟเวอร์) แต่ส่วนที่เหลือไม่ต้องการให้ภายนอกเช้ามา กรณี เช่นนี้เราสามารถใช้ไฟร์วอลล์ช่วยได้
 
ไฟล์วอลล์บางชนิด สามารถป้องกันไวรัสได้ โดยจะทำการตรวจไฟล์ที่โอนย้านผ่านทางโปรโตคอล HTTP, FTP และ SMTP
 
อะไรที่ไฟร์วอลล์ช่วยไม่ได้
ถึงแม้ว่าไฟร์วอลล์จะสามารถช่วยเพิ่มความปลอดภัยให้กับเน็ตเวิร์กได้มาก โดยการตรวจดูข้อมูลที่ผ่านเข้าออก แต่อย่าลืมว่าสิ่งเหล่านี้ไม่สามารถป้องกันได้จากการใช้ไฟร์วอลล์
 
อันตรายที่เกิดจากเน็ตเวิร์กภายใจ ไม่สามารถป้องกันได้ เนื่องจากอยู่ภายในเน็ตเวิร์กเอง ไม่ได้ผ่านไฟร์วอลล์เข้ามา
 
อันตรายจากภายนอกที่ไม่ได้ผ่านเข้ามาทางไฟร์วอลล์ เช่นการ Dial-up เข้ามายังเน็ตเวิร์กภายในโดยตรง โดยไม่ได้ผ่านไฟร์วอลล์
 
อันตรายจากวิธีการใหม่ๆ ที่เกิดขึ้น ทุกวันนี้มีการพบช่องโหว่ใหม่ๆ เกิดขึ้นทุกวัน เราไม่สามารถไว้ในไฟร์วอลล์โดยกาติดตั้งเีพียงครั้งเดียว แล้วก็หวังให้มันปลอดภัยตลอดไป เราต้องมีการดูแลรักษาอย่างต่อเนื่อง สม่ำเสมอ
 
ไวรัส ถึงแม้จะมีไฟร์วอลล์ บางชนิดที่สามารถป้องกันไวรัสได้ แต่ก็ยังไม่มี ไฟร์วอลล์ชนิดใดที่สามารถตรวจสอบไวรัสได้ในทุกๆ โปรโตคอล
 
ชนิดของไฟร์วอลล์
ชนิดของไฟร์วอลล์ แบ่งตามเทคโนโลยีที่ใช้ในการตรวจสอบ และควบคุมแบ่งได้เป็น
- Packet Filtering
- Proxy Service
- Stateful Inspection
 
Packet Filtering
Packet Filter คือเราเตอร์ที่ทำการหาเส้นทางและส่งต่อ (route) อย่างมีเงื่อนไข โดยจะพิจารณาจากข้อมูลส่วนที่อยู่ในเฮดเดอร์ (header) ของแพ็กเก็ตที่ผ่านเข้ามา เทียบกับกฎ (rules) ที่กำหนดไว้และตัดสินว่าควรจะทิ้ง (drop) แพ็กเก็ตนั้นไปหรือว่าจะยอม (accept) ให้แพ็กเก็ตนั้นผ่านไปได้
 
รูปที่ 2 ใช้ Screening Rounter ทำหน้าที่ Packet Filtering
 
ในการพิจารณาเฮดเดอร์ Packet Filter จะตรวจสอบในระดับของอินเตอร์เน็ตเลเยอร์ (Internet Layer) และทรานสปอร์ตเลเยอร์ (Transport Layer) ในอินเตอร์เน็ตโมเดล ซึ่งในอินเตอร์เน็ตเลเยอร์จะมีแอตทริบิวต์ที่สำคัญต่อ Packet Filtering ดังนี้
- ไอพีต้นทาง
- ไอทีปลายทาง
- ชนิดของโปรโตคอล (TCP UDPและ ICMP)

และในระดับของทรานสปอร์ตเลเยอร์ มีแอตทริบิวต์ที่สำคัญคือ

- พอร์ตต้นทาง
- พอร์ตปลายทาง
- แฟล็ก (Flag ซึ่งจะมีลักษณะในเฮดเดอร์ของแพ็กเก็ตTCP) 
- ชนิดของ ICMP message (ในแพ็กเกต ICMP)
 
ซึ่งพอร์ตของทรานสปอร์ตเลเยอร์ คือทั้ง TCP และ UDP นั้นจะเป็นสิ่งที่บอกถึงแอพพลิเคชันที่แพ็กเก็ตนั้นต้องการติดต่อด้วยเช่น พอร์ต 80 หมายถึง HTTP, พอร์ต 21 หมายถึง FTP เป็นต้น ดังนั้นเมื่อ Packet Filter พิจารณาเฮดเดอร์ จึงทำให้สามารถควบคุมแพ็กเก็ตที่มาจากที่ต่างๆ และมีลักษณะต่างๆ (ดูได้จากแฟล็กของแพ็กเก็ต หรือ ชนิดของ ICMP ในแพ็กเก็ต ICMP) ได้ เช่น ห้ามแพ็กเก็ตทุกชนิดจาก crack.cracker.net เข้ามายังเน็ตเวิร์ก 203.154.207.0/24 , ห้ามแพ็กเก็ตที่มีไอพีต้นทางอยู่ในเน็ตเวิร์ก 203.154.207.0/24 ผ่านเราเตอร์เข้ามา (ในกรณีนี้เพื่อเป็นการป้องกัน ip spoofing) เป็นต้น
 
Packet filtering สามารถอิมพลีเมนต์ได้จาก 2 แพล็ตฟอร์มคือ

1. เราเตอร์ที่มีความสามารถในการทำ Packet Filtering (ซึ่งมีในเราเตอร์ส่วนใหญ่อยู่แล้ว) 
2. คอมพิวเตอร์ที่ทำหน้าที่เป็นเราเตอร์

 
ซึ่งมีข้อได้เปรียบเสียเปรียบกันดังนี้
 
  ข้อดี ข้อเสีย
เราเตอร์ ประสิทธิภาพสูง มีจำนวนอินเตอร์เฟสมาก เพิ่มเิติมฟังก์ชั่นการทำงาน ได้ยาก อาจจะต้องการหน่วยความจำมาก
  เพิ่มฟังก์ชั่นการทำงานได้ ไม่จำกัด ประสิทธิภาพปานกลาง, จำนวน อินเตอร์เฟสน้อย อาจจะมีเสียง จากระบบปฏิบัติการที่ใช้
ตารางที่ 1 เปรียบเทียบข้อดีข้อเสียในการเลือกอุปกรณ์ม่ทำหน้าที่ Packet Filtering
 
ข้อดีข้อเสียของ Packet Filtering
ข้อดี ข้อเสีย
1. ไม่ขึ้นกับแอพลิเคชั่น
2. มีความเร็วสูง
3. รองรับการขยายตัวได้ดี
1. บางโปรโตคอล ไม่เหมาะสมกับการใช้ั Packet Filtering
 
Proxy

Proxy หรือ Application Gateway เป็นแอพพลิเคชันโปรแกรม ที่ทำงานอยู่บนไฟร์วอลล์ที่ตั้งอยู่ระหว่างเน็ตเวิร์ก 2 เน็ตเวิร์ก ทำหน้าที่เพิ่มความปลอดภัยของระบบเน็ตเวิร์ก โดยการควบคุมการเชื่อมต่อระหว่างเน็ตเวิร์กภายในและภายนอก Proxy จะช่วยเพิ่มความปลอดภัยได้มาก เนื่องจากมีการตรวจสอบข้อมูล ถึงในระดับของแอพพลิเคชันเลเยอร์ (Application Layer)

เมื่อไคลเอนต์ต้องการใช้เซอร์วิสภายนอก ไคลเอนต์จะทำการติดต่อไปยัง Proxy ก่อน ไคลเอนต์จะเจรจา (negotiate) กับ Proxy เพื่อให้ Proxy ติดต่อไปยังเครื่องปลายทางให้ เมื่อ Proxy ติดต่อไปยังเครื่องปลายทางให้แล้วจะมีการเชื่อมต่อ (connection) 2 การเชื่อมต่อ คือ ไคลเอนต์กับ Proxy และ Proxy กับเครื่องปลายทาง โดยที่ Proxy จะทำหน้าที่รับข้อมูลและส่งต่อข้อมูลให้ใน 2 ทิศทาง ทั้งนี้ Proxy จะทำหน้าที่ในการตัดสินใจว่าจะให้มีการเชื่อมต่อกันหรือไม่ จะส่งต่อแพ็กเก็ตให้หรือไม่

 
รูปที่ 3 ใช้ Dual-homed Host เป็น Proxy Server
 
ข้อดีข้อเสียของ Proxy
ข้อดี ข้อเสีย
1. มีความปลอดภัยสูง 
2. รู้จักข้อมูลในระดับแอพลิเคชั่น
1. ประสิทธิภาพต่ำ
2. แต่ละบริการมักจะต้องการโพรเซส ของตนเอง
3. สามารถขยายตัวได้ยาก
 
Stateful Inspection Technology

โดยปกติแล้ว Packet Filtering แบบธรรมดา(ที่เป็น Stateless แบบที่มีอยู่ในเราเตอร์ททั่วไป) จะควบคุมการเข้าออกของแพ็กเก็ตโดยพิจารณาข้อมูล จากเฮดเดอร์ของแต่ละแพ็คเก็ต นำมาเทียบกับกฏที่มีอยู่ ซึ่งกฏที่มีอยู่ก้อจะเป็นกฏที่สร่างจากข้อมูลส่วนที่ อยู่ในเฮดเดอร์เท่านั้น ดังนั้น Packet Filtering แบบธรรมดาจึงไม่สามารถทราบได้ว่า แพ็กเก็ตนี้อยู่ส่วนใดของการเชื่อมต่อ เป็นแพ็กเก็ตที่เข้ามาติดต่อใหม่หรือเปล่า หรือว่าเป็นแพ็กเก็ตที่เป็นส่วนของการเชื่อมต่อที่เกิดขึ้นแล้ว เป็นต้น

Stateful Inspection เป็นเทคโนโลยีที่เพิ่มเข้าไปใน Packet Filtering โดยการพิจารณาว่าจะยอมให้แพ็กเก็ตผ่านไปนั่น แทนที่จะดูข้อมูลจากเฮดเดอร์เพียงอย่างเดียว Stateful Inspection จะนำเอาส่วนข้อมูลของแพ็คเก็ต (message content) และข้อมูลที่ได้จากแพ็กเก็ตก่อนหน้านี้ที่ได้ทำการบันทึกเอาไว้ นำมาพิจารณาด้วย จึงทำให้สามารถระบุได้ว่า แพ็คเก็ตใดเป็นแพ็คเก็ตที่ติดต่อเข้ามาใหม่ หรือว่าเป็นส่วนหนึ่งของการเชื่อมต่อที่มีอยู่แล้ว

 
ตัวอย่างผลิตภัณฑ์ทางการต้าที่ใช้ Stateful Inspection Technology ได้แก่
 
- Check Point Firewall -1
- Cisco Secure Pix Firewall
- SunScreen Secure Net
 
และส่วนที่เป็น Open source แจกฟรีได้แก่

- NetFilter ใน Linux (iptables ในลีนุกซ์เคอร์เนล 2.3 เป็นต้นไป)

ที่มา : http://www.it.co.th



องค์ความรู้ที่มีผู้อ่านมากสุด
:: DISPLAY CARD ::
การ์ดแสดงผล หลักการทำงานพื้นฐานของการ์ดแสดงผลจะเริ่มต้นขึ้น เมื่อโปรแกรมต่างๆ ส่งข้อมูลมาประมวลผลที่ ซีพียูเมื่อซีพียูประมวลผล เสร็จแล้ว ก็จะส่งข้อมูลที่จะนำมาแสดงผลบนจอภาพมาที่การ์ดแสดงผล จากนั้น การ์ดแสดงผล ก็จะส่งข้อมูลนี้มาที่จอภาพ ตามข้อมูลที่ได้รับมา การ์ดแสดงผลรุ่นใหม่ๆ ที่ออกมาส่วนใหญ่ ก็จะมีวงจร ในการเร่งความเร็วการแสดงผลภาพสามมิติ และมีหน่วยความจำมาให้มากพอสมควร

โดย... พงษ์สกล สุขสราญจิต