O slideshow foi denunciado.
Utilizamos seu perfil e dados de atividades no LinkedIn para personalizar e exibir anúncios mais relevantes. Altere suas preferências de anúncios quando desejar.

Firewall

3.485 visualizações

Publicada em

Credit by Suthee Sirisutthidecha
Instructor, IT Faculty, RSU, THAILAND

Publicada em: Internet
  • Seja o primeiro a comentar

Firewall

  1. 1. Firewall Presented by Suthee Sirisutthidecha Instructor, IT Faculty 13 July 2013 suthee sirisutthidecha 1
  2. 2. Firewall คือ องค์ประกอบส่วนหน่งึของเครือข่าย ทาหนา้ที่ ตรวจสอบข้อมูลที่ผ่านเข้าออกระหว่างระบบเครือข่ายภายใน องค์กรกับเครือข่ายภายนอก (ที่ไม่น่าไว้วางใจ) เพื่อป้องกันภัย คุกคามทางเครือข่าย โดยไม่ให้ผู้ที่ไม่ได้รับอนุญาตเข้ามาใช้งานใน ระบบ รวมทั้งป้องกันการโจมตีในรูปแบบต่างๆ 2
  3. 3. Firewall • เหตุหลักที่มีการใช้ Firewall นั้นก็เพื่อให้ผู้ที่อยู่ภายในเครือข่าย สามารถใช้บริการเครือข่ายภายในได้อย่างเต็มที่ และยังสามารถใช้ บริการเครือข่ายภายนอก เช่น อินเทอร์เน็ต ได้ด้วยเช่นกัน • ในขณะเดียวกัน Firewall ก็จะป้องกันไม่ให้ผู้ใช้ภายนอกที่ไม่ได้รับ อนุญาตเข้ามาใช้บริการเครือข่ายที่อยู่ภายในได้ 3
  4. 4. Firewall • การที่เครือข่ายองค์กรเชื่อมต่อโดยตรงกับอินเทอร์เน็ตโดยที่ไม่มี Firewall เป็นการเปิดช่องโหว่ให้เครือข่ายองค์กรถูกโจมตีหรือบุก รุกได้โดยง่าย • เช่น ในเครือข่ายองค์กรหน่งึมีโฮสต์หรือเซิรฟ์เวอร์เป็นร้อยๆ เครื่อง ถ้าผู้บุกรุกเครือข่ายสามารถเจาะเข้าเครื่องใดเครื่องหน่งึได้ ต่อไปก็ไม่เป็นการยากอีกเช่นกันที่จะเข้าไปยังเครื่องอื่นๆที่เหลือ ดังนั้นการติดตั้ง Firewall จึงเป็นการป้องกันผู้บุกรุกได้ในระดับ หนึ่ง 4
  5. 5. ประเภทของ Firewall  จาแนกตามลักษณะการประมวลผล (Processing Mode) สามารถแบ่งออกเป็น 5 ประเภท ได้แก่ – Packet Filtering Firewall – Application Firewall – Circuit Gateways Firewall – MAC Layer Firewall – Hybrid Firewall 5
  6. 6. ประเภทของ Firewall: Processing Mode Packet Filtering Firewall  เป็น Firewall ที่ตรวจสอบ และกลัน่กรอง Packet ข้อมูลที่เข้ามาใน เครือข่าย โดยพิจารณาความน่าเชื่อถือของข้อมูลจากส่วน Header ของ Packet  Firewall ชนิดนี้จะพิจารณารายละเอียดต่างๆ ใน Header ได้แก่ Source and Destination IP Address, Source and Destination Port Number และ ประเภทของโปรโตคอล (TCP หรือ UDP)  Firewall จะพิจารณาเทียบรายละเอียดดังกล่าวว่าตรงกับข้อกาหนดของ ระบบรักษาความปลอดภัยที่จัดเก็บไว้ในฐานข้อมูลหรือไม่ หากไม่ตรง จะปฏิเสธ Packet ข้อมูลดังกล่าว แต่หากตรงก็จะอนุญาตให้ Packet นั้น เข้ามาในเครือข่ายได้ 6
  7. 7. ประเภทของ Firewall: Processing Mode  Address Restriction Rule • เป็นกฎการตรวจสอบ Packet ข้อมูล Firewall อย่างง่ายที่ติดตั้งไว้ที่ อุปกรณ์เครือข่าย เช่น Router • Firewall จะอนุญาตเฉพาะ Packet ที่มีที่อยู่ต้นทางและที่อยู่ ปลายทางที่กาหนดเอาไว้ในตาราง ACL (Access Control List) เท่านั้น โดยผู้ดูแลระบบสามารถแก้ไขที่อยู่ต้นทางและปลายทางได้ 7 ที่อยู่ต้นทาง ที่อยู่ปลายทาง Service Action 172.16.x.x 10.10.x.x Any Deny 192.168.x.x 10.10.10.25 HTTP Allow 192.168.0.1 10.10.10.10 FTP Allow
  8. 8. ประเภทของ Firewall: Processing Mode Packet Filtering Firewall  Stateful Filtering  เรียกอีกอย่างหน่งึว่า Stateful Firewall โดยจะสามารถทางานได้ทุก อย่างเช่นเดียวกับ Dynamic Filtering แล้ว ยังสามารถคงสถานะการ เชื่อมต่อจากภายนอกไว้ในระยะเวลาที่กา หนดได้อีกด้วย  Firewall ชนิดนี้จะมีความซับซ้อนขึ้น เนื่องจากจะต้องมีการใช้ตาราง State Table Entry ซึ่งระบุถึงระยะเวลาทั้งหมดของการเชื่อมต่อรวมถึง ระยะเวลาที่เหลือของการเชื่อมต่อไว้ด้วย  หาก Packet ใดที่ไม่มีการตอบรับภายในระยะเวลาที่กา หนดแล้ว Firewall ก็จะตัดการเชื่อมต่อ เพื่อการสร้างการเชื่อมต่อกับ Request ใหม่ทันที 8
  9. 9. ประเภทของ Firewall: Processing Mode Packet Filtering Firewall  Stateful Filtering  ตัวอย่างตาราง State Table Entry 9 Source Address Source Port Destination Address Destination Port Time Remaining Total Time Protocol 192.168.2.5 1028 10.10.10.7 80 2725 3600 TCP
  10. 10. ประเภทของ Firewall: Processing Mode Application Firewall  หรือเรียกว่า Application-Level Firewall หรือ Application Gateway เป็น Firewall ที่ ติดตั้งบนเครื่องคอมพิวเตอร์แยกต่างหาก ทาให้คอมพิวเตอร์เครื่องดังกล่าวทาหน้าที่ เป็น Firewall โดยเฉพาะ (แยกจาก Router)  สามารถใช้กรอง Packet ที่จะผ่านเข้ามาใน เครือข่าย และสามารถตรวจสอบเนื้อหาใน Packet ได้เช่นเดียวกับ Packet Filtering Firewall (แบบ Stateful) 10
  11. 11. ประเภทของ Firewall: Processing Mode Application Firewall  นอกจากน้ยีังทาหน้าที่คล้ายกับ Proxy Server ในการให้บริการคา ร้องขอ (Request) ต่างๆของผู้ใช้ หรือเป็นตัวกลางการร้องขอ ข้อมูลเว็บเพจจาก Web Server แทนผู้ใช้ 11
  12. 12. ประเภทของ Firewall: Processing Mode Application Firewall  Application Firewall ยังมีข้อดีอย่างหน่งึคือ สามารถ Block การ ร้องขอข้อมูลจากเว็บไซต์ที่เป็นอันตรายของผู้ใช้ภายในเครือข่ายได้ อีกด้วย  ข้อเสียของ Application Firewall นั้นคือ เป็น Firewall ที่ถูก ออกแบบมาสาหรับให้ใช้ได้กับบางโปรโตคอล จึงสามารถป้องกัน การโจมตีภายใต้โปรโตคอลที่รู้จักเท่านั้น หากเป็นการโจมตีจาก โปรโตคอลอื่น Firewall แบบน้จีะไม่สามารถป้องกันได้ 12
  13. 13. ประเภทของ Firewall: Processing Mode Circuit Gateway Firewall  เป็น Firewall ที่ไม่ตรวจสอบข้อมูลใน Packet แต่จะตรวจสอบ เส้นทางการเชื่อมต่อ (Connection) ระหว่างผู้ใช้กับเครื่องอื่น ภายนอกเครือข่าย และป้องกันการเชื่อมต่อโดยตรงระหว่างผู้ใช้กับ เครื่องอื่นๆ ภายนอกเครือข่ายได้ด้วย  Circuit Gateway Firewall จะสร้างเส้นทางเสมือน (Virtual Circuit) เพื่อให้สามารถจัดการเส้นทางการเชื่อมต่อนั้นได้เองโดยที่ ผู้ใช้ไม่รู้ตัว หากพบเส้นทางการเชื่อมต่อใดที่ไม่น่าเชื่อถือหรือไม่ ตรงกฎความปลอดภัยก็จะทิ้งหรือปฏิเสธการเชื่อมต่อนั้น 13
  14. 14. ประเภทของ Firewall: Processing Mode Circuit Gateway Firewall  การเชื่อมต่อเสมือนช่วยให้ผู้ใช้หลายคนสามารถติดต่อกับ Application หรือเครือข่ายอื่นภายนอกได้หลาย Application ด้วย  ข้อเสียของ Firewall ชนิดน้คีือ ไม่สามารถตรวจสอบเนื้อหาภายใน Packet ที่จะส่งไปในเส้นทางการเชื่อมต่อนั้นได้ 14 การตรวจสอบ Packet ของ Firewall ชนิดนี้จะทางานบน Transport Layer ใน OSI Model
  15. 15. ประเภทของ Firewall: Processing Mode MAC Layer Firewall  เป็น Firewall ที่สามารถระบุ Host Computer ได้ในขณะกลัน่กรอง Packet โดยดูจากหมายเลข MAC (MAC Address) ที่ถูกเชื่อมโยง เข้ากับตาราง ACL เพื่อการตรวจสอบ Packet ที่มาพร้อมกับ Host Computer ใดๆ 15 การตรวจสอบ Packet ของ Firewall ชนิดนี้จะทางานบน Data Link Layer ใน OSI Model
  16. 16. ประเภทของ Firewall: Processing Mode Hybrid Firewall  เป็น Firewall ที่รวมเอาความสามารถของ Firewall ชนิดอื่นๆ เข้า ด้วยกัน เช่น การรวม Packet Filtering Firewall เข้ากับ Application Firewall หรือรวมกันระหว่าง Packet Filtering Firewall เข้ากับ Circuit Firewall เป็นต้น  Firewall ชนิดน้จีะทาให้องค์กรสามารถเพิ่มประสิทธิภาพในการ รักษาความปลอดภัยของข้อมูลและระบบภายในองค์กรได้ดียิ่งขึ้น 16 Application Firewall มักถูกใช้เป็นคอมพิวเตอร์ตามบ้าน ส่วน Firewall ชนิดอื่นๆ มักนิยมใช้ในองค์กรหรือสานักงาน
  17. 17. ประเภทของ Firewall: Processing Mode สรุปการทางานของ Firewall ชนิดต่างๆใน OSI Model 17 Application Layer Presentation Layer Session Layer Transport Layer Network Layer Data Link Layer Physical Layer 7 6 5 4 3 2 1 Application Firewall Application Firewall Application Firewall Circuit Gateway Firewall Packet Filtering Firewall MAC Layer Firewall
  18. 18. Network Security Policy – สิ่งสาคัญที่สุดสาหรับการใช้งาน Firewall คือ การกา หนดนโยบายรักษา ความปลอดภัย (Network Security Policy)  เพราะแม้ว่า Firewall นั้นจะมีประสิทธิภาพ และมีความปลอดภัยมากเท่าใด แต่ หากมีนโยบายรักษาความปลอดภัยที่หละหลวมแล้ว Firewall นั้นก็ไม่มี ประโยชน์เท่าที่ควร – ก่อนที่ติดตั้ง Firewall จึงควรที่จะกาหนดนโยบายรักษาความปลอดภัยที่ สามารถควบคุมหรือ Traffic ที่อาจส่งผลกระทบต่อการใช้งานเครือข่ายให้ มากที่สุด จากนั้นจึงนา นโยบายนั้นไปบังคับใช้ใน Firewall – กฎที่บังคับใช้นโยบายรักษาความปลอดภัยใน Firewall นั้นจะเรียกว่า ACL (Access Control List) หรือ Firewall Rule 18
  19. 19. Network Security Policy 19 Rule Source Destination Service (Port) Action Description 1 Any Web Server HTTP (80) HTTPS (443) Allow อนุญาตให้ผู้ใช้ทั้งจากภายในและ อินเทอร์เน็ตเข้ามาใช้บริการ Web Server 2 Any Mail Server SMTP (25) POP3 (110) IMAP (143) Allow อนุญาตให้ผู้ใช้ทั้งจากภายในและ อินเทอร์เน็ตเข้ามาใช้บริการ Mail Server 3 Any DNS Server DNS (53) Allow อนุญาตให้ผู้ใช้ทั้งจากภายในและ อินเทอร์เน็ตเข้ามาใช้บริการ DNS Server 4 Mail Server Any SMTP (25) Allow อนุญาตให้Mail Server รับ-ส่งกับ Mail Server อื่นที่อยู่บนอินเทอร์เน็ตหรือภายใน
  20. 20. Network Security Policy Rule Source Destination Service (Port) Action Description 5 DNS Server Any DNS (53) Allow อนุญาตให้DNS Server คิวรี DNS Server 20 อื่นที่อยู่บนอินเทอร์เน็ตหรือภายใน 6 Internal Network Any HTTP (80) HTTPS (443) FTP (20-21) Telnet (23) SSH (22) SMTP (25) POP3 (110) IMAP (143) Allow อนุญาตให้ผู้ใช้ภายในเครือข่ายใช้บริการ ดังกล่าวจากอินเทอร์เน็ตและ DMZ 7 Any Any Any Deny ถ้าไม่ตรงกับกฎใดๆ ที่กาหนดข้างบนให้ละ ทิ้งแพ็คเก็ตนั้นทันที
  21. 21. Firewall Architecture – Firewall แต่ละประเภท สามารถนา มาจัดโครงสร้างการทางานให้เป็นระบบ Firewall ตามสถาปัตยกรรมของ Firewall ได้หลายรูปแบบ – การเลือกสถาปัตยกรรมตามความเหมาะสมขององค์กร ขึ้นอยู่กับหลายปัจจัย ได้แก่ วัตถุประสงค์ด้านเครือข่ายที่องค์กรต้องการ, ความสามารถในการ พัฒนาระบบ Firewall ตามสถาปัตยกรรมนั้นๆ หรือปัจจัยทางด้าน งบประมาณ เป็นต้น – เราสามารถแบ่งสถาปัตยกรรมของ Firewall ได้เป็น 4 รูปแบบ คือ  Packet Filtering Router  Screened Host Firewall  Dual-homed Host Firewall  Screened Subnet Firewall 21
  22. 22. Firewall Architecture • Packet Filtering Router – เป็นรูปแบบที่จัดให้มี Router ทาหน้าที่เป็น Firewall กั้นระหว่างเครือข่ายภายใน องค์กรกับภายนอกองค์กร – Firewall ที่ Router จะทาหน้าที่กลัน่กรอง Packet โดยอนุญาตให้ Packet ที่ตรงกับ ตาราง ACL เท่านั้นที่จะสามารถเข้ามาในเครือข่ายภายในองค์กรได้ ดังรูป Implement ง่าย, มีความเร็วสูง, ประหยัดค่าใช้จ่าย ไม่มีระบบการตรวจสอบและตรวจจับที่เข้มงวด, ยิ่งเพิ่มกฎในตาราง ACL มากจะยิ่งทาให้การทางานของระบบช้าลง 22 Internet Packet Filtering Router Packet Packet Packet
  23. 23. Firewall Architecture • Screened Host Firewall – เป็นรูปแบบที่ประกอบด้วยความสามารถของ Packet Filtering Firewall และ Application Firewall (Proxy Server) – เครื่องคอมพิวเตอร์ที่ทาหน้าที่เป็น Proxy Server จะเรียกว่า Bastion Host – Packet Filtering Firewall จะทาหน้าที่กรอง Packet ที่ได้รับเข้ามาก่อน จากนั้นส่งต่อ Packet ที่ได้รับอนุญาตไปยัง Bastion Host เพ่อืตรวจสอบ บริการ Application ที่เข้ามา แล้วบันทึกไว้ก่อนส่งต่อไปยังผู้ใช้ที่ร้อง ข้อมูลใน Packet นั้นๆ 23 Internet Packet Filtering Router Packet Packet Packet Proxy Access Bastion Host
  24. 24. Firewall Architecture • Screened Host Firewall – สาหรับ Client ที่อยู่ภายในเครือข่ายภายใน จะไม่ได้รับการอนุญาต ให้เชื่อมต่อกับเครือข่ายภายนอกโดยตรงทั้งหมด แต่จะต้องผ่าน Bastion Host ก่อนเสมอ ทาให้Bastion Host มีความเสี่ยงต่อการ โจมตีมากที่สุด – ผู้ดูแลระบบจึงควรรักษาความปลอดภัยของ Bastion Host เอาไว้ เป็นอย่างดี ประหยัดค่าใช้จ่าย หากผู้โจมตีทาการโจมตี Bastion Host ได้สาเร็จ ผู้โจมตีจะ สามารถเข้าถึงข้อมูลของเครื่อง Client ได้ทุกเครื่อง 24
  25. 25. Firewall Architecture • Dual-homed Host Firewall – เป็นรูปแบบที่จัดให้ Bastion Host มี NIC อย่างน้อย 2 การ์ด โดย การ์ดแรกใช้ติดต่อกับเครือข่ายภายนอกโดยตรง ส่วนการ์ดที่สองใช้ ติดต่อกับเครือข่ายภายใน – เป็นการสร้าง Firewall ป้องกันมากกว่า 1 Layer ในสถาปัตยกรรม ชนิดนี้ซึ่งทุกเส้นทางการจราจรของข้อมูลจะต้องผ่าน Firewall น้ทีั้ง ขาเข้าและขาออกจากเครือข่ายภายใน 25
  26. 26. Firewall Architecture Packet Packet ป้องกันการโจมตีได้ถึง 2 ระดับ, ป้องกันการสแกนหมายเลข IP ภายใน ได้, สามารถแปลงโปรโตคอลที่ Data Link Layer ได้หลายโปรโตคอล เช่น Ethernet, Token Ring เป็นต้น และเสียค่าใช้จ่ายน้อยเม่อืเทียบกับระดับความ ปลอดภัยที่เพิ่มขึ้นมา ซับซ้อน ทางานช้า, รองรับจานวนเส้นทางการเชื่อมต่อ (Traffic) ได้ น้อยกว่าแบบ Packet Filtering Firewall และต้องการทรัพยากรมากกว่า รูปแบบอื่น 26 Internet Dual-homed Host (NAT Firewall) Packet Internal Filtering Router External Filtering Router Proxy Access Packet
  27. 27. Firewall Architecture • Screened Subnet Firewall – เป็นรูปแบบที่ประกอบด้วย Packet Filtering Router ทั้ง 2 ฝั่ง คือ External Filtering Router และ Internal Filtering Router รวมทั้งมี Bastion Host ตั้งแต่ 1 Host ขึ้นไป – แต่ละ Host ทาหน้าที่ป้องกันเครือข่ายภายใน โดยจัดให้กลุ่ม Bastion Host แยกมาอยู่รวมกันเป็นเครือข่ายพิเศษในเขตที่เรียกว่า DMZ (Demilitarized Zone) ซึ่งเป็นเขตที่อยู่ระหว่างเครือข่าย ภายในและภายนอก ส่วน External Filtering Router จะอยู่ระหว่าง เครือข่ายภายนอกกับเขต DMZ และ Internal Filtering Router จะ อยู่ระหว่างเครือข่ายภายในกับเขต DMZ 27
  28. 28. Firewall Architecture • Screened Subnet Firewall Demilitarized Zone (DMZ) จากภาพ เส้นทางการเชื่อมต่อจะเป็นดังนี้ – การเชื่อมต่อจากเครือข่ายภายนอก จะวิ่งผ่านเส้นทางของ External Filtering Router – เม่อืวิ่งเข้ามายัง External Filtering Route แล้ว จะวิ่งออกไปยังเครือข่ายพิเศษภายใน DMZ – การเชื่อมต่อที่จะวิ่งเข้าสู่เครือข่ายภายใน จะต้องได้รับอนุญาตจาก Host Server ใน DMZ เท่านั้น 28 Internet Internal Filtering Router External Filtering Router Packet Server Proxy Access Controlled Access Packet
  29. 29. Firewall Architecture • Screened Subnet Firewall สถาปัตยกรรมแบบน้มีีหน้าที่หลัก 2 ประการ คือ – ป้องกันเครือข่ายพิเศษและสารสนเทศใน เขต DMZ จากภัยคุกคามภายนอก ด้วยการ มีระบบรักษาความปลอดภัยที่เครือข่าย DMZ – ป้องกันเครือข่ายภายในด้วยการจากัดการ เข้าถึงจากเครือข่ายภายนอก เน่อืงระบบ Firewall แบบน้มีีการแบ่งเป็นหลายระดับ ทาให้ลดความเสี่ยงจากการถูกโจมตีสาหรับ เครือข่ายภายในลงไปได้มาก 29
  30. 30. Firewall Architecture • Screened Subnet Firewall มีความปลอดภัยสูง เน่อืงจากมีการแบ่งเครือข่ายออกเป็นส่วนๆ (เครือข่ายภายใน เครือข่ายภายนอก และ DMZ) มีค่าใช้จ่ายสูง, ระบบมีความซับซ้อน จัดการยาก 30
  31. 31. Question and Answer suthee.si@rsu.ac.th 13 July 2013 suthee sirisutthidecha 31

×