อธิบายไฟร์วอลล์ 8 ประเภท

ทุกคนเข้าใจฟังก์ชันพื้นฐานของไฟร์วอลล์ - เพื่อปกป้องเครือข่ายของคุณจากมัลแวร์และการเข้าถึงโดยไม่ได้รับอนุญาต แต่รายละเอียดที่แน่ชัดเกี่ยวกับวิธีการทำงานของไฟร์วอลล์นั้นไม่ค่อยมีใครรู้จัก

ไฟร์วอลล์(firewall)คืออะไรกันแน่? ไฟร์วอลล์ประเภทต่างๆ ทำงานอย่างไร และบางทีที่สำคัญที่สุด – ไฟร์วอลล์ประเภทใดดีที่สุด?

ไฟร์วอลล์ 101

พูดง่ายๆ(Simply)ก็คือ ไฟร์วอลล์เป็นเพียงจุดสิ้นสุดของเครือข่ายอีกจุดหนึ่ง สิ่งที่ทำให้มีความพิเศษคือความสามารถในการสกัดกั้นและสแกนการรับส่งข้อมูลที่เข้ามาก่อนที่จะเข้าสู่เครือข่ายภายใน ปิดกั้นผู้ประสงค์ร้ายไม่ให้เข้าถึงได้

การตรวจสอบการตรวจสอบความถูกต้องของการเชื่อมต่อแต่ละครั้ง การซ่อน IP ปลายทางจากแฮกเกอร์ และแม้กระทั่งการสแกนเนื้อหาของแต่ละแพ็กเก็ตข้อมูล ไฟร์วอลล์ทำได้ทุกอย่าง ไฟร์วอลล์ทำหน้าที่เป็นจุดตรวจสอบ ควบคุมประเภทของการสื่อสารที่อนุญาตอย่างระมัดระวัง

ไฟร์วอลล์การกรองแพ็คเก็ต

ไฟร์วอลล์การกรองแพ็คเก็ตเป็นเทคโนโลยีไฟร์วอลล์ที่ใช้ทรัพยากรน้อยที่สุดและใช้ทรัพยากรน้อยที่สุด แม้ว่าจะไม่เป็นที่ชื่นชอบในทุกวันนี้ แต่ก็เป็นส่วนสำคัญของการป้องกันเครือข่ายในคอมพิวเตอร์เครื่องเก่า

ไฟร์วอลล์กรองแพ็กเก็ตทำงานที่ระดับแพ็กเก็ต โดยจะสแกนแต่ละแพ็กเก็ตขาเข้าจากเราเตอร์เครือข่าย แต่แท้จริงแล้วมันไม่ได้สแกนเนื้อหาของแพ็กเก็ตข้อมูล – เพียงแค่ส่วนหัวเท่านั้น ซึ่งช่วยให้ไฟร์วอลล์ตรวจสอบข้อมูลเมตาได้ เช่น ที่อยู่ต้นทางและปลายทาง หมายเลข พอร์ตฯลฯ

อย่างที่คุณอาจสงสัย ไฟร์วอลล์ประเภทนี้ไม่ค่อยมีประสิทธิภาพ ทั้งหมดที่ไฟร์วอลล์กรองแพ็กเก็ตสามารถทำได้คือลดการรับส่งข้อมูลเครือข่ายที่ไม่จำเป็นตามรายการควบคุมการเข้าถึง เนื่องจากไม่ได้ตรวจสอบเนื้อหาของแพ็กเก็ตเอง มัลแวร์จึงสามารถผ่านเข้าไปได้

เกตเวย์ระดับวงจร

อีกวิธีหนึ่งที่ใช้ทรัพยากรอย่างมีประสิทธิภาพในการตรวจสอบความถูกต้องของการเชื่อมต่อเครือข่ายคือเกตเวย์ระดับวงจร แทนที่จะตรวจสอบส่วนหัวของแพ็กเก็ตข้อมูลแต่ละรายการ เกตเวย์ระดับวงจรจะตรวจสอบเซสชันเอง

เป็นอีกครั้งที่ไฟร์วอลล์แบบนี้ไม่ผ่านเนื้อหาของการส่งข้อมูล ทำให้เสี่ยงต่อการโจมตีที่เป็นอันตราย ดังที่กล่าวไว้ การตรวจสอบ การเชื่อมต่อ Transmission Control Protocol ( TCP ) จากชั้นเซสชันของ โมเดล OSIใช้ทรัพยากรเพียงเล็กน้อย และสามารถปิดการเชื่อมต่อเครือข่ายที่ไม่ต้องการได้อย่างมีประสิทธิภาพ

นี่คือเหตุผลที่เกตเวย์ระดับวงจรมักถูกสร้างไว้ในโซลูชันการรักษาความปลอดภัยเครือข่ายส่วนใหญ่ โดยเฉพาะซอฟต์แวร์ไฟร์วอลล์ เกตเวย์เหล่านี้ยังช่วยปกปิดที่อยู่ IP ของผู้ใช้ด้วยการสร้างการเชื่อมต่อเสมือนสำหรับทุกเซสชัน

Stateful การตรวจสอบไฟร์วอลล์

ทั้งPacket-Filtering FirewallและCircuit Level Gatewayเป็นการใช้งานไฟร์วอลล์แบบไม่ระบุสัญชาติ ซึ่งหมายความว่าพวกเขาทำงานบนกฎคงที่ ซึ่งจำกัดประสิทธิภาพ ทุกแพ็กเก็ต (หรือเซสชัน) จะได้รับการปฏิบัติแยกจากกัน ซึ่งช่วยให้ดำเนินการตรวจสอบขั้นพื้นฐานได้เท่านั้น

 ในทางกลับกัน Stateful Inspection Firewallจะคอยติดตามสถานะของการเชื่อมต่อ พร้อมกับรายละเอียดของทุกแพ็กเก็ตที่ส่งผ่าน โดยการตรวจสอบTCP handshake ตลอดระยะเวลาของการเชื่อมต่อ ไฟร์วอลล์การตรวจสอบแบบเก็บสถานะสามารถรวบรวมตารางที่มีที่อยู่ IP และหมายเลขพอร์ตของต้นทางและปลายทาง และจับคู่แพ็กเก็ตขาเข้ากับชุดกฎแบบไดนามิกนี้

ด้วยเหตุนี้ จึงเป็นเรื่องยากที่จะแอบดูแพ็กเก็ตข้อมูลที่เป็นอันตรายผ่านไฟร์วอลล์การตรวจสอบแบบเก็บสถานะ ในทางกลับกัน ไฟร์วอลล์ประเภทนี้มีต้นทุนทรัพยากรที่หนักกว่า ทำให้ประสิทธิภาพการทำงานช้าลง และสร้างโอกาสให้แฮกเกอร์ใช้การโจมตี Distributed Denial-of-Service ( DDoS ) กับระบบ

Proxy Firewalls

(Better)Proxy Firewallsรู้จักกันดี ในชื่อ Application Level Gateways ทำงาน ที่เลเยอร์ด้านหน้าของ โมเดล OSI - เลเยอร์แอปพลิเคชัน ในฐานะที่เป็นเลเยอร์สุดท้ายที่แยกผู้ใช้ออกจากเครือข่าย เลเยอร์นี้ช่วยให้สามารถตรวจสอบแพ็กเก็ตข้อมูลได้อย่างละเอียดถี่ถ้วนและมีราคาแพงที่สุดด้วยต้นทุนของประสิทธิภาพ

คล้ายกับCircuit-Level Gateways , Proxy Firewallsทำงานโดย interceed ระหว่างโฮสต์และไคลเอนต์, obfuscating IP address ภายในของพอร์ตปลายทาง นอกจากนี้ เกตเวย์ระดับแอปพลิเคชันยังทำการตรวจสอบแพ็คเก็ตในเชิงลึกเพื่อให้แน่ใจว่าไม่มีการรับส่งข้อมูลที่เป็นอันตรายสามารถผ่านได้

และในขณะที่มาตรการทั้งหมดเหล่านี้ช่วยเพิ่มความปลอดภัยให้กับเครือข่ายได้อย่างมาก แต่ก็ทำให้การรับส่งข้อมูลขาเข้าช้าลงด้วย ประสิทธิภาพ เครือข่าย(Network)ได้รับผลกระทบเนื่องจากการตรวจสอบที่ใช้ทรัพยากรมากโดยไฟร์วอลล์แบบเก็บสถานะเช่นนี้ ทำให้ไม่เหมาะกับแอปพลิเคชันที่ไวต่อประสิทธิภาพ 

NAT Firewalls

ในการตั้งค่าคอมพิวเตอร์หลายๆ แบบ หัวใจสำคัญของการรักษาความปลอดภัยทางไซเบอร์คือการตรวจสอบเครือข่ายส่วนตัว โดยปกปิดที่อยู่ IP แต่ละรายการของอุปกรณ์ไคลเอนต์จากทั้งแฮกเกอร์และผู้ให้บริการ ดังที่เราได้เห็นแล้ว สามารถทำได้โดยใช้ ไฟร์วอลล์ Proxyหรือเกตเวย์ระดับวงจร

วิธีที่ง่ายกว่ามากในการซ่อนที่อยู่ IP คือการใช้ไฟร์วอลล์Network (Firewall)Address Translation(Network Address Translation) ( NAT ) ไฟร์วอลล์ NAT(NAT)ไม่ต้องการทรัพยากรระบบจำนวนมากในการทำงาน ทำให้เป็นแหล่งข้อมูลระหว่างเซิร์ฟเวอร์และเครือข่ายภายใน

ไฟร์วอลล์แอปพลิเคชันเว็บ

เฉพาะไฟร์วอลล์เครือข่าย(Network Firewalls)ที่ทำงานที่ชั้นแอปพลิเคชันเท่านั้นที่สามารถทำการสแกนแพ็กเก็ตข้อมูลอย่างละเอียด เช่นProxy Firewallหรือดีกว่านั้นคือWeb Application Firewall ( WAF )

การทำงานจากภายในเครือข่ายหรือโฮสต์WAFจะผ่านข้อมูลทั้งหมดที่ส่งโดยเว็บแอปพลิเคชันต่างๆ เพื่อให้แน่ใจว่าไม่มีโค้ดที่เป็นอันตรายผ่านเข้ามา สถาปัตยกรรมไฟร์วอลล์ประเภทนี้เชี่ยวชาญด้านการตรวจสอบแพ็คเก็ตและให้การรักษาความปลอดภัยที่ดีกว่าไฟร์วอลล์ระดับพื้นผิว

ไฟร์วอลล์คลาวด์

ไฟร์วอลล์แบบดั้งเดิม ทั้งไฟร์วอลล์ฮาร์ดแวร์และซอฟต์แวร์ ไม่ได้ปรับขนาดอย่างเหมาะสม ต้องติดตั้งโดยคำนึงถึงความต้องการของระบบ ไม่ว่าจะเป็นการเน้นที่ประสิทธิภาพการรับส่งข้อมูลสูงหรือการรักษาความปลอดภัยการรับส่งข้อมูลเครือข่ายต่ำ

แต่Cloud Firewallsนั้นยืดหยุ่นกว่ามาก ไฟร์วอลล์ประเภทนี้ปรับใช้จากคลาวด์เป็นพร็อกซีเซิร์ฟเวอร์ จะสกัดกั้นการรับส่งข้อมูลของเครือข่ายก่อนที่จะเข้าสู่เครือข่ายภายใน โดยให้สิทธิ์แต่ละเซสชันและยืนยันแต่ละแพ็กเก็ตข้อมูลก่อนที่จะอนุญาต

ส่วนที่ดีที่สุดคือไฟร์วอลล์ดังกล่าวสามารถปรับขนาดขึ้นและลงในความจุได้ตามต้องการ โดยปรับตามระดับการรับส่งข้อมูลขาเข้าที่แตกต่างกัน นำเสนอเป็นบริการบนคลาวด์ โดยไม่จำเป็นต้องใช้ฮาร์ดแวร์ใดๆ และได้รับการดูแลโดยผู้ให้บริการเอง

ไฟร์วอลล์รุ่นต่อไป

รุ่นต่อไปอาจเป็นคำที่ทำให้เข้าใจผิด อุตสาหกรรมที่ใช้เทคโนโลยีทั้งหมดชอบที่จะโยนคำศัพท์เช่นนี้ไปทั่ว แต่จริงๆ แล้วหมายความว่าอย่างไร คุณสมบัติประเภทใดที่ถือว่าไฟร์วอลล์มีคุณสมบัติเป็น Next-gen?

อันที่จริงไม่มีคำจำกัดความที่เข้มงวด โดยทั่วไป คุณสามารถพิจารณาโซลูชันที่รวมไฟร์วอลล์ประเภทต่างๆ เข้าไว้ในระบบรักษาความปลอดภัยที่มีประสิทธิภาพเพียงระบบเดียว เพื่อเป็นไฟร์วอลล์รุ่นต่อไป(Next-Generation Firewall) ( NGFW ) ไฟร์วอลล์ดังกล่าวมีความสามารถในการตรวจสอบแพ็คเก็ตในเชิงลึกในขณะเดียวกันก็ยักไหล่จาก การโจมตี DDoSซึ่งเป็นการป้องกันแฮ็กเกอร์หลายชั้น

ไฟร์วอลล์รุ่นต่อไปส่วนใหญ่มักจะรวมโซลูชันเครือข่ายที่หลากหลาย เช่นVPNs , Intrusion Prevention Systems ( IPS ) และแม้แต่โปรแกรมป้องกันไวรัสไว้ในแพ็คเกจอันทรงพลังอันเดียว แนวคิดคือการนำเสนอโซลูชันที่สมบูรณ์ซึ่งแก้ไขช่องโหว่ของเครือข่ายทุกประเภท ให้ความปลอดภัยเครือข่ายอย่างสมบูรณ์ ด้วยเหตุนี้NGFW(NGFWs) บางตัว สามารถถอดรหัส การสื่อสาร Secure Socket Layer ( SSL ) ได้เช่นกัน ทำให้สามารถสังเกตเห็นการโจมตีที่เข้ารหัสได้เช่นกัน

ไฟร์วอลล์(Firewall)ประเภท(Type)ใดที่ดีที่สุดในการปกป้องเครือข่ายของคุณ(Your Network) ?

สิ่งที่เกี่ยวกับไฟร์วอลล์คือไฟร์วอลล์ประเภทต่างๆ ใช้วิธีการต่างๆ เพื่อปกป้องเครือ(protect a network)ข่าย

ไฟร์วอลล์ที่ง่ายที่สุดเพียงแค่ตรวจสอบสิทธิ์เซสชันและแพ็กเก็ต โดยไม่ได้ทำอะไรกับเนื้อหาเลย ไฟร์วอลล์ของ เกตเวย์(Gateway)นั้นเกี่ยวกับการสร้างการเชื่อมต่อเสมือนและป้องกันการเข้าถึงที่อยู่ IP ส่วนตัว ไฟร์วอลล์(Stateful)แบบเก็บสถานะจะติดตามการเชื่อมต่อผ่านการ จับมือ TCPสร้างตารางสถานะพร้อมข้อมูล

จากนั้นมี ไฟร์วอลล์ Next-Generationซึ่งรวมกระบวนการทั้งหมดข้างต้นเข้ากับการตรวจสอบแพ็คเก็ตในเชิงลึกและคุณสมบัติการป้องกันเครือข่ายอื่นๆ เห็นได้ชัดว่าNGFWจะให้การรักษาความปลอดภัยที่ดีที่สุดแก่ระบบของคุณ แต่นั่นไม่ใช่คำตอบที่ถูกต้องเสมอไป

ขึ้นอยู่กับความซับซ้อนของเครือข่ายของคุณและประเภทของแอปพลิเคชันที่รัน ระบบของคุณอาจดีกว่าด้วยโซลูชันที่ง่ายกว่าซึ่งจะป้องกันการโจมตีทั่วไปส่วนใหญ่แทน ความคิดที่ดีที่สุดอาจเป็นแค่การใช้ บริการ ไฟร์วอลล์ระบบคลาวด์ของบริษัทอื่น(third-party Cloud firewall)ยกเลิกการปรับแต่งและบำรุงรักษาไฟร์วอลล์ให้กับผู้ให้บริการ



ธงชัย สันตติวงศ์

About the author

ฉันเป็นผู้เชี่ยวชาญด้านคอมพิวเตอร์ที่มีประสบการณ์มากกว่า 10 ปี และฉันเชี่ยวชาญในการช่วยเหลือผู้คนในการจัดการคอมพิวเตอร์ในสำนักงาน ฉันได้เขียนบทความเกี่ยวกับหัวข้อต่างๆ เช่น วิธีเพิ่มประสิทธิภาพการเชื่อมต่ออินเทอร์เน็ต วิธีตั้งค่าคอมพิวเตอร์เพื่อประสบการณ์การเล่นเกมที่ดีที่สุด และอื่นๆ หากคุณกำลังมองหาความช่วยเหลือเกี่ยวกับงานหรือชีวิตส่วนตัวของคุณ เราคือคนสำหรับคุณ!


Related posts