อธิบายไฟร์วอลล์ 8 ประเภท
ทุกคนเข้าใจฟังก์ชันพื้นฐานของไฟร์วอลล์ - เพื่อปกป้องเครือข่ายของคุณจากมัลแวร์และการเข้าถึงโดยไม่ได้รับอนุญาต แต่รายละเอียดที่แน่ชัดเกี่ยวกับวิธีการทำงานของไฟร์วอลล์นั้นไม่ค่อยมีใครรู้จัก
ไฟร์วอลล์(firewall)คืออะไรกันแน่? ไฟร์วอลล์ประเภทต่างๆ ทำงานอย่างไร และบางทีที่สำคัญที่สุด – ไฟร์วอลล์ประเภทใดดีที่สุด?
ไฟร์วอลล์ 101
พูดง่ายๆ(Simply)ก็คือ ไฟร์วอลล์เป็นเพียงจุดสิ้นสุดของเครือข่ายอีกจุดหนึ่ง สิ่งที่ทำให้มีความพิเศษคือความสามารถในการสกัดกั้นและสแกนการรับส่งข้อมูลที่เข้ามาก่อนที่จะเข้าสู่เครือข่ายภายใน ปิดกั้นผู้ประสงค์ร้ายไม่ให้เข้าถึงได้
การตรวจสอบการตรวจสอบความถูกต้องของการเชื่อมต่อแต่ละครั้ง การซ่อน IP ปลายทางจากแฮกเกอร์ และแม้กระทั่งการสแกนเนื้อหาของแต่ละแพ็กเก็ตข้อมูล ไฟร์วอลล์ทำได้ทุกอย่าง ไฟร์วอลล์ทำหน้าที่เป็นจุดตรวจสอบ ควบคุมประเภทของการสื่อสารที่อนุญาตอย่างระมัดระวัง
ไฟร์วอลล์การกรองแพ็คเก็ต
ไฟร์วอลล์การกรองแพ็คเก็ตเป็นเทคโนโลยีไฟร์วอลล์ที่ใช้ทรัพยากรน้อยที่สุดและใช้ทรัพยากรน้อยที่สุด แม้ว่าจะไม่เป็นที่ชื่นชอบในทุกวันนี้ แต่ก็เป็นส่วนสำคัญของการป้องกันเครือข่ายในคอมพิวเตอร์เครื่องเก่า
ไฟร์วอลล์กรองแพ็กเก็ตทำงานที่ระดับแพ็กเก็ต โดยจะสแกนแต่ละแพ็กเก็ตขาเข้าจากเราเตอร์เครือข่าย แต่แท้จริงแล้วมันไม่ได้สแกนเนื้อหาของแพ็กเก็ตข้อมูล – เพียงแค่ส่วนหัวเท่านั้น ซึ่งช่วยให้ไฟร์วอลล์ตรวจสอบข้อมูลเมตาได้ เช่น ที่อยู่ต้นทางและปลายทาง หมายเลข พอร์ตฯลฯ
อย่างที่คุณอาจสงสัย ไฟร์วอลล์ประเภทนี้ไม่ค่อยมีประสิทธิภาพ ทั้งหมดที่ไฟร์วอลล์กรองแพ็กเก็ตสามารถทำได้คือลดการรับส่งข้อมูลเครือข่ายที่ไม่จำเป็นตามรายการควบคุมการเข้าถึง เนื่องจากไม่ได้ตรวจสอบเนื้อหาของแพ็กเก็ตเอง มัลแวร์จึงสามารถผ่านเข้าไปได้
เกตเวย์ระดับวงจร
อีกวิธีหนึ่งที่ใช้ทรัพยากรอย่างมีประสิทธิภาพในการตรวจสอบความถูกต้องของการเชื่อมต่อเครือข่ายคือเกตเวย์ระดับวงจร แทนที่จะตรวจสอบส่วนหัวของแพ็กเก็ตข้อมูลแต่ละรายการ เกตเวย์ระดับวงจรจะตรวจสอบเซสชันเอง
เป็นอีกครั้งที่ไฟร์วอลล์แบบนี้ไม่ผ่านเนื้อหาของการส่งข้อมูล ทำให้เสี่ยงต่อการโจมตีที่เป็นอันตราย ดังที่กล่าวไว้ การตรวจสอบ การเชื่อมต่อ Transmission Control Protocol ( TCP ) จากชั้นเซสชันของ โมเดล OSIใช้ทรัพยากรเพียงเล็กน้อย และสามารถปิดการเชื่อมต่อเครือข่ายที่ไม่ต้องการได้อย่างมีประสิทธิภาพ
นี่คือเหตุผลที่เกตเวย์ระดับวงจรมักถูกสร้างไว้ในโซลูชันการรักษาความปลอดภัยเครือข่ายส่วนใหญ่ โดยเฉพาะซอฟต์แวร์ไฟร์วอลล์ เกตเวย์เหล่านี้ยังช่วยปกปิดที่อยู่ IP ของผู้ใช้ด้วยการสร้างการเชื่อมต่อเสมือนสำหรับทุกเซสชัน
Stateful การตรวจสอบไฟร์วอลล์
ทั้งPacket-Filtering FirewallและCircuit Level Gatewayเป็นการใช้งานไฟร์วอลล์แบบไม่ระบุสัญชาติ ซึ่งหมายความว่าพวกเขาทำงานบนกฎคงที่ ซึ่งจำกัดประสิทธิภาพ ทุกแพ็กเก็ต (หรือเซสชัน) จะได้รับการปฏิบัติแยกจากกัน ซึ่งช่วยให้ดำเนินการตรวจสอบขั้นพื้นฐานได้เท่านั้น
ในทางกลับกัน Stateful Inspection Firewallจะคอยติดตามสถานะของการเชื่อมต่อ พร้อมกับรายละเอียดของทุกแพ็กเก็ตที่ส่งผ่าน โดยการตรวจสอบTCP handshake ตลอดระยะเวลาของการเชื่อมต่อ ไฟร์วอลล์การตรวจสอบแบบเก็บสถานะสามารถรวบรวมตารางที่มีที่อยู่ IP และหมายเลขพอร์ตของต้นทางและปลายทาง และจับคู่แพ็กเก็ตขาเข้ากับชุดกฎแบบไดนามิกนี้
ด้วยเหตุนี้ จึงเป็นเรื่องยากที่จะแอบดูแพ็กเก็ตข้อมูลที่เป็นอันตรายผ่านไฟร์วอลล์การตรวจสอบแบบเก็บสถานะ ในทางกลับกัน ไฟร์วอลล์ประเภทนี้มีต้นทุนทรัพยากรที่หนักกว่า ทำให้ประสิทธิภาพการทำงานช้าลง และสร้างโอกาสให้แฮกเกอร์ใช้การโจมตี Distributed Denial-of-Service ( DDoS ) กับระบบ
Proxy Firewalls
(Better)Proxy Firewallsรู้จักกันดี ในชื่อ Application Level Gateways ทำงาน ที่เลเยอร์ด้านหน้าของ โมเดล OSI - เลเยอร์แอปพลิเคชัน ในฐานะที่เป็นเลเยอร์สุดท้ายที่แยกผู้ใช้ออกจากเครือข่าย เลเยอร์นี้ช่วยให้สามารถตรวจสอบแพ็กเก็ตข้อมูลได้อย่างละเอียดถี่ถ้วนและมีราคาแพงที่สุดด้วยต้นทุนของประสิทธิภาพ
คล้ายกับCircuit-Level Gateways , Proxy Firewallsทำงานโดย interceed ระหว่างโฮสต์และไคลเอนต์, obfuscating IP address ภายในของพอร์ตปลายทาง นอกจากนี้ เกตเวย์ระดับแอปพลิเคชันยังทำการตรวจสอบแพ็คเก็ตในเชิงลึกเพื่อให้แน่ใจว่าไม่มีการรับส่งข้อมูลที่เป็นอันตรายสามารถผ่านได้
และในขณะที่มาตรการทั้งหมดเหล่านี้ช่วยเพิ่มความปลอดภัยให้กับเครือข่ายได้อย่างมาก แต่ก็ทำให้การรับส่งข้อมูลขาเข้าช้าลงด้วย ประสิทธิภาพ เครือข่าย(Network)ได้รับผลกระทบเนื่องจากการตรวจสอบที่ใช้ทรัพยากรมากโดยไฟร์วอลล์แบบเก็บสถานะเช่นนี้ ทำให้ไม่เหมาะกับแอปพลิเคชันที่ไวต่อประสิทธิภาพ
NAT Firewalls
ในการตั้งค่าคอมพิวเตอร์หลายๆ แบบ หัวใจสำคัญของการรักษาความปลอดภัยทางไซเบอร์คือการตรวจสอบเครือข่ายส่วนตัว โดยปกปิดที่อยู่ IP แต่ละรายการของอุปกรณ์ไคลเอนต์จากทั้งแฮกเกอร์และผู้ให้บริการ ดังที่เราได้เห็นแล้ว สามารถทำได้โดยใช้ ไฟร์วอลล์ Proxyหรือเกตเวย์ระดับวงจร
วิธีที่ง่ายกว่ามากในการซ่อนที่อยู่ IP คือการใช้ไฟร์วอลล์Network (Firewall)Address Translation(Network Address Translation) ( NAT ) ไฟร์วอลล์ NAT(NAT)ไม่ต้องการทรัพยากรระบบจำนวนมากในการทำงาน ทำให้เป็นแหล่งข้อมูลระหว่างเซิร์ฟเวอร์และเครือข่ายภายใน
ไฟร์วอลล์แอปพลิเคชันเว็บ
เฉพาะไฟร์วอลล์เครือข่าย(Network Firewalls)ที่ทำงานที่ชั้นแอปพลิเคชันเท่านั้นที่สามารถทำการสแกนแพ็กเก็ตข้อมูลอย่างละเอียด เช่นProxy Firewallหรือดีกว่านั้นคือWeb Application Firewall ( WAF )
การทำงานจากภายในเครือข่ายหรือโฮสต์WAFจะผ่านข้อมูลทั้งหมดที่ส่งโดยเว็บแอปพลิเคชันต่างๆ เพื่อให้แน่ใจว่าไม่มีโค้ดที่เป็นอันตรายผ่านเข้ามา สถาปัตยกรรมไฟร์วอลล์ประเภทนี้เชี่ยวชาญด้านการตรวจสอบแพ็คเก็ตและให้การรักษาความปลอดภัยที่ดีกว่าไฟร์วอลล์ระดับพื้นผิว
ไฟร์วอลล์คลาวด์
ไฟร์วอลล์แบบดั้งเดิม ทั้งไฟร์วอลล์ฮาร์ดแวร์และซอฟต์แวร์ ไม่ได้ปรับขนาดอย่างเหมาะสม ต้องติดตั้งโดยคำนึงถึงความต้องการของระบบ ไม่ว่าจะเป็นการเน้นที่ประสิทธิภาพการรับส่งข้อมูลสูงหรือการรักษาความปลอดภัยการรับส่งข้อมูลเครือข่ายต่ำ
แต่Cloud Firewallsนั้นยืดหยุ่นกว่ามาก ไฟร์วอลล์ประเภทนี้ปรับใช้จากคลาวด์เป็นพร็อกซีเซิร์ฟเวอร์ จะสกัดกั้นการรับส่งข้อมูลของเครือข่ายก่อนที่จะเข้าสู่เครือข่ายภายใน โดยให้สิทธิ์แต่ละเซสชันและยืนยันแต่ละแพ็กเก็ตข้อมูลก่อนที่จะอนุญาต
ส่วนที่ดีที่สุดคือไฟร์วอลล์ดังกล่าวสามารถปรับขนาดขึ้นและลงในความจุได้ตามต้องการ โดยปรับตามระดับการรับส่งข้อมูลขาเข้าที่แตกต่างกัน นำเสนอเป็นบริการบนคลาวด์ โดยไม่จำเป็นต้องใช้ฮาร์ดแวร์ใดๆ และได้รับการดูแลโดยผู้ให้บริการเอง
ไฟร์วอลล์รุ่นต่อไป
รุ่นต่อไปอาจเป็นคำที่ทำให้เข้าใจผิด อุตสาหกรรมที่ใช้เทคโนโลยีทั้งหมดชอบที่จะโยนคำศัพท์เช่นนี้ไปทั่ว แต่จริงๆ แล้วหมายความว่าอย่างไร คุณสมบัติประเภทใดที่ถือว่าไฟร์วอลล์มีคุณสมบัติเป็น Next-gen?
อันที่จริงไม่มีคำจำกัดความที่เข้มงวด โดยทั่วไป คุณสามารถพิจารณาโซลูชันที่รวมไฟร์วอลล์ประเภทต่างๆ เข้าไว้ในระบบรักษาความปลอดภัยที่มีประสิทธิภาพเพียงระบบเดียว เพื่อเป็นไฟร์วอลล์รุ่นต่อไป(Next-Generation Firewall) ( NGFW ) ไฟร์วอลล์ดังกล่าวมีความสามารถในการตรวจสอบแพ็คเก็ตในเชิงลึกในขณะเดียวกันก็ยักไหล่จาก การโจมตี DDoSซึ่งเป็นการป้องกันแฮ็กเกอร์หลายชั้น
ไฟร์วอลล์รุ่นต่อไปส่วนใหญ่มักจะรวมโซลูชันเครือข่ายที่หลากหลาย เช่นVPNs , Intrusion Prevention Systems ( IPS ) และแม้แต่โปรแกรมป้องกันไวรัสไว้ในแพ็คเกจอันทรงพลังอันเดียว แนวคิดคือการนำเสนอโซลูชันที่สมบูรณ์ซึ่งแก้ไขช่องโหว่ของเครือข่ายทุกประเภท ให้ความปลอดภัยเครือข่ายอย่างสมบูรณ์ ด้วยเหตุนี้NGFW(NGFWs) บางตัว สามารถถอดรหัส การสื่อสาร Secure Socket Layer ( SSL ) ได้เช่นกัน ทำให้สามารถสังเกตเห็นการโจมตีที่เข้ารหัสได้เช่นกัน
ไฟร์วอลล์(Firewall)ประเภท(Type)ใดที่ดีที่สุดในการปกป้องเครือข่ายของคุณ(Your Network) ?
สิ่งที่เกี่ยวกับไฟร์วอลล์คือไฟร์วอลล์ประเภทต่างๆ ใช้วิธีการต่างๆ เพื่อปกป้องเครือ(protect a network)ข่าย
ไฟร์วอลล์ที่ง่ายที่สุดเพียงแค่ตรวจสอบสิทธิ์เซสชันและแพ็กเก็ต โดยไม่ได้ทำอะไรกับเนื้อหาเลย ไฟร์วอลล์ของ เกตเวย์(Gateway)นั้นเกี่ยวกับการสร้างการเชื่อมต่อเสมือนและป้องกันการเข้าถึงที่อยู่ IP ส่วนตัว ไฟร์วอลล์(Stateful)แบบเก็บสถานะจะติดตามการเชื่อมต่อผ่านการ จับมือ TCPสร้างตารางสถานะพร้อมข้อมูล
จากนั้นมี ไฟร์วอลล์ Next-Generationซึ่งรวมกระบวนการทั้งหมดข้างต้นเข้ากับการตรวจสอบแพ็คเก็ตในเชิงลึกและคุณสมบัติการป้องกันเครือข่ายอื่นๆ เห็นได้ชัดว่าNGFWจะให้การรักษาความปลอดภัยที่ดีที่สุดแก่ระบบของคุณ แต่นั่นไม่ใช่คำตอบที่ถูกต้องเสมอไป
ขึ้นอยู่กับความซับซ้อนของเครือข่ายของคุณและประเภทของแอปพลิเคชันที่รัน ระบบของคุณอาจดีกว่าด้วยโซลูชันที่ง่ายกว่าซึ่งจะป้องกันการโจมตีทั่วไปส่วนใหญ่แทน ความคิดที่ดีที่สุดอาจเป็นแค่การใช้ บริการ ไฟร์วอลล์ระบบคลาวด์ของบริษัทอื่น(third-party Cloud firewall)ยกเลิกการปรับแต่งและบำรุงรักษาไฟร์วอลล์ให้กับผู้ให้บริการ
Related posts
Internet and Social Networking Sites addiction
ไม่สามารถเชื่อมต่อกับ Xbox Live; Fix Xbox Live Networking issue ใน Windows 10
ฟรี Wireless Networking Tools สำหรับ Windows 10
Cisco Packet Tracer Networking Simulation Tool และทางเลือกฟรี
วิธีการปิดการใช้งานใน Networking Windows Sandbox ใน Windows 10
วิธีการตั้งค่า NAS (ที่เก็บข้อมูลบนเครือข่าย)
8 โครงการ Raspberry Pi ง่าย ๆ สำหรับผู้เริ่มต้น
วิธีควบคุมพีซี Windows โดยใช้ Remote Desktop สำหรับ Mac
วิธีใช้เครือข่าย Xbox ใน Windows 10 เพื่อตรวจสอบการเชื่อมต่อกับ Xbox Live
รีวิวหนังสือ - ระบบเครือข่ายภายในบ้านแบบไร้สายสำหรับ Dummies
HDG อธิบาย : โดเมนที่พักคืออะไร และมีข้อดีอย่างไร?
8 Best Social Networking Sites สำหรับ Graphic Designers เพื่อแสดงผลงานของพวกเขา
8 วิธีง่ายๆ ในการแก้ไขปัญหาการเชื่อมต่อเครือข่าย
ไฟร์วอลล์คืออะไรและมีจุดประสงค์อะไร
คลาวด์คืออะไรและทำอย่างไรจึงจะได้รับประโยชน์สูงสุด
CDN คืออะไรและเหตุใดจึงจำเป็นหากคุณเป็นเจ้าของโดเมน
HDG อธิบาย : พอร์ตคอมพิวเตอร์คืออะไรและใช้ทำอะไร?
Peer ถึง Peer Networking (P2P) และ File Sharing อธิบาย
วิธีเชื่อมต่อกับ Remote Registry ใน Windows 7 และ 10
การเข้ารหัส WiFi ที่ดีที่สุดสำหรับความเร็วและเหตุผล