บทที่ 6 : firewall part2 · บทที่ 6 : firewall part2 สธ412...
TRANSCRIPT
ประเภทของไฟรวอลล
หากแบงตามรปแบบการไหลของขอมลผานไฟรวอลล จะแบงไดเปน 2 ประเภท คอ
Network Firewall แบงเปน Software-based และ Hardware-based
Host-based Firewall หรอ Personal Firewall
3
การแบงประเภทไฟรวอลลตามการไหลของขอมล
Firewall
Network-based
Software-based
Hardware-based
Host-based
4
ประเภทของไฟรวอลล [2]
หากแบงประเภทไฟรวอลลโดยการใชเลเยอรการท างานของไฟรวอลล จะแบงออกไดเปน 3 ประเภท คอ
Packet Filtering Firewall
Application Layer Firewall
Stateful Inspection Firewall
5
ประเภทของไฟรวอลล: Packet Filtering Firewall
การกรองแพคเกตของไฟรวอลลจะท ากอนทจะมการสงผานแพคเกต
แพคเกตจะถกกรองตามรายการควบคมการเขาถง (Access Control List : ACL) ทประกอบไปดวยเฮดเดอรของไอพแพคเกต และการอนญาตหรอไมอนญาตใหผาน
โดยทวไปแลวหากมแพคเกตทไมตรงกบกฎการอนญาตจะถอวาหามผาน
6
ประเภทของไฟรวอลล: Packet Filtering Firewall [2]
ขอมลทใชพจารณาวาจะใหแพคเกตผานหรอไม มาจากเฮดเดอรของไอพแพคเกต ทประกอบไปดวยSource IP Address
Destination IP Address
ประเภทของโปรโตคอล เชน TCP, UDP เปนตน
Source Port
Destination Port
7
ประเภทของไฟรวอลล: Packet Filtering Firewall [3]
หลกการท างานงายๆของ Packet Filtering Firewall จะท าการพจารณาแพคเกตเพอตรวจสอบวาแพคเกตนนถกสงมาจากนอกเครอขายหรอไม
ถาแพคเกตถกสงมาจากนอกเครอขาย แตมแอดเดรสเปนภายใน แสดงวาแพคเกตนนถกสปฟ (Spoof Address) และจะดรอปแพคเกตนทงไป
8
Packet Filtering Firewall9
Application
Presentation
Session
Transport
Network
Data link
Physical
Application
Presentation
Session
Transport
Network
Data link
Physical
Network
Data link
Physical
ประเภทของไฟรวอลล: Stateful Inspection Firewall
มหลกการท างานทกอยางเชนเดยวกบ Packet Filtering Firewall
แตสวนทเพมขนมาคอมนจะบนทกขอมลเกยวกบคอนเนคชนทเกดขนลงใน State Table กอนทจะสงแพคเกตนตอใหเลเยอรอน
State Table จะเกบขอมลเกยวกบแอดเดรสของตนทางและปลายทาง ประเภทโปรโตคอล หมายเลขพอรต
10
ประเภทของไฟรวอลล: Stateful Inspection Firewall [2]
เมอไฟรวอลลไดรบแพคเกตกจะตรวจสอบขอมลกบสเตทเทเบลวาเปนสวนหนงของคอนเนคชนทสรางไวแลวหรอไม
ถาเปนสวนหนงของคอนเนคชนจรงกไมมความจ าเปนใดๆทจะตองตรวจสอบซ าอก
วธการปองกนการโจมตแบบ DOS ทจะสงแพคเกตจ านวนมากเขามาจนท าใหสเตทเทเบลเตม คอการตง timeout ของแตละคอนเนคชนเอาไว
11
Stateful Inspection Firewall12
Application
Presentation
Session
Transport
Network
Data link
Physical
Application
Presentation
Session
Transport
Network
Data link
Physical
Application
Presentation
Session
Network
ประเภทของไฟรวอลล: Application Layer Firewall
บางครงเรยกวา “พรอกซ” (Proxy Firewall) ซงเปนเครองมอบงคบใชนโยบายวาจะอนญาตใหทราฟกใดสามารถสงผานระหวางเครอขายไดบาง
โปรโตคอลทอนญาตใหผานไดจะตองมพรอกซส าหรบโปรโตคอลนนโดยเฉพาะ
พรอกซเปนสเตทฟลไฟรวอลล แตมความแตกตางกนคอ พรอกซเซรฟเวอรจะสรางไอพแพคเกตใหม เพอสงตอไปยงเปาหมาย เมอแพคเกตนนผานการตรวจสอบแลว
13
ประเภทของไฟรวอลล: Application Layer Firewall [2]
กระบวนการสรางการเชอมตอของพรอกซไฟรวอลล
1) เรมจากไคลเอนตสงการรองขอไปยงไฟรวอลล
2) ไฟรวอลลจะตรวจสอบกบนโยบายรกษาความปลอดภยวาอนญาตใหผานหรอไม
3) ถาอนญาต ไฟรวอลลจะสรางการเชอมตอกบเซรฟเวอรแทนไคลเอนตเอง
14
ประเภทของไฟรวอลล: Application Layer Firewall [3]
พรอกซไฟรวอลลสามารถควบคมกนเชอมตอจากภายนอกไดเชนกน โดยเครองทอยภายนอกจะมองเหนเฉพาะหมายเลขไอพของไฟรวอลลเทานน ไมสามารถเหนเครองทอยภายในได
15
Application Layer Firewall16
Application
Presentation
Session
Transport
Network
Data link
Physical
Application
Presentation
Session
Transport
Network
Data link
PhysicalApplication
นโยบายการรกษาความปลอดภย
สงทส าคญทสดในการใชงานไฟรวอลลคอการก าหนดนโยบายการรกษาความปลอดภย (Network Security Policy)
เมอก าหนดนโยบายแลวจงน านโยบายไปบงคบใชใน ไฟรวอลล
กฎทบงคบใชในไฟรวอลลจะเรยกวา “ACL” (Access Control List) หรอไฟรวอลลรล (Firewall Rule)
ถาแพคเกตทพจารณาไมตรงกบกฎใดใน ACL เลย ไฟรวอลลกจะท าการดรอปแพคเกตนนทงไป
17
Network Address Translation (NAT)
NAT ไมใชเทคโนโลยของไฟรวอลล แตไฟรวอลลสวนใหญจะมฟงกชน NAT อย
NAT เปนเทคโนโลยทใชในการแกปญหาหมายเลขไอพทใชงานบนอนเทอรเนตไมเพยงพอ เพราะเมอเชอมตอกบอนเทอรเนตคอมพวเตอรจะตองมหมายเลขไอพจรง
จะมองคกรกลางท าหนาทจดการเกยวกบการแจกจายไอพ โดยจะจายเปนบลอคไปใหผบรการอนเทอรเนต
18
Network Address Translation (NAT) [2]
องคกรสวนใหญจะแกปญหาโดยการก าหนดใหคอมพวเตอรทกเครองในเครอขายใชหมายเลขไอพจรงเพยงไอพเดยว โดยการใช NAT สวนคอมพวเตอรภายในจะใช Private IP เชน 10.0.0.0/8 172.16.0.0/12 192.168.0.0.16
19
Network Address Translation (NAT) [3]
หลกการท างานคลายกบ Stateful Inspection Firewall แตมสวนเพมเตมคอ เมอ NAT ไดรบแพคเกตจากคอมพวเตอรภายในทตองการสงตอไปยงอนเทอรเนต มนจะเปลยนไอพแอดเดรสของตนทางใหเปนไอพจรงของไฟรวอลลแลวคอยสงไป
เมอเซรฟเวอรทอยบนอนเทอรเนตตอบกลบมา กจะตอบกลบมายงแอดเดรสของไฟรวอลลน
20
Network Address Translation (NAT) [4]
ขอจ ากดของ NAT
NAT จะสามารถแทนคาไดเฉพาะสวนแพคเกตเฮดเดอรเทานน ท าใหมบางแอพพลเคชนทท างานผาน NAT ไมได เชน FTP และแอพพลเคชนประเภท Audio/Video
หากผโจมตมวธท าใหผใชภายในเรมสรางการเชอมตอไปหาผโจมตกอน กจะท าใหผโจมตสามารถเจาะเขามาในระบบได
22
Network Address Translation (NAT) [5]
Reverse NAT
เปนบรการทท าใหผใชทอยบนอนเทอรเนตสามารถเขามาใชงานเซรฟเวอรทอยภายในได
หลกการท างานคอ ไฟรวอลลจะท าหนาทบรการแทนเซรฟเวอรทอยภายใน โดยเมอไดรบการรองขอมายงหมายเลขไอพจรงของเซรฟเวอร ไฟรวอลลจะท าการรองขอขอมลไปยงเซรฟเวอรนน แลวจงสงตอขอมลกลบไปยงไคลเอนตทอยบนอนเทอรเนต โดยจะเปลยนไอพตนทางเปนไอพของไฟรวอลล
23