SlideShare uma empresa Scribd logo

Firewall

Transferir como PPTX, PDF
P
Pongdee Chaijunda

Credit by Suthee Sirisutthidecha Instructor, IT Faculty, RSU, THAILAND

Internet
1 de 31
Firewall Presented by Suthee Sirisutthidecha Instructor, IT Faculty 13 July 2013 suthee sirisutthidecha 1
Firewall คือ องค์ประกอบส่วนหน่งึของเครือข่าย ทาหนา้ที่ ตรวจสอบข้อมูลที่ผ่านเข้าออกระหว่างระบบเครือข่ายภายใน องค์กรกับเครือข่ายภายนอก (ที่ไม่น่าไว้วางใจ) เพื่อป้องกันภัย คุกคามทางเครือข่าย โดยไม่ให้ผู้ที่ไม่ได้รับอนุญาตเข้ามาใช้งานใน ระบบ รวมทั้งป้องกันการโจมตีในรูปแบบต่างๆ 2
Firewall • เหตุหลักที่มีการใช้ Firewall นั้นก็เพื่อให้ผู้ที่อยู่ภายในเครือข่าย สามารถใช้บริการเครือข่ายภายในได้อย่างเต็มที่ และยังสามารถใช้ บริการเครือข่ายภายนอก เช่น อินเทอร์เน็ต ได้ด้วยเช่นกัน • ในขณะเดียวกัน Firewall ก็จะป้องกันไม่ให้ผู้ใช้ภายนอกที่ไม่ได้รับ อนุญาตเข้ามาใช้บริการเครือข่ายที่อยู่ภายในได้ 3
Firewall • การที่เครือข่ายองค์กรเชื่อมต่อโดยตรงกับอินเทอร์เน็ตโดยที่ไม่มี Firewall เป็นการเปิดช่องโหว่ให้เครือข่ายองค์กรถูกโจมตีหรือบุก รุกได้โดยง่าย • เช่น ในเครือข่ายองค์กรหน่งึมีโฮสต์หรือเซิรฟ์เวอร์เป็นร้อยๆ เครื่อง ถ้าผู้บุกรุกเครือข่ายสามารถเจาะเข้าเครื่องใดเครื่องหน่งึได้ ต่อไปก็ไม่เป็นการยากอีกเช่นกันที่จะเข้าไปยังเครื่องอื่นๆที่เหลือ ดังนั้นการติดตั้ง Firewall จึงเป็นการป้องกันผู้บุกรุกได้ในระดับ หนึ่ง 4
ประเภทของ Firewall  จาแนกตามลักษณะการประมวลผล (Processing Mode) สามารถแบ่งออกเป็น 5 ประเภท ได้แก่ – Packet Filtering Firewall – Application Firewall – Circuit Gateways Firewall – MAC Layer Firewall – Hybrid Firewall 5
ประเภทของ Firewall: Processing Mode Packet Filtering Firewall  เป็น Firewall ที่ตรวจสอบ และกลัน่กรอง Packet ข้อมูลที่เข้ามาใน เครือข่าย โดยพิจารณาความน่าเชื่อถือของข้อมูลจากส่วน Header ของ Packet  Firewall ชนิดนี้จะพิจารณารายละเอียดต่างๆ ใน Header ได้แก่ Source and Destination IP Address, Source and Destination Port Number และ ประเภทของโปรโตคอล (TCP หรือ UDP)  Firewall จะพิจารณาเทียบรายละเอียดดังกล่าวว่าตรงกับข้อกาหนดของ ระบบรักษาความปลอดภัยที่จัดเก็บไว้ในฐานข้อมูลหรือไม่ หากไม่ตรง จะปฏิเสธ Packet ข้อมูลดังกล่าว แต่หากตรงก็จะอนุญาตให้ Packet นั้น เข้ามาในเครือข่ายได้ 6
ประเภทของ Firewall: Processing Mode  Address Restriction Rule • เป็นกฎการตรวจสอบ Packet ข้อมูล Firewall อย่างง่ายที่ติดตั้งไว้ที่ อุปกรณ์เครือข่าย เช่น Router • Firewall จะอนุญาตเฉพาะ Packet ที่มีที่อยู่ต้นทางและที่อยู่ ปลายทางที่กาหนดเอาไว้ในตาราง ACL (Access Control List) เท่านั้น โดยผู้ดูแลระบบสามารถแก้ไขที่อยู่ต้นทางและปลายทางได้ 7 ที่อยู่ต้นทาง ที่อยู่ปลายทาง Service Action 172.16.x.x 10.10.x.x Any Deny 192.168.x.x 10.10.10.25 HTTP Allow 192.168.0.1 10.10.10.10 FTP Allow
ประเภทของ Firewall: Processing Mode Packet Filtering Firewall  Stateful Filtering  เรียกอีกอย่างหน่งึว่า Stateful Firewall โดยจะสามารถทางานได้ทุก อย่างเช่นเดียวกับ Dynamic Filtering แล้ว ยังสามารถคงสถานะการ เชื่อมต่อจากภายนอกไว้ในระยะเวลาที่กา หนดได้อีกด้วย  Firewall ชนิดนี้จะมีความซับซ้อนขึ้น เนื่องจากจะต้องมีการใช้ตาราง State Table Entry ซึ่งระบุถึงระยะเวลาทั้งหมดของการเชื่อมต่อรวมถึง ระยะเวลาที่เหลือของการเชื่อมต่อไว้ด้วย  หาก Packet ใดที่ไม่มีการตอบรับภายในระยะเวลาที่กา หนดแล้ว Firewall ก็จะตัดการเชื่อมต่อ เพื่อการสร้างการเชื่อมต่อกับ Request ใหม่ทันที 8
ประเภทของ Firewall: Processing Mode Packet Filtering Firewall  Stateful Filtering  ตัวอย่างตาราง State Table Entry 9 Source Address Source Port Destination Address Destination Port Time Remaining Total Time Protocol 192.168.2.5 1028 10.10.10.7 80 2725 3600 TCP
ประเภทของ Firewall: Processing Mode Application Firewall  หรือเรียกว่า Application-Level Firewall หรือ Application Gateway เป็น Firewall ที่ ติดตั้งบนเครื่องคอมพิวเตอร์แยกต่างหาก ทาให้คอมพิวเตอร์เครื่องดังกล่าวทาหน้าที่ เป็น Firewall โดยเฉพาะ (แยกจาก Router)  สามารถใช้กรอง Packet ที่จะผ่านเข้ามาใน เครือข่าย และสามารถตรวจสอบเนื้อหาใน Packet ได้เช่นเดียวกับ Packet Filtering Firewall (แบบ Stateful) 10
ประเภทของ Firewall: Processing Mode Application Firewall  นอกจากน้ยีังทาหน้าที่คล้ายกับ Proxy Server ในการให้บริการคา ร้องขอ (Request) ต่างๆของผู้ใช้ หรือเป็นตัวกลางการร้องขอ ข้อมูลเว็บเพจจาก Web Server แทนผู้ใช้ 11
ประเภทของ Firewall: Processing Mode Application Firewall  Application Firewall ยังมีข้อดีอย่างหน่งึคือ สามารถ Block การ ร้องขอข้อมูลจากเว็บไซต์ที่เป็นอันตรายของผู้ใช้ภายในเครือข่ายได้ อีกด้วย  ข้อเสียของ Application Firewall นั้นคือ เป็น Firewall ที่ถูก ออกแบบมาสาหรับให้ใช้ได้กับบางโปรโตคอล จึงสามารถป้องกัน การโจมตีภายใต้โปรโตคอลที่รู้จักเท่านั้น หากเป็นการโจมตีจาก โปรโตคอลอื่น Firewall แบบน้จีะไม่สามารถป้องกันได้ 12
ประเภทของ Firewall: Processing Mode Circuit Gateway Firewall  เป็น Firewall ที่ไม่ตรวจสอบข้อมูลใน Packet แต่จะตรวจสอบ เส้นทางการเชื่อมต่อ (Connection) ระหว่างผู้ใช้กับเครื่องอื่น ภายนอกเครือข่าย และป้องกันการเชื่อมต่อโดยตรงระหว่างผู้ใช้กับ เครื่องอื่นๆ ภายนอกเครือข่ายได้ด้วย  Circuit Gateway Firewall จะสร้างเส้นทางเสมือน (Virtual Circuit) เพื่อให้สามารถจัดการเส้นทางการเชื่อมต่อนั้นได้เองโดยที่ ผู้ใช้ไม่รู้ตัว หากพบเส้นทางการเชื่อมต่อใดที่ไม่น่าเชื่อถือหรือไม่ ตรงกฎความปลอดภัยก็จะทิ้งหรือปฏิเสธการเชื่อมต่อนั้น 13
ประเภทของ Firewall: Processing Mode Circuit Gateway Firewall  การเชื่อมต่อเสมือนช่วยให้ผู้ใช้หลายคนสามารถติดต่อกับ Application หรือเครือข่ายอื่นภายนอกได้หลาย Application ด้วย  ข้อเสียของ Firewall ชนิดน้คีือ ไม่สามารถตรวจสอบเนื้อหาภายใน Packet ที่จะส่งไปในเส้นทางการเชื่อมต่อนั้นได้ 14 การตรวจสอบ Packet ของ Firewall ชนิดนี้จะทางานบน Transport Layer ใน OSI Model
ประเภทของ Firewall: Processing Mode MAC Layer Firewall  เป็น Firewall ที่สามารถระบุ Host Computer ได้ในขณะกลัน่กรอง Packet โดยดูจากหมายเลข MAC (MAC Address) ที่ถูกเชื่อมโยง เข้ากับตาราง ACL เพื่อการตรวจสอบ Packet ที่มาพร้อมกับ Host Computer ใดๆ 15 การตรวจสอบ Packet ของ Firewall ชนิดนี้จะทางานบน Data Link Layer ใน OSI Model
ประเภทของ Firewall: Processing Mode Hybrid Firewall  เป็น Firewall ที่รวมเอาความสามารถของ Firewall ชนิดอื่นๆ เข้า ด้วยกัน เช่น การรวม Packet Filtering Firewall เข้ากับ Application Firewall หรือรวมกันระหว่าง Packet Filtering Firewall เข้ากับ Circuit Firewall เป็นต้น  Firewall ชนิดน้จีะทาให้องค์กรสามารถเพิ่มประสิทธิภาพในการ รักษาความปลอดภัยของข้อมูลและระบบภายในองค์กรได้ดียิ่งขึ้น 16 Application Firewall มักถูกใช้เป็นคอมพิวเตอร์ตามบ้าน ส่วน Firewall ชนิดอื่นๆ มักนิยมใช้ในองค์กรหรือสานักงาน
ประเภทของ Firewall: Processing Mode สรุปการทางานของ Firewall ชนิดต่างๆใน OSI Model 17 Application Layer Presentation Layer Session Layer Transport Layer Network Layer Data Link Layer Physical Layer 7 6 5 4 3 2 1 Application Firewall Application Firewall Application Firewall Circuit Gateway Firewall Packet Filtering Firewall MAC Layer Firewall
Network Security Policy – สิ่งสาคัญที่สุดสาหรับการใช้งาน Firewall คือ การกา หนดนโยบายรักษา ความปลอดภัย (Network Security Policy)  เพราะแม้ว่า Firewall นั้นจะมีประสิทธิภาพ และมีความปลอดภัยมากเท่าใด แต่ หากมีนโยบายรักษาความปลอดภัยที่หละหลวมแล้ว Firewall นั้นก็ไม่มี ประโยชน์เท่าที่ควร – ก่อนที่ติดตั้ง Firewall จึงควรที่จะกาหนดนโยบายรักษาความปลอดภัยที่ สามารถควบคุมหรือ Traffic ที่อาจส่งผลกระทบต่อการใช้งานเครือข่ายให้ มากที่สุด จากนั้นจึงนา นโยบายนั้นไปบังคับใช้ใน Firewall – กฎที่บังคับใช้นโยบายรักษาความปลอดภัยใน Firewall นั้นจะเรียกว่า ACL (Access Control List) หรือ Firewall Rule 18
Network Security Policy 19 Rule Source Destination Service (Port) Action Description 1 Any Web Server HTTP (80) HTTPS (443) Allow อนุญาตให้ผู้ใช้ทั้งจากภายในและ อินเทอร์เน็ตเข้ามาใช้บริการ Web Server 2 Any Mail Server SMTP (25) POP3 (110) IMAP (143) Allow อนุญาตให้ผู้ใช้ทั้งจากภายในและ อินเทอร์เน็ตเข้ามาใช้บริการ Mail Server 3 Any DNS Server DNS (53) Allow อนุญาตให้ผู้ใช้ทั้งจากภายในและ อินเทอร์เน็ตเข้ามาใช้บริการ DNS Server 4 Mail Server Any SMTP (25) Allow อนุญาตให้Mail Server รับ-ส่งกับ Mail Server อื่นที่อยู่บนอินเทอร์เน็ตหรือภายใน
Network Security Policy Rule Source Destination Service (Port) Action Description 5 DNS Server Any DNS (53) Allow อนุญาตให้DNS Server คิวรี DNS Server 20 อื่นที่อยู่บนอินเทอร์เน็ตหรือภายใน 6 Internal Network Any HTTP (80) HTTPS (443) FTP (20-21) Telnet (23) SSH (22) SMTP (25) POP3 (110) IMAP (143) Allow อนุญาตให้ผู้ใช้ภายในเครือข่ายใช้บริการ ดังกล่าวจากอินเทอร์เน็ตและ DMZ 7 Any Any Any Deny ถ้าไม่ตรงกับกฎใดๆ ที่กาหนดข้างบนให้ละ ทิ้งแพ็คเก็ตนั้นทันที
Firewall Architecture – Firewall แต่ละประเภท สามารถนา มาจัดโครงสร้างการทางานให้เป็นระบบ Firewall ตามสถาปัตยกรรมของ Firewall ได้หลายรูปแบบ – การเลือกสถาปัตยกรรมตามความเหมาะสมขององค์กร ขึ้นอยู่กับหลายปัจจัย ได้แก่ วัตถุประสงค์ด้านเครือข่ายที่องค์กรต้องการ, ความสามารถในการ พัฒนาระบบ Firewall ตามสถาปัตยกรรมนั้นๆ หรือปัจจัยทางด้าน งบประมาณ เป็นต้น – เราสามารถแบ่งสถาปัตยกรรมของ Firewall ได้เป็น 4 รูปแบบ คือ  Packet Filtering Router  Screened Host Firewall  Dual-homed Host Firewall  Screened Subnet Firewall 21
Firewall Architecture • Packet Filtering Router – เป็นรูปแบบที่จัดให้มี Router ทาหน้าที่เป็น Firewall กั้นระหว่างเครือข่ายภายใน องค์กรกับภายนอกองค์กร – Firewall ที่ Router จะทาหน้าที่กลัน่กรอง Packet โดยอนุญาตให้ Packet ที่ตรงกับ ตาราง ACL เท่านั้นที่จะสามารถเข้ามาในเครือข่ายภายในองค์กรได้ ดังรูป Implement ง่าย, มีความเร็วสูง, ประหยัดค่าใช้จ่าย ไม่มีระบบการตรวจสอบและตรวจจับที่เข้มงวด, ยิ่งเพิ่มกฎในตาราง ACL มากจะยิ่งทาให้การทางานของระบบช้าลง 22 Internet Packet Filtering Router Packet Packet Packet
Firewall Architecture • Screened Host Firewall – เป็นรูปแบบที่ประกอบด้วยความสามารถของ Packet Filtering Firewall และ Application Firewall (Proxy Server) – เครื่องคอมพิวเตอร์ที่ทาหน้าที่เป็น Proxy Server จะเรียกว่า Bastion Host – Packet Filtering Firewall จะทาหน้าที่กรอง Packet ที่ได้รับเข้ามาก่อน จากนั้นส่งต่อ Packet ที่ได้รับอนุญาตไปยัง Bastion Host เพ่อืตรวจสอบ บริการ Application ที่เข้ามา แล้วบันทึกไว้ก่อนส่งต่อไปยังผู้ใช้ที่ร้อง ข้อมูลใน Packet นั้นๆ 23 Internet Packet Filtering Router Packet Packet Packet Proxy Access Bastion Host
Firewall Architecture • Screened Host Firewall – สาหรับ Client ที่อยู่ภายในเครือข่ายภายใน จะไม่ได้รับการอนุญาต ให้เชื่อมต่อกับเครือข่ายภายนอกโดยตรงทั้งหมด แต่จะต้องผ่าน Bastion Host ก่อนเสมอ ทาให้Bastion Host มีความเสี่ยงต่อการ โจมตีมากที่สุด – ผู้ดูแลระบบจึงควรรักษาความปลอดภัยของ Bastion Host เอาไว้ เป็นอย่างดี ประหยัดค่าใช้จ่าย หากผู้โจมตีทาการโจมตี Bastion Host ได้สาเร็จ ผู้โจมตีจะ สามารถเข้าถึงข้อมูลของเครื่อง Client ได้ทุกเครื่อง 24
Firewall Architecture • Dual-homed Host Firewall – เป็นรูปแบบที่จัดให้ Bastion Host มี NIC อย่างน้อย 2 การ์ด โดย การ์ดแรกใช้ติดต่อกับเครือข่ายภายนอกโดยตรง ส่วนการ์ดที่สองใช้ ติดต่อกับเครือข่ายภายใน – เป็นการสร้าง Firewall ป้องกันมากกว่า 1 Layer ในสถาปัตยกรรม ชนิดนี้ซึ่งทุกเส้นทางการจราจรของข้อมูลจะต้องผ่าน Firewall น้ทีั้ง ขาเข้าและขาออกจากเครือข่ายภายใน 25
Firewall Architecture Packet Packet ป้องกันการโจมตีได้ถึง 2 ระดับ, ป้องกันการสแกนหมายเลข IP ภายใน ได้, สามารถแปลงโปรโตคอลที่ Data Link Layer ได้หลายโปรโตคอล เช่น Ethernet, Token Ring เป็นต้น และเสียค่าใช้จ่ายน้อยเม่อืเทียบกับระดับความ ปลอดภัยที่เพิ่มขึ้นมา ซับซ้อน ทางานช้า, รองรับจานวนเส้นทางการเชื่อมต่อ (Traffic) ได้ น้อยกว่าแบบ Packet Filtering Firewall และต้องการทรัพยากรมากกว่า รูปแบบอื่น 26 Internet Dual-homed Host (NAT Firewall) Packet Internal Filtering Router External Filtering Router Proxy Access Packet
Firewall Architecture • Screened Subnet Firewall – เป็นรูปแบบที่ประกอบด้วย Packet Filtering Router ทั้ง 2 ฝั่ง คือ External Filtering Router และ Internal Filtering Router รวมทั้งมี Bastion Host ตั้งแต่ 1 Host ขึ้นไป – แต่ละ Host ทาหน้าที่ป้องกันเครือข่ายภายใน โดยจัดให้กลุ่ม Bastion Host แยกมาอยู่รวมกันเป็นเครือข่ายพิเศษในเขตที่เรียกว่า DMZ (Demilitarized Zone) ซึ่งเป็นเขตที่อยู่ระหว่างเครือข่าย ภายในและภายนอก ส่วน External Filtering Router จะอยู่ระหว่าง เครือข่ายภายนอกกับเขต DMZ และ Internal Filtering Router จะ อยู่ระหว่างเครือข่ายภายในกับเขต DMZ 27
Firewall Architecture • Screened Subnet Firewall Demilitarized Zone (DMZ) จากภาพ เส้นทางการเชื่อมต่อจะเป็นดังนี้ – การเชื่อมต่อจากเครือข่ายภายนอก จะวิ่งผ่านเส้นทางของ External Filtering Router – เม่อืวิ่งเข้ามายัง External Filtering Route แล้ว จะวิ่งออกไปยังเครือข่ายพิเศษภายใน DMZ – การเชื่อมต่อที่จะวิ่งเข้าสู่เครือข่ายภายใน จะต้องได้รับอนุญาตจาก Host Server ใน DMZ เท่านั้น 28 Internet Internal Filtering Router External Filtering Router Packet Server Proxy Access Controlled Access Packet
Firewall Architecture • Screened Subnet Firewall สถาปัตยกรรมแบบน้มีีหน้าที่หลัก 2 ประการ คือ – ป้องกันเครือข่ายพิเศษและสารสนเทศใน เขต DMZ จากภัยคุกคามภายนอก ด้วยการ มีระบบรักษาความปลอดภัยที่เครือข่าย DMZ – ป้องกันเครือข่ายภายในด้วยการจากัดการ เข้าถึงจากเครือข่ายภายนอก เน่อืงระบบ Firewall แบบน้มีีการแบ่งเป็นหลายระดับ ทาให้ลดความเสี่ยงจากการถูกโจมตีสาหรับ เครือข่ายภายในลงไปได้มาก 29
Firewall Architecture • Screened Subnet Firewall มีความปลอดภัยสูง เน่อืงจากมีการแบ่งเครือข่ายออกเป็นส่วนๆ (เครือข่ายภายใน เครือข่ายภายนอก และ DMZ) มีค่าใช้จ่ายสูง, ระบบมีความซับซ้อน จัดการยาก 30
Question and Answer suthee.si@rsu.ac.th 13 July 2013 suthee sirisutthidecha 31

Recomendados

Chapter7 transport layer
Chapter7 transport layerChapter7 transport layer
Chapter7 transport layerNghia Simon
 
Danh Sach Lien Ket
Danh Sach Lien KetDanh Sach Lien Ket
Danh Sach Lien KetTony Nhân
 
200 đề tài luận văn thạc sĩ an ninh mạng. HAY
200 đề tài luận văn thạc sĩ an ninh mạng. HAY200 đề tài luận văn thạc sĩ an ninh mạng. HAY
200 đề tài luận văn thạc sĩ an ninh mạng. HAYDịch vụ viết thuê Khóa Luận - ZALO 0932091562
 
FIREWALL PADA JARINGAN VOIP.docx
FIREWALL PADA JARINGAN VOIP.docxFIREWALL PADA JARINGAN VOIP.docx
FIREWALL PADA JARINGAN VOIP.docxNeNg ANtie
 
Lập trình phân tích bắt gói tin mạng bằng Python
Lập trình phân tích bắt gói tin mạng bằng PythonLập trình phân tích bắt gói tin mạng bằng Python
Lập trình phân tích bắt gói tin mạng bằng PythonPhạm Trung Đức
 
Testing dan implementasi_sistem_-_romeo
Testing dan implementasi_sistem_-_romeoTesting dan implementasi_sistem_-_romeo
Testing dan implementasi_sistem_-_romeoAbrianto Nugraha
 
ใบความรู้ที่1
ใบความรู้ที่1ใบความรู้ที่1
ใบความรู้ที่1krupick
 
Hệ Thống DNS
Hệ Thống DNSHệ Thống DNS
Hệ Thống DNSTuấn Nguyễn Văn
 

Recomendados

Chapter7 transport layer
Chapter7 transport layerChapter7 transport layer
Chapter7 transport layerNghia Simon
 
Danh Sach Lien Ket
Danh Sach Lien KetDanh Sach Lien Ket
Danh Sach Lien KetTony Nhân
 
200 đề tài luận văn thạc sĩ an ninh mạng. HAY
200 đề tài luận văn thạc sĩ an ninh mạng. HAY200 đề tài luận văn thạc sĩ an ninh mạng. HAY
200 đề tài luận văn thạc sĩ an ninh mạng. HAYDịch vụ viết thuê Khóa Luận - ZALO 0932091562
 
FIREWALL PADA JARINGAN VOIP.docx
FIREWALL PADA JARINGAN VOIP.docxFIREWALL PADA JARINGAN VOIP.docx
FIREWALL PADA JARINGAN VOIP.docxNeNg ANtie
 
Lập trình phân tích bắt gói tin mạng bằng Python
Lập trình phân tích bắt gói tin mạng bằng PythonLập trình phân tích bắt gói tin mạng bằng Python
Lập trình phân tích bắt gói tin mạng bằng PythonPhạm Trung Đức
 
Testing dan implementasi_sistem_-_romeo
Testing dan implementasi_sistem_-_romeoTesting dan implementasi_sistem_-_romeo
Testing dan implementasi_sistem_-_romeoAbrianto Nugraha
 
ใบความรู้ที่1
ใบความรู้ที่1ใบความรู้ที่1
ใบความรู้ที่1krupick
 
Hệ Thống DNS
Hệ Thống DNSHệ Thống DNS
Hệ Thống DNSTuấn Nguyễn Văn
 
Proxy server
Proxy serverProxy server
Proxy serverferdian_rb
 
Number bases
Number basesNumber bases
Number basesArtist Ar
 
Báo cáo phân tích thiết kế mạng
Báo cáo phân tích thiết kế mạngBáo cáo phân tích thiết kế mạng
Báo cáo phân tích thiết kế mạngjackjohn45
 
Đồ án thực tập cơ sở các kĩ thuật tấn công SQL injection và cách phòng chống
Đồ án thực tập cơ sở các kĩ thuật tấn công SQL injection và cách phòng chốngĐồ án thực tập cơ sở các kĩ thuật tấn công SQL injection và cách phòng chống
Đồ án thực tập cơ sở các kĩ thuật tấn công SQL injection và cách phòng chốngnataliej4
 
ความรู้เบื้องต้นเกี่ยวกับ Internet
ความรู้เบื้องต้นเกี่ยวกับ Internetความรู้เบื้องต้นเกี่ยวกับ Internet
ความรู้เบื้องต้นเกี่ยวกับ Internetครูสม ฟาร์มมะนาว
 
C# cơ bản hay
C# cơ bản hayC# cơ bản hay
C# cơ bản hayPhi Tường
 
Bao cao thuc tap - Điện toán đám mây
Bao cao thuc tap - Điện toán đám mâyBao cao thuc tap - Điện toán đám mây
Bao cao thuc tap - Điện toán đám mâyVan Pham
 
Luan van xay_dung_he_thong_mang_lan_cho_truong_dai_hoc
Luan van xay_dung_he_thong_mang_lan_cho_truong_dai_hocLuan van xay_dung_he_thong_mang_lan_cho_truong_dai_hoc
Luan van xay_dung_he_thong_mang_lan_cho_truong_dai_hocDuc Nguyen
 
Manajemen jaringan
Manajemen jaringanManajemen jaringan
Manajemen jaringanpeces123
 
Đề tài: Tìm hiểu mạng riêng ảo và ứng dụng, HOT
Đề tài: Tìm hiểu mạng riêng ảo và ứng dụng, HOTĐề tài: Tìm hiểu mạng riêng ảo và ứng dụng, HOT
Đề tài: Tìm hiểu mạng riêng ảo và ứng dụng, HOTDịch vụ viết bài trọn gói ZALO 0917193864
 
Seguranca de rede
Seguranca de redeSeguranca de rede
Seguranca de redeUniversidade Federal do Pampa
 
An Ninh Mạng Và Kỹ Thuật Session Hijacking.pdf
An Ninh Mạng Và Kỹ Thuật Session Hijacking.pdfAn Ninh Mạng Và Kỹ Thuật Session Hijacking.pdf
An Ninh Mạng Và Kỹ Thuật Session Hijacking.pdfNuioKila
 
รวมข้อสอบ O-NETปี51-54 (คอมพิวเตอร์)
รวมข้อสอบ O-NETปี51-54 (คอมพิวเตอร์)รวมข้อสอบ O-NETปี51-54 (คอมพิวเตอร์)
รวมข้อสอบ O-NETปี51-54 (คอมพิวเตอร์)ภูเบศ เศรษฐบุตร
 
Análise de requisitos de um projeto de redes
Análise de requisitos de um projeto de redesAnálise de requisitos de um projeto de redes
Análise de requisitos de um projeto de redesleilaredes
 
Vantagens__Desvantagens_Tipos_de_servidores
Vantagens__Desvantagens_Tipos_de_servidoresVantagens__Desvantagens_Tipos_de_servidores
Vantagens__Desvantagens_Tipos_de_servidoresTudosbinformatica .blogspot.com
 
รายงานอินเทอร์เน็ต
รายงานอินเทอร์เน็ตรายงานอินเทอร์เน็ต
รายงานอินเทอร์เน็ตnatlove220
 
การออกแบบระบบรักษาความมั่นคง
การออกแบบระบบรักษาความมั่นคงการออกแบบระบบรักษาความมั่นคง
การออกแบบระบบรักษาความมั่นคงtumetr1
 
firewall
firewallfirewall
firewallKim Chan
 
Cơ sở an toàn thông tin chương 1
Cơ sở an toàn thông tin chương 1 Cơ sở an toàn thông tin chương 1
Cơ sở an toàn thông tin chương 1 NguynMinh294
 
การประมวลผลด้วยคอมพิวเตอร์
การประมวลผลด้วยคอมพิวเตอร์การประมวลผลด้วยคอมพิวเตอร์
การประมวลผลด้วยคอมพิวเตอร์เสย ๆๆๆๆ
 
Information system security wk6-2
Information system security wk6-2Information system security wk6-2
Information system security wk6-2Bee Lalita
 
Protocol
ProtocolProtocol
Protocolelecthoeng
 

Mais conteúdo relacionado

Mais procurados

Number bases
Number basesNumber bases
Number basesArtist Ar
 
Báo cáo phân tích thiết kế mạng
Báo cáo phân tích thiết kế mạngBáo cáo phân tích thiết kế mạng
Báo cáo phân tích thiết kế mạngjackjohn45
 
Đồ án thực tập cơ sở các kĩ thuật tấn công SQL injection và cách phòng chống
Đồ án thực tập cơ sở các kĩ thuật tấn công SQL injection và cách phòng chốngĐồ án thực tập cơ sở các kĩ thuật tấn công SQL injection và cách phòng chống
Đồ án thực tập cơ sở các kĩ thuật tấn công SQL injection và cách phòng chốngnataliej4
 
Bao cao thuc tap - Điện toán đám mây
Bao cao thuc tap - Điện toán đám mâyBao cao thuc tap - Điện toán đám mây
Bao cao thuc tap - Điện toán đám mâyVan Pham
 
Luan van xay_dung_he_thong_mang_lan_cho_truong_dai_hoc
Luan van xay_dung_he_thong_mang_lan_cho_truong_dai_hocLuan van xay_dung_he_thong_mang_lan_cho_truong_dai_hoc
Luan van xay_dung_he_thong_mang_lan_cho_truong_dai_hocDuc Nguyen
 
Manajemen jaringan
Manajemen jaringanManajemen jaringan
Manajemen jaringanpeces123
 
An Ninh Mạng Và Kỹ Thuật Session Hijacking.pdf
An Ninh Mạng Và Kỹ Thuật Session Hijacking.pdfAn Ninh Mạng Và Kỹ Thuật Session Hijacking.pdf
An Ninh Mạng Và Kỹ Thuật Session Hijacking.pdfNuioKila
 
รวมข้อสอบ O-NETปี51-54 (คอมพิวเตอร์)
รวมข้อสอบ O-NETปี51-54 (คอมพิวเตอร์)รวมข้อสอบ O-NETปี51-54 (คอมพิวเตอร์)
รวมข้อสอบ O-NETปี51-54 (คอมพิวเตอร์)ภูเบศ เศรษฐบุตร
 
Análise de requisitos de um projeto de redes
Análise de requisitos de um projeto de redesAnálise de requisitos de um projeto de redes
Análise de requisitos de um projeto de redesleilaredes
 
รายงานอินเทอร์เน็ต
รายงานอินเทอร์เน็ตรายงานอินเทอร์เน็ต
รายงานอินเทอร์เน็ตnatlove220
 
การออกแบบระบบรักษาความมั่นคง
การออกแบบระบบรักษาความมั่นคงการออกแบบระบบรักษาความมั่นคง
การออกแบบระบบรักษาความมั่นคงtumetr1
 
Cơ sở an toàn thông tin chương 1
Cơ sở an toàn thông tin chương 1 Cơ sở an toàn thông tin chương 1
Cơ sở an toàn thông tin chương 1 NguynMinh294
 
การประมวลผลด้วยคอมพิวเตอร์
การประมวลผลด้วยคอมพิวเตอร์การประมวลผลด้วยคอมพิวเตอร์
การประมวลผลด้วยคอมพิวเตอร์เสย ๆๆๆๆ
 

Mais procurados (20)

Proxy server
Proxy serverProxy server
Proxy server
 
Number bases
Number basesNumber bases
Number bases
 
Báo cáo phân tích thiết kế mạng
Báo cáo phân tích thiết kế mạngBáo cáo phân tích thiết kế mạng
Báo cáo phân tích thiết kế mạng
 
Đồ án thực tập cơ sở các kĩ thuật tấn công SQL injection và cách phòng chống
Đồ án thực tập cơ sở các kĩ thuật tấn công SQL injection và cách phòng chốngĐồ án thực tập cơ sở các kĩ thuật tấn công SQL injection và cách phòng chống
Đồ án thực tập cơ sở các kĩ thuật tấn công SQL injection và cách phòng chống
 
ความรู้เบื้องต้นเกี่ยวกับ Internet
ความรู้เบื้องต้นเกี่ยวกับ Internetความรู้เบื้องต้นเกี่ยวกับ Internet
ความรู้เบื้องต้นเกี่ยวกับ Internet
 
C# cơ bản hay
C# cơ bản hayC# cơ bản hay
C# cơ bản hay
 
Bao cao thuc tap - Điện toán đám mây
Bao cao thuc tap - Điện toán đám mâyBao cao thuc tap - Điện toán đám mây
Bao cao thuc tap - Điện toán đám mây
 
Luan van xay_dung_he_thong_mang_lan_cho_truong_dai_hoc
Luan van xay_dung_he_thong_mang_lan_cho_truong_dai_hocLuan van xay_dung_he_thong_mang_lan_cho_truong_dai_hoc
Luan van xay_dung_he_thong_mang_lan_cho_truong_dai_hoc
 
Manajemen jaringan
Manajemen jaringanManajemen jaringan
Manajemen jaringan
 
Đề tài: Tìm hiểu mạng riêng ảo và ứng dụng, HOT
Đề tài: Tìm hiểu mạng riêng ảo và ứng dụng, HOTĐề tài: Tìm hiểu mạng riêng ảo và ứng dụng, HOT
Đề tài: Tìm hiểu mạng riêng ảo và ứng dụng, HOT
 
Seguranca de rede
Seguranca de redeSeguranca de rede
Seguranca de rede
 
An Ninh Mạng Và Kỹ Thuật Session Hijacking.pdf
An Ninh Mạng Và Kỹ Thuật Session Hijacking.pdfAn Ninh Mạng Và Kỹ Thuật Session Hijacking.pdf
An Ninh Mạng Và Kỹ Thuật Session Hijacking.pdf
 
รวมข้อสอบ O-NETปี51-54 (คอมพิวเตอร์)
รวมข้อสอบ O-NETปี51-54 (คอมพิวเตอร์)รวมข้อสอบ O-NETปี51-54 (คอมพิวเตอร์)
รวมข้อสอบ O-NETปี51-54 (คอมพิวเตอร์)
 
Análise de requisitos de um projeto de redes
Análise de requisitos de um projeto de redesAnálise de requisitos de um projeto de redes
Análise de requisitos de um projeto de redes
 
Vantagens__Desvantagens_Tipos_de_servidores
Vantagens__Desvantagens_Tipos_de_servidoresVantagens__Desvantagens_Tipos_de_servidores
Vantagens__Desvantagens_Tipos_de_servidores
 
รายงานอินเทอร์เน็ต
รายงานอินเทอร์เน็ตรายงานอินเทอร์เน็ต
รายงานอินเทอร์เน็ต
 
การออกแบบระบบรักษาความมั่นคง
การออกแบบระบบรักษาความมั่นคงการออกแบบระบบรักษาความมั่นคง
การออกแบบระบบรักษาความมั่นคง
 
firewall
firewallfirewall
firewall
 
Cơ sở an toàn thông tin chương 1
Cơ sở an toàn thông tin chương 1 Cơ sở an toàn thông tin chương 1
Cơ sở an toàn thông tin chương 1
 
การประมวลผลด้วยคอมพิวเตอร์
การประมวลผลด้วยคอมพิวเตอร์การประมวลผลด้วยคอมพิวเตอร์
การประมวลผลด้วยคอมพิวเตอร์
 

Destaque

Information system security wk6-2
Information system security wk6-2Information system security wk6-2
Information system security wk6-2Bee Lalita
 
คำสั่งตรวจสอบเครือข่ายคอมพิวเตอร์เบื้องต้น
คำสั่งตรวจสอบเครือข่ายคอมพิวเตอร์เบื้องต้นคำสั่งตรวจสอบเครือข่ายคอมพิวเตอร์เบื้องต้น
คำสั่งตรวจสอบเครือข่ายคอมพิวเตอร์เบื้องต้นRawitsada Intarabut
 
หน่วยที่ 4 รูปแบบการเชื่อมต่อเครือข่าย
หน่วยที่ 4 รูปแบบการเชื่อมต่อเครือข่ายหน่วยที่ 4 รูปแบบการเชื่อมต่อเครือข่าย
หน่วยที่ 4 รูปแบบการเชื่อมต่อเครือข่ายTa Khanittha
 
NETWORKARCHITECTURE& STRUCTURE
NETWORKARCHITECTURE& STRUCTURENETWORKARCHITECTURE& STRUCTURE
NETWORKARCHITECTURE& STRUCTUREAmonrat Kmutnb
 
Web service overview
Web service overviewWeb service overview
Web service overviewSaran Yuwanna
 
Information system security wk7-2-ids-ips_2
Information system security wk7-2-ids-ips_2Information system security wk7-2-ids-ips_2
Information system security wk7-2-ids-ips_2Bee Lalita
 
Information system security wk1-1
Information system security wk1-1Information system security wk1-1
Information system security wk1-1Bee Lalita
 
บทที่ 6 ความปลอดภัยบนระบบคอมพิวเตอร์และเครือข่าย
บทที่ 6 ความปลอดภัยบนระบบคอมพิวเตอร์และเครือข่ายบทที่ 6 ความปลอดภัยบนระบบคอมพิวเตอร์และเครือข่าย
บทที่ 6 ความปลอดภัยบนระบบคอมพิวเตอร์และเครือข่ายWanphen Wirojcharoenwong
 
Information system security wk7-1-ids-ips
Information system security wk7-1-ids-ipsInformation system security wk7-1-ids-ips
Information system security wk7-1-ids-ipsBee Lalita
 
Types of firewall
Types of firewallTypes of firewall
Types of firewallPina Parmar
 
Firewall presentation
Firewall presentationFirewall presentation
Firewall presentationAmandeep Kaur
 

Destaque (13)

Information system security wk6-2
Information system security wk6-2Information system security wk6-2
Information system security wk6-2
 
Protocol
ProtocolProtocol
Protocol
 
M5 3 2 20 22
M5 3 2 20 22M5 3 2 20 22
M5 3 2 20 22
 
คำสั่งตรวจสอบเครือข่ายคอมพิวเตอร์เบื้องต้น
คำสั่งตรวจสอบเครือข่ายคอมพิวเตอร์เบื้องต้นคำสั่งตรวจสอบเครือข่ายคอมพิวเตอร์เบื้องต้น
คำสั่งตรวจสอบเครือข่ายคอมพิวเตอร์เบื้องต้น
 
หน่วยที่ 4 รูปแบบการเชื่อมต่อเครือข่าย
หน่วยที่ 4 รูปแบบการเชื่อมต่อเครือข่ายหน่วยที่ 4 รูปแบบการเชื่อมต่อเครือข่าย
หน่วยที่ 4 รูปแบบการเชื่อมต่อเครือข่าย
 
NETWORKARCHITECTURE& STRUCTURE
NETWORKARCHITECTURE& STRUCTURENETWORKARCHITECTURE& STRUCTURE
NETWORKARCHITECTURE& STRUCTURE
 
Web service overview
Web service overviewWeb service overview
Web service overview
 
Information system security wk7-2-ids-ips_2
Information system security wk7-2-ids-ips_2Information system security wk7-2-ids-ips_2
Information system security wk7-2-ids-ips_2
 
Information system security wk1-1
Information system security wk1-1Information system security wk1-1
Information system security wk1-1
 
บทที่ 6 ความปลอดภัยบนระบบคอมพิวเตอร์และเครือข่าย
บทที่ 6 ความปลอดภัยบนระบบคอมพิวเตอร์และเครือข่ายบทที่ 6 ความปลอดภัยบนระบบคอมพิวเตอร์และเครือข่าย
บทที่ 6 ความปลอดภัยบนระบบคอมพิวเตอร์และเครือข่าย
 
Information system security wk7-1-ids-ips
Information system security wk7-1-ids-ipsInformation system security wk7-1-ids-ips
Information system security wk7-1-ids-ips
 
Types of firewall
Types of firewallTypes of firewall
Types of firewall
 
Firewall presentation
Firewall presentationFirewall presentation
Firewall presentation
 

Semelhante a Firewall

E commerce
E commerceE commerce
E commerceTitima
 
Information system security wk6-2
Information system security wk6-2Information system security wk6-2
Information system security wk6-2Bee Lalita
 
E commerce
E commerceE commerce
E commerceTitima
 
E commerce
E commerceE commerce
E commerceTitima
 
Onettemplate
OnettemplateOnettemplate
Onettemplatechycindy
 
work3_อชิรญา_34
work3_อชิรญา_34work3_อชิรญา_34
work3_อชิรญา_34achibeebee
 
ระบบปฏิบัติการ Linux
ระบบปฏิบัติการ Linuxระบบปฏิบัติการ Linux
ระบบปฏิบัติการ Linuxssuseraa96d2
 
ดัชนีคำศัพท์
ดัชนีคำศัพท์ ดัชนีคำศัพท์
ดัชนีคำศัพท์ Rawinnipa Manee
 
การใช้เครื่องมือต่างๆ1
การใช้เครื่องมือต่างๆ1การใช้เครื่องมือต่างๆ1
การใช้เครื่องมือต่างๆ1guestdfabcfa
 
การใช้เครื่องมือต่างๆ
การใช้เครื่องมือต่างๆการใช้เครื่องมือต่างๆ
การใช้เครื่องมือต่างๆguest3f77f6
 
การใช้เครื่องมือต่างๆ1
การใช้เครื่องมือต่างๆ1การใช้เครื่องมือต่างๆ1
การใช้เครื่องมือต่างๆ1guestdfabcfa
 
การใช้เครื่องมือต่างๆ
การใช้เครื่องมือต่างๆการใช้เครื่องมือต่างๆ
การใช้เครื่องมือต่างๆguest3f77f6
 
การใช้เครื่องมือต่างๆ12
การใช้เครื่องมือต่างๆ12การใช้เครื่องมือต่างๆ12
การใช้เครื่องมือต่างๆ12guest7878b9
 
Gen1013 chapter 7
Gen1013 chapter 7Gen1013 chapter 7
Gen1013 chapter 7virod
 
บทที่ 7
บทที่ 7บทที่ 7
บทที่ 7noonnn
 
คุณสมบัติของข้อมูลกิจกรรมและองค์ประกอบอื่นๆ ที่เกี่ยวข้องกับความมั่นคงปลอดภัย...
คุณสมบัติของข้อมูลกิจกรรมและองค์ประกอบอื่นๆ ที่เกี่ยวข้องกับความมั่นคงปลอดภัย...คุณสมบัติของข้อมูลกิจกรรมและองค์ประกอบอื่นๆ ที่เกี่ยวข้องกับความมั่นคงปลอดภัย...
คุณสมบัติของข้อมูลกิจกรรมและองค์ประกอบอื่นๆ ที่เกี่ยวข้องกับความมั่นคงปลอดภัย...Chaisuriya
 
การจัดการความปลอดภัยและความเป็นส่วนตัวของข้อมูลผู้ป่วย
การจัดการความปลอดภัยและความเป็นส่วนตัวของข้อมูลผู้ป่วยการจัดการความปลอดภัยและความเป็นส่วนตัวของข้อมูลผู้ป่วย
การจัดการความปลอดภัยและความเป็นส่วนตัวของข้อมูลผู้ป่วยNawanan Theera-Ampornpunt
 
วิชาเทคโนโลยีอินเทอร์เนต ปวส
วิชาเทคโนโลยีอินเทอร์เนต ปวสวิชาเทคโนโลยีอินเทอร์เนต ปวส
วิชาเทคโนโลยีอินเทอร์เนต ปวสpeter dontoom
 

Semelhante a Firewall (20)

E commerce
E commerceE commerce
E commerce
 
Information system security wk6-2
Information system security wk6-2Information system security wk6-2
Information system security wk6-2
 
E commerce
E commerceE commerce
E commerce
 
E commerce
E commerceE commerce
E commerce
 
Colosoft Capsa
Colosoft CapsaColosoft Capsa
Colosoft Capsa
 
Onettemplate
OnettemplateOnettemplate
Onettemplate
 
work3_อชิรญา_34
work3_อชิรญา_34work3_อชิรญา_34
work3_อชิรญา_34
 
ระบบปฏิบัติการ Linux
ระบบปฏิบัติการ Linuxระบบปฏิบัติการ Linux
ระบบปฏิบัติการ Linux
 
ดัชนีคำศัพท์
ดัชนีคำศัพท์ ดัชนีคำศัพท์
ดัชนีคำศัพท์
 
การใช้เครื่องมือต่างๆ1
การใช้เครื่องมือต่างๆ1การใช้เครื่องมือต่างๆ1
การใช้เครื่องมือต่างๆ1
 
การใช้เครื่องมือต่างๆ
การใช้เครื่องมือต่างๆการใช้เครื่องมือต่างๆ
การใช้เครื่องมือต่างๆ
 
การใช้เครื่องมือต่างๆ1
การใช้เครื่องมือต่างๆ1การใช้เครื่องมือต่างๆ1
การใช้เครื่องมือต่างๆ1
 
การใช้เครื่องมือต่างๆ
การใช้เครื่องมือต่างๆการใช้เครื่องมือต่างๆ
การใช้เครื่องมือต่างๆ
 
การใช้เครื่องมือต่างๆ12
การใช้เครื่องมือต่างๆ12การใช้เครื่องมือต่างๆ12
การใช้เครื่องมือต่างๆ12
 
Gen1013 chapter 7
Gen1013 chapter 7Gen1013 chapter 7
Gen1013 chapter 7
 
บทที่ 7
บทที่ 7บทที่ 7
บทที่ 7
 
Chap9 1
Chap9 1Chap9 1
Chap9 1
 
คุณสมบัติของข้อมูลกิจกรรมและองค์ประกอบอื่นๆ ที่เกี่ยวข้องกับความมั่นคงปลอดภัย...
คุณสมบัติของข้อมูลกิจกรรมและองค์ประกอบอื่นๆ ที่เกี่ยวข้องกับความมั่นคงปลอดภัย...คุณสมบัติของข้อมูลกิจกรรมและองค์ประกอบอื่นๆ ที่เกี่ยวข้องกับความมั่นคงปลอดภัย...
คุณสมบัติของข้อมูลกิจกรรมและองค์ประกอบอื่นๆ ที่เกี่ยวข้องกับความมั่นคงปลอดภัย...
 
การจัดการความปลอดภัยและความเป็นส่วนตัวของข้อมูลผู้ป่วย
การจัดการความปลอดภัยและความเป็นส่วนตัวของข้อมูลผู้ป่วยการจัดการความปลอดภัยและความเป็นส่วนตัวของข้อมูลผู้ป่วย
การจัดการความปลอดภัยและความเป็นส่วนตัวของข้อมูลผู้ป่วย
 
วิชาเทคโนโลยีอินเทอร์เนต ปวส
วิชาเทคโนโลยีอินเทอร์เนต ปวสวิชาเทคโนโลยีอินเทอร์เนต ปวส
วิชาเทคโนโลยีอินเทอร์เนต ปวส
 

Firewall

  • 1. Firewall Presented by Suthee Sirisutthidecha Instructor, IT Faculty 13 July 2013 suthee sirisutthidecha 1
  • 2. Firewall คือ องค์ประกอบส่วนหน่งึของเครือข่าย ทาหนา้ที่ ตรวจสอบข้อมูลที่ผ่านเข้าออกระหว่างระบบเครือข่ายภายใน องค์กรกับเครือข่ายภายนอก (ที่ไม่น่าไว้วางใจ) เพื่อป้องกันภัย คุกคามทางเครือข่าย โดยไม่ให้ผู้ที่ไม่ได้รับอนุญาตเข้ามาใช้งานใน ระบบ รวมทั้งป้องกันการโจมตีในรูปแบบต่างๆ 2
  • 3. Firewall • เหตุหลักที่มีการใช้ Firewall นั้นก็เพื่อให้ผู้ที่อยู่ภายในเครือข่าย สามารถใช้บริการเครือข่ายภายในได้อย่างเต็มที่ และยังสามารถใช้ บริการเครือข่ายภายนอก เช่น อินเทอร์เน็ต ได้ด้วยเช่นกัน • ในขณะเดียวกัน Firewall ก็จะป้องกันไม่ให้ผู้ใช้ภายนอกที่ไม่ได้รับ อนุญาตเข้ามาใช้บริการเครือข่ายที่อยู่ภายในได้ 3
  • 4. Firewall • การที่เครือข่ายองค์กรเชื่อมต่อโดยตรงกับอินเทอร์เน็ตโดยที่ไม่มี Firewall เป็นการเปิดช่องโหว่ให้เครือข่ายองค์กรถูกโจมตีหรือบุก รุกได้โดยง่าย • เช่น ในเครือข่ายองค์กรหน่งึมีโฮสต์หรือเซิรฟ์เวอร์เป็นร้อยๆ เครื่อง ถ้าผู้บุกรุกเครือข่ายสามารถเจาะเข้าเครื่องใดเครื่องหน่งึได้ ต่อไปก็ไม่เป็นการยากอีกเช่นกันที่จะเข้าไปยังเครื่องอื่นๆที่เหลือ ดังนั้นการติดตั้ง Firewall จึงเป็นการป้องกันผู้บุกรุกได้ในระดับ หนึ่ง 4
  • 5. ประเภทของ Firewall  จาแนกตามลักษณะการประมวลผล (Processing Mode) สามารถแบ่งออกเป็น 5 ประเภท ได้แก่ – Packet Filtering Firewall – Application Firewall – Circuit Gateways Firewall – MAC Layer Firewall – Hybrid Firewall 5
  • 6. ประเภทของ Firewall: Processing Mode Packet Filtering Firewall  เป็น Firewall ที่ตรวจสอบ และกลัน่กรอง Packet ข้อมูลที่เข้ามาใน เครือข่าย โดยพิจารณาความน่าเชื่อถือของข้อมูลจากส่วน Header ของ Packet  Firewall ชนิดนี้จะพิจารณารายละเอียดต่างๆ ใน Header ได้แก่ Source and Destination IP Address, Source and Destination Port Number และ ประเภทของโปรโตคอล (TCP หรือ UDP)  Firewall จะพิจารณาเทียบรายละเอียดดังกล่าวว่าตรงกับข้อกาหนดของ ระบบรักษาความปลอดภัยที่จัดเก็บไว้ในฐานข้อมูลหรือไม่ หากไม่ตรง จะปฏิเสธ Packet ข้อมูลดังกล่าว แต่หากตรงก็จะอนุญาตให้ Packet นั้น เข้ามาในเครือข่ายได้ 6
  • 7. ประเภทของ Firewall: Processing Mode  Address Restriction Rule • เป็นกฎการตรวจสอบ Packet ข้อมูล Firewall อย่างง่ายที่ติดตั้งไว้ที่ อุปกรณ์เครือข่าย เช่น Router • Firewall จะอนุญาตเฉพาะ Packet ที่มีที่อยู่ต้นทางและที่อยู่ ปลายทางที่กาหนดเอาไว้ในตาราง ACL (Access Control List) เท่านั้น โดยผู้ดูแลระบบสามารถแก้ไขที่อยู่ต้นทางและปลายทางได้ 7 ที่อยู่ต้นทาง ที่อยู่ปลายทาง Service Action 172.16.x.x 10.10.x.x Any Deny 192.168.x.x 10.10.10.25 HTTP Allow 192.168.0.1 10.10.10.10 FTP Allow
  • 8. ประเภทของ Firewall: Processing Mode Packet Filtering Firewall  Stateful Filtering  เรียกอีกอย่างหน่งึว่า Stateful Firewall โดยจะสามารถทางานได้ทุก อย่างเช่นเดียวกับ Dynamic Filtering แล้ว ยังสามารถคงสถานะการ เชื่อมต่อจากภายนอกไว้ในระยะเวลาที่กา หนดได้อีกด้วย  Firewall ชนิดนี้จะมีความซับซ้อนขึ้น เนื่องจากจะต้องมีการใช้ตาราง State Table Entry ซึ่งระบุถึงระยะเวลาทั้งหมดของการเชื่อมต่อรวมถึง ระยะเวลาที่เหลือของการเชื่อมต่อไว้ด้วย  หาก Packet ใดที่ไม่มีการตอบรับภายในระยะเวลาที่กา หนดแล้ว Firewall ก็จะตัดการเชื่อมต่อ เพื่อการสร้างการเชื่อมต่อกับ Request ใหม่ทันที 8
  • 9. ประเภทของ Firewall: Processing Mode Packet Filtering Firewall  Stateful Filtering  ตัวอย่างตาราง State Table Entry 9 Source Address Source Port Destination Address Destination Port Time Remaining Total Time Protocol 192.168.2.5 1028 10.10.10.7 80 2725 3600 TCP
  • 10. ประเภทของ Firewall: Processing Mode Application Firewall  หรือเรียกว่า Application-Level Firewall หรือ Application Gateway เป็น Firewall ที่ ติดตั้งบนเครื่องคอมพิวเตอร์แยกต่างหาก ทาให้คอมพิวเตอร์เครื่องดังกล่าวทาหน้าที่ เป็น Firewall โดยเฉพาะ (แยกจาก Router)  สามารถใช้กรอง Packet ที่จะผ่านเข้ามาใน เครือข่าย และสามารถตรวจสอบเนื้อหาใน Packet ได้เช่นเดียวกับ Packet Filtering Firewall (แบบ Stateful) 10
  • 11. ประเภทของ Firewall: Processing Mode Application Firewall  นอกจากน้ยีังทาหน้าที่คล้ายกับ Proxy Server ในการให้บริการคา ร้องขอ (Request) ต่างๆของผู้ใช้ หรือเป็นตัวกลางการร้องขอ ข้อมูลเว็บเพจจาก Web Server แทนผู้ใช้ 11
  • 12. ประเภทของ Firewall: Processing Mode Application Firewall  Application Firewall ยังมีข้อดีอย่างหน่งึคือ สามารถ Block การ ร้องขอข้อมูลจากเว็บไซต์ที่เป็นอันตรายของผู้ใช้ภายในเครือข่ายได้ อีกด้วย  ข้อเสียของ Application Firewall นั้นคือ เป็น Firewall ที่ถูก ออกแบบมาสาหรับให้ใช้ได้กับบางโปรโตคอล จึงสามารถป้องกัน การโจมตีภายใต้โปรโตคอลที่รู้จักเท่านั้น หากเป็นการโจมตีจาก โปรโตคอลอื่น Firewall แบบน้จีะไม่สามารถป้องกันได้ 12
  • 13. ประเภทของ Firewall: Processing Mode Circuit Gateway Firewall  เป็น Firewall ที่ไม่ตรวจสอบข้อมูลใน Packet แต่จะตรวจสอบ เส้นทางการเชื่อมต่อ (Connection) ระหว่างผู้ใช้กับเครื่องอื่น ภายนอกเครือข่าย และป้องกันการเชื่อมต่อโดยตรงระหว่างผู้ใช้กับ เครื่องอื่นๆ ภายนอกเครือข่ายได้ด้วย  Circuit Gateway Firewall จะสร้างเส้นทางเสมือน (Virtual Circuit) เพื่อให้สามารถจัดการเส้นทางการเชื่อมต่อนั้นได้เองโดยที่ ผู้ใช้ไม่รู้ตัว หากพบเส้นทางการเชื่อมต่อใดที่ไม่น่าเชื่อถือหรือไม่ ตรงกฎความปลอดภัยก็จะทิ้งหรือปฏิเสธการเชื่อมต่อนั้น 13
  • 14. ประเภทของ Firewall: Processing Mode Circuit Gateway Firewall  การเชื่อมต่อเสมือนช่วยให้ผู้ใช้หลายคนสามารถติดต่อกับ Application หรือเครือข่ายอื่นภายนอกได้หลาย Application ด้วย  ข้อเสียของ Firewall ชนิดน้คีือ ไม่สามารถตรวจสอบเนื้อหาภายใน Packet ที่จะส่งไปในเส้นทางการเชื่อมต่อนั้นได้ 14 การตรวจสอบ Packet ของ Firewall ชนิดนี้จะทางานบน Transport Layer ใน OSI Model
  • 15. ประเภทของ Firewall: Processing Mode MAC Layer Firewall  เป็น Firewall ที่สามารถระบุ Host Computer ได้ในขณะกลัน่กรอง Packet โดยดูจากหมายเลข MAC (MAC Address) ที่ถูกเชื่อมโยง เข้ากับตาราง ACL เพื่อการตรวจสอบ Packet ที่มาพร้อมกับ Host Computer ใดๆ 15 การตรวจสอบ Packet ของ Firewall ชนิดนี้จะทางานบน Data Link Layer ใน OSI Model
  • 16. ประเภทของ Firewall: Processing Mode Hybrid Firewall  เป็น Firewall ที่รวมเอาความสามารถของ Firewall ชนิดอื่นๆ เข้า ด้วยกัน เช่น การรวม Packet Filtering Firewall เข้ากับ Application Firewall หรือรวมกันระหว่าง Packet Filtering Firewall เข้ากับ Circuit Firewall เป็นต้น  Firewall ชนิดน้จีะทาให้องค์กรสามารถเพิ่มประสิทธิภาพในการ รักษาความปลอดภัยของข้อมูลและระบบภายในองค์กรได้ดียิ่งขึ้น 16 Application Firewall มักถูกใช้เป็นคอมพิวเตอร์ตามบ้าน ส่วน Firewall ชนิดอื่นๆ มักนิยมใช้ในองค์กรหรือสานักงาน
  • 17. ประเภทของ Firewall: Processing Mode สรุปการทางานของ Firewall ชนิดต่างๆใน OSI Model 17 Application Layer Presentation Layer Session Layer Transport Layer Network Layer Data Link Layer Physical Layer 7 6 5 4 3 2 1 Application Firewall Application Firewall Application Firewall Circuit Gateway Firewall Packet Filtering Firewall MAC Layer Firewall
  • 18. Network Security Policy – สิ่งสาคัญที่สุดสาหรับการใช้งาน Firewall คือ การกา หนดนโยบายรักษา ความปลอดภัย (Network Security Policy)  เพราะแม้ว่า Firewall นั้นจะมีประสิทธิภาพ และมีความปลอดภัยมากเท่าใด แต่ หากมีนโยบายรักษาความปลอดภัยที่หละหลวมแล้ว Firewall นั้นก็ไม่มี ประโยชน์เท่าที่ควร – ก่อนที่ติดตั้ง Firewall จึงควรที่จะกาหนดนโยบายรักษาความปลอดภัยที่ สามารถควบคุมหรือ Traffic ที่อาจส่งผลกระทบต่อการใช้งานเครือข่ายให้ มากที่สุด จากนั้นจึงนา นโยบายนั้นไปบังคับใช้ใน Firewall – กฎที่บังคับใช้นโยบายรักษาความปลอดภัยใน Firewall นั้นจะเรียกว่า ACL (Access Control List) หรือ Firewall Rule 18
  • 19. Network Security Policy 19 Rule Source Destination Service (Port) Action Description 1 Any Web Server HTTP (80) HTTPS (443) Allow อนุญาตให้ผู้ใช้ทั้งจากภายในและ อินเทอร์เน็ตเข้ามาใช้บริการ Web Server 2 Any Mail Server SMTP (25) POP3 (110) IMAP (143) Allow อนุญาตให้ผู้ใช้ทั้งจากภายในและ อินเทอร์เน็ตเข้ามาใช้บริการ Mail Server 3 Any DNS Server DNS (53) Allow อนุญาตให้ผู้ใช้ทั้งจากภายในและ อินเทอร์เน็ตเข้ามาใช้บริการ DNS Server 4 Mail Server Any SMTP (25) Allow อนุญาตให้Mail Server รับ-ส่งกับ Mail Server อื่นที่อยู่บนอินเทอร์เน็ตหรือภายใน
  • 20. Network Security Policy Rule Source Destination Service (Port) Action Description 5 DNS Server Any DNS (53) Allow อนุญาตให้DNS Server คิวรี DNS Server 20 อื่นที่อยู่บนอินเทอร์เน็ตหรือภายใน 6 Internal Network Any HTTP (80) HTTPS (443) FTP (20-21) Telnet (23) SSH (22) SMTP (25) POP3 (110) IMAP (143) Allow อนุญาตให้ผู้ใช้ภายในเครือข่ายใช้บริการ ดังกล่าวจากอินเทอร์เน็ตและ DMZ 7 Any Any Any Deny ถ้าไม่ตรงกับกฎใดๆ ที่กาหนดข้างบนให้ละ ทิ้งแพ็คเก็ตนั้นทันที
  • 21. Firewall Architecture – Firewall แต่ละประเภท สามารถนา มาจัดโครงสร้างการทางานให้เป็นระบบ Firewall ตามสถาปัตยกรรมของ Firewall ได้หลายรูปแบบ – การเลือกสถาปัตยกรรมตามความเหมาะสมขององค์กร ขึ้นอยู่กับหลายปัจจัย ได้แก่ วัตถุประสงค์ด้านเครือข่ายที่องค์กรต้องการ, ความสามารถในการ พัฒนาระบบ Firewall ตามสถาปัตยกรรมนั้นๆ หรือปัจจัยทางด้าน งบประมาณ เป็นต้น – เราสามารถแบ่งสถาปัตยกรรมของ Firewall ได้เป็น 4 รูปแบบ คือ  Packet Filtering Router  Screened Host Firewall  Dual-homed Host Firewall  Screened Subnet Firewall 21
  • 22. Firewall Architecture • Packet Filtering Router – เป็นรูปแบบที่จัดให้มี Router ทาหน้าที่เป็น Firewall กั้นระหว่างเครือข่ายภายใน องค์กรกับภายนอกองค์กร – Firewall ที่ Router จะทาหน้าที่กลัน่กรอง Packet โดยอนุญาตให้ Packet ที่ตรงกับ ตาราง ACL เท่านั้นที่จะสามารถเข้ามาในเครือข่ายภายในองค์กรได้ ดังรูป Implement ง่าย, มีความเร็วสูง, ประหยัดค่าใช้จ่าย ไม่มีระบบการตรวจสอบและตรวจจับที่เข้มงวด, ยิ่งเพิ่มกฎในตาราง ACL มากจะยิ่งทาให้การทางานของระบบช้าลง 22 Internet Packet Filtering Router Packet Packet Packet
  • 23. Firewall Architecture • Screened Host Firewall – เป็นรูปแบบที่ประกอบด้วยความสามารถของ Packet Filtering Firewall และ Application Firewall (Proxy Server) – เครื่องคอมพิวเตอร์ที่ทาหน้าที่เป็น Proxy Server จะเรียกว่า Bastion Host – Packet Filtering Firewall จะทาหน้าที่กรอง Packet ที่ได้รับเข้ามาก่อน จากนั้นส่งต่อ Packet ที่ได้รับอนุญาตไปยัง Bastion Host เพ่อืตรวจสอบ บริการ Application ที่เข้ามา แล้วบันทึกไว้ก่อนส่งต่อไปยังผู้ใช้ที่ร้อง ข้อมูลใน Packet นั้นๆ 23 Internet Packet Filtering Router Packet Packet Packet Proxy Access Bastion Host
  • 24. Firewall Architecture • Screened Host Firewall – สาหรับ Client ที่อยู่ภายในเครือข่ายภายใน จะไม่ได้รับการอนุญาต ให้เชื่อมต่อกับเครือข่ายภายนอกโดยตรงทั้งหมด แต่จะต้องผ่าน Bastion Host ก่อนเสมอ ทาให้Bastion Host มีความเสี่ยงต่อการ โจมตีมากที่สุด – ผู้ดูแลระบบจึงควรรักษาความปลอดภัยของ Bastion Host เอาไว้ เป็นอย่างดี ประหยัดค่าใช้จ่าย หากผู้โจมตีทาการโจมตี Bastion Host ได้สาเร็จ ผู้โจมตีจะ สามารถเข้าถึงข้อมูลของเครื่อง Client ได้ทุกเครื่อง 24
  • 25. Firewall Architecture • Dual-homed Host Firewall – เป็นรูปแบบที่จัดให้ Bastion Host มี NIC อย่างน้อย 2 การ์ด โดย การ์ดแรกใช้ติดต่อกับเครือข่ายภายนอกโดยตรง ส่วนการ์ดที่สองใช้ ติดต่อกับเครือข่ายภายใน – เป็นการสร้าง Firewall ป้องกันมากกว่า 1 Layer ในสถาปัตยกรรม ชนิดนี้ซึ่งทุกเส้นทางการจราจรของข้อมูลจะต้องผ่าน Firewall น้ทีั้ง ขาเข้าและขาออกจากเครือข่ายภายใน 25
  • 26. Firewall Architecture Packet Packet ป้องกันการโจมตีได้ถึง 2 ระดับ, ป้องกันการสแกนหมายเลข IP ภายใน ได้, สามารถแปลงโปรโตคอลที่ Data Link Layer ได้หลายโปรโตคอล เช่น Ethernet, Token Ring เป็นต้น และเสียค่าใช้จ่ายน้อยเม่อืเทียบกับระดับความ ปลอดภัยที่เพิ่มขึ้นมา ซับซ้อน ทางานช้า, รองรับจานวนเส้นทางการเชื่อมต่อ (Traffic) ได้ น้อยกว่าแบบ Packet Filtering Firewall และต้องการทรัพยากรมากกว่า รูปแบบอื่น 26 Internet Dual-homed Host (NAT Firewall) Packet Internal Filtering Router External Filtering Router Proxy Access Packet
  • 27. Firewall Architecture • Screened Subnet Firewall – เป็นรูปแบบที่ประกอบด้วย Packet Filtering Router ทั้ง 2 ฝั่ง คือ External Filtering Router และ Internal Filtering Router รวมทั้งมี Bastion Host ตั้งแต่ 1 Host ขึ้นไป – แต่ละ Host ทาหน้าที่ป้องกันเครือข่ายภายใน โดยจัดให้กลุ่ม Bastion Host แยกมาอยู่รวมกันเป็นเครือข่ายพิเศษในเขตที่เรียกว่า DMZ (Demilitarized Zone) ซึ่งเป็นเขตที่อยู่ระหว่างเครือข่าย ภายในและภายนอก ส่วน External Filtering Router จะอยู่ระหว่าง เครือข่ายภายนอกกับเขต DMZ และ Internal Filtering Router จะ อยู่ระหว่างเครือข่ายภายในกับเขต DMZ 27
  • 28. Firewall Architecture • Screened Subnet Firewall Demilitarized Zone (DMZ) จากภาพ เส้นทางการเชื่อมต่อจะเป็นดังนี้ – การเชื่อมต่อจากเครือข่ายภายนอก จะวิ่งผ่านเส้นทางของ External Filtering Router – เม่อืวิ่งเข้ามายัง External Filtering Route แล้ว จะวิ่งออกไปยังเครือข่ายพิเศษภายใน DMZ – การเชื่อมต่อที่จะวิ่งเข้าสู่เครือข่ายภายใน จะต้องได้รับอนุญาตจาก Host Server ใน DMZ เท่านั้น 28 Internet Internal Filtering Router External Filtering Router Packet Server Proxy Access Controlled Access Packet
  • 29. Firewall Architecture • Screened Subnet Firewall สถาปัตยกรรมแบบน้มีีหน้าที่หลัก 2 ประการ คือ – ป้องกันเครือข่ายพิเศษและสารสนเทศใน เขต DMZ จากภัยคุกคามภายนอก ด้วยการ มีระบบรักษาความปลอดภัยที่เครือข่าย DMZ – ป้องกันเครือข่ายภายในด้วยการจากัดการ เข้าถึงจากเครือข่ายภายนอก เน่อืงระบบ Firewall แบบน้มีีการแบ่งเป็นหลายระดับ ทาให้ลดความเสี่ยงจากการถูกโจมตีสาหรับ เครือข่ายภายในลงไปได้มาก 29
  • 30. Firewall Architecture • Screened Subnet Firewall มีความปลอดภัยสูง เน่อืงจากมีการแบ่งเครือข่ายออกเป็นส่วนๆ (เครือข่ายภายใน เครือข่ายภายนอก และ DMZ) มีค่าใช้จ่ายสูง, ระบบมีความซับซ้อน จัดการยาก 30
  • 31. Question and Answer suthee.si@rsu.ac.th 13 July 2013 suthee sirisutthidecha 31