ไฟร์วอลล์ คืออะไร?

0
23831

วิวัฒนาการของไฟร์วอลล์

ไฟร์วอลล์ (Firewall) คือระบบรักษาความปลอดภัยของเครือข่ายคอมพิวเตอร์ ซึ่งจะทำหน้าที่เปิดและปิด การเข้าถึงจากภายนอก (เช่น จากอินเตอร์เน็ต) เข้าถึงเครือข่ายภายใน (เช่น เครือข่ายภายในองค์กร หรือคอมพิวเตอร์ส่วนตัว) ได้ อาจพูดได้ว่า Firewall ก็เหมือนยามหน้าประตูของคอมพิวเตอร์ ซึ่งการเข้าถึงจากภายนอกจะต้องผ่านให้ Firewall  ตรวจสอบก่อนว่าสามารถเข้าระบบเครือข่ายภายในได้หรือไม่ Firewall โดยจะมีการกำหนดกฎระเบียบบังคับใช้เฉพาะเครือข่าย ซึ่งหมายความว่าหากการเข้าถึงนั้นถูกต้องตามที่ Firewall กำหนดไว้ ก็จะเข้าถึงเครือข่ายได้ หากไม่ตรงก็จะเข้าถึงไม่ได้ (หรือที่เรียกกันว่า Default deny นั่นเอง) 

ยุคที่ 1 Access Control Lists (การกำหนดเงื่อนไขเข้าถึงเครือข่ายภายใน)

ในช่วงต้น Firewall จะทำงานโดยใช้การกำหนดเงื่อนไขเข้าถึงเครือข่ายภายใน หรือ Access Control Lists (ACLs) โดยเฉพาะในเราเตอร์ส่วนใหญ่ ACLs คือกฎระเบียบที่เขียนขึ้นมาเพื่อตรวจสอบการเข้าถึงจากภายนอกว่า อนุญาตให้เข้าถึงเครือข่ายภายในได้หรือไม่ เช่น การเข้าถึงจากภายนอกของ IP address 172.168.2.2 จะเข้าใช้เครือข่ายภายในไม่ได้ หรือแม้แต่การอนุญาตให้ port 80 ของ IP address 172.168.2.2 เข้าถึงเว็บเซิร์ฟเวอร์ IP 10.10.10.201 ได้

ACLs มีประโยชน์ตรงที่สามารถกำหนดได้ว่าต้องการให้ส่วนใดเข้าถึงบ้าง และยังมีประสิทธิภาพสูง แต่ว่าไม่สามารถอ่าน packet headers ก่อนหน้าได้ ACLs จะทำหน้าที่เพียงแค่อ่านข้อมูลการเข้าถึงเท่านั้น ดังนั้นการคัดกรองการเข้าถึงจากภายนอกโดยใช้ ACLs เพียงอย่างเดียวจึงไม่เพียงพอต่อการป้องกันการคุกคามข้อมูลภายในจากภายนอกได้

ยุคที่ 2 Proxy firewalls

Proxy firewalls จะทำหน้าที่เป็นตัวกลาง โดยจะรับคำขอเข้าถึงข้อมูลภายใน โดยอ้างตัวเองว่าเป็นเครือข่ายภายใน หลังจากที่ตรวจสอบคำขอแล้วให้เข้าถึงข้อมูลภายในได้ ก็จะส่งข้อมูลไปให้เครือข่ายภายใน เครือข่ายภายในก็จะส่งข้อมูลกลับมาให้ Proxy แล้ว Proxy ก็จะทำให้ข้อมูลนั้นเป็นส่งไปให้ภายนอก โดยใช้ชื่อของ Proxy server กระบวนการนี้ Proxy firewall จะทำหน้าที่เป็นสื่อกลางระหว่างเครือข่ายภายในกับภายนอกไม่ให้เชื่อมต่อกันโดยตรง Proxy firewall สามารถตรวจสอบข้อมูลได้ทั้งหมด และยังทำหน้าที่คัดกรองให้ด้วย โดยอ้างอิงจากข้อมูลระดับย่อย การทำ Access Control จึงเป็นที่น่าสนใจของเหล่าแอดมินเครือข่ายต่างๆ แต่อย่างไรก็ตามแอพพลิเคชั่นแต่ละตัวก็ต้องมี proxy เป็นของตัวเองในระดับแอพพลิเคชั่น (application-level) Proxy-firewalled เองก็เผชิญปัญหาด้านประสิทธิภาพของการเข้าถึงข้อมูลและข้อจำกัดด้านการรองรับแอพพลิเคชั่นต่างๆ รวมไปถึงการทำงานทั่วไปด้วย ซึ่งปัญหาเหล่านี้จะนำไปสู่ปัญหาด้านการควบคุมข้อมูล ซึ่งอาจทำให้ถูกดึงข้อมูลภายในออกไปภายนอกได้ นี่จึงเป็นเหตุผลที่ว่าทำไมจึงไม่ค่อยใช้ proxy firewalls กัน แม้ว่า Proxy firewall จะเป็นที่นิยมมากในช่วงปี 1990 ปัญหาด้านประสิทธิภาพและการควบคุมข้อมูลก็ทำให้อัตราการนำ proxy firewalls ไปใช้ในเครือข่ายภายในลดลงไปมาก

ยุคที่ 3 Stateful Inspection firewalls

Stateful inspection หรือ stateful filtering เป็น Firewall ในยุคที่ 3 ของเทคโนโลยี Firewall โดยที่ Stateful filtering จะทำหน้าที่ 2 อย่าง หน้าที่แรกคือแบ่งการเข้าถึงโดยใช้พอร์ทปลายทาง (destination port) เช่น tcp/80 = HTTP และหน้าที่ที่สองก็คือติดตามสถานะการเข้าถึงข้อมูลโดยดูแลการโต้ตอบระหว่างภายในกับภายนอกตั้งแต่เริ่มต้นจนสิ้นสุดการเชื่อมต่อ

หน้าที่ทั้งสองที่กล่าวไปข้างต้นจะช่วยให้การทำงานของการควบคุมการเข้าถึงให้มีประสิทธิภาพมากขึ้น stateful inspection firewalls ไม่เพียงแต่เปิดปิดการเข้าถึงจากภายนอกโดยอ้างอิงจาก port กับ protocol เท่านั้น แต่ยังดูที่ประวัติย้อนหลังของ packet ในตารางสถานะ packet ด้วย เมื่อ stateful firewalls รับ packet มา ก็จะตรวจสอบในตารางสถานะของ packet ว่าเคยเชื่อมต่อกับระบบแล้วหรือยัง หรือแม้แต่ตรวจดูว่า packet นั้นมาจาก host ภายในหรือไม่ หากว่าไม่พบข้อมูลใดๆ packet ก็จะถูกส่งไปตรวจสอบตามกฎระเบียบการเข้าถึงข้อมูลภายใน

Firewall แบบ stateful filtering จะโปร่งใสและให้ผู้ใช้งานควบคุมได้ โดยการเพิ่มการป้องกันที่ซับซ้อนให้กับโครงสร้างข้อมูล แต่ stateful firewalls ก็ยังเผชิญปัญหาด้านการรับมือกับซอฟต์แวร์แอพพลิเคชั่นที่มีการเปลี่ยนแปลงบ่อยอย่างเช่น SIP หรือ H.323

ยุคที่ 4 Unified Threat Management (UTM)

Unified Threat Management (UTM) ก็คือการรวบรวมการทำงานของ stateful inspection firewalls, แอนตี้ไวรัส, และ IPS ไว้ในที่เดียวกัน ต่อมา UTM ก็มีฟังก์ชั่นการรักษาความปลอดภัยเครือข่ายเพิ่มขึ้น

ให้จำไว้ว่า UTMs จะต้องอาศัยการทำงานของ Firewall แบบ stateful inspection ซึ่งจะปูทางการทำงานให้ UTM เพราะฟังก์ชั่นการทำงานต่างๆของ UTM จะทำงานตามระบบรักษาความปลอดภัยที่วางไว้ ดังนั้นหากเงื่อนไข access control วางมาดี การทำงานต่างๆใน Firewal ในเครือข่ายก็จะดีตามด้วย ถึงแม้ว่า UTMs จะมีฟังก์ชั่นด้านความปลอดภัยหลายๆอันรวมกัน แต่เทคโนโลยี access control เบื้องต้นของ Firewall ก็ยังเหมือนเดิม

ยุคที่ 5 Next-generation firewalls (Firewall ยุคล่าสุด)

Next-generation firewalls (NGFWs) ถูกออกแบบขึ้นมาให้ต่อสู้กับแอพพลิเคชั่นและมัลแวร์ที่ซับซ้อนขึ้นทุกวัน นักพัฒนาแอพพลิเคชั่นซอฟต์แวร์หรือมัลแวร์ต่างก็ทำพลาดในการตั้งค่าการเข้าถึงแบบ long-standing port-based เพราะใช้เทคนิคการเลี่ยงตัว port ในการพัฒนาโปรแกรมซอฟต์แวร์ ทุกวันนี้มัลแวร์ต่างๆก็เลยแฝงตัวติดอยู่กับแอพพลิเคชั่นเข้าไปยังเครือข่ายภายใน แล้วก็สร้างเครือข่ายระหว่างตัวมัลแวร์ในเครือข่ายภายในอีกที NGFWs จะทำหน้าที่เป็นแพลทฟอร์มด้านความปลอดภัยที่จะช่วยตรวจสอบการเข้าใช้เครือข่ายจากภายนอก Gartner Inc. ก็ได้ทำการวิจัยเทคโนโลยีนี้ แล้วก็อธิบายคุณสมบัติของ NGFWs ไว้ดังนี้

  • Standard capabilities of the first-generation firewall:

มีความสามารถเหมือน Firewall ยุคแรกๆ: เป็นเสมือนการรวมฟังก์ชั่นการกรอง packet, การตรวจสอบ stateful protocol, network-address translation (NAT), การเชื่อมต่อแบบ VPN, et cetera. ไว้ในที่เดียว

  • Truly integrated intrusion prevention:

สามารถป้องกันการบุกรุกจากภายนอกได้ทั้งหมด: รองรับปัญหาการคุกคามจากภายนอก และแก้ไขปัญหาที่เกิดขึ้นโดยอ้างอิงจากการทำงานของ IPS เมื่อฟังก์ชั่นการทำงานทั้งสองอย่างนี้ทำงานร่วมกันผ่าน NGFW ย่อมทำงานได้ดีกว่าทำงานแบบแยกส่วน

  • Full stack visibility and application identification:

โปร่งใสและชี้จุดได้: สามารถบังคับใช้เงื่อนไขการเข้าถึงเครือข่ายภายในในระดับแอพพลิเคชั่น โดยไม่ต้องอาศัย port และ protocol

  • Extrafirewall intelligence:

เป็น Firewall ขั้นสูง: สามารถรับข้อมูลจากภายนอกเข้ามาและประมวลผลเพื่อพัฒนาระบบความปลอดภัยของตัวเอง เช่น สร้างแบล็คลิสการเข้าถึงที่ไม่น่าไว้ใจ และสร้างไวท์ลิสของการเข้าถึงที่อนุญาตให้ใช้เครือข่ายภายในได้ อีกทั้งยังสามารถสร้างการเข้าถึงต่างๆให้ผู้ใช้งานหรือกลุ่มผู้ใช้งานได้ โดยใช้ชื่อผู้ใช้งานที่แอคทีฟในระบบ

  • Adaptability to the modern threat landscape:

ปรับตัวเข้ากับการคุกคามต่างๆได้: รองรับการอัพเกรดเพื่อเชื่อมต่อกับส่วนข้อมูลใหม่ๆได้ และยังรองรับเทคนิคใหม่ๆที่ใช้ตรวจสอบการคุกคามที่อาจะเกิดขึ้นในอนาคตด้วย

  • In-line support รองรับการทำงานที่ลดลงหรือการหยุดทำงานของระบบ

#Onestopware
www.onestopware.com
เราขาย Server และ Software ที่ให้คุณมากกว่าคำว่าถูก

ทิ้งคำตอบไว้