ms1 thanin muangpool - nprupws.npru.ac.th/signal/data/files/chapter4_firewall.pdf · circuit...
TRANSCRIPT
![Page 1: MS1 Thanin Muangpool - NPRUpws.npru.ac.th/signal/data/files/Chapter4_Firewall.pdf · Circuit Gateway Firewall จะสรจะสราง าง Virtual Circuit ขขนมาจาก](https://reader033.vdocuments.net/reader033/viewer/2022053111/6083f979285eb06c6261e874/html5/thumbnails/1.jpg)
MS1 Thanin MuangpoolMS1 Thanin Muangpool
![Page 2: MS1 Thanin Muangpool - NPRUpws.npru.ac.th/signal/data/files/Chapter4_Firewall.pdf · Circuit Gateway Firewall จะสรจะสราง าง Virtual Circuit ขขนมาจาก](https://reader033.vdocuments.net/reader033/viewer/2022053111/6083f979285eb06c6261e874/html5/thumbnails/2.jpg)
Firewall คอ ระบบทใชในการเพมประสทธภาพในการรกษาความFirewall คอ ระบบทใชในการเพมประสทธภาพในการรกษาความ
มนคงปลอดภยของระบบคอมพวเตอร และใชในการปองกนการบกรกใน
ไ ไ ใ ใ ระบบเครอขายคอมพวเตอรจากผทไมได รบอนญาตใหใชงานระบบ
ดงกลาว โดย Firewall จะถกใชเปนตวกาหนดกฎเกณฑในการควบคม
การเขา-ออก หรอการควบคมการรบ-สงขอมล ระหวางระบบเครอขาย
ภายใน (Internal Private Network) กบเครอขายภายนอก (External
Public Network) ใหเปนไปตามนโยบายขององคกร
![Page 3: MS1 Thanin Muangpool - NPRUpws.npru.ac.th/signal/data/files/Chapter4_Firewall.pdf · Circuit Gateway Firewall จะสรจะสราง าง Virtual Circuit ขขนมาจาก](https://reader033.vdocuments.net/reader033/viewer/2022053111/6083f979285eb06c6261e874/html5/thumbnails/3.jpg)
Firewall จาแนกไดเปน 2 กลม ดงนFirewall จาแนกไดเปน 2 กลม ดงน
1. Processing Mode
2. Development Generation
![Page 4: MS1 Thanin Muangpool - NPRUpws.npru.ac.th/signal/data/files/Chapter4_Firewall.pdf · Circuit Gateway Firewall จะสรจะสราง าง Virtual Circuit ขขนมาจาก](https://reader033.vdocuments.net/reader033/viewer/2022053111/6083f979285eb06c6261e874/html5/thumbnails/4.jpg)
Processing Mode แบงออกเปน 5 ประเภท ดงนProcessing Mode แบงออกเปน 5 ประเภท ดงน
1. Packet Filtering
2. Application Firewall
3. Circuit Gatewaysy
4. MAC Layer
b id i ll5. Hybrid Firewall
![Page 5: MS1 Thanin Muangpool - NPRUpws.npru.ac.th/signal/data/files/Chapter4_Firewall.pdf · Circuit Gateway Firewall จะสรจะสราง าง Virtual Circuit ขขนมาจาก](https://reader033.vdocuments.net/reader033/viewer/2022053111/6083f979285eb06c6261e874/html5/thumbnails/5.jpg)
Packet Filter ทางานโดยทาการหาเสนทางและสงตออยางมเงอนไข Packet Filter ทางานโดยทาการหาเสนทางและสงตออยางมเงอนไข
(Screening Router) โดยจะพจารณาจากขอมลสวนทอยใน header
P k (R l ) ไ ของ Packet ทผานเขามา เทยบกบกฎ (Rules) ทกาหนดไว และตดสนวา
ควรจะทง (Drop) หรอวาจะยอม (Accept) Packet
![Page 6: MS1 Thanin Muangpool - NPRUpws.npru.ac.th/signal/data/files/Chapter4_Firewall.pdf · Circuit Gateway Firewall จะสรจะสราง าง Virtual Circuit ขขนมาจาก](https://reader033.vdocuments.net/reader033/viewer/2022053111/6083f979285eb06c6261e874/html5/thumbnails/6.jpg)
![Page 7: MS1 Thanin Muangpool - NPRUpws.npru.ac.th/signal/data/files/Chapter4_Firewall.pdf · Circuit Gateway Firewall จะสรจะสราง าง Virtual Circuit ขขนมาจาก](https://reader033.vdocuments.net/reader033/viewer/2022053111/6083f979285eb06c6261e874/html5/thumbnails/7.jpg)
Packet Filter จะทางานท Internet Layer and Transport Layer Packet Filter จะทางานท Internet Layer and Transport Layer
ใน Internet Model
ใ ใน Internet Layer จะม Attribute ทสาคญตอ Packet Filtering
ดงน
- Source Port
Destination Port- Destination Port
- Type of Protocol (TCP UDP และ ICMP)
![Page 8: MS1 Thanin Muangpool - NPRUpws.npru.ac.th/signal/data/files/Chapter4_Firewall.pdf · Circuit Gateway Firewall จะสรจะสราง าง Virtual Circuit ขขนมาจาก](https://reader033.vdocuments.net/reader033/viewer/2022053111/6083f979285eb06c6261e874/html5/thumbnails/8.jpg)
ใน Transport Layer จะม Attribute ทสาคญตอ Packet ใน Transport Layer จะม Attribute ทสาคญตอ Packet
Filtering ดงน
- Source Port
- Destination Port
- Flag (TCP)
ICMP M (ICMP)- ICMP Massage (ICMP)
Port ของ Transport Layer ทง TCP และ UDP นน
จะเปนสงทบอกถง Application ท Packet ตองการตดตอ
เชน Port 80 หมายถง HTTP
Port 21 หมายถง FTP เปนตน
![Page 9: MS1 Thanin Muangpool - NPRUpws.npru.ac.th/signal/data/files/Chapter4_Firewall.pdf · Circuit Gateway Firewall จะสรจะสราง าง Virtual Circuit ขขนมาจาก](https://reader033.vdocuments.net/reader033/viewer/2022053111/6083f979285eb06c6261e874/html5/thumbnails/9.jpg)
Address Restriction Rule เปนกฎการตรวจสอบ Data Packet Address Restriction Rule เปนกฎการตรวจสอบ Data Packet
ซงจะทาการตดตงไวทอปกรณเครอขาย เชน Router โดยจะกาหนด
R l ไ ใ A C l AC ไ ป Rule ไวในตาราง Access Control List : ACL เพอเกบไวเปรยบเทยบ
กบ Data Packet ทเขามาวาจะยอมรบหรอปฏเสธ ตวอยางเชน
![Page 10: MS1 Thanin Muangpool - NPRUpws.npru.ac.th/signal/data/files/Chapter4_Firewall.pdf · Circuit Gateway Firewall จะสรจะสราง าง Virtual Circuit ขขนมาจาก](https://reader033.vdocuments.net/reader033/viewer/2022053111/6083f979285eb06c6261e874/html5/thumbnails/10.jpg)
![Page 11: MS1 Thanin Muangpool - NPRUpws.npru.ac.th/signal/data/files/Chapter4_Firewall.pdf · Circuit Gateway Firewall จะสรจะสราง าง Virtual Circuit ขขนมาจาก](https://reader033.vdocuments.net/reader033/viewer/2022053111/6083f979285eb06c6261e874/html5/thumbnails/11.jpg)
Packet Filtering Firewall แบงชนดยอยออกเปน 3 ชนด คอPacket Filtering Firewall แบงชนดยอยออกเปน 3 ชนด คอ
1. Static Filtering or Constant or Unchanging Filtering
เปนการตรวจสอบวาอนญาตหรอปฏเสธ Data Packet พรอมกบเลอกวา
จะเปดหรอปด Port ทถกรองขอจากการเชอมตอภายนอก ถาเปดกเปด
ทงหมด ถาปดกปดทงหมด จงเปนชองโหวใหถกโจมตไดงายจากผไมหวงด
![Page 12: MS1 Thanin Muangpool - NPRUpws.npru.ac.th/signal/data/files/Chapter4_Firewall.pdf · Circuit Gateway Firewall จะสรจะสราง าง Virtual Circuit ขขนมาจาก](https://reader033.vdocuments.net/reader033/viewer/2022053111/6083f979285eb06c6261e874/html5/thumbnails/12.jpg)
Packet Filtering Firewall แบงชนดยอยออกเปน 3 ชนด คอPacket Filtering Firewall แบงชนดยอยออกเปน 3 ชนด คอ
2. Dynamic Filtering เปนกลไกทยดหยนกวาแบบ Static
ไ Filtering เพราะสามารถทจะเลอกเปด Port ทตองการได ซงจะทาการ
ตรวจสอบจาก Request ทมาพรอมกบ Packet ทตองการใหเปด Port
และจะเปดจนกวาจะจบ Session ของการทางาน
![Page 13: MS1 Thanin Muangpool - NPRUpws.npru.ac.th/signal/data/files/Chapter4_Firewall.pdf · Circuit Gateway Firewall จะสรจะสราง าง Virtual Circuit ขขนมาจาก](https://reader033.vdocuments.net/reader033/viewer/2022053111/6083f979285eb06c6261e874/html5/thumbnails/13.jpg)
Packet Filtering Firewall แบงชนดยอยออกเปน 3 ชนด คอPacket Filtering Firewall แบงชนดยอยออกเปน 3 ชนด คอ
3. Stateful Inspection or Stateful Firewall เปนกลไกท
รวมทง Static and Dynamic Filtering เขาดวยกน แตจะมเพมการ
กาหนดระยะเวลา เมอ Packet ใดไมมการตอบรบภายในระยะเวลาท
กาหนด Firewall จะตดการเชอมตอ เพอสรางการเชอมตอกบ Request
ใหมทนท
![Page 14: MS1 Thanin Muangpool - NPRUpws.npru.ac.th/signal/data/files/Chapter4_Firewall.pdf · Circuit Gateway Firewall จะสรจะสราง าง Virtual Circuit ขขนมาจาก](https://reader033.vdocuments.net/reader033/viewer/2022053111/6083f979285eb06c6261e874/html5/thumbnails/14.jpg)
Application Firewall or Application-Level Firewall or Application Application Firewall or Application Level Firewall or Application
Gateway ทาหนาทเพมความปลอดภยของ Network System โดยการควบคมการ
เชอมตอระหวาง Network ภายในและภายนอก Proxy จะชวยเพมความปลอดภยเชอมตอระหวาง Network ภายในและภายนอก Proxy จะชวยเพมความปลอดภย
ไดมากเนองจากมการตรวจสอบขอมลถงในระดบของ Application Layer
เมอ Client ตองการใชเซอรวสภายนอก Client จะทาการตดตอไปยง Proxy เมอ Client ตองการใชเซอรวสภายนอก Client จะทาการตดตอไปยง Proxy
กอน Client จะเจรจา กบ Proxy เพอให Proxy ตดตอไปยงเครองปลายทางให เมอ
Proxy ตดตอไปยงเครองปลายทางใหแลวจะมการเชอมตอ 2 การเชอมตอ คอ Proxy ตดตอไปยงเครองปลายทางใหแลวจะมการเชอมตอ 2 การเชอมตอ คอ
Client กบ Proxy และ Proxy กบเครองปลายทาง โดยท Proxy จะทาหนาทรบ
ขอมลและสงตอขอมลใหใน 2 ทศทาง ทงน Proxy จะทาหนาทในการตดสนใจวาจะขอมลและสงตอขอมลใหใน 2 ทศทาง ทงน Proxy จะทาหนาทในการตดสนใจวาจะ
ใหมการเชอมตอกนหรอไม จะสงตอแพกเกตใหหรอไม
![Page 15: MS1 Thanin Muangpool - NPRUpws.npru.ac.th/signal/data/files/Chapter4_Firewall.pdf · Circuit Gateway Firewall จะสรจะสราง าง Virtual Circuit ขขนมาจาก](https://reader033.vdocuments.net/reader033/viewer/2022053111/6083f979285eb06c6261e874/html5/thumbnails/15.jpg)
![Page 16: MS1 Thanin Muangpool - NPRUpws.npru.ac.th/signal/data/files/Chapter4_Firewall.pdf · Circuit Gateway Firewall จะสรจะสราง าง Virtual Circuit ขขนมาจาก](https://reader033.vdocuments.net/reader033/viewer/2022053111/6083f979285eb06c6261e874/html5/thumbnails/16.jpg)
เปน Firewall ททางานบน Transport Layer ของ OSI Model ซงจะไมเปน Firewall ททางานบน Transport Layer ของ OSI Model ซงจะไม
ตรวจสอบขอมลใน Packet แตจะตรวจสอบ Connection ระหวาง User กบ
Network ภายนอก และปองกนการเชอมตอโดยตรงระหวาง User กบเครองอนๆ Network ภายนอก และปองกนการเชอมตอโดยตรงระหวาง User กบเครองอนๆ
ภายนอกเครอขาย
Circuit Gateway Firewall จะสราง Virtual Circuit ขนมาจาก Library เพอCircuit Gateway Firewall จะสราง Virtual Circuit ขนมาจาก Library เพอ
จดการการเชอมตอโดยท User ไมทราบ ถาเสนทางใดไมตรงตามกฎ กจะปฏเสธการ
เชอมตอ ซงการสราง Virtual Circuit สามารถทจะใหบรการ User ไดหลายคนเชอมตอ ซงการสราง Virtual Circuit สามารถทจะใหบรการ User ไดหลายคน
สามารถตดตอกบ Network ภายนอกไดหลาย Network
![Page 17: MS1 Thanin Muangpool - NPRUpws.npru.ac.th/signal/data/files/Chapter4_Firewall.pdf · Circuit Gateway Firewall จะสรจะสราง าง Virtual Circuit ขขนมาจาก](https://reader033.vdocuments.net/reader033/viewer/2022053111/6083f979285eb06c6261e874/html5/thumbnails/17.jpg)
เปน Firewall ททางานบน Data Link Layer ของ OSI Model ซงเปน Firewall ททางานบน Data Link Layer ของ OSI Model ซง
สามารถระบ Host Computer ไดในขณะการกลนกรอง Packet โดยด
AC Add โ AC จาก MAC Address ทเชอมโยงกบตาราง ACL เพอการตรวจสอบ
Packet ทมาพรอมกบ Host Computer
![Page 18: MS1 Thanin Muangpool - NPRUpws.npru.ac.th/signal/data/files/Chapter4_Firewall.pdf · Circuit Gateway Firewall จะสรจะสราง าง Virtual Circuit ขขนมาจาก](https://reader033.vdocuments.net/reader033/viewer/2022053111/6083f979285eb06c6261e874/html5/thumbnails/18.jpg)
เปน Firewall ทรวมเอาความสามารถของ Firewall ชนดอน ๆ เขาเปน Firewall ทรวมเอาความสามารถของ Firewall ชนดอน ๆ เขา
ดวยกน ซงจะทาใหองคกรสามารถเพมประสทธภาพในการรกษาความ
ป ไ มนคงปลอดภยของระบบไดมากยงขน
![Page 19: MS1 Thanin Muangpool - NPRUpws.npru.ac.th/signal/data/files/Chapter4_Firewall.pdf · Circuit Gateway Firewall จะสรจะสราง าง Virtual Circuit ขขนมาจาก](https://reader033.vdocuments.net/reader033/viewer/2022053111/6083f979285eb06c6261e874/html5/thumbnails/19.jpg)
First Generation Firewall สวนใหญจะเปนแบบ Static Packet
Filtering Firewall
Second Generation Firewall จะเปนแบบ Application Firewallpp
Third Generation Firewall จะเปนแบบ Stateful Inspection
FirewallFirewall
Fourth Generation Firewall จะเปนแบบ Dynamic Packet
Filtering Firewall
Fifth Generation Firewall จะเปนแบบ Kernel Firewall ซงเปน
Firewall ททางานกบระบบปฎบตการทเปน Kernel สามารถตรวจสอบ
ไดหลาย Layerไดหลาย Layer
![Page 20: MS1 Thanin Muangpool - NPRUpws.npru.ac.th/signal/data/files/Chapter4_Firewall.pdf · Circuit Gateway Firewall จะสรจะสราง าง Virtual Circuit ขขนมาจาก](https://reader033.vdocuments.net/reader033/viewer/2022053111/6083f979285eb06c6261e874/html5/thumbnails/20.jpg)
เปน Firewall ทปองกนการลกลอบนา IP Address ไปใชงาน โดยเปน Firewall ทปองกนการลกลอบนา IP Address ไปใชงาน โดย
จะซอน IP ทแทจรงไว และแสดงใหภายนอกเหนเฉพาะ IP NAT เทานน
![Page 21: MS1 Thanin Muangpool - NPRUpws.npru.ac.th/signal/data/files/Chapter4_Firewall.pdf · Circuit Gateway Firewall จะสรจะสราง าง Virtual Circuit ขขนมาจาก](https://reader033.vdocuments.net/reader033/viewer/2022053111/6083f979285eb06c6261e874/html5/thumbnails/21.jpg)
เปน Firewall ทเหมาะกบ Small Office/Home Office : SOHO เปน Firewall ทเหมาะกบ Small Office/Home Office : SOHO
ปจจบนไดนามาใชกบ DSL/ADSL จะทาการตดตงไวกบอปกรณ
DS /ADS R SO O ll ป DSL/ADSL Router เรยกวา SOHO Firewall เรมแรกจะเปนแบบ
Statefule Inspection Firewall ไดอยางเดยว ปจจบนมการพฒนา
ความสามารถ Packet Filtering รวมกบ WAP และใหบรการ NAT
Firewall และตรวจสอบ MAC Address ใหดวย
![Page 22: MS1 Thanin Muangpool - NPRUpws.npru.ac.th/signal/data/files/Chapter4_Firewall.pdf · Circuit Gateway Firewall จะสรจะสราง าง Virtual Circuit ขขนมาจาก](https://reader033.vdocuments.net/reader033/viewer/2022053111/6083f979285eb06c6261e874/html5/thumbnails/22.jpg)
![Page 23: MS1 Thanin Muangpool - NPRUpws.npru.ac.th/signal/data/files/Chapter4_Firewall.pdf · Circuit Gateway Firewall จะสรจะสราง าง Virtual Circuit ขขนมาจาก](https://reader033.vdocuments.net/reader033/viewer/2022053111/6083f979285eb06c6261e874/html5/thumbnails/23.jpg)
มทงหมด 4 รปแบบ คอมทงหมด 4 รปแบบ คอ
1. Packet Filtering Router
2. Screened Host Firewall
3. Dual-homed Host Firewall
4. Screened Subnet Firewall
![Page 24: MS1 Thanin Muangpool - NPRUpws.npru.ac.th/signal/data/files/Chapter4_Firewall.pdf · Circuit Gateway Firewall จะสรจะสราง าง Virtual Circuit ขขนมาจาก](https://reader033.vdocuments.net/reader033/viewer/2022053111/6083f979285eb06c6261e874/html5/thumbnails/24.jpg)
จะใช Router ทาหนาทเปน Firewall กนระหวางเครอขายในองคกรกบ
ภายนอกองคกร ซงจะกรอง Packet ทตรงกนกบตาราง ACL เทานนทจะ
สามารถเขามาในเครอขายภายในองคกรได
ขอด
Implement งาย- Implement งาย
- มความเรวสง
- ประหยดคาใชจาย
ขอเสย ขอเสย
- ไมมระบบการตรวจสอบและตรวจจบทเขมงวด
ใ ใ - ยงเพมกฎเกณฑในตาราง ACL มาก จะทาใหระบบชาลง
![Page 25: MS1 Thanin Muangpool - NPRUpws.npru.ac.th/signal/data/files/Chapter4_Firewall.pdf · Circuit Gateway Firewall จะสรจะสราง าง Virtual Circuit ขขนมาจาก](https://reader033.vdocuments.net/reader033/viewer/2022053111/6083f979285eb06c6261e874/html5/thumbnails/25.jpg)
![Page 26: MS1 Thanin Muangpool - NPRUpws.npru.ac.th/signal/data/files/Chapter4_Firewall.pdf · Circuit Gateway Firewall จะสรจะสราง าง Virtual Circuit ขขนมาจาก](https://reader033.vdocuments.net/reader033/viewer/2022053111/6083f979285eb06c6261e874/html5/thumbnails/26.jpg)
ใช Router เปน Packet Filtering Firewall ทาการกรอง Packet
และใช Server เปน Proxy Server เรยกวา Bastion Host ตรวจสอบ
การบรการ Application ทเขามา เพอทาการบนทกกอนสงให User ท
รองขอ ในการสงคารองขอขอมลภายนอกเครอขายจะตองผาน Bastion
Host กอนเสมอ Client Internal Network จะไมไดรบอนญาตเชอมตอHost กอนเสมอ Client Internal Network จะไมไดรบอนญาตเชอมตอ
กบเครอขายภายนอกโดยตรง
ขอด
- ประหยดคาใชจาย
ขอเสย
ถามการโจมต Bastion Host สาเรจ กจะไดขอมล Client ทงหมด- ถามการโจมต Bastion Host สาเรจ กจะไดขอมล Client ทงหมด
![Page 27: MS1 Thanin Muangpool - NPRUpws.npru.ac.th/signal/data/files/Chapter4_Firewall.pdf · Circuit Gateway Firewall จะสรจะสราง าง Virtual Circuit ขขนมาจาก](https://reader033.vdocuments.net/reader033/viewer/2022053111/6083f979285eb06c6261e874/html5/thumbnails/27.jpg)
![Page 28: MS1 Thanin Muangpool - NPRUpws.npru.ac.th/signal/data/files/Chapter4_Firewall.pdf · Circuit Gateway Firewall จะสรจะสราง าง Virtual Circuit ขขนมาจาก](https://reader033.vdocuments.net/reader033/viewer/2022053111/6083f979285eb06c6261e874/html5/thumbnails/28.jpg)
Bastion Host ม NIC 2 Card เพอเชอมตอกบ Private Network and
bl k ll Public Network ทกเสนทางเขาออกของขอมลจะผาน Firewall
การ Implement Firewall สวนใหญจะใช NAT Firewall จะเรยกวา NAT
Server
ขอด
- ปองกนการโจมตได 2 ระดบ
- ปองกนการสแกน IP Address Private Network
- ประหยดคาใชจาย
ขอเสย ขอเสย
- ซบซอน ทางานชา
รองรบ T ffi ไดนอยกวา P k t Filt i Fi ll- รองรบ Traffic ไดนอยกวา Packet Filtering Firewall
- ตองการทรพยากรมากกวารปแบบอน
![Page 29: MS1 Thanin Muangpool - NPRUpws.npru.ac.th/signal/data/files/Chapter4_Firewall.pdf · Circuit Gateway Firewall จะสรจะสราง าง Virtual Circuit ขขนมาจาก](https://reader033.vdocuments.net/reader033/viewer/2022053111/6083f979285eb06c6261e874/html5/thumbnails/29.jpg)
![Page 30: MS1 Thanin Muangpool - NPRUpws.npru.ac.th/signal/data/files/Chapter4_Firewall.pdf · Circuit Gateway Firewall จะสรจะสราง าง Virtual Circuit ขขนมาจาก](https://reader033.vdocuments.net/reader033/viewer/2022053111/6083f979285eb06c6261e874/html5/thumbnails/30.jpg)
จะใช Packet Filtering Router 2 ตววางไวทง Internal and External
Network โดยม Bastion Host ตงแต 1 เครองขนไป ทาหนาทปองกน
Private Network โดยแยกมาอยในเขตทเรยกวา Demilitarized Zone
: DMZ อยระหวาง Internal and External Network
ขอดขอด
- มความปลอดภยสง
ขอเสย
- คาใชจายสง
- ระบบมความซบซอน จดการยาก
![Page 31: MS1 Thanin Muangpool - NPRUpws.npru.ac.th/signal/data/files/Chapter4_Firewall.pdf · Circuit Gateway Firewall จะสรจะสราง าง Virtual Circuit ขขนมาจาก](https://reader033.vdocuments.net/reader033/viewer/2022053111/6083f979285eb06c6261e874/html5/thumbnails/31.jpg)
![Page 32: MS1 Thanin Muangpool - NPRUpws.npru.ac.th/signal/data/files/Chapter4_Firewall.pdf · Circuit Gateway Firewall จะสรจะสราง าง Virtual Circuit ขขนมาจาก](https://reader033.vdocuments.net/reader033/viewer/2022053111/6083f979285eb06c6261e874/html5/thumbnails/32.jpg)
เพอใหสอดคลองกบ Security and Business Policy จาเปนตองม
การกาหนดกฎเกณฑ เพอใชเปนขอบงคบให User ปฏบตเหมอนกน
ตวอยางเชน
1. Traffic จะอนญาตเฉพาะ Trusted Network
2 Device ไมสามารถเขาถงไดโดยตรงจาก Public Network2. Device ไมสามารถเขาถงไดโดยตรงจาก Public Network
3. SMTP จะตองผานการตรวจสอบจาก Gateway เพอกรอง
Message
4. ICMP or Ping Service จะตองปฏเสธg ฏ
5. Block Telnet ถาตองการเขาถงใหผาน VPN
![Page 33: MS1 Thanin Muangpool - NPRUpws.npru.ac.th/signal/data/files/Chapter4_Firewall.pdf · Circuit Gateway Firewall จะสรจะสราง าง Virtual Circuit ขขนมาจาก](https://reader033.vdocuments.net/reader033/viewer/2022053111/6083f979285eb06c6261e874/html5/thumbnails/33.jpg)
เพอเพมขดความสามารถใหกบ Firewall รองรบระบบเครอขายทมความเรว
ใ โ ll ป k ในการรบ-สงขอมลสง โดยกลม Firewall Array ทาหนาทประมวล Data Packet
แบบ Parallel
ขอด
- มประสทธภาพสงสดกบระบบทตองการผลผลตจากการประมวลผลมาก
- ถา Firewall ตวใดตวหนงไมทางาน จะไมสงผลกระทบตอระบบโดยรวม
- บรหารจดการกฎเกณฑของ Firewall ไดงายฎ
ขอเสย
- ตองรกษาสถานการณเชอมตอไวจนกวา Firewall จะประมวลผล Data ตองรกษาสถานการณเชอมตอไวจนกวา Firewall จะประมวลผล Data
Packet แลวเสรจ
![Page 34: MS1 Thanin Muangpool - NPRUpws.npru.ac.th/signal/data/files/Chapter4_Firewall.pdf · Circuit Gateway Firewall จะสรจะสราง าง Virtual Circuit ขขนมาจาก](https://reader033.vdocuments.net/reader033/viewer/2022053111/6083f979285eb06c6261e874/html5/thumbnails/34.jpg)
![Page 35: MS1 Thanin Muangpool - NPRUpws.npru.ac.th/signal/data/files/Chapter4_Firewall.pdf · Circuit Gateway Firewall จะสรจะสราง าง Virtual Circuit ขขนมาจาก](https://reader033.vdocuments.net/reader033/viewer/2022053111/6083f979285eb06c6261e874/html5/thumbnails/35.jpg)
ขดความสามารถของ firewall ทวๆ ไปนนมดงตอไปน
- ปองกนการ Login ทไมไดรบอนญาตทมาจากภายนอกเครอขาย
- ปดกนไมให Traffic จากนอกเครอขายเขามาภายในเครอขายแตกยอมใหผ ปดกนไมให Traffic จากนอกเครอขายเขามาภายในเครอขายแตกยอมใหผ
ทอยภายในเครอขายสามารถตดตอกบโลกภายนอกได
ป ป A dit- เปนจดรวมสาหรบการรกษาความปลอดภยและการทา Audit
- Firewall จะตรวจสอบดแคการ Block IP หรอ Port ไดแค layer 3,4
![Page 36: MS1 Thanin Muangpool - NPRUpws.npru.ac.th/signal/data/files/Chapter4_Firewall.pdf · Circuit Gateway Firewall จะสรจะสราง าง Virtual Circuit ขขนมาจาก](https://reader033.vdocuments.net/reader033/viewer/2022053111/6083f979285eb06c6261e874/html5/thumbnails/36.jpg)
- Firewall ไมสามารถปองกนการโจมตทไมไดกระทาผาน Firewall เชน การโจมตจาก
ใ ภายในเครอขายเอง
- ไมสามารถปองกนการโจมตทเขามากบ Application Protocols ตางๆ ทเรยกวาการ
โ ใ Tunneling หรอกบโปรแกรม Client ทมความลอแหลมและถกดดแปลงใหกระทา
การโจมตได หรอโปรแกรมทถกทาใหเปน Trojan horse
- ไมสามารถปองกน Virus ไดอยางมประสทธภาพเนองจากจานวน Virus มอยมากมาย
จงจะเปนการยากมากท Firewall จะสามารถตรวจจบ Pattern ของ Virus ทงหมด
ไดถงแมวา Firewall จะเปนเครองมอทสามารถนามาใชปองกนการโจมตจาก
ภายนอกเครอขายไดอยางมประสทธภาพ การทจะใช Firewall ใหไดประโยชนสงสด
นนจะขนอยกบนโยบายความปลอดภยโดยรวมขององคกรดวย นอกจากน แมแต
Firewall ทดทสดกไมสามารถนามาใชแทนการมจตสานกในการทจะรกษาความ
ปลอดภยภายในเครอขายของผทอยในเครอขายนนเอง
![Page 37: MS1 Thanin Muangpool - NPRUpws.npru.ac.th/signal/data/files/Chapter4_Firewall.pdf · Circuit Gateway Firewall จะสรจะสราง าง Virtual Circuit ขขนมาจาก](https://reader033.vdocuments.net/reader033/viewer/2022053111/6083f979285eb06c6261e874/html5/thumbnails/37.jpg)
คอ Software กรองเนอหาทชวยให Admin สามารถจากดการ
เขาถง Website ตาง ๆ ของ User ภายในเครอขายได หรอสามารถจากด
การรบเนอหาทไมเหมาะสมจาก Website ใดๆ ได นอกจากนนยง
สามารถจากดชนดของ Protocol ซงบางครงเรยกวา Content Filter or
Reverse Firewall กลม User ทจาเปนตองใช Content Filter ดงนReverse Firewall กลม User ทจาเปนตองใช Content Filter ดงน
1. School 2. General business organization
3. Financial institution 4. Institutes of Health
5. ISP 6. Government
7. Library 8. Parent
![Page 38: MS1 Thanin Muangpool - NPRUpws.npru.ac.th/signal/data/files/Chapter4_Firewall.pdf · Circuit Gateway Firewall จะสรจะสราง าง Virtual Circuit ขขนมาจาก](https://reader033.vdocuments.net/reader033/viewer/2022053111/6083f979285eb06c6261e874/html5/thumbnails/38.jpg)
1. Banned Word List เปนวธทบลอกเฉพาะคาหรอวลทไม
ตองการ อาจจะสรางเปน Blacklist Dictionary
2. URL เปนวธการกาหนดชอ Website ไวใน Blacklist แทนคา
หรอวล
3 Category Block วธนอาศยบรการจดหมวดหม Website จาก 3. Category Block วธนอาศยบรการจดหมวดหม Website จาก
Server ของ ISP และตดตงอปกรณบลอกตามกลม และจะบนทกการ
ใ ไ เปลยนแปลงทกครง ทาให Admin ไมจาเปนตองเพมดวยตวเอง
4. Bayesian Filter เปนการกรองเนอหาตามคาทเปนไปไดของคา
ตองหามทนยมใชในการเขาถง Web ตองหาม เชน คาวา XXX
![Page 39: MS1 Thanin Muangpool - NPRUpws.npru.ac.th/signal/data/files/Chapter4_Firewall.pdf · Circuit Gateway Firewall จะสรจะสราง าง Virtual Circuit ขขนมาจาก](https://reader033.vdocuments.net/reader033/viewer/2022053111/6083f979285eb06c6261e874/html5/thumbnails/39.jpg)
5. Content-based Image Filtering เปนการกรองภาพ ม
ขนตอนการทางาน 3 ขนตอน ดงน
1. Skin Tone Filter เปนขนตอนแยกสผวของคนออกจาก
วตถอน โดยใชทฤษฎสจาก สแดง เหลอง และนาตาล
2 Analyze เปนการวเคราะหหาพนทผวของคน เพอ2. Analyze เปนการวเคราะหหาพนทผวของคน เพอ
คานวณหาพนทผว ถาเปน Low Skin Content จะบนทกลงในฐานขอมล
ไ ถาเปน High Skin Content จะนาไปแบงสวนรปพรรณสณฐาน และ
สรางเปน Visual Signature
4. Compare ระบบจะนา Visual Signature มาเปรยบเทยบ
แลวจดระดบความนาเชอถอเขาขายเปนภาพลามกหรอไมแลวจดระดบความนาเชอถอเขาขายเปนภาพลามกหรอไม
![Page 40: MS1 Thanin Muangpool - NPRUpws.npru.ac.th/signal/data/files/Chapter4_Firewall.pdf · Circuit Gateway Firewall จะสรจะสราง าง Virtual Circuit ขขนมาจาก](https://reader033.vdocuments.net/reader033/viewer/2022053111/6083f979285eb06c6261e874/html5/thumbnails/40.jpg)
http://www.evisionglobal.com/business/cf.html
![Page 41: MS1 Thanin Muangpool - NPRUpws.npru.ac.th/signal/data/files/Chapter4_Firewall.pdf · Circuit Gateway Firewall จะสรจะสราง าง Virtual Circuit ขขนมาจาก](https://reader033.vdocuments.net/reader033/viewer/2022053111/6083f979285eb06c6261e874/html5/thumbnails/41.jpg)
เปน Private Network แตใชใชโครงสรางพนฐานของ Public เปน Private Network แตใชใชโครงสรางพนฐานของ Public
Network และ มความเปน Private โดยใช Protocol Tunnel and
S P d P ใ ใ Security Procedure องคกรตาง ๆ จงนยมนา VPN มาใชในการเขาถง
ระยะไกลจาก Public Network
http://www.siamict.com/it_trainning.php
![Page 42: MS1 Thanin Muangpool - NPRUpws.npru.ac.th/signal/data/files/Chapter4_Firewall.pdf · Circuit Gateway Firewall จะสรจะสราง าง Virtual Circuit ขขนมาจาก](https://reader033.vdocuments.net/reader033/viewer/2022053111/6083f979285eb06c6261e874/html5/thumbnails/42.jpg)
Virtual Private Network Consortium : VPNC define type of Virtual Private Network Consortium : VPNC define type of
VPN Technology 3 type.
1. Trusted VPN or Legacy VPN Use Least line Circuit
form ISP and Packet Switching Network.
2. Secure VPN Use Security Protocol and Data Encryption
when sent through Public Networkwhen sent through Public Network.
3. Hybrid VPN Use both VPN Network in other words use
Data Encryption when sent through Least line Circuit.
![Page 43: MS1 Thanin Muangpool - NPRUpws.npru.ac.th/signal/data/files/Chapter4_Firewall.pdf · Circuit Gateway Firewall จะสรจะสราง าง Virtual Circuit ขขนมาจาก](https://reader033.vdocuments.net/reader033/viewer/2022053111/6083f979285eb06c6261e874/html5/thumbnails/43.jpg)
VPN Network to maintain the privacy of the information VPN Network to maintain the privacy of the information
in Public Network requires the third section.
1. Encapsulation เปนกาหอหมขอมลทเขาและออกจากเครอขาย
2. Encryption เปนการเขารหสขอมลทเขาและออกเครอขาย
เพอเกบขอมลไวเปนสวนตวในขณะทสงผาน Public Network
3 Authentication เปนการพสจนตวตนของ User and VPN3. Authentication เปนการพสจนตวตนของ User and VPN
![Page 44: MS1 Thanin Muangpool - NPRUpws.npru.ac.th/signal/data/files/Chapter4_Firewall.pdf · Circuit Gateway Firewall จะสรจะสราง าง Virtual Circuit ขขนมาจาก](https://reader033.vdocuments.net/reader033/viewer/2022053111/6083f979285eb06c6261e874/html5/thumbnails/44.jpg)
Implementation VPN divided into two working modes Implementation VPN divided into two working modes.
1. Transport Mode data in IP Packet be Encrypted ยกเวน
ใ โ สวน Header of Packet จะทาให User สามารถเชอมตอโดยตรงกบ
Remote Host ไดอยางปลอดภย
ขอเสย คอ ถาดกจบ Packet ไดจะทราบตาแหนงทอยปลายทาง และ
สามารถดงขอมลมาไดสามารถดงขอมลมาได
ขอด คอ ไมจาเปนตองม Server and Software และอนญาตให
ไ User เขาถงระบบไดทกแหง
![Page 45: MS1 Thanin Muangpool - NPRUpws.npru.ac.th/signal/data/files/Chapter4_Firewall.pdf · Circuit Gateway Firewall จะสรจะสราง าง Virtual Circuit ขขนมาจาก](https://reader033.vdocuments.net/reader033/viewer/2022053111/6083f979285eb06c6261e874/html5/thumbnails/45.jpg)
http://www.firewall.cx/networking-topics/protocols/870-ipsec-modes.html
![Page 46: MS1 Thanin Muangpool - NPRUpws.npru.ac.th/signal/data/files/Chapter4_Firewall.pdf · Circuit Gateway Firewall จะสรจะสราง าง Virtual Circuit ขขนมาจาก](https://reader033.vdocuments.net/reader033/viewer/2022053111/6083f979285eb06c6261e874/html5/thumbnails/46.jpg)
Transport Mode VPN แบงการทางานได 2 ลกษณะ ดงน Transport Mode VPN แบงการทางานได 2 ลกษณะ ดงน
1. End-to-End การทางานในลกษณะน End User ทงผายรบและ
ไ โ ฝายสง สามารถตดตอสอสารขอมลไดโดยตรงและสามารถเขาและถอดรหส
ไดตามตองการ ในกรณน เครองคอมพวเตอรของแตละ End User จะทา
หนาทเปนทง Client and End Node VPN Server
![Page 47: MS1 Thanin Muangpool - NPRUpws.npru.ac.th/signal/data/files/Chapter4_Firewall.pdf · Circuit Gateway Firewall จะสรจะสราง าง Virtual Circuit ขขนมาจาก](https://reader033.vdocuments.net/reader033/viewer/2022053111/6083f979285eb06c6261e874/html5/thumbnails/47.jpg)
Transport Mode VPN แบงการทางานได 2 ลกษณะ ดงน Transport Mode VPN แบงการทางานได 2 ลกษณะ ดงน
2. VPN Server Working in this manner Remote Host form
User connect to VPN Server in DMZ before into Private Network
VPN Server acts as an intermediary between users to encrypt
and decrypt both.
![Page 48: MS1 Thanin Muangpool - NPRUpws.npru.ac.th/signal/data/files/Chapter4_Firewall.pdf · Circuit Gateway Firewall จะสรจะสราง าง Virtual Circuit ขขนมาจาก](https://reader033.vdocuments.net/reader033/viewer/2022053111/6083f979285eb06c6261e874/html5/thumbnails/48.jpg)
Implementation VPN divided into two working modes Implementation VPN divided into two working modes.
2. Tunnel Mode จะม VPN Server 2 เครองเรยกวา Tunnel
ไ Server ทาหนาทเปนศนยกลางการเขารหสขอมลทจะไปยงทกเสนทางของ
เครอขายทไมนาเชอถอ
IP Packet ของ User ตนทางจะถกเขารหสไวทงหมด และนาไปเกบ
ไวใน Packet อกชนหนงเพอสงไปให Source Tunnel Server into ไวใน Packet อกชนหนงเพอสงไปให Source Tunnel Server into
Destination Tunnel Server เพอถอดรหสและสงไปให User ปลายทาง
ไ ป ป ขอด คอ ไมแสดงตาแหนงทแทจรงของระบบปลายทาง เปรยบเสมอน
วามอโมงคซอนขอมลไวระหวางเคลอนยายอยใน Public Network
![Page 49: MS1 Thanin Muangpool - NPRUpws.npru.ac.th/signal/data/files/Chapter4_Firewall.pdf · Circuit Gateway Firewall จะสรจะสราง าง Virtual Circuit ขขนมาจาก](https://reader033.vdocuments.net/reader033/viewer/2022053111/6083f979285eb06c6261e874/html5/thumbnails/49.jpg)
http://www.firewall.cx/networking-topics/protocols/870-ipsec-modes.html
![Page 50: MS1 Thanin Muangpool - NPRUpws.npru.ac.th/signal/data/files/Chapter4_Firewall.pdf · Circuit Gateway Firewall จะสรจะสราง าง Virtual Circuit ขขนมาจาก](https://reader033.vdocuments.net/reader033/viewer/2022053111/6083f979285eb06c6261e874/html5/thumbnails/50.jpg)
MS1 Thanin MuangpoolMS1 Thanin Muangpool
Th k Th k Thank youThank you