1. IT346 Information System Security
Week 6-1: Firewall (1)
ผศ.ดร.มัชฌิกา อ่องแตง
Faculty of Information Technology
Page
1
2. OSI v.s. TCP/IP Model
Application Layer
Presentation Layer
Application Layer
Session Layer
Transport Layer
Transport Layer
Network Layer
Internet Layer
Data Link Layer
Physical Layer
OSI Model
Faculty of Information Technology
Host-to-Network Layer
(Network Access)
TCP/IP Model
Page
2
3. ความรู้พื้นฐานเกี่ยวกับ โปรโตคอล TCP/IP
TCP/IP (Transmission Control Protocol/ Internet Protocol) เป็น
ชุดของโปรโตคอลที่ถูกใช้ในการสื่อสารผ่านเครือข่ายอินเทอร์เน็ต
‣ โปรโตคอลมาตรฐานทีใช้สื่อสารจากต้นทางข้ามเครือข่ายไปยังปลายทาง
่
‣ สามารถหาเส้นทางที่จะส่งข้อมูลไปได้เองโดยอัตโนมัติ ถึงแม้ว่าในระหว่างทาง
อาจจะผ่านเครือข่ายที่มีปัญหา โปรโตคอลก็ยังคงหาเส้นทางอื่นในการส่งผ่าน
ข้อมูลไปให้ถึงปลายทางได้
Faculty of Information Technology
Page
3
7. Encapsulation
ข้อมูลที่ผ่านการ Encapsulate ในแต่ละ Layer มีชื่อเรียกแตกต่างกัน ดังนี้
‣ ข้อมูลที่มาจาก User หรือก็คอข้อมูลที่ User เป็นผู้ป้อนให้กับ Application
ื
‣
‣
‣
‣
เรียกว่า User Data
เมื่อแอพพลิเคชั่นได้รับข้อมูลจาก user ก็จะนํามาประกอบกับส่วนหัวของ
แอพพลิเคชั่น เรียกว่า Application Data และส่งต่อไปยังโปรโตคอล TCP
เมื่อโปรโตคอล TCP ได้รับ Application Data ก็จะนํามารวมกับ Header ของ
โปรโตคอล TCP เรียกว่า TCP Segment และส่งต่อไปยังโปรโตคอล IP
เมื่อโปรโตคอล IP ได้รับ TCP Segment ก็จะนํามารวมกับ Header ของ
โปรโตคอล IP เรียกว่า IP Datagram และส่งต่อไปยัง Host-to-Network
Layer
ในระดับ Host-to-Network จะนํา IP Datagram มาเพิ่มส่วน Error
Correction และ flag เรียกว่า Ethernet Frame ก่อนจะแปลงข้อมูลเป็น
สัญญาณไฟฟ้า ส่งผ่านสายสัญญาณที่เชื่อมโยงอยู่ต่อไป
Faculty of Information Technology
Page
7
8. Host-to-Network Layer
Host-to-Network Layer: โฮสต์
เครือข่าย
‣ โพรโตคอลสําหรับการควบคุมการสื่อสารใน layer นี้ไม่มการกําหนดรายละเอียด
ี
อย่างเป็นทางการ
‣ ด้านผู้ส่ง Layer นี้จะรับ IP Packet มาจาก IP Layer แล้วส่งไปยังโหนดที่ระบุไว้
ในเส้นทางเดินข้อมูล
‣ ด้านผู้รับก็จะทํางานในทางกลับกัน คือรับข้อมูลจากสายสือสารแล้วนําส่งให้กับ
่
IP Layer
Faculty of Information Technology
Page
8
9. Internet Layer
Internet Layer:
‣ ใช้ประเภทของระบบการสื่อสารที่เรียกว่า ระบบ packet-switching network
ซึ่งเป็นการติดต่อแบบ Connectionless (ไม่จองการเชื่อมต่อ)
‣ หลักการทํางานคือการปล่อยให้ขอมูลขนาดเล็กที่เรียกว่า แพ็กเก็ต (Packet)
้
สามารถไหลจากโหนดผู้ส่งไปตามโหนดต่างๆ ในระบบจนถึงจุดหมายปลายทาง
ได้โดยอิสระ
‣ หากว่ามีการส่งแพ็กเก็ตออกมาเป็นชุดโดยมีจุดหมายปลายทางเดียวกันใน
ระหว่าง การเดินทางในเครือข่าย แพ็กเก็ตแต่ละตัวในชุดนี้ก็จะเป็นอิสระแก่กัน
และกัน ดังนั้น แพ็กเก็ตที่สงไปถึงปลายทางอาจจะไม่เป็นไปตามลําดับก็ได้
่
Faculty of Information Technology
Page
9
10. Internet Layer: IP
IP (Internet Protocol)
‣ IP เป็นโปรโตคอลในระดับNetwork Layer ทําหน้าที่จัดการเกี่ยวกับแอดเดรส
(Address) และข้อมูล และควบคุมการส่งข้อมูลที่ใช้ในการหาเส้นทางของแพ็ก
เก็ต
‣ กลไกในการหาเส้นทางของ IP จะมีความสามารถในการหาเส้นทางที่ดทสุด และ
ี ี่
สามารถเปลี่ยนแปลงเส้นทางได้ในระหว่างการส่งข้อมูล และมีระบบการแยกและ
ประกอบดาต้าแกรม (datagram) เพื่อรองรับการส่งข้อมูลระดับ data link ที่มี
ขนาด MTU (Maximum Transmission Unit) ทีแตกต่างกัน ทําให้สามารถนํา
่
IP ไปใช้บนโปรโตคอลอื่นได้หลากหลาย เช่น Ethernet ,Token Ring หรือ
Apple Talk
Faculty of Information Technology
Page
10
11. Internet Layer: IP
IP (Internet Protocol)
‣ การเชื่อมต่อของ IP เพื่อทําการส่งข้อมูล จะเป็นแบบ connectionless หรือเกิด
เส้นทางการเชื่อมต่อในทุกๆครั้งของการส่งข้อมูล 1 datagram โดยจะไม่ทราบ
ถึง datagram ที่สงก่อนหน้าหรือส่งตามมา
่
‣ การส่งข้อมูลใน 1 datagram อาจจะเกิดการส่งได้หลายครังในกรณีทมการแบ่ง
้
ี่ ี
ข้อมูลออกเป็นส่วนย่อยๆ (fragmentation) และถูกนําไปรวมเป็น datagram
เดิมเมื่อถึงปลายทาง
Faculty of Information Technology
Page
11
30. Stateful Firewall Connection State
Directory ของการเชื่อมต่อแบบ TCP ขาออก (outbound)
Source
Destination
Address
Destination
Port
Connection
State
192.168.1.100 1030
210.9.88.29
80
Established
192.168.1.102 1031
216.32.42.123 80
Established
192.168.1.101 1033
173.66.32.122 25
Established
192.168.1.106 1035
177.231.32.12 79
Established
223.43.21.231 1990
192.168.1.6
80
Established
219.22.123.32 2112
192.168.1.6
80
Established
210.99.212.18 3321
192.168.1.6
80
Established
24.102.32.23
1025
192.168.1.6
80
Established
223.21.22.12
1046
192.168.1.6
80
Established
Source Port
Address
Faculty of Information Technology
Page
30