Information system security wk6-1

IT346 Information System Security
Week 6-1: Firewall (1)
ผศ.ดร.มัชฌิกา อ่องแตง

Faculty of Information Technology

Page

1

OSI v.s. TCP/IP Model
Application Layer
Presentation Layer

Application Layer

Session Layer
Transport Layer

Transport Layer

Network Layer

Internet Layer

Data Link Layer
Physical Layer

OSI Model


Host-to-Network Layer
(Network Access)

TCP/IP Model

Page

2

ความรู้พื้นฐานเกี่ยวกับ โปรโตคอล TCP/IP
TCP/IP (Transmission Control Protocol/ Internet Protocol) เป็น
ชุดของโปรโตคอลที่ถูกใช้ในการสื่อสารผ่านเครือข่ายอินเทอร์เน็ต
‣ โปรโตคอลมาตรฐานทีใช้สื่อสารจากต้นทางข้ามเครือข่ายไปยังปลายทาง
่
‣ สามารถหาเส้นทางที่จะส่งข้อมูลไปได้เองโดยอัตโนมัติ ถึงแม้ว่าในระหว่างทาง

อาจจะผ่านเครือข่ายที่มีปัญหา โปรโตคอลก็ยังคงหาเส้นทางอื่นในการส่งผ่าน
ข้อมูลไปให้ถึงปลายทางได้


Page

3

TCP/IP Protocol
TCP/IP มีจุดประสงค์ของการสื่อสารตามมาตรฐาน สามประการคือ
‣ เพื่อใช้ติดต่อสือสารระหว่างระบบที่มีความแตกต่างกัน
่
‣ ความสามารถในการแก้ไขปัญหาที่เกิดขึ้นในระบบเครือข่าย เช่นในกรณีที่ผู้สง
่

และผู้รับยังคงมีการติดต่อกันอยู่ แต่โหนดกลางทีใช้เป็นผู้ช่วยรับ-ส่งเกิดเสียหาย
ใช้การไม่ได้ หรือสายสื่อสารบางช่วงถูกตัดขาด กฎการสือสารนีจะต้องสามารถ
่
้
จัดหาทางเลือกอื่นเพื่อทําให้การสื่อสารดําเนินต่อไปได้โดยอัตโนมัติ
‣ มีความคล่องตัวต่อการสื่อสารข้อมูลได้หลายชนิดทังแบบทีไม่มความเร่งด่วน เช่น
้
่ ี
การจัดส่งแฟ้มข้อมูล และแบบที่ต้องการรับประกันความเร่งด่วนของข้อมูล เช่น
การสื่อสารแบบ real-time และทั้งการสื่อสารแบบเสียง (Voice) และข้อมูล
(data)


Page

4

TCP/IP Model
Layer


Protocol Example

Page

5

Encapsulation


Page

6

Encapsulation
ข้อมูลที่ผ่านการ Encapsulate ในแต่ละ Layer มีชื่อเรียกแตกต่างกัน ดังนี้
‣ ข้อมูลที่มาจาก User หรือก็คอข้อมูลที่ User เป็นผู้ป้อนให้กับ Application
ื
‣
‣

‣

‣

เรียกว่า User Data
เมื่อแอพพลิเคชั่นได้รับข้อมูลจาก user ก็จะนํามาประกอบกับส่วนหัวของ
แอพพลิเคชั่น เรียกว่า Application Data และส่งต่อไปยังโปรโตคอล TCP
เมื่อโปรโตคอล TCP ได้รับ Application Data ก็จะนํามารวมกับ Header ของ
โปรโตคอล TCP เรียกว่า TCP Segment และส่งต่อไปยังโปรโตคอล IP
เมื่อโปรโตคอล IP ได้รับ TCP Segment ก็จะนํามารวมกับ Header ของ
โปรโตคอล IP เรียกว่า IP Datagram และส่งต่อไปยัง Host-to-Network
Layer
ในระดับ Host-to-Network จะนํา IP Datagram มาเพิ่มส่วน Error
Correction และ flag เรียกว่า Ethernet Frame ก่อนจะแปลงข้อมูลเป็น
สัญญาณไฟฟ้า ส่งผ่านสายสัญญาณที่เชื่อมโยงอยู่ต่อไป


Page

7

Host-to-Network Layer
Host-to-Network Layer: โฮสต์

เครือข่าย

‣ โพรโตคอลสําหรับการควบคุมการสื่อสารใน layer นี้ไม่มการกําหนดรายละเอียด
ี

อย่างเป็นทางการ
‣ ด้านผู้ส่ง Layer นี้จะรับ IP Packet มาจาก IP Layer แล้วส่งไปยังโหนดที่ระบุไว้
ในเส้นทางเดินข้อมูล
‣ ด้านผู้รับก็จะทํางานในทางกลับกัน คือรับข้อมูลจากสายสือสารแล้วนําส่งให้กับ
่
IP Layer


Page

8

Internet Layer
Internet Layer:
‣ ใช้ประเภทของระบบการสื่อสารที่เรียกว่า ระบบ packet-switching network

ซึ่งเป็นการติดต่อแบบ Connectionless (ไม่จองการเชื่อมต่อ)
‣ หลักการทํางานคือการปล่อยให้ขอมูลขนาดเล็กที่เรียกว่า แพ็กเก็ต (Packet)
้
สามารถไหลจากโหนดผู้ส่งไปตามโหนดต่างๆ ในระบบจนถึงจุดหมายปลายทาง
ได้โดยอิสระ
‣ หากว่ามีการส่งแพ็กเก็ตออกมาเป็นชุดโดยมีจุดหมายปลายทางเดียวกันใน
ระหว่าง การเดินทางในเครือข่าย แพ็กเก็ตแต่ละตัวในชุดนี้ก็จะเป็นอิสระแก่กัน
และกัน ดังนั้น แพ็กเก็ตที่สงไปถึงปลายทางอาจจะไม่เป็นไปตามลําดับก็ได้
่


Page

9

Internet Layer: IP
IP (Internet Protocol)
‣ IP เป็นโปรโตคอลในระดับNetwork Layer ทําหน้าที่จัดการเกี่ยวกับแอดเดรส

(Address) และข้อมูล และควบคุมการส่งข้อมูลที่ใช้ในการหาเส้นทางของแพ็ก
เก็ต
‣ กลไกในการหาเส้นทางของ IP จะมีความสามารถในการหาเส้นทางที่ดทสุด และ
ี ี่
สามารถเปลี่ยนแปลงเส้นทางได้ในระหว่างการส่งข้อมูล และมีระบบการแยกและ
ประกอบดาต้าแกรม (datagram) เพื่อรองรับการส่งข้อมูลระดับ data link ที่มี
ขนาด MTU (Maximum Transmission Unit) ทีแตกต่างกัน ทําให้สามารถนํา
่
IP ไปใช้บนโปรโตคอลอื่นได้หลากหลาย เช่น Ethernet ,Token Ring หรือ
Apple Talk


Page

10

Internet Layer: IP
IP (Internet Protocol)
‣ การเชื่อมต่อของ IP เพื่อทําการส่งข้อมูล จะเป็นแบบ connectionless หรือเกิด

เส้นทางการเชื่อมต่อในทุกๆครั้งของการส่งข้อมูล 1 datagram โดยจะไม่ทราบ
ถึง datagram ที่สงก่อนหน้าหรือส่งตามมา
่
‣ การส่งข้อมูลใน 1 datagram อาจจะเกิดการส่งได้หลายครังในกรณีทมการแบ่ง
้
ี่ ี
ข้อมูลออกเป็นส่วนย่อยๆ (fragmentation) และถูกนําไปรวมเป็น datagram
เดิมเมื่อถึงปลายทาง


Page

11

Internet Layer: ICMP
ICMP (Internet Control Message Protocol)
่
‣ ICMP เป็นโปรโตคอลทีใช้ในการตรวจสอบและรายงานสถานภาพของดาต้าแกรม
(Datagram) ในกรณีที่เกิดปัญหากับ datagram เช่น Router ไม่สามารถส่ง
datagram ไปถึงปลายทางได้
‣ ICMP จะถูกส่งออกไปยัง Host ต้นทางเพื่อรายงานข้อผิดพลาด ที่เกิดขึ้น
‣ ไม่มีอะไรรับประกันได้ว่า ICMP Message ทีสงไปจะถึงผู้รับจริงหรือไม่ หากมีการ
่่
ส่ง datagram ออกไปแล้วไม่มี ICMP Message ฟ้อง Error กลับมา ก็แปล
ความหมายได้สองกรณีคือ ข้อมูลถูกส่งไปถึงปลายทางอย่างเรียบร้อย หรืออาจจะ
มีปัญหา ในการสื่อสารทังการส่ง datagram และ ICMP Message ที่สงกลับมาก็
้
่
มีปัญหาระว่างทางก็ได้
‣ ICMP จึงเป็นโปรโตคอลทีไม่มีความน่าเชื่อถือ (unreliable) แต่เป็นหน้าที่ของ
่
โปรโตคอลในระดับสูงกว่า Network Layer ในการสร้างความน่าเชื่อถือให้การ
สื่อสารนั้นๆ

Page

12

Transport Layer
Transport Layer : ชั้นสื่อสารนําส่งข้อมูล
แบ่งเป็น Protocol 2 ชนิด
Transmission Control Protocol (TCP)
‣ เป็นแบบที่มีการจองช่วงการเชื่อมต่อตลอดระยะเวลาการสือสาร (connection่
oriented) ซึ่งจะยอมให้มีการส่งข้อมูลเป็นแบบ Byte stream ทีไว้ใจได้โดยไม่มี
่
ข้อผิดพลาด
‣ ข้อมูลที่มีปริมาณมากจะถูกแบ่งออกเป็นส่วนเล็กๆ เรียกว่า message ซึ่งจะถูก
ส่งไปยังผู้รับผ่าน Internet Layer ทางฝ่ายผู้รับจะนํา message มาเรียงต่อกัน
ตามลําดับเป็นข้อมูลตัวเดิม
‣ TCP ยังมีความสามารถในการควบคุมการไหลของข้อมูล (Flow Control) เพื่อ
ป้องกันไม่ให้ผสง ส่งข้อมูลเร็วเกินกว่าที่ผู้รับจะทํางานได้ทันอีกด้วย
ู้ ่

Page

13

Transport Layer
UDP (User Datagram Protocol)
‣ เป็นการติดต่อแบบไม่การจองช่วงการเชื่อมต่อ (connectionless)
‣ มีการตรวจสอบความถูกต้องของข้อมูลแต่จะไม่มีการแจ้งกลับไปยังผู้สง จึงถือได้
่
ว่าไม่มีการตรวจสอบความถูกต้องของข้อมูล
‣ มีข้อดีในด้านความรวดเร็วในการส่งข้อมูล จึงนิยมใช้ในระบบผู้ให้และผูใช้บริการ
้
(client/server system) ซึ่งมีการสือสารแบบ ถาม/ตอบ (request/reply)
่
นอกจากนั้นยังใช้ในการส่งข้อมูลประเภทภาพเคลื่อนไหวหรือการส่งเสียง
(voice) ทางอินเทอร์เน็ต


Page

14

Application Layer
Application Layer: โพรโตคอลที่ทํางานร่วมกับแอพพลิเคชั่น เช่น
Telnet: โพรโตคอลสําหรับสร้างจอเทอร์มินลเสมือน
ั
‣ ช่วยให้ผู้ใช้สามารถติดต่อกับ เครื่อง Host ที่อยูไกลออกไปโดยผ่านอินเทอร์เน็ต
่
และสามารถทํางานได้เสมือนกับว่ากําลังนังทํางานอยูที่เครื่อง Host นั้น
่
่
FTP: โพรโตคอลสําหรับการจัดการแฟ้มข้อมูล
‣ FTP ช่วยในการคัดลอกแฟ้มข้อมูลมาจากเครื่อง อื่นที่อยู่ในระบบเครือข่ายหรือ
ส่งสําเนาแฟ้มข้อมูลไปยังเครืองใดๆก็ได้
่

SMTP: โพรโตคอลสําหรับการให้บริการจดหมายอิเล็กทรอนิกส์
ี
‣ SMTP ช่วยในการจัดส่งข้อความไปยัง ผู้ใช้ในระบบ หรือรับข้อความที่มผู้ส่งเข้า
มา

Page

15

ทําไมต้องมี Firewall?
ปัจจุบันเครือข่ายอินเทอร์เน็ตเติบโตอย่างรวดเร็ว เครือข่ายขององค์กรจําเป็นที่
จะต้องต่อเข้ากับอินเทอร์เน็ตเพื่อทีจะใช้ในการติดต่อสือสารและแลกเปลี่ยนข้อมูล
่
่
แต่อินเทอร์เน็ตนั้นเป็นเครือข่ายสาธารณะ ดังนัน จะมีทงคนดีและไม่ดี และการ
้
ั้
รักษาความปลอดภัยนั้นมีความจําเป็นมากสําหรับองค์กร
การใช้ Firewall นั้นก็เพื่อให้ผู้ใช้ทอยู่ภายในสามารถใช้บริการเครือข่ายภายในได้
ี่
เต็มที่ และใช้บริการเครือข่ายภายนอกได้ ในขณะที่ Firewall จะป้องกันไม่ให้ผใช้
ู้
ภายนอกเข้ามาใช้บริการเครือข่ายที่อยู่ข้างในได้ แพ็กเก็ตที่วิ่งระหว่างเครือข่าย
จะต้องผ่าน Firewall ก่อน

Firewall ทําหน้าที่ควบคุมการใช้เครือข่ายได้โดยอนุญาตหรือไม่อนุญาตให้แพ็ก
เก็ตผ่านได้ ซึงแพ็กเก็ตที่อนุญาตให้ผ่านหรือไม่นน ขึนอยู่กับนโยบายการรักษา
่
ั้ ้
ความปลอดภัยของเครือข่าย

Page

16

หลักการทํางานของ Firewall
Firewall เป็นคอมโพเนนต์ (Component) หรือกลุ่มของคอมโพเนนต์ โดย
ที่คอมโพเนนต์นั้นอาจจะเป็น เราเตอร์ คอมพิวเตอร์ หรือเน็ตเวิร์ก ประกอบ
กันก็ได้
Firewall บังคับใช้นโยบายการรักษาความปลอดภัยระหว่างเครือข่าย เพื่อ
ควบคุมการเข้าถึงระหว่าง
‣ เน็ตเวิร์กภายนอกหรือเน็ตเวิร์กที่คิดว่าไม่ปลอดภัย กับ
‣ เน็ตเวิร์กภายในหรือเน็ตเวิร์กที่ต้องการจะป้องกัน


Page

17

หลักการทํางานของ Firewall
การทํางานของ Firewall ประกอบด้วย 2 กลไก
‣ อนุญาตให้แพ็กเก็ต (packet) ผ่าน
‣ ไม่อนุญาตให้แพ็กเก็ตผ่าน

การควบคุมการเข้าถึงของ Firewall นั้น สามารถทําได้ในหลายระดับและ
หลายรูปแบบขึ้นอยู่ชนิดหรือเทคโนโลยีของ Firewall ที่นํามาใช้
‣ เช่น เราสามารถกําหนดได้ว่าจะให้มีการเข้ามาใช้เซอร์วิสอะไรได้บ้าง จากที่ไหน

เป็นต้น


Page

18

ประเภทของ Firewall
Firewall สามารถแบ่งได้เป็นหลายประเภท ขึ้นอยู่กับเกณฑ์ที่ใช้แบ่ง
แบ่งตามรูปแบบการไหลของข้อมูลผ่าน Firewall
Network-based firewall
‣ ป้องกันเครือข่ายภายในจากภัยคุกคามจากภายนอก โดยการเฝ้าระวังข้อมูล
สื่อสาร (traffic) ที่วิ่งเข้ามาและออกจากเครือข่าย
• Software-based firewall
• Hardware-based firewall

Host-based firewall หรือ Personal firewall
้
‣ ป้องกันคอมพิวเตอร์แต่ละเครื่องจากภัยคุกคามทางเครือข่ายที่เครื่องนันเชื่อมต่อ
อยู่เท่านั้น

Page

19

แบ่งโดยใช้ Layer การทํางานของ Firewall
1.) Packet filtering firewall
‣ เราเตอร์ (Router) ที่ทําการหาเส้นทางและส่งต่อ (route) อย่างมีเงื่อนไข โดย
พิจารณาจากข้อมูลส่วนที่อยูใน header ของแพ็กเก็ตที่ผ่านเข้ามา เทียบกับกฎ
่
(rules) ที่กําหนดไว้และตัดสินว่าควรจะทิง (drop) แพ็กเก็ตนั้นไปหรือว่าจะยอม
้
(accept) ให้แพ็กเก็ตนั้นผ่านไปได้
2.) Stateful inspection firewall
‣ เป็นเทคโนโลยีที่เพิ่มเข้าไปใน Packet Filtering โดยในการพิจารณาว่าจะยอมให้
แพ็กเก็ตผ่านไปนั้น นอกจากจะดูข้อมูลจาก Header แล้ว ยังนําเอาส่วนข้อมูลของ
แพ็กเก็ต (message content) และข้อมูลทีได้จากแพ็กเก็ตก่อนหน้านี้ทได้ทําการ
่
ี่
บันทึกเอาไว้ นํามาพิจารณาด้วย ทําให้สามารถระบุได้ว่าแพ็กเก็ตใดเป็นแพ็กเก็ตที่
ติดต่อเข้ามาใหม่ หรือว่าเป็นส่วนหนึงของการเชื่อมต่อที่มีอยูแล้ว
่
่

Page

20

3.) Application layer firewall
‣ บางทีเรียกว่า Application Gateway เป็นแอพพลิเคชันที่ทํางานอยู่บน
Firewall ที่ตั้งอยู่ระหว่างเน็ตเวิร์ก 2 เน็ตเวิร์ก
‣ เพิ่มความปลอดภัยของระบบเน็ตเวิร์กโดยการควบคุมการเชื่อมต่อระหว่างเน็ต
เวิร์กภายในและภายนอก
‣ Application Gateway จะช่วยเพิ่มความปลอดภัยได้มากเนื่องจากมีการ
ตรวจสอบข้อมูลถึงในระดับของแอพพลิเคชันเลเยอร์ (Application Layer)


Page

21

Packet Filtering Firewall

โดยปกติแล้ว Router ได้รับแพ็กเก็ตมา ก็จะตรวจสอบ IP address ของเครื่อง
ปลายทาง จากนั้นก็จะดู Routing Table เพื่อค้นหาเส้นทางที่จะส่ง
การกรองแพ็กเก็ต (Packet Filtering) ของ firewall จะทําก่อนที่จะส่งผ่านแพ็ก
เก็ตนี้ แพ็กเก็ตจะถูกกรองตามรายการควบคุมการเข้าถึง (Access Control List –
ACL)
แต่ละรายการของ ACL จะประกอบด้วย Field ของ Header ของ IP แพ็กเก็ต และ
เงื่อนไขการอนุญาต ว่าอนุญาตหรือไม่อนุญาตให้ผ่าน

Page

22

ถ้าแพ็กเก็ตที่เข้ามาไม่ตรงกับกฎข้อใดเลย Firewall จะทําอย่างไร
‣ ถ้าไม่มีกฎข้อใดที่ไม่ได้เขียนว่าอนุญาตให้ผ่าน ถือว่าห้าม
‣ ถ้าไม่มีกฎข้อใดที่ไม่ได้เขียนว่าห้ามผ่าน ให้ถือว่าอนุญาต

ข้อมูลที่ใช้ในการพิจารณาว่าจะให้แพ็กเก็ตผ่านหรือไม่นั้น ประกอบด้วย
‣
‣
‣
‣
‣

Source IP address (ไอพีต้นทาง)
Destination IP Address (ไอพีปลายทาง)
Protocol Type (ชนิดของโปรโตคอล)
Source port (พอร์ตต้นทาง)
Destination port (พอร์ตปลายทาง)


Page

23

หลักการทํางานของ Packet Filtering จะพิจารณาแพ็กเก็ต TCP เพื่อ
ตรวจสอบว่า
‣
‣
‣
‣

แพ็กเก็ตนั้นมี Address ที่ถูกต้องหรือไม่
แพ็กเก็ตนั้นถูกส่งมาจากเครือข่ายภายนอกหรือไม่
โปรโตคอลหรือเซอร์วิสนั้นผ่านการตรวจสอบแล้วหรือไม่
ออปชันทีส่งมานั้นถูกต้องตามข้อกําหนดหรือไม่
่


Page

24

ข้อดี
‣ นํามาใช้งานง่าย มีการทํางานทีไม่ซับซ้อน
่
‣ ทํางานได้อย่างรวดเร็ว ไม่กระทบต่อผู้ใช้งาน (transparent)

ข้อจํากัด
ุ่
‣ ไม่สามารถป้องกันการโจมตีที่มงใช้ประโยชน์จากช่องโหว่ของ function หรือ
application ได้
• Packet filter firewalls ไม่พิจารณาข้อมูลบนชั้นที่เหนือขึ้นไป หาก application

ใดได้รับอนุญาตให้เชื่อมต่อผ่าน firewall ทุก function ใน application นั้นๆก็
สามรถใช้งานการเชื่อมต่อดังกล่าวได้
‣ มีการเก็บข้อมูลที่จํากัด
• Logs ที่ได้เก็บเฉพาะข้อมูลที่ใช้ในการตัดสินใจสําหรับ access control (source
address, destination address, and traffic type)

Page

25

ข้อจํากัด (ต่อ)
‣ ไม่รองรับการจัดการสิทธิ์การใช้งานของผู้ใช้ขั้น
‣ ไม่ป้องกันการโจมตีทมสาเหตุจากจุดอ่อนของ TCP/IP
ี่ ี
• ไม่สามารถตรวจจับ packet ที่มีการปลอม/เปลี่ยน address ในระดับ Layer 3 ได้
‣ การกําหนดค่าที่ผิดพลาดจะนําไปสูช่องโหว่ที่อันตรายได้
่


Page

26

Stateful Inspection Firewall
Packet filter กรอง packet ด้วยการตัดสินใจโดยใช้ข้อมูลจาก packet
เดี่ยวๆ ไม่มีการใช้ข้อมูลจากสิ่งแวดล้อมในการทํางานในระดับบนเข้ามา
พิจารณา
‣ โดยปกติแล้ว เครื่อง clients ใช้พอร์ตหมายเลขสูงๆ (1024 to 65535) ในการ

เชื่อมต่อผ่าน TCP ไปยังเครือง server ดังนั้น packet filtering firewall จึง
่
ต้องอนุญาตการเชื่อมต่อขาเข้า (inbound traffic) เข้ามายังพอร์ตหมายเลข
สูงๆเหล่านีได้ เพื่อรองรับ TCP traffic
้

มีหลักการทํางานทุกอย่างเหมือนกับแพ็กเก็ต Packet Filtering Firewall
แต่มีส่วนที่เพิ่มขึ้นมาคือ จะบันทึกข้อมูลเกี่ยวกับ Connection ที่เกิดขึ้นใน
State Table ก่อนที่จะส่งแพ็กเก็ตนี้ต่อ

Page

27

Stateful Inspection Firewall มีกฏการควบคุมการเชื่อมต่อที่เข้มงวด
มากขึ้นสําหรับ TCP traffic โดยสร้าง directory ที่เก็บการเชื่อมต่อขาออก
(Outbound) ของ TCP connection เอาไว้
State Table จะใช้สําหรับการบันทึกข้อมูลของแต่ละ Connection ที่
เกิดขึ้น โดยปกติจะเก็บ Source Address, Destination addresses,
Protocol type, Port number และ Flag
‣ มีการบันทึกการเชื่อมต่อที่กําลังเกิดขึ้นไว้ (1 การเชื่อมต่อ เก็บ 1 รายการ)
‣ อนุญาตการเชื่อมต่อขาเข้า (incoming traffic) มายังพอร์ตหมายเลขสูงๆ

เฉพาะเมื่อ packet เหล่านั้นสอดคล้องกับ profile ของรายการใดรายการหนึ่ง
ใน state table
‣ แต่มี Firewall บางยี่ห้อจะเก็บ Sequence Number เพิ่มด้วย เพื่อใช้ในการ
ตรวจสอบ แพ็กเก็ตที่กําลังเข้ามาและป้องกันการทํา Session Hijacking

Page

28

Firewall ตรวจสอบข้อมูลของ packet เช่นเดียวกับ packet filtering
firewall แต่เพิ่มการเก็บข้อมูลเกี่ยวกับ TCP connection ด้วย
‣ บันทึก TCP sequence numbers เพื่อ

ป้องกันการโจมตีที่อาศัย sequence
number เช่น session hijacking
‣ ตรวจสอบข้อมูลสําหรับ protocols เช่น
FTP, IM และคําสังของโปรโตคอล SIPS
่
เพื่อระบุการเชื่อมต่อและ track การ
เชื่อมต่อที่เกี่ยวข้องกัน


Page

29

Stateful Firewall Connection State
Directory ของการเชื่อมต่อแบบ TCP ขาออก (outbound)
Source

Destination
Address

Destination
Port

Connection
State

192.168.1.100 1030

210.9.88.29

80

Established

192.168.1.102 1031

216.32.42.123 80

Established

192.168.1.101 1033

173.66.32.122 25

Established

192.168.1.106 1035

177.231.32.12 79

Established

223.43.21.231 1990

192.168.1.6

80

Established

219.22.123.32 2112

192.168.1.6

80

Established

210.99.212.18 3321

192.168.1.6

80

Established

24.102.32.23

1025

192.168.1.6

80

Established

223.21.22.12

1046

192.168.1.6

80

Established

Source Port
Address


Page

30

Application Layer Firewall
บางทีเรียกว่า Proxy Firewall หรือ Application Gateway
เป็น โปรแกรมที่รันบนระบบปฏิบัติการทั่วไป หรือ อาจเป็นฮาร์ดแวร์ที่ติดตั้ง
ซอฟต์แวร์พร้อมใช้งานแล้วก็ได้
Firewall จะมีระบบป้องกันเครือข่าย (Network Guard) หลายอันเพื่อ
สําหรับเชื่อมต่อกับเครือข่ายต่างๆ
นโยบายรักษาความปลอดภัยจะเป็นสิ่งกําหนด
ว่า Traffic (ข้อมูลสื่อสาร) ใดสามารถถ่ายโอน
ระหว่างเครือข่ายใดได้บ้าง
ใน Application Layer Firewall นั้น
ทุกๆ โปรโตคอลที่อนุญาตให้ผ่านได้จะต้องมี
Proxy สําหรับโปรโตคอลนั้นๆ

Page

31


เมื่อ Client ต้องการใช้ Service ภายนอก Client จะทําการติดต่อไปยัง Proxy
ก่อน Client จะเจรจากับ Proxy เพื่อให้ Proxy ติดต่อไปยังเครืองปลายทางให้
่
เมื่อ Proxy ติดต่อไปยังเครื่องปลายทางให้แล้วจะมี connection 2 อัน คือ Client
กับ Proxy และ Proxy กับเครื่องปลายทาง โดยที่ Proxy จะทําหน้าทีรับข้อมูลและ
่
ส่งต่อข้อมูลให้ใน 2 ทิศทาง ทั้งนี้ Proxy จะทําหน้าที่ในการตัดสินใจว่าจะให้มีการ
เชื่อมต่อกันหรือไม่ จะส่งต่อแพ็กเก็ตให้หรือไม่

Page

32

สําหรับ Application Layer Firewall นี้ ทุกๆ การเชื่อมต่อจะสิ้นสุดที่
Firewall โดย Firewall จะตรวจสอบกับนโยบายรักษาความปลอดภัยว่าจะ
อนุญาตให้ Traffic นี้ผ่านหรือไม่
‣ ถ้าอนุญาต firewall จะสร้างการเชื่อมต่อกับ server แทน client เอง

Application Layer Firewall ยังสามารถควบคุมการเชื่อมต่อจากภายนอก
เข้ามาภายในได้เช่นกัน ดังนั้น firewall จึงสามารถป้องกันการโจมตี
เครือข่ายในระดับ application ได้ แต่ตัว firewall เอง จะต้องมีความ
ปลอดภัยจากการโจมตีด้วย


Page

33

Information system security wk6-1

Recommended

Recommended

More Related Content

Viewers also liked

Viewers also liked (7)

Similar to Information system security wk6-1

Similar to Information system security wk6-1 (20)

Information system security wk6-1