ອຸປະກອນ Firewall
ອຸປະກອນ Firewall ແມ່ນອຸປະກອນທີ່ເຮັດໜ້າທີ່ໃນການຮັກສາຄວາມປອດໄພໃຫ້ກັບລະບົບເນັດເວີກສາມາດປ້ອງກັນບໍ່ໃຫ້ລະບົບຖືກໂຈມຕີໂດຍຜູ້ບໍ່ປະສົງດີ ນອກຈາກນີ້ຍັງສາມາດເຮັດວຽກເປັນ Router ໄປພ້ອມໆກັນ
ຄວາມຮູ້ພື້ນຖານກ່ຽວກັບໄຟວໍ (Firewall)
ປະຈຸບັນອິນເຕີເນັດມີບົດບາດສຳຄັນຕໍ່ການດຳເນີນກິດຈະກຳຕ່າງໆ ເຊັ່ນ: ດ້ານການຕິດຕໍ່ສື່ສານ ທຸລະກິດ ການສຶກສາ ຫຼື ດ້ານການບັນເທິ່ງ ອົງກອນຕ່າງໆ ທັງພາກລັດ ແລະ ເອກະຊົນ ລ້ວນແລ້ວແຕ່ນຳເອົາເນັດເວີກຂອງຕົນເຊື່ອມຕໍ່ເຂົ້າກັບອິນເຕີເນັດເພື່ອໃຫ້ໄດ້ຮັບປະໂຫຍດ ແຕ່ຕ້ອງລະມັດລະວັງເມື່ອມີການເຊື່ອມຕໍ່ກັບອິນເຕີເນັດ ເຮັດໃຫ້ເປີດຊ່ອງທາງໃຫ້ໃຜ່ກໍ່ໄດ້ສາມາດເຂົ້າມາຍັງເນັດເວີກນັ້ນໆໄດ້ ແລ້ວບັນຫາທີ່ຕາມມາກໍ່ຄືຄວາມປອດໄພຂອງລະບົບເນັດເວີກເຊັ້ນ: ເຮັດໃຫ້ເກີດຄວາມສ່ຽງຕໍ່ການຖືກເຈາະລະບົບ ແລະ ຖືກລັກຂໍ້ມູນເປັນຕົ້ນ.
ຈາກບັນຫາທີ່ກ່າວມາຈຳເປັນຕ້ອງມີລະບົບເຂົ້າຊ່ວຍໃນການຮັກສາຄວາມປອດໄພນັ້ນກໍ່ຄື ຟາຍວໍເຊິ່ງມີທັງແບບ Software ແລະ Hardware ເຊິ່ງເຮັດໜ້າທີ່ໃນການກັນຕອງຜູ້ໃຊ້ງານ ແລະ ແພັກເກັດຂໍ້ມູນທີ່ເຂົ້າມາໃນລະບົບວ່າຖືກຕ້ອງຫຼືບໍ່ ເຊິ່ງທຸກການໃຊ້ງານຈະແລນຜ່ານໄຟວໍກ່ອນຈິ່ງເຂົ້າມາພາຍໃນ
ສິ່ງທີ່ໄຟວໍຊ່ວຍໄດ້
- ບັງຄັບໃຊ້ນະໂຍບາຍດ້ານຄວາມປອດໄພ ໂດຍການກຳໜົດກົດໃຫ້ກັບໄຟວໍວ່າຈະອະນຸຍາດຫຼືຈະປິດການໃຊ້ງານໃດ
- ເຮັດໃຫ້ການພິຈາລະນາແລະການຕັດສິນໃຈດ້ານຄວາມປອດໄພຂອງລະບົບເປັນໄປໄດ້ງ່າຍຂື້ນເນື່ອງຈາກການຕິດຕໍ່ທຸກຊະນິດກັບເນັດເວີກພາຍນອກຈະຕ້ອງຜ່ານລະບົບການດູແລຄວາມປອດໄພໃນລະດັບເນັດເວີກ (Network-based Security).
- ບັນທຶກຂໍ້ມູນກິດຈະກຳຕ່າງໆທີ່ຜ່ານເຂົ້າ-ອອກໄດ້ເປັນຢ່າງດີ
- ສາມາດປ້ອງກັນໄວລັດໄດ້
ສິ່ງທີໄຟວໍບໍ່ສາມາດຊວ່ຍໄດ້
- ອັນຕະລາຍທີ່ເກີດຈາກເນັດເວີກພາຍໃນ ບໍ່ສາມາດປ້ອງກັນໄດ້ເນື່ອງຈາກຢູ່ພາຍໃນເນັດເວີກເອງ ບໍ່ໄດ້ຜ່ານໄຟວໍເຂົ້າມາ
- ອັນຕະລາຍຈາກພາຍນອກທີ່ບໍ່ໄດ້ຜ່ານໄຟວໍເຂົ້າມາເຊັ່ນ:ການ Dial-up ເຂົ້າມາເນັດເວີກພາຍໃນໂດຍກົງ
- ອັນຕະລາຍຈາກວິທີການໃໝ່ໆທີ່ເກີດຂື້ນ ທຸກມື້ມີການພົບຊ່ອງໂຫວ່ໃໝ່ໆເກີດຂື້ນທຸກມື້ ເຮົາບໍ່ສາມາດໄວ້ໃຈໄຟວໍໂດຍການຕິດຕັ້ງພຽງຄັ້ງດຽວ ເຊິ່ງຈຳເປັນຕ້ອງມີການເບິ່ງແຍງຢ່າງຕໍ່ເນື່ອງສະໝຳສະເໝີ
- ໄວລັດ ເຖິ່ງຈະມີບາງຊະນິດປ້ອງກັນໄວລັດໄດ້ ແຕ່ຍັງບໍ່ມີຊະນິດໃດສາມາດກວດສອບໄວລັດໄດ້ທູກ Protocol
ຊະນິດຂອງໄຟວໍ
ເຊິ່ງຈະແບ່ງຕາມເທັກໂນໂລຍີທີ່ໃຊ້ໃນການກວດສອບແລະຄວບຄຸມດັ່ງນີ້:
- Packet Filtering
- Proxy Service
- Stateful Inspection
Packet Filtering ແມ່ນ Router ທີ່ຫາເສັ້ນທາງແລະສົ່ງຕໍ່ໄປຍັງເສັ້ນທາງຢ່າງມີເງື່ອນໄຂໂດຍພິຈາລະນາຈາກຂໍ້ມູນ ແພັກເກັດທີ່ຜ່ານເຂົ້າ ເພື່ອສົມທຽບກັບເງື່ອນໄຂທີ່ກຳໜົດໄວ້ ແລະ ຕັດສິນຈະຕັດຖີ້ມ(Drop) ຫຼື ຈະຍອມຮັບ(Accept) ແພັກເກັດນັ້ນ ໃນການພິຈາລະນາ Packet Filter ຈະກວດສອບໃນລະດັບ Network Layer ແລະ Transport Layer
- Network Layer
- IP ຕົ້ນທາງ
- IP ປາຍທາງ
- ຊະນິດຂອງ Protocol(TCP UDP ICMP)
- Transport Layer
- Port ຕົ້ນທາງ
- Port ປາຍທາງ
ຂໍ້ດີ – ຂໍ້ເສຍ ຂອງ Packet Filtering
- ຂໍ້ດີ
- ບໍ່ຂື້ນກັບ Application
- ມີຄວາມໄວສູງ
- ຮອງຮັບການຂະຫຍາຍຕົວໄດ້ດີ
- ຂໍ້ເສຍ
- ບາງໂປຼໂຕຄອນ ບໍ່ເໝາະສົມກັບການໃຊ້ Packet Filtering ເຊັ່ນ: FTP,ICQ
Proxy Service
Proxy ຫຼື Application Gateway ເປັນເຮັດວຽກຢູ່ໄຟວໍທີ່ຕັ້ງຢູ່ລະຫວ່າງກາງຂອງ 2 ເນັດເວີກ ເຮັດໜ້າທີ່ເພີ່ມຄວາມປອດໄພໃຫ້ກັບລະບົບເນັດເວີກໂດຍການຄວບຄຸມການເຊື່ອມຕໍ່ລະຫວາງເນັດເວີກພາຍໃນ ແລະ ພາຍນອກ Proxy ຈະຊ່ວຍໄດ້ຫຼາຍໆເນື່ອງຈາກມີການກວດສອບຂໍ້ມູນຮອດລະດັບ Application Layer.
ເມື່ອເຄື່ອງ Client ຕ້ອງການໃຊ້ບໍລິການພາຍນອກ ແມ່ນຕ້ອງມີການຕິດຕໍ່ໄປຫາ Proxy ກ່ອນ ແລ້ວຈະຮ້ອງຂໍກັບ Proxy ເພື່ອໃຫ້ຕິດຕໍ່ໄປຫາເຄື່ອງປາຍທາງໃຫ້ ເມື່ອ Proxy ຕິດຕໍ່ໄປຫາເຄື່ອງປາຍທາງໃຫ້ແລ້ວຈະມີການເຊື່ອມຕໍ່ 2 ຈູດຄື: Client ກັບ Proxy ແລະ Proxy ກັບ ເຄື່ອງປາຍທາງໃນນີ່ Proxy ຈະເຮັດໜ້າທີ່ໃນການຕັດສີນໃຈວ່າຈະໃຫ້ມີການເຊື່ອມຕໍ່ຫຼືບໍ, ຈະສົ່ງຕໍ່ແພັກເກັດໃຫ້ຫຼືບໍ
ຂໍ້ດີ ແລະ ຂໍ້ເສຍ Proxy
- ຂໍ້ດີ:
- ມີຄວາມປອດໄພສູງ
- ຮູ້ຈັກຂໍ້ມູນໃນລະດັບ Application
- ຂໍ້ເສຍ
- ປະສິດທິພາບຕ່ຳ
- ແຕ່ລະບໍລິການມັກຈະຕ້ອງການໂປຼເຊສ໌
- ການຂະຫຍາຍລະບົບຄ້ອນຂ້າງມີບັນຫາ
Stateful Inspection
ເປັນເທັກໂນໂລຍີທີ່ເພີ່ມເຂົ້າມາໃນ Packet Filtering ໂດຍການກວດສອບຈະເຊັກສະເພາະສ່ວນຂອງ header ຂອງແຕ່ລະPacket ເທົ່ານັ້ນ Stateful Inspection ຈະນຳເອົາສ່ວນຂໍ້ມູນແພັກເກັດ (Message Content) ແລະ ຂໍ້ມູນທີ່ໄດ້ຮັບກ່ອນໜ້ານີ້ທີ່ໄດ້ບັນທຶກໄວ້ອອກມາກວດສອບອີກຈິງຈະສາມາດລະບຸໄດ້ວ່າແພັກເກັດໃດທີ່ຕິດຕໍ່ເຂົ້າມາໃໝ່ຫຼືວ່າເປັນສ່ວນໜືງຂອງການເຊື່ອມຕໍ່ທີ່ມີຢູ່ແລ້ວເປັນຕົ້ນ.