บทที่ 6 : firewall part3 › uploads › 5 › 3 › 5 › 8 › ... · : linux firewall...

บทท 6 : Firewall Part3สธ412 ความมนคงของระบบสารสนเทศ

อาจารยอภพงศ ปงยศ

apipong.ping@gmail.com

Outline

ผลตภณฑไฟรวอลล

Linux Firewall

Check Point Firewall–1

ขอพจารณาในการเลอกซอไฟรวอลล

Host-based or Network-based

Hardware or Software

ฟเจอรทส าคญของไฟรวอลล

2

ผลตภณฑไฟรวอลล

ผลตภณฑไฟรวอลลทมขายตามทองตลาดมมากมายหลายยหอ ในหวขอนจะกลาวถงผลตภณฑไฟรวอลลทไดรบความนยม เชน

Linux Firewall : iptables

Check Point Firewall–1

3

ผลตภณฑไฟรวอลล: Linux Firewall : iptables

ลนกซเปนระบบปฏบตการโอเพนซอรสทไดรบความนยมอยางมาก เพราะไมตองเสยคาลขสทธ

ไฟรวอลลทตดมากบลนกซ คอ iptables ซงสามารถท า Packet Filtering และ NAT ได

ไฟรวอลล iptables พฒนาอยภายใตโครงการ netfilter.org

4

www.netfilter.org5

ผลตภณฑไฟรวอลล: Linux Firewall : iptables [2]

ฟเจอรทส าคญPacket Filtering (IPv4 และ IPv6)

Stateful Packet Filtering (IPv4)

รองรบ NAT และ NAPT (Network Address and Port Translation)

ปกตแลวการตงคาไฟรวอลลบนลนกซจะใชค าสงแบบ Command Line ซงยากตอการใชงาน จงมโปรแกรมแบบ GUI ชวยใหการใชงานงายยงขน เชน firewall builder บนเวบไซต www.fwbuilder.org

6

ผลตภณฑไฟรวอลล: Check Point Firewall-1

เปนไฟรวอลลทไดรบความนยมมากอกตวหนง สามารถปองกนการโจมตไดอยางมประสทธภาพ

สามารถตรวจสอบแพคเกตไดตงแตระดบเนตเวรคไปจนถงชนแอพพลเคชน

มฟเจอรทส าคญ เชน ระบบควบคมการเขาถง การตรวจสอบเนอหาขอมล การพสจนทราบตวตนผใช รองรบการท า NAT และ VPN ฯลฯ

7

เวบไซตของบรษท Check Point8

ขอพจารณาในการเลอกซอไฟรวอลล

ไฟรวอลลปกตจะมโครงสรางงายๆ ท าหนาทกรองแพคเกตทวงผานเครอขาย และตดสนใจวาจะใหแพคเกตนนๆผานไปไดหรอไมโดยการตรวจดเฮดเดอรของแพคเกตในเลเยอร 3 และ 4

ไฟรวอลลระดบสงจะสามารถกรองแพคเกตในระดบแอพพลเคชนได ซงจะสามารถก าจดสแปมเมล ไวรส หรอเนอหาทไมเหมาะสมได

9

ขอพจารณาในการเลอกซอไฟรวอลล [2]

ไฟรวอลลในปจจบนจะท าหนาทมากกวา “ยาม” คอมการเพมฟเจอรใหมๆเขามา ซงบางฟเจอรกไมใชฟงกชนของไฟรวอลลโดยตรง เชน VPN, Gateway, Web Cache

ไฟรวอลลแบบมลตฟงกชนน เปนทแพรหลายอยางมากในปจจบน

10

ขอพจารณาในการเลอกซอไฟรวอลล: Host-based or Network-based

Host-based Firewall หรอ Personnal Firewall มหลกการท างานงายๆ ท าหนาทปกปองคอมพวเตอรเครองใดเครองหนง

Network-based Firewall สามารถปกปองคอมพวเตอรภายในเครอขายไดหลายเครอง สวนใหญจ าท าไดเพยง Packet Filtering ฒนอยมากทกรองแพคเกตระดบแอพพลเคชนได

11

ขอพจารณาในการเลอกซอไฟรวอลล: Host-based or Network-based [2]

Enterprise Firewall ออกแบบมาส าหรบเครอขายขนาดใหญและซบซอน แตมราคาแพงกวาสองแบบแรกมาก มฟเจอรชนสง เชน

VPN

บรหารจดการไฟรวอลลหลายๆเครองไดจากทเดยว

Traffic Monitoring

ก าหนดนโยบายไปยงแตละยสเซอรได

มความนาเชอถอสง

12

ขอพจารณาในการเลอกซอไฟรวอลล: Host-based or Network-based [3]

ราคาของ Host-based Firewall อาจอยประมาณหลกพนบาท สวน Enterprise Firewall อาจสงถงหลกลาน

ไฟรวอลลทนยมส าหรบองคกรทวไปจะอยประมาณหาหมนถงสองแสนบาท แตจะมคาใชจายเพมขนหากตองการซอฟเจอรอนๆเพม

การจะเลอกใชไฟรวอลลประเภทใดๆ ควรดจากบรบทขององคกร นโยบาย และคาใชจายเปนหลก

13

ขอพจารณาในการเลอกซอไฟรวอลล: Hardware or Software Firewall

ค าวาฮารดแวรไฟรวอลลและซอฟตแวรไฟรวอลลเปนค าทใชแบงแยกระหวางไฟรวอลลทตดตงมากอนบนฮารดแวรเฉพาะ กบซอฟตแวรไฟรวอลลทตดตงไดกบระบบปฏบตการทวไป

ขอดของฮารดแวรไฟรวอลลคอผใชไมตองกงวลเกยวกบการตดตงซอฟตแวรและการคอนฟกตางๆ สวนขอเสยคอเราจะตองผกตดกบผลตภณฑของบรษทนนเพยงบรษทเดยว

14

Software Firewall และ Hardware Firewall15

ขอพจารณาในการเลอกซอไฟรวอลล: ฟเจอรทส าคญของไฟรวอลล

สงทควรพจารณาในการเลอกซอไฟรวอลล คอ

เราตองการซอฟตแวรไฟรวอลลหรอฮารดแวรไฟรวอลล

ในองคกรมความตองการใชงานพรอมกนกคน

มความตองการเชอมตอ VPN พรอมกนกคน และจะใช VPN โปรโตคอลใดบาง

ตองการเชอมตอเขากบ SharePoint Server หรอไม

16

ขอพจารณาในการเลอกซอไฟรวอลล: ฟเจอรทส าคญของไฟรวอลล [2]

ตองการใช User Interface แบบ Command Line หรอ GUI หรอ Web-based ซงขนอยกบชอบและความสามารถของ Admin

ตองการไฟรวอลลทมความเชอถอไดสงหรอไม

17

ขอพจารณาในการเลอกซอไฟรวอลล: ฟเจอรทส าคญของไฟรวอลล [3]

ฟเจอรทอาจตองจายเงนเพม เชน

Web Caching

ระบบบรหารจากศนยกลางและรายงานตางๆ

Spam Filtering หรอ URL Filtering

Load Balancing หรอ Failover

การสแกนไวรส

18

ขอพจารณาในการเลอกซอไฟรวอลล: ฟเจอรทส าคญของไฟรวอลล [4]

สงทควรพจารณาอกอยางหนงคอ “ทรพต” (Throughput) หมายถงอตราการถายโอนขอมล

ไฟรวอลลทมกระบวนการรกษาความปลอดภยทมากเกนไปจะสงผลใหทรพตต า ซงสงผลตอประสทธภาพโดยรวมของระบบ

19