ระบบเครือข่ายปัจจุบันได้รับการเชื่อมต่อกับอินเทอร์เน็ตตลอด 24 ชม. การเชื่อมต่อกับอินเทอร์เน็ตนั้นทำให้ผู้ใช้อื่นที่อยู่คนละเน็ตเวิร์กซึ่งอาจจะอยู่ซีกโลกหนึ่งและเชื่อมต่อกับอินเทอร์เน็ต สามารถติดต่อสื่อสารคอมพิวเตอร์ภายในเน็ตเวิร์กเราได้ตลอดเวลาหรือในบางครั้งอาจจะมีผู้บุกรุกระบบเครือข่ายที่พยายามเจาะเข้ามาเพื่อขโมยข้อมูลสำคัญหรือโจมตีระบบ ดังนั้นเราควรมีสิ่งที่ช่วยป้องกันระบบของเราให้ปลอดภัยมากขึ้นครับ
ไฟร์วอลล์ Firewall หรือจะเรียกว่า กำแพงกั้นไฟ ช่วยสกัดกั้นเพื่อทำให้ผู้บุกรุกระบบหรือแฮกเกอร์ เข้าถึงและโจมตีระบบเครือข่ายของเรายากขึ้น โดยเราสามารถกำหนดใฟ้ไฟร์วอลล์อนุญาตเฉพาะไอพีแอดเดรสต้นทางที่เราต้องการให้เข้าถึงบริการหรือพอร์ตที่เปิดให้บริการได้เป็นยางพอร์ตเท่าที่จำเป็นเท่านั้น ครับ
ไฟร์วอลล์เป็นอุปกรณ์ที่มีไว้เพื่อป้องกันการบุกรุกระบบเครือข่าย โดยไฟร์วอลล์จะเป็นตัวคั่นกลางระหว่างเน็ตเวิร์กที่เราไม่ไว้ใจกับเน็ตเวิร์กที่เราต้องการปกป้อง ตัวอย่างของเน็ตเวิร์กที่เราไม่ไว้ใจ เช่น อินเทอร์เน็ตที่มีแฮกเกอร์อยู่เป็นจำนวนมากมาย ส่วนเน็ตเวิร์กที่เราต้องการปกป้อง อย่างเช่น เน็ตเวอร์กภายใน หน่วยงานของเรา เป็นต้น ไฟร์วอลล์ทำงานตาม กฏของไฟร์วอลล์ ที่ผู้ติดตั้งหรือผู้ดูแลระบบได้กำหนดไว้ เช่น กำหนดไว้ว่า ไม่อนุญาตให้ไอพีแอดเดรสใดๆติดต่อกับเว็บเซิร์ฟเวอร์ทางพอร์ต 80 ได้ เป็นต้น กฎของของไฟร์วอลล์นี้เราจะต้องกำหนดเป็นข้อๆหรือเป็นบรรทัด โดยส่วนใหญ่แล้วไฟร์วอลล์สำหรับหน่วยงานขนาดกลางจะมักฎอยู่ประมาณ 50-200 บรรทัด ระดับความปลอดภัยของเน็ตเวิร์กไม่ได้ขึ้นอยู่กับยี่ห้อราคาของไฟร์วอลล์แต่ขึ้นอยู่กับว่ากฎที่เราตั้งไว้นั้นรัดกุมเพียงพอหรือไม่ ดังนั้นจึงเป็นเรื่องธรรมดาที่ไฟร์วอลล์จะมีกฎเป็นจำนวนมาก แต่การที่มีกฎเป็นจำนวนมากนั้นจะส่งผลให้การทำงานของไฟร์วอลล์ช้าลง และอาจจะทำให้ผู้ออกกฎเกิดความสับสนได้ หรืออาจจะทำให้เกิดความขัดแย้งกันเองระหว่างกฎยางคู่ ดังนั้นผู้ออกแบบกฎไฟร์วอลล์ที่มีประสบการณ์จึงมักจะออกแบบกฎให้มีจำนวนบรรทัดน้อยๆแต่มีประสิทธิภาพ
่
ไฟร์วอลล์จะเชื่อมต่อกับเครือข่ายอย่างน้อย 2 เครือข่าย โดยส่วนใหญ่แล้วจะเชื่อมต่อประมาณ 3 ถึง 4 เครือข่ายย่อย โดยมันจะทำหน้าที่ส่งผ่าน แพ็กเก็ตเหมือนกับเราเตอร์ หรือนานๆครั้งเราจะเห็นไฟร์วอลล์ของบางหน่วยงานที่มีการแลกเปลี่ยนตารางเส้นทางกับเราเตอร์ แต่ทั้งนี้ทั้งนั้นขึ้นอยู่กับการออกแบบ หากเรามองภาพรวมของอินเทอร์เน็ตทั้งโลกและพิจารณาตำแหน่งที่อยู่ของเราเตอร์ต่างๆซึ่งจะมีอยู่แทบจะทุกหนทุกแห่ง แล้วกลับมามองที่ไฟร์วอลล์ของเราก็จะเห็นได้ว่าไฟร์วอลล์จะว่างอยู่ในตำแหน่งเกือบปลายสุดของเครือข่ายอินเทอร์เน็ต ซึ่งเราสามารถกำหนดให้ส่งผ่านแพ็กเก็ตโดยใช้ Static Route ได้ดังนั้นจึงไม่จำเป็นต้องแลกเปลี่ยนตารางเส้นทางกับเราเตอร์ ไฟร์วอลล์ทำหน้าที่ส่งผ่าน แพ็กเก็ตได้เหมือนกับเราเตอร์ แต่สิ่งที่ไฟร์วอลล์แตกต่างกับเราเตอร์คืออะไร คำตอบคือ ไฟร์วอลล์จะทำหน้าที่กรองแพ็กเก็ตได้ ส่วนการกำหนด ACL : Access Control List ในเราเตอร์เพื่อให้เราเตอร์สามารถกรองแพ็กเก็ตได้ คือการทำให้เราเตอร์ทำงานได้เหมือนไฟร์วอลล์นั้นเอง
การออกแบบเครือข่ายและตำแหน่งที่ตั้งของไฟร์วอลล์
สมมติว่าเน็ตเวิร์กของเราเชื่อมต่อกับอินเทอร์เน็ต และไม่มีเครื่องเซิร์ฟเวอร์ที่เปิดบริการให้ผู้ใช้จากอินเทอร์เน็ตแอ็กเซสเข้ามาใช้งาน มีแต่ผู้ใช้ภายในที่ต้องการท่องเว็บบนอินเทอร์เน็ต การออกแบบและกำหนดที่ตั้งของไฟร์วอลล์คั่นกลางได้เลย ซึ่งโดยทั่วไปแล้วเรามักจะวางไฟร์วอลล์ไว้หลังเราเตอร์ตัวที่เชื่อมต่อกับอินเทอร์เน็ต เรียกว่า เกตเวย์เราเตอร์
DMZ ( Demilitarized Zone )
พื้นที่บริเวณที่เราจะวางเครื่อง Web Server Mail Server และ DNS Server นั้นถือได้ว่าเป็นพื้นที่ที่เราลดระดับความปลอดภัยลงมา นั้นคือยอมให้เครื่องภายนอกเข้าถึงServerบนพอร์ตต่างๆได้ จึงเรียกว่า Demilitarized Zone ตัวย่อ DMZ หากจะแปลเป็นภาษาไทยก็จะแปลว่า "เขตปลอดทหาร" หลายคนอาจจะเคยเข้าผิดคิดว่า DMZ ซึ่งเป็นบริเวณที่วางเครื่องเซิร์ฟเวอร์เหล่านี้มีความปลอดภัย มากกว่า บริเวณที่วางเครื่องผู้ใช้ภายใน แต่ความจริงแล้ว DMZ มีความปลอดภัยน้อยกว่า เนื่องจากเราจะต้องเปิดพอร์ตเป็นจำนวนมากเพื่อให้ผู้ใช้จากอินเทอร์เน็ตเชื่อมต่อเข้ามาเพื่อใช้บริการของเซิร์ฟเวอร์ต่างๆได้ในทางปฏิบัติการแบ่งโซนสามารถทำได้หลากหลายแบบ เช่น การใช้ไฟร์วอลล์สองตัวต่อเชื่อมในลักษณะเป็นชั้นๆและการใช้ไฟร์วอลล์ตัวเดียวแต่เป็นไฟร์วอลล์ที่มีหลาย อินเทอร์เฟส ซึ่งแบบหลังนี้จะเป็นที่นิยมมากกว่า
การออกแบบลักษณะเป็นชั้น
การแยกโซนโดยใช้ไฟร์วอลล์หลายตัวมาเชื่อมต่อเป็นชั้นๆเหมาะสำหรับไฟร์วอลล์ที่มีเพรยง 2 อินเทอร์เฟส ผู้เชี่ยวชาญด้านความปลอดภัยที่สุด แต่ข้อเสียของวิธีนี้ก็คือ ต้องซื้อไฟร์วอลล์หลายตัวซึ่งถือว่าเป็นการลงทุนที่ค่อนข้างสูง
การใช้ไฟร์วอลล์ที่มีหลายอินเทอร์เฟส
ไฟร์วอลล์ที่มีขายตามท้องตลาดในปัจจุบัน จะมีอินเทอร์เฟส 3 หรือ 4 อินเทอร์เฟส คำว่าอินเทอร์เฟสของไฟร์วอลล์นี้ก็เปรียบเสมือนอินเทอร์เฟสของเราเตอร์ ซึ่งหลายๆคนอาจจะเรียกว่า ขา เช่น ขานอกของเราเตอร์ หรือ ขานอกของไฟร์วอลล์ ซึ่ง ขานอก ก็หมายถึง อินเทอร์เฟสที่เชื่อมต่อกับอินเทอร์เน็ตนั้นเอง ส่วนมากแล้วเรามักจะเห็นการใช้ไฟร์วอลล์เพียง 3 อินเทอร์เฟส
ซึ่งได้แก่ 1.อินเทอร์เฟสที่เชื่อมต่อฝั่งอินเทอร์เน็ต 2.อินเทอร์เฟสที่เชื่อมต่อในฝั่งผู้ใช้ภายใน และ 3.อินเทอร์เฟสที่เชื่อมต่อกับโซน DMZ
บางหน่วยงานที่ต้องการความปลอดภัยที่สูงขึ้นอาจจะมีการใช้ทั้ง 4 อินเทอร์เฟส โดยแบ่ง DMZ เป็นสองระดับความปลอดภัยคือ แบ่งให้อยู่ต่างโซนกัน เช่น แบ่งให้เป็น DMZ1 กับ DMZ2 หรือเราอาจจะให้อินเทอร์เฟสที่ 4 สำหรับแบ่งโซนให้กับเซิร์ฟเวอร์ภายใน เช่น Database Server เพื่อจำกัดสิทธิ์ให้เฉพาะผู้ใช้ภายในและบางไอพีแอดเดรสเท่านั้นที่จะสื่อสารกับ Database Server ได้ และนอกจากนั้นยังสามารถกำหนดให้เปิดเฉพาะพอร์ตที่จำเป็นได้เช่นกันครับ
ไม่มีความคิดเห็น:
แสดงความคิดเห็น