อธิบายไฟร์วอลล์ 8 ประเภท


ทุกคนเข้าใจฟังก์ชันพื้นฐานของไฟร์วอลล์ – เพื่อปกป้องเครือข่ายของคุณจากมัลแวร์และการเข้าถึงที่ไม่ได้รับอนุญาต แต่ข้อมูลเฉพาะเจาะจงที่แท้จริงของวิธีการทำงานของไฟร์วอลล์นั้นไม่ค่อยมีใครรู้จัก

ไฟร์วอลล์ คืออะไรกันแน่? ไฟร์วอลล์ประเภทต่างๆ ทำงานอย่างไร และที่สำคัญที่สุดคือ ไฟร์วอลล์ประเภทใดดีที่สุด

ไฟร์วอลล์ 101

พูดง่ายๆ ว่าไฟร์วอลล์เป็นเพียงจุดสิ้นสุดเครือข่ายอื่น สิ่งที่ทำให้มันพิเศษคือความสามารถในการสกัดกั้นและสแกนการรับส่งข้อมูลขาเข้าก่อนที่จะเข้าสู่เครือข่ายภายใน ซึ่งบล็อกผู้ไม่ประสงค์ดีไม่ให้เข้าถึงได้

การตรวจสอบความถูกต้องของการเชื่อมต่อแต่ละครั้ง การซ่อน IP ปลายทางจากแฮกเกอร์ และแม้แต่การสแกนเนื้อหาของแต่ละแพ็กเก็ตข้อมูล - ไฟร์วอลล์ทำได้ทั้งหมด ไฟร์วอลล์ทำหน้าที่เป็นจุดตรวจสอบ โดยควบคุมประเภทการสื่อสารที่อนุญาตอย่างระมัดระวัง

ไฟร์วอลล์กรองแพ็คเก็ต

ไฟร์วอลล์กรองแพ็กเก็ตเป็นเทคโนโลยีไฟร์วอลล์ที่ใช้งานง่ายและใช้ทรัพยากรน้อยที่สุด แม้ว่าจะไม่เป็นที่นิยมในปัจจุบัน แต่ก็เป็นส่วนสำคัญของการป้องกันเครือข่ายในคอมพิวเตอร์เครื่องเก่า

ไฟร์วอลล์กรองแพ็คเก็ตทำงานที่ระดับแพ็คเก็ต โดยสแกนแต่ละแพ็คเก็ตขาเข้าจากเราเตอร์เครือข่าย แต่จริงๆ แล้วมันไม่ได้สแกนเนื้อหาของแพ็กเก็ตข้อมูล – แค่ส่วนหัวเท่านั้น ซึ่งช่วยให้ไฟร์วอลล์สามารถตรวจสอบข้อมูลเมตา เช่น ที่อยู่ต้นทางและปลายทาง หมายเลข ท่าเรือ ฯลฯ

ดังที่คุณอาจสงสัย ไฟร์วอลล์ประเภทนี้ไม่ได้มีประสิทธิภาพมากนัก สิ่งที่ไฟร์วอลล์กรองแพ็คเก็ตสามารถทำได้คือลดปริมาณการรับส่งข้อมูลเครือข่ายที่ไม่จำเป็นตามรายการควบคุมการเข้าถึง เนื่องจากเนื้อหาของแพ็กเก็ตไม่ได้ถูกตรวจสอบ มัลแวร์จึงยังสามารถทะลุผ่านได้

เกตเวย์ระดับวงจร

อีกวิธีหนึ่งที่ประหยัดทรัพยากรในการตรวจสอบความถูกต้องของการเชื่อมต่อเครือข่ายคือเกตเวย์ระดับวงจร แทนที่จะตรวจสอบส่วนหัวของแพ็กเก็ตข้อมูลแต่ละรายการ เกตเวย์ระดับวงจรจะตรวจสอบเซสชันเอง

ขอย้ำอีกครั้งว่าไฟร์วอลล์ลักษณะนี้จะไม่ผ่านเนื้อหาของการส่งสัญญาณ ทำให้เสี่ยงต่อการโจมตีที่เป็นอันตราย ตามที่กล่าวไว้ การตรวจสอบการเชื่อมต่อ Transmission Control Protocol (TCP) จากเลเยอร์เซสชันของโมเดล OSI ใช้ทรัพยากรน้อยมาก และสามารถปิดการเชื่อมต่อเครือข่ายที่ไม่พึงประสงค์ได้อย่างมีประสิทธิภาพ.

นี่คือเหตุผลว่าทำไมเกตเวย์ระดับวงจรจึงมักถูกสร้างไว้ในโซลูชันการรักษาความปลอดภัยของเครือข่ายส่วนใหญ่ โดยเฉพาะซอฟต์แวร์ไฟร์วอลล์ เกตเวย์เหล่านี้ยังช่วยปกปิดที่อยู่ IP ของผู้ใช้ด้วยการสร้างการเชื่อมต่อเสมือนสำหรับทุกเซสชัน

ไฟร์วอลล์การตรวจสอบสถานะ

ทั้งไฟร์วอลล์กรองแพ็คเก็ตและเกตเวย์ระดับวงจรเป็นการใช้งานไฟร์วอลล์แบบไร้สถานะ ซึ่งหมายความว่าพวกมันทำงานบนชุดกฎแบบคงที่ ซึ่งจำกัดประสิทธิภาพ ทุกแพ็กเก็ต (หรือเซสชัน) ได้รับการปฏิบัติแยกกัน ซึ่งช่วยให้ดำเนินการตรวจสอบขั้นพื้นฐานเท่านั้น

 ในทางกลับกัน Stateful Inspection Firewall จะคอยติดตามสถานะของการเชื่อมต่อ พร้อมด้วยรายละเอียดของทุกแพ็กเก็ตที่ส่งผ่านไฟร์วอลล์นั้น ด้วยการตรวจสอบการจับมือ TCP ตลอดระยะเวลาของการเชื่อมต่อ ไฟร์วอลล์การตรวจสอบ stateful จึงสามารถรวบรวมตารางที่มีที่อยู่ IP และหมายเลขพอร์ตของต้นทางและปลายทาง และจับคู่แพ็กเก็ตขาเข้ากับชุดกฎแบบไดนามิกนี้

<ส>8

ด้วยเหตุนี้ จึงเป็นเรื่องยากที่จะแอบเข้าไปในแพ็กเก็ตข้อมูลที่เป็นอันตรายผ่านไฟร์วอลล์การตรวจสอบสถานะ ในทางกลับกัน ไฟร์วอลล์ประเภทนี้มีต้นทุนทรัพยากรที่สูงกว่า ทำให้ประสิทธิภาพช้าลง และสร้างโอกาสให้แฮกเกอร์ใช้การโจมตีแบบปฏิเสธการให้บริการแบบกระจาย (DDoS) กับระบบ

ไฟร์วอลล์พร็อกซี

ที่รู้จักกันดีในชื่อเกตเวย์ระดับแอปพลิเคชัน พร็อกซีไฟร์วอลล์ทำงานที่เลเยอร์ด้านหน้าของโมเดล OSI ซึ่งเป็นเลเยอร์แอปพลิเคชัน เนื่องจากเลเยอร์สุดท้ายแยกผู้ใช้ออกจากเครือข่าย เลเยอร์นี้ช่วยให้สามารถตรวจสอบแพ็กเก็ตข้อมูลได้อย่างละเอียดและมีราคาแพงที่สุด โดยแลกกับประสิทธิภาพการทำงาน

คล้ายกับเกตเวย์ระดับวงจร พร็อกซีไฟร์วอลล์ทำงานโดยการแทรกแซงระหว่างโฮสต์และไคลเอนต์ ซึ่งทำให้ที่อยู่ IP ภายในของพอร์ตปลายทางสับสน นอกจากนี้ เกตเวย์ระดับแอปพลิเคชันยังทำการตรวจสอบแพ็กเก็ตเชิงลึกเพื่อให้แน่ใจว่าจะไม่มีการรับส่งข้อมูลที่เป็นอันตรายเข้ามาได้

และแม้ว่ามาตรการทั้งหมดเหล่านี้จะช่วยเพิ่มความปลอดภัยของเครือข่ายได้อย่างมาก แต่ก็ทำให้การรับส่งข้อมูลขาเข้าช้าลงด้วย ประสิทธิภาพของเครือข่ายได้รับผลกระทบเนื่องจากการตรวจสอบที่ใช้ทรัพยากรมากซึ่งดำเนินการโดยไฟร์วอลล์ที่มีสถานะเช่นนี้ ทำให้ไม่เหมาะกับแอปพลิเคชันที่คำนึงถึงประสิทธิภาพ.

ไฟร์วอลล์ NAT

ในการตั้งค่าการประมวลผลหลายๆ แบบ สิ่งสำคัญของการรักษาความปลอดภัยทางไซเบอร์คือการรับประกันเครือข่ายส่วนตัว โดยปกปิดที่อยู่ IP แต่ละรายการของอุปกรณ์ไคลเอนต์จากทั้งแฮกเกอร์และผู้ให้บริการ ตามที่เราได้เห็นแล้วว่า สามารถทำได้โดยใช้ไฟร์วอลล์พร็อกซีหรือเกตเวย์ระดับวงจร

วิธีที่ง่ายกว่ามากในการซ่อนที่อยู่ IP คือการใช้ไฟร์วอลล์ Network Address Translation (NAT) ไฟร์วอลล์ แนท ไม่จำเป็นต้องใช้ทรัพยากรระบบจำนวนมากในการทำงาน ทำให้เป็นไฟร์วอลล์ระหว่างเซิร์ฟเวอร์และเครือข่ายภายใน

ไฟร์วอลล์แอปพลิเคชันเว็บ

เฉพาะไฟร์วอลล์เครือข่ายที่ทำงานที่เลเยอร์แอปพลิเคชันเท่านั้นที่สามารถทำการสแกนแพ็คเก็ตข้อมูลเชิงลึก เช่น ไฟร์วอลล์พร็อกซี หรือที่ดีกว่าคือไฟร์วอลล์แอปพลิเคชันเว็บ (WAF)

การทำงานจากภายในเครือข่ายหรือโฮสต์ WAF จะผ่านข้อมูลทั้งหมดที่ส่งโดยเว็บแอปพลิเคชันต่างๆ เพื่อให้แน่ใจว่าไม่มีรหัสที่เป็นอันตรายเข้ามา สถาปัตยกรรมไฟร์วอลล์ประเภทนี้เชี่ยวชาญด้านการตรวจสอบแพ็กเก็ตและให้ความปลอดภัยที่ดีกว่าไฟร์วอลล์ระดับพื้นผิว

ไฟร์วอลล์คลาวด์

ไฟร์วอลล์แบบเดิม ทั้งไฟร์วอลล์แบบฮาร์ดแวร์และซอฟต์แวร์ ไม่ได้มีการขยายขนาดที่ดีนัก จะต้องติดตั้งโดยคำนึงถึงความต้องการของระบบ โดยเน้นที่ประสิทธิภาพการรับส่งข้อมูลสูงหรือความปลอดภัยการรับส่งข้อมูลเครือข่ายต่ำ

แต่ไฟร์วอลล์คลาวด์มีความยืดหยุ่นมากกว่ามาก ไฟร์วอลล์ประเภทนี้ใช้งานจากระบบคลาวด์เป็นพร็อกซีเซิร์ฟเวอร์ เพื่อดักรับส่งข้อมูลเครือข่ายก่อนที่จะเข้าสู่เครือข่ายภายใน ให้สิทธิ์แต่ละเซสชันและตรวจสอบแต่ละแพ็กเก็ตข้อมูลก่อนที่จะอนุญาต

ส่วนที่ดีที่สุดคือไฟร์วอลล์ดังกล่าวสามารถปรับขนาดขึ้นและลงในความจุได้ตามต้องการ โดยปรับระดับการรับส่งข้อมูลขาเข้าที่แตกต่างกัน นำเสนอในรูปแบบบริการบนคลาวด์ โดยไม่จำเป็นต้องใช้ฮาร์ดแวร์และได้รับการดูแลโดยผู้ให้บริการเอง

ไฟร์วอลล์ยุคถัดไป

Next-Generation อาจเป็นคำที่ทำให้เข้าใจผิด อุตสาหกรรมที่ใช้เทคโนโลยีทั้งหมดชอบที่จะพูดถึงคำศัพท์ประเภทนี้ แต่จริงๆ แล้วมันหมายความว่าอย่างไร? คุณลักษณะประเภทใดที่ทำให้ไฟร์วอลล์มีคุณสมบัติเหมาะสมที่จะได้รับการพิจารณาให้เป็นรุ่นถัดไป

ตามความเป็นจริง ไม่มีคำจำกัดความที่เข้มงวด โดยทั่วไป คุณสามารถพิจารณาโซลูชันที่รวมไฟร์วอลล์ประเภทต่างๆ ไว้ในระบบรักษาความปลอดภัยที่มีประสิทธิภาพเพียงระบบเดียวให้เป็น Next-Generation Firewall (NGFW) ไฟร์วอลล์ดังกล่าวมีความสามารถในการตรวจสอบแพ็กเก็ตเชิงลึกในขณะเดียวกันก็หลีกเลี่ยงการโจมตี ดีดอส ทำให้มีการป้องกันแฮกเกอร์หลายชั้น.

ไฟร์วอลล์ยุคใหม่ส่วนใหญ่มักจะรวมโซลูชันเครือข่ายหลายตัว เช่น VPN, ระบบป้องกันการบุกรุก (IPS) และแม้แต่โปรแกรมป้องกันไวรัสเข้าไว้ในแพ็คเกจอันทรงพลังชุดเดียว แนวคิดก็คือการนำเสนอโซลูชั่นที่สมบูรณ์ซึ่งจัดการกับช่องโหว่ของเครือข่ายทุกประเภท โดยให้ความปลอดภัยเครือข่ายที่สมบูรณ์ ด้วยเหตุนี้ NGFW บางตัวจึงสามารถถอดรหัสการสื่อสาร Secure Socket Layer (SSL) ได้เช่นกัน ทำให้สามารถสังเกตเห็นการโจมตีที่เข้ารหัสได้เช่นกัน

ไฟร์วอลล์ประเภทใดดีที่สุดในการปกป้องเครือข่ายของคุณ?

สิ่งที่เกี่ยวกับไฟร์วอลล์ก็คือไฟร์วอลล์ประเภทต่างๆ ใช้วิธีการที่แตกต่างกันไปที่ ปกป้องเครือข่าย

ไฟร์วอลล์ที่ง่ายที่สุดเพียงตรวจสอบสิทธิ์เซสชันและแพ็กเก็ต โดยไม่ทำอะไรกับเนื้อหา ไฟร์วอลล์เกตเวย์เป็นเรื่องเกี่ยวกับการสร้างการเชื่อมต่อเสมือนและการป้องกันการเข้าถึงที่อยู่ IP ส่วนตัว ไฟร์วอลล์เก็บสถานะติดตามการเชื่อมต่อผ่านการแฮนด์เชค TCP โดยสร้างตารางสถานะพร้อมข้อมูล

จากนั้นก็มีไฟร์วอลล์ Next-Generation ซึ่งรวมกระบวนการทั้งหมดข้างต้นเข้ากับการตรวจสอบแพ็กเก็ตเชิงลึกและคุณสมบัติการป้องกันเครือข่ายอื่นๆ มากมาย เห็นได้ชัดว่า NGFW จะทำให้ระบบของคุณมีการรักษาความปลอดภัยที่ดีที่สุดเท่าที่จะเป็นไปได้ แต่นั่นไม่ใช่คำตอบที่ถูกต้องเสมอไป

ขึ้นอยู่กับความซับซ้อนของเครือข่ายของคุณและประเภทของแอปพลิเคชันที่ใช้งานอยู่ ระบบของคุณอาจจะดีกว่าด้วยโซลูชันที่ง่ายกว่าซึ่งป้องกันการโจมตีที่พบบ่อยที่สุดแทน แนวคิดที่ดีที่สุดอาจเป็นเพียงใช้บริการ third-party Cloud ไฟร์วอลล์ โดยถ่ายโอนการปรับแต่งอย่างละเอียดและการบำรุงรักษาไฟร์วอลล์ไปยังผู้ให้บริการ

.

กระทู้ที่เกี่ยวข้อง:


2.03.2022