เรื่อง กำหนดการรักษาความปลอดภัยและการปรับแต่งระบบ

ปรับแต่งการทำงานของไฟร์วอล์

 

         ไฟร์วอล คือระบบรักษาความปลอดภัยบนเครือข่ายที่ใช้เทคโนโลยีอิน เทอร์เน็ต รวมทั้งอินทราเน็ต และเอ็กซ์ทราเน็ตโดยไฟร์วอลล์จะถูกติด ตั้งคั่นกลางระหว่างเครือข่ายภายใน (“เครือข่ายที่ได้รับความไว้วางใจ” หรือ Trusted Network) ที่ต้องการป้องกันกับเครือข่ายอื่นภายนอก (“เครือข่ายที่ไม่ได้รับความไว้วางใจ” หรือ Untrusted Network) เช่น ระหว่างเครือข่ายภายในขององค์กรกับอินเทอร์เน็ต หรือระหว่างเครือ ข่ายของหน่วยงานย่อยภายในองค์กรกับเครือข่ายของหน่วยงานอื่น ๆ ภายในองค์กรเดียวกัน (เช่น ระหว่างเครือข่ายของฝ่ายทรัพยากรบุคคล กับเครือข่ายกลางของบริษัท) เพื่อทำหน้าที่ตรวจสอบข้อมูลที่ส่งผ่านเข้า ออกจากเครือข่ายว่าได้รับสิทธิในการผ่านนั้นหรือไม่ ตามกฎเกณฑ์ ความปลอดภัยที่ผู้ดูแลเครือข่ายภายในกำหนดเอาไว้ได้จากจุดเดียวช่วย ให้ทำการดูแลระบบเครือข่ายได้อย่างมีประสิทธิภาพ

ประเภทของไฟร์วอลล์ ไฟร์วอลล แบ่งออกเป็น 3 ประเภท คือ

1. Packet Filtering

2. Application Gateway

3. Stateful Inspection 

ความสามารถของไฟร์วอลล์

1. การกำหนดและตรวจสอบสิทธิในการผ่านเข้าออก (Access Control)

ผู้ดูแลเครือข่ายภายในสามารถกำหนดให้การใช้งานบางอย่างสามารถผ่านเข้า หรือออกเครือข่ายภายในได้ และในขณะเดียวกันป้องกันการคุกคามความปลอด ภัยได้ โดยสามารถกำหนดให้มีการเตือนเมื่อมีการคุกคาม เช่น คุณอาจกำหนด ให้ผู้ใช้ภายในส่งข้อมูลออกไปยังภายนอกได้ แต่ไม่ยอมให้ดูเว็บไซท์ ผู้ใหญ่ อย่าง www.playboy.com ในขณะเดียวกันยอมให้ผู้ใช้งานเว็บจากภายนอกเข้า มาดูข้อมูลบนเว็บไซท์ขององค์การได้ แต่ไม่สามารถเข้าถึงเซิร์ฟเวอร์อื่น ๆ ภาย ในได้โดยหากมีความต้องการเข้าถึงข้อมูลนอกเหนือจากนี้ให้สงสัยอาจเป็นการ คุมคามและให้มีการเตือนเพื่อให้ผู้ดูแลระบบสามารถป้องกันหรือจัดการกับผู้ บุก รุกต่อไปได้ ดังในรูป

2. การตรวจสอบผู้ใช้ ( Authentication ) 

ผู้ใช้จากภายนอก ซึ่งอาจเป็นบุคคลอื่นนอกองค์กรของคุณที่ได้รับอนุญาต เช่น พันธมิตรทางธุรกิจ หรืออาจเป็นเจ้าหน้าที่ขององค์กรของคุณที่ทำงานจาก ระยะไกล (Telecommuters) สามารถเชื่อมต่อจากภายนอกเพื่อเข้ามาใช้งานข้อมูลเฉพาะอย่างบน เครือข่ายภายในได้ โดยผู้ใช้จากภายนอกจะต้องผ่านการตรวจสอบก่อน เช่น การให้ป้อน ชื่อผู้ใช้และรหัสผ่าน ดังในรูปที่ 2 หรืออาจใช้วิธีตรวจสอบที่รัดกุมยิ่งขึ้น เช่น การใช้บัตรแถบ แม่เหล็กหรือสมาร์ทการ์ดและรหัสผ่าน การตรวจสอบลายนิ้วมือ ลายมือ หรือ ลายม่านตา เป็นต้น โดยไฟร์วอลล์จะส่งต่อการตรวจสอบไปยังเซิร์ฟเวอร์ตรวจสอบผู้ใช้ (Authentication Server) หากผ่านการตรวจสอบจึงจะเปิดทางให้ผู้ใช้คนนั้นเข้าถึงข้อมูลได้

3. การเข้ารหัสข้อมูล

เราสามารถใช้อินเทอร์เน็ตในการเชื่อมต่อสำนักงานที่อยู่ห่างไกล หรือในต่าง ประเทศแทนการต่อเป็นเครือข่ายส่วนตัวขององค์กร (Private Network) ด้วย วงจรเช่า (Leased Line) ได้ ช่วยให้องค์กรสามารถประหยัดค่าใช้จ่ายลงได้ และมีความคล่อง ตัวกว่ามาก แต่ผู้ไม่หวังดีอาจดักฟังหรือลักลอบอ่านการสื่อสารภายในองค์กรที่ ที่เป็นความลับได้ไฟร์วอลล์หลาย ๆ ตัวสามารถทำการเข้ารหัสการสื่อสารภายในองค์กร ข้ามอินเทอร์เน็ตได้ เปรียบเสมือนการสร้างอุโมงค์ (Tunnel) เพื่อให้สามารถทำการสื่อสาร กับสำนักงานแห่งอื่น ๆ ขององค์กรได้โดยไม่ต้องกลัวว่าความลับภายในจะรั่วไหล ในขณะที่ยังคงสามารถป้องกันการบุกรุกจากภายนอก ได้เช่นเดิม ทำให้องค์กรสามารถมีเครือข่ายส่วนตัวเสมือน ขององค์กร (Virtual Private Network หรือ VPN) ได้ นอกจากนี้การเข้ารหัส ข้อมูลยังใช้ได้กับการเชื่อมต่อของเจ้าหน้าที่ขององค์กรที่ทำงานจสกระยะไกล ได้อีกด้วย แต่หากเป็นผู้ดักฟังไม่สามารถผ่านการตรวจสอบ ผู้ใช้ ก็จะไม่สามารถอ่านข้อมูลที่ถูกเข้ารหัสไว้

4. การแปลงเลขที่อยู่ไอพี ( Network Address Translation หรือ NAT ) 

บางองค์กรอาจมีการใช้งานโปรโตคอลทีซีพี/ไอพีอยู่แล้วก่อนที่จะเชื่อมต่อ เข้ากับอินเทอร์เน็ต โดยเลข ที่อยู่ไอพีที่ใช้ในกรณีนี้องค์กรมักจะกำหนดขึ้นเอง โดยไม่ได้ใช้เลขที่อยู่ไอพีที่ใช้ในกรณีนี้องค์กรมักจะ กำหนดขึ้นเองโดยไม่ใช้เลขที่อยู่ไอพีจริงที่ลงทะเบียน หากต้องการเชื่อมต่อกับ อินเทอร์เน็ต เลขที่อยู่ไอดีเดิมเหล่านี้จะที่อยู่ไอดีเดิมเหล่านี้จะไม่สามารถใช้งานได้ แต่ด้วยความสามารถของไฟร์วอลล์บางตัวที่แลปงเลขที่อยู่ไอพีภายในทั้งหมดเป็น เลขที่อยู่ไอพีจริงค่าหนึ่งที่เตรียมเอาไว้ก่อนเชื่อมเข้าสู่อินเทอร์เน็ต ได้ดังในรูป ช่วย ให้องค์กรไม่ต้องไล่เปลี่ยนเลขที่อยู่ไอพีของคอมพิวเตอร์และอุปกรณ์เครือ ข่ายภายในที่มีอยู่เดิมทุก ตัว ทำให้ไม่ต้องใช้เลขที่อยู่ไอพีจริงในการเพิ่มเครื่องคอมพิวเตอร์ลงไปในเครือ ข่ายภายในต่อไปในอนาคตซึ่งเป็นประโยชน์อย่างสำ หรับองค์กรที่มีเลขที่อยู่ไอพีจริงอยู่ในจำนวนจำกัด นอกจากนี้ยังเป็นการซ่อนเลขที่อยู่ไอพีภายในไม่ให้มองเห็นได้จากภายนอกอีก ด้วย

5. การตรวจสอบข้อมูลจากอินเตอร์เน็ต ( Content Security ) 

สิ่งที่ท้ายทายต่อการรักษาความปลอดภัยบนอินเทอร์เน็ตเกิดขึ้นใหม่ทุก ๆ วันเช่น ไวรัส คอมพิวเตอร์พันธุ์ใหม่ รหัสคำสั่งที่สามารถทำงานได้ เช่น แมโคร และ จาวา หรือ แอคดีฟ เอ็กซ์ของเว็บไซท์ที่ไม่หวังดี เป็นต้น ไฟร์วอลล์บางตัวสามารถตรวจสอบข้อมูลที่ผ่าน เข้าออกของโปรโตคอล HTTP, SMTP และ FTP ก่อนส่งให้กับผู้ใช้ภายในจะช่วยป้อง ป้องกันผู้ใช้จากสิ่งเหล่านี้ได้ และยังสามารถทำงานร่วมกับซอฟต์แวร์เซิร์ฟเวอร์ตรวจสอบ ข้อมูลและไวรัสตัวอื่น ๆ ที่มีโปรโตคอล Content Vectoring Protocol (CVP) เช่น การ ตรวจสอบ URL และการตรวจสอบไวรสได้อีกด้วย ยกตัวอย่างเช่น ไฟร์วอลล์สามารถสิ่งที่แนบ มากับอีเมล์ไปให้เซิร์เวอร์ป้องกันไวรัสตรวจสอบก่อน หากพบไวรัสไปเก็บไว้ บนเซอร์เวอร์เมล รอผู้ใช้เข้ามาอ่านต่อไป ดังในรูป

6. การจัดสมดุลย์การใช้งานเซิร์ฟเวอร์ ( Server Load Balancing ) 

ในกรณีที่มีความต้องการใช้งานเซิร์ฟเวอร์บางตัวมากจนทำให้เซอร์ฟเวอร์ เพียง เครื่องเดียวไม่สามารถรับไหวและจำเป็นต้องเพิ่มจำนวนเซิร์ฟเวอร์ให้มากขึ้น ไฟร์วอลล์บางตัวตัวมีความสามารถที่จะจัดสมดุลย์การใช้งานกลุ่มเซิร์ฟเวอร์ ที่ ทำหน้าที่เหมือนกันเหล่านี้ เพื่อให้ระยะเวลาตอบสนองต่อผู้ใช้ดีขึ้นได้ ดังในรูปไฟร์วอลล์จะทำหน้าที่จัดส่งคำขอใช้งานเซิร์ฟเวอร์จากผู้ใช้ไปยัง เซิร์ฟเวอร์ตัวที่ ว่างที่สุด ซึ่งผู้ใช้จะมองเห็นเหือนกับมีเซิร์ฟเวอร์ที่ประสิทธิภาพสูงเพียงอย่างเดียว

ปรับแต่งการใช้งาน Internet Explorer