Credit by Suthee Sirisutthidecha Instructor, IT Faculty, RSU, THAILAND

1. Firewall
Presented by
Suthee Sirisutthidecha
Instructor, IT Faculty
13 July 2013 suthee sirisutthidecha 1

2. Firewall
คือ องค์ประกอบส่วนหน่งึของเครือข่าย ทาหนา้ที่
ตรวจสอบข้อมูลที่ผ่านเข้าออกระหว่างระบบเครือข่ายภายใน
องค์กรกับเครือข่ายภายนอก (ที่ไม่น่าไว้วางใจ) เพื่อป้องกันภัย
คุกคามทางเครือข่าย โดยไม่ให้ผู้ที่ไม่ได้รับอนุญาตเข้ามาใช้งานใน
ระบบ รวมทั้งป้องกันการโจมตีในรูปแบบต่างๆ
2

3. Firewall
• เหตุหลักที่มีการใช้ Firewall นั้นก็เพื่อให้ผู้ที่อยู่ภายในเครือข่าย
สามารถใช้บริการเครือข่ายภายในได้อย่างเต็มที่ และยังสามารถใช้
บริการเครือข่ายภายนอก เช่น อินเทอร์เน็ต ได้ด้วยเช่นกัน
• ในขณะเดียวกัน Firewall ก็จะป้องกันไม่ให้ผู้ใช้ภายนอกที่ไม่ได้รับ
อนุญาตเข้ามาใช้บริการเครือข่ายที่อยู่ภายในได้
3

4. Firewall
• การที่เครือข่ายองค์กรเชื่อมต่อโดยตรงกับอินเทอร์เน็ตโดยที่ไม่มี
Firewall เป็นการเปิดช่องโหว่ให้เครือข่ายองค์กรถูกโจมตีหรือบุก
รุกได้โดยง่าย
• เช่น ในเครือข่ายองค์กรหน่งึมีโฮสต์หรือเซิรฟ์เวอร์เป็นร้อยๆ
เครื่อง ถ้าผู้บุกรุกเครือข่ายสามารถเจาะเข้าเครื่องใดเครื่องหน่งึได้
ต่อไปก็ไม่เป็นการยากอีกเช่นกันที่จะเข้าไปยังเครื่องอื่นๆที่เหลือ
ดังนั้นการติดตั้ง Firewall จึงเป็นการป้องกันผู้บุกรุกได้ในระดับ
หนึ่ง
4

5. ประเภทของ Firewall
 จาแนกตามลักษณะการประมวลผล (Processing Mode)
สามารถแบ่งออกเป็น 5 ประเภท ได้แก่
– Packet Filtering Firewall
– Application Firewall
– Circuit Gateways Firewall
– MAC Layer Firewall
– Hybrid Firewall
5

6. ประเภทของ Firewall: Processing Mode
Packet Filtering Firewall
 เป็น Firewall ที่ตรวจสอบ และกลัน่กรอง Packet ข้อมูลที่เข้ามาใน
เครือข่าย โดยพิจารณาความน่าเชื่อถือของข้อมูลจากส่วน Header ของ
Packet
 Firewall ชนิดนี้จะพิจารณารายละเอียดต่างๆ ใน Header ได้แก่
Source and Destination IP Address, Source and Destination Port
Number และ ประเภทของโปรโตคอล (TCP หรือ UDP)
 Firewall จะพิจารณาเทียบรายละเอียดดังกล่าวว่าตรงกับข้อกาหนดของ
ระบบรักษาความปลอดภัยที่จัดเก็บไว้ในฐานข้อมูลหรือไม่ หากไม่ตรง
จะปฏิเสธ Packet ข้อมูลดังกล่าว แต่หากตรงก็จะอนุญาตให้ Packet นั้น
เข้ามาในเครือข่ายได้
6

7. ประเภทของ Firewall: Processing Mode
 Address Restriction Rule
• เป็นกฎการตรวจสอบ Packet ข้อมูล Firewall อย่างง่ายที่ติดตั้งไว้ที่
อุปกรณ์เครือข่าย เช่น Router
• Firewall จะอนุญาตเฉพาะ Packet ที่มีที่อยู่ต้นทางและที่อยู่
ปลายทางที่กาหนดเอาไว้ในตาราง ACL (Access Control List)
เท่านั้น โดยผู้ดูแลระบบสามารถแก้ไขที่อยู่ต้นทางและปลายทางได้
7
ที่อยู่ต้นทาง ที่อยู่ปลายทาง Service Action
172.16.x.x 10.10.x.x Any Deny
192.168.x.x 10.10.10.25 HTTP Allow
192.168.0.1 10.10.10.10 FTP Allow

8. ประเภทของ Firewall: Processing Mode
Packet Filtering Firewall
 Stateful Filtering
 เรียกอีกอย่างหน่งึว่า Stateful Firewall โดยจะสามารถทางานได้ทุก
อย่างเช่นเดียวกับ Dynamic Filtering แล้ว ยังสามารถคงสถานะการ
เชื่อมต่อจากภายนอกไว้ในระยะเวลาที่กา หนดได้อีกด้วย
 Firewall ชนิดนี้จะมีความซับซ้อนขึ้น เนื่องจากจะต้องมีการใช้ตาราง State
Table Entry ซึ่งระบุถึงระยะเวลาทั้งหมดของการเชื่อมต่อรวมถึง
ระยะเวลาที่เหลือของการเชื่อมต่อไว้ด้วย
 หาก Packet ใดที่ไม่มีการตอบรับภายในระยะเวลาที่กา หนดแล้ว Firewall
ก็จะตัดการเชื่อมต่อ เพื่อการสร้างการเชื่อมต่อกับ Request ใหม่ทันที
8

9. ประเภทของ Firewall: Processing Mode
Packet Filtering Firewall
 Stateful Filtering
 ตัวอย่างตาราง State Table Entry
9
Source
Address
Source
Port
Destination
Address
Destination
Port
Time
Remaining
Total Time Protocol
192.168.2.5 1028 10.10.10.7 80 2725 3600 TCP

10. ประเภทของ Firewall: Processing Mode
Application Firewall
 หรือเรียกว่า Application-Level Firewall
หรือ Application Gateway เป็น Firewall ที่
ติดตั้งบนเครื่องคอมพิวเตอร์แยกต่างหาก
ทาให้คอมพิวเตอร์เครื่องดังกล่าวทาหน้าที่
เป็น Firewall โดยเฉพาะ (แยกจาก
Router)
 สามารถใช้กรอง Packet ที่จะผ่านเข้ามาใน
เครือข่าย และสามารถตรวจสอบเนื้อหาใน
Packet ได้เช่นเดียวกับ Packet Filtering
Firewall (แบบ Stateful)
10

11. ประเภทของ Firewall: Processing Mode
Application Firewall
 นอกจากน้ยีังทาหน้าที่คล้ายกับ Proxy Server ในการให้บริการคา
ร้องขอ (Request) ต่างๆของผู้ใช้ หรือเป็นตัวกลางการร้องขอ
ข้อมูลเว็บเพจจาก Web Server แทนผู้ใช้
11

12. ประเภทของ Firewall: Processing Mode
Application Firewall
 Application Firewall ยังมีข้อดีอย่างหน่งึคือ สามารถ Block การ
ร้องขอข้อมูลจากเว็บไซต์ที่เป็นอันตรายของผู้ใช้ภายในเครือข่ายได้
อีกด้วย
 ข้อเสียของ Application Firewall นั้นคือ เป็น Firewall ที่ถูก
ออกแบบมาสาหรับให้ใช้ได้กับบางโปรโตคอล จึงสามารถป้องกัน
การโจมตีภายใต้โปรโตคอลที่รู้จักเท่านั้น หากเป็นการโจมตีจาก
โปรโตคอลอื่น Firewall แบบน้จีะไม่สามารถป้องกันได้
12

13. ประเภทของ Firewall: Processing Mode
Circuit Gateway Firewall
 เป็น Firewall ที่ไม่ตรวจสอบข้อมูลใน Packet แต่จะตรวจสอบ
เส้นทางการเชื่อมต่อ (Connection) ระหว่างผู้ใช้กับเครื่องอื่น
ภายนอกเครือข่าย และป้องกันการเชื่อมต่อโดยตรงระหว่างผู้ใช้กับ
เครื่องอื่นๆ ภายนอกเครือข่ายได้ด้วย
 Circuit Gateway Firewall จะสร้างเส้นทางเสมือน (Virtual
Circuit) เพื่อให้สามารถจัดการเส้นทางการเชื่อมต่อนั้นได้เองโดยที่
ผู้ใช้ไม่รู้ตัว หากพบเส้นทางการเชื่อมต่อใดที่ไม่น่าเชื่อถือหรือไม่
ตรงกฎความปลอดภัยก็จะทิ้งหรือปฏิเสธการเชื่อมต่อนั้น
13

14. ประเภทของ Firewall: Processing Mode
Circuit Gateway Firewall
 การเชื่อมต่อเสมือนช่วยให้ผู้ใช้หลายคนสามารถติดต่อกับ
Application หรือเครือข่ายอื่นภายนอกได้หลาย Application ด้วย
 ข้อเสียของ Firewall ชนิดน้คีือ ไม่สามารถตรวจสอบเนื้อหาภายใน
Packet ที่จะส่งไปในเส้นทางการเชื่อมต่อนั้นได้
14
การตรวจสอบ Packet ของ Firewall ชนิดนี้จะทางานบน
Transport Layer ใน OSI Model

15. ประเภทของ Firewall: Processing Mode
MAC Layer Firewall
 เป็น Firewall ที่สามารถระบุ Host Computer ได้ในขณะกลัน่กรอง
Packet โดยดูจากหมายเลข MAC (MAC Address) ที่ถูกเชื่อมโยง
เข้ากับตาราง ACL เพื่อการตรวจสอบ Packet ที่มาพร้อมกับ Host
Computer ใดๆ
15
การตรวจสอบ Packet ของ Firewall ชนิดนี้จะทางานบน
Data Link Layer ใน OSI Model

16. ประเภทของ Firewall: Processing Mode
Hybrid Firewall
 เป็น Firewall ที่รวมเอาความสามารถของ Firewall ชนิดอื่นๆ เข้า
ด้วยกัน เช่น การรวม Packet Filtering Firewall เข้ากับ
Application Firewall หรือรวมกันระหว่าง Packet Filtering
Firewall เข้ากับ Circuit Firewall เป็นต้น
 Firewall ชนิดน้จีะทาให้องค์กรสามารถเพิ่มประสิทธิภาพในการ
รักษาความปลอดภัยของข้อมูลและระบบภายในองค์กรได้ดียิ่งขึ้น
16
Application Firewall มักถูกใช้เป็นคอมพิวเตอร์ตามบ้าน ส่วน
Firewall ชนิดอื่นๆ มักนิยมใช้ในองค์กรหรือสานักงาน

17. ประเภทของ Firewall: Processing Mode
สรุปการทางานของ Firewall ชนิดต่างๆใน OSI Model
17
Application Layer
Presentation Layer
Session Layer
Transport Layer
Network Layer
Data Link Layer
Physical Layer
7
6
5
4
3
2
1
Application Firewall
Application Firewall
Application Firewall
Circuit Gateway Firewall
Packet Filtering Firewall
MAC Layer Firewall

18. Network Security Policy
– สิ่งสาคัญที่สุดสาหรับการใช้งาน Firewall คือ การกา หนดนโยบายรักษา
ความปลอดภัย (Network Security Policy)
 เพราะแม้ว่า Firewall นั้นจะมีประสิทธิภาพ และมีความปลอดภัยมากเท่าใด แต่
หากมีนโยบายรักษาความปลอดภัยที่หละหลวมแล้ว Firewall นั้นก็ไม่มี
ประโยชน์เท่าที่ควร
– ก่อนที่ติดตั้ง Firewall จึงควรที่จะกาหนดนโยบายรักษาความปลอดภัยที่
สามารถควบคุมหรือ Traffic ที่อาจส่งผลกระทบต่อการใช้งานเครือข่ายให้
มากที่สุด จากนั้นจึงนา นโยบายนั้นไปบังคับใช้ใน Firewall
– กฎที่บังคับใช้นโยบายรักษาความปลอดภัยใน Firewall นั้นจะเรียกว่า ACL
(Access Control List) หรือ Firewall Rule
18

19. Network Security Policy
19
Rule Source Destination Service (Port) Action Description
1 Any Web Server HTTP (80)
HTTPS (443)
Allow อนุญาตให้ผู้ใช้ทั้งจากภายในและ
อินเทอร์เน็ตเข้ามาใช้บริการ Web Server
2 Any Mail Server SMTP (25)
POP3 (110)
IMAP (143)
Allow อนุญาตให้ผู้ใช้ทั้งจากภายในและ
อินเทอร์เน็ตเข้ามาใช้บริการ Mail Server
3 Any DNS Server DNS (53) Allow อนุญาตให้ผู้ใช้ทั้งจากภายในและ
อินเทอร์เน็ตเข้ามาใช้บริการ DNS Server
4 Mail Server Any SMTP (25) Allow อนุญาตให้Mail Server รับ-ส่งกับ Mail
Server อื่นที่อยู่บนอินเทอร์เน็ตหรือภายใน

20. Network Security Policy
Rule Source Destination Service (Port) Action Description
5 DNS Server Any DNS (53) Allow อนุญาตให้DNS Server คิวรี DNS Server
20
อื่นที่อยู่บนอินเทอร์เน็ตหรือภายใน
6 Internal
Network
Any HTTP (80)
HTTPS (443)
FTP (20-21)
Telnet (23)
SSH (22)
SMTP (25)
POP3 (110)
IMAP (143)
Allow อนุญาตให้ผู้ใช้ภายในเครือข่ายใช้บริการ
ดังกล่าวจากอินเทอร์เน็ตและ DMZ
7 Any Any Any Deny ถ้าไม่ตรงกับกฎใดๆ ที่กาหนดข้างบนให้ละ
ทิ้งแพ็คเก็ตนั้นทันที

21. Firewall Architecture
– Firewall แต่ละประเภท สามารถนา มาจัดโครงสร้างการทางานให้เป็นระบบ
Firewall ตามสถาปัตยกรรมของ Firewall ได้หลายรูปแบบ
– การเลือกสถาปัตยกรรมตามความเหมาะสมขององค์กร ขึ้นอยู่กับหลายปัจจัย
ได้แก่ วัตถุประสงค์ด้านเครือข่ายที่องค์กรต้องการ, ความสามารถในการ
พัฒนาระบบ Firewall ตามสถาปัตยกรรมนั้นๆ หรือปัจจัยทางด้าน
งบประมาณ เป็นต้น
– เราสามารถแบ่งสถาปัตยกรรมของ Firewall ได้เป็น 4 รูปแบบ คือ
 Packet Filtering Router
 Screened Host Firewall
 Dual-homed Host Firewall
 Screened Subnet Firewall
21

22. Firewall Architecture
• Packet Filtering Router
– เป็นรูปแบบที่จัดให้มี Router ทาหน้าที่เป็น Firewall กั้นระหว่างเครือข่ายภายใน
องค์กรกับภายนอกองค์กร
– Firewall ที่ Router จะทาหน้าที่กลัน่กรอง Packet โดยอนุญาตให้ Packet ที่ตรงกับ
ตาราง ACL เท่านั้นที่จะสามารถเข้ามาในเครือข่ายภายในองค์กรได้ ดังรูป
Implement ง่าย, มีความเร็วสูง, ประหยัดค่าใช้จ่าย
ไม่มีระบบการตรวจสอบและตรวจจับที่เข้มงวด, ยิ่งเพิ่มกฎในตาราง ACL
มากจะยิ่งทาให้การทางานของระบบช้าลง
22
Internet
Packet Filtering
Router
Packet
Packet
Packet

23. Firewall Architecture
• Screened Host Firewall
– เป็นรูปแบบที่ประกอบด้วยความสามารถของ Packet Filtering Firewall
และ Application Firewall (Proxy Server)
– เครื่องคอมพิวเตอร์ที่ทาหน้าที่เป็น Proxy Server จะเรียกว่า Bastion
Host
– Packet Filtering Firewall จะทาหน้าที่กรอง Packet ที่ได้รับเข้ามาก่อน
จากนั้นส่งต่อ Packet ที่ได้รับอนุญาตไปยัง Bastion Host เพ่อืตรวจสอบ
บริการ Application ที่เข้ามา แล้วบันทึกไว้ก่อนส่งต่อไปยังผู้ใช้ที่ร้อง
ข้อมูลใน Packet นั้นๆ
23
Internet
Packet Filtering
Router
Packet
Packet
Packet
Proxy Access
Bastion Host

24. Firewall Architecture
• Screened Host Firewall
– สาหรับ Client ที่อยู่ภายในเครือข่ายภายใน จะไม่ได้รับการอนุญาต
ให้เชื่อมต่อกับเครือข่ายภายนอกโดยตรงทั้งหมด แต่จะต้องผ่าน
Bastion Host ก่อนเสมอ ทาให้Bastion Host มีความเสี่ยงต่อการ
โจมตีมากที่สุด
– ผู้ดูแลระบบจึงควรรักษาความปลอดภัยของ Bastion Host เอาไว้
เป็นอย่างดี
ประหยัดค่าใช้จ่าย
หากผู้โจมตีทาการโจมตี Bastion Host ได้สาเร็จ ผู้โจมตีจะ
สามารถเข้าถึงข้อมูลของเครื่อง Client ได้ทุกเครื่อง
24

25. Firewall Architecture
• Dual-homed Host Firewall
– เป็นรูปแบบที่จัดให้ Bastion Host มี NIC อย่างน้อย 2 การ์ด โดย
การ์ดแรกใช้ติดต่อกับเครือข่ายภายนอกโดยตรง ส่วนการ์ดที่สองใช้
ติดต่อกับเครือข่ายภายใน
– เป็นการสร้าง Firewall ป้องกันมากกว่า 1 Layer ในสถาปัตยกรรม
ชนิดนี้ซึ่งทุกเส้นทางการจราจรของข้อมูลจะต้องผ่าน Firewall น้ทีั้ง
ขาเข้าและขาออกจากเครือข่ายภายใน
25

26. Firewall Architecture
Packet Packet
ป้องกันการโจมตีได้ถึง 2 ระดับ, ป้องกันการสแกนหมายเลข IP ภายใน
ได้, สามารถแปลงโปรโตคอลที่ Data Link Layer ได้หลายโปรโตคอล เช่น
Ethernet, Token Ring เป็นต้น และเสียค่าใช้จ่ายน้อยเม่อืเทียบกับระดับความ
ปลอดภัยที่เพิ่มขึ้นมา
ซับซ้อน ทางานช้า, รองรับจานวนเส้นทางการเชื่อมต่อ (Traffic) ได้
น้อยกว่าแบบ Packet Filtering Firewall และต้องการทรัพยากรมากกว่า
รูปแบบอื่น
26
Internet
Dual-homed Host
(NAT Firewall)
Packet
Internal Filtering
Router
External Filtering
Router
Proxy Access
Packet

27. Firewall Architecture
• Screened Subnet Firewall
– เป็นรูปแบบที่ประกอบด้วย Packet Filtering Router ทั้ง 2 ฝั่ง คือ
External Filtering Router และ Internal Filtering Router รวมทั้งมี
Bastion Host ตั้งแต่ 1 Host ขึ้นไป
– แต่ละ Host ทาหน้าที่ป้องกันเครือข่ายภายใน โดยจัดให้กลุ่ม
Bastion Host แยกมาอยู่รวมกันเป็นเครือข่ายพิเศษในเขตที่เรียกว่า
DMZ (Demilitarized Zone) ซึ่งเป็นเขตที่อยู่ระหว่างเครือข่าย
ภายในและภายนอก ส่วน External Filtering Router จะอยู่ระหว่าง
เครือข่ายภายนอกกับเขต DMZ และ Internal Filtering Router จะ
อยู่ระหว่างเครือข่ายภายในกับเขต DMZ
27

28. Firewall Architecture
• Screened Subnet Firewall
Demilitarized
Zone (DMZ)
จากภาพ เส้นทางการเชื่อมต่อจะเป็นดังนี้
– การเชื่อมต่อจากเครือข่ายภายนอก จะวิ่งผ่านเส้นทางของ External Filtering Router
– เม่อืวิ่งเข้ามายัง External Filtering Route แล้ว จะวิ่งออกไปยังเครือข่ายพิเศษภายใน DMZ
– การเชื่อมต่อที่จะวิ่งเข้าสู่เครือข่ายภายใน จะต้องได้รับอนุญาตจาก Host Server ใน DMZ
เท่านั้น
28
Internet
Internal Filtering
Router
External Filtering
Router
Packet
Server
Proxy Access Controlled Access
Packet

29. Firewall Architecture
• Screened Subnet Firewall
สถาปัตยกรรมแบบน้มีีหน้าที่หลัก 2 ประการ
คือ
– ป้องกันเครือข่ายพิเศษและสารสนเทศใน
เขต DMZ จากภัยคุกคามภายนอก ด้วยการ
มีระบบรักษาความปลอดภัยที่เครือข่าย
DMZ
– ป้องกันเครือข่ายภายในด้วยการจากัดการ
เข้าถึงจากเครือข่ายภายนอก เน่อืงระบบ
Firewall แบบน้มีีการแบ่งเป็นหลายระดับ
ทาให้ลดความเสี่ยงจากการถูกโจมตีสาหรับ
เครือข่ายภายในลงไปได้มาก
29

30. Firewall Architecture
• Screened Subnet Firewall
มีความปลอดภัยสูง เน่อืงจากมีการแบ่งเครือข่ายออกเป็นส่วนๆ
(เครือข่ายภายใน เครือข่ายภายนอก และ DMZ)
มีค่าใช้จ่ายสูง, ระบบมีความซับซ้อน จัดการยาก
30

31. Question and Answer
suthee.si@rsu.ac.th
13 July 2013 suthee sirisutthidecha 31