Upload
others
View
1
Download
0
Embed Size (px)
Citation preview
Outline
ผลตภณฑไฟรวอลล
Linux Firewall
Check Point Firewall–1
ขอพจารณาในการเลอกซอไฟรวอลล
Host-based or Network-based
Hardware or Software
ฟเจอรทส าคญของไฟรวอลล
2
ผลตภณฑไฟรวอลล
ผลตภณฑไฟรวอลลทมขายตามทองตลาดมมากมายหลายยหอ ในหวขอนจะกลาวถงผลตภณฑไฟรวอลลทไดรบความนยม เชน
Linux Firewall : iptables
Check Point Firewall–1
3
ผลตภณฑไฟรวอลล: Linux Firewall : iptables
ลนกซเปนระบบปฏบตการโอเพนซอรสทไดรบความนยมอยางมาก เพราะไมตองเสยคาลขสทธ
ไฟรวอลลทตดมากบลนกซ คอ iptables ซงสามารถท า Packet Filtering และ NAT ได
ไฟรวอลล iptables พฒนาอยภายใตโครงการ netfilter.org
4
www.netfilter.org5
ผลตภณฑไฟรวอลล: Linux Firewall : iptables [2]
ฟเจอรทส าคญPacket Filtering (IPv4 และ IPv6)
Stateful Packet Filtering (IPv4)
รองรบ NAT และ NAPT (Network Address and Port Translation)
ปกตแลวการตงคาไฟรวอลลบนลนกซจะใชค าสงแบบ Command Line ซงยากตอการใชงาน จงมโปรแกรมแบบ GUI ชวยใหการใชงานงายยงขน เชน firewall builder บนเวบไซต www.fwbuilder.org
6
ผลตภณฑไฟรวอลล: Check Point Firewall-1
เปนไฟรวอลลทไดรบความนยมมากอกตวหนง สามารถปองกนการโจมตไดอยางมประสทธภาพ
สามารถตรวจสอบแพคเกตไดตงแตระดบเนตเวรคไปจนถงชนแอพพลเคชน
มฟเจอรทส าคญ เชน ระบบควบคมการเขาถง การตรวจสอบเนอหาขอมล การพสจนทราบตวตนผใช รองรบการท า NAT และ VPN ฯลฯ
7
เวบไซตของบรษท Check Point8
ขอพจารณาในการเลอกซอไฟรวอลล
ไฟรวอลลปกตจะมโครงสรางงายๆ ท าหนาทกรองแพคเกตทวงผานเครอขาย และตดสนใจวาจะใหแพคเกตนนๆผานไปไดหรอไมโดยการตรวจดเฮดเดอรของแพคเกตในเลเยอร 3 และ 4
ไฟรวอลลระดบสงจะสามารถกรองแพคเกตในระดบแอพพลเคชนได ซงจะสามารถก าจดสแปมเมล ไวรส หรอเนอหาทไมเหมาะสมได
9
ขอพจารณาในการเลอกซอไฟรวอลล [2]
ไฟรวอลลในปจจบนจะท าหนาทมากกวา “ยาม” คอมการเพมฟเจอรใหมๆเขามา ซงบางฟเจอรกไมใชฟงกชนของไฟรวอลลโดยตรง เชน VPN, Gateway, Web Cache
ไฟรวอลลแบบมลตฟงกชนน เปนทแพรหลายอยางมากในปจจบน
10
ขอพจารณาในการเลอกซอไฟรวอลล: Host-based or Network-based
Host-based Firewall หรอ Personnal Firewall มหลกการท างานงายๆ ท าหนาทปกปองคอมพวเตอรเครองใดเครองหนง
Network-based Firewall สามารถปกปองคอมพวเตอรภายในเครอขายไดหลายเครอง สวนใหญจ าท าไดเพยง Packet Filtering ฒนอยมากทกรองแพคเกตระดบแอพพลเคชนได
11
ขอพจารณาในการเลอกซอไฟรวอลล: Host-based or Network-based [2]
Enterprise Firewall ออกแบบมาส าหรบเครอขายขนาดใหญและซบซอน แตมราคาแพงกวาสองแบบแรกมาก มฟเจอรชนสง เชน
VPN
บรหารจดการไฟรวอลลหลายๆเครองไดจากทเดยว
Traffic Monitoring
ก าหนดนโยบายไปยงแตละยสเซอรได
มความนาเชอถอสง
12
ขอพจารณาในการเลอกซอไฟรวอลล: Host-based or Network-based [3]
ราคาของ Host-based Firewall อาจอยประมาณหลกพนบาท สวน Enterprise Firewall อาจสงถงหลกลาน
ไฟรวอลลทนยมส าหรบองคกรทวไปจะอยประมาณหาหมนถงสองแสนบาท แตจะมคาใชจายเพมขนหากตองการซอฟเจอรอนๆเพม
การจะเลอกใชไฟรวอลลประเภทใดๆ ควรดจากบรบทขององคกร นโยบาย และคาใชจายเปนหลก
13
ขอพจารณาในการเลอกซอไฟรวอลล: Hardware or Software Firewall
ค าวาฮารดแวรไฟรวอลลและซอฟตแวรไฟรวอลลเปนค าทใชแบงแยกระหวางไฟรวอลลทตดตงมากอนบนฮารดแวรเฉพาะ กบซอฟตแวรไฟรวอลลทตดตงไดกบระบบปฏบตการทวไป
ขอดของฮารดแวรไฟรวอลลคอผใชไมตองกงวลเกยวกบการตดตงซอฟตแวรและการคอนฟกตางๆ สวนขอเสยคอเราจะตองผกตดกบผลตภณฑของบรษทนนเพยงบรษทเดยว
14
Software Firewall และ Hardware Firewall15
ขอพจารณาในการเลอกซอไฟรวอลล: ฟเจอรทส าคญของไฟรวอลล
สงทควรพจารณาในการเลอกซอไฟรวอลล คอ
เราตองการซอฟตแวรไฟรวอลลหรอฮารดแวรไฟรวอลล
ในองคกรมความตองการใชงานพรอมกนกคน
มความตองการเชอมตอ VPN พรอมกนกคน และจะใช VPN โปรโตคอลใดบาง
ตองการเชอมตอเขากบ SharePoint Server หรอไม
16
ขอพจารณาในการเลอกซอไฟรวอลล: ฟเจอรทส าคญของไฟรวอลล [2]
ตองการใช User Interface แบบ Command Line หรอ GUI หรอ Web-based ซงขนอยกบชอบและความสามารถของ Admin
ตองการไฟรวอลลทมความเชอถอไดสงหรอไม
17
ขอพจารณาในการเลอกซอไฟรวอลล: ฟเจอรทส าคญของไฟรวอลล [3]
ฟเจอรทอาจตองจายเงนเพม เชน
Web Caching
ระบบบรหารจากศนยกลางและรายงานตางๆ
Spam Filtering หรอ URL Filtering
Load Balancing หรอ Failover
การสแกนไวรส
18
ขอพจารณาในการเลอกซอไฟรวอลล: ฟเจอรทส าคญของไฟรวอลล [4]
สงทควรพจารณาอกอยางหนงคอ “ทรพต” (Throughput) หมายถงอตราการถายโอนขอมล
ไฟรวอลลทมกระบวนการรกษาความปลอดภยทมากเกนไปจะสงผลใหทรพตต า ซงสงผลตอประสทธภาพโดยรวมของระบบ
19