Firewall

Firewall

Firewall • ชนิดของ Firewall • การทำงานของ Firewall • ตัวอย่างการออกแบบเครือข่ายเพื่อติดตั้ง Firewall • การควบคุมนโยบายของ Firewall • ความสามารถของ Firewall ในท้องตลาด

ชนิดของ Firewall • Network Based Firewall • เป็นอุปกรณ์ติดตั้งในระบบเครือข่ายเพื่อคัดกรอง Traffic ในเครือข่าย • Host Based Firewall • เป็นซอฟต์แวร์ติดตั้งที่เครื่องคอมพิวเตอร์เพื่อคัดกรอง Traffic ที่เข้าสู่เครื่องก่อนที่จะนำข้อมูลไปประมวลผล

Firewall Operation • Packet Filtering Firewall • Stateful Inspection Firewall • Application Proxy Firewall

Packet Filtering Firewall • คัดกรองแพ็กเก็ตที่วิ่งผ่านโดยใช้กฎต่างๆ ที่ตั้งค่าไว้แล้ว • โดยจะพิจารณาจากข้อมูลส่วนที่อยู่ในเฮดเดอร์ของแพ็กเก็ตที่ผ่านเข้ามา เทียบกับกฎที่กำหนดไว้ • ทำงานแบบ Pattern Matching • ตัดสินว่าควรจะทิ้งแพ็กเก็ตนั้นไปหรือว่าจะยอมให้แพ็กเก็ตนั้นผ่าน • การทำงานไม่ซับซ้อนจึงเป็นการทำงานหนึ่งใน Router ในปัจจุบัน

Packet Filtering Firewall

Stateful Inspection Firewall • ทำงานเหมือนกับ Packet Filtering Firewall และเพิ่มความสามารถในการบันทึกข้อมูลเกี่ยวกับคอนเน็กชั่นที่เกิดขึ้นลงใน State Table ก่อนที่จะส่งแพ็กเก็ตนี้ต่อให้กับ เลเยอร์อื่น • กำหนด “สถานะ” ต่างๆ ในกฎได้เช่น TCP State หรือสถานะอื่นๆ ที่ผู้ดูแลระบบกำหนดได้

Stateful Inspection Firewall

Application Proxy Firewall • Client ส่งการร้องขอไปยังไฟร์วอล ไฟร์วอลจะตรวจสอบจากนโยบายการรักษาความปลอดภัยว่าทราฟิกนี้สามารถผ่านไปได้หรือไม่ ถ้าอนุญาตไฟร์วอลจะสร้างการเชื่อมต่อกับเซิร์ฟเวอร์แทน ไคลเอนท์เอง • ไฟร์วอลที่ทำงานในระดับ Application Layer บางทีก็เรียกว่า Proxy Firewall ซึ่งหมายถึงโปรแกรมที่รันบนระบบปฏิบัติการทั่วๆไป • ทำงานช้า ปลอดภัยสูง

Application Proxy Firewall

Hybrid Firewall • Packet Filtering + Application Proxy • Third Generation Firewall Technology • ตัวอย่าง • Raptor Firewall by Symantec • Firewall 1 by Checkpoint • Sidewinder Firewall by Secure Computing • Lucent Brick by Lucent

Firewall Architecture

Firewall Architectures • Screening Router • Simple Firewall • Multi-Legged firewall • Firewall Sandwich • Layered Security Architecture

Screening Router

Simple Firewall

Multi-Legged Firewall

Firewall Sandwich

Layered Firewall

High Availability Network

Network Security Policy • Network Security Policy นับเป็นสิ่งที่สำคัญที่สุดสำหรับการใช้งานไฟร์วอล • ควรกำหนดนโยบายที่สามารถควบคุมหรือป้องกันทราฟิกที่อาจมีผลกระทบต่อการใช้งานเครือข่ายให้มากที่สุด แล้วนำไปบังคับใช้กับไฟร์วอล • กฎที่บังคับใช้นโยบายการรักษาความปลอดภัยในไฟร์วอลนั้นจะเรียกว่า ACL (Access Control List) หรือ Firewall Rule

Network Security Policy • ตัวอย่างโยบายรักษาความปลอดภัย โดยสมมติว่าโครงสร้างของเครือข่ายเป็นดังรูปต่อไปนี้

Network Security Policy • โดย DMZ (Demilitarized Zone) ประกอบด้วย เว็บเซิร์ฟเวอร์ เมลเซิร์ฟเวอร์ และ DNS เซิร์ฟเวอร์ • ผู้ใช้ภายในเครือข่ายสามารถใช้บริการคือ HTTP, HTTPS, FTP, Telnet, SSH, DNS, SMTP, POP3 • ผู้ใช้จากอินเทอร์เน็ตนั้นสามรถใช้บริการจาก DMZ ได้คือ DNS, HTTP, HTTPS, SMTP จากนโยบายนี้เราสามารถเขียน ACL ได้ดังนี้

Network Security Policy

ข้อจำกัดของ Firewall • Firewall ไม่สามารถป้องกันการโจมตีที่ไม่ได้กระทำผ่าน Firewall เช่น การโจมตีจากภายในเครือข่าย • ไม่สามารถป้องกันการโจมตีที่มากับ Application protocols, การทำ Tunneling หรือโปรแกรม Trojan horse ต่างๆ

Firewall product • Juniper • Cisco Catalyst Firewall • Fortigate

Firewall Features • Firewall Throughput : Mbps/Gbps • VPN Throughput : Mbps • Concurrent Sessions : number • IPsec VPN Peers : number • Interfaces : number of Gigabit Ethernet ports, SFP fiber ports, and Fast Ethernet port • Virtual Interfaces (VLANs) : number

Firewall Features • Scalability : VPN clustering and load balancing • High Availability : Active/Active, Active/Standby • Redundant Power : Supported, second power supply optional

Firewall standard compliance • Safety • UL 60950, CSA C22.2 No. 60950, EN 60950 IEC 60950, AS/NZS60950 • Electromagnetic Compatibility (EMC) • CE marking, FCC Part 15 Class A or B, AS/NZS CISPR22 Class A or B, • VCCI Class A or B, EN55022 Class A or B, CISPR22 Class A or B, EN61000-3-2, EN61000-3-3

ข้อสอบ... • ถามศัพท์เทคนิคเกี่ยวกับคุณสมบัติและการทำงานของ Firewall • NETSCREEN 5000 Series Security Systems (Data sheet) • Cisco ASA 5500 Series Adaptive Security Appliances (Data Sheet) • ไม่มีคำถามเชิงตัวเลข ถามเฉพาะศัพท์เกี่ยวกับการทำงานต่างๆ เท่านั้น

ไฟร์วอลล์สำหรับ Host • ไฟล์วอลล์สำหรับ Host หรือ Personal Firewall • ตัวอย่าง • Windows 7 Firewall • Zone Alarm • Tiny Personal Firewall • Norton Personal Firewall • Sygate Personal Firewall • Conseal PC Firewall • VPN-1 Secure Client

Windows 7 Firewall Windows Firewall features Inbound filtering Outbound filtering Firewall rules combined with IPsec rules Support for complex rules Support for logging 39

Locations and the Firewall • ใช้การกำหนด Location เพื่อควบคุมนโยบายต่างๆ • กำหนด firewall properties ของแต่ละlocation types • การตั้งค่าของแต่ละ location type จะเรียกว่า profile • แต่ละ profile สามารถ : • Enable or disable Windows Firewall • Configure inbound and/or outbound connections • Customize logging and other settings

Locations and Firewall Settings • เมื่อเปลี่ยน network location จะเปลี่ยน Firewall profile • เมื่อคอมพิวเตอร์อยู่ใน Domain จะอนุญาตให้มีการเชื่อมต่อกับdesktop management tool โดยอัตโนมัติ แต่จะปิดกั้น ถ้าคอมพิวเตอร์อยู่ใน public หรือ private networks.

Locations and Firewall Settings • Location types: domain, public, and private. • Domain – เครื่องคอมพิวเตอร์เป็น Member ใน Domain • สำหรับเครือข่ายอื่นๆ จะมีการกำหนดให้เป็น public networks โดยอัตโนมัติ • ผู้ใช้งานสามารถกำหนดเครือข่ายเป็น public หรือ private ได้ • Public profile: ใช้ในที่สาธารณะเช่น สนามบิน ร้านกาแฟ • Private profile: ใช้ใน บ้านหรือที่ทำงาน • เมื่อใช้งานใน private network ผู้ใช้งานต้องมีสิทธิของ administrator

Locations and Firewall Settings • เมื่อคอมพิวเตอร์เชื่อมต่อกับหลายๆ เครือข่ายในเวลาเดียวกัน จะใช้เพียง Profile เดียวเท่านั้น • ถ้าทุก interfaces ทำการ authenticated กับ domain controller จะเลือกใช้ domain profile • ถ้ามีหนึ่ง interface เชื่อมต่อกับ private network location แต่ interfaces อื่นๆ authenticated กับ domain controllerหรือต่อกับ private network locations จะเลือกใช้ private profile • นอกเหนือจากนี้จะใช้ public profile

Configuring Windows Firewall • Control Panel – Windows Firewall

Basic Firewall Configuration 45

Advanced Firewall Configuration สามารถตั้งค่า กฎที่มีความซับซ้อน ควบคุมการเชื่อมต่อขาออก และการใช้งาน IP Security 46

Advanced Firewall Configuration 47

Windows Firewall Properties

IPSec Settings Ipsecเป็นระบบการรักษาความปลอดภัยและการพิสูจน์ตัวตนในการโพรโตคอล IP การตั้งค่า Ipsecสามารถตั้งค่า Key exchange protocols Data protection protocols Authentication Method

Advanced Firewall Configuration สามารถดูและแก้ไข Firewall Rules มีกฎทั้ง inbound and outbound ปริมาณมาก มีกฎบางส่วนที่สร้างขึ้น หากใช้ Windows Vista

Advanced Firewall Configuration สามารถดูและแก้ไข Firewall Rules สามารถปรับแก้กฎที่มีอยู่ได้โดยเปิด properties ของกฎต่างๆ ในแถบ properties ของ outbound rule General Programs and Services Computers Protocols and Ports Scope Advanced การสร้าง Firewall Rules ใหม่สามารถทำได้โดย Wizard Guide

Advanced Firewall Configuration การสร้าง Firewall Rules ใหม่ ชนิดของกฎที่สามารถสร้างใน Outbound Rule Wizard Program Port Predefined Custom การทำงานของแต่ละกฎ Allow the connection Allow the connection if it is secure Block the connection

Advanced Firewall Configuration

Firewall

Firewall

Presentation Transcript

Firewall

Firewall

Firewall

FIREWALL

FIREWALL

Firewall

FIREWALL

Firewall

FIREWALL

Firewall

Firewall

Firewall

Firewall

Firewall

firewall

Firewall

Firewall

FIREWALL

Firewall

“Firewall”

Firewall

Firewall