Submit Search
Upload
Information system security wk6-2
•
1 like
•
1,548 views
Bee Lalita
Follow
If you have question Message me!
Read less
Read more
Education
Report
Share
Report
Share
1 of 20
Download now
Download to read offline
Recommended
แนวทางการรักษาไข้มาลาเรีย ประเทศไทย 2558
แนวทางการรักษาไข้มาลาเรีย ประเทศไทย 2558
Utai Sukviwatsirikul
Adverse drug reaction 09
Adverse drug reaction 09
Rachanont Hiranwong
ฟังก์ชันขั้นบันได
ฟังก์ชันขั้นบันได
Y'Yuyee Raksaya
ชุดที่4 การเรียนการสอนรูปแบบmiap
ชุดที่4 การเรียนการสอนรูปแบบmiap
Panita Wannapiroon Kmutnb
โครงงานผลไม้องุ่น
โครงงานผลไม้องุ่น
kwan125
Waste reduction and productivity improvement
Waste reduction and productivity improvement
Teetut Tresirichod
รายงานผลการปฏิบัติหน้าที่ครูเวรประจำวันพฤหัสบดี 1-2563
รายงานผลการปฏิบัติหน้าที่ครูเวรประจำวันพฤหัสบดี 1-2563
SuparatMuangthong
ยาสามัญประจำบ้าน ฉบับที่4
ยาสามัญประจำบ้าน ฉบับที่4
Surang Judistprasert
Recommended
แนวทางการรักษาไข้มาลาเรีย ประเทศไทย 2558
แนวทางการรักษาไข้มาลาเรีย ประเทศไทย 2558
Utai Sukviwatsirikul
Adverse drug reaction 09
Adverse drug reaction 09
Rachanont Hiranwong
ฟังก์ชันขั้นบันได
ฟังก์ชันขั้นบันได
Y'Yuyee Raksaya
ชุดที่4 การเรียนการสอนรูปแบบmiap
ชุดที่4 การเรียนการสอนรูปแบบmiap
Panita Wannapiroon Kmutnb
โครงงานผลไม้องุ่น
โครงงานผลไม้องุ่น
kwan125
Waste reduction and productivity improvement
Waste reduction and productivity improvement
Teetut Tresirichod
รายงานผลการปฏิบัติหน้าที่ครูเวรประจำวันพฤหัสบดี 1-2563
รายงานผลการปฏิบัติหน้าที่ครูเวรประจำวันพฤหัสบดี 1-2563
SuparatMuangthong
ยาสามัญประจำบ้าน ฉบับที่4
ยาสามัญประจำบ้าน ฉบับที่4
Surang Judistprasert
แนวข้อสอบภาค ข วิชาฟิสิกส์ ชุดที่ 2
แนวข้อสอบภาค ข วิชาฟิสิกส์ ชุดที่ 2
Montida Phayawet
เกณฑ์สมรรถภาพทางกาย7 18
เกณฑ์สมรรถภาพทางกาย7 18
kkkkon
สมบัติของคลื่น
สมบัติของคลื่น
benjamars nutprasat
ทัศนียภาพ
ทัศนียภาพ
พัน พัน
แผนการจัดประสบการณ์ วันลอยกระทง- กิจกรรมเกมศึษา 5 ขวบ
แผนการจัดประสบการณ์ วันลอยกระทง- กิจกรรมเกมศึษา 5 ขวบ
krutitirut
Malaria
Malaria
Utai Sukviwatsirikul
โครงสร้างรายวิชา สาระการงานอาชีพ ม ต้น
โครงสร้างรายวิชา สาระการงานอาชีพ ม ต้น
Aopja
สงครามโลกครั้งที่ 2
สงครามโลกครั้งที่ 2
New Nan
แผนการจัดประสบการณ์ วันลอยกระทง- กิจกรรมเสริมประสบการณ์ 5
แผนการจัดประสบการณ์ วันลอยกระทง- กิจกรรมเสริมประสบการณ์ 5
krutitirut
แนวข้อสอบตั๋วปี ครั้งที่ 1 ปี 54
แนวข้อสอบตั๋วปี ครั้งที่ 1 ปี 54
อ.เป้ สิททิกรณ์ สมาร์ทลอว์ติวเตอร์
เฉลยข้อสอบโอเน็ตคณิตศาสตร์ ม.3 ปีการศึกษา 2552
เฉลยข้อสอบโอเน็ตคณิตศาสตร์ ม.3 ปีการศึกษา 2552
ครู กรุณา
แคลคูลัส9วิชาสามัญ(55-58)
แคลคูลัส9วิชาสามัญ(55-58)
Thanuphong Ngoapm
วิชาเคมี มัธยมปลาย เรื่องปฏิกริยาไฟฟ้าเคมี
วิชาเคมี มัธยมปลาย เรื่องปฏิกริยาไฟฟ้าเคมี
Tutor Ferry
10ความร้อนและทฤษฎีจลน์ของแก๊ส
10ความร้อนและทฤษฎีจลน์ของแก๊ส
Physciences Physciences
การวัดผลและประเมินผลการเรียนรู้555
การวัดผลและประเมินผลการเรียนรู้555
yuapawan
สงครามโลกครั้งที่ 1
สงครามโลกครั้งที่ 1
Taraya Srivilas
สำรวจพฤติกรรมการใช้สมาร์ทโฟนของ ม.4-5
สำรวจพฤติกรรมการใช้สมาร์ทโฟนของ ม.4-5
kessara61977
การเคลื่อนที่แบบต่าง ๆ
การเคลื่อนที่แบบต่าง ๆ
ชิตชัย โพธิ์ประภา
วาระการประชุม คณะกรรมการบริหารความเสี่ยงคณะวิทยาศาสตร์ประยุกต์ ครั้งที่ 1/2558
วาระการประชุม คณะกรรมการบริหารความเสี่ยงคณะวิทยาศาสตร์ประยุกต์ ครั้งที่ 1/2558
งานอาคารฯ คณะวิทย์ มจพ.
แบบทดสอบอายุ4 6
แบบทดสอบอายุ4 6
kkkkon
Firewall
Firewall
Pongdee Chaijunda
Information system security wk7-1-ids-ips
Information system security wk7-1-ids-ips
Bee Lalita
More Related Content
What's hot
แนวข้อสอบภาค ข วิชาฟิสิกส์ ชุดที่ 2
แนวข้อสอบภาค ข วิชาฟิสิกส์ ชุดที่ 2
Montida Phayawet
เกณฑ์สมรรถภาพทางกาย7 18
เกณฑ์สมรรถภาพทางกาย7 18
kkkkon
สมบัติของคลื่น
สมบัติของคลื่น
benjamars nutprasat
ทัศนียภาพ
ทัศนียภาพ
พัน พัน
แผนการจัดประสบการณ์ วันลอยกระทง- กิจกรรมเกมศึษา 5 ขวบ
แผนการจัดประสบการณ์ วันลอยกระทง- กิจกรรมเกมศึษา 5 ขวบ
krutitirut
Malaria
Malaria
Utai Sukviwatsirikul
โครงสร้างรายวิชา สาระการงานอาชีพ ม ต้น
โครงสร้างรายวิชา สาระการงานอาชีพ ม ต้น
Aopja
สงครามโลกครั้งที่ 2
สงครามโลกครั้งที่ 2
New Nan
แผนการจัดประสบการณ์ วันลอยกระทง- กิจกรรมเสริมประสบการณ์ 5
แผนการจัดประสบการณ์ วันลอยกระทง- กิจกรรมเสริมประสบการณ์ 5
krutitirut
แนวข้อสอบตั๋วปี ครั้งที่ 1 ปี 54
แนวข้อสอบตั๋วปี ครั้งที่ 1 ปี 54
อ.เป้ สิททิกรณ์ สมาร์ทลอว์ติวเตอร์
เฉลยข้อสอบโอเน็ตคณิตศาสตร์ ม.3 ปีการศึกษา 2552
เฉลยข้อสอบโอเน็ตคณิตศาสตร์ ม.3 ปีการศึกษา 2552
ครู กรุณา
แคลคูลัส9วิชาสามัญ(55-58)
แคลคูลัส9วิชาสามัญ(55-58)
Thanuphong Ngoapm
วิชาเคมี มัธยมปลาย เรื่องปฏิกริยาไฟฟ้าเคมี
วิชาเคมี มัธยมปลาย เรื่องปฏิกริยาไฟฟ้าเคมี
Tutor Ferry
10ความร้อนและทฤษฎีจลน์ของแก๊ส
10ความร้อนและทฤษฎีจลน์ของแก๊ส
Physciences Physciences
การวัดผลและประเมินผลการเรียนรู้555
การวัดผลและประเมินผลการเรียนรู้555
yuapawan
สงครามโลกครั้งที่ 1
สงครามโลกครั้งที่ 1
Taraya Srivilas
สำรวจพฤติกรรมการใช้สมาร์ทโฟนของ ม.4-5
สำรวจพฤติกรรมการใช้สมาร์ทโฟนของ ม.4-5
kessara61977
การเคลื่อนที่แบบต่าง ๆ
การเคลื่อนที่แบบต่าง ๆ
ชิตชัย โพธิ์ประภา
วาระการประชุม คณะกรรมการบริหารความเสี่ยงคณะวิทยาศาสตร์ประยุกต์ ครั้งที่ 1/2558
วาระการประชุม คณะกรรมการบริหารความเสี่ยงคณะวิทยาศาสตร์ประยุกต์ ครั้งที่ 1/2558
งานอาคารฯ คณะวิทย์ มจพ.
แบบทดสอบอายุ4 6
แบบทดสอบอายุ4 6
kkkkon
What's hot
(20)
แนวข้อสอบภาค ข วิชาฟิสิกส์ ชุดที่ 2
แนวข้อสอบภาค ข วิชาฟิสิกส์ ชุดที่ 2
เกณฑ์สมรรถภาพทางกาย7 18
เกณฑ์สมรรถภาพทางกาย7 18
สมบัติของคลื่น
สมบัติของคลื่น
ทัศนียภาพ
ทัศนียภาพ
แผนการจัดประสบการณ์ วันลอยกระทง- กิจกรรมเกมศึษา 5 ขวบ
แผนการจัดประสบการณ์ วันลอยกระทง- กิจกรรมเกมศึษา 5 ขวบ
Malaria
Malaria
โครงสร้างรายวิชา สาระการงานอาชีพ ม ต้น
โครงสร้างรายวิชา สาระการงานอาชีพ ม ต้น
สงครามโลกครั้งที่ 2
สงครามโลกครั้งที่ 2
แผนการจัดประสบการณ์ วันลอยกระทง- กิจกรรมเสริมประสบการณ์ 5
แผนการจัดประสบการณ์ วันลอยกระทง- กิจกรรมเสริมประสบการณ์ 5
แนวข้อสอบตั๋วปี ครั้งที่ 1 ปี 54
แนวข้อสอบตั๋วปี ครั้งที่ 1 ปี 54
เฉลยข้อสอบโอเน็ตคณิตศาสตร์ ม.3 ปีการศึกษา 2552
เฉลยข้อสอบโอเน็ตคณิตศาสตร์ ม.3 ปีการศึกษา 2552
แคลคูลัส9วิชาสามัญ(55-58)
แคลคูลัส9วิชาสามัญ(55-58)
วิชาเคมี มัธยมปลาย เรื่องปฏิกริยาไฟฟ้าเคมี
วิชาเคมี มัธยมปลาย เรื่องปฏิกริยาไฟฟ้าเคมี
10ความร้อนและทฤษฎีจลน์ของแก๊ส
10ความร้อนและทฤษฎีจลน์ของแก๊ส
การวัดผลและประเมินผลการเรียนรู้555
การวัดผลและประเมินผลการเรียนรู้555
สงครามโลกครั้งที่ 1
สงครามโลกครั้งที่ 1
สำรวจพฤติกรรมการใช้สมาร์ทโฟนของ ม.4-5
สำรวจพฤติกรรมการใช้สมาร์ทโฟนของ ม.4-5
การเคลื่อนที่แบบต่าง ๆ
การเคลื่อนที่แบบต่าง ๆ
วาระการประชุม คณะกรรมการบริหารความเสี่ยงคณะวิทยาศาสตร์ประยุกต์ ครั้งที่ 1/2558
วาระการประชุม คณะกรรมการบริหารความเสี่ยงคณะวิทยาศาสตร์ประยุกต์ ครั้งที่ 1/2558
แบบทดสอบอายุ4 6
แบบทดสอบอายุ4 6
Viewers also liked
Firewall
Firewall
Pongdee Chaijunda
Information system security wk7-1-ids-ips
Information system security wk7-1-ids-ips
Bee Lalita
M5 3 2 20 22
M5 3 2 20 22
ThanThai Sangwong
Protocol
Protocol
electhoeng
คำสั่งตรวจสอบเครือข่ายคอมพิวเตอร์เบื้องต้น
คำสั่งตรวจสอบเครือข่ายคอมพิวเตอร์เบื้องต้น
Rawitsada Intarabut
หน่วยที่ 4 รูปแบบการเชื่อมต่อเครือข่าย
หน่วยที่ 4 รูปแบบการเชื่อมต่อเครือข่าย
Ta Khanittha
Information system security wk6-1
Information system security wk6-1
Bee Lalita
NETWORKARCHITECTURE& STRUCTURE
NETWORKARCHITECTURE& STRUCTURE
Amonrat Kmutnb
Information system security wk5-2-authentication
Information system security wk5-2-authentication
Bee Lalita
Information system security wk6-2
Information system security wk6-2
Bee Lalita
Information system security wk1-1
Information system security wk1-1
Bee Lalita
Information system security wk7-2-ids-ips_2
Information system security wk7-2-ids-ips_2
Bee Lalita
Information system security wk6-1
Information system security wk6-1
Bee Lalita
บทที่ 6 ความปลอดภัยบนระบบคอมพิวเตอร์และเครือข่าย
บทที่ 6 ความปลอดภัยบนระบบคอมพิวเตอร์และเครือข่าย
Wanphen Wirojcharoenwong
Types of firewall
Types of firewall
Pina Parmar
Firewall presentation
Firewall presentation
Amandeep Kaur
Viewers also liked
(16)
Firewall
Firewall
Information system security wk7-1-ids-ips
Information system security wk7-1-ids-ips
M5 3 2 20 22
M5 3 2 20 22
Protocol
Protocol
คำสั่งตรวจสอบเครือข่ายคอมพิวเตอร์เบื้องต้น
คำสั่งตรวจสอบเครือข่ายคอมพิวเตอร์เบื้องต้น
หน่วยที่ 4 รูปแบบการเชื่อมต่อเครือข่าย
หน่วยที่ 4 รูปแบบการเชื่อมต่อเครือข่าย
Information system security wk6-1
Information system security wk6-1
NETWORKARCHITECTURE& STRUCTURE
NETWORKARCHITECTURE& STRUCTURE
Information system security wk5-2-authentication
Information system security wk5-2-authentication
Information system security wk6-2
Information system security wk6-2
Information system security wk1-1
Information system security wk1-1
Information system security wk7-2-ids-ips_2
Information system security wk7-2-ids-ips_2
Information system security wk6-1
Information system security wk6-1
บทที่ 6 ความปลอดภัยบนระบบคอมพิวเตอร์และเครือข่าย
บทที่ 6 ความปลอดภัยบนระบบคอมพิวเตอร์และเครือข่าย
Types of firewall
Types of firewall
Firewall presentation
Firewall presentation
More from Bee Lalita
Information system security wk5-1-pki
Information system security wk5-1-pki
Bee Lalita
Information system security wk5-1-pki
Information system security wk5-1-pki
Bee Lalita
Information system security wk4-cryptography-2
Information system security wk4-cryptography-2
Bee Lalita
Information system security wk4-cryptography-2
Information system security wk4-cryptography-2
Bee Lalita
Information system security wk4-2
Information system security wk4-2
Bee Lalita
Information system security it346 wk4-1
Information system security it346 wk4-1
Bee Lalita
Information system security wk4-1
Information system security wk4-1
Bee Lalita
Information system security wk3-2
Information system security wk3-2
Bee Lalita
Information system security wk3-2
Information system security wk3-2
Bee Lalita
Information system security wk3-1
Information system security wk3-1
Bee Lalita
More from Bee Lalita
(10)
Information system security wk5-1-pki
Information system security wk5-1-pki
Information system security wk5-1-pki
Information system security wk5-1-pki
Information system security wk4-cryptography-2
Information system security wk4-cryptography-2
Information system security wk4-cryptography-2
Information system security wk4-cryptography-2
Information system security wk4-2
Information system security wk4-2
Information system security it346 wk4-1
Information system security it346 wk4-1
Information system security wk4-1
Information system security wk4-1
Information system security wk3-2
Information system security wk3-2
Information system security wk3-2
Information system security wk3-2
Information system security wk3-1
Information system security wk3-1
Information system security wk6-2
1.
IT346 Information System
Security Week 6-2: Firewall (2) – Firewall Rules ผศ.ดร.มัชฌิกา อ่องแตง Faculty of Information Technology Page 1
2.
นโยบายการรักษาความปลอดภัย สิ่งที่สําคัญที่สุดสําหรับการใช้ firewall คือ
การกําหนดนโยบายการรักษา ความปลอดภัย (Network Security Policy) ถึงแม้ว่า firewall จะมี ประสิทธิภาพแค่ไหน แต่ถ้ามีนโยบายการรักษาความปลอดภัยที่หละหลวมก็ ไม่มีประโยชน์มากนัก กฎที่บังคับใช้นโยบายการรักษาความปลอดภัยใน firewall นั้นเรียกว่า ACL (Access Control List) หรือ Firewall Rule การตรวจสอบกฎใน ACL นั้น ส่วนใหญ่เป็นแบบ First Match โดย firewall จะตรวจสอบกฎทีละข้อตามลําดับจนกระทั่งพบกับกฎที่ตรงกับ เงื่อนไข Faculty of Information Technology Page 2
3.
ความสามารถของ Firewall บังคับใช้นโยบายด้านความปลอดภัยโดยการกําหนดกฎให้กับ ไฟร์วอลล์ ว่าจะอนุญาตหรือไม่ให้ใช้เซอร์วิสชนิดใด ป้องกันการ
login ที่ไม่ได้รับอนุญาตที่มาจากภายนอกเครือข่าย ปิดกั้นไม่ให้ traffic จากนอกเครือข่ายเข้ามาภายในเครือข่ายแต่ก็ยอมให้ผู้ที่ อยู่ภายในเครือข่ายสามารถติดต่อกับโลกภายนอกได้ เลือกป้องกันเน็ตเวิร์กบางส่วนจากการเข้าถึงของเน็ตเวิร์กภายนอก ‣ เช่น ถ้าหากเรามีบางส่วนที่ตองการให้ภายนอกเข้ามาใช้เซอร์วิส (เช่น ถ้ามี Web ้ Server) แต่สวนที่เหลือไม่ตองการให้ภายนอกเข้ามากรณีเช่นนี้เราสามารถใช้ไฟร์ ่ ้ วอลล์ช่วยได้ Faculty of Information Technology Page 3
4.
ความสามารถของ Firewall ทําให้การพิจารณาดูแลและการตัดสินใจด้านความปลอดภัยของระบบเป็นไป ได้ง่ายขึ้น ‣ เนื่องจากการติดต่อทุกชนิดกับเน็ตเวิร์กภายนอกจะต้องผ่านไฟร์วอลล์ ‣
การดูแลที่จุดนีเป็นการดูแลความปลอดภัยในระดับของเน็ตเวิร์ก (Network้ based Security) บันทึกข้อมูลกิจกรรมต่างๆ (audit) ที่ผ่านเข้าออกเน็ตเวิร์กได้อย่างมี ประสิทธิภาพ ‣ Firewall เป็นจุดรวมสําหรับการรักษาความปลอดภัยและการทํา audit (เปรียบเสมือนจุดรับแรงกระแทกของเครือข่าย) ไฟร์วอลล์บางชนิดสามารถป้องกันไวรัสได้โดยจะทําการตรวจไฟล์ที่โอนย้าย ผ่านทางโปรโตคอล HTTP, FTP และ SMTP Faculty of Information Technology Page 4
5.
ข้อจํากัดของ firewall Firewall ไม่สามารถป้องกันการโจมตีที่ไม่ได้กระทําผ่าน
Firewall ‣ อันตรายที่เกิดจากเน็ตเวิร์กภายในไม่สามารถป้องกันได้เนื่องจากอยู่ภายในเน็ต เวิร์กเองไม่ได้ผ่านไฟร์วอลล์เข้ามา ‣ อันตรายจากภายนอกที่ไม่ได้ผ่านเข้ามาทางไฟร์วอลล์เช่นการ Dial-up เข้า มายังเน็ตเวิร์กภายในโดยตรงโดยไม่ได้ผ่านไฟร์วอลล์ ไม่สามารถป้องกันการโจมตีที่เข้ามากับ application protocols ต่างๆ (เรียกว่าการ tunneling) หรือ กับโปรแกรม client ที่มีความล่อแหลม และถูกดัดแปลงให้กระทําการโจมตีได้ (โปรแกรมที่ถูกทําให้เป็น Trojan horse) Faculty of Information Technology Page 5
6.
ข้อจํากัดของ firewall ไม่สามารถป้องกัน virus
ได้อย่างมีประสิทธิภาพ ‣ ถึงแม้จะมีไฟร์วอลล์บางชนิดทีสามารถป้องกันไวรัสได้แต่ก็ยังไม่มไฟร์วอลล์ชนิด ่ ี ใดทีสามารถตรวจสอบไวรัสได้ในทุกๆโปรโตคอล ่ ‣ จํานวน virus มีอยูมากมาย จึงจะเป็นการยากมากที่ firewall จะสามารถ ่ ตรวจจับ pattern ของ virus ทั้งหมดได้ Faculty of Information Technology Page 6
7.
ข้อดี-ข้อเสียของการใช้ไฟร์วอลล์ ข้อดี ‣ ‣ ‣ ‣ ‣ ทําให้การจัดการด้านความมันคงง่ายขึ้น ่ สามารถที่จะสร้างการเก็บข้อมูลและการมอนิเตอร์แบบขั้นซับซ้อนได้ สามารถ VPN โดยการใช้
IPSec ไปหาเครื่องอื่นได้ สามารถแบ่งแยก หรือ แยกปัญหาได้ ซ่อน IP address ของเครื่องภายใน จากภายนอกได้ ข้อเสีย ‣ เป็นคอขวดของระบบ ‣ เป็นจุดผิดพลาดเพียงจุดเดียว ‣ อาจความมั่นใจที่ผิดในสิงที่ทาทีคิดว่าถูก ่ ํ ่ Faculty of Information Technology Page 7
8.
Rules of Packet
Filtering การทํางานของ Packet Filtering อาศัยเงื่อนไขในการตัดสินใจว่าจะ อนุญาตให้ packet ใดๆผ่านไปหรือไม่ จากกฏใน Access Control List (ACL) ACL กําหนดเงื่อนไขของข้อมูลสื่อสาร หรือ ทราฟฟิก (traffic) ที่ได้รับ อนุญาต (permit) ให้เข้าถึง หรือ ถูกปฏิเสธ (deny) ไม่ให้เข้าถึงเครือข่าย Faculty of Information Technology Page 8
9.
พฤติกรรมของ ACL โดยทั่วไป ลําดับบรรทัดของ
Access Control Entry (ACE) แต่ละบรรทัดที่ถูกสร้าง ลงไปใน ACL จะมีความสําคัญมาก ทุกๆ ACL ที่สร้างขึ้นมาจะมีเงื่อนไขสุดท้ายที่ถูกซ่อนไว้เสมอ เรานิยม เรียกว่า implicit deny all ซึ่งคือ ทราฟิกใดๆ ที่ไม่สอดคล้องกับเงื่อนไขใน บรรทัดต่างๆ ก่อนหน้านี้ ทราฟิกนั้นจะถือว่า ถูกปฏิเสธ (deny/block) ไป โดยปริยายและถูกโยนทิ้งไปโดยอัตโนมัติ Faculty of Information Technology Page 9
10.
พฤติกรรมของ ACL โดยทั่วไป ACL
จะถูกไล่เปรียบเทียบจากบรรทัดบนลงล่าง ทีละบรรทัด จนกว่าจะพบ บรรทัดที่มีเงื่อนไขสอดคล้องกับแพ็กเก็ตที่วิ่งเข้ามาให้ตรวจเช็กในขณะนั้น เมื่อเงื่อนไขที่สอดคล้อง Firewall (ซึ่งส่วนมากจะติดตั้งที่เราเตอร์) จะดูว่า action ที่ตั้งไว้เป็น allow (permit) หรือ block (deny) ‣ หากเป็น allow เราเตอร์จะอนุญาตให้ทราฟิก (traffic) นั้นวิ่งผ่านไปได้ ‣ แต่ถ้าเป็น block ทราฟิก (traffic) นั้นจะถูกโยนทิง (drop) ไป ้ Faculty of Information Technology Page 10
11.
ตัวอย่าง Firewall Rules Source Destination Protocol Action Address Port Address Port * * 119.46.85.5 * * Block * * 192.168.10.1 22 TCP Allow 192.168.*.* * * 22 TCP Allow * * * 80 TCP Allow * * * 80 UDP Allow * * * * * Block Faculty
of Information Technology Page 11
12.
ตัวอย่าง Firewall Rules ไม่อนุญาตให้
host ใดๆ เชื่อมต่อไปยัง IP Address 119.46.85.5 ไม่ว่าจะเป็น port ใดๆ หรือ protocol ใดๆ ‣ เช่น เมื่อ 119.46.85.5 เป็น host อันตราย อนุญาตให้ host ใดๆ เชื่อมต่อมายัง IP Address 192.168.10.1 ผ่าน port 22 ด้วย TCP protocol ได้ ‣ เช่น เมื่อ 192.168.10.1 เป็น Server ของเรา และให้บริการ SSH (port 22) อนุญาตให้ host ภายในใดๆ เชื่อมต่อไปยัง IP Address ใดๆ ผ่าน port 22 ด้วย TCP protocol ได้ ‣ อนุญาตให้เชื่อมต่อไปยัง Server ใดก็ได้ที่ให้บริการ SSH อนุญาตการเชื่อมต่อผ่าน port 80 (HTTP) ได้ทั้ง TCP และ UDP protocol ไม่อนุญาตการเชื่อมต่อแบบอื่น ที่ไม่ระบุใน ACL Faculty of Information Technology Page 12
13.
ตัวอย่าง Packet Filtering
Rules Source Src Port Destination Dest Port Action Comment 75.13.126.11 * 75.13.126.11 * Block ไม่เชือถือ server นี้ ่ * * 192.168.1.1 25 Allow Connection มายัง SMTP ของเรา Packets มาจากหรือส่งไปยัง 75.13.126.11 ถูก blocked เนื่องจากโฮสต์ดังกล่าวไม่น่าไว้วางใจ อนุญาตให้รับ inbound email (port 25 = SMTP incoming) จากภายนอกเข้ามาได้ แต่เข้ามายัง gateway 192.168.1.1 ได้เท่านั้น Source Src Port Destination Dest Port Flag Action Comment * * * * * Block Default มีการระบุ default policy มักใส่กฏข้อนี้ไว้เป็นข้อสุดท้ายเสมอ กล่าวคือ ให้ Block การเชื่อมต่อที่ นอกเหนือจากกฏที่ระบุไว้แล้ว Faculty of Information Technology Page 13
14.
ตัวอย่าง Packet Filtering
Rules Source Src Port Destination Dest Port 192.168.*.* * * * * * * * * * * >1024 Flag Comment Allow ACK Actio n การเชื่อมต่อขาออก Allow ตอบกลับการเชื่อมต่อขาออก Allow Traffic ไปยังเครื่องที่ไม่เป็น Server หลังจากที่ TCP connection ถูกเชื่อมต่อแล้ว จะมีการเซ็ต Flag ACK เพื่อตอบรับกลับ ตัวอย่างกฏที่จัดการกับ FTP connections FTP ประกอบด้วยการเชื่อมต่อแบบ TCP 2 การเชื่อมต่อทํางานประสานกัน: ‣ control connection ใช้ในการ setup ก่อนการส่งข้อมูล ‣ data connection ใช้ในการส่งข้อมูล Data connection ใช้ port หมายเลขที่กําหนดโดย Server โดยมักจะใช้ port หมายเลขสูงๆ กฏชุดนี้อนุญาต ‣ Traffic จากเครือง client ภายใน สามารถเชื่อมต่ออกไปออกไปภายนอกได้ ่ ‣ Traffic จากภายนอก สามารถตอบกลับการเชื่อมต่อ (ACK) เข้ามาหาเครื่องภายในใดๆได้ ‣ Traffic จากภายนอก สามารถเชื่อมต่อมายังเครื่อง client เฉพาะที่เข้ามายัง port หมายเลขสูงๆ Faculty of Information Technology Page 14
15.
กิจกรรม 1: วิเคราะห์
Firewall Rules จับกลุ่ม 2 – 3 คน พิจารณา Firewall Rules ที่กําหนดให้ เพื่อวิเคราะห์ข้อดี – ข้อจํากัด ของ Firewall Rules แต่ละชุด Faculty of Information Technology Page 15
16.
กิจกรรม 1: วิเคราะห์
Firewall Rules Source Src Port Destination Dest Port * * * 25 Flag Action Comment Allow Connection ไปยัง SMTP ภายนอก SMTP (Simple Mail Transfer Protocol) ใช้ Port 25 เป็น port default ที่รับการเชื่อมต่อสําหรับ SMTP จุดประสงค์ของกฏข้อนี้คือ เพื่อที่จะอนุญาตให้เปิดการเชื่อมต่อไปยังบริการ SMTP ภายนอกได้ จุดอ่อนของการตั้ง Firewall Rules ในข้อนี้คืออะไร จงอธิบาย จงแนะนําการตั้ง Firewall Rules ที่เหมาะสมสําหรับกรณีนี้ Faculty of Information Technology Page 16
17.
สรุป ถึงแม้ว่า firewall จะเป็นเครื่องมือที่สามารถนํามาใช้ป้องกันการโจมตีจาก ภายนอกเครือข่ายได้
อย่างมีประสิทธิภาพ การที่จะใช้ firewall ให้ได้ ประโยชน์สูงสุดนั้นจะขึนอยู่กับนโยบายความปลอดภัยโดยรวมขององค์กร ้ ด้วย แม้แต่ firewall ที่ดีที่สุดก็ไม่สามารถนํามาใช้แทนการมีจิตสํานึกในการที่จะ รักษาความปลอดภัย ภายในเครือข่ายของผู้ที่อยู่ในเครือข่ายนั้นเอง Faculty of Information Technology Page 17
18.
Network Address Translation
(NAT) NAT ไม่ใช่เทคโนโลยีของ firewall แต่ firewall ส่วนใหญ่รวมฟังก์ชันการ ทํางานนี้เข้าไว้ด้วย NAT เป็นเทคโนโลยีที่ใช้สําหรับการแก้ปัญหาหมายเลขไอพีบนอินเทอร์เน็ต ที่ไม่เพียงพอ Faculty of Information Technology Page 18
19.
Network Address Translation
(NAT) หลักการทํางานของ NAT นั้นจะคล้ายกับหลักการทํางานของ Stateful Inspection Firewall แต่มีส่วนเพิ่มเติมคือ ‣ Firewall จะเปลี่ยนแอดเดรสของทุกแพ็กเก็ตที่ต้องส่งออกไปข้างนอก ‣ เมื่อ NAT gateway ได้รับแพ็กเก็ตจากคอมพิวเตอร์ภายในที่ใช้ Private IP (10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/24) ที่จะต้องส่งต่อไปยัง อินเทอร์เน็ต NAT จะบันทึกหมายเลขไอพีที่เป็น source address, source port, destination address, destination port หลังจากนั้น NAT จะเปลี่ยน source address ให้เป็นหมายเลข IP address จริงของ firewall แล้วส่งต่อไป Faculty of Information Technology Page 19
20.
Network Address Translation
(NAT) 2: NAT router เปลี่ยน source address ของ datagram จาก 10.0.0.1, 3345 เป็น 138.76.29.7 พอร์ต 5001, พร้อมอัปเดต NAT table 2 WAN side address LAN side address 138.76.29.7, 5001 10.0.0.1, 3345 …… …… S: 10.0.0.1, 3345 D: 128.119.40.186, 80 10.0.0.1 S: 138.76.29.7, 5001 D: 128.119.40.186, 80 138.76.29.7 S: 128.119.40.186, 80 D: 138.76.29.7, 5001 3 3: Reply กลับมายัง destination address: 138.76.29.7 พอร์ต 5001 Faculty of Information Technology 1: host 10.0.0.1 ส่ง datagram ไปยัง 128.119.40.186, 80 NAT translation table 1 10.0.0.4 S: 128.119.40.186, 80 D: 10.0.0.1, 3345 10.0.0.2 4 4: NAT router เปลี่ยน destination address ของ datagram จาก 138.76.29.7 พอร์ต 5001 เป็น 10.0.0.1 พอร์ต 3345 10.0.0.3 Page 20
Download now