ตอนที่ 2.
การติดตั้งและใช้งานIPCop

เรื่องที่ 1  ทำไมต้องติดตั้ง Firewall ด้วย IPCop

ทำไมต้องติดตั้ง Firewall ด้วย IPCop
        การตอบคำถามว่า ทำไมต้องติดตั้ง Firewall คงจะไม่ต้องถามกันแล้ว เพราะได้กล่าวถึงมาแล้ว แต่คำถามที่สงสัยคือ ทำไมต้องใช้ IPCop เป็น Firewall ไม่มีอย่างอื่นที่ดีกว่า IPCop อีกแล้วหรือ เพราะตามที่เราทราบกัน การติดตั้ง Firewall ทำได้มากมายหลายวิธี ทำไมจึงต้องเป็น IPCop
 ก่อนอื่นเรามาทบทวนกันอีกนิด ถึงความจำเป็นกันก่อนว่า ทำไมต้องติดตั้ง Firewall
      1 การขยายเครือข่าย ICT ของหน่วยงานการศึกษานอกโรงเรียน ด้วยการติดตั้ง Web Server เพื่อให้สามารถให้บริการการศึกษานอกโรงเรียนอย่างกว้างขวาง ทำให้เครื่อง Server ไม่ปลอดภัยจากผู้บุกรุกจากภายนอกที่อาจจะสร้างความเสียหายให้กับข้อมูลที่มีในเครื่อง Server ของเรา
 ยกตัวอย่างที่เห็นชัดเจนที่สุดเช่น ปัจจุบัน ศูนย์การศึกษานอกโรงเรียนภาคตะวันออก เฉียงเหนือ กำลังให้บริการการอบรมทางไกลผ่านทางเครือข่าย Internet โดยติดตั้งระบบ       e-Training ทีเครื่อง Server ที่ทำหน้าที่เป็น web server ซึ่งปัจจุบันมีผู้ลงทะเบียนเข้ารับการอบรมประมาณสามพันคน และกำลังอยู่ระหว่างการเรียนรู้จากบทเรียน และระบบก็มีการเก็บข้อมูลต่างๆ ของผู้เข้ารับการอบรม รวมทั้งของมูลการเข้าเรียน

         ถ้าเครื่อง Server ดังกล่าว เกิดความเสียหาย ย่อมจะส่งผลเสียต่อข้อมูลของผู้เข้าเรียนจำนวนนสามพันคน ซึ่งจะมีผลต่อการประเมินผลการปฏิบัติงาน ดังนั้น จะต้องมีระบบเข้ามาช่วยรักษาระบบความปลอดภัยของข้อมูลเหล่านั้น
         2 การให้บริการ Internet ภายในหน่วยงาน ที่ขาดการจัดการให้มีการใช้งานอย่างมีประสิทธิภาพ และเหมาะสม มีผลทำให้ไม่สามารถใช้งานได้อย่างเกิดประโยชน์สูงสุด และใช้งานโดยไม่ผิดกฎหมาย
 ทุกวันนี้ หน่วยงาน มีการให้บริการ Internet อย่างอิสระ ทุกคนจึงใช้งานได้อย่างกว้างขวาง และบางท่านอาจจะใช้งานจนเกินขอบเขตความพอดี ทำให้มีผลกระทบต่อส่วนรวม หรือไปละเมิดสิทธิส่วนบุคคลของบางคน หรือการใช้ในในทางทุจริต ซึ่งปัจจุบัน ได้มีกฏหมายว่าด้วยการกระทำความผิดทางคอมพิวเตอร์ออกมาควบคุมการกระทำดังกล่าว

         ถ้าไม่มีระบบการจัดการเครือข่ายที่ดี จะมีผลต่อประสิทธิภาพการให้บริการ Internet รวมทั้ง ไม่สามารถป้องการการกระทำความผิดทางคอมพิวเตอร์ได้

         ด้วยเหตุผลและความจำเป็นหลัก 2 ประการ ดังกล่าว  จึงต้องมีวิธีการเข้ามาจัดการและกรั่นกรองการใช้งานของเครือข่าย Network ของหน่วยงาน ซึ่ง ระบบ Firewall เป็นเครื่องมือที่ช่วยแก้ปัญหาทั้ง 2 ประการได้ระดับหนึ่ง เพราะนอกจากจะช่วยป้องกันการบุกรุกจากภายนอกแล้ว ยังช่วยการใช้งานภายในให้มีประสิทธิภาพ และช่วยป้องกัน การกระทำผิดกฎหมายของผู้ใช้งาน

หลักการทำงาน ของ IPCop
         หลักการที่สำคัญที่สุดของ IPCop คือ การทำหน้าที่ป้องกันเครื่อข่าย ภายในของเรา ให้ปลอดภัยจากอัตรายจากภายนอก ซึ่งเราเปรียบเหมือนกับไฟ เครื่องคอมพิวเตอร์ที่ติดตั้ง IPCop จะทำหน้าที่เหมือนกับ กำแพงกันไฟ คอยป้องกันการร้องขอ (Request) หรือคำสั่งที่ไม่ต้องการ ไม่ให้ผ่านเข้ามาในระบบเครือข่ายภายใน แต่ในทางตรงข้าม การร้องขอที่ไม่มีอัตราย จะสามารถผ่านเข้ามาในเครือข่ายภายในได้
         ด้วยหลักการดังกล่าวนี้เอง จึงทำให้เราสามารถบริหารจัดการการใช้งานเครือข่ายได้อย่างมีประสิทธิภาพหลายประการ เช่น
         การป้องการผู้ใช้งานภายในเครือข่าย ไม่ให้ใช้งาน Internet ในทางเสียหาย หรือผิดกฎหมาย เพราะสามารถป้องกันไม่ให้สามารถไปใช้ website ที่ไม่เหมาะสม
 การป้องกันไม่ให้คำสั่งที่ผิดปกติเข้ามาในเครื่อข่าย ซึ่งจะมาเบียดบังช่องทางการไหลของข้อมูล ทำให้การจราจรทางคอมพิวเตอร์ หนาแน่น จึงมีผลทำให้ การใช้งาน Internet มีความเร็วเพิ่มขึ้น เป็นช่วยเพิ่มประสิทธิภาพในการสืบค้นข้อมูล
         ดังนั้น ความต้องการพื้นฐานของเราคือทำอย่างไรจะทำให้หน่วยงานของเราสามารถ  ใช้งาน Internet ได้อย่างมีประสิทธิภาพ เช่น มีความเร็ว (เต็มตามศักยภาพที่มี) ใช้ Internet เฉพาะที่มีประโยชน์ ป้องกันสิ่งแปลกปลอมที่เข้ามาทำให้การใช้งาน Internet มีปัญหา
         ทำอย่างไรจะทำให้ Web Server ของเราปลอดภัยจากผู้บุกรุกจากภายนอกด้วยวิธีการต่างๆ หรือบุกรุกเข้ามายากขึ้น

อนุญาตเฉพาะที่เราต้องการให้เข้ามาใน Network เท่านั้น

          ดังนั้น IPCop จึงแบ่งคอมพิวเตอร์ที่จะใช้งานใน Network ออกเป็นกลุ่ม (Zone) ตามลักษณะการใช้งาน Network คือ
         Green Zone เป็น Zone สีเขียว เป็นเหมือนพื้นที่ภายในที่ใช้งานได้ปลอดภัย เพราะใช้ Private IP ที่เครื่อข่ายจากภายนอกไม่สามารถเข้ามาได้ แต่ผู้ใช้งานจากเครื่องคอมพิวเตอร์ใน Zone สีเขียว ซึ่งถือว่า อยู่ภายใน สามารถติดต่อกับภายนอกได้
         Orange Zone เป็น Zone สีส้ม ที่ไม่ปลอดภัยเท่าไรนัก เพราะอนุญาตให้ภายนอกเข้ามาได้เท่าที่กำหนด เปรียบเหมือนบ้านที่อนุญาตให้คนภายนอกเข้ามาได้แค่ห้องรับแขกเท่านั้น ดังนั้น เครื่องคอมพิวเตอร์ใน Zone นี้ จึงเป็นเครื่องที่ติดตั้ง Web server ที่เผยแพร่ Website   ที่ต้องยอมให้ผู้ใช้งานจากภายนอกเข้ามาเปิด Website จากภายในเครื่อง Server
         Red Zone เป็น Zone สีแดง ที่มีอันตราย เพราะต้องติดต่อกับภายนอกโดยตรง บุคคลจากภายนอก สามารถเข้ามาได้ ถ้าไม่มีการป้องกันที่ดี เปรียบเหมือนหน้าบ้าน ที่ใครจะผ่านมาก็ได้
         Blue Zone เป็น Zone สีน้ำเงิน ที่ผู้ใช้งานสามารถเชื่อต่อเข้ามาผ่านช่องทางไร้สาย สำหรับผู้ใช้งานถือว่าปลอดภายจากภายนอก แต่ถ้าผู้ใช้งานนั้น มีเจตนาไม่ดี ก็ถือว่าอันตราย เพราะถือว่าเป็นผู้ใช้งานภายใน ที่สามารถเข้าไปทำลายระบบได้ ดังนั้น ผู้ที่จะเข้ามาผ่าน Zone จะต้องได้รับอนุญาตก่อน
 ดังนั้น ผู้ดูแลระบบ จะต้องออกแบบเครือข่ายในหน่วยงาน ว่า มีลักษณะการใช้งานอย่างไร เพื่อจะได้กำหนดรูปแบบ Firewall ได้อย่างเหมาะสม

โปรแกรม IPCop ทำอะไรได้บ้าง
         จากหลักการดังกล่าว โปรแกรม IPCop จึงเปรียบเหมือนกับกำแพงที่ตั้งขวางหน้าเครื่องคอมพิวเตอร์ภายในหน่วยงาน (ที่ทำหน้าที่ต่างๆกัน) ของเราทั้งหมดแล้วทำหน้าที่ในการกรองการใช้งานของบุคคลภายนอก ที่จะเข้ามาใช้งานเครื่องคอมพิวเตอร์ภายในหน่วยงาน ให้สามารถเข้ามาใช้ได้ตามที่กำหนดสิทธิ์ให้ และขณะเดียวกัน ก็ทำหน้าที่เฝ้าระวังและตรวจความผิดปกติต่างๆ ของการใช้งานในระบบ
         บริหารงานเครื่อง IPCop โดยใช้ HTTP ผ่านทางเครื่องคอมพิวเตอร์ใน Green Zone ผ่านทาง Browser โดยผ่านทาง Port 81 และรองรับการเข้ารหัส SSL ผ่านทาง Port 445 หรือ Port อื่น ที่กำหนด ทำให้สามารถเข้าไปดูแล และตรวจสอบ ดูแล Network ได้โดยสะดวกและมีความปลอดภัย

         เราสามารถเข้าไปควบคุมการทำงานของ IPCop ที่ติดตั้งไว้ที่เครื่อง Server โดยไม่ต้องเปิดใช้งานจากเครื่อง IPCop แต่จะควบคุมผ่านทางเครื่อง PC ที่เชื่อมต่อกับ IPCop ทาง Green Zone

          รองรับการบริหารจัดการภายนอกด้วย Port 222

        เราสามารถกกำหนดให้ IPCop เปิด Port 222 เพื่อเชื่อมต่อกับภายนอก เพื่อรับส่ง File กับภายนอก หรือ Remote เข้ามาทำงานในเครื่องคอมพิวเตอร์ที่ติดตั้ง IPCop หลักการในข้อนี้ก็หมายความว่า เราสามารถส่ง  File ข้อมูลเข้ามาในเครื่อง IPCop ได้ (ให้นึกถึงการใช้งาน FTP ในกรณีที่เป็นระบบปฏิบัติการ Windows) แต่ถ้าเราจะส่ง File ข้อมูลเข้ามาในเครื่องที่อยู่ภายใน Network จะทำไม่ได้ ถ้าไม่ได้รับการอนุญาต
 แต่ถ้าเป็นการส่ง File จากภายใน (Green Zone) จะสามารถทำได้ทันทีที่เปิดการใช้งาน Port 222

        IP Portable รองรับกฎในการห้ามไม่ให้ภายนอกเข้ามา และอนุญาตให้ภายในออกไปติดต่อโลกภายนอกได้

         ดังนั้นจึงป้องกันการบุกรุกจากผู้ไม่หวังดีจากภายนอก เพราะสามารถอนุญาตให้เข้ามาเฉพาะที่ที่ต้องการ แต่ขณะเดียวกัน ผู้ที่อยู่ภายในเครื่องข่ายภายในจะสามารถติดต่อกับภายนอกได้

         รองรับความสามารถของ Proxy สามารถเก็บข้อมูล Website ที่เคยเข้าไปใช้เพื่อให้การเข้าใช้ website นั้นในครั้งต่อไป เปิดได้จาก ข้อมูลที่เก็บไว้ ทำให้สามารถเข้าใช้ Website ได้เร็วขึ้น

          Snort รองรับความสามารถของ IDS ซึ่งรอบรับทั้งการให้บริการแบบ เรียลไทม์ และการ Update ด้วยมือ รวมถึงการจัดบริหาร Traffic Shaping ที่ควบคุมการจราจรสามระดับ คือ High Medium และ Low

         ผู้ใช้งานภายนอกสามารถเข้ามาในเครือข่าย ผ่าน Port 80 เข้ามาใน Orange Zone เพื่อเปิด Website ในเครื่อง Web Server ได้ หรือเข้าใช้ผ่าน Port อื่นๆ ที่กำหนด เช่น Port 21 เพื่อ FTP โดยใช้วิธีการที่เรียกว่า PORT FORWARDING ซึ่งไม่ได้เข้ามาโดยตรง

เรื่องที่ 2  การติดตั้ง IPCop

         เมื่อรู้หลักการคร่าวๆ ของ IPCop  แล้ว ก็มีถึงขั้นตอนในการติดตั้งได้เลยครับ ว่ามีวิธีการติดตั้งอย่างไร ท่านที่มีเครื่องคอมพิวเตอร์ และอุปกรณ์ อาจจะลองติดตั้งไปพร้อมกับการศึกษาคู่มือนี้เลยก็ได้ครับ  ในขั้นตอนการติดตั้งจะแบ่งกระบวนการติดตั้งออกเป็น 3 ขั้นตอน คือ
         ขั้นที่ 1 เตรียมอุปกรณ์ (Hardware)
         ขั้นที่ 2 ออกแบบระบบ (Network)
         ขั้นที่ 3 ติดตั้งอุปกรณ์ (LAN Card)
         ขันที่ 4 ติดตั้ง IPCop (Software)
         ขั้นที่ 5 ทดสอบการใช้งาน
         ขั้นที่ 6 ติดตั้งโปรแกรมเสริม (Add On)

ขั้นที่ 1 เตรียมอุปกรณ์ (Hardware)
       อุปกรณ์คอมพิวเตอร์ และเครือข่ายที่ต้องจัดเตรียมเพื่อติดตั้ง IPCop มีดังนี้

          เครื่องคอมพิวเตอร์ ที่จะนำมาติดตั้งระบบ Fire Wall เป็นเครื่อง server ที่จะติดตั้งโปรแกรม IPCop อาจจะเป็นเครื่อง PC หรือ เครื่อง Server แต่ควรจะเป็นเครื่อง Server สำหรับหน่วยงาน กศน. แนะนำให้ใช้เครื่องยี่ห้อ  Powel ที่ได้รับการจัดสรรมาให้จากสำนักบริหารงานการศึกษานอกโรงเรียน แต่ ศนจ. ใดไม่มีก็อาจจะใช้เครื่องอื่นได้

เครื่อง PC                   เครื่อง Server                     เครื่อง Server ยี่ห้อ Powel

         ในกรณีที่ศูนย์การศึกษานอกโรงเรียนนจังหวัดใดมีเครื่อง Server เพียง 2 เครื่อง และต้องการนำไปติดตั้ง Web Server ทั้ง 2 เครื่อง อาจจะต้องใช้เครื่อง PC มาติดตั้ง IPCop แต่ต้องระวังเรื่องความร้อน และเครื่องอาจจะใช้งานได้ไม่ยาวนานนัก ดังนั้น ต้องมีวิธีการดูแลเรื่องความร้อน และแนะนำว่า ควรใช้เป็นการชั่วคราวเท่านั้น
          LAN Card  ควรเป็นยี่ห้อเดียวกัน โดยใช้ Chip Set ของ Real Tek  เช่น RTE8139 Fast Ethernet แต่ถ้าใช้เครื่อง Server ของ Powel ไม่ต้องซื้อเพิ่มเติม เพราะในเครื่อง Server มี LAN Card อยู่แล้ว แต่ถ้าใช้เครื่องอื่นๆ มักจะมี LAN Card อยู่แล้ว 1 ใบ ซื้อเพิ่มอีกเพียง 2 ใบ แต่โดยสรุปคือ ในเครื่องที่จะติดตั้ง IPCop จะต้องมี LAN Card 3 ใบ หรือในกรณีที่ต้องการกับอุปกรณ์ไร้สาย (Wireless) ก็เพิ่ม  LAN Card เป็น 4 ใบ

         ปัญหาที่มักจะพบคือ LAN Card บางยี่ห้อจะใช้ไม่ได้ต้องตรวจสอบจากคู่มือการใช้โปรแกรม IPCop ว่า ใช้ LAN Card ยี่ห้ออะไรได้บ้าง แต่ให้สังเกตว่า Chip Set ของ RealTek จะสามารถนำมาใช้ได้
 หมายเหตุ   LAN Card ที่สามารถนำมาใช้ได้ ให้ดูรายละเอียดจากรายการในภาคผนวก

         สาย UTP หรือสาย LAN เป็นสายที่ต่อกับหัว RJ45
 เตรียมสาย UTP ไว้ใช้เพื่อทดสอบการทำงาน และใช้ในการทำงานจริง โดยสายจะต้องเชื่อมต่อกับหัว RJ45 ให้เรียบร้อย ส่วนจะต่อแบบใดนั้น ขึ้นอยู่กับว่า การทดลองใช้งานนั้น มีอุปกรณ์ Switch หรือไม่ โดยมีหลัการพิจารณาดังนี้

           ในกรณีที่ทดลองใช้งาน อาจจะเชื่อมต่ออุปกรณ์ต่างๆ เข้าด้วยกันโดยตรง โดยไม่ผ่าน Switch การต่อหัว RJ45 กับ สาย UTP จะต่อแบบไขว้ จำนวน 2 เส้น หรือ ในกรณีที่ต่อผ่าน Switch หรือการใช้งานจริง จะต้องต่อผ่าน Switch ดังนั้น จึงต้องต่อแบบตรง จำนวน 2 เส้น สายที่ต่อเชื่อมกับ Router จะต้องต่อแบบ ตรง จำนวน 1 เส้น ดังนั้น การเตรียมสาย LAN ให้เตรียมสายแบบไขว้ 2 สาย และตรง 1 สาย
         กรณีการทดสอบโดยไม่มี Switch หรือสาย LAN แบบตรง 3 สาย กรณีที่มี switch

         Switch
           ถ้าจะใช้ Switch ซึ่งจะต้องใช้งานจริง จำเป็นจะต้องชื่อไว้ จำนวน 1 ตัวเป็นอย่างน้อย  โดยซึ้อจำนวน Port ให้เพียงพอกับจำนวนเครื่อง คอมพิวเตอร์ และถ้าเป็นแบบ Switch Layer 2 ก็ขะช่วยให้การทำงานดีขึ้น ในกรณีที่จะใช้เครื่องที่ทำหน้าที่ web server เพียงเครื่องเดียว ทาง Zone สีส้มอาจจะไม่ต้องใช้ Switch ก็ได้ โดยต่อตรงจากเครื่อง Server ไปยังเครื่อง IPCop

 
  Switch 24 P0rt                                             Switch 8 Port

 ดังนั้น การจะใช้อุปกรณ์อย่างไรขึ้นอยู่กับการออกแบบการต่อเชื่อม ดังนี้

 รูปแบบที่ 1 การต่อ Network แบบสมบูรณ์ที่จะนำไปใช้งานจริง โดยใช้ Switch เป็นอุปกรณ์การเชื่อมต่อคอมพิวเตอร์ใน Zone ต่างๆ

 รูปแบบที่ 2 การเชื่อมต่อเพื่อทดสอบระบบ โดยไม่ใช้ Switch

          Router เป็นอุปกรณ์ที่ศูนย์การศึกษานอกโรงเรียนจังหวัดแต่ละแห่งมีอยู่แล้ว เป็นอุปกรณ์ที่ต่อกับสายแบบ Leased Line เพื่อใช้ในการเผยแพร่ Website จากเครื่อง Server ของหน่วยยงาน

         ในกรณีที่ไม่มีอุปกรณ์ Router จะเป็นอุปกรณ์อื่นๆ คือ Modem เช่น ADSL Modem เป็นอุปกรณ์ที่ใช้เพื่อให้บริการ Internet ภายในหน่วยงาน (ไม่สามารถเผยแพร่ Website จาก Server ของหน่วยงานได้)
          NTU เป็นอุปกรณ์ ที่ศูนย์การศึกษานอกโรงเรียนจังหวัดแต่ละแห่งมีอยู่แล้วเช่นเดียวกัน เป็นอุปกรณ์แปลงสัญญาณ ของ TOT ซึ่งปัจจุบันส่วนมาก ใช้เชือมต่อที่ความเร็ว 512 Kbps

          เครื่องคอมพิวเตอร์ เพื่อใช้ทดสอบ
                เครื่องคอมพิวเตอร์ที่ใช้ในการตรวจสอบ อาจจะเป็นเครื่อง Note Book หรือ PC ก็ได้  จำนวน 2 เครื่อง โดยทั้ง 2 เครื่องจะต้องติดตั้ง LAN Card ไว้ด้วย

 เครื่องที่ใช้ทดสอบนี้แบ่งออกเป็น 2 เครื่อง คือ
 เครื่องใน Zone เขียว เช่นเครื่อง Note Book ทางซ้าย ต้องสามารถใช้งาน Internet ได้
 เครื่อง ใน Zone ส้ม เช่น เครื่อง PC ทางขวา ควรติดตั้ง Web server ให้พร้อม รวมทั้งมี Website ติดตั้งอยู่ในเครื่องที่พร้อมที่จะทดสอบ

           อุปกรณ์การเข้าหัวสาย และเครื่องตรวจสอบ (Network Cable Tester)  กรณีที่สาย LAN ที่เตรียมไปไม่พอ หรือมีปัญหา ต้องทำสาย LAN ใหม่

          ปลั๊กไฟ

ขั้นที่ 2 ออกแบบระบบ (Network)
         เมื่อเตรียมอุปกรณ์ต่างๆ พร้อมแล้ว ก็เตรียมที่จะออกแบบ Network ว่าจะใช้รูปแบบใด ซึ่งจะต้องศึกษาเรื่อง IPCop ก่อน ว่า แนวคิดในการออกแบบ Firewall เป็นอย่างไร ซึ่งการออกแบบนี้ จะนำไปสู่การเชื่อมต่ออุปกรณ์จริง

             การออกแบบระบบ จะต้องพิจารณาถึงการใช้งาน Network ของหน่วยงานเรา ว่าต้องการใช้อย่างไรบ้าง ก็ออกแบบระบบให้สอดคล้องกับการใช้งานดังนี้
         รูปแบบที่ 1 ใช้งานเฉพาะเครือข่ายภายใน (LAN) ใช้กรณีที่ต้องการเชื่อมต่อเฉพาะเครือข่าย ภายในหน่วยงาน ในบ้านเท่านั้น ไม่ต้องการใช้ Internet (เชื่อมต่อกับภายนอก)
         รูปแบบที่ 2 ใช้งานเครือข่ายภายใน และสามารถใช้ Internet ได้ ใช้ในกรณีที่ต้องการให้เครือข่ายภายในหน่วยงาน สามารถใช้งาน Internet ได้ โดยการเชื่อมต่อกับภายนอกผ่าน Leased line หรือ ADSL หรืออื่นๆ
         รูปแบบที่ 3  ใช้งานเครือข่ายภายใน สามารถใช้ Internet และเชื่อต่อเครือข่ายผ่าน Wreless ได้ ใช้ในกรณีเดียวกับรูปแบบที่ 2 แต่ต้องการใช้เชื่อมต่อคอมพิวเตอร์ภายในหน่วยงานผ่านทางอุปกรณ์ไร้สาย (wireless) ได้ด้วย โดยไม่ต้องเสียบสาย UTP (สาย LAN)
         รูปแบบที่ 4 ใช้งานเครือข่ายภายใน สามารถใช้ Internet เชื่อต่อเครือข่ายผ่าน Wrelessและเผยแพร่ Website ของหน่วยงานได้ ในในกรณีที่หน่วยงานของเรา มีอุปกรณ์ที่สามารถเผยแพร่ Internet ได้ คือ Router และหน่วยงานของเรา มีหมายเลข IP  ที่สามารถเผยแพร่ Website ได้
 โดยปกติแล้ว หน่วยงาน กศน. ในระดับจังหวัด สามารถออกแบบระบบ ในรูปแบบ ที่ 4 เพราะมีอุปกรณ์ทุกอย่างพร้อม

ขั้นตอนการติดตั้ง
        เมื่อตัดสินใจว่า จะเลือกรูปแบบใดแล้ว ก็ถึงขั้นตอนการออกแบบ ถ้าเรามีโปรแกรม Visio ก็เปิดโปรแกรมนี้ขึ้นมาออกแบบ เพราะจะช่วยให้ออกแบบง่ายขึ้น แต่ถ้าไม่มีก็ไม่เป็นไร เขียนลงบนกระดาษก็ได้
 
 สิ่งที่สำคัญของการออกแบบนี้ก็คือ การกำหนดว่า จะแบ่ง Network ของเราออกเป็นกี่ Zone (ในที่นี้เรากำหนดเป็น 4 Zone) ต่อจากนั้นก็กำหนดว่า แต่ละ Zone จะกำหนดหมายเลข IP ให้เป็นหมายเลขอะไร แล้วเขียนหมายเลข IP กำกับไว้ให้ชัดเจน  (ดังภาพ)
 การกำหนดหมายเลข IP จะกำหนดให้กับ LAN Card แต่ละใบ ที่จะเชื่อมต่อกับ Network แต่ละ Zone ในเครื่อง IPCop ดังนี้
 LAN Card ใน Red Zone ในกรณีที่เชื่อต่อกับ Leased line กำหนดหมายเลข IP โดยใช้ IP ที่ได้รับการจัดสรรมาให้หน่วยงาน ที่เราเรียกกันว่า IP จริง และเป็น IP ที่ได้รับการ Cofig จาก Router ให้สามารถเชื่อมต่อกับเครือข่าย Internet
 ในกรณีที่เชื่อมต่อกับ ADSL ก็ไม่ต้องกำหนด IP เพราะ จะได้รับการกำหนด IP มาจากระบบ ADSL ซึ่งจะมีลักษณะเป็น Dynamic IP
 LAN Card ใน Green Zone กำหนดให้เป็น IP ภายใน เช่น 192.168.1.1 (เลขตัวสุดท้าย ควรเป็นหมายเลขตัวเลข คือ เลข 1)
 LAN Card ใน Blue Zone กำหนดให้เป็น IP ภายในตัวใดก็ได้ เช่น 192.168.2.1
 LAN Card ใน Red Zone กำหนดให้เป็น IP ภายในตัวใดก็ได้ เช่น 192.168.3.1

ตัวอย่าง การออกแบบ Network ของ ศนอ.

ขั้นที่ 3 ติดตั้งอุปกรณ์ (LAN Card)

         เลือกเครื่องที่จะนำมาทำเป็น Firewall (อาจจะเป็นเครื่อง Server หรือทดลองใช้เครื่อง PC ก่อนก็ได้ แต่การใช้งานจริง แนะนำให้ใช้เครื่อง Server) เปิดฝาครอบ Case ออก แล้วใส่ LAN Card ลงบน Main Board จำนวน 3 ใบ (หรือ 4 ใบกรณีต้องการใช้ Wireless) โดย Land card ควรเป็นยี่ห้อเดียวกัน และรองรับ กับโปรแกรม IPCop (ดูจากรายละเอียดในเอกสาร) เสร็จแล้วปิดฝาครอบให้เรียบร้อย หรืออาจจะเปิดทิ้งไว้ก่อนก็ได้ เพราะอาจจะมีปัญหาที่จะต้องตรวจสอบใหม่ จะได้ไม่ต้องเปิดฝาอีกครั้ง

         ติดตั้ง LAN Card โดย เปิดฝา Case ออก แล้วเสียบ LAN Card ในช่อง PCI บน Main board ให้ครบทั้ง 3 ใบ ซึ่งตอนนี้ เราจะไม่ทราบว่า LAN Card ใบใด จะทำหน้าที่ใน Zone สีใด การเสียบ LAN Card ใส่เสียบให้แน่น แล้วขันน็อตยึดกับตัว Case ให้แน่น  เมื่อเสร็จแล้ว อาจจะเปิดฝา Case ไว้ก่อนก็ได้ เพื่อเอาไว้แก้ไขกรณีที่มีปัญหา

         LAN Card ที่ติดตั้งนี้ จะกำหนดเป็น 3 สี คือ สีแดง สีเขียน และสีส้ม แต่ตอนติดตั้งนี้ จะยังไม่ทราบว่า LAN Card ใบไหน จะเป็นสีอะไร เพราะโปรแกรม IPCop จะเป็นผู้กำหนด
         ในกรณีที่ติดตั้ง LAN Card ในเครื่อง Server บางเครื่อง อาจจะพบปัญหา ดังตัวอย่างภาพด้านล่าง เป็น Mainboard ของเครื่อง Powel ที่หน่วยงาน กศน. หลายหน่วยงานใช้

         จะพบว่า เป็นเครื่องที่ใช้ LAN Card แบบ Onboard จำนวน 3 ใบ และมี Slot แบบ PCI ช่อง ที่เสียบ VGA Card เอาไว้ ส่วนที่เหลือเป็น Slot แบบ PCIX ซึ่ง LAN Card ไม่สามารถเสียบได้
         แนวทางที่ใช้คือ ถอดเอา  VGA Card ออก โดยให้กลับไปใช้ VGA Onboard แล้วเสียบ LAN Card เข้าไปแทนที่ ช่องที่เคยเสียบ VGA Card
ข้อควรระวัง การเลือกใช้ LAN Card มีความสำคัญอย่างมาก เพราะถ้าใช้ ยี่ห้อที่ IPCop ไม่รู้จัก จะไม่สามารถติดตั้ง IPCop ได้ ดังนั้น ก่อนซื้อ LAN Card ให้ดูในรายการก่อนว่า ยี่ห้ออะไรบ้างที่ใช้ได้
 

        ถึงตอนนี้เครื่องคอมพิวเตอร์ของเราก็พร้อมที่จะติดตั้งระบบ Firewall หรือ ติดตั้ง IPCop เข้าไปในเครื่องแล้ว ก่อนติดตั้งตรวจสอบความพร้อมอีกนิด เพื่อไม่ให้มีปัญหา และเสียเวลาในขั้นต่อไป เช่น ดูว่า LAN Card เสียบแน่นหรือไม่