การจัดการความมั่นคงปลอดภัยสารสนเทศ

Assignment 1 

ความมั่นคงปลอดภัยของระบบคอมพิวเตอร์
                 ในการวิเคราะห์เน็ตเวิร์กนั้นนอกจากจะพิจารณาถึงการรักษาความปลอดภัยเป็นประเด็นหลักแล้ว  สิ่งที่ควรนำมาพิจารณาอีกอย่าง  คือการหาวิธีที่ทำให้เน็ตเวิร์กนั้นสามารถสื่อสารได้อย่างมีประสิทธิภาพด้วย หากมีทางเลือกใดที่ทำให้เนิตเวิร์กทำงานได้ดีที่สุด โดยยังคงมีความปลอดภัยเท่าเดิม อีกทั้งปลอดจากภัยคุกคามจากภายนอกและภัยคุกคามที่เกิดขึ้นจากภายในองค์กรเอง ซึ่งภัยคุกคามตามทั้ง 2 ประเภทนั้นส่งผลเสียต่อผู้ใช้ไปไม่ยิ่งหย่อนไปกว่ากันโดยทั่วไปไม่ว่าซอฟต์แวร์หรือฮาร์ดแวร์ที่ใช้งานในโลกนี้ย่อมจะมี ข้อบกพร่องหรือความไม่สมบูรณ์ของการทำงานและการรักษาความปลอดภัย ในตัวเองเป็นปกติถึงแม้ว่าผู้ผลิตจะมีความพยายามในการสร้างผลิตภัณฑ์ที่สมบูรณ์แบบที่สุดอย่างไร ก็ยากที่จะทำให้ผลิตภัณฑ์เหล่านั้นปราศจาก ข้อบกพร่อง ไปได้  จึงพบเห็นเสมอว่ามีการค้นพบช่องโหว่ของระบบต่างๆ ออกไป บางเรื่องก็เป็นช่องโหว่ที่ทำให้แฮคเกอร์สามารถเจาะเข้ามาในระบบได้โดยง่าย บางเรื่องก็ทำให้ผลิตภัณฑ์เหล่านั้นหยุดการทำงานไปเมื่อถูกโจมตี  หรือบางเรื่องก็เป็นแค่สิ่งกวนใจความปลอดภัยของระบบคอมพิวเตอร์คืออะไรความปลอดภัยของระบบคอมพิวเตอร์เป็นกระบวนการที่เกี่ยวข้องกับการป้องกันและตรวจสอบการเข้าใช้งานเครื่องคอมพิวเตอร์โดยไม่ได้รับอนุญาต ขั้นตอนการป้องกันจะช่วยให้ผู้ที่ใช้งานสกัดกั้นไม่ให้เครื่องคอมพิวเตอร์ถูกเข้าใช้งานโดยผู้ที่ไม่ได้รับสิทธิ์ (นิยมเรียกว่า ผู้บุกรุก)
                เนื่องจากในปัจจุบันการบุกรุกเข้าสู่เครือข่ายภายในองค์กร ทั้งจากบุคคลภายในเองและจากอินเตอร์เน็ตนับวันเริ่มทวีความรุนแรงมากขึ้นเรื่อยๆ บางครั้งการบุกรุกอาจจะนำมาซึ่งความเสียหายและสูญเสียเพียงเล็กน้อย แต่ทว่าในบางครั้งก็สามารถนำมาซึ่งความเสียหายและสูญเสียอย่างมากมาสู่องค์กรได้ อาทิ การขโมยเลขบัตรเครดิตที่เก็บอยู่ในอิเล็กทรอนิกส์ไฟล์ การเปิดเผยข้อมูลที่เป็นความลับขององค์กร ของส่วนตัว หรือทางทรัพย์สินทางปัญญา เป็นต้น ซึ่งปัญหาที่เกิดขึ้นสามารถป้องกันได้ด้วยการจัดหาและติดตั้งอุปกรณ์ระบบรักษาความปลอดภัยแก่ข้อมูลและระบบเครือข่ายขององค์กร โดยจะส่งผลให้เป็นการเพิ่มประสิทธิภาพการให้บริการแก่ผู้ใช้และผู้ขอรับบริการ  รวมถึงเป็นการรักษาความมีประสิทธิภาพและเสถียรภาพขององค์กร  
                โดยในปัจจุบันมีเทคโนโยลีทางด้านระบบรักษาความปลอดภัยบนเครือข่ายหลากหลายชนิดและแบ่งแยกตามประเภทของการใช้งาน  
 Firewall   หมายถึง ระบบหรือกลุ่มของระบบที่ทำหน้าที่ควบคุมการสื่อสารที่เกิดขึ้นระหว่างเครือข่ายอย่างน้อย 2 เครือข่าย เพื่อให้การสื่อสารหนึ่งๆ ที่เกิดขึ้นนั้น เป็นไปตามนโยบายเครือข่ายขององค์กร (Network Access Policy) ระบบหรือกลุ่มของระบบดังกล่าวอาจจะอนุญาตหรือไม่อนุญาตให้การสื่อสารหนึ่งๆ เกิดขึ้น ทั้งนี้จะขึ้นอยู่กับนโยบายเครือข่ายขององค์กรที่ได้กำหนดเอาไว้ (อาจจะเป็นลายลักษณ์อักษรหรือไม่ก็ตาม) ระบบหรือกลุ่มของระบบดังกล่าวจะมีคอมพิวเตอร์และซอฟต์แวร์เป็นองค์ประกอบโดยพื้นฐาน เช่น เครือข่ายภายนอกองค์กรซึ่งได้แก่เครือข่ายอินเตอร์เน็ตที่มีขนาดใหญ่ และเครือข่ายภายในองค์กร โดยเครือข่ายทั้งสองนี้จะเชื่อมโยงถึงกันและทำให้เกิดการสื่อสารเข้า – ออก จากองค์กรได้ ระบบหรือกลุ่มงานของระบบซึ่งได้ทำการติดตั้งไว้ภายในองค์กรและทำหน้าที่เป็น Firewall จะทำหน้าที่ควบคุมหรือจำกัดการสื่อสารที่ผ่านเข้า – ออก ระหว่าง 2 เครือข่ายนี้

ทำไมต้องใช้ Firewall
 เนื่องจากบนอินเตอร์เน็ตมีกลุ่มคนประเภทแอตแทกเกอร์ หรือแฮกเกอร์ ที่จะคอยตรวจสอบระบบภายในองค์กร ว่ามีอะไรที่น่าสนใจ และบางครั้งยังรวมถึงการเข้ามาขโมยทรัพย์สินต่างๆ เช่น การขโมยเลขบัตรเครดิตที่เก็บอยู่ในอิเล็กทรอนิกส์ไฟล์ต่างๆ  การเปิดเผยข้อมูลที่เป็นความลับขององค์กร ของส่วนตัว หรือทรัพย์สินทางปัญญาอื่นๆ ซึ่งในกรณีนี้ถือว่าเป็นการกระทำที่ผิดกฏหมาย นอกจากนี้กลุ่มคนดังกล่าวยังอาจจะชอบลองของเว็ปไซด์ดังๆ ของหน่วยงานต่างๆ เช่น  AT&T , NASA ,World Bank, ทำเนียบขาว หรือ สำนักงานประกันสังคม ฯลฯ ซึ่งอาจจะดูแล้วเป็นสิ่งที่ท้าทายสำหรับกลุ่มคนดังกล่าว และเพื่อดูว่าเว็ปไซด์ ของหน่วยงานนั้นๆ มีระบบรักษาความปลอดภัยที่มีความแกร่งต่อการถูกแฮกโดยพวกเขาหรือไม่
                จากสาเหตุที่ได้กล่าว ชี้ให้เห็นว่า ผู้บุกรุก สามารถเข้าสู่ระบบเครือข่ายภายในขององค์กรได้โดยผ่านทางอินเตอร์เน็ต จึงเป็นเหตุให้องค์กรและผู้ดูแลเครือข่ายขององค์กรจะต้องหาทางควบคุมหรือจำกัดการเข้า – ออก จากเครือข่ายขององค์กร ในที่นี้ก็คือการควบคุมการสื่อสารทั้งหมดที่เข้าและออกจากองค์กร และ Firewall เป็นทางเลือกหนึ่งที่มีการใช้งานกันอย่างแพร่หลายและมีประสิทธิภาพ ซึ่งสามารถนำมาใช้เพื่อการควบคุมและลดความเสี่ยงดังกล่าว

Firewall ป้องกันอะไรได้บ้าง
                Firewall จะยอมให้เฉพาะการสื่อสารบางประเภท เช่น  อีเมล์, FTP เป็นต้น เกิดขึ้นได้ระหว่างภายในกับภายนอกองค์กรโดยนโยบายเครือข่ายขององค์กรจะเป็นตัวกำหนดว่าอนุญาตหรือไม่อนุญาต และดังนั้น Firewall จึงทำหน้าที่สกัดกั้นการสื่อสารประเภทอื่นๆ ที่เหลือทั้งหมดที่ไม่ได้กำหนดเอาไว้ในนโยบายเครือข่ายว่าอนุญาตให้กระทำได้ โดยปกติแล้ว Firewall จะทำการตรวจสอบการสื่อสารที่เกิดขึ้นระหว่างภายในและภายนอกองค์กร แต่มักจะอนุญาตให้ผู้ใช้ภายในองค์กรสามารถทำการสื่อสารกันภายในองค์กรได้อย่างเต็มที่ ดังนั้น Firewall จึงเปรียบเสมือนเป็น GateWay (ประตูเข้า - ออก) ขององค์กร และโดยปกติควรจะเป็นประตูเข้า – ออก แต่เพียงทางเดียวเท่านั้น (ไม่ควรมีทางเข้า – ออก อื่นๆ) เพื่อว่า Firewall จะได้สามารถควบคุมการสื่อสารทั้งหมดได้อย่างแท้จริง

                ผู้ดูแลเครือข่ายขององค์กรสามารถทำการกำหนด Config Firewall เพื่อให้ทำการบันทึกการสื่อสารทั้งหมดที่เกิดขึ้น ไม่ว่า Firewall จะอนุญาตให้เกิดการสื่อสารนั้นได้หรือไม่ก็ตาม ข้อมูลต่างๆ ที่เรียกว่า Log ที่ได้จากการบันทึกสามารถนำมาใช้ในการวิเคราะห์ โดยเจ้าหน้าที่ผู้ดูแลเครือข่ายเพื่อตรวจสอบประเภทของการสื่อสารที่เกิดขึ้น ปริมาณการสื่อสารที่เกิดขึ้น นอกจากนั้นแล้วข้อมูล Log นี้ยังอาจจะสะท้อนให้เห็นจำนวนครั้งที่พยายามจะบุกรุกเข้ามาภายในองค์กร

Firewall ป้องกันอะไรไม่ได้ 
                Firewall จะไม่สามารถป้องกันการบุกรุกใดๆ ก็ตามที่ไม่ได้กระทำผ่านทาง GateWay (ประตูเข้า - ออก) ขององค์กร เช่นการลักลอบนำข้อมูลสำคัญขององค์กรออกไปทางสื่อบันทึกข้อมูลแบบอื่นๆ เช่น ทาง Floppy Disk , CD, Fish Drive  หรือบอกความลับขององค์กรผ่านทางโทรศัพท์  และทางการส่งแฟกซ์  การส่งข้อมูลทางจดหมายอิเล็กทรอนิกส์ ซึ่งการกระทำดังกล่าวถือเป็นความพยายามที่จะหลีกเลี่ยงหรือเล็ดลอดกลไกการทำงานตรวจสอบตามปกติของ Firewall ถึงแม้จะมี  Firewall ที่แข็งแรงแต่ถ้าปล่อยให้มีประตูหลังเข้า – ออก องค์กร ในที่อื่นๆ ที่ไม่ใช่ตำแหน่งทางเข้า – ออกขององค์กร เพราะนั่นหมายถึงว่าบุกรุก จะสามารถเล็ดลอดผ่านเข้ามาทางประตูหลัง ดังนั้นสิ่งที่ฝ่ายบริหารขององค์กรจะต้องคำนึงถึงเป็นอย่างยิ่งคือนโยบายทางด้านความมั่นคงปลอดภัยขององค์กร ซึ่งรวมถึงนโยบายเครือข่ายขององค์กรจะต้องมีความสอดคล้องกับโครงสร้างรากฐานทางด้านความมั่นคงปลอดภัยขององค์กร ปัญหาที่สำคัญอันหนึ่งของ TCP/IP คือแอตแทกเกอร์ สามารถสร้างPacketที่ดูเสมือนว่าถูกส่งมาจากเครื่องต้นทาง (IP Source Address) เครื่องหนึ่งที่โดยนโยบายเครือข่ายขององค์กรแล้วจะได้รับอนุญาตให้ผ่านเข้ามาได้ แต่Packetที่เข้านี้ จะเป็นตัวบ่อนทำลายที่เข้ามาแบบมีจุดประสงค์ร้ายแอบแฝง หรือที่เรียกว่า Spoofing Attack ซึ่ง Firewall จะไม่สามารถตรวจสอบได้ว่าPacket ที่หยิบขึ้นมานั้นมาจากเครื่องต้นทางที่ถูกต้องแท้จริงหรือไม่ ดังนั้นอาจนำมาสู่ปัญหาการบุกรุกเครือข่ายได้
                โดยปกติข้อมูลที่ผ่านออกจาก Firewall ขององค์กรไปสู่อินเตอร์เน็ตจะวิ่งไปยังองค์กรที่เราอนุญาตให้ทำการติดต่อสื่อสารด้วย และจะไม่มีการเข้ารหัส สาเหตุที่เป็นเช่นนี้ เพราะว่าหากมีการเข้ารหัส องค์กรปลายทางจะต้องรู้วิธีการถอดรหัสข้อมูลซึ่งโดยปกติแล้วองค์กรปลายทางอาจจะไม่มีความสัมพันธ์ใดๆ ทั้งสิ้นกับองค์กรของเรา หรืออีกนัยหนึ่งองค์กรหนึ่งไม่มีสิทธิบังคับให้อีกองค์กรหนึ่งที่ไม่มีความเกี่ยวข้องต้องรู้วิธีการเข้าหรือถอดรหัสข้อมูล ดังนั้น Firewall โดยทั่วไปจะไม่สามารถทำให้ข้อมูลที่ผ่านเข้า – ออก จากตัวมันเป็นความลับได้
การออกแบบ Firewall เพื่อรักษาความมั่นคงปลอดภัยบนระบบเครือข่ายคอมพิวเตอร์

การออกแบบ Firewall  นั้นควรมีขั้นตอนดังต่อไปนี้
1. ระบุความต้องการในการรักษาความปลอดภัยในเครือขายขององค์กร (ทรัพยากรใดบางในเครือขายขององค์กรที่ตองการไดรับการปองกัน, ทรัพยากรเหลานั้นอยูที่ใด, องค์กรจะปกปองทรัพยากรเหลานั้นในระดับใด และองค์กรจะปกปองทรัพยากรเหลานั้นโดยวิธีใด)
2. เมื่อทราบถึงความตองการในการปกปองทรัพยากรตางๆและวิธีการที่จะปองกันทรัพยากรเหลานั้นแลว ในการที่จะบังคับใชวิธีการเหลานั้นจะตองมีการจัดตั้งนโยบายการรักษาความปลอดภัยขึ้น ดังนั้นในขั้นนี้องค์กรควรจะไดจัดตั้งนโยบายรักษาความปลอดภัยดังกลาวขึ้น
3. Firewall นั้นเปนหนึ่งในเครื่องมือที่จะชวยในการบังคับใชนโยบายรักษาความปลอดภัยที่จัดตั้งขึ้นในข้อ 2 ดังนั้นเมื่อมีนโยบายรักษาความปลอดภัยเปนภาพรวมแลว ในขั้นนี้ก็ควรจะไดมีการจัดตั้งนโยบายของ Firewall  เปนสวนยอยลงมาอีกระดับหนึ่ง โดยควรพิจารณาในหัวขอตางๆเหลานี้
                3.1. องค์กรตองการจะใช Firewall นี้ปกปองสิ่งใดและปกปองจากภัยคุกคามใด
                3.2. เครือขายขององค์กรจะใหบริการประเภทใดแกเครือขาย Internet ภายนอก
                3.3. เครือขายขององค์กรตองการจะใชบริการใดจากเครือขาย Internet
                3.4. ใครคือ users ที่ตองการจะใชบริการในขอ 3.2. และ 3.3.
                3.5. Firewall ควรจะมีประสิทธิภาพและมีความ availability ในระดับใด
                3.6. ใครจะเปนผูดูแลและจัดการระบบ Firewall และจะดูแลและจัดการอยางไร
                3.7. หากเครือขายขององค์กรจะมีการขยายตัวในอนาคต Firewall นี้จะสามารถรองรับการขยายตัวนั้นไดหรือไม
                3.8. งบประมาณที่มีในการจัดหา Firewall
4.หลังจากที่ไดจัดตั้งนโยบายของ Firewall แลวก็จะมาถึงขั้นการออกแบบตัวระบบ Firewall  ที่จะมาบังคับใชนโยบายที่ตั้งขึ้นโดยจะสามารถแบ่งการออกแบบเปนขั้นตอน ดังนี้
                4.1. วาดแผนผังระบบขององค์กร  โดยแผนผังนี้จะกําหนดการเชื่อมต่อของอุปกรณ์ต่างๆ  ในระบบกับตัว Firewall โดยคร่าวๆ โดยจะมีการกําหนดสถาปตยกรรมของ Firewall ไวในขั้นต้น เช่นกําหนดใหเป็น  Firewall แบบชั้นเดียว หรือเป็น  Firewall  แบบสองชั้น  เป็นต้น
                4.2. องค์กรสามารถเลือกรูปแบบการทํางานของ Firewall โดยเลือกไดจาก Firewall ชนิด Packet Filtering, Application Proxies, หรือ Packet Inspection

  

fireewall1

รูปที่ 1 แสดงสถาปัตยกรรมของ Firewall

                                4.2.1. Firewall  ชนิด Packet  Filtering : Firewall  ประเภทนี้จะทํ าหนาที่  “กรอง” Packet โดยการจะตัดสินใจให Packet แตละ Packet ผานไปไดหรือไมนั้นจะดูจากขอมูลใน Packet Header  เชน  Address  ผูสงและผูรับ, Protocol, และ Port     Firewall ประเภทนี้จะมีประสิทธิภาพสูงกวา Firewall ประเภทอื่นแตจะมีความซับซอนในการจัดการและตั้งคา (Configure) สูงกวาเนื่องจากมันปฏิบัติงานใน Network Level ที่ตํ่า ดังนั้นในการตั้งคา Firewall ประเภทนี้จะตองมีความรูที่ดีเกี่ยวกับ Protocol ตางๆที่ใชในเครือขายนอกจากนี้ การตั้งกฎในการกรอง Packet นั้นมีความซับซอนสูงและไมมีเครื่องชวยในการตรวจสอบวากฎที่ตั้งขึ้นมานั้นถูกตองมากนอยเพียงใด (ตองตรวจสอบโดยละเอียดแบบ manual) และเมื่อไดมีการตั้งกฎขึ้นมาแลวในบางครั้งก็จะตองมีการสรางขอยกเวนตางๆขึ้นมาสําหรับความตองการพิเศษของเครื่องตางๆ ขอยกเวนเหลานี้สามารถทําใหกฎมีความซับซอนสูงขึ้นมากและอาจทํ าใหเกิด hole ขึ้นบน Firewallได้ Platform  ประเภทที่ ทําหนาที่เปน Firewall แบบ  Packet  Filtering ไดคือ
                 ใชเครื่องคอมพิวเตอรทั่วไปที่ทํ าหนาที่เปน Router
                 ใช Router
                โดย Platform แตละประเภทจะมีขอไดเปรียบ/เสียเปรียบดังพอสรุปไดดังนี้
ส่วนข้อพิจารณาทางด้านราคานั้น ทั้งสอง Platform จะมีราคาอยูในประมาณระดับเดียวกัน ในกรณีของ Router นั้นผูจําหนายจะเพิ่ม Function ในการ Filter Packet เขาไปในผลิตภัณฑของตนเพื่อความงายในการติดตั้ง Firewall แตเนื่องจากผูจําหนายนี้เปนผูจํ าหนาย Router และไมใชผูจําหนายผลิตภัณฑดาน ความปลอดภัย เมื่อตองมีการ Trade-Off  ในการออกแบบ ผูจําหนายก็จะนึกถึงประสิทธิภาพของ Router เปนสําคัญและความปลอดภัยของ Firewall ก็จะมีความสําคัญเปนอันดับรองลงมา นอกจากนี้การเพิ่ม Function Packet Filtering เขาไป ใน Router จะทําใหประสิทธิภาพในการ Route Traffic ลดลงและยังอาจตองเพิ่มหนวยความจําของ Router  อีกดวย
                ส่วนในกรณีของเครื่องคอมพิวเตอรนั้น ตัวเครื่องและระบบ Operating System นั้นไมไดถูกออกแบบมาใหใชเปน Router หรือ ตัวกรอง Packet ดังนั้นประสิทธิภาพของระบบนี้จึงไมสูงนัก แตเหตุผลที่มีผูเลือกระบบนี้มาเปน Firewall ก็มีอยูหลายประการดวยกันคือ

 

ตารางที่ 1 แสดงข้อได้เปรียบ/เสียเปรียบ ของ Platform แตละประเภทที่ทําหนาที่เปน Firewall 

 ·       สามารถเพิ่ม Function อื่นของ Firewall เขาไปบนเครื่องเดียวกันนี้ได
·       ผูดูแลระบบมีความเชี่ยวชาญใน Operating System นั้นอยูอยางดีมาก
·       เปนการลด Load จาก Router เนื่องจาก Router ไมตองกรอง Packet เอง
·       บาง Operating System มี Source Code ให จึงมีความสะดวกในการพัฒนาระบบ
                                4.2.2. Firewall ประเภท Application  Proxies : Application Proxy  เปนโปรแกรม Application ที่ run อยูบน Firewall ที่กั้นระหวาง 2 เครือขาย โดยเครื่องที่ run ตัวProxy นี้ไมจํ าเปนจะตองเปน Router เมื่อผูใชตองการใชบริการที่อยูในอีกเครือขายหนึ่งซึ่งมีFirewall กั้นอยู ผูใชจะตองใชบริการนั้นผานตัวProxy โดยที่ผูใชจะตองเชื่อมตอกับตัว Proxy กอนแลวให Proxy  นั้นเปนตัวแทนในการที่จะเชื่อมตอกับบริการของเครือขายภายนอก เมื่อการจัดตั้งเชนนี้สําเร็จแลวก็จะทําใหเกิดการสื่อสารสองชวงดวยกันคือ การสื่อสารระหวางผูใชบริการกับตัว  Proxy  และการสื่อสารระหวางตัว Proxy กับผูใหบริการ โดยตัว  Proxy  จะเปนผูจัดการเรื่องทั้งหมดในการเชื่อมตอและในการสง Packet และจะไมสนใจใน Routing Function  ตางๆที่มีใชอยูในทั้งเครื่องผูใชบริการและผูใหบริการดังนั้นโดยทั่วไปแลว  Firewall  ประเภทนี้จะใหความปลอดภัยไดดีกวา  Firewall ประเภท  Packet Filtering เนื่องจากมันไมไดขึ้นอยูกับการ  Route Traffic ของ Operating System เหมือนกับ Firewall แบบ  Packet  Filtering  จึงไมมีความลอแหลมตรงจุดนี้ แต Application  Proxies นี้จะมีจุดดอยกวา Packet  Filtering   อยูคือมีความเร็วตํ่ากวา เนื่องจากใชระบบการทํ างานแบบการสื่อสารสองชวงแทนที่จะสง Packet ผานไปเลยอยางในกรณี Packet Filtering นอกจากนี้ยังตองการเครื่องที่มีความสามารถสูงในการทํางานเนื่องจากใชกฎการควบคุมการเขาถึง  ( Access Control )   ที่ซับซอนและเนื่องจากการที่จะให Application หนึ่งสามารถเชื่อมตอผาน Firewall   ไดก็จะตองมี  Proxy  สํ าหรับ  Application นั้น   ดังนั้นหากมีการเชื่อมตอหลายการเชื่อมตอพรอมๆกันก็จะตองมี Proxies จํ านวนมาก run  อยูพรอมๆกัน  Firewall ประเภทนี้สามารถ run อยูไดบน 2  Platforms  คือบนเครื่องคอมพิวเตอรทั่วไปที่ run Application Proxies หรือบนเครื่อง Proxy ที่เปน Hardware โดยเฉพาะ
                                4.2.3. Firewall ประเภท Packet  Inspection :  Packet  Filter  นั้นตรวจสอบ   Packet ใน Layer ล่างๆ ส่วน Application Proxies ตรวจสอบ Packet ใน Layer บนสุด ดังนั้นในบางแหงจะมีการใช้ Firewall ทั้งสองประเภทนี้รวมกันซึ่งจะสามารถใหความปลอดภัยที่ดีกวาแตการกระทําเชนนี้จะเพิ่มความยุงยากในการปฏิบัติการของระบบและมีราคาสูงดวยเหตุนี้จึงมีการนํ าเอา Firewall ประเภท Packet Filter นี้มาใชซึ่งเปนการขยายขีดความสามารถของ Firewall ประเภท Packet Filter  คือแทนที่จะมีการตรวจสอบเพียง Packet Header เพื่อที่จะดู address ผูสงและผูรับ Firewall ประเภทนี้จะตรวจสอบขอความภายในตัว Packet ดวย ดังนั้น Firewall ประเภทนี้จะสามารถ “เขาใจ” เนื้อความใน Packet สํ าหรับทุก Layers   Firewall ประเภทนี้บางอยางจะมีขีดความสามารถในการเฝาดูและตรวจสอบสถานะของการเชื่อมตอได้ (Stateful Inspection Filtering) กลาวคือ การจะอนุญาตให Packet ใดเขามาเนื้อความใน Packet นั้นจะตองตรงตามสถานะของการเชื่อมตอที่มีอยู ตัวอย่างเชน  Packet  หนึ่งจะสามารถเขามาไดจะตองมีการรองขอ  Packet  นั้นจากภายในเครือขายที่อยูหลัง  Firewall กอน ดังนั้น Packet จากภายนอกที่มาจากผูประสงครายจะไมสามารถแอบอางไดวาตองการจะเขามาเพราะมีการรองขอกอนหนานี้  Firewall  ประเภทนี้เปนการประนีประนอมระหวางความปลอดภัย  และประสิทธิภาพเขาดวยกันกลาวคือ เนื่องจากมีรากฐานมาจาก Packet  Filtering จะมีความเร็วมากกวา Application Proxies และเนื่องจากเปนการเพิ่มขีดความสามารถจาก Packet Filtering จะใหความปลอดภัยไดสูงกวาแตอยางไรก็ตาม Firewall ประเภทนี้ยังขึ้นอยูกับระบบการ Route Traffic ของ Operating System เหมือนกับ Packet Filter ซึ่งยังคงเปนจุดออนของ Firewall นี้

 

 
                                ตารางที่ 2 แสดงการสรุปเปรียบเทียบถึงขีดความสามารถของ Firewall ทั้ง 3 ชนิด
                4.3. Firewall   ประเภทตางๆดังกลาวขางตนนั้นสามารถวางเปน  Topology    ไดมากมายหลายแบบ แต่โดยทั่วไปแลว Topology ของ Firewall จะมีอยู 4 รูปแบบดวยกันโดยเรียงลําดับความปลอดภัยจากนอยที่สุดไปหามากที่สุดไดดังนี้คือ 
                                4.3.1. แบบพื้นฐาน : ในรูปแบบนี้ Host  เพียงตัวเดียวทําหนาที่เปน Firewall  เชื่อมตอระหวางเครือขายภายในกับเครือขายที่ไมไดรับความเชื่อถือ (untrusted)  ภายนอก ซึ่งโดยปกติก็คือ Internet นั่นเอง                                                         

                                             รูปที่ 2 แสดง Topology ของ Firewall แบบพื้นฐาน

                                4.3.2. แบบพื้นฐานที่มี  Host  ที่ไมนาเชื่อถือ  :  จะมี  Host  เครื่องหนึ่งเพิ่มเขามาจากแบบแรกโดยที่ Host นี้จะตั้งอยูดานเครือขายที่ไมไดรับความเชื่อถือ ดังนั้น Host นี้จึงไมนาเชื่อถือ(untrustworthy) Host นี้จะไดรับการตั้ง
คาอยางระมัดระวังเทาที่จํ าเปนและใหมีความปลอดภัยสูง ซึ่ง  Host  นี้จะใหบริการตางๆที่สาธารณชนสามารถเขามาใชได  Firewall จะเปนตัวควบคุมวาให Traffic ที่เขามาและออกไปสําหรับบริการเหลานั้นจะตองผาน Host ตัวนี้เทานั้น

                              

                                            รูปที่ 3 แสดง Topology ของ Firewall แบบพื้นฐานที่มี  Host  ที่ไมนาเชื่อถือ 
                                4.3.3. แบบ DMZ (DeMilitarized Zone) : จะนําเอา  Host  ที่ไมนาเชื่อถือเขามาไวหลังFirewall แตจะอยูบนเครือขายของตัวเองที่เรียกวา DMZ ซึ่งจะทําให Host นี้มีความปลอดภัย, ความน่าเชื่อถือ (Reliable), และความง่ายต่อการใช้งาน (Available) สูงขึ้น และจะทําใหสามารถเพิ่ม  host  อื่นๆ บน DMZ ไดงาย เครือขาย  DMZ  นี้ยังคงถือวาไมนาเชื่อถือโดยเครือขายภายใน  Topology แบบนี้เราสามารถมองไดวา Firewall เชื่อมตออยูกับเครือขาย 3 เครือขายดวยกัน                         

                                     
                                            รูปที่ 4 แสดง Topology ของ Firewall แบบ DMZ (DeMilitarized Zone)
                                4.3.4. แบบสองชั้น :  จะมี  Firewall   อีกชั้นหนึ่งเพิ่มเขามาจากแบบ  DMZ   เพื่อใชเชื่อมตอระหวางเครือขาย DMZ กับเครือขายภายใน

 

                                           
                                                                รูปที่ 5 แสดง Topology ของ Firewall แบบสองชั้น

ในการตัดสินใจที่จะเลือกใช Firewall ประเภทใดและ Topology แบบใดนั้นควรจะไดมีการพิจารณาถึงผลไดผลเสีย (trade-off analysis) ตอไปนี้
                ·  ประสิทธิภาพ
                ·  Availability
                ·  Reliability
                ·  ระดับความปลอดภัย
                ·  ราคา
                ·  ความยากงายในการจัดการ
                ·  ความยากงายในการตั้งคา
                ·  Functions ตางๆที่มี
Firewall นั้นเปนเครื่องมือหนึ่งสําหรับชวยในการบังคับใชนโยบายการรักษาความปลอดภัย ดังนั้นในการออกแบบ Firewall นั้นควรจะใหมีความสอดคลองกับนโยบายการรักษาความปลอดภัยที่มีอยู     มิฉะนั้น ผลที่จะเกิดขึ้นคือความปลอดภัยของเครือขายในทางปฏิบัติจะไมเปนไปตามจุดประสงคของนโยบายการรักษาความปลอดภัยที่จัดตั้งขึ้น
องค์ประกอบของ Firewall
                Firewall ที่พบเห็นโดยทั่วไปซึ่งแบ่งตามเทคโนโลยีที่ใช้ในการตรวจสอบและควบคุมมีองค์ประกอบหลักที่สำคัญ ดังนี้
                นโยบายเครือข่าย (Network Access Policy) คือนโยบายในการใช้งานเครือข่ายซึ่งมีอิทธิพลต่อการออกแบบ ติดตั้ง และการใช้งาน Firewall ซึ่งประกอบด้วย 2 ส่วน ได้แก่
                                นโยบายในระดับบริหาร (Service Access Policy) เป็นส่วนที่กล่าวถึงนโยบายว่าองค์กรจะอนุญาตหรือไม่อนุญาตให้มีการใช้งานเครือข่ายในลักษณะอย่างไร เช่น
                ·          ไม่อนุญาตให้มีการใช้งาน TELNET จากอินเตอร์เน็ตเข้าสู่เครื่องหรือระบบในองค์กร
                ·     อนุญาตให้ทำการสื่อสารได้เฉพาะกับอีเมล์และเว็บเซิร์ฟเวอร์ที่องค์กรจัดไว้ให้เท่านั้น
                ·   อนุญาตให้ผู้ใช้งานอินเตอร์เน็ตโอนย้ายข้อมูลโดยโปรแกรม FTP ได้ แต่ต้องกำหนดให้ที่ Port สูงๆ เช่น มากกว่า 1024 เป็นต้น
                                นโยบายในระดับปฏิบัติการ  (Firewall Desing Policy)   เป็นส่วนที่กล่าวถึงการเซ็ต   Firewall ให้ทำงานตามนโยบายการบริหารที่ได้กำหนดเอาไว้ ดังนั้นก่อนที่จะมีการจัดหา Firewallโดยหลักการแล้วองค์กรจะต้องร่างนโยบายระดับบริหารออกมาก่อน เพราะนโยบายตัวนี้จะเป็นตัวบ่งบอกว่าองค์กรจะจัดหา Firewall ที่มีคุณสมบัติอย่างไร เพื่อให้สามารถทำงานได้ตามที่ได้กำหนดเอาไว้ โดยพื้นฐานแล้วจะใช้ขีดความสามารถของ Screening Router  และ Proxy Server ที่องค์กรจัดหามาได้ในการกำหนดให้เป็นไปตามนโยบายระดับบริหาร กล่าวคือเจ้าหน้าที่ดูแลเครือข่ายจะต้องทำการเซ็ตทั้ง Screening Router  และ Proxy Server เพื่อให้เป็นไปตามนโยบายที่ได้กำหนดไว้
                การตรวจสอบการเข้าสู่ระบบ  โดยหลักการแล้ว Firewall จะทำหน้าที่ตรวจสอบการสื่อสารโดยเฉพาะที่มาจากอินเตอร์เน็ต ก่อนที่จะอนุญาตให้กระทำได้หรือไม่ ดังนั้น ณ จุดตรวจสอบนี้องค์กรควรจะได้ทำการติดตั้งระบบเพื่อใช้ในการตรวจสอบว่าใครมีสิทธิที่จะผ่านเข้ามาสู่ระบบภายในหรือไม่
การสื่อสารที่มาจากอินเตอร์เน็ตและเข้าสู่ Firewall ขององค์กร เช่น TELNET  และ FTP เป็นการสื่อสารที่องค์กรควรจะให้ความสนใจเป็นพิเศษ     โดยการใช้วิธีการตรวจสอบการเข้าสู่ระบบแบบแอดวานซ์ ณ จุด Firewall ก่อนที่จะอนุญาตให้ทำการสื่อสารได้ การตรวจสอบโดยใช้รหัสแบบคงที่อาจก่อให้เกิดความเสียหายต่อองค์กรได้  หากแอตแทกเกอร์สามารถแกะรหัสผ่านได้สำเร็จ หรือคอยดักจับรหัสผ่านคงที่ที่วิ่งมาจากอินเตอร์เน็ตเพื่อเข้าสู่ Firewall ขององค์กร
                ระบบกรองPacket (Packet Filtereing ) ระบบกรองPacketจะทำหน้าที่ตรวจสอบPacket ทั้งที่เข้าและออกจากเครือข่ายขององค์กร ระบบกรองจะอนุญาตให้เฉพาะPacketที่ได้กำหนดเอาไว้ในนโยบายเครือข่ายขององค์กรว่าPacketดังกล่าวสามารถผ่านเข้า – ออก จากองค์กรได้ ดังเช่น นโยบายอาจจะระบุว่าอนุญาตให้ผู้ใช้จากภายนอกองค์กรทำการส่งมอบอีเมล์ได้ ดังนั้นPacketของข้อความอีเมล์หนึ่งๆ ที่ส่งมาจากภายนอกจะสามารถผ่านเข้ามาสู่เครือข่ายภายในองค์กรได้Firewall โดยทั่วไปจะมีระบบการกรองPacketเป็นองค์ประกอบหนึ่งซึ่งเรียกว่า Screening Router ซึ่งจะทำหน้าที่อนุญาตหรือไม่อนุญาตให้Packetผ่านเข้ามาจากเครือข่ายขององค์กร และข้อมูลสำคัญที่ Screening Router สามารถนำไปใช้ประโยชน์ในการตัดสินใจว่าจะอนุญาตให้Packetเหล่านั้นผ่านเข้า – ออก ได้หรือไม่ ในการพิจารณา Header  Packet Filter จะตรวจสอบในระดับของ Internet Layer และ Transport Layer
ซึ่งในระดับ Internet Layer มีคุณสมบัติ ที่สำคัญต่อ Packet Filtering  ประกอบด้วย
·         IP Source Address หมายถึง Address ต้นทางไหนที่จะอนุญาตหรือไม่อนุญาตให้ทำการสื่อสารด้วย
·         IP Destination Address หมายถึง Address ปลายทางไหนที่จะอนุญาตหรือไม่อนุญาตให้ทำการสื่อสารด้วย
·         ชนิดของ Protocol (TCP, UDP และ ICMP)
ส่วนในระดับของ Transport Layer มีคุณสมบัติ ที่สำคัญต่อ Packet Filtering  ประกอบด้วย
·         TCP/UDP Source Port หมายถึง Port ต้นทางไหนที่จะอนุญาตหรือไม่อนุญาตให้ทำการสื่อสารด้วย
·         TCP/UDP Destination Port หมายถึง Port ปลายทางไหนที่จะอนุญาตหรือไม่อนุญาตให้ทำการสื่อสารด้วย
·         ชนิดของ ICMP Message  ใน Packet  ICMP
ซึ่ง Portในระดับ Transport Layer คือทั้ง TCP และ UDP  นั้นจะบ่งบอกถึง Application ที่ Packet นั้นต้องการติดต่อด้วยเช่น Port 80 หมายถึง HTTP, Port 21 หมายถึง FTP             
ข้อดีของ Packet Filtering คือ ไม่ขึ้นกับ Application  ใดๆ เป็นหลัก  มีความเร็วสูง และรองรับการขยายตัวได้ดี
ข้อเสียของ Packet Filtering คือ บาง Protocol ไม่เหมาะสมกับการใช้ งาน เช่น FTP, ICQ

บทสรุป
การติดตั้งไฟวอล์ บนเครือข่ายสื่อสารข้อมูลที่มีประสิทธิภาพและมีมาตรฐานสอดคล้องกับการพัฒนาด้านเทคโนโลยีสารสนเทศและการสื่อสารข้อมูล  ทำให้สามารถสร้างความมั่นใจ ในการให้บริการ เพื่อก่อให้เกิดความพึงพอใจ การบริการที่สะดวก รวดเร็ว ถูกต้องและมีความปลอดภัยในการสอบถามและการทำธุรกรรมอิเล็กทรอนิกส์กับองค์กรต่างๆ รวมถึงเจ้าหน้าที่ผู้ปฏิบัติงานฝ่ายเทคนิคมีเครื่องมือที่ช่วยสนับสนุนการวิเคราะห์ การควบคุม กำกับ ดูแลการติดตั้ง เพิ่ม ลด ระบบต่างๆ ตามร้องขอ  การกำหนดความต้องการทางเทคนิค การบริหารจัดการระบบอินเทอร์เน็ตและระบบเครือข่ายขององค์กร  ได้อย่างต่อเนื่องและมีประสิทธิภาพ รวมทั้งทำให้สามารถรองรับกับการขยายงานบริการ