- สามารถทำ SSL Inspection ได้เพื่อป้องกัน Application ที่อาศัยช่องโหว่ของการ Encrypt โดยตัวอุปกรณ์จะต้องสามารถที่จะ Decrypt SSL Traffic และทำการตรวจสอบ Application และตรวจสอบ Policy ต่าง ๆ จากนั้นทำการ Re-encrypt Traffic นั้นเป็น SSL อีกครั้งก่อนส่งให้กับปลายทาง
- สามารถทำงานร่วมกับ Directory เช่น ตรวจสอบ User จาก Directory ตัวอย่างเช่น Microsoft Active Directory เพื่อกำหนด Policy โดยอาศัย User และ Group ภายใน Directory แทนที่จะกำหนดเป็น Source Address หรือ Destination Address ในการให้ Policy เป็นต้น
- สามารถทำ Malware filtering โดยสามารถตรวจสอบและป้องกันโปรแกรมจำพวก Phishing , Virus และ Malware Application ต่าง
สรุป
Next Generation Firewall นั้นเป็นการรวมระบบ Security หลาย ๆ ประเภทเข้าด้วยกัน และสามารถตรวจจับและป้องกันการโจมตีหลากหลายประเภทได้ภายในอุปกรณ์ตัวเดียวกัน ซึ่งเรียกได้ว่าเป็นเทคโนโลยีด้าน Security แต่สิ่งที่ต้องตรวจสอบให้แน่ชัดหากต้องการเปิด Feature ต่าง ๆ ของ Next Generation Firewall สำหรับองค์กร นั่นก็คือ Throughput ของอุปกรณ์นั้นจะลดลงด้วย ซึ่งแต่ละองค์กรควรจะทำ POC (Prove of Concept) กับอุปกรณ์ เพื่อให้เห็นถึงความสามารถและ Throughput ให้เพียงพอต่อการใช้งาน
คำถาม
1.ทำไมถึงต้องหาอุปกรณ์ security ที่สามารถทำงานได้ถึงระดับ application layer มาใช้งาน ?
ตอบคำถาม
เนื่องจาก firewall รุ่นก่อนๆ สามารถตรวจสอบและควบคุมได้เพียงแค่พอร์ตเท่านั้น โดยจะเปิดให้บริการที่พอร์ต 80 และ 443 ซึ่งเป็นพอร์ต HTTP และ SSL และพอร์ตที่เหลือก็จะทำการบล็อกเอาไว้ ซึ่งในเมื่อผู้คุกคามหรือผู้ที่ต้องการบุกรุกรู้ว่า Firewall เปิดให้ใช้ได้ที่พอร์ต 80 และ 443 ก็จะพยายามที่จะส่งข้อมูลหรือบุกรุกผ่านพอร์ตดังกล่าวที่ Firewall เปิดให้บริการ จึงจำเป็นต้องใช้อุปกรณ์ security ที่สามารถทำงานได้ถึงระดับ application layer เพื่อให้สามารถรู้ว่าที่พอร์ตดังกล่าวเป็นเว็บไซต์อะไร ประเภทใด เหมาะสมหรือไม่ โดยการบล็อกจะดูที่ Application หรือว่าเว็บไซต์อะไร จะทำการบล็อก Application นั้นๆ โดยไม่สนใจพอร์ต
2. เราจะสามารถป้องกันภัยคุกคามและควบคุมความสามารถในการใช้งาน Application หรือการเข้าใช้งานเว็บไซต์ของพนักงานและนักศึกษาได้ในระดับใดได้บ้าง?
ตอบคำถาม
ปัจจุบันได้มีการป้องกันการเข้าใช้งาน Application หรือเว็บไซต์ของนักศึกษาหรือบุคคลากรอยู่ที่ 3 ประเภท
1. เว็บไซต์ลามกอนาจาร (adult-and-pornography)
2. เว็บไซต์การพนัน (online-gambling)
3. proxy (proxy-avoidance-and-anonymizers)
3. การตรวจจับการโจมตีโดยใช้ระบบการตรวจสอบโดยใช้ signature เป็นอย่างไร?
ตอบคำถาม
signature คือการอัพเดทข้อมูลหรือเวอร์ชั่นใหม่อยู่ตลอดเวลาเพื่อให้รู้จัก Application หรือภัยคุกคามประเภทใหม่ๆ ซึ่งจะมีตัวใหม่ๆเกิดขึ้นมาเสมอถ้าเราไม่มีการอัพเดทข้อมูล ก็จะไม่สามารถตรวจสอบและป้องกันภัยคุกคามประเภทใหม่ๆได้ อาจจะทำให้ระบบของเรามีปัญหาได้
4. การโจมตีของข้อมูลทั้งหลายส่วนมากจะถูกโจมตีที่พอร์ตใด และ firewall ปัจจุบัน หรือ PA-5060 สามารถที่จะป้องกันการโจมตีจากพอร์ตดังกล่าวได้อย่างไร?
ตอบคำถาม
ส่วนมากการโจมตีทั้งหลายร้อยละ 70 จะถูกโจมตีที่พอร์ต 80 กับ 443 ซึ่ง firewall รุ่นก่อนๆ จะเปิดให้ แต่ firewall ปัจจุบัน สามารถที่จะมองได้ในระดับ application layer จนไม่จำเป็นต้องสนใจว่าเป็นพอร์ตอะไรแต่จะบล็อกเฉพาะ Application หรือเว็บไซต์ที่เห็นว่าไม่เหมาะสมเท่านั้น
5. ในส่วนของ App-ID การใช้เทคนิค 4 อย่างรวมกันสามารถทำให้มอง Traffic เป็น Application ได้อย่างไร
- Application Protocal
- Application Protocal Decoding
- Application Signature
- Heuristics
แต่ละส่วนทำหน้าที่อะไร อย่างไร?