งานนำเสนอกำลังจะดาวน์โหลด โปรดรอ

งานนำเสนอกำลังจะดาวน์โหลด โปรดรอ

Security in Computer Systems and Networks

ได้พิมพ์โดยΆτροπος Αναγνωστάκης ได้เปลี่ยน 5 ปีที่แล้ว

งานนำเสนอที่คล้ายกัน

งานนำเสนอเรื่อง: "Security in Computer Systems and Networks"— ใบสำเนางานนำเสนอ:

1 235034 Security in Computer Systems and Networks
Firewall Lec. Sanchai Yeewiyom School of Information and Communication Technology University of Phayao

2 Topic หลักการทำงานของ Firewall ประเภทของ Firewall
Network Address Translation (NAT) ข้อจำกัดของ NAT

3 Firewall

4 What is a Firewall? Firewall เป็น Component หรือกลุ่มของ Component ที่ทำหน้าที่ในการควบคุมการเข้าถึงระหว่าง Network ภายนอก (Network ที่เราคิดว่าไม่ปลอดภัย) กับ Network ภายใน (Network ที่เราต้องการจะป้องกัน) โดยที่ Component นั้นอาจจะเป็น Router, Computer (Hardware or Software) หรือ Network ประกอบกันก็ได้ ขึ้นอยู่กับวิธีการ หรือ Firewall Architecture ที่ใช้

5 หลักการทำงานของ Firewall

6 หลักการทำงานของ Firewall
2 แนวทาง ข้อมูล, โปรแกรม หรือผู้ใช้ ที่ไม่ได้รับการห้ามไว้ (Forbidden) จะผ่าน Firewall ได้ ข้อมูล, โปรแกรม หรือผู้ใช้ ที่ไม่ได้รับอนุญาตไว้ (Permitted) จะไม่สามารถผ่าน Firewall ได้

7 How does a firewall work?
Inspects each individual “packet” of data as it arrives at either side of the firewall Inbound to or outbound from your computer Determines whether it should be allowed to pass through or if it should be blocked

8 Firewall Rules Allow – traffic that flows automatically because it has been deemed as “safe” Block – traffic that is blocked because it has been deemed dangerous to your computer Ask – asks the user whether or not the traffic is allowed to pass through

9 สิ่งที่ Firewall ช่วยได้
บังคับใช้นโยบายด้านความปลอดภัย โดยการกำหนดกฎให้กับ Firewall ว่าจะอนุญาต หรือไม่ให้ใช้ Service ชนิดใด ทำให้การพิจารณาดูแล และการตัดสินใจด้านความปลอดภัยของระบบเป็นไปได้ง่ายขึ้น เนื่องจากการติดต่อทุกชนิดกับ Network ภายนอกจะต้องผ่าน Firewall การดูแลที่จุดนี้เป็นการดูแลความปลอดภัยในระดับของ Network (Network-Based Security) บันทึกข้อมูล กิจกรรมต่างๆ ที่ผ่านเข้าออก Network ได้อย่างมีประสิทธิภาพ

10 สิ่งที่ Firewall ช่วยได้
ป้องกัน Network บางส่วนจากการเข้าถึงของ Network ภายนอก เช่น ถ้าหากเรามีบางส่วนที่ต้องการให้ภายนอกเข้ามาใช้ Service (เช่น ถ้ามี Web Server) แต่ส่วนที่เหลือไม่ต้องการให้ภายนอกเข้ามา กรณีเช่นนี้เราสามารถใช้ Firewall ช่วยได้ Firewall บางชนิด สามารถป้องกันไวรัสได้ โดยจะทำการตรวจไฟล์ที่โอนย้ายผ่านทางโปรโตคอล HTTP, FTP และ SMTP

11 อะไรที่ Firewall ช่วยไม่ได้
อันตรายที่เกิดจาก Network ภายใน ไม่สามารถป้องกันได้เนื่องจากอยู่ภายใน Network เอง ไม่ได้ผ่าน Firewall เข้ามา อันตรายจากภายนอกที่ไม่ได้ผ่านเข้ามาทาง Firewall เช่น การ Dial-up เข้ามายัง Network ภายในโดยตรงโดยไม่ได้ผ่าน Firewall

12 อะไรที่ Firewall ช่วยไม่ได้
ไวรัส ถึงแม้จะมี Firewall บางชนิดที่สามารถป้องกันไวรัสได้ แต่ก็ยังไม่มี Firewall ชนิดใดที่สามารถตรวจสอบไวรัสได้ในทุกๆ Protocol

13 Personal firewall A personal firewall differs from a conventional firewall in terms of scale. Personal firewalls are typically designed for use by end-users. As a result, a personal firewall will usually protect only the computer on which it is installed. Many personal firewalls are able to control network traffic by prompting the user each time a connection is attempted and adapting security policy accordingly. Personal firewalls may also provide some level of intrusion detection, allowing the software to terminate or block connectivity where it suspects an intrusion is being attempted.

14 What a personal firewall can do?
Stop hackers from accessing your computer Protects your personal information Blocks “pop-up” ads and certain cookies Determines which programs can access the Internet

15 What a personal firewall can not do?
Cannot prevent viruses Only an antivirus product with updated definitions can prevent viruses After setting it initially, you can forget about it The firewall will require periodic updates to the rulesets and the software itself

16 Hardware vs. Software Firewall
Hardware Firewall Protect an entire network Implemented on the router level Usually more expensive, harder to configure Software Firewall (Personal firewall) Protect a single computer Usually less expensive, easier to configure

17 ประเภทของ Firewall แบ่งตามรูปแบบการไหลของข้อมูลผ่าน Firewall
Network Firewall Software based Firewall ISA Checkpoint Firewall-1 Hardware based Firewall CISCO PIX Nortel Alteon Switched Firewall System Host-based Firewall (Personal Firewall)

18 ประเภทของ Firewall ชนิดของ Firewall แบ่งตามเทคโนโลยีที่ใช้ในการตรวจสอบและควบคุม แบ่งได้เป็น Packet Filtering Firewall Stateful Inspection Firewall Application Layer Firewall

19 Packet Filtering Firewall
Packet Filter คือ Router ที่ทำการหาเส้นทาง (route) และส่งต่อ อย่างมีเงื่อนไข (Screening Router) โดยจะพิจารณาจากข้อมูลส่วนที่อยู่ใน Header ของ Packet ที่ผ่านเข้ามา เทียบกับกฎ (rules) ที่กำหนดไว้ในรายการควบคุมการเข้าถึง (Access Control List : ACL) และตัดสินว่าควรจะทิ้ง (drop) Packet นั้นไปหรือว่าจะยอม (accept) ให้ Packet นั้นผ่านไปได้ กรณีไม่ตรงกับกฎข้อใด : ถ้าไม่มีกฎข้อใดเขียนว่าอนุญาตให้ถือว่าห้าม หรือ ถ้าไม่มีกฎข้อใดเขียนว่าห้ามให้ถือว่าอนุญาต

20 Packet Filtering Firewall

21 Packet Filtering Firewall
ในการพิจารณา Packet Filter จะตรวจสอบ Packet ในระดับของ Internet Layer และ Transport Layer ใน Internet Model Internet Layer : IP ต้นทาง, IP ปลายทาง, ชนิดของ Protocol (TCP, UDP และ ICMP) Transport Layer : Port ต้นทาง, Port ปลายทาง, Flag (ซึ่งจะมีเฉพาะใน Packet ของ TCP Packet เช่น SYN, ACK, FIN), ชนิดของ ICMP message (แจ้งปัญหาที่เกิดขึ้นในการสื่อสาร)

22 Packet Filtering Firewall
Port ทั้ง TCP และ UDP นั้นจะบ่งบอกถึง Application ที่ Packet นั้นต้องการติดต่อด้วยเช่น พอร์ต 80 หมายถึง HTTP, พอร์ต 21 หมายถึง FTP เป็นต้น ดังนั้นเมื่อ Packet Filtering พิจารณา Header จึงทำให้สามารถควบคุม Packet ที่มาจากที่ต่างๆ และมีลักษณะต่างๆ (ดูได้จาก Flag ของ Packet หรือ ชนิดของ ICMP ใน ICMP Packet ) ได้ เช่น ห้าม Packet ทุกชนิดจาก crack.com เข้ามายัง Network /24 , ห้าม Packet ที่มี IP Address ต้นทางอยู่ใน Network /24 ผ่าน Router เข้ามา เป็นต้น

23 Packet Filtering Firewall
ข้อดี ไม่ขึ้นกับ Application มีความเร็วสูง รองรับการขยายตัวได้ดี ข้อเสีย บาง Protocol ไม่เหมาะสมกับการใช้ Packet Filtering เช่น FTP, ICQ (อาจทำให้เกิดปัญหา DoS ได้)

24 Stateful Inspection Firewall
Stateful Inspection เป็นเทคโนโลยีที่เพิ่มเข้าไปใน Packet Filtering โดยในการพิจารณาว่าจะยอมให้ Packet ผ่านไปนั้น แทนที่จะดูข้อมูลจาก Header เพียงอย่างเดียว Stateful Inspection จะนำเอาส่วนข้อมูลของ Packet (Message Content) และข้อมูลที่ได้จาก Packet ก่อนหน้านี้ที่ได้ทำการบันทึกเอาไว้ นำมาพิจารณาด้วย จึงทำให้สามารถระบุได้ว่า Packet ใดเป็น Packet ที่ติดต่อเข้ามาใหม่ หรือว่าเป็นส่วนหนึ่งของการเชื่อมต่อที่มีอยู่แล้ว

25 Stateful Inspection Firewall
มีการเก็บประวัติไว้ใน State Table กรณีที่ Packet ที่ส่งมาเป็นส่วนหนึ่งของ Connection ที่ได้สร้างไว้ก็จะส่งผ่านไปเลย ไม่ต้องเสียเวลามาตรวจสอบใหม่อีกรอบ สามารถ Drop ทิ้ง Packet ที่ผิดปกติได้จากการตรวจสอบเนื้อหาของ Packet เช่น มี Flag แปลกๆ (SYN/FIN) ที่บอกว่ามีการทำ Port Scanning

26 Stateful Inspection Firewall

27 Stateful Inspection Firewall
ข้อดี ข้อมูลทั้งหมดถูกตรวจสอบในระหว่างการสื่อสาร สามารถปรับปรุง เปลี่ยนแปลง การทำงานได้โดยง่าย ข้อเสีย มีกลไกการทำงานที่ยุ่งยาก ซับซ้อน

28 Application Layer Firewall
บางครั้งเรียก Proxy Firewall เป็น Application Program ที่ทำงานอยู่บน Firewall ที่ตั้งอยู่ระหว่าง Network 2 Network ทำหน้าที่เพิ่มความปลอดภัยของระบบ Network โดยการควบคุมการเชื่อมต่อระหว่าง Network ภายในและภายนอก ว่า Traffic ใดสามารถโอนถ่ายระหว่าง Network ใดได้บ้าง ในแต่ละ Protocol ที่อนุญาตให้ผ่านได้จะต้องมี Proxy เฉพาะของ Protocol นั้นจัดการ

29 Application Layer Firewall
คำสั่ง Protocol ความยาวของ Packet สิทธิ์ในการใช้งาน เนื้อหาข้อความ ความถูกต้องของ Header

30 Application Layer Firewall
เมื่อ Client ต้องการใช้ Service ภายนอก Client จะทำการติดต่อไปยัง Proxy ก่อน Client จะเจรจา (Negotiate) กับ Proxy เพื่อให้ Proxy ติดต่อไปยังเครื่องปลายทางให้ เมื่อ Proxy ติดต่อไปยังเครื่องปลายทางให้แล้วจะมีการเชื่อมต่อ (Connection) 2 การเชื่อมต่อ คือ Client กับ Proxy และ Proxy กับเครื่องปลายทาง โดยที่ Proxy จะทำหน้าที่รับข้อมูลและส่งต่อข้อมูลให้ใน 2 ทิศทาง ทั้งนี้ Proxy จะทำหน้าที่ในการตัดสินใจว่าจะให้มีการเชื่อมต่อกันหรือไม่ จะส่งต่อ Packet ให้หรือไม่

31 Application Layer Firewall
ข้อดี มีความปลอดภัยสูง รู้จักข้อมูลในระดับ Application ข้อเสีย ประสิทธิภาพต่ำ แต่ละบริการมักจะต้องการ Process ของตนเอง ขยายตัวได้ยาก

32 Application Layer Firewall

33 นโยบายการรักษาความปลอดภัย
กฎที่บังคับใช้นโยบายการรักษาความปลอดภัยใน Firewall จะเรียกว่า Firewall Rule หรือ Access Control List (ACL) Exp. ACL

34

35 การตรวจสอบ ACL ACL ที่ถูกคอนฟิกที่ Router นั้น จะทำการพิจารณา Packetข้อมูลทุกๆ Packet ที่วิ่งผ่านมัน และนำไปเปรียบเทียบกับ “กฎ” ที่ได้ตั้งไว้ใน ACL ซึ่งการเปรียบเทียบ จะเป็นไปตามลำดับขั้น (Sequences) กล่าวคือ กฎแรกสุดใน Rules ที่เราเรียกอย่างเป็นทางการว่า Access Control Entry: ACE จะถูกนำมาใช้งาน และหากว่า Packet ที่วิ่งเข้ามานั้น ตรงตาม ACE มันจะยอมปล่อยผ่าน (หรือห้าม) ทันที และกฎข้อต่อๆมา จะไม่นำมาพิจารณาอีกเลย

36 การตรวจสอบ ACL ดังนั้น “ควรเซตกฎที่ชัดเจนที่สุดในการที่จะยอมปล่อยผ่าน Traffic หรือ สกัดกั้น Traffic ไว้ในกฎข้อแรกๆ” ส่วนในข้อต่อๆ มา อาจจะมีความคลุมเครือ หรืออนุญาต Packet ใดๆ ก็ได้ ซึ่งหาก Packet นั้นๆ ตรวจสอบแล้วว่าไม่ตรงกับกฎใน ACE ข้อแรก มันจะวิ่งมาหากฎข้อต่อๆไป เรียงตามลำดับไปเรื่อยๆ หาก Packet นั้นๆ ไม่ตรง (Match) กับกฎข้อใดๆ ใน Rules แล้วนั้น จะถูก “Explicit Deny All” Drop Packet นั้นทิ้งทันที (กรณี อนุญาต)

37 การตรวจสอบ ACL

38 Network Address Translation (NAT)
เป็นเทคโนโลยีที่ใช้แก้ปัญหา IP Address (Real IP : Public IP) ที่ใช้งานบน Internet ไม่เพียงพอ การเชื่อมต่อกับ Internet นั้น จำเป็นต้องมี Public IP Address เป็นการเฉพาะจึงจะสามารถเชื่อมต่อและใช้งานได้ แต่เนื่องจากการเติบโตอย่างรวดเร็วของ Internet ทำให้ IP ไม่เพียงพอต่อการใช้งาน ดังนั้น NAT จึงเป็นทางออกหนึ่งสำหรับการแก้ไขปัญหานี้ โดยการทำ NAT นั้นทำให้สามารถใช้ Private IP เชื่อมต่อและใช้งาน Internet ได้ และยังเพิ่มความปลอดภัยทางเครือข่าย (Network Security) อีกด้วย

39 Network Address Translation (NAT)
การ Shared Internet กับเครื่องหลายๆ เครื่องนั้น ในเครื่องแต่ละเครื่องจะไม่มี Public IP (Real IP) เนื่องจาก Public IP จะมีได้แค่ 1 IP ต่อ 1 Connection เท่านั้น ฉะนั้น Real IP จะต้องอยู่กับอุปกรณ์ Router หรือ อยู่กับเครื่องคอมพิวเตอร์เครื่องใดเครื่องหนึ่งที่เชื่อมต่อไปภายนอก

40 Network Address Translation (NAT)
NAT จะทำหน้าที่ในการจดจำตำแหน่งของเครื่องที่ส่งข้อมูลและทำการแปลง IP Address จาก Intranet IP ไปเป็น Real IP แล้วทำการส่งออกไปยัง Internet แทนคอมพิวเตอร์เครื่องอื่นๆ เมื่อข้อมูลถูกส่งกลับมา NAT จะทำการตรวจสอบว่า Packet นี้ส่งออกโดยคอมพิวเตอร์เครื่องใด แล้วจะทำการแปลง IP ปลายทางให้เป็น Private IP ของเครื่องคอมพิวเตอร์เครื่องนั้นๆ เพื่อที่จะส่งข้อมูลกลับไปยังเครื่องผู้เรียกออก Internet ได้

41 Network Address Translation (NAT)

42 ข้อจำกัดของ NAT NAT Gateway ส่วนใหญ่แทนค่า Address ที่เป็นข้อมูลที่อยู่ในส่วนของ Header ทำให้ Application บางตัวที่เก็บข้อมูล Address ไว้ในส่วนของ Data ไม่สามารถทำงานผ่าน NAT ได้ เช่น FTP, H.323 ที่ใช้กับ Microsoft NetMeeting

43 Software ที่ใช้ทำ Firewall
Linux IPTABLES SMOOTHWALL Windows ISA (Internet Security and Acceleration) Check Point Firewall-1

44 Examples of Personal Firewall Software
ZoneAlarm Free Firewall < BlackICE Defender < Tiny Personal Firewall < Norton Personal Firewall < Comodo Firewall Free <

ดาวน์โหลด ppt Security in Computer Systems and Networks

งานนำเสนอที่คล้ายกัน

TCP/IP.

TCP/IP.
TCP/IP Protocols IP Addressing

TCP/IP Protocols IP Addressing
Network Model แบบจำลอง OSI

Network Model แบบจำลอง OSI
SSL VPN-based NAC Dr. Pipat Sookavatana อาจารย์ภาควิศวกรรมศาสตร์

SSL VPN-based NAC Dr. Pipat Sookavatana อาจารย์ภาควิศวกรรมศาสตร์
:-> ติดตั้ง Dial-up Networking

:-> ติดตั้ง Dial-up Networking
Firewall IPTABLES.

Firewall IPTABLES.
File Transfer (FTP), WWW, HTTP, DHCP.

File Transfer (FTP), WWW, HTTP, DHCP.
Merchant Marine Training Centre วิชาการเป็นเลิศ เชิดชู คุณธรรม ผู้นำ.

Merchant Marine Training Centre วิชาการเป็นเลิศ เชิดชู คุณธรรม ผู้นำ.
วิวัฒนาการของ Remote Access

วิวัฒนาการของ Remote Access
การติดตั้งอุปกรณ์ปลายทาง

การติดตั้งอุปกรณ์ปลายทาง
iWall โดย 1. นายวีกิจ สัจจะมโนรมย์

iWall โดย 1. นายวีกิจ สัจจะมโนรมย์
การสร้าง WebPage ด้วย Java Script Wachirawut Thamviset.

การสร้าง WebPage ด้วย Java Script Wachirawut Thamviset.
Chapter 3 Simple Supervised learning

Chapter 3 Simple Supervised learning
Network Security.

Network Security.
Irwin/McGraw-Hill Copyright © 2000 by The McGraw-Hill Companies, Inc. All rights reserved. 1 Irwin/McGraw-Hill Copyright © 2000 by The McGraw-Hill Companies,

Irwin/McGraw-Hill Copyright © 2000 by The McGraw-Hill Companies, Inc. All rights reserved. 1 Irwin/McGraw-Hill Copyright © 2000 by The McGraw-Hill Companies,
1 LAN Implementation Sanchai Yeewiyom School of Information & Communication Technology Naresuan University, Phayao Campus.

1 LAN Implementation Sanchai Yeewiyom School of Information & Communication Technology Naresuan University, Phayao Campus.
OSI 7 LAYER.

OSI 7 LAYER.
ภาษาอังกฤษ ชั้นมัธยมศึกษาปึที่ 4 Grammar & Reading ครูรุจิรา ทับศรีนวล.

ภาษาอังกฤษ ชั้นมัธยมศึกษาปึที่ 4 Grammar & Reading ครูรุจิรา ทับศรีนวล.
PHP FRAMEWORK 030523315 – Web Programming and Web Database Asst. Prof. Dr. Choopan Rattanapoka.

PHP FRAMEWORK – Web Programming and Web Database Asst. Prof. Dr. Choopan Rattanapoka.
1074404 Multimedia Systems รศ. ดร. บุญวัฒน์ อัตชู

Multimedia Systems รศ. ดร. บุญวัฒน์ อัตชู

งานนำเสนอที่คล้ายกัน

Ads by Google