งานนำเสนอกำลังจะดาวน์โหลด โปรดรอ

งานนำเสนอกำลังจะดาวน์โหลด โปรดรอ

Firewall อาจารย์ ธนัญชัย ตรีภาค ภาควิชาวิศวกรรมคอมพิวเตอร์

งานนำเสนอที่คล้ายกัน


งานนำเสนอเรื่อง: "Firewall อาจารย์ ธนัญชัย ตรีภาค ภาควิชาวิศวกรรมคอมพิวเตอร์"— ใบสำเนางานนำเสนอ:

1 Firewall อาจารย์ ธนัญชัย ตรีภาค ภาควิชาวิศวกรรมคอมพิวเตอร์
คณะวิศวกรรมศาสตร์ สถาบันเทคโนโลยีพระจอมเกล้าเจ้าคุณทหารลาดกระบัง

2 Firewall ชนิดของ Firewall การทำงานของ Firewall

3 ชนิดของ Firewall Network Based Firewall
เป็นอุปกรณ์ติดตั้งในระบบเครือข่ายเพื่อคัดกรอง Traffic ในเครือข่าย Host Based Firewall เป็นซอฟต์แวร์ติดตั้งที่เครื่องคอมพิวเตอร์เพื่อคัดกรอง Traffic ที่เข้าสู่เครื่องก่อนที่จะนำข้อมูลไปประมวลผล

4 Firewall Operation Packet Filtering Firewall
Stateful Inspection Firewall Application Proxy Firewall

5 Packet Filtering Firewall
คัดกรองแพ็กเก็ตที่วิ่งผ่านโดยใช้กฎต่างๆ ที่ตั้งค่าไว้แล้ว โดยจะพิจารณาจากข้อมูลส่วนที่อยู่ในเฮดเดอร์ของแพ็กเก็ตที่ผ่านเข้ามา เทียบกับกฎที่กำหนดไว้ ทำงานแบบ Pattern Matching ตัดสินว่าควรจะทิ้งแพ็กเก็ตนั้นไปหรือว่าจะยอมให้แพ็กเก็ตนั้นผ่าน การทำงานไม่ซับซ้อนจึงเป็นการทำงานหนึ่งใน Router ในปัจจุบัน

6 Packet Filtering Firewall

7 Stateful Inspection Firewall
ทำงานเหมือนกับ Packet Filtering Firewall และเพิ่มความสามารถในการบันทึกข้อมูลเกี่ยวกับคอนเน็กชั่นที่เกิดขึ้นลงใน State Table ก่อนที่จะส่งแพ็กเก็ตนี้ต่อให้กับ เลเยอร์อื่น กำหนด “สถานะ” ต่างๆ ในกฎได้เช่น IP Port TCP State TCP Sequence Number

8 Stateful Inspection Firewall

9 Application Proxy Firewall
Client ส่งการร้องขอไปยังไฟร์วอล ไฟร์วอลจะตรวจสอบจากนโยบายการรักษาความปลอดภัยว่าทราฟิกนี้สามารถผ่านไปได้หรือไม่ ถ้าอนุญาตไฟร์วอลจะสร้างการเชื่อมต่อกับเซิร์ฟเวอร์แทน ไคลเอนท์เอง ไฟร์วอลที่ทำงานในระดับ Application Layer บางทีก็เรียกว่า Proxy Firewall ซึ่งหมายถึงโปรแกรมที่รันบนระบบปฏิบัติการทั่วๆไป ทำงานช้า ปลอดภัยสูง

10 Application Proxy Firewall

11 Hybrid Firewall Packet Filtering + Application Proxy
Third Generation Firewall Technology ตัวอย่าง Raptor Firewall by Symantec Firewall 1 by Checkpoint Sidewinder Firewall by Secure Computing Lucent Brick by Lucent

12 Firewall Architecture

13 Firewall Architectures
Screening Router Simple Firewall Multi-Legged firewall Firewall Sandwich Layered Security Architecture

14 Screening Router

15 Simple Firewall

16 Multi-Legged Firewall

17 Firewall Sandwich

18 Layered Firewall

19 High Availability Network

20 Network Security Policy
ควรกำหนดนโยบายที่สามารถควบคุมหรือป้องกันทราฟิกที่อาจมีผลกระทบต่อการใช้งานเครือข่ายให้มากที่สุด แล้วนำไปบังคับใช้กับไฟร์วอล กฎที่บังคับใช้นโยบายการรักษาความปลอดภัยในไฟร์วอลนั้นจะเรียกว่า ACL (Access Control List) หรือ Firewall Rule

21 Network Security Policy
ตัวอย่างโยบายรักษาความปลอดภัย โดยสมมติว่าโครงสร้างของเครือข่ายเป็นดังรูปต่อไปนี้

22 Network Security Policy
โดย DMZ (Demilitarized Zone) ประกอบด้วย เว็บเซิร์ฟเวอร์ เมลเซิร์ฟเวอร์ และ DNS เซิร์ฟเวอร์ ผู้ใช้ภายในเครือข่ายสามารถใช้บริการคือ HTTP, HTTPS, FTP, Telnet, SSH, DNS, SMTP, POP3 ผู้ใช้จากอินเทอร์เน็ตนั้นสามรถใช้บริการจาก DMZ ได้คือ DNS, HTTP, HTTPS, SMTP จากนโยบายนี้เราสามารถเขียน ACL ได้ดังนี้

23 Network Security Policy
Rule Source Destination Service (Port) Action Description 1 Any Web Server HTTP (80) HTTPS (443) Allow อนุญาตให้ผู้ใช้จากทั้งภายในและอินเทอร์เน็ตเข้ามาใช้บริการเว็บเซอร์เวอร์ 2 Mail Server SMTP (25) POP3 (110) IMAP (143) อนุญาตให้ผู้ใช้จากทั้ง ภายในและอินเทอร์เน็ตเข้ามาใช้บริการเมล์เซิร์ฟเวอร์

24 Network Security Policy
Rule Source Destination Service (Port) Action Description 3 Any DNS Server DNS (53) Allow อนุญาตให้ผู้ใช้จากทั้งภายในและอินเทอร์เน็ตเข้ามาใช้บริการ DNS Server 4 Mail Server SMTP (25) อนุญาตให้เมลเซิร์ฟเวอร์รับ - ส่งกับเมลเซิร์ฟเวอร์อื่นที่อยู่บนอินเทอร์เน็ตหรือภายใน 5 อนุญาตให้ DNS Server คิวรี DNS Server อื่นที่อยู่บนอินเทอร์เน็ตหรือภายใน

25 Network Security Policy
Rule Source Destination Service (Port) Action Description 6 Internal Network Any HTTP (80) , HTTPS (443) , FTP (20-21) ,Telnet (23), SSH (22) , SMTP (25) , POP3 (110) , IMAP4 (143) Allow อนุญาตให้ผู้ใช้ภายในเครือข่ายใช้บริการดังกล่าวจากอินเทอร์เน็ตและ DMZ 7 Deny ถ้าไม่ตรงกับกฎที่กำหนดข้างบนให้ละทิ้งแพ็กเก็ตนั้น

26 โจทย์ : การทำงานของ Firewall แต่ละชนิด
การโจมตี Packet Filtering Stateful Inspection Application Proxy Syn Flood Port Scan UDP Flood Land Attack Fragmentation Packet Session Hijack Web Hacking : Parameter Tempering Sniffer การคาดเดารหัสผ่านเพื่อเข้าระบบ

27 โจทย์ : Firewall Policy
NetSec Questions ข้อ 15

28 ข้อจำกัดของ Firewall Firewall ไม่สามารถป้องกันการโจมตีที่ไม่ได้กระทำผ่าน Firewall เช่น การโจมตีจากภายในเครือข่าย ไม่สามารถป้องกันการโจมตีที่มากับ Application protocols, การทำ Tunneling หรือโปรแกรม Trojan horse ต่างๆ

29 Firewall product Juniper Cisco Catalyst Firewall Fortigate

30 Firewall Features Firewall Throughput : Mbps/Gbps
VPN Throughput : Mbps Concurrent Sessions : number IPsec VPN Peers : number Interfaces : number of Gigabit Ethernet ports, SFP fiber ports, and Fast Ethernet port Virtual Interfaces (VLANs) : number

31 Firewall Features Scalability : VPN clustering and load balancing
High Availability : Active/Active, Active/Standby Redundant Power : Supported, second power supply optional

32 ไฟร์วอลล์สำหรับ Host ไฟล์วอลล์สำหรับ Host หรือ Personal Firewall
ตัวอย่าง Windows 7 Firewall Zone Alarm Tiny Personal Firewall Norton Personal Firewall Sygate Personal Firewall Conseal PC Firewall VPN-1 Secure Client


ดาวน์โหลด ppt Firewall อาจารย์ ธนัญชัย ตรีภาค ภาควิชาวิศวกรรมคอมพิวเตอร์

งานนำเสนอที่คล้ายกัน


Ads by Google