การแก้ไขปัญหานี้ไม่ใช่ว่าจะต้องตัดการติดต่อระหว่างเน็ตเวิร์กขององค์กรกับอินเตอร์เน็ต แต่องค์กรสามารถสร้างกลไกที่เรียกว่า firewall ขึ้นมาสำหรับป้องกันเน็ตเวิร์กขององค์กรจากการถูกจู่โจมได้ firewall เหล่านี้ยังคงยอมให้พนักงานในองค์กรสามารถออกไปใช้อินเตอร์เน็ตได้ แต่จะยับยั้งพวกแฮกเกอร์หรือคนอื่น ๆ บนอินเตอร์เน็ตไม่ให้เข้ามาใช้เน็ตเวิร์กขององค์กร แล้วสร้างความเสียหายให้เกิดขึ้นได้
firewall คือการผสมผสานกันระหว่างวอฟต์แวร์และฮาร์ดแวร์ ซึ่งถูกสร้างขึ้นมาโดยใช้เราท์เตอร์ เซิร์ฟเวอร์ และซอฟต์แวร์อื่น ๆ อีกมากมาย มันจะถูกติดตั้งตรงจุดที่เปราะบางที่สุดระหว่างรอยต่อของเน็ตเวิร์กในองค์กรกับอินเตอร์เน็ต ระบบของ firewall อาจจะเป็นระบบที่ง่าย ๆ หรือสลับซับซ้อนก็ได้ ทั้งนี้ขึ้นอยู่กับผู้ดูแลระบบว่าจะต้องการสร้างมันขึ้นมาแบบไหน มี firewall อยู่หลายชนิด แต่ทุกชนิดมีส่วนประกอบหลักบางอย่างที่เหมือนกัน
สิ่งพื้นฐานที่สุดที่ firewall จะต้องมีก็คือ packet filtering โดยจะใช้อุปกรณ์เราท์เตอร์แบบหนึ่งที่เรียกว่า screening router ซึ่งจะทำการตรวจสอบส่วนหัวหรือเฮดเดอร์ ( header ) ของทุก ๆ แพ็กเก็ตข้อมูลที่เดินทางระหว่างอินเตอร์เน็ตกับเน็ตเวิร์กขององค์กร ตัวเฮดเดอร์ของแพ็กเก็ตนี้จะบรรจุข้อมูลต่าง ๆ ไว้ภายใน รวมทั้ง IP แอดเดรสของทั้งผู้ส่งและผู้รับ โปรโตคอลที่ใช้ในการส่งแพ็กเก็ต และข้อมูลอื่น ๆ ที่คล้าย ๆ กัน เราท์เตอร์จะใช้ข้อมูลเหล่านี้ในการตรวจสอบว่ามีการใช้บริการตัวไหนของอินเตอร์เน็ต ( เช่น FTP หรือ rlogin ) ในการส่งข้อมูลนั้น และเช่นเดียวกันก็จะทราบถึงตัวผู้ส่งและผู้รับด้วย โดยเราท์เตอร์จะอาศัยข้อมูลเหล่านี้ในการที่จะยับยั้งการส่งแพ็กเก็ตของข้อมูลบางประเภทระหว่างอินเตอร์เน็ตกับเน็ตเวิร์กขององค์กร ตัวอย่างเช่นเราอาจตั้งให้เราท์เตอร์ปิดกั้นการส่งข้อมูลทุกอย่างยกเว้นอีเมล์ หรือสามารถยับยั้งการส่งและรับข้อมูลจากแหล่งที่น่าสงสัยแต่ละแห่งได้ เป็นต้น
ส่วนประกอบของ firewall อีกอย่างหนึ่งก็คือ bastion hosts ซึ่งเป็นเซิร์ฟเวอร์ที่ใช้จัดการกับคำร้องขอต่าง ๆ จากอินเตอร์เน็ตที่เข้ามายังเน็ตเวิร์กขององค์กร เช่นคำร้องขอทำ FTP เป็นต้น bastion host จะคอบป้องกันการจู่โจมจากภายนอก และการใช้โฮสต์เพียงตัวเดียวเพื่อจัดการกับคำร้องขอต่าง ๆ นั้นจะทำให้สามารถดูแลเรื่องความปลอดภัยและติดตามร่องรอยของการโจมตีที่อาจเกิดได้ง่ายขึ้น และในกรณีที่มีการเจาะเข้ามาในระบบสำเร็จ ก็จะมีโฮสต์ตัวเดียวเท่านั้นที่ต้องเสี่ยงภัยแทนที่จะเป็นเน็ตเวิร์กทั้งหมด
Proxy server ก็เป็นตัวป้องกันอีกตัวหนึ่งที่มักมีการใช้กันใน firewall เมื่อมีบางคนบนเน็ตเวิร์กภายในองค์กรต้องการจะติดต่อกับเซิร์ฟเวอร์ของอินเตอร์เน็ต คำร้องขอของเขาจะถูกส่งไปที่ Proxy server ก่อน จากนั้น Proxy server จึงจะทำการติดต่อกับเซิร์ฟเวอร์ในอินเตอร์เน็ตแทนให้ เมื่อได้ข้อมูลแล้ว Proxy server จึงจะเป็นตัวส่งข้อมูลจากอินเตอร์เน็ตเซิร์ฟเวอร์นั้นกลับมาที่คอมพิวเตอร์ภายในเน็ตเวิร์กขององค์กรอีกทีหนึ่ง ซึ่งในการทำหน้าที่เป็นตัวกลางรับส่งข้อมูลนี้เอง Proxy server ก็จะสามารถคอบดูแลรักษาความปลอดภัยของระบบ และยังสามารถเก็บข้อมูลการจราจรทั้งหมดระหว่างอินเตอร์เน็ตและเน็ตเวิร์กขององค์กรไว้ให้ตรวจสอบภายหลังได้ด้วย
Firewall ทำงานอย่างไร ?
Firewall เป็นระบบที่ผสมผสานกันระหว่างฮาร์ดแวร์และซอฟต์แวร์ ที่ใช้ในการป้องกันเน็ตเวิร์กขององค์กรจากการถูกจู่โจมที่มีประสงค์ร้ายจากบุคคลใด ๆ ที่ใช้อินเตอร์เน็ตอยู่ มันถูกสร้างขึ้นมาเพื่อหยุดยั้งการกระทำของผู้บุกรุกที่ลักลอบเข้ามาในเน็ตเวิร์กขององค์กร นอกจากนี้ยังป้องกันไม่ให้ผู้ใช้ที่อยู่ภายในเน็ตเวิร์กขององค์กรเข้าไปใช้บริการต่าง ๆ ของอินเตอร์เน็ตที่อาจจะก่อให้เกิดอันตรายต่อเน็ตเวิร์กภายในได้ Firewall มีอยู่หลายชนิด
1. ระบบเน็ตเวิร์กภายในองค์กรจะถูกป้องกันจากอินเตอร์เน็ตโดย Firewall ซึ่งเน็ตเวิร์กภายในนี้จะทำงานตามปกติเหมือนกับเน็ตเวิร์กทั่ว ๆ ไป โดยจะมีเซิร์ฟเวอร์ที่คอยให้บริการภายในต่าง ๆ เช่น อีเมล์ การเข้าไปใช้ฐานข้อมูลขององค์กร ความสามารถที่จะรันโปรแกรมต่าง ๆ เป็นต้น
2. โปรแกรมจากเซิร์ฟเวอร์ และแอพลิเคชันอื่น ๆ เมื่อมีผู้ใช้บนเน็ตเวิร์กขององค์กรที่อยู่ภายใต้การควบคุมของ Firewall ต้องการจะเข้าไปยังอินเตอร์เน็ต คำร้องขอและข้อมูลจะต้องผ่านไปที่ Interior screening router ( บางครั้งเรียกว่า choke router ) ซึ่งเราท์เตอร์นี้จะทำการตรวจสอบข้อมูลทุก ๆ แพ็กเก็ตที่เดินทางไปมาระหว่างเน็ตเวิร์กขององค์กรและอินเตอร์เน็ต ข้อมูลที่อยู่ในส่วนหัวของแพ็กเก็ตจะเป็นข้อมูลที่ใช้สำหรับเราท์เตอร์ ข้อมูลที่อยู่ในส่วนหัวของแพ็กเก็ตจะเป็นข้อมูลที่ใช้สำหรับเราท์เตอร์ เช่น ต้นทางและปลายทางของแพ็กเก็ตประเภทของโปรโตคอลที่ใช้ในการส่งแพ็กเก็ต และข้อมูลอื่น ๆ ที่ช่วยในการแสดงตัวเอง
3. จากการดูข้อมูลในส่วนหัวของแพ็กเก็ต screening router ก็จะตัดสินได้ว่าจะส่งหรือรับแพ็กเก็ตไหนได้บ้าง แต่อาจจะกันแพ็กเก็ตอื่น ๆ ตัวอย่างเช่น มันจะไม่ยอมให้บริการบางชนิดถูกเรียกทำงาน เช่น rlogin ( คำสั่ง rlogin นั้นคล้ายกับ Telnet คือจะยอมให้ใคร ๆ ล็อกอินเข้ามายังระบบคอมพิวเตอร์ของเราได้ แต่จะมีอันตรายตรงที่ rlogin ยอมให้ผู้ใช้ไม่จำเป็นต้องป้อนรหัสผ่านในการที่จะเข้าใช้ระบบ ) นอกจากนี้เราท์เตอร์ยังอาจไม่อนุญาตให้แพ็กเก็ตที่ถูกส่งไปยังหรือมาจากที่ใดที่หนึ่งผ่านไปได้ ถ้ามันพบว่าเป็นสถานที่ ๆ น่าสงสัย หรือในกรณีที่จะให้มีการป้องกันอย่างเต็มที่ ก็สามารถตั้งให้เราท์เตอร์ปิดกั้นทุก ๆ แพ็กเก็ตที่เดินทางไปมาระหว่างเน็ตเวิร์กขององค์กรและอินเตอร์เน็ตได้ ยกเว้นอีเมล์เท่านั้น โดยผู้ดูแลระบบจะเป็นผู้ตั้งเงื่อนไขเองว่าแพ็กเก็ตใดบ้างที่สามารถเข้ามาได้ และดันไหนที่จะต้องกันเอาไว้
4. Bastion host ใน Firewall เป็นที่จุดแรกที่จะรับการติดต่อเข้ามาจากอินเตอร์เน็ต เพื่อเข้ามาใช้บริการต่าง ๆ อย่างเช่น การรับอีเมล์ และการให้บริการ FTP ขององค์กร ตัว bastion host เป็นเซิร์ฟเวอร์ที่มีการป้องกันที่เข้มงวดมาก ๆ โดยจะมีระบบรักษาความปลอดภัยหลาย ๆ อย่างอยู่ข้างใน และเป็นจุดติดต่อจุดเดียวสำหรับการร้องขอทุก ๆ ครั้งที่มาจากอินเตอร์เน็ต ดังนั้นจึงไม่มีคอมพิวเตอร์หรือโฮสต์อื่นใดในเน็ตเวิร์กขององค์กร ที่จะได้รับการติดต่อโดยตรงจากอินเตอร์เน็ตได้ ซึ่งถือว่าเป็นการสร้างระบบรักษาความปลอดภัยขึ้นมาระดับหนึ่ง นอกจากนี้ตัว bastion host ยังสามารถติดตั้งซอฟต์แวร์ให้ทำหน้าที่เป็น Proxy server ได้ ซึ่งเซิร์ฟเวอร์นี้จะทำหน้าที่ประมวลคำร้องขอต่าง ๆ จากเน็ตเวิร์กขององค์กรไปยังอินเตอร์เน็ต เช่น การเรียกดู Web หรือการดาวน์โหลดไฟล์โดยใช้ FTP
5. Bastion host จะถูกติดตั้งในเน็ตเวิร์กกรอบนอก ( perimeter network ) คือเน็ตเวิร์กที่อยู่นอกองค์กรในระดับเดียวกับ Firewall ดังนั้นมันจะไม่ได้อยู่ในเน็ตเวิร์กขององค์กรเอง สิ่งนี้จะช่วยเสริมการป้องกันเน็ตเวิร์กขององค์กรจากอินเตอร์เน็ตได้ดีขึ้น ถ้า bastion host ถูกติดตั้งอยู่ในเน็ตเวิร์กขององค์กรโดยปกติ ในที่สุดผู้บุกรุกอาจเข้ามาใช้คอมพิวเตอร์ทุกตัวในเน็ตเวิร์กขององค์กรและการบริการของเน็ตเวิร์กทั้งหมดได้ ซึ่งการแยก bastion server ออกจากเน็ตเวิร์กขององค์กรโดยการติดตั้งไว้ที่เน็ตเวิร์กรอบนอกนี้ ถึงแม้ว่าตัวเซิร์ฟเวอร์จะถูกบุกรุกเข้ามาถึงได้ ผู้บุกรุกก็ยังไม่สามารถเข้ามาถึงเน็ตเวิร์กภายในองค์กรได้
6. Exterior screening router ( หรืออาจเรียกว่า access router ) จะตรวจสอบทุก ๆ แพ็กเก็ตที่ส่งไปมาระหว่างอินเตอร์เน็ตกับเน็ตเวิร์กรอบนอก และจะเป็นตัวที่จะเพิ่มความปลอดภัยอีกชั้นหนึ่ง โดยจะตรวจสอบทุก ๆ แพ็กเก็ตโดยใช้กฎเกณฑ์เช่นเดียวกับที่ Interior screening router ใช้ และจะช่วยป้องกันเน็ตเวิร์กถึงแม้ว่า Interior screening router จะใช้การไม่ได้ก็ตาม อย่างไรก็ตาม Exterior screening router จะยังสามารถเพิ่มเติมกฎเกณฑ์ในการตรวจสอบแพ็กเก็ตได้ โดยเฉพาะอย่างยิ่งการออกแบบเพื่อป้องกัน bastion host จากการจู่โจมภายนอก
Proxy server ทำงานอย่างไร ?
Proxy server เป็นซอฟต์แวร์ตัวหนึ่งที่ทำงานอยู่บนโอสต์ใน firewall เช่น bastion host โดยทำหน้าที่เป็นตัวกลางระหว่างเครื่องคอมพิวเตอร์บนเน็ตเวิร์กที่ถูกป้องกัน เช่นเน็ตเวิร์กขององค์กรกันอินเตอร์เน็ต และเพราะว่ามีเพียง Proxy server ตัวเดียวเท่านั้นที่ติดต่อกับอินเตอร์เน็ต แทนที่จะเป็นคอมพิวเตอร์หลาย ๆ เครื่องบนเน็ตเวิร์กที่ทำการติดต่อกับอินเตอร์เน็ต ดังนั้นจึงสามารถควบคุมเรื่องระบบความปลอดภัยได้ เพราะการรักษาความปลอดภัยบนคอมพิวเตอร์เพียงเครื่องเดียว สามารถทำได้ดีกว่าที่จะต้องไปทำกับคอมพิวเตอร์หลาย ๆ เครื่องบนเน็ตเวิร์ก
1. ผู้ดูแลระบบสามารถติดตั้ง Proxy server เพื่อให้บริการหลาย ๆ อย่างเช่น FTP, Web, Telnet เป็นต้น ผู้ดูแลระบบจะตัดสินใจว่าบริการอันไหนของอินเตอร์เน็ตที่จะต้องผ่าน Proxy server ก่อน และตัวไหนไม่ต้องผ่าน และจะต้องใช้ซอฟต์แวร์ของ Proxy server โดยเฉพาะสำหรับการเรียกใช้บริการของอินเตอร์เน็ตในแต่ละประเภท
2. เมื่อคอมพิวเตอร์จากเน็ตเวิร์กขององค์กรส่งคำร้องขอไปยังอินเตอร์เน็ต เช่น ต้องการจะเรียกเว็บเพจจาก Web server มันจะทำตัวเสมือนว่าติดต่อโดยตรงกับเว็บเซิร์ฟเวอร์บนอินเตอร์เน็ต แต่ในความเป็นจริงแล้วคอมพิวเตอร์ภายในจะติดต่อกับ Proxy server พร้อมด้วยคำร้องขอ ซึ่ง Proxy server ก็จะทำการติดต่อกับอินเตอร์เน็ตเซิร์ฟเวอร์อีกทีหนึ่ง แล้วอินเตอร์เน็ตเซิร์ฟเวอร์ก็จะส่งเว็บเพจกลับมายัง Proxy server ซึ่งจะส่งเพจที่ได้มานั้นต่อไปยังคอมพิวเตอร์เครื่องที่ร้องขอมา
3. Proxy server สามารถเก็บบันทึกการจราจรระหว่างเน็ตเวิร์กภายในองค์กรกับอินเตอร์เน็ตได้ด้วย เช่น Proxy server ของ Telnet สามารถติดตามดูทุก ๆ ตัวอักษรที่ถูกพิมพ์เมื่อมีการใช้งาน Telnet อยู่ และยังสามารถติดตามดูการโต้ตอบเหล่านี้จากเซิร์ฟเวอร์บนอินเตอร์เน็ตได้ด้วย ทั้งนี้ Proxy server ยังสามารถเก็บบันทึกทุก ๆ IP แอดเดรส วันที่ และเวลาที่มีการติดต่อ URL ที่เรียก จำนวนไบต์ของข้อมูลที่ถูกดาวน์โหลด และอื่น ๆ ซึ่งข้อมูลเหล่านี้สามารถนำไปใช้เพื่อวิเคราะห์ว่ามีการบุกรุกเข้ามายังเน็ตเวิร์กหรือไม่
4. Proxy server สามารถทำได้มากกว่าการส่งและการรับคำร้องขอต่าง ๆ ระหว่างคอมพิวเตอร์บนเน็ตเวิร์กภายในและเซิร์ฟเวอร์บนอินเตอร์เน็ตเท่านั้น แต่มันจะสามารถสร้างระบบรักษาความปลอดภัยได้อีกด้วย เช่นอาจมีการติดตั้ง FTP Proxy server ขึ้นมาเพื่อควบคุมให้มีการส่งไฟล์จากอินเตอร์เน็ตมายังคอมพิวเตอร์ในเน็ตเวิร์กขององค์กรได้ทางเดียวเท่านั้น แต่ไม่สามารถส่งไฟล์จากเน็ตเวิร์กขององค์กรออกไปยังระบบอินเตอร์เน็ตภายนอกได้
5. Proxy server ยังสามารถใช้เพิ่มประสิทธิภาพในการให้บริการของอินเตอร์เน็ตบางอย่างได้ด้วย โดยการทำแคชข้อมูล ( caching data ) เก็บไว้ ซึ่งก็คือการเก็บสำเนาของข้อมูลที่เคยถูกร้องขอก่อนแล้วเอาไว้ ตัวอย่างเช่น Web server สามารถเก็บเว็บเพจต่าง ๆ ที่มีผู้เรียกหาเอาไว้มากมาย ดังนั้นเมื่อใดก็ตามที่มีใครบางคนจากเน็ตเวิร์กขององค์กรต้องการข้อมูลจากเว็บเพจเหล่านั้นซ้ำอีก ก็ไม่ต้องวิ่งออกไปดึงมาจากอินเตอร์เน็ตภายนอก แต่สามารถดึงข้อมูลนั้นได้ทันทีโดยตรงจาก Proxy server ซึ่งจะทำให้มีความรวดเร็วมาก
7 มีนาคม 2541
