Information system security wk6-1
-
Upload
bee-lalita -
Category
Education
-
view
272 -
download
1
description
Transcript of Information system security wk6-1
IT346 Information System Security
Faculty of Information Technology Page
IT346 Information System Security Week 6-1: Firewall (1)
ผศ.ดร.มชฌกา อองแตง
1
Application Layer
OSI v.s. TCP/IP Model
Application Layer
Presentation Layer
Session Layer
Transport Layer Transport Layer
Faculty of Information Technology Page
Host-to-Network Layer
(Network Access)
Transport Layer
Network Layer
Data Link Layer
Physical Layer
OSI Model
Transport Layer
Internet Layer
TCP/IP Model
2
ความรพนฐานเกยวกบ โปรโตคอล TCP/IP
� TCP/IP (Transmission Control Protocol/ Internet Protocol) เปนชดของโปรโตคอลทถกใชในการสอสารผานเครอขายอนเทอรเนต ‣ โปรโตคอลมาตรฐานทใชสอสารจากตนทางขามเครอขายไปยงปลายทาง‣ สามารถหาเสนทางทจะสงขอมลไปไดเองโดยอตโนมต ถงแมวาในระหวางทาง
อาจจะผานเครอขายทมปญหา โปรโตคอลกยงคงหาเสนทางอนในการสงผานขอมลไปใหถงปลายทางได
Faculty of Information Technology Page
อาจจะผานเครอขายทมปญหา โปรโตคอลกยงคงหาเสนทางอนในการสงผานขอมลไปใหถงปลายทางได
3
TCP/IP Protocol� TCP/IP มจดประสงคของการสอสารตามมาตรฐาน สามประการคอ ‣ เพอใชตดตอสอสารระหวางระบบทมความแตกตางกน ‣ ความสามารถในการแกไขปญหาทเกดขนในระบบเครอขาย เชนในกรณทผสง
และผรบยงคงมการตดตอกนอย แตโหนดกลางทใชเปนผชวยรบ-สงเกดเสยหายใชการไมได หรอสายสอสารบางชวงถกตดขาด กฎการสอสารนจะตองสามารถจดหาทางเลอกอนเพอทาใหการสอสารดาเนนตอไปไดโดยอตโนมต
Faculty of Information Technology Page
จดหาทางเลอกอนเพอทาใหการสอสารดาเนนตอไปไดโดยอตโนมต‣ มความคลองตวตอการสอสารขอมลไดหลายชนดทงแบบทไมมความเรงดวน เชน
การจดสงแฟมขอมล และแบบทตองการรบประกนความเรงดวนของขอมล เชน การสอสารแบบ real-time และทงการสอสารแบบเสยง (Voice) และขอมล (data)
4
TCP/IP Model
Layer Protocol Example
Faculty of Information Technology Page 5
Encapsulation
Faculty of Information Technology Page 6
Encapsulation� ขอมลทผานการ Encapsulate ในแตละ Layer มชอเรยกแตกตางกน ดงน‣ ขอมลทมาจาก User หรอกคอขอมลท User เปนผปอนใหกบ Application
เรยกวา User Data ‣ เมอแอพพลเคชนไดรบขอมลจาก user กจะนามาประกอบกบสวนหวของ
แอพพลเคชน เรยกวา Application Data และสงตอไปยงโปรโตคอล TCP ‣ เมอโปรโตคอล TCP ไดรบ Application Data กจะนามารวมกบ Header ของ
Faculty of Information Technology Page
‣ เมอโปรโตคอล TCP ไดรบ Application Data กจะนามารวมกบ Header ของ โปรโตคอล TCP เรยกวา TCP Segment และสงตอไปยงโปรโตคอล IP ‣ เมอโปรโตคอล IP ไดรบ TCP Segment กจะนามารวมกบ Header ของ
โปรโตคอล IP เรยกวา IP Datagram และสงตอไปยง Host-to-Network Layer‣ ในระดบ Host-to-Network จะนา IP Datagram มาเพมสวน Error
Correction และ flag เรยกวา Ethernet Frame กอนจะแปลงขอมลเปนสญญาณไฟฟา สงผานสายสญญาณทเชอมโยงอยตอไป
7
Host-to-Network Layer� Host-to-Network Layer: โฮสต ���� เครอขาย‣ โพรโตคอลสาหรบการควบคมการสอสารใน layer นไมมการกาหนดรายละเอยด
อยางเปนทางการ ‣ ดานผสง Layer นจะรบ IP Packet มาจาก IP Layer แลวสงไปยงโหนดทระบไว
ในเสนทางเดนขอมล‣ ดานผรบกจะทางานในทางกลบกน คอรบขอมลจากสายสอสารแลวนาสงใหกบ
Faculty of Information Technology Page
‣ ดานผรบกจะทางานในทางกลบกน คอรบขอมลจากสายสอสารแลวนาสงใหกบ IP Layer
8
Internet Layer� Internet Layer: ‣ ใชประเภทของระบบการสอสารทเรยกวา ระบบ packet-switching network
ซงเปนการตดตอแบบ Connectionless (ไมจองการเชอมตอ)‣ หลกการทางานคอการปลอยใหขอมลขนาดเลกทเรยกวา แพกเกต (Packet)
สามารถไหลจากโหนดผสงไปตามโหนดตางๆ ในระบบจนถงจดหมายปลายทางไดโดยอสระ
Faculty of Information Technology Page
ไดโดยอสระ ‣ หากวามการสงแพกเกตออกมาเปนชดโดยมจดหมายปลายทางเดยวกนใน
ระหวาง การเดนทางในเครอขาย แพกเกตแตละตวในชดนกจะเปนอสระแกกนและกน ดงนน แพกเกตทสงไปถงปลายทางอาจจะไมเปนไปตามลาดบกได
9
Internet Layer: IP� IP (Internet Protocol)‣ IP เปนโปรโตคอลในระดบNetwork Layer ทาหนาทจดการเกยวกบแอดเดรส
(Address) และขอมล และควบคมการสงขอมลทใชในการหาเสนทางของแพกเกต‣ กลไกในการหาเสนทางของ IP จะมความสามารถในการหาเสนทางทดทสด และ
สามารถเปลยนแปลงเสนทางไดในระหวางการสงขอมล และมระบบการแยกและ
Faculty of Information Technology Page
สามารถเปลยนแปลงเสนทางไดในระหวางการสงขอมล และมระบบการแยกและประกอบดาตาแกรม (datagram) เพอรองรบการสงขอมลระดบ data link ทมขนาด MTU (Maximum Transmission Unit) ทแตกตางกน ทาใหสามารถนา IP ไปใชบนโปรโตคอลอนไดหลากหลาย เชน Ethernet ,Token Ring หรอ Apple Talk
10
Internet Layer: IP� IP (Internet Protocol)‣ การเชอมตอของ IP เพอทาการสงขอมล จะเปนแบบ connectionless หรอเกด
เสนทางการเชอมตอในทกๆครงของการสงขอมล 1 datagram โดยจะไมทราบถง datagram ทสงกอนหนาหรอสงตามมา ‣ การสงขอมลใน 1 datagram อาจจะเกดการสงไดหลายครงในกรณทมการแบง
ขอมลออกเปนสวนยอยๆ (fragmentation) และถกนาไปรวมเปน datagram
Faculty of Information Technology Page
ขอมลออกเปนสวนยอยๆ (fragmentation) และถกนาไปรวมเปน datagram เดมเมอถงปลายทาง
11
Internet Layer: ICMP� ICMP (Internet Control Message Protocol)‣ ICMP เปนโปรโตคอลทใชในการตรวจสอบและรายงานสถานภาพของดาตาแกรม
(Datagram) ในกรณทเกดปญหากบ datagram เชน Router ไมสามารถสงdatagram ไปถงปลายทางได ‣ ICMP จะถกสงออกไปยง Host ตนทางเพอรายงานขอผดพลาด ทเกดขน ‣ ไมมอะไรรบประกนไดวา ICMP Message ทสงไปจะถงผรบจรงหรอไม หากมการ
Faculty of Information Technology Page
‣ ไมมอะไรรบประกนไดวา ICMP Message ทสงไปจะถงผรบจรงหรอไม หากมการสง datagram ออกไปแลวไมม ICMP Message ฟอง Error กลบมา กแปลความหมายไดสองกรณคอ ขอมลถกสงไปถงปลายทางอยางเรยบรอย หรออาจจะมปญหา ในการสอสารทงการสง datagram และ ICMP Message ทสงกลบมากมปญหาระวางทางกได ‣ ICMP จงเปนโปรโตคอลทไมมความนาเชอถอ (unreliable) แตเปนหนาทของ
โปรโตคอลในระดบสงกวา Network Layer ในการสรางความนาเชอถอใหการสอสารนนๆ
12
Transport Layer
� Transport Layer : ชนสอสารนาสงขอมลแบงเปน Protocol 2 ชนด Transmission Control Protocol (TCP)‣ เปนแบบทมการจองชวงการเชอมตอตลอดระยะเวลาการสอสาร (connection-
oriented) ซงจะยอมใหมการสงขอมลเปนแบบ Byte stream ทไวใจไดโดยไมมขอผดพลาด
Faculty of Information Technology Page
ขอผดพลาด ‣ ขอมลทมปรมาณมากจะถกแบงออกเปนสวนเลกๆ เรยกวา message ซงจะถก
สงไปยงผรบผาน Internet Layer ทางฝายผรบจะนา message มาเรยงตอกนตามลาดบเปนขอมลตวเดม ‣ TCP ยงมความสามารถในการควบคมการไหลของขอมล (Flow Control) เพอ
ปองกนไมใหผสง สงขอมลเรวเกนกวาทผรบจะทางานไดทนอกดวย
13
Transport LayerUDP (User Datagram Protocol) ‣ เปนการตดตอแบบไมการจองชวงการเชอมตอ (connectionless) ‣ มการตรวจสอบความถกตองของขอมลแตจะไมมการแจงกลบไปยงผสง จงถอได
วาไมมการตรวจสอบความถกตองของขอมล ‣ มขอดในดานความรวดเรวในการสงขอมล จงนยมใชในระบบผใหและผใชบรการ
(client/server system) ซงมการสอสารแบบ ถาม/ตอบ (request/reply)
Faculty of Information Technology Page
(client/server system) ซงมการสอสารแบบ ถาม/ตอบ (request/reply) นอกจากนนยงใชในการสงขอมลประเภทภาพเคลอนไหวหรอการสงเสยง (voice) ทางอนเทอรเนต
14
Application Layer� Application Layer: โพรโตคอลททางานรวมกบแอพพลเคชน เชน
Telnet: โพรโตคอลสาหรบสรางจอเทอรมนลเสมอน‣ ชวยใหผใชสามารถตดตอกบ เครอง Host ทอยไกลออกไปโดยผานอนเทอรเนต
และสามารถทางานไดเสมอนกบวากาลงนงทางานอยทเครอง Host นน
FTP: โพรโตคอลสาหรบการจดการแฟมขอมล
Faculty of Information Technology Page
FTP: โพรโตคอลสาหรบการจดการแฟมขอมล‣ FTP ชวยในการคดลอกแฟมขอมลมาจากเครอง อนทอยในระบบเครอขายหรอ
สงสาเนาแฟมขอมลไปยงเครองใดๆกได
SMTP: โพรโตคอลสาหรบการใหบรการจดหมายอเลกทรอนกส‣ SMTP ชวยในการจดสงขอความไปยง ผใชในระบบ หรอรบขอความทมผสงเขา
มา
15
ทาไมตองม Firewall?
� ปจจบนเครอขายอนเทอรเนตเตบโตอยางรวดเรว เครอขายขององคกรจาเปนทจะตองตอเขากบอนเทอรเนตเพอทจะใชในการตดตอสอสารและแลกเปลยนขอมล แตอนเทอรเนตนนเปนเครอขายสาธารณะ ดงนน จะมทงคนดและไมด และการรกษาความปลอดภยนนมความจาเปนมากสาหรบองคกร
� การใช Firewall นนกเพอใหผใชทอยภายในสามารถใชบรการเครอขายภายในได
Faculty of Information Technology Page
� การใช Firewall นนกเพอใหผใชทอยภายในสามารถใชบรการเครอขายภายในไดเตมท และใชบรการเครอขายภายนอกได ในขณะท Firewall จะปองกนไมใหผใชภายนอกเขามาใชบรการเครอขายทอยขางในได แพกเกตทวงระหวางเครอขาย จะตองผาน Firewall กอน
� Firewall ทาหนาทควบคมการใชเครอขายไดโดยอนญาตหรอไมอนญาตใหแพกเกตผานได ซงแพกเกตทอนญาตใหผานหรอไมนน ขนอยกบนโยบายการรกษาความปลอดภยของเครอขาย
16
หลกการทางานของ Firewall� Firewall เปนคอมโพเนนต (Component) หรอกลมของคอมโพเนนต โดย
ทคอมโพเนนตนนอาจจะเปน เราเตอร คอมพวเตอร หรอเนตเวรก ประกอบกนกได
� Firewall บงคบใชนโยบายการรกษาความปลอดภยระหวางเครอขาย เพอควบคมการเขาถงระหวาง‣ เนตเวรกภายนอกหรอเนตเวรกทคดวาไมปลอดภย กบ
Faculty of Information Technology Page
‣ เนตเวรกภายนอกหรอเนตเวรกทคดวาไมปลอดภย กบ‣ เนตเวรกภายในหรอเนตเวรกทตองการจะปองกน
17
หลกการทางานของ Firewall� การทางานของ Firewall ประกอบดวย 2 กลไก‣ อนญาตใหแพกเกต (packet) ผาน‣ ไมอนญาตใหแพกเกตผาน
� การควบคมการเขาถงของ Firewall นน สามารถทาไดในหลายระดบและหลายรปแบบขนอยชนดหรอเทคโนโลยของ Firewall ทนามาใช
Faculty of Information Technology Page
หลายรปแบบขนอยชนดหรอเทคโนโลยของ Firewall ทนามาใช ‣ เชน เราสามารถกาหนดไดวาจะใหมการเขามาใชเซอรวสอะไรไดบาง จากทไหน
เปนตน
18
ประเภทของ Firewall
Firewall สามารถแบงไดเปนหลายประเภท ขนอยกบเกณฑทใชแบง
� แบงตามรปแบบการไหลของขอมลผาน Firewall Network-based firewall ‣ ปองกนเครอขายภายในจากภยคกคามจากภายนอก โดยการเฝาระวงขอมล
Faculty of Information Technology Page
ปองกนเครอขายภายในจากภยคกคามจากภายนอก โดยการเฝาระวงขอมลสอสาร (traffic) ทวงเขามาและออกจากเครอขาย• Software-based firewall• Hardware-based firewall
Host-based firewall หรอ Personal firewall ‣ ปองกนคอมพวเตอรแตละเครองจากภยคกคามทางเครอขายทเครองนนเชอมตอ
อยเทานน
19
ประเภทของ Firewall� แบงโดยใช Layer การทางานของ Firewall
1.) Packet filtering firewall‣ เราเตอร (Router) ททาการหาเสนทางและสงตอ (route) อยางมเงอนไข โดย
พจารณาจากขอมลสวนทอยใน header ของแพกเกตทผานเขามา เทยบกบกฎ (rules) ทกาหนดไวและตดสนวาควรจะทง (drop) แพกเกตนนไปหรอวาจะยอม (accept) ใหแพกเกตนนผานไปได
Faculty of Information Technology Page
(accept) ใหแพกเกตนนผานไปได 2.) Stateful inspection firewall‣ เปนเทคโนโลยทเพมเขาไปใน Packet Filtering โดยในการพจารณาวาจะยอมให
แพกเกตผานไปนน นอกจากจะดขอมลจาก Header แลว ยงนาเอาสวนขอมลของแพกเกต (message content) และขอมลทไดจากแพกเกตกอนหนานทไดทาการบนทกเอาไว นามาพจารณาดวย ทาใหสามารถระบไดวาแพกเกตใดเปนแพกเกตทตดตอเขามาใหม หรอวาเปนสวนหนงของการเชอมตอทมอยแลว
20
ประเภทของ Firewall3.) Application layer firewall‣ บางทเรยกวา Application Gateway เปนแอพพลเคชนททางานอยบน
Firewall ทตงอยระหวางเนตเวรก 2 เนตเวรก ‣ เพมความปลอดภยของระบบเนตเวรกโดยการควบคมการเชอมตอระหวางเนต
เวรกภายในและภายนอก ‣ Application Gateway จะชวยเพมความปลอดภยไดมากเนองจากมการ
Faculty of Information Technology Page
‣ Application Gateway จะชวยเพมความปลอดภยไดมากเนองจากมการตรวจสอบขอมลถงในระดบของแอพพลเคชนเลเยอร (Application Layer)
21
Packet Filtering Firewall
Faculty of Information Technology Page
� โดยปกตแลว Router ไดรบแพกเกตมา กจะตรวจสอบ IP address ของเครองปลายทาง จากนนกจะด Routing Table เพอคนหาเสนทางทจะสง
� การกรองแพกเกต (Packet Filtering) ของ firewall จะทากอนทจะสงผานแพกเกตน แพกเกตจะถกกรองตามรายการควบคมการเขาถง (Access Control List –ACL)
� แตละรายการของ ACL จะประกอบดวย Field ของ Header ของ IP แพกเกต และเงอนไขการอนญาต วาอนญาตหรอไมอนญาตใหผาน
22
Packet Filtering Firewall� ถาแพกเกตทเขามาไมตรงกบกฎขอใดเลย Firewall จะทาอยางไร‣ ถาไมมกฎขอใดทไมไดเขยนวาอนญาตใหผาน ���� ถอวาหาม‣ ถาไมมกฎขอใดทไมไดเขยนวาหามผาน ���� ใหถอวาอนญาต
� ขอมลทใชในการพจารณาวาจะใหแพกเกตผานหรอไมนน ประกอบดวย
Faculty of Information Technology Page
ขอมลทใชในการพจารณาวาจะใหแพกเกตผานหรอไมนน ประกอบดวย‣ Source IP address (ไอพตนทาง)‣ Destination IP Address (ไอพปลายทาง)‣ Protocol Type (ชนดของโปรโตคอล)‣ Source port (พอรตตนทาง)‣ Destination port (พอรตปลายทาง)
23
Packet Filtering Firewall� หลกการทางานของ Packet Filtering จะพจารณาแพกเกต TCP เพอ
ตรวจสอบวา ‣ แพกเกตนนม Address ทถกตองหรอไม ‣ แพกเกตนนถกสงมาจากเครอขายภายนอกหรอไม ‣ โปรโตคอลหรอเซอรวสนนผานการตรวจสอบแลวหรอไม
ออปชนทสงมานนถกตองตามขอกาหนดหรอไม
Faculty of Information Technology Page
โปรโตคอลหรอเซอรวสนนผานการตรวจสอบแลวหรอไม‣ ออปชนทสงมานนถกตองตามขอกาหนดหรอไม
24
Packet Filtering Firewall� ขอด‣ นามาใชงานงาย มการทางานทไมซบซอน‣ ทางานไดอยางรวดเรว ไมกระทบตอผใชงาน (transparent)
� ขอจากด‣ ไมสามารถปองกนการโจมตทมงใชประโยชนจากชองโหวของ function หรอ
application ได
Faculty of Information Technology Page
ไมสามารถปองกนการโจมตทมงใชประโยชนจากชองโหวของ function หรอ application ได• Packet filter firewalls ไมพจารณาขอมลบนชนทเหนอขนไป หาก application
ใดไดรบอนญาตใหเชอมตอผาน firewall ทก function ใน application นนๆกสามรถใชงานการเชอมตอดงกลาวได
‣ มการเกบขอมลทจากด• Logs ทไดเกบเฉพาะขอมลทใชในการตดสนใจสาหรบ access control (source
address, destination address, and traffic type)
25
Packet Filtering Firewall� ขอจากด (ตอ)‣ ไมรองรบการจดการสทธการใชงานของผใชขน‣ ไมปองกนการโจมตทมสาเหตจากจดออนของ TCP/IP
• ไมสามารถตรวจจบ packet ทมการปลอม/เปลยน address ในระดบ Layer 3 ได‣ การกาหนดคาทผดพลาดจะนาไปสชองโหวทอนตรายได
Faculty of Information Technology Page 26
Stateful Inspection Firewall� Packet filter กรอง packet ดวยการตดสนใจโดยใชขอมลจาก packet
เดยวๆ ไมมการใชขอมลจากสงแวดลอมในการทางานในระดบบนเขามาพจารณา‣ โดยปกตแลว เครอง clients ใชพอรตหมายเลขสงๆ (1024 to 65535) ในการ
เชอมตอผาน TCP ไปยงเครอง server ดงนน packet filtering firewall จง
Faculty of Information Technology Page
เชอมตอผาน TCP ไปยงเครอง server ดงนน packet filtering firewall จงตองอนญาตการเชอมตอขาเขา (inbound traffic) เขามายงพอรตหมายเลขสงๆเหลานได เพอรองรบ TCP traffic
� มหลกการทางานทกอยางเหมอนกบแพกเกต Packet Filtering Firewall แตมสวนทเพมขนมาคอ จะบนทกขอมลเกยวกบ Connection ทเกดขนใน State Table กอนทจะสงแพกเกตนตอ
27
Stateful Inspection Firewall
� Stateful Inspection Firewall มกฏการควบคมการเชอมตอทเขมงวดมากขนสาหรบ TCP traffic โดยสราง directory ทเกบการเชอมตอขาออก(Outbound) ของ TCP connection เอาไว
� State Table จะใชสาหรบการบนทกขอมลของแตละ Connection ทเกดขน โดยปกตจะเกบ Source Address, Destination addresses,
Faculty of Information Technology Page
เกดขน โดยปกตจะเกบ Source Address, Destination addresses, Protocol type, Port number และ Flag ‣ มการบนทกการเชอมตอทกาลงเกดขนไว (1 การเชอมตอ เกบ 1 รายการ)‣ อนญาตการเชอมตอขาเขา (incoming traffic) มายงพอรตหมายเลขสงๆ
เฉพาะเมอ packet เหลานนสอดคลองกบ profile ของรายการใดรายการหนงใน state table‣ แตม Firewall บางยหอจะเกบ Sequence Number เพมดวย เพอใชในการ
ตรวจสอบ แพกเกตทกาลงเขามาและปองกนการทา Session Hijacking28
Stateful Inspection Firewall� Firewall ตรวจสอบขอมลของ packet เชนเดยวกบ packet filtering
firewall แตเพมการเกบขอมลเกยวกบ TCP connection ดวย
‣ บนทก TCP sequence numbers เพอปองกนการโจมตทอาศย sequence
Faculty of Information Technology Page
ปองกนการโจมตทอาศย sequence number เชน session hijacking‣ ตรวจสอบขอมลสาหรบ protocols เชน
FTP, IM และคาสงของโปรโตคอล SIPS เพอระบการเชอมตอและ track การเชอมตอทเกยวของกน
29
Source
Address Source Port
Destination
Address
Destination
Port
Connection
State
192.168.1.100 1030 210.9.88.29 80 Established
192.168.1.102 1031 216.32.42.123 80 Established
Stateful Firewall Connection State� Directory ของการเชอมตอแบบ TCP ขาออก (outbound)
Faculty of Information Technology Page
192.168.1.101 1033 173.66.32.122 25 Established
192.168.1.106 1035 177.231.32.12 79 Established
223.43.21.231 1990 192.168.1.6 80 Established
219.22.123.32 2112 192.168.1.6 80 Established
210.99.212.18 3321 192.168.1.6 80 Established
24.102.32.23 1025 192.168.1.6 80 Established
223.21.22.12 1046 192.168.1.6 80 Established
30
Application Layer Firewall
� บางทเรยกวา Proxy Firewall หรอ Application Gateway � เปน โปรแกรมทรนบนระบบปฏบตการทวไป หรอ อาจเปนฮารดแวรทตดตง
ซอฟตแวรพรอมใชงานแลวกได � Firewall จะมระบบปองกนเครอขาย (Network Guard) หลายอนเพอ
สาหรบเชอมตอกบเครอขายตางๆ
Faculty of Information Technology Page
สาหรบเชอมตอกบเครอขายตางๆ � นโยบายรกษาความปลอดภยจะเปนสงกาหนด
วา Traffic (ขอมลสอสาร) ใดสามารถถายโอนระหวางเครอขายใดไดบาง
� ใน Application Layer Firewall นน ทกๆ โปรโตคอลทอนญาตใหผานไดจะตองม Proxy สาหรบโปรโตคอลนนๆ
31
Application Layer Firewall
Faculty of Information Technology Page
� เมอ Client ตองการใช Service ภายนอก Client จะทาการตดตอไปยง Proxy กอน Client จะเจรจากบ Proxy เพอให Proxy ตดตอไปยงเครองปลายทางให
� เมอ Proxy ตดตอไปยงเครองปลายทางใหแลวจะม connection 2 อน คอ Client กบ Proxy และ Proxy กบเครองปลายทาง โดยท Proxy จะทาหนาทรบขอมลและสงตอขอมลใหใน 2 ทศทาง ทงน Proxy จะทาหนาทในการตดสนใจวาจะใหมการเชอมตอกนหรอไม จะสงตอแพกเกตใหหรอไม
32
Application Layer Firewall� สาหรบ Application Layer Firewall น ทกๆ การเชอมตอจะสนสดท
Firewall โดย Firewall จะตรวจสอบกบนโยบายรกษาความปลอดภยวาจะอนญาตให Traffic นผานหรอไม ‣ ถาอนญาต firewall จะสรางการเชอมตอกบ server แทน client เอง
Faculty of Information Technology Page
� Application Layer Firewall ยงสามารถควบคมการเชอมตอจากภายนอกเขามาภายในไดเชนกน ดงนน firewall จงสามารถปองกนการโจมตเครอขายในระดบ application ได แตตว firewall เอง จะตองมความปลอดภยจากการโจมตดวย
33