34.6. ไฟร์วอลล์ (FIREWALL)                                                         289



                          • Security Parameter Index (SPI): เหมือนกับ SPI ใน AH เพื่อใช้ในการระบุ Security Association (SA)
                            สำหรับทราฟฟิกที่แพกเกตนั้นทำงานร่วม

                          • Sequence Number (32 บิต): ทำงานเช่นเดียวกับ AH


                          • Payload Data: ไม่ได้ระบุจำนวนที่แน่นอน เพื่อใช้ในการบ่งถึงความยาวของส่วนบรรจุข้อมูล (payload)
                            ซึ่งเป็นไซเฟอร์เท็กซ์สำหรับส่วนของการเข้ารหัสข้อมูล ในส่วนนี้ถือว่าเป็นส่วนที่ต้องมี ไม่ว่า SA ต้องการการ
                            รักษาความลับหรือไม่


                          • Padding: เป็นส่วนขนาด 0 -255 ไบต์ เพื่อใช้งานกับการทำการเข้ารหัสข้อมูลของบางอัลกอริทึมที่ต้องการ
                            เพลนเท็กซ์ที่เป็นทวีคูณของ จำนวนไบต์ เช่น ทวีคูณของ 4 ไบต์ (4, 8, 12, ... ) เป็นต้น

                          • Pad length จำนวน 8 บิตเพื่อใช้ในการระบุถึงจำนวนไบต์ Padding
                                                                           book)
                          • Next Header (8 บิต) :ใช้ในการระบุถึงประเภทของข้อมูลที่ถูกห่อหุ่ม (encapsulated) ในส่วนบรรจุข้อมูล


                          • Authentication Data (ไม่แน่นอน): ใช้ในการจัดเก็บค่าเรียกว่า integrity check value (ICV) ซึ่งคำนวณ
                            จากความยาวของแพกเกต ESP ลบด้วยข้อมูลของการพิสูจน์ทราบตัวตน (authentication) ซึ่งความยาว
                                                          (partial
                            จะต้องเป็นทวีคูณของ 32 บิต

                         การทำงานของ ESP ใน IP Sec จะทำงานคล้ายกับของโพรโตคอล AH ซึ่งสามารถทำได้สองโหมดเช่นกัน คือ
                      ทรานสปอร์ตโหมดและทันเนลลิ่งโหมด ในทรานสปอร์ตโหมดการทำงานของ ESP จะสนับสนุนการทำงานของการ
                      เข้ารหัสและ การพิสูจน์ทราบตัวตนของ SA สำหรับโฮสต์ที่เชื่อมต่อกันโดยตรง ส่วนของทันเนลลิ่งโหมดสามารถที่จะ

                      ใช้ในการติดตั้ง Virtual Private Network (VPN) ในที่นี้โฮสต์ที่อยู่ภายในเน็ตเวิร์คใช้อินเทอร์เน็ตเพื่อสื่อสารข้อมูล
                                               only
                      แต่มิได้เกี่ยวข้องกับโฮสต์อื่นที่เป็น internet-based ในกรณีนี้เฮดเดอร์ของ ESP จะบรรจุในแพกเกตและแพกเกต
                      ของ IP พร้อมทั้งเฮดเดอร์จะถูกเข้ารหัส การทำเช่นนี้จะทำให้สามารถป้องกันการแอบวิเคราะห์สภาวะทราฟฟิกได้
                      ในขณะที่ผู้บุกรุกจะพยายามที่จะค้นหารูปแบบของทราฟฟิกระหว่างที่สื่อสาร
                                    KKU


                      34.6 ไฟร์วอลล์ (Firewall)



                      ไฟร์วอลล์เป็นการรักษาความปลอดภัยเน็ตเวิร์ค โดยอาจเป็นอุปกรณ์ที่ถูกพัฒนาขึ้นหรืออาจเป็นเพียงซอฟต์แวร์
                      การทำงานของไฟร์วอลล์ถือเป็นส่วนสำคัญเพื่อตรวจสอบทราฟฟิกที่เข้าหรือออกจากเน็ตเวิร์ค ซึ่งการทำงานของ
                      ไฟร์วอลล์อาจอนุญาตให้ทราฟฟิกบางประเภทผ่านไปได้ ในขณะอีกอาจกำจัดทราฟฟิกที่มีลักษณะผิดปกติตามที่
                      ระบุไว้ เราสามารถแบ่งการทำงานของไฟร์วอลล์ได้ดังนี้



                      34.6.1 Packet Filtering Firewall


                      การทำงานของไฟร์วอลล์แบบ Packet filtering ถือเป็นยุคแรกของไฟร์วอลล์ ซึ่งการทำงานค่อนข้างจะตรงไปตรง
                      มา และไม่ยุ่งยากเมื่อเทียบกับการทำงานของไฟร์วอลล์แบบอื่นๆ แต่ก็มิได้หมายความว่า การทำงานของไฟร์วอลล์
                      นี้ไม่มีประสิทธิภาพ เพียงแต่ว่าการทำงานของไฟร์วอลล์ประเภทนี้อยู่บนพื้นฐานการทำงานที่ง่าย สะดวกต่อการ
                      กำหนดการทำงาน (configure)
                         การทำงานของ Packet filtering อาศัยการตรวจสอบจากเฮดเดอร์ของ IP หรือของ TCP เช่น การตรวจสอบ
                      IP address ของต้นทาง ปลายทาง หรือหมายเลขพอร์ตเป็นต้น ซึ่งหากการตรวจสอบพบตามที่ได้กำหนดไว้ และแพ

                      กเกตนั้นจะได้รับอนุญาต แพกเกตจะถูกส่งต่อไป แต่หากไม่ใช่ที่กำหนดไว้ แพกเกตจะถูกกำจัดทิ้งไป