Page 299 - Computer Network
P. 299
290 บทที่ 34. ความปลอดภัยของเน็ตเวิร์ค
จะเห็นว่าหลักการทำงานของ Packet filtering ค่อนข้างง่าย แต่หากพิจารณาให้ดี จะพบว่าการจะกำหนดการ
ตรวจสอบที่ต้องการ ต้องอาศัยความเข้าใจในเฮดเดอร์ของแพกเกตเป็นอย่างดี เพื่อระบุค่าที่ต้องการตรวจสอบอย่าง
ชัดเจน ซึ่งหากการกำหนดเป็นไปอย่างซับซ้อน จะทำให้ข้อกำหนดที่เขียนขึ้นไม่กระชับ ทำให้ยากแก่การทดสอบ
จัดการและเข้าใจ
34.6.2 พร็อกซี (Proxy)
พร็อกซีเปรียบเสมือนตัวกลางระหว่างการเชื่อมต่อของไคลเอนต์และเซิร์ฟเวอร์ โฮสต์ต้องการที่จะร้องขอข้อมูลไป
ยังเว็บเซิร์ฟเวอร์ แทนที่การร้องขอนี้จะไปยังเซิร์ฟเวอร์ที่ต้องการโดยตรง การร้องขอจะถูกส่งไปยังพร็อกซีเซิร์ฟเวอร์
แทน ดังนั้นจึงเป็นหน้าที่ของพร็อกซีในการตัดสินใจ เพื่อตอบรับหรือปฎิเสธการร้องขอ ทำให้การเชื่อมต่อที่เกิดขึ้น
เป็นการเชื่อมต่อไปยังพร็อกซี แทนที่จะเป็นตัวเซิร์ฟเวอร์ที่ต้องการโดยตรง การทำเช่นนี้ถือเป็นการลดความเสี่ยงที่
book)
จะถูกโจมตีจากผู้ไม่หวังดีได้
จากการทำงานของพร็อกซีสามารถแบ่งพร็อกซีได้เป็นสองประเภท โดยประเภทแรกได้แก่ application proxy
เป็นการกำหนดพร็อกซีต่อแอพพลิเคชันเช่น HTTP พร็อกซีหรือ FTP พร็อกซี อย่างไรก็ตามเพื่อความสะดวก เรา
อาจติดตั้งพร็อกซีเซิร์ฟเวอร์เพื่อรองรับการทำงาน ของทั้ง HTTP พร็อกซีหรือ FTP พร็อกซีภายในเครื่องเซิร์ฟเวอร์
เดียวกัน และประเภทที่สองได้แก่ circuitlevel proxy โดยพร็อกซีนี้จะทำหน้าที่เป็นพร็อกซีของ TCP/IP ทราฟฟิก
ที่เกิดขึ้น ทำให้แทนที่จะเป็นเพียงการทำงานพร็อกซีต่อแอพพลิเคชันแต่จะทำหน้าที่เสมือนตัวกลางของทราฟฟิก
ทั้งหมดใน Transport Layer (partial
ข้อเสียของการใช้พร็อกซีคือการทำงานของไคลเอนต์แอพพลิเคชันต้องรองรับการทำงานร่วมกับพร็อกซี
only
เซิร์ฟเวอร์ ปัจจุบันแอพพลิเคชันที่รองรับพร็อกซีที่นิยมได้แก่ HTTP, HTTPS (SSL) และ FTP เท่านั้น และเนื่องจาก
การสื่อสารต้องส่งผ่านพร็อกซี ทำให้เกิดเวลาหน่วงขึ้นเพื่อตรวจสอบว่ามีข้อมูลอยู่ในแคซ (cache) ของพร็อกซีหรือ
ไม่ ก่อนที่จะมีส่งการร้องขอไปยังเซิร์ฟเวอร์ ซึ่งเมื่อได้รับการตอบกลับจะคัดลอกข้อมูลไว้ เพื่อร้องรับการร้องขอภาย
หลัง ทำให้หากมีการร้องขอจะทำให้การตอบสนองเร็วขึ้น อย่างไรก็ตามเวลาหน่วงที่เกิดขึ้น จะขึ้นอยู่กับขนาดของ
KKU
พร็อกซี ความเร็วของการเข้าถึงข้อมูล จำนวนการร้องขอต่อวินาที ดังนั้นเวลาหน่วงอาจค่อนข้างสูงได้ หากใช้กับ
เน็ตเวิร์คที่มีการใช้งานที่มาก
34.6.3 ไฟร์วอลล์ใน Application Layer (Application Layer Firewall)
จากการที่ได้กล่าวมาแล้ว การทำงานของไฟร์วอลล์แบบ Packet filtering จะตรวจสอบจากเฮดเดอร์ของ IP, TCP
หรือ UDP แต่ในการทำงานของไฟร์วอลล์แบบ Application Layer จะตรวจสอบข้อมูลที่อยู่ในเฮดเดอร์นั้นๆ เช่น
การร้องขอไปยังเว็บเซิร์ฟเวอร์ การทำงานของ Packet filtering จะตรวจสอบ IP address ว่าเป็นของตนหรือไม่
พร้อมทั้งตรวจสอบหมายเลขของพอร์ตถูกต้องหรือไม่ (ทั่วไปเป็นหมายเลข 80) หากทุกอย่างถูกต้อง แพกเกตจะถูก
ส่งต่อไปยังเว็บเซิร์ฟเวอร์ โดยไม่สนใจว่าข้อมูลภายในเป็นอย่างไร
การทำงานในไฟร์วอลล์แบบ Application Layer จะตรวจสอบไปยังข้อมูลที่ส่งมา เพื่อพิจารณาว่าข้อมูลที่ส่ง
มานั้น มีรูปแบบการร้องขอที่ถูกต้อง เพื่อไปยังฐานข้อมูลที่ต้องการ มิฉะนั้น แพกเกตนั้นจะถูกกำจัดไป ทำให้การ
ทำงานของไฟร์วอลล์แบบ Application Layer ต้องทราบถึงรูปแบบที่ถูกต้องของการร้องขอ ซึ่งเป็นข้อจำกัดหนึ่ง
ของการทำงานของไฟร์วอลล์นี้ ดังนั้น เราจึงอาจจำเป็นในการใช้งานไฟร์วอลล์ร่วมกัน เช่นการใช้ไฟร์วอลล์แบบ
Application Layer เพื่อตรวจสอบหาไวรัส หรือความผิดปกติในอีเมล์ และใช้ไฟร์วอลล์แบบ Packet filtering เพื่อ
ตรวจสอบทราฟฟิกที่เกิดขึ้น
