บทที่ 6

การวางระบบรักษาความปลอดภัย




     โครงสร้างระบบรักษาความปลอดภัย
           โดยทั่วไปจะว่างเครื่องคอมฯไว้ระหว่างเครือข่ายภายใน – นอก ให้ทำหน้าที่เหมือนกำแพงเพื่อไม่ให้ผู้บุกรุกเข้าสู่เครือข่ายโดยตรง

     เทคนิคการวางระบบรักษาความปลอดภัย
           1. แยกเครือข่ายภายใน – นอก ไม่ให้ต่อเชื่อมกันโดยตรง
          2. วางไฟร์วอลล์คั่นระหว่างเครือข่าย
          3. ใช้ไฟร์วอลล์ทำหน้าที่รับส่งข้อมูลแทนคอมฯภายใน

     ชนิดของ (Fire Wall) แบ่งออก 3 ชนิด
           1. Proxy
           2. Nat
           3. Socks

          1. Fire wall แบบ Proxy


 

 

               1. ข่ายร้องข้อข้อมูลจาก Proxy
               2. Proxy ติดต่อขอข้อมูลจาก www.
               3. ISP ส่งข้อมูลกลับมาให้
               4. Proxy จะส่งข้อมูลให้ลูกข่าย

          2. Fire แบบ Nat
              วิธีการของ Nat (Net work address translator)

 

 

               เครื่อง User เรียงข้อมูลผ่าน Nat Server
               1. เครื่อง Nat จะแปลง IP Address 10.0.0.1-203.44.151.200 แล้วส่งไป ISP
               2. ISP จะส่งข้อมูลกลับมา
               3. เครื่อง Nat จะแปลง IP Address 20.44.151.200-10.0.0.1

          3. Fire wall แบบ Socks
                วิธีการ Socks


 

               1. เครื่อง User จะขอข้อมูลไป Socks Server Port 1080
               2. Socks server แปลง IP ลูกข่ายให้เป็นของตนแล้วร้องขอไปที่ ISP
               3. Socks Server แปลง IP ของ Server ไปเป็น IP ลูกข่าย

     รูปแบบการจัดวางกำแพงไฟ
           การติดตั้งกำแพงไฟในเน็ตเวิร์ค ทำได้หลายวิธีขึ้นอยู่กับลักษณะโครงสร้างภายในของระบบ ในที่นี้จะยกตัวอย่างแบบทั่ว ๆ ไป

          Dial-Up Architecture
                ในการติดต่อสู่ภายนอกของระบบ เราอาจใช้บริการ เช่น ISDN , ADSL หรือหมุนโมเด็มธรรมดาดังนั้นการวางกำแพงไฟก็ควรวาง
  ในตำแหน่งที่มีการติดต่อกับโลกภายนอก ซึ่งโครงสร้างแบบนี้ เครื่องคอมพิวเตอร์ที่อยู่หลังกำแพงไฟ จะติดต่อออกภายนอกได้จะต้องล็อค   อินเข้ามาที่เครื่องที่เป็นกำแพงไฟก่อน แล้วจึงติดต่อออกข้างนอกอีกที

          Single Router Architecture
                ในกรณีที่เราติดต่อกับภายนอกโดยผ่านอุปกรณ์ที่เป็นเราท์เตอร์ เราสามารถกำหนดกฎในตัวอุปกรณ์เราท์เตอร์ให้มีการตรวจสอบ
  ก่อนเหมือนเป็นกำแพงไฟอีกชั้น ก่อนเข้ามาสู่ภายในระบบเราได้ ซึ่งถ้าเราอยู่ต่อกับเราท์เตอร์ของ ISP เราก็ติดต่อกับทาง ISP ให้มีกำหนดกฎ
  ตามที่เราต้องการก็ได้

          Firewall With Porxy Server
                ในกรณีที่เราต้องการตรวจสอบการใช้งานของผู้ใช้งานภายในองค์กรในการติดต่อกับภายนอก เราสามารถนำพร็อกซี่เข้ามาใช้ร่วม   กับงาน ของกำแพงไฟได้ ซึ่งเราอาจติดตั้งให้พร็อกซี่อยู่ในเครื่องเดียวกับกำแพงไฟหรือว่าแยกเครื่องกัน ในกรณีที่พร็อกซี่เป็นคนละเครื่อง
  กับกำแพงไฟ ถ้าต้องการให้พร็อกซี่คอยตรวจสอบว่าผู้ใช้คนไหนไปที่ไหนบ้าง ดังนั้นผู้ใช้จะออกสู่อินเตอร์เน็ตผ่านทางพร็อกซี่เซิฟเวอร์แทน   แต่กำแพงไฟก็ยังทำหน้าที่ตรวจสอบผู้เข้า-ออกองค์กรโดยปกติ

          เตรียมตัวก่อนติดตั้งกำแพงไฟ
                ก่อนการติดตั้งกำแพงไฟ เรามาเตรียมเครื่องที่จะใช้กันก่อนว่าจะต้องมีอะไรบ้าง ในที่นี้สมมติว่าโครงสร้างของระบบในการ
  ติดต่อออกสู่ภายนอก โดยเรากำหนดให้กำแพงไฟอยู่ระหว่างกลางการติดต่อกับภายนอก ดังรูป ดังนั้นสิ่งที่เราต้องเตรียมการก่อนมีดังนี้

          รูปโครงสร้างของระบบเมื่อติดตั้งกำแพงไฟ