ไฟร์วอลล์ระดับองค์กรจาก Kerio ไฟร์วอลล์หรือไฟร์วอลล์ที่ใช้ในเครือข่ายองค์กร
อินเทอร์เน็ตเกตเวย์เป็นองค์ประกอบที่สำคัญมากของระบบข้อมูลของบริษัทใดๆ วันนี้เราจะดูพร็อกซีเซิร์ฟเวอร์ยอดนิยมหลายแห่งในประเทศของเรา ประเมินความสามารถและพิจารณาเชิงบวกและ ด้านลบนี้ ซอฟต์แวร์ลิขสิทธิ์.
อินเทอร์เน็ตเกตเวย์เป็นองค์ประกอบที่สำคัญมากของระบบข้อมูลของบริษัทใดๆ ในอีกด้านหนึ่งช่วยให้มั่นใจได้ว่าพนักงานทุกคนจะมีงานร่วมกันบนอินเทอร์เน็ต ดังนั้นพร็อกซีเซิร์ฟเวอร์ที่จัดระเบียบจะต้องมีมัลติฟังก์ชั่น ใช้งานง่าย และให้ความสามารถในการสร้างนโยบายที่ยืดหยุ่นสำหรับการใช้งาน เครือข่ายทั่วโลก- ในทางกลับกัน เป็นเกตเวย์อินเทอร์เน็ตที่ "ปกป้อง" ขอบเขตภายนอกของระบบข้อมูลองค์กร และเป็นเกตเวย์ที่ต้องตอบสนองและขับไล่ความพยายามทั้งหมดที่จะมีอิทธิพลต่อเครือข่ายท้องถิ่นจากอินเทอร์เน็ต ดังนั้นพร็อกซีเซิร์ฟเวอร์ต้องใช้กลไกการป้องกันที่จำเป็นทั้งหมด ประเภทต่างๆภัยคุกคาม
วันนี้เราจะดูพร็อกซีเซิร์ฟเวอร์ยอดนิยมหลายแห่งในประเทศของเรา ประเมินความสามารถและพิจารณาด้านบวกและลบ
เคริโอ คอนโทรล
ไฟร์วอลล์องค์กร (ไฟร์วอลล์) ควบคุมการรับส่งข้อมูลเข้าและออกจากเครือข่ายองค์กรท้องถิ่น และอาจเป็นได้ทั้งซอฟต์แวร์ล้วนๆ หรือคอมเพล็กซ์ฮาร์ดแวร์-ซอฟต์แวร์
แต่ละแพ็กเก็ตข้อมูลที่ส่งผ่านไฟร์วอลล์จะถูกวิเคราะห์โดยแพ็กเก็ตนั้น (ตัวอย่างเช่น สำหรับที่มาหรือการปฏิบัติตามกฎการส่งแพ็กเก็ตอื่นๆ) หลังจากนั้นแพ็กเก็ตจะได้รับอนุญาตหรือไม่ก็ตาม โดยทั่วไป ไฟร์วอลล์สามารถทำหน้าที่เป็นตัวกรองแพ็กเก็ตหรือพร็อกซีเซิร์ฟเวอร์ ในกรณีหลังไฟร์วอลล์ทำหน้าที่เป็นตัวกลางในการดำเนินการตามคำขอ เริ่มคำขอของตนเองไปยังทรัพยากร และด้วยเหตุนี้จึงป้องกันการสื่อสารโดยตรงระหว่างเครือข่ายท้องถิ่นและภายนอก ในสนามเครือข่ายคอมพิวเตอร์
ไฟร์วอลล์ได้รับการติดตั้งที่ขอบของสองเครือข่าย - อินเทอร์เน็ตและ LAN ซึ่งเป็นสาเหตุที่เรียกว่าไฟร์วอลล์ โดยจะกรองข้อมูลขาเข้าและขาออกทั้งหมด โดยอนุญาตให้เฉพาะแพ็กเก็ตที่ได้รับอนุญาตเท่านั้นที่จะผ่านได้ เร็วขึ้น ไฟร์วอลล์เป็นแนวทางหนึ่งในการรักษาความปลอดภัย- ช่วยใช้นโยบายความปลอดภัยที่กำหนดบริการที่อนุญาตและประเภทการเข้าถึง และมาตรการรักษาความปลอดภัยอื่นๆ เช่น การตรวจสอบสิทธิ์ที่รัดกุมแทนรหัสผ่านแบบคงที่ วัตถุประสงค์หลักของระบบไฟร์วอลล์คือเพื่อควบคุมการเข้าถึงเครือข่ายที่ได้รับการป้องกันบังคับใช้นโยบายการเข้าถึงเครือข่ายโดยบังคับให้การเชื่อมต่อเครือข่ายทั้งหมดผ่านไฟร์วอลล์ ซึ่งสามารถวิเคราะห์ อนุญาต หรือปฏิเสธได้
การกรองแพ็คเก็ตเป็นหนึ่งในเครื่องมือควบคุมการเข้าถึงเครือข่ายที่เก่าแก่และแพร่หลายที่สุด ไฟร์วอลล์ทั้งหมดสามารถกรองการรับส่งข้อมูลโดยไม่มีข้อยกเว้น แนวคิด: พิจารณาว่าแพ็กเก็ตที่กำหนดได้รับอนุญาตให้เข้าหรือออกจากเครือข่ายหรือไม่
เกตเวย์เลเยอร์เซสชันจะตรวจสอบการจับมือกันระหว่างไคลเอนต์ที่ได้รับอนุญาตและโฮสต์ภายนอก (และในทางกลับกัน) เพื่อพิจารณาว่าเซสชันการสื่อสารที่ร้องขอนั้นถูกต้องหรือไม่ หากต้องการกรองแพ็กเก็ตที่สร้างโดยบริการเครือข่ายเฉพาะตามเนื้อหา จำเป็นต้องมีเกตเวย์เลเยอร์แอปพลิเคชัน
น่าเสียดาย, ไฟร์วอลล์ไม่สามารถแก้ไขปัญหาด้านความปลอดภัยทั้งหมดที่เกี่ยวข้องกับการใช้ช่องทางอินเทอร์เน็ตได้- ในขณะเดียวกัน ปัญหาบางอย่าง เช่น การป้องกันข้อมูลจากการดักฟังเมื่อผ่านช่องทางอินเทอร์เน็ต ก็สามารถแก้ไขได้ด้วยการเพิ่ม ซอฟต์แวร์ไฟร์วอลล์มีความสามารถในการเข้ารหัสข้อมูล (ซอฟต์แวร์ไฟร์วอลล์จำนวนหนึ่งรวมถึงส่วนที่เรียกว่าไคลเอ็นต์ซึ่งช่วยให้คุณสามารถเข้ารหัสทั้งหมดได้ การรับส่งข้อมูลเครือข่ายระหว่างไคลเอนต์และเซิร์ฟเวอร์)
อย่างไรก็ตามเมื่อมีการพัฒนา ระบบสารสนเทศในทิศทางของการใช้อินเทอร์เน็ตที่แพร่หลายมากขึ้น เทคโนโลยีที่สร้างขึ้นโดยไม่เชื่อมโยงเข้ากับไฟร์วอลล์เริ่มมีบทบาทสำคัญ นี่หมายถึงการใช้พอร์ทัลอินเทอร์เน็ต รวมถึงในระบบ CRM ปัญหาอย่างหนึ่งที่ผ่านไม่ได้สำหรับไฟร์วอลล์ที่มีการกำหนดค่าพอร์ตแบบคงที่คือการใช้ KMI (การเรียกใช้วิธีการระยะไกล - ไซต์) ใน ระบบที่ทันสมัยมุ่งไปสู่วงกว้าง ใช้จาวาเมื่อไม่ทราบล่วงหน้าว่าจะต้องเปิดพอร์ตเครือข่ายใดและจำนวนเท่าใดสำหรับแต่ละคำขอเฉพาะ
หนึ่งในโซลูชั่น ปัญหาที่คล้ายกันอาจเป็นการสร้างเครือข่ายส่วนตัวเสมือนโดยใช้ฮาร์ดแวร์หรือ ซอฟต์แวร์- ในกรณีนี้ การแลกเปลี่ยนเครือข่ายทั้งหมดข้ามทั้งหมด พอร์ตเครือข่ายระหว่างคอมพิวเตอร์ที่จัดระบบ VPN (เครือข่ายส่วนตัวเสมือน) จะดำเนินการผ่านช่องทางเปิดในรูปแบบที่เข้ารหัส จึงสร้างความคล้ายคลึงกัน เครือข่ายท้องถิ่น“ภายใน” อินเทอร์เน็ต/อินทราเน็ต สิ่งสำคัญคือในการทำงานกับ VPN คุณไม่จำเป็นต้องทำการเปลี่ยนแปลงใด ๆ กับซอฟต์แวร์ที่ใช้ - ทุกอย่างดูเหมือนเป็นงานปกติบนเครือข่าย แต่เราต้องคำนึงว่าในกรณีส่วนใหญ่ VPN จะไม่แทนที่ไฟร์วอลล์ เป็นไปไม่ได้ที่จะติดตั้งไคลเอนต์ VPN บนคอมพิวเตอร์ทุกเครื่องที่เข้าถึงเว็บเซิร์ฟเวอร์ขององค์กร ดูเหมือนว่าเหมาะสมที่สุดที่จะใช้ไฟร์วอลล์และ VPN ร่วมกันหากเป็นไปได้ตัวอย่างเช่น สามารถกำหนดค่า eTrust Firewall ในลักษณะที่เสริม VPN ได้ เช่น ด้วยความช่วยเหลือของ eTrust Firewall อีกอันหนึ่งจะถูกเพิ่มเข้าไปในรายการพอร์ตที่เปิดอยู่ซึ่งจะทำการแลกเปลี่ยนที่เข้ารหัสกับคอมพิวเตอร์ที่จัดใน VPN และพอร์ตนั้นสามารถเปิดได้ไม่ใช่สำหรับทุกคน แต่สำหรับคอมพิวเตอร์กลุ่มใดกลุ่มหนึ่ง
ภาคไฟร์วอลล์มีหลายส่วน โดยเฉพาะอย่างยิ่งรวมถึง VPN ตลาด VPN มีความหลากหลายมาก - มีผู้ผลิตเกือบเท่าที่มีผลิตภัณฑ์ มุมมองของบริษัทวิจัยต่างๆ ในตลาด VPN เน้นย้ำถึงผู้นำที่แตกต่างกันซึ่งมีส่วนแบ่งเกิน 60% - Cisco Systems และ Check Point น่าแปลกที่ทุกคนพูดถูก ส่วนแบ่งของ Cisco มาจากผลิตภัณฑ์ของตนเอง ซึ่งเป็นส่วนแบ่งที่มาจากความเป็นผู้นำทั่วทั้งอุตสาหกรรมของ Cisco ความเป็นผู้นำของ Check Point ได้รับการรับรองด้วยเทคโนโลยีแบบเปิดที่ทำงานในผลิตภัณฑ์จากหลากหลายบริษัท
ควรสังเกตเป็นพิเศษว่านักพัฒนาซอฟต์แวร์รัสเซียรายเล็กมีโปรแกรมราคาไม่แพงและผ่านการทดสอบตามเวลาในคลังแสงซึ่งมีข้อดีหลายประการซึ่งเป็นที่ยอมรับในประเทศที่พัฒนาแล้วหลายแห่งทั่วโลก
ไฟร์วอลล์(หรือที่เรียกว่าไฟร์วอลล์หรือไฟร์วอลล์) เป็นวิธีที่สำคัญที่สุดในการปกป้องเครือข่ายองค์กรจากภัยคุกคามต่างๆ ในช่วงไม่กี่ปีที่ผ่านมา ไฟร์วอลล์ได้พัฒนาไปอย่างมากจากเครื่องมือกรองเฉพาะไปจนถึง แพ็กเก็ตเครือข่ายมันได้กลายเป็นระบบป้องกันสากล
ในขั้นต้น (และโซลูชันเหล่านี้ใช้มานานกว่า 25 ปี) พวกเขาเรียกว่าระบบที่ทำหน้าที่กรองแพ็กเก็ตเครือข่ายตามกฎที่ระบุเพื่อแยกความแตกต่างการรับส่งข้อมูลระหว่างส่วนเครือข่าย นี่คือคำจำกัดความที่กำหนดในมาตรฐาน RFC3511 อย่างแน่นอน
ความจำเป็นในการใช้ระบบดังกล่าวเกิดขึ้นเพื่อป้องกันไม่ให้ผู้บุกรุกแทรกซึมเข้าไปในเครือข่ายองค์กรในท้องถิ่น หลักการของไฟร์วอลล์ขึ้นอยู่กับการควบคุมการรับส่งข้อมูลที่แลกเปลี่ยนระหว่างเครือข่าย LAN และ WAN ใช้วิธีการควบคุมการจราจรต่อไปนี้:
- การกรองแพ็คเก็ตวิธีการนี้จะขึ้นอยู่กับชุดตัวกรอง หากแพ็กเก็ตข้อมูลเป็นไปตามเงื่อนไขที่ระบุในตัวกรอง ก็จะถูกส่งผ่านไปยังเครือข่าย ถ้าไม่เช่นนั้น— ถูกบล็อก ไฟร์วอลล์ใช้ตัวกรองประเภทหลักต่อไปนี้: ตามที่อยู่ IP โดย ชื่อโดเมนตามพอร์ตซอฟต์แวร์ ตามประเภทโปรโตคอล อาจใช้ตัวเลือกอื่นสำหรับตัวกรอง ขึ้นอยู่กับงานที่ทำอยู่
- การตรวจสอบของรัฐ . นี่เป็นวิธีการขั้นสูงในการควบคุมการรับส่งข้อมูลขาเข้า ซึ่งเปิดตัวและจดสิทธิบัตรครั้งแรกโดย Check Point เทคโนโลยีนี้ช่วยให้คุณสามารถตรวจสอบการรับส่งข้อมูลเครือข่ายและมีกลไกการตรวจสอบการไหลของข้อมูลที่ยืดหยุ่นซึ่งใช้ตารางสถานะที่เก็บไว้ล่วงหน้า วิธีการนี้ไม่ได้วิเคราะห์แพ็กเก็ตทั้งหมด แต่เปรียบเทียบบรรทัดควบคุมบางบรรทัดกับค่าที่ทราบก่อนหน้านี้จากฐานข้อมูลของทรัพยากรที่อนุญาต วิธีการที่คล้ายกันให้ประสิทธิภาพไฟร์วอลล์ที่สูงกว่ามาก
ภารกิจหลักของไฟร์วอลล์ยุคใหม่คือการบล็อกการสื่อสารเครือข่ายที่ไม่ได้รับอนุญาต (ต่อไปนี้จะเรียกว่าการโจมตี) โดยแบ่งออกเป็นภายในและภายนอก ในหมู่พวกเขา: การโจมตีภายนอกบนระบบที่ได้รับการป้องกัน ทั้งสองดำเนินการโดยแฮกเกอร์และ รหัสที่เป็นอันตราย- นอกจากนี้ยังห้ามมิให้ส่งออกโดยไม่ได้รับอนุญาต การเชื่อมต่อเครือข่ายเริ่มต้นโดยโค้ดหรือแอปพลิเคชันที่เป็นอันตราย กิจกรรมเครือข่ายซึ่งมีกฎเกณฑ์ห้ามไว้
ปัจจุบันในตลาดก็มี และซอฟต์แวร์ไฟร์วอลล์ ซอฟต์แวร์ไฟร์วอลล์สามารถใช้เพื่อป้องกันได้ คอมพิวเตอร์ส่วนบุคคลและเครือข่ายองค์กรขนาดใหญ่ ในกรณีนี้จะมีการใช้งานในรูปแบบของโปรแกรมที่ทำงานบนพีซีหรืออุปกรณ์เครือข่าย Edge เช่น เราเตอร์ แต่อุปกรณ์ฮาร์ดแวร์นั้นถูกใช้เฉพาะในส่วนองค์กรเท่านั้น ในกรณีของการติดตั้งฮาร์ดแวร์ ไฟร์วอลล์เป็นองค์ประกอบเครือข่ายแยกต่างหากที่มีประสิทธิภาพสูงและมีฟังก์ชันการทำงานขั้นสูง นอกจากนี้ สิ่งที่เรียกว่าไฟร์วอลล์เสมือนได้ปรากฏขึ้นเมื่อเร็วๆ นี้ ซึ่งมักใช้ในเครือข่ายที่กำหนดโดยซอฟต์แวร์
ความท้าทายใหม่
เนื่องจากความซับซ้อนของภัยคุกคามทางไซเบอร์และ การโจมตีของแฮ็กเกอร์ฟังก์ชั่นไฟร์วอลล์ได้รับการขยายด้วยเครื่องมือใหม่ ปัจจุบันไฟร์วอลล์มีฟังก์ชันทั้งชุดเพื่อปกป้องเครือข่ายองค์กร ดังนั้น ไฟร์วอลล์ที่มีคุณสมบัติครบถ้วนจะต้องมีโมดูล HIPS (เครื่องมือป้องกันเชิงรุกที่สร้างจากการวิเคราะห์พฤติกรรม) และให้การป้องกันสแปม ไวรัส ภัยคุกคามแบบผสม สปายแวร์ ฟิชชิ่ง และการโจมตีเครือข่าย นอกจากนี้ ไฟร์วอลล์อาจมีเครื่องมือป้องกันข้อมูลรั่วไหล บริการคลาวด์แซนด์บ็อกซ์ การสแกนช่องโหว่ และการกรองเว็บ
กล่าวอีกนัยหนึ่ง ในปัจจุบัน ผลิตภัณฑ์ที่สามารถจัดเป็นไฟร์วอลล์แบบคลาสสิกได้แทบจะหายไปจากตลาดแล้ว พวกเขาถูกแทนที่ด้วยผลิตภัณฑ์ป้องกันที่ครอบคลุม
ภาพรวมตลาด
ในบรรดาผู้ผลิตไฟร์วอลล์สมัยใหม่รายใหญ่ บริษัทต่างๆ เช่น, ฟอร์ติเน็ต และ .
บริษัทเอกชน Barracuda Networks คือ ในปี พ.ศ. 2545 ในเมืองคูเปอร์ติโน (แคลิฟอร์เนีย สหรัฐอเมริกา) และผลิตภัณฑ์แรกของบริษัท ซึ่งเป็นโซลูชันฮาร์ดแวร์-ซอฟต์แวร์สำหรับการต่อสู้กับสแปม ได้รับการเผยแพร่ในปี พ.ศ. 2546 ไฟร์วอลล์รุ่นใหม่ Barracuda NG Firewall ช่วยแก้ปัญหาเร่งด่วนเช่นการจัดการ ผู้ใช้ระยะไกล, แอปพลิเคชันเว็บ 2.0 อุปกรณ์ BYOD ในเครือข่ายองค์กร ไม่เหมือนกับระบบอื่นๆ Barracuda NG Firewall มีเครื่องมือที่หลากหลายสำหรับการแจ้งเตือน การตรวจสอบการรับส่งข้อมูล และ แบนด์วิธเพิ่มประสิทธิภาพเครือข่ายและความน่าเชื่อถือ สิ่งสำคัญคือผลิตภัณฑ์ Barracuda Networks ทั้งหมดต้องมีอินเทอร์เฟซภาษารัสเซีย การจัดการผลิตภัณฑ์เหล่านี้ไม่ใช่เรื่องยากสำหรับผู้เชี่ยวชาญทางเทคนิค และไม่จำเป็นต้องได้รับการฝึกอบรมนอกสถานที่เพิ่มเติม
Check Point เป็นหลัก เมื่อปล่อย ระบบซอฟต์แวร์แม้ว่าจะมีอุปกรณ์ฮาร์ดแวร์อยู่บ้างก็ตาม โซลูชันซอฟต์แวร์ของผู้จำหน่ายรายนี้ประกอบด้วยโมดูลปลั๊กอินจำนวนมากที่เรียกว่าเบลด เบลดซอฟต์แวร์ไฟร์วอลล์ Check Point— นี่คือไฟร์วอลล์ยอดนิยมที่บริษัทใน Fortune 100 เกือบทั้งหมดใช้เพื่อการป้องกัน Blade Firewall ให้การป้องกันในระดับสูงสุด พร้อมด้วยการควบคุมการเข้าถึง การป้องกันแอปพลิเคชัน การรับรองความถูกต้อง และการออกอากาศ ที่อยู่เครือข่าย- ไฟร์วอลล์ใช้ประโยชน์จาก Blades ซอฟต์แวร์การจัดการความปลอดภัยอื่นๆ เพื่อให้การจัดการความปลอดภัยระยะไกลที่ราบรื่นและมีประสิทธิภาพสูงสุด
SonicWALL ซึ่งมีสำนักงานใหญ่ในเมืองซานโฮเซ่ รัฐแคลิฟอร์เนีย ประเทศสหรัฐอเมริกา ก่อตั้งขึ้นในปี 1991 และเป็นที่รู้จักในด้านไฟร์วอลล์และโซลูชั่น UTM ผู้ขายเป็นเจ้าของสิทธิบัตร 130 ฉบับ และมีลูกค้าประมาณ 300,000 รายใน 50 ประเทศใช้โซลูชั่นรักษาความปลอดภัยคอมพิวเตอร์ ผลิตภัณฑ์ SonicWALL มีคุณสมบัติครบครัน แต่ใช้งานง่ายและให้ผลตอบแทนจากการลงทุนที่รวดเร็ว ในเดือนมีนาคม พ.ศ. 2555 Dell ได้เข้าซื้อกิจการ SonicWALL
ก่อตั้งเมื่อปี พ.ศ. 2539 เชี่ยวชาญในการเผยแพร่ระบบสำหรับการจัดการภัยคุกคามแบบครบวงจร (UTM) บริษัทจัดหาอุปกรณ์รักษาความปลอดภัยเครือข่ายคอมพิวเตอร์ที่เชื่อถือได้และใช้งานง่าย กลุ่มผลิตภัณฑ์ WatchGuard ประกอบด้วยระบบฮาร์ดแวร์และซอฟต์แวร์ซีรีส์ XTM ซึ่งเป็นผลิตภัณฑ์ UTM รุ่นใหม่ ระบบ XCS สำหรับการปกป้องอีเมลและบริการบนเว็บ ซึ่งช่วยป้องกันการรั่วไหลของข้อมูลโดยไม่ได้ตั้งใจหรือโดยเจตนา นอกจากนี้ผู้ขายยังผลิตโซลูชั่นเพื่อจัดหา การเข้าถึงระยะไกล WatchGuard SSL VPN รวมถึงจุดเชื่อมต่อไร้สายที่ปลอดภัยซึ่งจัดการโดยคอมเพล็กซ์ WatchGuard XTM ผลิตภัณฑ์ทั้งหมดมาพร้อมกับบริการ LiveSecurity— โปรแกรมสนับสนุนผู้ใช้ขั้นสูง
องค์ประกอบสำคัญในการปกป้องเครือข่ายขององค์กรขนาดใหญ่จากการบุกรุกโดยผู้บุกรุกคือไฟร์วอลล์ขององค์กร เรานำเสนอคำถามที่ควรพิจารณาก่อนตัดสินใจซื้อ
บริษัทหลายแห่งจำหน่ายไฟร์วอลล์ (FW) สำหรับทุกสภาพแวดล้อม: ตั้งแต่ FW คลาสเดสก์ท็อป (สำหรับระบบเดสก์ท็อป) และ FW คลาสโซโห(สำหรับสำนักงานขนาดเล็ก/ที่บ้าน) ไปจนถึงไฟร์วอลล์ที่ออกแบบมาสำหรับผู้ให้บริการโทรคมนาคม (ระดับผู้ให้บริการ) - บางครั้งก็มีตัวเลือกมากมาย
ก่อนตัดสินใจซื้อ คุณควรพัฒนานโยบายความปลอดภัยที่มีประสิทธิผลในองค์กรของคุณก่อน นโยบายนี้จะช่วยคุณเลือกประเภท ME ที่เหมาะสมสำหรับสภาพแวดล้อมองค์กรของคุณ จากนั้นคุณจะต้องระบุองค์ประกอบทั้งหมดของช่องโหว่ที่มีอยู่ในตัวเลือกการเข้าถึงเครือข่ายของคุณโดยเฉพาะ ตัวอย่างเช่น หากคุณดูแลเว็บไซต์สาธารณะซึ่งมีเนื้อหาไดนามิกถูกดึงมาจากฐานข้อมูลของบริษัท แสดงว่าคุณกำลังสร้างแบ็คดอร์จากเครือข่ายสาธารณะผ่านไฟร์วอลล์ของคุณไปยังฐานข้อมูลของบริษัทโดยตรง ไฟร์วอลล์ส่วนใหญ่จะไม่สามารถป้องกันคุณจากการโจมตีที่ดำเนินการในระดับแอปพลิเคชันได้ ดังนั้น คุณต้องรักษาความปลอดภัยแต่ละลิงก์ในห่วงโซ่ "เว็บเซิร์ฟเวอร์ - ฐานข้อมูลองค์กร" และไฟร์วอลล์ควรถือเป็นจุดเข้าใช้งานจุดเดียว และสุดท้าย ปลูกฝังกฎความปลอดภัยขั้นพื้นฐานให้กับทุกคนในองค์กรของคุณ ห้ามใช้โมเด็มที่ไม่ได้รับอนุญาตบนโต๊ะทำงาน ห้ามใช้แอป การควบคุมระยะไกลฯลฯ
ความปลอดภัยหรือประสิทธิภาพ
ตลาดไฟร์วอลล์ขององค์กรมีกลไกไฟร์วอลล์พื้นฐานสองกลไก: การกรองแพ็กเก็ตพร้อมการตรวจสอบสถานะโปรโตคอล (Stateful Packet-Filter - SPF) และการใช้โมดูลพร็อกซีแอปพลิเคชันเพื่อกรองการรับส่งข้อมูลแอปพลิเคชัน อุปกรณ์ SPF เช่น FireWall-1 NG ของ Check Point Software Technologies, PIX ของ Cisco และผลิตภัณฑ์ของ NetScreen จะตรวจสอบแพ็กเก็ตจนถึงเลเยอร์ 4 และในบางกรณียังไปไกลกว่านั้นอีก เช่น อุปกรณ์บางตัวสามารถรองรับการรับส่งข้อมูล FTP ได้ ไฟร์วอลล์ประเภท SPF มีแนวโน้มที่จะมีประสิทธิภาพสูงกว่าเนื่องจากมีการประมวลผลสตรีมข้อมูลน้อยที่สุด
ไฟร์วอลล์พร็อกซีของแอปพลิเคชัน เช่น Gauntlet ของ Network Associates Technology, Sidewinder ของ Secure Computing และไฟร์วอลล์ระดับองค์กรของ Symantec (เดิมชื่อ Raptor ซึ่งเป็นผลิตภัณฑ์ของ Axent) จะตรวจสอบแต่ละแพ็กเก็ตข้อมูลไปจนถึงเลเยอร์ของแอปพลิเคชัน ทำให้สามารถควบคุมการรับส่งข้อมูลได้สมบูรณ์ยิ่งขึ้น ส่งผ่านไปยังเซิร์ฟเวอร์ภายใน ตัวอย่างเช่น สามารถกำหนดค่าพร็อกซี HTTP เพื่ออนุญาตการรับคำสั่งแต่ไม่อนุญาตให้โพสต์คำสั่ง จำกัดความยาวของ URL เพื่อป้องกันการโจมตีบัฟเฟอร์ล้น หรือกำหนดข้อจำกัดเกี่ยวกับประเภท MIME เช่น ลบไฟล์แนบที่ปฏิบัติการได้และเนื้อหาที่เป็นอันตรายอื่นๆ โดยทั่วไปไฟร์วอลล์ที่ใช้สื่อกลางจะทำงานช้ากว่าไฟร์วอลล์ที่ใช้ SPF เนื่องจากมีการประมวลผลข้อมูลมากกว่า
ทุกครั้งที่หน้าจอ SPF ได้รับคะแนนในรีวิวของเราสูงกว่า ME ตามโมดูลตัวกลาง เราได้รับจดหมายมากมายจากผู้อ่านที่ไม่พอใจ โดยปกติแล้วพวกเขาจะสรุปสิ่งเดียวกัน: หากคุณต้องการมั่นใจในความปลอดภัยจริงๆ ทางเลือกเดียวของคุณคือแอปพลิเคชันพร็อกซี ในความเห็นของเรา นี่เป็นทั้งจริงและเท็จ แน่นอนว่าโมดูลการไกล่เกลี่ยให้ระดับการรักษาความปลอดภัยที่สูงกว่า แต่ก็ทำได้โดยแลกกับประสิทธิภาพการทำงาน ในระหว่างการทดสอบ ME ที่ใช้พร็อกซีแอปพลิเคชันทำงานช้ากว่าอุปกรณ์ SPF โดยเฉลี่ย 50% หาก ME ของคุณเชื่อมต่อกับเครือข่ายบริเวณกว้าง เช่น สาย T3 หรือช้ากว่า และคุณไม่จำเป็นต้องรองรับเซสชันพร้อมกันหลายหมื่นเซสชัน พร็อกซีแอปพลิเคชัน ME คือตัวเลือกที่ดีที่สุดสำหรับคุณจริงๆ คุณจำเป็นต้องทราบระดับการจราจรในปัจจุบันและระดับการจราจรที่คาดหวัง เพื่อที่คุณจะได้แบ่งปันข้อมูลนี้กับซัพพลายเออร์ของคุณ เพื่อให้พวกเขาสามารถช่วยคุณเลือกอุปกรณ์ที่เหมาะสมได้ แน่นอนว่า คุณสามารถปรับสมดุลโหลดบน ME ได้เสมอโดยใช้โหลดบาลานเซอร์ภายนอก
หากคุณรองรับเว็บไซต์ยอดนิยมและการจราจรติดขัดเป็นสิ่งที่ยอมรับไม่ได้ ให้เลือกอุปกรณ์ SPF ไฟร์วอลล์ดังกล่าวปรับขนาดได้ดีขึ้นและรองรับการเชื่อมต่อจำนวนมากขึ้น แต่อนุญาตให้มีการรับส่งข้อมูลที่ตรงตามกฎที่กำหนดไว้สำหรับโปรโตคอลในการส่งผ่าน ดังนั้นเส้นทางจึงเปิดให้บัฟเฟอร์ล้นและการโจมตีเลเยอร์แอปพลิเคชัน หากคุณต้องการประสิทธิภาพที่โซลูชัน SPF มอบให้ ตรวจสอบให้แน่ใจว่าเว็บและเซิร์ฟเวอร์ฐานข้อมูลของคุณได้รับการปกป้องอย่างดีและมีแพตช์ล่าสุด
ปัญหาด้านประสิทธิภาพจะรุนแรงยิ่งขึ้นไปอีก หากคุณต้องการเรียกใช้กระบวนการที่ต้องใช้ CPU มาก เช่น เมื่อปรับใช้เครือข่ายส่วนตัวเสมือน (VPN) การเข้ารหัสสามารถนำมาซึ่งประโยชน์สูงสุด โปรเซสเซอร์อันทรงพลังจึงเป็นการลบล้างการปฏิบัติงานของ ME ไฟร์วอลล์เกือบทั้งหมดในตลาดรองรับ VPN และบางครั้งการใช้งานเพื่อจัดระเบียบเครือข่ายส่วนตัวเสมือนก็สมเหตุสมผล แต่ถ้าคุณสนับสนุน จำนวนมากเครือข่ายหรือรายชื่อผู้ใช้จำนวนมาก จากนั้นเพื่อให้บริการกระบวนการ VPN คุณควรใช้อุปกรณ์ที่ออกแบบมาโดยเฉพาะเพื่อเพิ่มประสิทธิภาพสูงสุดของการดำเนินการเข้ารหัส (ตัวเร่งการเข้ารหัสลับ)
ไฟร์วอลล์ที่ใช้ CPU เอนกประสงค์ เช่น FireWall-1 ของ Check Point และ PIX ของ Cisco ไม่ตรงตามข้อกำหนดในการรองรับแอปพลิเคชันแบนด์วิธระดับกลาง แม้ว่าจะใช้ตัวเร่งการเข้ารหัสลับก็ตาม ไฟร์วอลล์บางตัว เช่น จาก NetScreen ดำเนินการประมวลผลส่วนใหญ่ในฮาร์ดแวร์ ดังนั้นจึงไม่ถูกรบกวนโดยกระบวนการ VPN แต่สิ่งนี้มาพร้อมกับต้นทุนในการลดความยืดหยุ่นของระบบบางส่วน
ความพร้อมใช้งานสูง
ME ที่มีปัจจัยความพร้อมใช้งานสูงช่วยให้มั่นใจได้ว่าการจราจรจะผ่านไปได้โดยไม่เกิดความล่าช้า แม้ในกรณีที่อุปกรณ์ขัดข้องก็ตาม มีสองกลไกในการเอาชนะความล้มเหลว ในกลไกการเฟลโอเวอร์แบบไร้สถานะ หาก ME หลักล้มเหลว เซสชันการสื่อสารทั้งหมดจะถูกรีเซ็ต และเมื่อ ME สำรองเข้าควบคุม การเชื่อมต่อสำหรับเซสชันทั้งหมดจะต้องถูกสร้างขึ้นใหม่ ในกลไกการเฟลโอเวอร์แบบมีสถานะ ME ทั้งสองจะแลกเปลี่ยนข้อมูลเกี่ยวกับสถานะของเซสชันผ่านบรรทัดเฉพาะ และหาก ME ตัวใดตัวหนึ่งล้มเหลว อีกตัวก็จะ “หยิบกระบอง” และทำงานต่อไปโดยไม่ทำให้เซสชันเสียหาย ในกรณีนี้ ME สำรองจะเข้าควบคุมคุณลักษณะการระบุตัวตนทั้งหมดของ ME หลัก รวมถึงที่อยู่ IP และ MAC (การควบคุมการเข้าถึงสื่อ) และดำเนินการประมวลผลการรับส่งข้อมูลต่อไป หลังจากที่ ME สำรองเข้ารับหน้าที่ของตัวหลักแล้ว ตามกฎแล้วจะยังคงทำงานในตำแหน่งนี้ต่อไปจนกว่าจะเกิดความล้มเหลวครั้งต่อไป
โดยทั่วไปแล้ว การใช้กลไกการเฟลโอเวอร์แบบมีสถานะจะดีกว่า และ ME ดังกล่าวจะไม่แพงไปกว่าอุปกรณ์ที่มีกลไกการเฟลโอเวอร์แบบไร้สถานะ ข้อเสียของการเฟลโอเวอร์แบบมีสถานะคือคุณต้องจ่ายเงินสองเท่าสำหรับโซลูชันไฟร์วอลล์ เนื่องจาก ในความเป็นจริงคุณใช้เพียง 50% ของพลังการประมวลผลทั้งหมดเท่านั้น อย่างไรก็ตาม การเอาชนะความล้มเหลวจะใช้เวลาเพียงไม่กี่มิลลิวินาทีสำหรับ ME ดังกล่าว และการไหลของการรับส่งข้อมูลก็ไม่หยุดชะงักในทางปฏิบัติ
สามารถรับความผิดพลาดได้ ในรูปแบบที่แตกต่างกันขึ้นอยู่กับประเภท อุปกรณ์เครือข่าย- เราเตอร์ใช้โปรโตคอลการกำหนดเส้นทางเช่น RIP และ OSPF เพื่อเปลี่ยนเส้นทางการรับส่งข้อมูลไปยังจุดที่ล้มเหลวหากเป็นไปได้ แต่คุณไม่น่าจะพบไฟร์วอลล์ที่อนุญาตให้อุปกรณ์ภายนอก "กำหนด" ข้อมูลการกำหนดเส้นทางได้
คุณยังสามารถใช้โหลดบาลานเซอร์ภายนอกเพื่อสร้างการกำหนดค่า ME โดยมีความทนทานต่อข้อผิดพลาดที่ยอมรับได้ โดยทั่วไปการกำหนดค่านี้ประกอบด้วยโหลดบาลานเซอร์สองตัวและ ME สองตัว หากไฟร์วอลล์ตัวใดตัวหนึ่งล้มเหลว โหลดบาลานเซอร์จะเปลี่ยนเส้นทางการรับส่งข้อมูลไปยังไฟร์วอลล์ที่เหลือ ในตัวเลือกนี้ ME มักจะไม่แลกเปลี่ยนข้อมูลเซสชัน แต่ทั้งสองอย่างอยู่ในสภาพการทำงานจนกว่าจะถึงช่วงเวลาที่เกิดความล้มเหลว
แน่นอนว่าความล้มเหลวของอุปกรณ์ ME เป็นเพียงหนึ่งในนั้น เหตุผลที่เป็นไปได้ความล้มเหลว. ความล้มเหลวของเซิร์ฟเวอร์การจัดการจะมีผลกระทบร้ายแรงต่อการทำงานของเครือข่ายไม่น้อย หากเซิร์ฟเวอร์การจัดการของคุณล้มเหลว ฮาร์ดไดรฟ์หรือพัดลม CPU ไหม้ คุณจะไม่สามารถควบคุม ME หรือเรียกค้นไฟล์บันทึกได้จนกว่าปัญหาจะได้รับการแก้ไข หากคุณมีเครือข่ายขนาดเล็กที่มีการรับส่งข้อมูลน้อยที่สุด คุณก็อาจจะรับมือกับข้อขัดข้องนี้ได้ แต่ถ้าคุณทำงานในองค์กรขนาดใหญ่และจัดการ ME จำนวนมาก การสูญเสียสถานีควบคุมอาจเป็นปัญหาร้ายแรง
Check Point, Lucent Technologies และผู้จำหน่ายอื่นๆ หลายรายเสนอสถานีควบคุมที่ทนทานต่อข้อผิดพลาด เมื่อกฎไฟร์วอลล์เปลี่ยนแปลง สถานีควบคุมดังกล่าวจะส่งต่อข้อมูลเกี่ยวกับการเปลี่ยนแปลงไปยัง ME และสถานีควบคุมเสริม
ME คลาส SOHO และเดสก์ท็อป
การติดตั้งและบำรุงรักษาไฟร์วอลล์ระยะไกลหรือไฟร์วอลล์เดสก์ท็อปมีความสำคัญต่อการรักษาความปลอดภัยเครือข่ายขององค์กร ผู้จำหน่ายหลายรายเสนอ ME คลาส SOHO (Small/Home Office) ที่รองรับสูงสุด 10 โหนด ME ระดับ SOHO มักจะมีราคาถูกกว่า (ประมาณ 500 เหรียญสหรัฐ) กว่าคู่แข่งที่ทรงพลังกว่า แต่ก็ยังมีส่วนใหญ่ (หรือทั้งหมด) ฟังก์ชั่นอย่างหลัง ในขณะที่การจัดการและติดตาม ME ดังกล่าวสามารถทำได้โดยใช้สถานีควบคุมกลาง
ไฟร์วอลล์คลาส SOHO ยังให้ความปลอดภัยที่ดีกว่าเราเตอร์ NAT/NAPT เนื่องจากอนุญาตให้ตรวจสอบการรับส่งข้อมูลเครือข่ายระยะไกล ตัวอย่างเช่น หากคุณกำลังเรียกใช้แอปพลิเคชันอินทราเน็ต อีเมลและแอปพลิเคชันสนับสนุนการทำงานร่วมกัน คุณสามารถและควรกำหนดค่าไฟร์วอลล์ระยะไกลด้วยกฎการเข้าถึงที่เข้มงวดที่สุดเท่าที่จะเป็นไปได้ เพื่อลดโอกาสที่จะมีการบุกรุกจากเครือข่ายระยะไกล เราเตอร์ NAT/NAPT ราคาถูกไม่มีความสามารถดังกล่าว
ไฟร์วอลล์เดสก์ท็อปทั้งหมดให้การสนับสนุนระยะไกล และ SecureClient ของ Check Point ยังมีชุดกฎนโยบายความปลอดภัยที่กำหนดค่าได้ ตัวอย่างเช่น ในกรณีหนึ่ง สภาพแวดล้อมองค์กรของคุณอาจมีระบบเสมือนจริง เครือข่ายส่วนตัวในอีกทางหนึ่ง ผู้ใช้ของคุณอาจได้รับอนุญาตให้ "ท่อง" เว็บได้
ฟังก์ชันการทำงานและการรักษาความปลอดภัยในระดับเดียวกันสามารถทำได้โดยใช้ไฟร์วอลล์เดสก์ท็อปของบริษัทอื่น (เช่น CyberArmor ของ InfoExpress หรือ Sygate Personal Firewall Pro ของ Sygate ซึ่งสนับสนุนการจัดการแบบรวมศูนย์) และไคลเอนต์ VPN จากผู้จำหน่ายไฟร์วอลล์ส่วนกลาง แต่อาจเกิดข้อขัดแย้งระหว่างแอปพลิเคชันเหล่านี้ . เว้นแต่ซัพพลายเออร์ไฟร์วอลล์ส่วนกลางของคุณจะยืนยันว่าพวกเขารองรับไฟร์วอลล์เดสก์ท็อปของบริษัทอื่น คุณก็ควรเลือกใช้ผลิตภัณฑ์ของผู้จำหน่ายเพียงรายเดียว
มากกว่า ข้อมูลรายละเอียดคุณจะพบข้อมูลเกี่ยวกับไฟร์วอลล์ในการตรวจสอบล่าสุดของเรา (เครือข่ายและระบบการสื่อสาร NN.2,3 2002)