ข้อมูลองค์ความรู้โดย
Web Master (IT)
ตำแหน่ง อาจารย์

เจาะฟีเจอร์ Fire Wall ไม่รู้ไม่ได้แล้ว

ประเภททางด้าน IT หลัก :   Networking & Infrastructure
ประเภททางด้าน IT ย่อย :   Firewalls
  ลงข้อมูลเมื่อ 11:08:05 14/07/2010
  Page View (2007) แบ่งปัน


จะว่าไปแล้ว หากไฟร์วอลล์มีฟีเจอร์เหมือนที่ว่ามา ก็คงจะดูไม่หวือหวาอะไรมากนัก แต่ซอฟต์แวร์ในปัจจุบันถูกพัฒนาขึ้นไปมาก จึงสามารถช่วยเพิ่มประสิทธิภาพของระบบได้ดีเช่นกัน เช่น Content caching ฟีเจอร์นี้จะช่วยลดปริมาณข้อมูลที่ส่งผ่าน ถ้าหากมีการเข้าถึงข้อมูลใดบ่อย ๆ ไฟร์วอลล์ก็สามารถบันทึกข้อมูลดังกล่าวเอาไว้ใช้งานได้ โดยไม่ต้องสร้างรีเควสจริงออกไปสู่อินเทอร์เน็ต ซึ่งก็จะช่วยประหยัดแบนวิดธ์ของคุณได้เช่นกัน 

ส่วนอีกระบบคือ NAT (Network address trans- lation) ที่จะให้คุณใช้แอดเดรสส่วนตัวที่กำหนดเอาไว้สำหรับวงเน็ตเวิร์ก ภายในเท่านั้น เซิร์ฟเวอร์ต่างๆ บนอินเทอร์-เน็ตจะไม่สามารถระบุเครื่องคอมพิวเตอร์ในวงเน็ตเวิร์ก ของคุณได้เลย เพราะเครื่องคอมพิวเตอร์ภายนอก เน็ตเวิร์ก ของคุณ จะทราบเพียงแค่ไอพีของเครื่องที่ใช้เป็นไฟร์วอลล์เท่านั้น 

ในมุมกลับกัน ด้วยเหตุผลที่ว่า แอดเดรสที่ใช้สำหรับภายนอกนั้น มีเพียงแอดเดรสเดียว คือของไฟร์วอลล์เท่านั้น ดังนั้นเราจึงสามารถลดแอดเดรสอินเทอร์เน็ตลงได้ ทำให้ระบบใหญ่ๆ ไม่จำเป็นต้องลงทะเบียนเพื่อขอใช้ไอพีครบทุกเครื่อง แต่สามารถขยายขนาดได้โดยใช้ NAT ช่วยนั่นเอง เช่น ถ้าหมายเลขไอพีในแผนกย่อยของเราได้มาเพียงแค่ 10 หมายเลข เพราะต้องแบ่งให้กับส่วนงานอื่นด้วยนั้น ดูๆ ไปแล้วเหมือนกับว่า เราจะมีคอมพิวเตอร์ได้เพียง 10 เครื่องเท่านั้น เพราะหมายเลขไอพีของเราจะเต็มทันที แต่เราสามารถใช้ NAT มาช่วยสร้างวงเน็ตเวิร์กขึ้นมาใหม่ได้อีก โดยใช้เพียงไอพีเดียวในการแยกตัวออกมาเป็นเน็ตเวิร์กอีกวงหนึ่ง 

นอกจากนี้แล้วฟีเจอร์ที่น่าสนใจ ก็คือการจำกัดข้อมูลบางส่วนไม่ให้เข้าถึงได้ เพราะบางหน่วยงานอาจจะพยายามป้องกันไม่ให้เข้าถึงเว็บไซต์บางแห่งได้ วิธีการบล็อกเหล่านี้ก็จะต้องใช้ Firewall ช่วยโดยการสร้าง เงื่อนไขขึ้นมา หากมีข้อมูลมาจากไอพีดังกล่าวก็จะไม่อนุญาตให้ผ่านเข้ามาได้ 

สำหรับผู้ใช้อย่างเราแล้ว การที่จะก้าวขึ้นไปใช้ไฟร์วอลล์ระดับใหญ่ๆ คงเป็นไปได้ยาก เพราะนอกจากไม่มีความจำเป็นแล้วราคาและขนาดที่ใหญ่โตเกินกว่าที่จะนำมาใช้ในบ้านเพียงคนเดียว เป็นปัจจัยที่ไม่มีใครอยากจะหยิบขึ้นมาใช้งานอย่างแน่นอน ซึ่งในความเป็นจริงแล้ว ถึงเราจะไม่ได้ซื้อหามาใช้งานก็จริง แต่เราก็เป็นส่วนหนึ่งในวงเน็ตเวิร์กขนาดใหญ่ จึงไม่น่าแปลกที่เราอาจจะเป็นหนึ่งในยูสเซอร์ที่กำลังถูกบังคับให้ใช้ไฟร์วอลล์ขององค์กรอยู่ก็ได้ ในส่วนของไฟร์วอลล์ระดับเล็กลงมาอย่าง Personal Firewall คงจะหลีกเลี่ยงไม่ได้เลยทีเดียว เพราะเป็นความ ปลอดภัยระดับพื้นฐานที่ทุกคนคงต้องมีเอาไว้เสมอ 

สำหรับในการบังคับใช้ไฟร์วอลล์ผ่านทางเซิร์ฟเวอร์นั้น นอกจากจะส่งผลดีต่อผู้ใช้อย่างเราแล้ว ก็ยังอาจจะ ส่งผลที่ผู้ใช้อย่างเราไม่ค่อยชอบนักตามมาด้วยเช่นกัน อาทิ ในกรณีการบล็อกพอร์ตหรือไอพีด้วย Packet Filter นั้นอาจจะทำให้เราไม่สามารถใช้ซอฟต์แวร์บางตัวได้เลย หรืออาจจะไม่สามารถเข้าเว็บไซต์บางแห่งได้ ผมเชื่อว่าผู้อ่านหลายคนคงอาจจะแปลกใจที่เข้าไซต์ติดเรตไม่ได้ นั่นเป็นเพราะว่า มีการ ฟิลเตอร์ไอพีปลายทางสำหรับเว็บไซต์ดังกล่าวนั้นเอาไว้นั่นเอง ซึ่งอันนี้ผู้ใช้คงไม่พอใจแน่นอน แต่ถ้ามองในอีกแง่หนึ่ง การให้บริการอินเทอร์เน็ตโดยเฉพาะกับในสถาบันการศึกษา ย่อมมีจุดมุ่งหมายคือเพื่อใช้ค้นคว้าหาความรู้นั่นเอง จึงอาจจะต้องบล็อกไซต์ที่ไม่เป็นประโยชน์เหล่านี้ออกไป 

นอกจากการเข้าไปชมเว็บไซต์บางแห่งไม่ได้แล้ว บางครั้งอาจจะพบว่า เราไม่สามารถเล่นเกมออนไลน์อย่าง Ragnarok หรือว่าเปิดโปรแกรม IM อย่างเช่น MSN Messenger หรือว่า ICQ ขึ้นมาได้ หรือแม้แต่สามารถเปิดขึ้นมาใช้งานได้ก็จริง แต่ไม่สามารถส่งหรือรับไฟล์กับเพื่อนที่อยู่ภายนอกองค์กรได้ เว้นเสียแต่การส่งข้อมูลนั้นมีผู้ส่งและผู้รับอยู่ภายในหน่วยงานเท่านั้น สาเหตุนี้ก็สามารถอธิบายได้ง่ายๆ เช่นเดียวกันกับกรณีแรกที่ผมเอ่ยไปแล้ว นั่นเป็นเพราะการใช้ Packet Filter เช่นกัน โดยจะมีการบล็อกพอร์ตที่ใช้ในการสื่อสารเอาไว้ เพราะว่าซอฟต์แวร์เหล่านี้มักจะใช้พอร์ตเฉพาะงานของตน เพื่อเชื่อมต่อไปยังเซิร์ฟเวอร์ปลายทาง เมื่อมีการป้องกันไม่ให้ติดต่อผ่านช่องทางดังกล่าวแล้ว จึงไม่น่าแปลกใจเลย ว่าไม่สามารถใช้งานได้ อย่างเช่น ICQ แม้ว่าจะมีช่องทางในการเชื่อมต่อกับเซิร์ฟเวอร์อยู่หลายทางก็จริง แต่ก็ไม่ยากเกินความสามารถที่ผู้บริหารระบบจะป้องกันไม่ให้ใช้งาน ส่วนเกม ออนไลน์อย่าง Ragnarok นั้นคงไม่ต้องพูดถึงกันมากนัก เพราะว่าถ้าหากจะบล็อกกันจริง ๆ แล้วทำได้ไม่ยากเลย วิธีการแก้ไขสำหรับซอฟต์แวร์เหล่านี้บอกได้เลยครับว่า แทบเป็นไปไม่ได้เลยที่จะทำให้ใช้งานได้ เว้นแต่เทคนิคที่ผมจะกล่าวถึงต่อไป ซึ่งก็ไม่สามารถรับประกันได้เต็มร้อยเปอร์เซ็นต์ว่าจะ ใช้งานได้

ภาพแสดงระบบไฟร์วอลล์ ที่ช่วยคั่นกลางระหว่างคุณกับอินเทอร์เน็ต



ในส่วนของ Personal Firewall นั้นเป็นอีกส่วนที่ผมเองอยากจะเอ่ยถึงมาตั้งแต่ในตอนต้นของบทความแล้ว เพราะว่าซอฟต์แวร์ Personal Firewall นั้นเป็นเครื่องมือที่สำคัญอย่างมากสำหรับคอมพิวเตอร์ทุกเครื่องที่เปิดช่องทางในการเชื่อมต่อเอาไว้ ไม่ว่าจะเป็นการเชื่อมต่อผ่านโมเด็ม หรือว่าผ่านทางอีเทอร์เน็ตก็ตาม ตรงนี้ต้องขอยกกรณีตัวอย่างที่ประสบด้วยตนเองมาให้ดูกันครับ เพราะเน็ตเวิร์กวงที่ผมใช้งานอยู่นั้นมีไฟร์วอลล์ป้องกันอยู่แล้ว จึงดูเหมือนปลอดภัยในระดับหนึ่ง แต่เนื่องจากมีคอมพิวเตอร์อยู่ภายในเป็นจำนวนนับพันเครื่อง จึงดูเหมือนเป็นสังคมขนาดใหญ่อยู่ 

ผมเองก็เหมือนกับผู้อ่าน ที่ติดตั้งเพียงแค่ซอฟต์แวร์ป้องกันไวรัสเพียงอย่างเดียว ด้วยความรู้สึกว่าไวรัสน่ากลัวกว่าโดนแฮ็กมากทีเดียว แต่หลังจากที่พบอาการผิดปกติว่า มีไฟล์ข้อมูลบางอย่างมาอยู่ในเครื่องทั้ง ๆ ที่เราไม่เคยติดตั้งลงไป หรือว่ามีไฟล์ถูกสร้างหรือดาวน์โหลดในช่วงเวลาที่ไม่อยู่ (แต่เปิดเครื่องเอาไว้) จึงลองติดตั้งโปรแกรม Personal Firewall ลงไป ผลปรากฏว่ าหลังจากรันทิ้งไว้เพียงแค่ชั่วโมงเดียว ซอฟต์แวร์ก็สามารถระบุและดักจับได้ว่า มีความพยายามจะบุกรุกเข้ามาในเครื่องคอมพิวเตอร์ของผมนับสิบครั้ง จากเครื่องคอมพิวเตอร์ในวงเน็ตเวิร์ก ใกล้เคียง ซึ่งถ้าผู้อ่านเจอเหตุการณ์เช่นเดียวกับผมก็คงตกใจไม่น้อยไปกว่าผมอย่างแน่นอน แต่ด้วยฟีเจอร์ของซอฟต์แวร์นอกจากจะบล็อกเอาไว้แล้ว เมื่อมีความพยายามเข้ามาหลายๆ ครั้ง ซอฟต์แวร์ก็จะปิดการเชื่อมต่อจากไอพีต้นทางนั้นเอาไว้สักระยะหนึ่ง ทำให้แฮกเกอร์ไม่สามารถติดต่อเข้ามาได้จนหมดความพยายามไปเอง 

เหล่านี้เป็นเพียงแค่ฟีเจอร์หนึ่งของโปรแกรมเท่านั้น แต่เรายังสามารถกำหนดลูกเล่นอื่น ๆ ให้กับโปรแกรม Personal Firewall ของเราได้อีกด้วย ไม่ว่าจะเป็นการบล็อกหมายเลขไอพีหรือพอร์ตอย่างที่กล่าวไปแล้ว จนถึงการป้องกันแอพพลิเคชันภายในเครื่องไม่ให้สามารถเชื่อมต่ออินเทอร์-เน็ตได้ หากไม่ได้รับอนุญาตจากผู้ใช้และจากซอฟต์แวร์ ซึ่งจะช่วยป้องกันไม่ให้แอพพลิเคชันพวก Spyware หรือว่าอีเมล์ที่มีแอพเพล็ตบรรจุอยู่พยายามส่งข้อมูลจากเครื่องเราไปสู่ภายนอกได้ 

ทั้งหมดที่ผมกล่าวมา เป็นวิธีการรักษาความปลอดภัยระดับหนึ่ง โดยการใช้ไฟร์วอลล์ที่เราคงปฏิเสธไม่ได้ว่า มีประโยชน์มากขนาดไหน แต่เรื่องราวของการรักษาความปลอดภัยยังไม่ได้จบเพียงเท่านั้น ตราบใดก็ตามที่เรายังคงต้องติดต่อกับโลกภายนอกโดยการเซิร์ฟเว็บ ก็เหมือนกับวิ่งออกไปสู่โลกที่ไม่ปลอดภัย แม้ว่าเราจะติดตั้งไฟร์วอลล์เอาไว้ก็ตาม แต่การเซิร์ฟเว็บของเราก็ยังไม่ปลอดภัย เพราะว่ายังสามารถ ติดตามย้อนกลับมาหาต้นทางของเราได้อีกด้วย


ที่มา : http://www.arip.co.th/articles.php?id=406381



องค์ความรู้ที่มีผู้อ่านมากสุด
รายละเอียดของระบบ e-Purchasing Online ของกรมส่งเสริมอุตสาหกรรม กระทรวงอุตสาหกรรม
รายละเอียดของระบบ e-Purchasing Online ของกรมส่งเสริมอุตสาหกรรม กระทรวงอุตสาหกรรม

โดย... Web Master (IT)

เรียนรู้เรื่อง เมนบอร์ด (Mainboard, mother board)
แผงวงจรหลัก เป็นหัวใจสำคัญที่สุดที่อยู่ภายในเครื่อง เมื่อเปิดฝาเครื่องออกมาจะเป็นแผงวงจรขนาดใหญ่วางนอนอยู่ นั่นคือส่วนที่เรียกว่า "เมนบอร์ด"

โดย... Web Master (IT)

AutoCAD คืออะไร
AutoCAD (Computer Aided Drefting/Dedign, CAD) เป็นซอฟต์แวร์ช่วยออกแบบด้วยคอมพิวเตอร์ ที่สามารถรองรับการทำงานทั้งใน 2 มิติ และ 3 มิติ

โดย... Web Master (IT)

ทำความรู้จักกับ IIG (International Internet Gateway ) & NIX(National Internet Exchange )
การใช้งานอินเตอร์เน็ตของเราทุกคน จำเป็นต้องผ่านระบบการให้ บริการของ IIG และ NIX เพราะว่า เป็นเหมือนเส้นทางหลักของศูนย์กลางโครงข่าย ของประเทศไทย ทั้งภายในและ ภายนอกประเทศ ที่จากเดิมเราจะทราบกันอยู่แล้วว่า บริการทั้งสองประเภทนี้จะมีผู้ให้บริการ แบบผูกขาดอยู่เพียงรายเดียวเท่านั้น คือ การสื่อสารแห่งประเทศไทย เพียงเท่านั้น แต่ ณ ปัจจุบันนี้ได้มีหน่วยงานที่เข้ามา กำกับดูแลในเรื่องของโทรคมนาคมของเมืองไทยอย่างเป็น รูปธรรมมากยิ่งขึ้น จึงก่อให้เกิดการแข่งขันอย่างเสรี และปัจจุบัน ทาง กทช. ผู้เป็นหน่วยงานหลัก ของ การกำกับดูแลได้เปิดอนุญาตให้กลุ่มบริษัทเอกชนทั่วไป สามารถขอรับใบอนุญาต การให้ บริการทั้งสองประเภทได้ เพื่อให้เกิดการแข่งขันกันอย่างเป็นธรรม และก่อให้ เกิดประโยชน์สูงสุด แก่ผู้บริโภคกันเลยละครับ

โดย... Web Master (IT)

ความรู้เรื่อง...การ์ดจอ
การ์ดจอ (Video Card) การ์ดแสดงผล หรือ กราฟฟิกการ์ด (Graphic card) เป็น แผงวงจรอิเล็กทรอนิกส์ ที่ทำหน้าที่ในการนำข้อมูลที่ได้จากการประมวลผลของซีพียูมาแสดงบนจอภาพ ทำให้ผู้ใช้ สามารถควบคุมการทำงาน ได้อย่างมีประสิทธิภาพ โดยจอภาพจะเป็นส่วนที่รับข้อมูลจากการ์ดแสดงผลอีกทีหนึ่ง การ์ดกราฟฟิกทีได้รับความนิยมและใช้กันแพร่หลายในอยู่ปัจจุบัน เป็นการ์ดกราฟฟิกที่มี GPU เป็นตัวประมวลผล

โดย... Web Master (IT)

Windows XP Service Pack 3 Overview
ภาพรวม Windows XP Service Pack 3 จะประกอบด้วย security updates hotfix และ patch ต่างๆ ที่ไมโครซอฟท์ปล่อยหลังออก SP2 เป็นต้นมาไม่มีการเปลี่ยนแปลงในเชิงฟังก์ชั่นและการทำงานที่สำคัญ แต่จะอัพเดตองค์ประกอบต่างๆ อย่าง Microsoft Management Console (MMC) 3.0 และ Microsoft Core XML Services 6.0 (MSXML6) เป็นเวอร์ชั่นปัจจุบัน สิ่งที่น่าสนใจประการหนึ่งคือ ไมโครซอฟท์ไม่ได้รวมเอา Windows Internet Explorer 7 เข้ามาไว้ใน SP3 แต่จะใส่มาเฉพาะส่วนที่เป็นอัพเดตและ fix เท่านั้น คล้ายกับว่าไมโครซอฟท์ตั้งใจจะไม่บีบให้ลูกค้าต้องเปลี่ยนจาก IE6 มาใช้ IE7 ใครที่ต้องการอยู่กับ IE6 (ด้วยเหตุผลใดก็ตาม) ก็จะยังสามารถใช้ IE6 ได้ สำหรับใครที่เปลี่ยนไปเป็น IE7 แล้วจะมีอัพเดตมาให้เช่นเดียวกัน

โดย... Web Master (IT)

การประยุกต์ใช้ DATA WAREHOUSEING
มีการประมาณการณ์เอาไว้ว่า ถ้าไม่มีการนำเอาระบบ Data Warehouse มาประยุกต์ใช้ในองค์กร จะมีคน เพียง 10 เปอร์เซ็นต์เท่านั้นที่จะสามารถใช้งานระบบสารสนเทศได้ตามความต้องการ และนั่นก็คือจำนวนคนที่มีระดับความรู้ ทาง IT เพียงพอที่จะสร้าง Query ขึ้นด้วยตนเองเพื่อสนองความต้องการด้านข้อมูลของตน นอกจากนั้นแล้ว ระบบ EIS (Executive Information System) และ DSS (Decision Support System) ก็มักจะทำงานได้ไม่ตรงกับที่ต้องการ เพราะข้อมูล ดิบจากฐานข้อมูลประจำวันนั้น เข้าถึงยาก หรือไม่ก็ทำความเข้าใจได้ไม่ง่ายนัก ยิ่งไปกว่านั้น การอนุญาตให้ผู้ใช้ระดับสูง สามารถเข้าถึงและค้นหาฐานข้อมูลได้โดยตรงอาจจะส่งผลต่อประสิทธิภาพของงานข้อมูล รวมไปถึงความเป็นระเบียบ (Data Integrity) ของฐานข้อมูลด้วย

โดย... Web Master (IT)

นวัตกรรมรถบรรทุกขนาดใหญ่ B-double รถกึ่งพ่วงบรรทุกแบบพิเศษ
ในยุคที่ประสิทธิภาพและต้นทุนการขนส่งเป็นเรื่องสำคัญที่ต้องพัฒนาร่วมกันอย่างเร่งด่วน โดยเฉพาะเมื่อต้นทุนหลักของการขนส่งคือน้ำมันเชื้อเพลิงมีสัดส่วนสูงขึ้นอย่างต่อเนื่อง ก๊าซธรรมชาติและไบโอดีเซลกลายเป็นประเด็นสำคัญที่ผู้ประกอบการขนส่งต้องศึกษาและพัฒนากองรถมาทดลองและใช้กันแน่นอน การพัฒนารถไฟและการขนส่งทางลำน้ำให้สามารถขนส่งสินค้าในเส้นทางหลักได้มากขึ้น มีบริการที่แน่นอนและสามารถเชื่อมต่อกับการขนส่งด้วยรถบรรทุกได้สะดวกรวดเร็ว เป็นเรื่องที่ทุกฝ่ายปรารถนา เพราะคาดหมายว่าจะทำให้การขนส่งได้ประสิทธิภาพที่ดีกว่าด้วยต้นทุนที่ต่ำกว่าการขนส่งด้วยรถบรรทุก ประเด็นเรื่องการขนส่งในปริมาณมากๆ ต่อเที่ยว มักจะยกประเด็นในเรื่องการประหยัดพลังงาน การลดปริมาณมลพิษจากน้ำมัน และการประหยัดค่าจ้างแรงงานของพนักงานขับรถ โดยทั้งหมดคิดหารเฉลี่ยจากจำนวนหน่วยสินค้าและระยะทางขนส่งต่อเที่ยวนั้นๆ หลายครั้งที่รถบรรทุกถูกวางตำแหน่งให้ทำหน้าที่ขนส่งและกระจายสินค้าในระยะทางรัศมีสั้นๆ รอบๆ สถานีหรือต้นทางปลายทางที่เป็น hub

โดย... Web Master (IT)

การเขียนโปรแกรมเชิงวัตถุ (Object Oriented Programming: OOP)
ในปัจจุบันภาษาในการเขียนโปรแกรมเพื่อพัฒนาระบบสารสนเทศที่ใช้ในองค์กรธุรกิจ มีมากมายหลายภาษาให้เลือก การเรียนรู้ภาษาเขียนโปรแกรมหรือการมีความรู้ในหลาย ๆ ภาษาถือเป็นสิ่งที่ดี แต่ไม่ได้หมายความว่าเราจำเป็นต้องเขียนโปรแกรมให้ได้ทุก ๆ ภาษา แต่สามารถเลือกบางภาษาที่เรามีความถนัดหรือเลือกที่จะเริ่มต้นกับภาษาใด ภาษาหนึ่งได้ ซึ่งการเขียนโปรแกรมเชิงวัตถุถือได้ว่าได้รับความนิยมในปัจจุบันรวมถึงแนวโน้มในอนาคต ซึ่ง Java ก็เป็นหนึ่งในการเขียนโปรแกรมเชิงวัตถุ ที่มีพื้นฐานมาจากภาษา C และคิดว่าน่าจะเป็นอีกภาษาหนึ่งที่น่าศึกษาและน่าเรียนรู้ เพราะเทคโนโลยีของ Java ถือว่ากำลังร้อนแรงในแวดวงของ Software

โดย... Web Master (IT)

เรียนรู้เรื่อง CPU
CPU (Central Processing Unit) หรือ โปรเซสเซอร์ (Processor) คือ ส่วนหนึ่งของเครื่องคอมพิวเตอร์ที่มีหน้าที่ควบคุมกา รทำงานของส่วนอื่นๆ โดยทั่วไปแล้ว ซีพียูจะประกอบไปด้วย หน่วยควบคุม (Control Unit), หน่วยประมวลผลคณิตศาสตร์และตรรกศาสตร์ (Arithmetic and Logic Unit; ALU) และหน่วยความจำ ได้แก่ รีจีสเตอร์ (Register), แคช (Cache), แรม (RAM) และรอม (ROM)

โดย... Web Master (IT)