ปัจจุบันทุกบริษัทมีความต้องการทำให้ระบบ IT ปลอดภัย และเมื่อพูดถึงเรื่องนี้ก็มักจะได้ยินคำว่า Firewall อยู่เสมอ ซึ่ง Firewall เปรียบเสมือนด่านหน้าการป้องกันอย่างแรกของระบบที่ทุกคนคิดถึง
เนื่องจากภัยคุกคามที่เพิ่มมากขึ้นทำให้องค์กรต่าง ๆ จำเป็นต้องหาโซลูชันมาช่วยปกป้องข้อมูลภายในองค์กร หนึ่งในระบบที่มีการพูดถึงมากที่สุด นั่นก็คือไฟล์วอลซึ่งเราอาจจะเคยได้ยินคำนี้ในภาพยนตร์หรือบทสัมภาษณ์จากผู้เชี่ยวชาญ เพราะเป็นหน้าด่านแรกที่มัลแวร์หรือผู้ประสงค์โจมตีจะต้องเจอ และเนื่องจาก Firewall มีหลายชนิด ลองมาดูกันว่าจะใช้งานแบบไหนเพื่อให้เกิดประสิทธิภาพสูงสุดแก่ระบบของเรา
Traditional Firewall l มาตรฐานทั่วไปในอดีตจะทำงานในระดับสูงสุดที่ Network Layer (อ้างอิงจาก OSI Model) มีหน้าที่ควบคุมการใช้งาน Traffic และควบคุมการใช้งานเครื่องที่มาใช้ในเครือข่าย มี 2 แบบ หลัก ๆ คือแบบ Stateless และแบบ Stateful
Stateless จะเป็นการคอยมอง Traffic และจำกัดหรือปฏิเสธ Packet ซึ่งดูตาม Source และ Destination IP Address หรือค่า Static ใด ๆ เช่น Port เป็นต้น โดยไม่ได้สนใจ Pattern หรือ Data Flow ใด ๆ
Stateful จะเปลี่ยนจากการคอยมอง Traffic แต่เป็นมองการเชื่อมต่อแบบ End-to-End มีความสามารถจำสถานะการเชื่อมต่อได้ อีกทั้งยังสามารถเพิ่มการเฝ้าระวังเส้นทางการเชื่อมต่อได้ โดยสามารถทำส่วน IPSec (IP Security) เพื่อทำท่อเพื่อเข้ารหัสการรับส่งข้อมูลได้นั่นเอง
สิ่งที่แตกต่างระหว่าง Stateless และ Stateful ทำให้ความเหมาะสมในการใช้งานก็แตกต่างไปเช่นกัน Stateless จะเหมาะสำหรับการใช้งานที่ Traffic ค่อนข้างเยอะและมีความเร็วในการจัดการ Packet ได้เร็วกว่า แต่ Stateful จะได้เรื่องการเก็บรายละเอียดการใช้งานต่าง ๆ ของ Connection แทน
ส่วนการวางไฟล์วอลโดยปกติจะวางไว้ด้านหลัง Router เลยเรียกได้ว่าเป็นการวางในส่วนที่แทบจะนอกสุดของระบบเครือข่ายเลย เพื่อกรอง Packet ที่เข้ามามีแต่ส่วนที่เราอนุญาตเท่านั้น ซึ่งแน่นอนว่าเราอาจจะมี Firewall อีกตัวหนึ่ง เพื่อกั้นระหว่างการใช้งานภายในของผู้ใช้งานเองกับ Server ภายในก็สามารถทำได้
Next Generation Firewall (NGFW) เป็น Firewall ที่มีการยกระดับการป้องกันให้ทำงานได้อย่างครอบคลุมมากขึ้น มีประสิทธิภาพที่มากขึ้น เป็นไปตามชื่อนั่นคืออีกยุคสมัยหนึ่งของ Firewall เพื่อจะรับมือภัยคุกคามที่ซับซ้อนและการใช้งานของผู้ใช้งานที่หลากหลายมากขึ้นนั่นเอง โดย Feature หลาย ๆ อย่างที่เพิ่มเข้ามาในแต่ละ Vendor ก็จะคล้าย ๆ กัน คือ
เข้าใจถึงระดับ Application Layer นั่นคือแทนที่จะมองเป็นแค่ข้อมูลที่ส่งผ่าน Port 80,443 เป็นการใช้งานของ Application ประเภทใด แยกออกว่าเป็นการใช้โปรแกรมอย่าง LINE, Facebook Application, Facebook Game หรือไม่ เมื่อเข้าใจว่าเป็นการใช้งาน Application ใด ๆ ก็จะสามารถควบคุมการใช้งานเพิ่มเติมได้ เช่น การระบุเวลาการเล่น Facebook ภายในองค์กร เป็นต้น
มีการติดตั้งระบบตรวจสอบและตอบโต้การบุกรุก IPS (Intrusion Protection System) เพิ่มเติมเข้าไป ทำให้สามารถป้องกันการโจมตีภัยคุกคามต่าง ๆ ที่เป็น Well-Known Attack ต่าง ๆ ได้ ไม่ว่าจะเป็น Known Exploit Attacks, การใช้งานที่ผิดปกติ Activity รวมถึงสามารถทำ Traffic Behavioral Analysis ได้อีกด้วย
เพิ่มความสามารถในการ Track User ร่วมกับระบบ Authentication (วิธีการที่ใช้ในการตรวจสอบผู้ที่มาใช้งานระบบเครือข่ายอินเทอร์เน็ต) เช่น Active Directory, LDAP เป็นต้น
ทำให้ไม่เพียงแต่การป้องกันการใช้งาน Network ในระดับ Network Layer เท่านั้น ยังสามารถแบ่งแยกการเข้าถึง Server ต่าง ๆ โดยดูจากบัญชีของผู้ใช้งาน พร้อมยังสามารถทำงานในลักษณะ Bridge Mode หรือ Route Mode ก็ได้เช่นกัน
สุดท้ายคือมีการติดตั้งระบบ Antivirus เข้าไปเพิ่มอีก ซึ่งนั่นทำให้สามารถดักจับ Malware ต่าง ๆ ที่ผู้ใช้งานที่ใช้งานเครือข่ายผ่าน NGFW อีกทั้งยังสามารถมีการนำข้อมูลจากภายนอกอย่าง Blacklist IP หรือ Sandbox สำหรับทำ Malware Analysis มาเป็นตัวช่วยในการป้องกันเพิ่มเติมได้อีกด้วย
จากประสิทธิภาพทั้งหมด เราจะเห็นว่า NGFW ไม่ได้มาเพื่อตอบโจทย์การป้องกันในลักษณะเดิมอีกต่อไป เพราะ NGFW จะเน้นการป้องกันในส่วนของผู้ใช้งานให้มากขึ้นเป็นอย่างมาก การวาง NGFW นั้นจริง ๆ แล้วสามารถแทน Firewall ได้เลย แต่เพื่อไม่ให้ NGFW ทำงานหนักมากเกินไป NGFW จึงควรไว้หลัง Firewall เสียมากกว่า โดย NGFW ยี่ห้อที่ได้รับความนิยมมีหลายยี่ห้อ เช่น Palo Alto, Cisco, Checkpoint, Fortigate เป็นต้น
Web Application Firewall (WAF) เป็น Firewall ที่ถูกสร้างขึ้นมาเพื่อใช้ป้องกันการโจมตีทางด้าน HTTP หรือก็คือการโจมตีที่เจาะจงมาที่เว็บไซต์นั่นเอง ซึ่งการป้องกันของ WAF นั้นจะมีด้วยกันหลายส่วน ไม่ว่าจะเป็น Well-Known Attack หรือก็คือ Pattern การโจมตีทั่วไปที่สามารถพบได้ทั่วไป
การตรวจสอบว่าเป็นการใช้งานที่ผิดไปจาก HTTP Protocol หรือไม่, การเรียนรู้การใช้งานปกติก่อนจะป้องกันการใช้งานที่ผิดปกติต่าง ๆ, การใช้งาน Threat Intelligence ต่าง ๆ ไม่ว่าจะเป็นลักษณะการ Request ที่เข้าข่ายว่าเป็น Bot, Blacklist IP จากแหล่งต่าง ๆ เพื่อช่วยป้องกันการโจมตี, การทำ Virtual Patching ให้กับเว็บไซต์ก่อน นั่นคือการป้องกันการโจมตีของช่องโหว่ใด ๆ ที่ถูกประกาศ และการรองรับการเข้ารหัสและถอดรหัส SSL ที่ WAF
จริง ๆ แล้วยังมี Feature อีกมากมายหลากหลายขึ้นอยู่กับ Product แต่ละเจ้า โดยการวางของ WAF นั้นจะพยายามให้ใกล้กับเว็บไซต์ที่ใกล้ที่สุดเท่าที่จะทำได้ โดยยี่ห้อที่ได้รับความนิยมมีด้วยกันหลายเจ้า เช่น Imperva, Barracuda, Fortiweb เป็นต้น
Database Firewall (DBF) เป็น Firewall ที่ไม่เพียงแต่เอาไว้สำหรับการป้องกันการโจมตีที่จะเกิดขึ้นกับ Database แต่ยังเป็นการ Audit การใช้งาน Database ทั้งหมดที่อยู่ภายใต้ความดูแล ของ DBF อีกด้วย
ทั้งนี้ความสามารถของ DBF คือการ Audit การใช้งาน Database เพื่อจะตอบโจทย์ในการทำ Compliance (การตรวจสอบขั้นตอนการทำงานและนโยบายการทำงานต่าง ๆ ให้เป็นไปตามมาตรฐาน) ต่าง ๆ ดังนั้นจำเป็นต้องมีการเก็บ Query (ข้อมูลเฉพาะ) ทั้งหมดที่เกิดขึ้น แต่เมื่อกระทำการ Audit จะทำให้ระบบมีประสิทธิภาพการทำงานที่ลดลง
ดังนั้นการใช้งาน DBF ในการเก็บ Query ทั้งหมดแทน Database Server จึงช่วยในเรื่องนี้ได้มาก เพราะได้ทั้งตอบโจทย์ในเรื่องการ Audit และประสิทธิภาพที่ยังคงที่ รวมทั้งยังสามารถป้องกันการโจมตีที่เข้ามายัง Database ในลักษณะที่เป็น SQL Injection Attack พร้อมทั้งตรวจสอบสิทธิ์การเข้าใช้งานของ User แต่ละคน รวมถึงการควบคุมการเข้าถึงโดย User ไปยัง Database หรือ Table ใด ๆ ในระบบ DBF
วิธีการวางของ DBF ก็จะคล้าย ๆ กับ WAF แทนที่จะวางใกล้กับเว็บไซต์ ก็กลายเป็นวางใกล้กับ Database แทนนั่นเอง ณ ปัจจุบัน ตลาดของ DBF ยังมีผู้เล่นในตลาดอยู่น้อยมาก ๆ โดยยี่ห้อที่ได้รับความนิยมมากที่สุด ณ ตอนนี้คือ Imperva
ในปัจจุบันที่ Malware ถูกพัฒนามากขึ้นเท่าไหร่ ฝ่ายป้องกันก็ต้องพัฒนาตามมากขึ้นเท่านั้นเช่นกัน สิ่งที่เราไม่ควรมองข้ามคือการคอยเฝ้าระวังภัยคุกคามที่อาจเกิดขึ้นใหม่ทุก ๆ วัน เพื่อให้องค์กรเราไม่ตกเป็นเหยื่อของภัยคุกคามเหล่านั้น
กและถึงแม้ว่า Firewall จะเป็นเครื่องมือที่สามารถนำมาใช้ป้องกันการโจมตีจากภายนอกเครือข่ายได้อย่างมีประสิทธิภาพ การที่จะใช้ Firewall ให้ได้ประโยชน์สูงสุดนั้นจะขึ้นอยู่กับนโยบายความปลอดภัยโดยรวมขององค์กรด้วย นอกจากนี้ แม้แต่ Firewall ที่ดีที่สุดก็ไม่สามารถนำมาใช้แทนการมีจิตสำนึกในการที่จะรักษาความปลอดภัยภายในเครือข่ายของผู้ที่อยู่ในเครือข่ายนั้นเอง
