Page 22 - ระบบตัวแทนการให้บริการเว็บไซต์หน่วยงานสำนักงานพัฒนาที่ดินเขต (Reverse Proxy)
P. 22
ห้องสมุดกรมพัฒนาที่ดิน
2-10
ยุคที่ 1 Access Control Lists (การกําหนดเงื่อนไขเข้าถึงเครือข่ายภายใน)
ในช่วงต้น Firewall จะทํางานโดยใช้การกําหนดเงื่อนไขเข้าถึงเครือข่ายภายใน หรือ
Access Control Lists (ACLs) โดยเฉพาะในเราเตอร์ส่วนใหญ่ ACLs คือ กฎระเบียบที่เขียนขึ้นมาเพื่อ
ตรวจสอบการเข้าถึงจากภายนอกว่า อนุญาตให้เข้าถึงเครือข่ายภายในได้หรือไม่ เช่น การเข้าถึงจากภายนอก
ของ IP address 172.168.2.2 จะเข้าใช้เครือข่ายภายในไม่ได้ หรือแม้แต่การอนุญาตให้ port 80 ของ IP
address 172.168.2.2 เข้าถึงเว็บเซิร์ฟเวอร์ IP 10.10.10.201 ได้
ACLs มีประโยชน์ตรงที่สามารถกําหนดได้ว่าต้องการให้ส่วนใดเข้าถึงบ้าง และยังมี
ประสิทธิภาพสูง แต่ว่าไม่สามารถอ่าน packet headers ก่อนหน้าได้ ACLs จะทําหน้าที่เพียงแค่อ่านข้อมูล
การเข้าถึงเท่านั้น ดังนั้นการคัดกรองการเข้าถึงจากภายนอกโดยใช้ ACLs เพียงอย่างเดียวจึงไม่เพียงพอต่อการ
ป้องกันการคุกคามข้อมูลภายในจากภายนอกได้
ยุคที่ 2 Proxy firewalls
Proxy firewalls จะทําหน้าที่เป็นตัวกลาง โดยจะรับคําขอเข้าถึงข้อมูลภายใน โดยอ้าง
ตัวเองว่าเป็นเครือข่ายภายใน หลังจากที่ตรวจสอบคําขอแล้วให้เข้าถึงข้อมูลภายในได้ ก็จะส่งข้อมูลไปให้
เครือข่ายภายใน เครือข่ายภายในก็จะส่งข้อมูลกลับมาให้ Proxy แล้ว Proxy ก็จะทําให้ข้อมูลนั้นส่งไปให้
ภายนอก โดยใช้ชื่อของ Proxy server กระบวนการนี้ Proxy firewall จะทําหน้าที่เป็นสื่อกลางระหว่าง
เครือข่ายภายในกับภายนอกไม่ให้เชื่อมต่อกันโดยตรง Proxy firewall สามารถตรวจสอบข้อมูลได้ทั้งหมด และ
ยังทําหน้าที่คัดกรองให้ด้วย โดยอ้างอิงจากข้อมูลระดับย่อย การทํา Access Control จึงเป็นที่น่าสนใจของ
เหล่าแอดมิน เครือข่ายต่าง ๆ แต่อย่างไรก็ตามแอพพลิเคชั่นแต่ละตัวก็ต้องมี proxy เป็นของตัวเองในระดับ
แอพพลิเคชั่น (application-level) Proxy-firewalled เองก็เผชิญปัญหาด้านประสิทธิภาพของการเข้าถึง
ข้อมูล และข้อจํากัดด้านการรองรับแอพพลิเคชั่นต่าง ๆ รวมไปถึงการทํางานทั่วไปด้วย ซึ่งปัญหาเหล่านี้จะ
นําไปสู่ปัญหาด้านการควบคุมข้อมูล ซึ่งอาจทําให้ถูกดึงข้อมูลภายในออกไปภายนอกได้ นี่จึงเป็นเหตุผลที่ว่า
ทําไมจึงไม่ค่อยใช้ proxy firewalls กัน แม้ว่า Proxy firewall จะเป็นที่นิยมมากในช่วงปี 1990 ปัญหาด้าน
ประสิทธิภาพและการควบคุมข้อมูลก็ทําให้อัตราการนํา proxy firewalls ไปใช้ในเครือข่ายภายในลดลงไปมาก
ยุคที่ 3 Stateful Inspection firewalls
Stateful inspection หรือ stateful filtering เป็น Firewall ในยุคที่ 3 ของเทคโนโลยี
Firewall โดยที่ Stateful filtering จะทําหน้าที่ 2 อย่าง หน้าที่แรก คือ แบ่งการเข้าถึงโดยใช้พอร์ทปลายทาง
(destination port) เช่น tcp/80 = HTTP และหน้าที่ที่สอง คือ ติดตามสถานะการเข้าถึงข้อมูลโดยดูแลการ
โต้ตอบระหว่างภายในกับภายนอกตั้งแต่เริ่มต้นจนสิ้นสุดการเชื่อมต่อ
หน้าที่ทั้งสองที่กล่าวไปข้างต้น จะช่วยให้การทํางานของการควบคุมการเข้าถึงให้มี
ประสิทธิภาพมากขึ้น stateful inspection firewalls ไม่เพียงแต่เปิดปิดการเข้าถึงจากภายนอก โดยอ้างอิง
จาก port กับ protocol เท่านั้น แต่ยังดูที่ประวัติย้อนหลังของ packet ในตารางสถานะ packet ด้วย เมื่อ
stateful firewalls รับ packet มา ก็จะตรวจสอบในตารางสถานะของ packet ว่าเคยเชื่อมต่อกับระบบแล้ว
หรือยัง หรือแม้แต่ตรวจดูว่า packet นั้นมาจาก host ภายในหรือไม่ หากว่าไม่พบข้อมูลใด ๆ packet ก็จะถูก
ส่งไปตรวจสอบตามกฎระเบียบการเข้าถึงข้อมูลภายใน
Firewall แบบ stateful filtering จะโปร่งใส และให้ผู้ใช้งานควบคุมได้ โดยการเพิ่มการ
ป้องกันที่ซับซ้อนให้กับโครงสร้างข้อมูล แต่ stateful firewalls ก็ยังเผชิญปัญหาด้านการรับมือกับซอฟต์แวร์
แอพพลิเคชั่นที่มีการเปลี่ยนแปลงบ่อยอย่างเช่น SIP หรือ H.323
