(ML-001) วิธีจัดการ IP สาธารณะหรือส่วนตัวหลายรายการบนเราเตอร์ Edge อย่างเหมาะสม
$8,99
ไฟร์วอลล์สถานะคืออะไร?
- เมาโร เอสคาลานเต้
- ไม่มีความเห็น
- แบ่งปันบทความนี้
Facebook
Twitter
LinkedIn
WhatsApp
Telegram
ไฟร์วอลล์คือระบบที่ออกแบบมาเพื่อป้องกันการเข้าถึงหรือจากเครือข่ายส่วนตัวโดยไม่ได้รับอนุญาต ไฟร์วอลล์สามารถนำมาใช้ในฮาร์ดแวร์ ซอฟต์แวร์ หรือทั้งสองอย่างรวมกัน ไฟร์วอลล์มีหลายประเภท และหนึ่งในนั้นคือไฟร์วอลล์ “มีสถานะ” o พร้อมการติดตามสถานะ.
การตรวจสอบของรัฐหรือที่เรียกว่า “การติดตามสถานะ” o “การตรวจสอบโดยรัฐ” ในภาษาอังกฤษเป็นเทคนิคขั้นสูงที่ใช้ในการรักษาความปลอดภัยเครือข่ายเพื่อปรับปรุงประสิทธิภาพและประสิทธิผลของไฟร์วอลล์
การตรวจสอบของรัฐ
ไฟร์วอลล์เก็บสถานะไม่เพียงตรวจสอบแต่ละแพ็กเก็ตข้อมูลแต่ละชุดเท่านั้น แต่ยังเก็บบันทึกสถานะของการเชื่อมต่อเครือข่ายที่ใช้งานอยู่อีกด้วย
บันทึกนี้สามารถรวมรายละเอียดต่างๆ เช่น ที่อยู่ IP ต้นทางและปลายทาง หมายเลขพอร์ต หมายเลขลำดับแพ็กเก็ต การประทับเวลา และอื่นๆ
ต่างจากไฟร์วอลล์ที่ไม่มีการติดตามสถานะ (ไร้สัญชาติ) ซึ่งถือว่าแต่ละแพ็กเก็ตข้อมูลเป็นธุรกรรมที่แยกจากกัน ไฟร์วอลล์ stateful เข้าใจว่าแพ็กเก็ตข้อมูลถูกส่งโดยเป็นส่วนหนึ่งของการเชื่อมต่อเครือข่าย
ไฟร์วอลล์เหล่านี้สามารถจดจำได้ว่าแพ็กเก็ตข้อมูลขาเข้าเฉพาะเป็นการตอบสนองต่อคำขอขาออกที่ทำขึ้นก่อนหน้านี้
การตรวจสอบของรัฐทำงานอย่างไร
ต่อไปนี้เป็นรายละเอียดเพิ่มเติมเกี่ยวกับวิธีการตรวจสุขภาพ:
1. การสร้างการเชื่อมต่อ
เมื่อการเชื่อมต่อเครือข่ายเริ่มต้นขึ้น (เช่น เมื่อผู้ใช้ภายในเครือข่ายร้องขอเว็บเพจ) ไฟร์วอลล์จะบันทึกรายละเอียดของการเชื่อมต่อในตารางสถานะ
ข้อมูลนี้รวมถึงสิ่งต่างๆ เช่น ที่อยู่ IP ของคอมพิวเตอร์ที่ทำการร้องขอ ที่อยู่ IP ของเว็บเพจที่กำลังร้องขอ และหมายเลขพอร์ตที่กำลังใช้งาน
2. การตรวจสอบการเชื่อมต่อ
เนื่องจากแพ็กเก็ตข้อมูลยังคงไหลผ่านการเชื่อมต่อ ไฟร์วอลล์จะยังคงบันทึกและอัปเดตรายละเอียดในตารางสถานะ
ซึ่งอาจรวมถึง การติดตามหมายเลขลำดับของพัสดุเพื่อให้แน่ใจว่าพัสดุมาถึงในลำดับที่ถูกต้อง
3. การยกเลิกการเชื่อมต่อ
เมื่อการเชื่อมต่อเครือข่ายถูกปิด (เช่น เมื่อผู้ใช้ปิดหน้าเว็บที่พวกเขาร้องขอ) ไฟร์วอลล์จะสังเกตเห็นว่าการเชื่อมต่อได้ถูกยกเลิกและลบออกจากตารางสถานะ
La การตรวจสอบสภาพ มีข้อดีหลายประการสำหรับการรักษาความปลอดภัยเครือข่าย ประการแรก ช่วยให้ไฟร์วอลล์บล็อกการรับส่งข้อมูลที่ไม่พึงประสงค์หรือน่าสงสัยได้อย่างมีประสิทธิภาพมากขึ้น เนื่องจากสามารถรับรู้เมื่อแพ็กเก็ตข้อมูลขาเข้าไม่เชื่อมโยงกับการเชื่อมต่อเครือข่ายที่ถูกต้อง
นอกจากนี้ยังสามารถช่วยตรวจจับและป้องกันการโจมตีบางประเภทได้ เช่น การโจมตีด้วยการปลอมแปลง IP หรือ การโจมตีน้ำท่วมของ SYNซึ่งพยายามใช้ประโยชน์จากวิธีสร้างการเชื่อมต่อเครือข่าย
ในระดับเทคนิคมากขึ้น ไฟร์วอลล์แบบ stateful จะรักษา ตารางสถานะ เพื่อติดตามเซสชันการสื่อสารที่มีอยู่ทั้งหมด แต่ละเซสชันจะถูกบันทึกพร้อมรายละเอียดต่างๆ เช่น ที่อยู่ IP ต้นทางและปลายทาง หมายเลขพอร์ต หมายเลขลำดับแพ็กเก็ต และการประทับเวลา
บันทึกสถานะการเชื่อมต่อ (ตารางสถานะ)
“บันทึกสถานะการเชื่อมต่อเครือข่ายที่ใช้งานอยู่” หรือที่เรียกว่า ตารางของรัฐ ของไฟร์วอลล์เป็นโครงสร้างข้อมูลที่ใช้ใน stateful firewall เพื่อติดตามรายละเอียดของการเชื่อมต่อเครือข่ายทั้งหมดที่ส่งผ่านไฟร์วอลล์
รายละเอียดที่แน่นอนที่ถูกติดตามอาจแตกต่างกันไปตามระบบ แต่มักจะรวมถึงรายการต่อไปนี้:
1. ที่อยู่ IP ต้นทาง
นี่คือที่อยู่ IP ของเครื่องที่เริ่มต้นการเชื่อมต่อ ในการเชื่อมต่อเว็บทั่วไป นี่จะเป็นที่อยู่ IP ของผู้ใช้ที่ขอดูหน้าเว็บ
2. ที่อยู่ IP ปลายทาง
นี่คือที่อยู่ IP ที่การเชื่อมต่อถูกส่งไป ในการเชื่อมต่อเว็บทั่วไป นี่จะเป็นที่อยู่ IP ของเซิร์ฟเวอร์ที่โฮสต์หน้าเว็บที่ร้องขอ
3. ท่าเรือต้นทางและปลายทาง
พอร์ตคือตัวเลขที่ระบุกระบวนการเฉพาะที่กำลังสื่อสารภายในเครื่องต้นทางและปลายทาง พอร์ตต้นทางจะได้รับการสุ่มกำหนดโดยระบบที่เริ่มต้นการเชื่อมต่อ ในขณะที่พอร์ตปลายทางโดยทั่วไปจะเป็นหมายเลขมาตรฐานที่สอดคล้องกับบริการเครือข่ายเฉพาะ (เช่น พอร์ต 80 สำหรับการรับส่งข้อมูล HTTP)
4. หมายเลขลำดับและหมายเลขรับทราบ
ค่าเหล่านี้เป็นค่าที่ใช้ในโปรโตคอล TCP เพื่อให้แน่ใจว่าแพ็กเก็ตข้อมูลมาถึงในลำดับที่ถูกต้องและเพื่อยืนยันการรับแพ็กเก็ต
5. ธง TCP
ธง TCP เป็นส่วนหนึ่งของส่วนหัวของแพ็กเก็ต TCP และให้ข้อมูลเกี่ยวกับสถานะของการเชื่อมต่อ ธงทั่วไป ได้แก่ SYN (ซิงโครไนซ์สำหรับการสร้างการเชื่อมต่อ), ACK (รับทราบ, เพื่อยืนยันการรับแพ็กเก็ต), FIN (เสร็จสิ้น, เพื่อปิดการเชื่อมต่อ) และ RST (รีเซ็ต, เพื่อยกเลิกการเชื่อมต่อ)
6. สถานะการเชื่อมต่อ
นี่คือค่าที่ระบุว่ากำลังสร้างการเชื่อมต่อ ใช้งานอยู่ กำลังปิด ฯลฯ
7. การประทับเวลา
นี่คือการประทับเวลาที่ระบุว่าเมื่อใดที่เห็นกิจกรรมบนการเชื่อมต่อครั้งล่าสุด สิ่งนี้มีประโยชน์สำหรับการล้างการเชื่อมต่อที่ไม่ได้ใช้งานจากตารางสถานะ
โดยการรักษาสิ่งนี้ไว้ ตารางสถานะไฟร์วอลล์แบบ stateful สามารถตรวจสอบและควบคุมการรับส่งข้อมูลเครือข่ายได้อย่างมีประสิทธิภาพมากกว่าไฟร์วอลล์แบบ stateless
สิ่งนี้มีประโยชน์อย่างยิ่งในการบล็อกการรับส่งข้อมูลที่ไม่พึงประสงค์จากภายนอกเครือข่าย ช่วยให้ตอบสนองต่อคำขอที่เริ่มต้นจากภายในเครือข่าย และการตรวจจับและป้องกันการโจมตีบางประเภท
การติดตามสุขภาพให้ ปลอดภัยยิ่งขึ้น มากกว่าไฟร์วอลล์ไร้สัญชาติเนื่องจากมีมุมมองกิจกรรมเครือข่ายที่สมบูรณ์ยิ่งขึ้น อย่างไรก็ตาม ยังอาจใช้ทรัพยากรการประมวลผลมากขึ้น เนื่องจากต้องบำรุงรักษาและอัปเดตตารางสถานะอย่างต่อเนื่อง
การตรวจสอบแพ็คเก็ตลึก
ลักษณะเพิ่มเติมที่อาจพิจารณาได้ในไฟร์วอลล์ stateful คือการตรวจสอบแพ็คเก็ตเชิงลึก (DPI) ซึ่งช่วยให้สามารถตรวจสอบเนื้อหาของแพ็กเก็ตข้อมูลได้
ซึ่งสามารถช่วยตรวจจับการโจมตีบางประเภทที่ไม่สามารถมองเห็นได้ด้วยการตรวจสอบสถานะการเชื่อมต่อเพียงอย่างเดียว เช่น ไวรัสที่แพร่กระจายผ่านไฟล์แนบในอีเมล
กล่าวโดยสรุป ไฟร์วอลล์เก็บสถานะเป็นองค์ประกอบที่สำคัญในการรักษาความปลอดภัยทางไซเบอร์ โดยให้การป้องกันขั้นสูงโดยสามารถติดตามสถานะการเชื่อมต่อเครือข่ายทั้งหมด และตัดสินใจตามบริบทนั้นได้
MikroTik เป็นไฟร์วอลล์แบบ stateful หรือไม่?
ใช่ เราเตอร์ MikroTik ซึ่งใช้ระบบปฏิบัติการ RouterOS สามารถทำงานเป็นไฟร์วอลล์แบบมีสถานะได้
MikroTik ใช้ฟังก์ชันการติดตามสถานะผ่านทาง “การติดตามการเชื่อมต่อ” (การติดตามการเชื่อมต่อ)
El การติดตามการเชื่อมต่อ ช่วยให้ไฟร์วอลล์ติดตามสถานะการเชื่อมต่อเครือข่ายผ่านเราเตอร์และตัดสินใจกรองตามสถานะของการเชื่อมต่อ ซึ่งรวมถึงรายละเอียดต่างๆ เช่น ที่อยู่ IP ต้นทางและปลายทาง พอร์ตที่ใช้ สถานะการเชื่อมต่อ (เช่น กำลังสร้างการเชื่อมต่อใหม่หรือไม่ หรือเป็นแพ็กเก็ตที่เกี่ยวข้องกับการเชื่อมต่อที่มีอยู่หรือไม่) และอื่นๆ
MikroTik ใช้งาน stateful firewall อย่างไร
นี่คือตัวอย่างวิธีกำหนดค่าไฟร์วอลล์ stateful บนเราเตอร์ MikroTik:
1. เปิดใช้งานการติดตามการเชื่อมต่อ
การติดตามการเชื่อมต่อถูกเปิดใช้งานตามค่าเริ่มต้นใน RouterOS แต่คุณสามารถตรวจสอบและเปิดใช้งานได้หากจำเป็นด้วยคำสั่งต่อไปนี้:
/ip firewall connection tracking set enabled=yes
2. กำหนดค่ากฎไฟร์วอลล์
เพื่ออนุญาตการเชื่อมต่อที่สร้างขึ้นและที่เกี่ยวข้อง และเพื่อบล็อกการเชื่อมต่อใหม่ที่ไม่ได้เริ่มต้นจากภายในเครือข่าย ซึ่งสามารถทำได้ด้วยคำสั่งดังต่อไปนี้:
/ip firewall filter add chain=forward connection-state=established action=accept
/ip firewall filter add chain=forward connection-state=related action=accept
/ip firewall filter add chain=forward connection-state=new action=drop in-interface=wan
ในตัวอย่างเหล่านี้ กฎสองข้อแรกอนุญาตให้มีแพ็กเก็ตที่เกี่ยวข้องกับการเชื่อมต่อที่สร้างไว้แล้วหรือการเชื่อมต่อที่เกี่ยวข้อง (เช่น การตอบสนองต่อคำขอที่มาจากภายในเครือข่าย) ในขณะที่กฎข้อสุดท้ายจะบล็อกความพยายามในการเชื่อมต่อใหม่จากภายนอกเครือข่าย
นี่เป็นเพียงตัวอย่างวิธีกำหนดค่าไฟร์วอลล์ stateful ใน MikroTik การกำหนดค่าจริงอาจแตกต่างกันไปขึ้นอยู่กับความต้องการเครือข่ายเฉพาะ
เป็นที่น่าสังเกตว่ากฎไฟร์วอลล์ต้องมีการวางแผนและทดสอบอย่างรอบคอบ เนื่องจากการกำหนดค่าที่ไม่ถูกต้องอาจทำให้เครือข่ายมีความเสี่ยงหรือขัดขวางการรับส่งข้อมูลที่ถูกต้อง
แบบทดสอบความรู้สั้นๆ
คุณคิดอย่างไรกับบทความนี้?
คุณกล้าที่จะประเมินความรู้ที่คุณเรียนมาหรือไม่?
บทความที่เกี่ยวข้อง
บทความที่เกี่ยวข้อง
หัวข้ออื่นๆ ที่คุณอาจสนใจ
คุณต้องการแนะนำหัวข้อหรือไม่?
เราโพสต์เนื้อหาใหม่ทุกสัปดาห์ คุณต้องการให้เราพูดคุยเกี่ยวกับสิ่งที่เฉพาะเจาะจงหรือไม่?
หลักสูตรออนไลน์ที่กำลังจะมีขึ้น
เอ็มทีซีนออนไลน์
$187,00
เอ็มทีซีเอ็นเอออนไลน์
$187,00
เอ็มทีซีอาร์อีออนไลน์
$187,00
แพ็ค 4 เล่ม MikroTik RouterOS
$68,47
