ยุคที่ 1 (Generation 1) — Package Filtering เป็นเทคโนโลยีที่เราท์เตอร์ และสวิตช์ใช้ ACL (Access Control List) ในการกรองทราฟฟิก
ยุคที่ 2 (Generation 2) — Application Proxy ซึ่งทุกๆ แอพพลิเคชั่นมาเชื่อมต่อที่ไฟร์วอลล์ หลังจากนั้นไฟร์วอลล์จะเป็นตัวกลางในการติดต่อกับแอพพลิเคชั่นเซิร์ฟเวอร์นั้นๆ ซึ่งเทคโนโลยีนี้จะมีประสิทธิภาพต่ำ ถ้าใช้งานกับแอพพลิเคชั่นในปัจจุบัน
ยุคที่ 3 (Generation 3) — Stateful Inspection เป็นเทคโนโลยีที่ได้รับความนิยมอย่างแพร่หลายจนถึงปัจจุบัน ไฟร์วอลล์ส่วนใหญ่ก็ยังใช้เทคโนโลยีนี้อยู่ เทคโนโลยีนี้เกิดขึ้นมาในสมัยที่แต่ละแอพพลิเคชั่นยังวิ่งอยู่ในพอร์ต (Port) ของตัวเอง ยกตัวอย่างเช่น HTTP จะวิ่ง Port 80, SMTP จะใช้ Port 25, และ FTP จะใช้ Port 20, Port 21
ปัญหาที่เกิดขึ้นคือ แอพพลิเคชั่นในปัจจุบันไม่ได้วิ่งตามพอร์ตมาตรฐานของตัวเองอีกต่อไป เลยมีการนำเทคโนโลยี UTM เข้ามาใช้ ซึ่งก็คือการใช้อุปกรณ์อื่นๆ เช่น IPS, Antivirus, URL Filtering และอื่นๆ มาช่วยเสริมในจุดที่ไฟร์วอลล์ไม่สามารถทำได้ แต่เทคโนโลยี UTM นี้ ก็มีปัญหาเกิดขึ้นในตัวของมันเองหลายๆ อย่าง เช่นในเรื่องของประสิทธิภาพ ตัวอย่างเช่น มีไฟร์วอลล์แบบ UTM บางตัวที่สามารถตรวจจับไวรัสได้พร้อมๆ กัน แค่ทีละสองไฟล์เท่านั้น เวลาที่เราเปิดฟังก์ชั่นป้องกันไวรัส (Function Antivirus)
ยุคล่าสุด (Next Generation Firewall) — ตามนิยามของ Gartner นั้น Next Generation Firewall ได้รวมเอาทุกคุณลักษณะเด่นของอุปกรณ์ตัวช่วยไฟร์วอลล์ที่กล่าวในข้างต้น IPS, Antivirus, URL Filtering, DLP (Data Lost Prevention), Anti Spyware, etc. มาไว้ในอุปกรณ์ตัวเดียว แต่ความแตกต่างจาก UTM คือ ทุก Features ที่กล่าวมา จะรวมอยู่ใน เฟิร์มแวร์ เอ็นจินเดียว (Firmware Engine) ซึ่งทำให้ง่ายต่อการจัดการและไม่มีปัญหาการ ผสมผสานร่วมกันระหว่างส่วนประกอบต่างๆ ในไฟร์วอลล์ รวมถึงยังให้ประสิทธิภาพที่สูงกว่าเทคโนโลยีแบบ UTM อีกด้วย
คุณสมบัติ 10 ประการที่ไฟร์วอลล์ของคุณต้องมี (10 Things Your Next Firewall Must Do):
พิจารณาจากเรื่องความสามารถในการรักษาความปลอดภัย (Security-สามารถควบคุมการใช้งานแอพพลิเคชั่นรวมถึงป้องกันโจมตีในช่องโหว่ของแอพพลิเคชั่นนั้นๆ), เรื่องการใช้งาน (Operation-ความยากง่ายในการจัดการ รวมถึงจำนวนองค์ประกอบและ Policy ที่ต้องดูแล), และเรื่องประสิทธิภาพของระบบ (Performance-Firewall ต้องสามารถทำในสิ่งที่มันทำในประสิทธิภาพที่เราต้องการ) โดยคุณสมบัติ 10 ประการที่ไฟร์วอลล์ของคุณต้องมี ประกอบด้วย
1. ไฟร์วอลล์ของคุณต้องสามารถระบุและควบคุมแอพพลิเคชั่นที่มาจากทุกพอร์ต
ทุกวันนี้แอพพลิเคชั่นสามารถวิ่งในพอร์ตที่ไม่ใช่พอร์ตมาตรฐานของตัวเองได้ ยกตัวอย่างเช่น แอพพลิเคชั่นประเภท Instant Messaging, File Sharing, VoIP โดยไฟร์วอลล์ที่ใช้เทคโนโลยีแบบ UTM จะทำงานโดยการเปิดหรือปิดพอร์ต (Layer4 Port-based Firewall) เนื่องจากเอ็นจิน ไฟร์วอลล์เองยังทำงานได้ในระดับ Layer4 ส่วนความสามารถในการระบุแอพพลิเคชั่น (Layer7) นั้นจะต้องใช้ตัวช่วยเช่น IPS มาระบุ ซึ่งถ้าพูดถึงการทำงานของ IPS ในรูปแบบนี้ ตัว IPS จะต้องใช้ทุก Signature ที่มี เพื่อระบุแอพพลิเคชั่น เนื่องจาก IPS ไม่มีทางรู้ได้ว่าในแต่ละพอร์ตที่เปิดโดยไฟร์วอลล์นั้นจะมีแอพพลิเคชั่นอะไรวิ่งเข้ามา ซึ่งทำให้ไฟร์วอลล์แบบ UTM มีประสิทธภาพต่ำลง ซึ่งนี่เป็นสาเหตุที่ IPS บางตัวต้องทำการ disable ครึ่งนึงของ signature ที่มี
*ไฟร์วอลล์ของคุณจะต้องสามารถระบุและควบคุมแอพพลิเคชั่นที่มาจากทุกพอร์ต*
2. ไฟร์วอลล์ของคุณต้องสามารถระบุและควบคุมโปรแกรมที่ใช้เป็นเครื่องมือในการฝ่าฝืนนโยบายขององค์กร
ผู้ใช้งานในปัจจุบันมีการนำเอาโปรแกรมที่เป็นเครื่องมือในการฝ่าฝืนนโยบายขององค์กร เช่น Ultrasurf, Tor, Hamachi ที่ทำให้อุปกรณ์ เช่น ไฟร์วอลล์ ไอพีเอส (Firewall IPS) และเว็บเกตเวย์ (Web Gateway) ไม่สามารถตรวจจับการใช้งานของโปรแกรมนั้นๆ ได้ ไฟร์วอลล์ของคุณจะต้องถูกออกแบบมีให้สามารถตรวจจับโปรแกรมประเภทนี้ได้
*ไฟร์วอลล์ของคุณจะต้องสามารถควบคุมการทำงานของโปรแกรมนี้ได้ และแยกแยะมันออกจากแอพพลิเคชั่นที่มีประโยชน์เช่น MS RDP หรือ GoToMyPC*
3. ไฟร์วอลล์ของคุณต้องสามารถถอดรหัสทราฟฟิกที่เข้ารหัสแบบ SSL ได้
ในปัจจุบัน มากกว่า 15% (หรือมากกว่า 50% ในองค์กรสถาบันการเงิน) ของทราฟฟิกทั้งหมด มีการเข้ารหัสแบบ SSL ซึ่งไฟร์วอลล์ส่วนใหญ่ไม่สามารถมองเห็นทราฟฟิกข้างในได้ นับได้ว่าเป็นจุดบอดซึ่งสามารถนำความเสี่ยงเข้ามาในองค์กร ยกตัวอย่างเช่น การใช้งาน Gmail และ Facebook ที่ปัจจุบันเป็นแบบ SSL ที่อาจทำให้องค์กรสามารถสูญเสียข้อมูลหรือชื่อเสียง ถ้าไม่สามารถถอดรหัสเพี่อตรวจสอบ และควบคุมทราฟฟิกที่อยู่ข้างในได้
*ไฟร์วอลล์ของคุณต้องสามารถถอดรหัสทราฟฟิกที่เข้ารหัสแบบ SSL ได้ และสามารถยกเว้นไม่ต้องถอดรหัสใน ทราฟฟิกที่เป็นความลับของผู้ใช้งานเช่น i-Banking*
4. ไฟร์วอลล์ของคุณต้องสามารถควบคุมการทำงานในแต่ละแอพพลิเคชั่นได้
ในบางแอพพลิเคชั่นจะมีหลายฟังก์ชั่น โดยที่แต่ละฟังก์ชั่นนั้นจะมีระดับความเสี่ยงเมื่อใช้งานแตกต่างกันไป ยกตัวอย่างเช่น WebEx กับ WebEx Desktop Sharing (การ Share Desktop สามารถเปิดเผยความลับขององค์กรได้) หรือ การใช้งาน Gmail ปกติ กับการส่งส่งไฟล์ผ่าน Gmail (ข้อมูลความลับขององค์กรอาจจะถูกส่งออกไปได้)
*ไฟร์วอลล์ของคุณจะต้องสามารถควบคุมฟังก์ชั่นในแต่ละแอพพลิเคชั่นได้ แต่การทำแบบนี้ได้ไฟร์วอลล์ นั้นจะต้องทำการตรวจสอบทราฟฟิกตลอดเวลาในแต่ละเซสชั่น (ผู้ใช้งานอาจเริ่มต้นด้วยการใช้แค่ WebEx ในสิบนาทีแรกแล้วเปลี่ยนเป็น WebEx Desktop Sharing หลังจากนั้น) ซึ่งการทำงานในแบบ Stateful Firewall ซึ่งตรวจสอบเฉพาะแพคเก็ตแรกของเซสชั่น (First Path, Fast Path) ไม่สามารถทำงานแบบนี้ได้*
5. ไฟร์วอลล์ของคุณต้องสามารถตรวจจับและป้องกันภัยคุกคามในแอพพลิเคชั่นที่อนุญาตให้ใช้งานได้
ในหลายๆ องค์กรแอพพลิเคชั่นที่อนุญาตให้ใช้งานได้นั้นได้รับการดูแลโดยบริษัทภายนอก โดยที่เซิร์ฟเวอร์ ของแอพพลิเคชั่นเหล่านั้นไม่ได้อยู่ในองค์กร เช่น การใช้งาน Microsoft Sharepoint, Google Doc, Microsoft Office Live รวมถึงการใช้บริการอัพโหลดไฟล์เก็บไว้ที่เซิร์ฟเวอร์ภายนอก เพื่อแชร์ให้เพื่อนร่วมงานคนอื่นๆ การใช้งานเหล่านี้มีความเสี่ยงที่ตามมา การจะใช้งานในรูปแบบนี้ไฟร์วอลล์จะต้องสามารถตรวจสอบและป้องกันภัยคุกคามที่อาจจะตามมาได้
*ไฟร์วอลล์ของคุณต้องสามารถตรวจจับและป้องกันภัยคุกคาม รวมถึงช่องโหว่ (Vulnerability) ในแอพพลิเคชั่นที่อนุญาตให้ใช้งานได้*
6. ไฟร์วอลล์ของคุณต้องสามารถจัดการกับทราฟฟิกที่ไม่รู้จัก (Unknown Traffic) ได้
ในกรณีแอพพลิเคชั่นที่ไฟร์วอลล์ไม่รู้จัก เช่น แอพพลิเคชั่นเฉพาะขององค์กร หรือแอพพลิเคชั่นที่เพิ่งเกิดขึ้นใหม่ๆนั้น การกำหนดนโยบายของไฟร์วอลล์ต้องสามารถจัดการกับแอพพลิเคชั่นเหล่านั้นได้ รวมถึงต้องมีข้อมูลของแอพพลิเคชั่นเหล่านี้ในรายงานของไฟร์วอลล์เพื่อตรวจสอบการใช้งาน (เช่น จำนวน Byte และจำนวน Session) เพื่อให้ผู้ดูแลระบบสามารถวิเคราะห์ได้ด้วย
*ไฟร์วอลล์ของคุณต้องสามารถจัดการกับทราฟฟิกที่ไม่รู้จักได้ รวมถึงต้องสามารถรวมแอพพลิเคชั่นเฉพาะขององค์กร เข้าไปในฐานข้อมูลของไฟร์วอลล์ เพื่อให้ไฟร์วอลล์รู้จักได้*
7. ไฟร์วอลล์ของคุณต้องสามารถระบุและควบคุมแอพพลิเคชั่นต่างๆ ที่ใช้เซสชั่นร่วมกันได้
ทุกวันนี้ผู้พัฒนาจะเขียนแอพพลิเคชั่นในรูปแบบแอพพลิเคชั่น แพลตฟอร์ม (Application Platform) โดยการนำเอาหลายแอพพลิเคชั่นที่เกี่ยวข้องกันมาร่วมใช้งานในเซสชั่นเดียวกัน ซึ่งแอพพลิเคชั่นแต่ละตัว จะมีระดับความเสี่ยงที่ไม่เหมือนกัน ยกตัวอย่างเช่น ผู้ใช้งาน Gmail สามารถใช้งาน Google Talk ได้ทันที จากหน้า User Interface ของ Gmail
*ไฟร์วอลล์ของคุณต้องทำการตรวจสอบทราฟฟิกตลอดทั้งเซสชั่น เพื่อที่จะสามารถระบุและควบคุม แอพพลิเคชั่นต่างๆ ในแต่ละเซสชั่นนั้นได้*
8. ไฟร์วอลล์ของคุณต้องสามารถระบุและควบคุมแอพพลิเคชั่นกับผู้ใช้งานทั้งที่อยู่ในและนอกองค์กร
ผู้ใช้งานจากภายนอกองค์กร (Remote User) ได้เพิ่มจำนวนมากขึ้นเรื่อยๆ เพราะฉะนั้นความสามารถในการระบุแอพพลิเคชั่นนั้น จะต้องทำได้ทั้งกับผู้ใช้งานภายในและภายนอกองค์กร
*แต่ไม่ได้หมายความว่าผู้ใช้งานทั้งสองส่วนนั้นจะต้องได้รับ Policy เดียวกันจากไฟร์วอลล์ ยกตัวอย่างเช่น ไฟร์วอลล์ของคุณสามารถกำหนดให้ผู้ใช้งานจากภายนอกองค์กร สามารถใช้งาน Skype ได้ ในขณะที่ไม่อนุญาตให้ผู้ใช้งานภายในองค์กรใช้ Skype หรือ ไฟร์วอลล์ของคุณไม่อนุญาตให้ผู้ใช้งานจากภายนอกองค์กรดาวน์โหลดเอกสารจากระบบ ERP ได้ เว้นแต่ว่าเครื่องแล็บท็อปที่ใช้งานนั้น มีความสามารถในการเข้ารหัสที่ฮาร์ดดิสก์ *
9. ไฟร์วอลล์ของคุณต้องทำให้ระบบโดยรวมมีความง่ายในการจัดการมากขึ้น
ถ้าความสามารถที่เพิ่มขึ้นของไฟร์วอลล์เป็นการเพิ่มชุด Policy ที่ผู้ดูแลระบบต้องดูแลจะทำให้ระบบโดยรวมยากในการจัดการ ยกตัวอย่างเช่น ในบางองค์กร จะมี 1 ชุด Policy จากอุปกรณ์แต่ละตัว (Firewall, IPS, Web Filtering, Web Gateway) ถ้าการระบุและควบคุมแอพพลิเคชั่นเป็นการเพิ่ม Policy อีกชุดนึง จะมีผลทำให้การทำงานของผู้ดูแลระบบ มีแต่จะยากขึ้น ลองนึกภาพดูว่า ถ้าผู้ดูแลระบบจะอนุญาตให้ ผู้ใช้งาน ใช้งาน WebEx จะมีกี่ policy ที่ต้องแก้ไข
*Policy ในไฟร์วอลล์ของคุณ จะต้องสามารถควบคุมการทำงานทั้งหมด ของแอพพลิเคชั่น ของผู้ใช้งานได้ใน Policy 1 ชุด ยกตัวอย่างเช่น ไฟร์วอลล์ของคุณควรใช้ Policy แค่ 1 ข้อในการอนุญาตผู้ใช้งานชื่อ Somphon และผู้ใช้งานที่อยู่ในกลุ่ม “Salesforce 1” สามารถใช้งาน YouTube, Skype, Facebook Chat ได้เฉพาะเวลาพัก แต่สามารถใช้งาน WebEx ได้ตลอดเวลา*
10. ไฟร์วอลล์ของคุณต้องสามารถระบุและควบคุมแอพพลิเคชั่นโดยไม่ทำให้ประสิทธิภาพลดลง
มีกี่ครั้งที่ผู้ดูแลระบบต้องเลือกระหว่าง ประสิทธิภาพ (Performance) กับความปลอดภัย (Security) ของระบบไฟร์วอลล์แบบ UTM บางตัวมีประสิทธิภาพลดลง เกินครึ่ง เมื่อเปิดใช้งานความสามารถในการระบุและควบคุมแอพพลิเคชั่น นี่เป็นหนึ่งในเหตุผลที่ทาง NSS Labs (nsslabs.com) ทำการวัดค่า TCO (Total Cost of Ownership) จากประสิทธิภาพของแอพพลิเคชั่น จากการทดสอบโดยทาง NSS Labs ไม่ใช่ประสิทธิภาพที่เขียนใน Datasheet ถ้าไฟร์วอลล์ของคุณถูกออกแบบมาเพื่อแอพพลิเคชั่นในสมัยนี้ ผู้ดูแลระบบจะไม่ต้องกังวลกับปัญหานี้อีกต่อไป
*ลองพิจารณาทั้งในแง่ซอฟต์แวร์ และฮาร์ดแวร์: ในแง่ซอฟต์แวร์, เฟิร์มแวร์ของไฟร์วอลล์จะต้องถูกออก แบบมา ให้มีความสามารถในการระบุและควบคุมแอพพลิเคชั่นตั้งแต่ต้น โดยไม่ใช่เป็นคุณสมบัติ ที่เพิ่มเติมในแง่ฮาร์ดแวร์, อุปกรณ์ประมวลผลทั้งหลายในไฟร์วอลล์จะต้องถูกออกแบบมา เพื่อใช้งานทางด้านเน็ตเวิร์ค และซิเคียวริตี้ เพื่อเพียงพอต่อการใช้งานต่างๆ ในไฟร์วอลล์ทั้งการระบุและควบคุม แอพพลิเคชั่น, การทำงาน VPN, การทำ Networking, และการทำ Content Scanning*
บทสรุป
ในปัจจุบันแอพพลิเคชั่น และผู้ใช้งานได้มีการเปลี่ยนแปลงไปอย่างมาก การนำแอพพลิเคชั่นมาใช้ของผู้ใช้งานอาจนำมาซึ่งภัยคุกคามต่อระบบโดยรวม อีกทั้งองค์กรยังต้องคำนึงถึงความสมดุลระหว่างการอนญาตไห้ผู้ใช้งานได้ใช้แอพพลิเคชั่นส่วนตัว (Social Networks Application, etc) และการควบคุมให้ผู้ใช้งานใช้แอพพลิเคชั่นเพื่อธุรกิจขององค์กร รามถึงการป้องกันภัยคุมคามที่มากับการใช้งานทั้งสองแบบด้วย
ดังนั้นการกำหนด Policy ของไฟร์วอลล์จะต้องช่วยให้เกิดประสิทธิภาพในการทำงานโดยรวม และ มีความปลอดภัยสูงสุด โดยเราสามารถนำ 10 หัวข้อที่กล่าวมาเป็นข้อมูลในการตัดสินใจได้
สอบถามข้อมูลเพิ่มเติมได้ที่ บริษัท ทรานซิสชั่น ซิสเต็มส์ แอนด์ เน็ทเวอร์คส (ประเทศไทย) จำกัด ผู้แทนจำหน่ายผลิตภัณฑ์พาโล อัลโต เน็ตเวิร์กส์ โทรศัพท์ 0-2694-1421-3 หรือ www.transition-asia.com, www.paloaltonetworks.com