Firewall sandwich

Firewall sandwich ผ้จู ดั ทำ 1.นำงสำวธญั วรรณ พนั ธ์ุเณร 2.นำยรัฐณกร เอกอศั ดร 3.นำยธนวฒั น์ หลวงสริ ิธนสนิ 4.นำยพีรพงษ์ เวียงนนท์

กำรออกแบบพืน้ ฐำนของ Firewall sandwichแซนด์บอ็ กซ์ไฟร์วอลล์ช่ือแสดงถงึ กำรออกแบบพืน้ ฐำนที่ใช้สำหรับกำรใช้งำนไฟร์วอลล์สว่ นใหญ่ที่โหลดบำลำนซ์เนื่องจำกไฟร์วอลล์เองมกั ไม่คอ่ ยมีจดุ ม่งุ หมำยในกำรเช่ือมตอ่ กบั ไคลเอ็นต์กำรเข้ำชมจะต้องผ่ำนทำงไฟร์วอลล์ทงั้ สองทิศทำงทงั้ ภำยในและภำยนอก อปุ กกรณ์ ADCจำเปก็นต้องใช้ทงั้ สองด้ำนของไฟร์วอลล์เชน่ ขนมปกังรอบ ๆ บรรจแุ ซนวิชมีปกระเดน็ ท่ีนำ่ สนใจหลำยอยำ่ งที่ควรทรำบเกี่ยวกบั กำรออกแบบนี ้ขนั้ แรกสงั เกตวำ่ ยกเว้นอินเทอร์เฟซภำยนอกของเรำเตอร์อินเทอร์เน็ตโครงสร้ำงพืน้ ฐำนทงั้ หมดถกู สร้ำงขนึ ้ ในพืน้ ท่ีทอ่ี ยู่ IP ที่ไมส่ ำมำรถกำหนดเส้นทำงได้ ซง่ึ ทำให้กำรโจมตีเครือขำ่ ยเกิดขนึ ้ ได้ยำกมำกจำกอินเทอร์เนต็

กำรออกแบบ Firewall sandwich

ปกระกำรท่ีสองโปกรดทรำบว่ำเซิร์ฟเวอร์เสมือนบนคู่ ADC # 1 อยทู่ ่ีพอร์ต 0 พอร์ต 0 เปก็นชวเลขสำหรับ \"พอร์ตทงั้ หมด\"(เหมือน 0.0.0.0 คอื กำรชวเลขสำหรับเครือข่ำยทงั้ หมด) แม้ว่ำคณุ จะสำมำรถกำหนดค่ำเซิร์ฟเวอร์เสมือนได้หลำยพอร์ตที่แต่ละพอร์ตท่ีคณุ ต้องกำรรับกำรเข้ำชมและเพียงแคบ่ ล็อกกำรรับสง่ ข้อมลู อ่ืน ๆ ทงั้ หมดท่ี ADC โดยใช้พอร์ต 0 จะลดปกริมำณกำรกำหนดค่ำที่จำเปก็นหำกและเมื่อคณุ เพิ่มบริกำรใหม่ นอกจำกนีโ้ ดยกำรปกิดกนั้ กำรจรำจรก่อนไฟร์วอลล์ไฟร์วอลล์จะบนั ทกึ(หรือ IDS ท่ีเช่ือมโยงอย่)ู ไมม่ ีภำพท่ีสมบรู ณ์ของกำรเข้ำชมที่ถกู สง่ ไปกยงั ไซต์ของคณุ คู่ ADC # 2 มีเซริ ์ฟเวอร์เสมือนที่เฉพำะเจำะจงสำหรับกำรรับสง่ ข้อมลู พอร์ต 80 เวบ็ เนื่องจำกมีกำรกระจำยกำรรับสง่ ข้อมลู ไปกยงั เว็บเซิร์ฟเวอร์ที่ใช้พอร์ต 80ท่ีด้ำนหลงั คณุ สำมำรถใช้พอร์ต 0 ได้อยำ่ งงำ่ ยดำย แตก่ ำรใช้งำนที่ จำกดั มำกขนึ ้ ก็คอื กำรปกฏิบตั ิทวั่ ไปก,สดุ ท้ำยถ้ำคณุ มองไปกทเ่ี กตเวย์ (GW) ของคู่ ADC # 2 คณุ จะสงั เกตเห็นวำ่ เปก็นพลู หรือ \"เซิร์ฟเวอร์เสมือนแบบย้อนหลงั \"ท่ีกระจำยกำรรับสง่ ข้อมลู ไปกทวั่ ทงั้ 3 ไฟร์วอลล์ขำออก นีจ้ ะให้เส้นทำงขำออกทมี่ ีปกระสิทธิภำพสงู ในกรณีของควำมล้มเหลวไฟร์วอลล์หลงั จำกกำรเช่ือมตอ่ ครัง้ แรก; อยำ่ งไรก็ตำมคณุ อำจมีปกัญหำกบั กำรกำหนดเส้นทำงแบบไม่สมมำตร(ดสู ว่ น Asymmetric Routing ในเอกสำรนีใ้ นภำยหลงั )

คณุ สำมำรถปกรับใช้และกำหนดคำ่ แซนวชิ ไฟร์วอลล์ Dell SonicWALL ™เพ่ือปกรับปกรุงควำมพร้อมใช้งำนควำมยืดหยนุ่และควำมสำมำรถในกำรจดั กำรผำ่ นโครงสร้ำงพืน้ ฐำนด้ำนไอที กำรใช้งำน Sandwich ไฟร์วอลล์มีคณุ สมบตั ิดงั ตอ่ ไปกนี:้• ควำมสำมำรถในกำรปกรับขนำดได้ - เพ่ิมควำมจมุ ำกขนึ ้ เท่ำท่ีคณุ ไปกกำรนำอปุ กกรณ์ท่ีมีอย่มู ำใช้ซำ้• ควำมซำ้ ซ้อนและควำมยืดหย่นุ – สว่ นปกระกอบหลกั และรอง• กำรอพั เกรดแบบอินไลน์ - อพั เกรดไฟร์วอลล์และสวทิ ช์โดยไม่ต้องปกิดระบบ• จดุ เดียวในกำรจดั กำร - จดั กำรนโยบำยสำหรับกลมุ่ และไฟร์วอลล์หลำยกลมุ่• บริกำรรักษำควำมปกลอดภยั แบบเตม็ รูปกแบบ - รวมถึงควำมสำมำรถของ DPI-SSLกำรปกรับใช้และกำรกำหนดค่ำ Sandwich Firewall สำมำรถใช้งำนได้โดยใช้อปุ กกรณ์และบริกำรที่สนบั สนนุ ตอ่ ไปกนี:้• สวติ ช์ชดุ Dell Force10 S เช่น S5000, S4810, S4048 หรือ S6000 ท่ีใช้ FTOS v9.8 +• เครื่องใช้ไฟฟ้ ำ Dell SonicWALL SuperMassive series• บริกำร Dell SonicWALL เชน่ GAV, IPS, ASPR, DPI-SSL และ CFS ร่วมกบั Single Sign-On All in Wire Mode

ข้อสรุปแม้ว่ำกำรกำหนดคำ่ ท่ีแสดงในเอกสำรนีเ้ปก็นตวั อย่ำงที่ง่ำยท่ีสดุ ของตวั เลือกกำรตดิ ตงั้ ท่ีมีอยนู่ บั ร้อยตวั แตก่ ็เพียงพอท่ีจะแสดงถึงปกระโยชน์ของกำรปกรับใช้ไฟร์วอลล์ที่อย่เู บอื ้ งหลงั ตวั ควบคมุ กำรจดั เตรียมแอพพลิเคชนั กำรใช้งำนของคณุ จะขนึ ้ อย่กู บัควำมต้องกำรเฉพำะขององค์กรและโครงสร้ำงพืน้ ฐำนที่มีอย่ตู ลอดจนกำรได้มำกำรดำเนินงำนและกำรพิจำรณำค่ำใช้จำ่ ยในกำรจดั กำรแนวคดิ พืน้ ฐำนของแซนวชิ ไฟร์วอลล์นีส้ ำมำรถใช้เพื่อจดั กำรกำรรับสง่ ข้อมลู ผ่ำนอปุ กกรณ์โปกร่งใสและกึ่งโปกร่งใสได้หลำยแบบเชน่ stateful หรือไม่เช่นเครื่องเร่ง SSL, IDS / IPS และเรำเตอร์และพร็อกซเี ซริ ์ฟเวอร์ – อปุ กกรณ์แบบอินไลน์ท่ีต้องกำรควำมพร้อมใช้งำน, และกำรจดั กำร