ជញ្ជាំងភ្លើង ឬជញ្ជាំងភ្លើង គឺជាសំណុំនៃផ្នែករឹង ឬសូហ្វវែរដែលគ្រប់គ្រង និងត្រងកញ្ចប់បណ្តាញដែលឆ្លងកាត់វានៅកម្រិតផ្សេងៗនៃគំរូ OSI ស្របតាមច្បាប់ដែលបានបញ្ជាក់។
ភារកិច្ចចម្បងនៃជញ្ជាំងភ្លើងគឺដើម្បីការពារបណ្តាញកុំព្យូទ័រឬថ្នាំងបុគ្គលពីការចូលដោយគ្មានការអនុញ្ញាត។ ផងដែរ ជារឿយៗជញ្ជាំងភ្លើងត្រូវបានគេហៅថាតម្រង ដោយសារភារកិច្ចចម្បងរបស់ពួកគេគឺមិនត្រូវអនុញ្ញាតឱ្យឆ្លងកាត់ (តម្រង) កញ្ចប់ព័ត៌មានដែលមិនបំពេញតាមលក្ខណៈវិនិច្ឆ័យដែលបានកំណត់ក្នុងការកំណត់រចនាសម្ព័ន្ធ (រូបភាព 6.1) ។
ជញ្ជាំងភ្លើងមានឈ្មោះជាច្រើន។ សូមក្រឡេកមើលពួកគេ។
ជញ្ជាំងភ្លើង (អាឡឺម៉ង់៖ Brandmauer) គឺជាពាក្យដែលខ្ចីពីភាសាអាឡឺម៉ង់ ដែលជា analogue នៃជញ្ជាំងភ្លើងភាសាអង់គ្លេសក្នុងអត្ថន័យដើមរបស់វា (ជញ្ជាំងដែលបំបែកអគារដែលនៅជាប់គ្នា ការពារប្រឆាំងនឹងការរីករាលដាលនៃភ្លើង)។ គួរឱ្យចាប់អារម្មណ៍នៅក្នុងវិស័យបច្ចេកវិទ្យាកុំព្យូទ័រពាក្យ "ជញ្ជាំងភ្លើង" ត្រូវបានប្រើជាភាសាអាឡឺម៉ង់។
ជញ្ជាំងភ្លើង ជញ្ជាំងភ្លើង ជញ្ជាំងភ្លើង - បង្កើតឡើងដោយការបកប្រែជាភាសាអង់គ្លេស ជញ្ជាំងភ្លើង ដែលស្មើនឹងពាក្យថាជញ្ជាំងភ្លើង បច្ចុប្បន្នមិនមែនជាពាក្យកម្ចីផ្លូវការជាភាសារុស្សីទេ។
Fig.6.1 ការដាក់ធម្មតានៃ ME នៅក្នុងបណ្តាញសាជីវកម្ម
មានជញ្ជាំងភ្លើងពីរប្រភេទផ្សេងគ្នាដែលប្រើជារៀងរាល់ថ្ងៃនៅលើអ៊ីនធឺណិតទំនើប។ ប្រភេទទីមួយត្រូវបានគេហៅថាត្រឹមត្រូវជាង រ៉ោតទ័រតម្រងកញ្ចប់។ ប្រភេទនៃជញ្ជាំងភ្លើងនេះដំណើរការលើម៉ាស៊ីនដែលភ្ជាប់ទៅបណ្តាញជាច្រើន ហើយអនុវត្តសំណុំនៃច្បាប់ចំពោះកញ្ចប់ព័ត៌មាននីមួយៗដែលកំណត់ថាតើត្រូវបញ្ជូនបន្តកញ្ចប់ព័ត៌មានឬរារាំងវា។ ប្រភេទទីពីរ ដែលគេស្គាល់ថាជាម៉ាស៊ីនមេប្រូកស៊ី ត្រូវបានអនុវត្តជាដេមិនដែលអនុវត្តការផ្ទៀងផ្ទាត់ និងការបញ្ជូនបន្តកញ្ចប់ព័ត៌មាន ដែលអាចធ្វើទៅបាននៅលើម៉ាស៊ីនដែលមានការតភ្ជាប់បណ្តាញច្រើន ដែលការបញ្ជូនបន្តកញ្ចប់ព័ត៌មានត្រូវបានបិទនៅក្នុងខឺណែល។
ពេលខ្លះជញ្ជាំងភ្លើងទាំងពីរប្រភេទនេះត្រូវបានប្រើជាមួយគ្នា ដូច្នេះមានតែម៉ាស៊ីនជាក់លាក់មួយ (ដែលគេស្គាល់ថាជាម៉ាស៊ីនបម្រើ) ដែលត្រូវបានអនុញ្ញាតឱ្យផ្ញើកញ្ចប់ព័ត៌មានតាមរយៈរ៉ោតទ័រចម្រោះទៅកាន់បណ្តាញខាងក្នុង។ សេវាប្រូកស៊ីដំណើរការលើម៉ាស៊ីនសុវត្ថិភាព ដែលជាធម្មតាមានសុវត្ថិភាពជាងយន្តការផ្ទៀងផ្ទាត់ធម្មតា។
ជញ្ជាំងភ្លើងមានរូបរាង និងទំហំខុសៗគ្នា ហើយពេលខ្លះវាគ្រាន់តែជាបណ្តុំនៃកុំព្យូទ័រផ្សេងៗគ្នាប៉ុណ្ណោះ។ នៅទីនេះ ជញ្ជាំងភ្លើងសំដៅលើកុំព្យូទ័រ ឬកុំព្យូទ័ររវាងបណ្តាញដែលជឿទុកចិត្ត (ឧទាហរណ៍ បណ្តាញខាងក្នុង) និងបណ្តាញដែលមិនគួរឱ្យទុកចិត្ត (ឧទាហរណ៍ អ៊ីនធឺណិត) ដែលត្រួតពិនិត្យចរាចរណ៍ទាំងអស់ឆ្លងកាត់រវាងពួកវា។ ជញ្ជាំងភ្លើងដែលមានប្រសិទ្ធភាពមានលក្ខណៈសម្បត្តិដូចខាងក្រោមៈ
· ការភ្ជាប់ទាំងអស់ត្រូវតែឆ្លងកាត់ជញ្ជាំងភ្លើង។ ប្រសិទ្ធភាពរបស់វាត្រូវបានកាត់បន្ថយយ៉ាងខ្លាំងប្រសិនបើមានផ្លូវបណ្តាញជំនួស - ចរាចរណ៍ដែលគ្មានការអនុញ្ញាតនឹងត្រូវបានបញ្ជូនដោយឆ្លងកាត់ជញ្ជាំងភ្លើង។
· ជញ្ជាំងភ្លើងអនុញ្ញាតតែចរាចរណ៍ដែលមានការអនុញ្ញាតប៉ុណ្ណោះ។ ប្រសិនបើវាមិនអាចបែងចែកយ៉ាងច្បាស់រវាងចរាចរណ៍ដែលមានការអនុញ្ញាត និងគ្មានការអនុញ្ញាត ឬប្រសិនបើវាត្រូវបានកំណត់រចនាសម្ព័ន្ធដើម្បីអនុញ្ញាតឱ្យមានការតភ្ជាប់គ្រោះថ្នាក់ ឬមិនចាំបាច់ នោះអត្ថប្រយោជន៍របស់វាត្រូវបានកាត់បន្ថយយ៉ាងខ្លាំង។ នៅពេលដែលជញ្ជាំងភ្លើងបរាជ័យ ឬផ្ទុកលើសទម្ងន់ វាគួរតែប្តូរទៅស្ថានភាពបរាជ័យ ឬបិទជានិច្ច។ វាជាការប្រសើរក្នុងការកាត់ការតភ្ជាប់ជាជាងទុកប្រព័ន្ធដែលមិនមានការការពារ។
· ជញ្ជាំងភ្លើងត្រូវតែទប់ទល់នឹងការវាយប្រហារដោយខ្លួនវា ព្រោះមិនមានឧបករណ៍បន្ថែមណាមួយត្រូវបានដំឡើងដើម្បីការពារវាទេ។
ជញ្ជាំងភ្លើងអាចប្រៀបធៀបទៅនឹងសោនៅលើទ្វារខាងមុខរបស់អ្នក។ វាអាចមានសុវត្ថិភាពបំផុតនៅក្នុងពិភពលោក ប៉ុន្តែប្រសិនបើទ្វារមិនត្រូវបានចាក់សោទេ អ្នកឈ្លានពានអាចបើកវាបានយ៉ាងងាយស្រួល។ ជញ្ជាំងភ្លើងការពារបណ្តាញពីការចូលដោយគ្មានការអនុញ្ញាត ដូចជាសោការពារច្រកចូលបន្ទប់។ តើអ្នកនឹងទុករបស់មានតម្លៃនៅផ្ទះប្រសិនបើសោទ្វារមុខរបស់អ្នកមិនមានសុវត្ថិភាព?
ជញ្ជាំងភ្លើងគ្រាន់តែជាធាតុមួយនៃស្ថាបត្យកម្មសុវត្ថិភាពទាំងមូល។ ទោះយ៉ាងណាក៏ដោយ វាដើរតួនាទីយ៉ាងសំខាន់ក្នុងរចនាសម្ព័ន្ធបណ្តាញ ហើយដូចឧបករណ៍ផ្សេងទៀតដែរ វាមានគុណសម្បត្តិ និងគុណវិបត្តិរបស់វា។
អត្ថប្រយោជន៍ Firewall៖
· ជញ្ជាំងភ្លើងគឺជាមធ្យោបាយដ៏ល្អមួយក្នុងការអនុវត្តគោលនយោបាយសន្តិសុខរបស់ក្រុមហ៊ុន។ ពួកគេគួរតែត្រូវបានកំណត់រចនាសម្ព័ន្ធដើម្បីកំណត់ការតភ្ជាប់ដោយផ្អែកលើគំនិតរបស់អ្នកគ្រប់គ្រងលើបញ្ហានេះ។
· ជញ្ជាំងភ្លើងដាក់កម្រិតការចូលប្រើសេវាកម្មមួយចំនួន។ ឧទាហរណ៍ ការចូលប្រើជាសាធារណៈទៅកាន់ម៉ាស៊ីនមេគេហទំព័រអាចត្រូវបានអនុញ្ញាត ប៉ុន្តែ telnet និងសេវាកម្មមិនសាធារណៈផ្សេងទៀតអាចមិនត្រូវបានអនុញ្ញាតទេ។ ជញ្ជាំងភ្លើងភាគច្រើនផ្តល់នូវការចូលប្រើជាជម្រើសតាមរយៈការផ្ទៀងផ្ទាត់។
· គោលបំណងនៃជញ្ជាំងភ្លើងគឺជាក់លាក់ណាស់ ដូច្នេះមិនចាំបាច់មានការសម្របសម្រួលរវាងសុវត្ថិភាព និងលទ្ធភាពប្រើប្រាស់នោះទេ។
· ជញ្ជាំងភ្លើងគឺជាឧបករណ៍សវនកម្មដ៏ល្អ។ ដោយមានទំហំផ្ទុករឹងគ្រប់គ្រាន់ឬការគាំទ្រការកត់ត្រាពីចម្ងាយ ពួកគេអាចកត់ត្រាព័ត៌មានអំពីចរាចរណ៍ដែលឆ្លងកាត់។
· ជញ្ជាំងភ្លើងមានសមត្ថភាពល្អណាស់សម្រាប់ការជូនដំណឹងដល់បុគ្គលិកអំពីព្រឹត្តិការណ៍ជាក់លាក់។
គុណវិបត្តិនៃជញ្ជាំងភ្លើង៖
· ជញ្ជាំងភ្លើងមិនរារាំងអ្វីដែលត្រូវបានអនុញ្ញាតទេ។ ពួកគេអនុញ្ញាតឱ្យមានការតភ្ជាប់ធម្មតាពីកម្មវិធីដែលមានការអនុញ្ញាត ប៉ុន្តែប្រសិនបើកម្មវិធីបង្កការគំរាមកំហែង ជញ្ជាំងភ្លើងនឹងមិនអាចការពារការវាយប្រហារដោយចាត់ទុកការភ្ជាប់ជាការអនុញ្ញាតនោះទេ។ ឧទាហរណ៍ ជញ្ជាំងភ្លើងអនុញ្ញាតឱ្យអ៊ីមែលឆ្លងកាត់ម៉ាស៊ីនមេ ប៉ុន្តែមិនអាចរកឃើញមេរោគនៅក្នុងសារនោះទេ។
· ប្រសិទ្ធភាពនៃជញ្ជាំងភ្លើងអាស្រ័យលើច្បាប់ដែលពួកគេត្រូវបានកំណត់រចនាសម្ព័ន្ធដើម្បីអនុវត្ត។ ច្បាប់មិនគួររលុងពេកទេ។
· ជញ្ជាំងភ្លើងមិនការពារការវាយប្រហារផ្នែកវិស្វកម្មសង្គម ឬការវាយប្រហារដោយអ្នកប្រើប្រាស់ដែលមានការអនុញ្ញាត ដែលប្រើប្រាស់អាសយដ្ឋានរបស់គាត់ដោយចេតនា និងព្យាបាទឡើយ។
· ជញ្ជាំងភ្លើងមិនអាចទប់ទល់នឹងការអនុវត្តការគ្រប់គ្រងមិនល្អ ឬគោលនយោបាយសុវត្ថិភាពដែលបានរចនាមិនល្អនោះទេ។
· ជញ្ជាំងភ្លើងមិនការពារការវាយប្រហារទេ លុះត្រាតែចរាចរណ៍ឆ្លងកាត់ពួកវា។
មនុស្សមួយចំនួនបានទស្សន៍ទាយការបញ្ចប់នៃយុគសម័យនៃជញ្ជាំងភ្លើងដែលមានការលំបាកក្នុងការបែងចែករវាងចរាចរណ៍កម្មវិធីដែលមានការអនុញ្ញាត និងគ្មានការអនុញ្ញាត។ កម្មវិធីជាច្រើន ដូចជាការផ្ញើសារភ្លាមៗ កំពុងក្លាយជាឧបករណ៍ចល័ត និងច្រកច្រើនដែលត្រូវគ្នា។ វិធីនេះ ពួកគេអាចឆ្លងកាត់ជញ្ជាំងភ្លើងតាមរយៈច្រកដែលបើកទៅកាន់សេវាកម្មដែលមានការអនុញ្ញាតផ្សេងទៀត។ លើសពីនេះ កម្មវិធីកាន់តែច្រើនកំពុងបញ្ជូនបន្តចរាចរណ៍តាមរយៈច្រកដែលមានការអនុញ្ញាតផ្សេងទៀត ដែលទំនងជាអាចចូលដំណើរការបាន។ ឧទាហរណ៍នៃកម្មវិធីពេញនិយមបែបនេះគឺ HTTP-Tunnel (www.http-tunnel.com) និង SocksCap (www.socks.permeo.com)។ ជាងនេះទៅទៀត កម្មវិធីកំពុងត្រូវបានបង្កើតឡើងជាពិសេសដើម្បីឆ្លងកាត់ជញ្ជាំងភ្លើង ដូចជាកម្មវិធីបញ្ជាកុំព្យូទ័រពីចម្ងាយ GoToMyPC (www.gotomypc.com) ជាដើម។
ទោះជាយ៉ាងណាក៏ដោយ ជញ្ជាំងភ្លើងមិនរលត់ដោយគ្មានការប្រយុទ្ធឡើយ។ ការចេញផ្សាយកម្មវិធីបច្ចុប្បន្នពីអ្នកលក់ធំៗមានឧបករណ៍ការពារការឈ្លានពានកម្រិតខ្ពស់ និងសមត្ថភាពការពារស្រទាប់កម្មវិធី។ ជញ្ជាំងភ្លើងទាំងនេះរកឃើញ និងត្រងចរាចរដែលគ្មានការអនុញ្ញាត ដូចជាកម្មវិធីផ្ញើសារភ្លាមៗ ដែលព្យាយាមជ្រៀតចូលច្រកដែលបើកសម្រាប់សេវាកម្មដែលមានការអនុញ្ញាតផ្សេងទៀត។ លើសពីនេះ ជញ្ជាំងភ្លើងឥឡូវនេះប្រៀបធៀបលទ្ធផលប្រតិបត្តិការទៅនឹងស្តង់ដារពិធីការដែលបានបោះពុម្ពផ្សាយ និងសញ្ញានៃសកម្មភាពផ្សេងៗ (ស្រដៀងនឹងកម្មវិធីកំចាត់មេរោគ) ដើម្បីស្វែងរក និងទប់ស្កាត់ការវាយប្រហារដែលមាននៅក្នុងកញ្ចប់ព័ត៌មានដែលបានបញ្ជូន។ ដូច្នេះហើយ ពួកគេនៅតែជាមធ្យោបាយចម្បងក្នុងការការពារបណ្តាញ។ ទោះជាយ៉ាងណាក៏ដោយ ប្រសិនបើការការពារកម្មវិធីដែលផ្តល់ដោយជញ្ជាំងភ្លើងមិនគ្រប់គ្រាន់ ឬមិនអាចបែងចែកបានត្រឹមត្រូវរវាងចរាចរណ៍ដែលមានការអនុញ្ញាត និងគ្មានការអនុញ្ញាតនោះ វិធីសាស្ត្រសុវត្ថិភាពទូទាត់ជំនួសគួរតែត្រូវបានពិចារណា។
ជញ្ជាំងភ្លើងអាចជារ៉ោតទ័រ កុំព្យូទ័រផ្ទាល់ខ្លួន ម៉ាស៊ីនដែលបានរចនាយ៉ាងពិសេស ឬបណ្តុំនៃម៉ាស៊ីនដែលបានកំណត់រចនាសម្ព័ន្ធជាពិសេសដើម្បីការពារបណ្តាញឯកជនពីពិធីការ និងសេវាកម្មដែលអាចប្រើដោយព្យាបាទនៅខាងក្រៅបណ្តាញដែលអាចទុកចិត្តបាន។
វិធីសាស្ត្រការពារអាស្រ័យលើ Firewall ខ្លួនវាផ្ទាល់ ក៏ដូចជាគោលការណ៍ ឬច្បាប់ដែលត្រូវបានកំណត់រចនាសម្ព័ន្ធនៅលើវា។ មានបច្ចេកវិទ្យា Firewall ចំនួន 4 ដែលកំពុងប្រើប្រាស់សព្វថ្ងៃនេះ៖
· តម្រងបាច់។
· ច្រកផ្លូវកម្មវិធី។
·ច្រកទ្វារកម្រិតរង្វិលជុំ។
· ឧបករណ៍ត្រួតពិនិត្យកញ្ចប់ព័ត៌មានដែលអាចកែសម្រួលបាន។
មុននឹងពិនិត្យមើលមុខងាររបស់ជញ្ជាំងភ្លើង សូមមើលឈុតត្រួតពិនិត្យការបញ្ជូន និងពិធីការអ៊ីនធឺណិត (TCP/IP)។
TCP/IP ផ្តល់នូវវិធីសាស្រ្តសម្រាប់ផ្ទេរទិន្នន័យពីកុំព្យូទ័រមួយទៅកុំព្យូទ័រមួយទៀតតាមបណ្តាញ។ គោលបំណងនៃជញ្ជាំងភ្លើងគឺដើម្បីគ្រប់គ្រងការបញ្ជូនកញ្ចប់ព័ត៌មាន TCP/IP រវាងម៉ាស៊ីន និងបណ្តាញ។
TCP/IP គឺជាសំណុំនៃពិធីការ និងកម្មវិធីដែលអនុវត្តមុខងារផ្សេងគ្នាយោងទៅតាមស្រទាប់ជាក់លាក់នៃគំរូ Open Systems Interconnection (OSI) ។ TCP/IP បញ្ជូនដោយឯករាជ្យនូវប្លុកទិន្នន័យឆ្លងកាត់បណ្តាញក្នុងទម្រង់ជាកញ្ចប់ព័ត៌មាន ហើយស្រទាប់នីមួយៗនៃគំរូ TCP/IP បន្ថែមបឋមកថាទៅកញ្ចប់ព័ត៌មាន។ អាស្រ័យលើបច្ចេកវិទ្យាដែលបានប្រើ ជញ្ជាំងភ្លើងដំណើរការព័ត៌មានដែលមាននៅក្នុងបឋមកថាទាំងនេះសម្រាប់គោលបំណងគ្រប់គ្រងការចូលប្រើ។ ប្រសិនបើវាគាំទ្រការកំណត់ព្រំដែនកម្មវិធីជាច្រកផ្លូវកម្មវិធី នោះការគ្រប់គ្រងការចូលដំណើរការក៏អាចសម្រេចបានដោយទិន្នន័យដែលមាននៅក្នុងតួកញ្ចប់ព័ត៌មានផងដែរ។
ការគ្រប់គ្រងលំហូរព័ត៌មាន រួមមានការត្រងពួកវា និងបំប្លែងពួកវាដោយអនុលោមតាមវិធានដែលបានផ្តល់ឱ្យ។ ដោយហេតុថា តម្រងជញ្ជាំងភ្លើងទំនើបអាចត្រូវបានអនុវត្តនៅកម្រិតផ្សេងគ្នានៃគំរូសេចក្តីយោង Open Systems Interconnection (OSI) វាងាយស្រួលតំណាងឱ្យជញ្ជាំងភ្លើងជាប្រព័ន្ធតម្រង។ តម្រងនីមួយៗដោយផ្អែកលើការវិភាគនៃទិន្នន័យឆ្លងកាត់វាធ្វើការសម្រេចចិត្ត - ដើម្បីរំលងបន្ថែមទៀតបោះវានៅពីក្រោយអេក្រង់រារាំងឬបំលែងទិន្នន័យ (រូបភាព 6.2) ។
Fig.6.2 គ្រោងការណ៍តម្រងនៅក្នុង ME ។
មុខងារសំខាន់មួយរបស់ ME គឺការកត់ត្រាការផ្លាស់ប្តូរព័ត៌មាន។ ការរក្សាកំណត់ហេតុអនុញ្ញាតឱ្យអ្នកគ្រប់គ្រងកំណត់អត្តសញ្ញាណសកម្មភាព និងកំហុសដែលគួរឱ្យសង្ស័យនៅក្នុងការកំណត់រចនាសម្ព័ន្ធជញ្ជាំងភ្លើង ហើយសម្រេចចិត្តផ្លាស់ប្តូរច្បាប់ជញ្ជាំងភ្លើង។
ចំណាត់ថ្នាក់អេក្រង់
ចំណាត់ថ្នាក់ខាងក្រោមនៃ ME ត្រូវបានសម្គាល់ដោយអនុលោមតាមមុខងារនៅកម្រិតផ្សេងៗនៃ OSI៖
· អេក្រង់ស្ពាន (OSI កម្រិត 2) ។
· ត្រងរ៉ោតទ័រ (OSI កម្រិត 3 និង 4) ។
· ច្រកទ្វារកម្រិតសម័យ (OSI កម្រិត 5) ។
· ច្រកទ្វារកម្រិតកម្មវិធី (OSI កម្រិត 7) ។
·អេក្រង់ស្មុគស្មាញ (កម្រិត OSI 3-7) ។
រូបភាព 6.3 គំរូ OSI
ស្ពាន MEs
ជញ្ជាំងភ្លើងប្រភេទនេះ ដែលដំណើរការនៅស្រទាប់ទី 2 នៃគំរូ OSI ត្រូវបានគេស្គាល់ផងដែរថាជា ជញ្ជាំងភ្លើងថ្លា ជញ្ជាំងភ្លើងលាក់ និងជញ្ជាំងភ្លើងស្រមោល។ Bridged MEs បានបង្ហាញខ្លួននាពេលថ្មីៗនេះ និងតំណាងឱ្យទិសដៅដ៏ជោគជ័យក្នុងការអភិវឌ្ឍន៍បច្ចេកវិទ្យាជញ្ជាំងភ្លើង។ ពួកគេត្រងចរាចរនៅកម្រិតតំណទិន្នន័យ ពោលគឺឧ។ MEs ធ្វើការជាមួយស៊ុម។ អត្ថប្រយោជន៍នៃ MEs បែបនេះរួមមាន:
· មិនចាំបាច់ផ្លាស់ប្តូរការកំណត់បណ្តាញសាជីវកម្មទេ មិនចាំបាច់មានការកំណត់រចនាសម្ព័ន្ធបន្ថែមនៃចំណុចប្រទាក់បណ្តាញ ME ទេ។
·ដំណើរការខ្ពស់។ ដោយសារទាំងនេះគឺជាឧបករណ៍សាមញ្ញ ពួកគេមិនទាមទារធនធានច្រើនទេ។ ធនធានត្រូវបានទាមទារ ដើម្បីបង្កើនសមត្ថភាពរបស់ម៉ាស៊ីន ឬវិភាគទិន្នន័យឱ្យកាន់តែស៊ីជម្រៅ។
· តម្លាភាព។ គន្លឹះសម្រាប់ឧបករណ៍នេះគឺប្រតិបត្តិការរបស់វានៅស្រទាប់ទី 2 នៃម៉ូដែល OSI ។ នេះមានន័យថាចំណុចប្រទាក់បណ្តាញមិនមានអាសយដ្ឋាន IP ទេ។ លក្ខណៈពិសេសនេះគឺសំខាន់ជាងភាពងាយស្រួលនៃការដំឡើង។ បើគ្មានអាសយដ្ឋាន IP ឧបករណ៍នេះមិនអាចចូលប្រើបាននៅលើបណ្តាញ និងមើលមិនឃើញដោយពិភពខាងក្រៅ។ ប្រសិនបើ ME បែបនេះមិនមានទេ តើត្រូវវាយប្រហារវាដោយរបៀបណា? អ្នកវាយប្រហារនឹងមិនដឹងថាមានជញ្ជាំងភ្លើងត្រួតពិនិត្យកញ្ចប់នីមួយៗរបស់ពួកគេទេ។
តម្រងរ៉ោតទ័រ
រ៉ោតទ័រគឺជាម៉ាស៊ីនដែលបញ្ជូនកញ្ចប់ព័ត៌មានរវាងបណ្តាញពីរ ឬច្រើន។ រ៉ោតទ័រតម្រងកញ្ចប់ត្រូវបានរៀបចំកម្មវិធីដើម្បីប្រៀបធៀបកញ្ចប់ព័ត៌មាននីមួយៗជាមួយនឹងបញ្ជីច្បាប់មុននឹងសម្រេចចិត្តថាត្រូវបញ្ជូនបន្តឬអត់។
ជញ្ជាំងភ្លើងតម្រងកញ្ចប់ (ME ជាមួយតម្រងកញ្ចប់)
ជញ្ជាំងភ្លើងរក្សាបណ្តាញឱ្យមានសុវត្ថិភាពដោយត្រងការតភ្ជាប់បណ្តាញដោយផ្អែកលើបឋមកថា TCP/IP នៃកញ្ចប់ព័ត៌មាននីមួយៗ។ ពួកគេពិនិត្យបឋមកថាទាំងនេះ ហើយប្រើពួកវាដើម្បីអនុញ្ញាត និងបញ្ជូនកញ្ចប់ព័ត៌មានទៅកាន់គោលដៅរបស់វា ឬរារាំងវាដោយបោះចោល ឬបដិសេធវា (ឧ. ទម្លាក់កញ្ចប់ព័ត៌មាន និងជូនដំណឹងដល់អ្នកផ្ញើ)។
តម្រងកញ្ចប់បង្កើតភាពខុសគ្នាដោយផ្អែកលើទិន្នន័យខាងក្រោម៖
· អាសយដ្ឋាន IP ប្រភព;
អាសយដ្ឋាន IP គោលដៅ;
· ពិធីការបណ្តាញដែលបានប្រើ (TCP, UDP ឬ ICMP);
· ច្រកប្រភព TCP ឬ UDP;
· ច្រក TCP ឬ UDP គោលដៅ;
· ប្រភេទសារ ICMP (ប្រសិនបើពិធីការគឺ ICMP) ។
តម្រងកញ្ចប់ព័ត៌មានល្អក៏អាចពឹងផ្អែកលើព័ត៌មានដែលមិនមានដោយផ្ទាល់នៅក្នុងបឋមកថានៃកញ្ចប់ព័ត៌មាន ដូចជាចំណុចប្រទាក់ដែលកញ្ចប់ព័ត៌មានកំពុងត្រូវបានទទួល។ ជាសំខាន់ តម្រងកញ្ចប់ព័ត៌មានមានចំណុចប្រទាក់ដែលមិនគួរឱ្យទុកចិត្ត ឬ "កខ្វក់" សំណុំនៃតម្រង និងចំណុចប្រទាក់ដែលអាចទុកចិត្តបាន។ ផ្នែក "កខ្វក់" ជាប់នឹងបណ្តាញដែលមិនគួរឱ្យទុកចិត្ត ហើយទទួលចរាចរណ៍ជាមុនសិន។ នៅពេលដែលចរាចរណ៍ឆ្លងកាត់វា វាត្រូវបានដំណើរការទៅតាមសំណុំនៃតម្រងដែលប្រើដោយជញ្ជាំងភ្លើង (តម្រងទាំងនេះត្រូវបានគេហៅថាច្បាប់)។ អាស្រ័យលើពួកគេ ចរាចរណ៍ត្រូវបានទទួលយក និងបញ្ជូនបន្ថែមទៀតតាមរយៈចំណុចប្រទាក់ "ស្អាត" ទៅកាន់គោលដៅ ឬទម្លាក់ ឬបដិសេធ។ ចំណុចប្រទាក់ណាមួយ "កខ្វក់" ហើយមួយណា "ស្អាត" អាស្រ័យលើទិសដៅនៃការធ្វើដំណើរនៃកញ្ចប់ព័ត៌មានជាក់លាក់មួយ (តម្រងកញ្ចប់ព័ត៌មានគុណភាពអនុវត្តចំពោះចរាចរណ៍ចេញ និងចូល)។
យុទ្ធសាស្ត្រសម្រាប់អនុវត្តតម្រងកញ្ចប់ព័ត៌មានប្រែប្រួល ប៉ុន្តែមានបច្ចេកទេសជាមូលដ្ឋានដែលត្រូវអនុវត្តតាម។
· ការកសាងច្បាប់ - ពីជាក់លាក់បំផុតទៅទូទៅបំផុត។ តម្រងកញ្ចប់ព័ត៌មានភាគច្រើនដំណើរការដំណើរការពីបាតឡើងលើដោយប្រើសំណុំនៃច្បាប់ ហើយបញ្ឈប់នៅពេលរកឃើញការផ្គូផ្គង។ ការបញ្ចូលតម្រងជាក់លាក់បន្ថែមទៀតនៅផ្នែកខាងលើនៃសំណុំច្បាប់ ធ្វើឱ្យវាមិនអាចទៅរួចទេសម្រាប់ច្បាប់ទូទៅដើម្បីលាក់ច្បាប់ជាក់លាក់មួយបន្ថែមទៀតនៅខាងក្រោមសំណុំតម្រង។
· ដាក់ច្បាប់សកម្មបំផុតនៅផ្នែកខាងលើនៃសំណុំតម្រង។ ការគេចចេញពីកញ្ចប់ព័ត៌មានត្រូវការផ្នែកសំខាន់នៃពេលវេលាស៊ីភីយូ និង។ ដូចដែលបានរៀបរាប់ពីមុន តម្រងកញ្ចប់ព័ត៌មានឈប់ដំណើរការកញ្ចប់ព័ត៌មាន នៅពេលវារកឃើញថាវាត្រូវគ្នានឹងច្បាប់។ ការដាក់ច្បាប់ពេញនិយមនៅក្នុងទីតាំងទីមួយ ឬទីពីរ ជាជាងនៅក្នុងទីតាំងទី 30 ឬទី 31 រក្សាទុកពេលវេលា CPU ដែលនឹងត្រូវបានទាមទារដើម្បីដំណើរការបណ្តុំនៃច្បាប់ច្រើនជាង 30 ។ នៅពេលដំណើរការកញ្ចប់ព័ត៌មានរាប់ពាន់ក្នុងមួយពេលត្រូវបានទាមទារ ការសន្សំថាមពលស៊ីភីយូមិនគួរត្រូវបានធ្វេសប្រហែសឡើយ។
ការកំណត់ច្បាប់តម្រងកញ្ចប់ជាក់លាក់ និងត្រឹមត្រូវ គឺជាដំណើរការដ៏ស្មុគស្មាញមួយ។ គុណសម្បត្តិ និងគុណវិបត្តិនៃតម្រងកញ្ចប់គួរត្រូវបានវាយតម្លៃ។ នេះគឺជាអត្ថប្រយោជន៍មួយចំនួន។
·ដំណើរការខ្ពស់។ ការត្រងអាចត្រូវបានអនុវត្តក្នុងល្បឿនលីនេអ៊ែរដែលប្រៀបធៀបទៅនឹងល្បឿននៃ processors ទំនើប។
· សងត្រលប់។ តម្រងកញ្ចប់គឺមានតម្លៃថោកសមរម្យ ឬសូម្បីតែឥតគិតថ្លៃ។ រ៉ោតទ័រភាគច្រើនមានសមត្ថភាពត្រងកញ្ចប់បញ្ចូលទៅក្នុងប្រព័ន្ធប្រតិបត្តិការរបស់ពួកគេ។
· តម្លាភាព។ សកម្មភាពរបស់អ្នកប្រើប្រាស់ និងកម្មវិធីមិនចាំបាច់ត្រូវបានកែសម្រួល ដើម្បីធានាថាកញ្ចប់ព័ត៌មានឆ្លងកាត់តម្រងកញ្ចប់ព័ត៌មាន។
· សមត្ថភាពគ្រប់គ្រងចរាចរណ៍ទូលំទូលាយ។ តម្រងកញ្ចប់ព័ត៌មានសាមញ្ញអាចត្រូវបានប្រើដើម្បីទម្លាក់ចរាចរណ៍ដែលមិនចង់បានជាក់ស្តែងនៅតាមបរិវេណបណ្តាញ និងរវាងបណ្តាញរងខាងក្នុងផ្សេងៗគ្នា (ឧទាហរណ៍ ការប្រើរ៉ោតទ័រគែមដើម្បីទម្លាក់កញ្ចប់ព័ត៌មានដែលមានអាសយដ្ឋានប្រភពដែលត្រូវគ្នានឹងបណ្តាញខាងក្នុង (យើងកំពុងនិយាយអំពីកញ្ចប់ព័ត៌មានក្លែងក្លាយ) "ឯកជន" អាសយដ្ឋាន IP (RFC 1918) និងកញ្ចប់ព្យួរ)។
សូមក្រឡេកមើលគុណវិបត្តិនៃតម្រងកញ្ចប់។
· ការភ្ជាប់ដោយផ្ទាល់រវាងថ្នាំងដែលមិនគួរឱ្យទុកចិត្ត និងថ្នាំងដែលគួរឱ្យទុកចិត្តត្រូវបានអនុញ្ញាត។
·កម្រិតទាបនៃការធ្វើមាត្រដ្ឋាន។ នៅពេលដែលការកំណត់ច្បាប់កើនឡើង វាកាន់តែពិបាកដើម្បីជៀសវាងការតភ្ជាប់ "មិនចាំបាច់" ។ ជាមួយនឹងភាពស្មុគស្មាញនៃច្បាប់មកបញ្ហានៃការធ្វើមាត្រដ្ឋាន។ ប្រសិនបើអ្នកមិនអាចស្កេនបានរហ័សនូវច្បាប់ដែលបានកំណត់ដើម្បីមើលឥទ្ធិពលនៃការផ្លាស់ប្តូររបស់អ្នកទេ អ្នកនឹងត្រូវធ្វើឱ្យវាសាមញ្ញ។
· សមត្ថភាពក្នុងការបើកច្រកធំៗ។ ដោយសារលក្ខណៈថាមវន្តនៃពិធីការមួយចំនួន ច្រកធំៗត្រូវតែបើកដើម្បីឱ្យពិធីការដំណើរការបានត្រឹមត្រូវ។ ករណីដ៏អាក្រក់បំផុតនៅទីនេះគឺពិធីការ FTP ។ FTP ទាមទារការតភ្ជាប់ចូលពីម៉ាស៊ីនមេទៅម៉ាស៊ីនភ្ញៀវ ហើយតម្រងកញ្ចប់ព័ត៌មាននឹងត្រូវបើកច្រកជាច្រើន ដើម្បីអនុញ្ញាតឱ្យផ្ទេរទិន្នន័យបែបនេះ។
· ភាពងាយរងគ្រោះចំពោះការវាយប្រហារក្លែងបន្លំទិន្នន័យ។ ការវាយប្រហារជំនួសទិន្នន័យ (ការក្លែងបន្លំ) ជាធម្មតាពាក់ព័ន្ធនឹងការភ្ជាប់ព័ត៌មានមិនពិតទៅបឋមកថា TCP/IP ។ ការវាយប្រហារដែលពាក់ព័ន្ធនឹងអាសយដ្ឋានប្រភពក្លែងបន្លំ និងការបិទបាំងកញ្ចប់ព័ត៌មានក្រោមការក្លែងបន្លំថាជាផ្នែកមួយនៃការតភ្ជាប់ដែលបានបង្កើតឡើងរួចហើយគឺជារឿងធម្មតា។
Session Gateway
Circuit-level gateway គឺជាជញ្ជាំងភ្លើងដែលលុបបំបាត់អន្តរកម្មដោយផ្ទាល់រវាងម៉ាស៊ីនភ្ញៀវដែលមានការអនុញ្ញាត និងម៉ាស៊ីនខាងក្រៅ។ ដំបូងវាទទួលយកសំណើពីអតិថិជនដែលជឿទុកចិត្តសម្រាប់សេវាកម្មជាក់លាក់ ហើយបន្ទាប់ពីផ្ទៀងផ្ទាត់ថាវគ្គដែលបានស្នើសុំមានសុពលភាព បង្កើតការតភ្ជាប់ទៅម៉ាស៊ីនខាងក្រៅ។
បន្ទាប់ពីនេះ ច្រកទ្វារគ្រាន់តែចម្លងកញ្ចប់ព័ត៌មានក្នុងទិសដៅទាំងពីរដោយមិនត្រងពួកវា។ នៅកម្រិតនេះ វាអាចប្រើមុខងារបកប្រែអាសយដ្ឋានបណ្តាញ (NAT ការបកប្រែអាសយដ្ឋានបណ្តាញ)។ ការបកប្រែអាសយដ្ឋានខាងក្នុងត្រូវបានអនុវត្តទាក់ទងនឹងកញ្ចប់ព័ត៌មានទាំងអស់ដែលធ្វើដំណើរពីបណ្តាញខាងក្នុងទៅបណ្តាញខាងក្រៅ។ សម្រាប់កញ្ចប់ព័ត៌មានទាំងនេះ អាសយដ្ឋាន IP នៃកុំព្យូទ័របញ្ជូននៅលើបណ្តាញខាងក្នុងត្រូវបានបំប្លែងដោយស្វ័យប្រវត្តិទៅជាអាសយដ្ឋាន IP មួយដែលត្រូវបានផ្សារភ្ជាប់ជាមួយនឹងជញ្ជាំងភ្លើងការពារ។ ជាលទ្ធផល រាល់កញ្ចប់ព័ត៌មានដែលមានប្រភពចេញពីបណ្តាញខាងក្នុងត្រូវបានបញ្ជូនដោយជញ្ជាំងភ្លើង ដែលលុបបំបាត់ទំនាក់ទំនងផ្ទាល់រវាងបណ្តាញខាងក្នុង និងខាងក្រៅ។ អាសយដ្ឋាន IP gateway ស្រទាប់សម័យក្លាយជាអាសយដ្ឋាន IP សកម្មតែមួយគត់ដែលទៅដល់បណ្តាញខាងក្រៅ។
លក្ខណៈពិសេស៖
· ធ្វើការនៅកម្រិត 4 ។
· បញ្ជូនតការតភ្ជាប់ TCP ដោយផ្អែកលើច្រក។
·មានតំលៃថោកប៉ុន្តែមានសុវត្ថិភាពជាងតម្រងកញ្ចប់។
· ជាទូទៅតម្រូវឱ្យអ្នកប្រើប្រាស់ ឬកម្មវិធីកំណត់រចនាសម្ព័ន្ធដំណើរការពេញលេញ។
· ឧទាហរណ៍៖ SOCKS firewall ។
កម្មវិធីច្រកផ្លូវ
ច្រកទ្វារកម្រិតកម្មវិធី - ជញ្ជាំងភ្លើងដែលលុបបំបាត់អន្តរកម្មដោយផ្ទាល់រវាងអតិថិជនដែលមានការអនុញ្ញាត និងម៉ាស៊ីនខាងក្រៅ ដោយត្រងកញ្ចប់ព័ត៌មានចូល និងចេញទាំងអស់នៅកម្រិតកម្មវិធីនៃគំរូ OSI ។
កម្មវិធី Middleware ពាក់ព័ន្ធកម្មវិធីបញ្ជូនព័ត៌មានដែលបង្កើតដោយសេវាកម្ម TCP/IP ជាក់លាក់តាមរយៈច្រកផ្លូវ។
លទ្ធភាព៖
· ការកំណត់អត្តសញ្ញាណ និងការផ្ទៀងផ្ទាត់អ្នកប្រើប្រាស់ នៅពេលព្យាយាមបង្កើតការតភ្ជាប់តាមរយៈ ME ។
· ត្រងលំហូរសារ ឧទាហរណ៍ ការស្កេនមេរោគថាមវន្ត និងការអ៊ិនគ្រីបព័ត៌មានប្រកបដោយតម្លាភាព។
·ការចុះឈ្មោះព្រឹត្តិការណ៍និងការឆ្លើយតបទៅនឹងព្រឹត្តិការណ៍;
· ឃ្លាំងសម្ងាត់ទិន្នន័យដែលបានស្នើសុំពីបណ្តាញខាងក្រៅ។
នៅកម្រិតនេះ វាអាចប្រើមុខងារសម្របសម្រួល (ប្រូកស៊ី)។
សម្រាប់ពិធីការស្រទាប់កម្មវិធីនីមួយៗដែលបានពិភាក្សា អ្នកអាចបញ្ចូលអន្តរការីផ្នែកទន់ - អន្តរការី HTTP អន្តរការី FTP ។ល។ ឈ្មួញកណ្តាលនៃសេវាកម្ម TCP/IP នីមួយៗផ្តោតលើការដំណើរការសារ និងអនុវត្តមុខងារសុវត្ថិភាពជាក់លាក់ចំពោះសេវាកម្មនោះ។ ដូចគ្នានឹងច្រកផ្លូវកម្រិតសម័យដែរ ច្រកផ្លូវកម្មវិធីមួយស្ទាក់ចាប់កញ្ចប់ព័ត៌មានចូល និងចេញ ដោយប្រើភ្នាក់ងារពិនិត្យសមស្រប ចម្លង និងបញ្ជូនព័ត៌មានតាមរយៈច្រកទ្វារ និងមុខងារជាម៉ាស៊ីនមេអន្តរការី ដោយលុបបំបាត់ការភ្ជាប់ដោយផ្ទាល់រវាងបណ្តាញខាងក្នុង និងបណ្តាញខាងក្រៅ។ ទោះយ៉ាងណាក៏ដោយ ប្រូកស៊ីដែលប្រើដោយច្រកទ្វារកម្មវិធីមានភាពខុសគ្នាតាមវិធីសំខាន់ៗពីប្រូកស៊ីឆានែលនៃច្រកទ្វារសម័យ។ ទីមួយ ឈ្មួញកណ្តាលផ្លូវចេញចូលកម្មវិធីត្រូវបានភ្ជាប់ជាមួយម៉ាស៊ីនមេកម្មវិធីជាក់លាក់នៃកម្មវិធី) ហើយទីពីរ ពួកគេអាចត្រងលំហូរសារនៅស្រទាប់កម្មវិធីនៃគំរូ OSI ។
លក្ខណៈពិសេស៖
· ធ្វើការនៅកម្រិត 7 ។
·កម្មវិធីជាក់លាក់។
· មានតម្លៃថ្លៃល្មម និងយឺត ប៉ុន្តែមានសុវត្ថិភាពជាង និងអនុញ្ញាតឱ្យសកម្មភាពរបស់អ្នកប្រើប្រាស់ត្រូវបានកត់ត្រា។
· តម្រូវឱ្យអ្នកប្រើប្រាស់ ឬកម្មវិធីកំណត់រចនាសម្ព័ន្ធដំណើរការពេញលេញ។
· ឧទាហរណ៍៖ គេហទំព័រ (http) ប្រូកស៊ី។
កម្រិតអ្នកជំនាញ ME
ជញ្ជាំងភ្លើងអធិការកិច្ចរដ្ឋគឺជាជញ្ជាំងភ្លើងកម្រិតអ្នកជំនាញដែលពិនិត្យមាតិកានៃកញ្ចប់ព័ត៌មានដែលទទួលបាននៅកម្រិតបីនៃគំរូ OSI: បណ្តាញ វគ្គ និងកម្មវិធី។ កិច្ចការនេះប្រើក្បួនដោះស្រាយតម្រងកញ្ចប់ពិសេសដែលប្រៀបធៀបកញ្ចប់ព័ត៌មាននីមួយៗទៅនឹងគំរូដែលបានស្គាល់នៃកញ្ចប់ព័ត៌មានដែលបានអនុញ្ញាត។
លក្ខណៈពិសេស៖
· តម្រង 3 កម្រិត។
· ការត្រួតពិនិត្យភាពត្រឹមត្រូវនៅកម្រិត 4 ។
· កម្រិត 5 ការត្រួតពិនិត្យ។
· កម្រិតខ្ពស់នៃការចំណាយ សុវត្ថិភាព និងភាពស្មុគស្មាញ។
· ឧទាហរណ៍៖ CheckPoint Firewall-1.
ជញ្ជាំងភ្លើងទំនើបមួយចំនួនប្រើការរួមបញ្ចូលគ្នានៃវិធីសាស្រ្តខាងលើ និងផ្តល់នូវវិធីសាស្រ្តបន្ថែមក្នុងការការពារបណ្តាញ និងប្រព័ន្ធ។
"ផ្ទាល់ខ្លួន" ME
ថ្នាក់នៃជញ្ជាំងភ្លើងនេះអនុញ្ញាតឱ្យសន្តិសុខត្រូវបានពង្រីកបន្ថែមទៀតដោយអនុញ្ញាតឱ្យមានការគ្រប់គ្រងលើប្រភេទនៃមុខងារប្រព័ន្ធ ឬដំណើរការដែលមានសិទ្ធិចូលប្រើធនធានបណ្តាញ។ ជញ្ជាំងភ្លើងទាំងនេះអាចប្រើប្រភេទហត្ថលេខា និងលក្ខខណ្ឌផ្សេងៗដើម្បីអនុញ្ញាត ឬបដិសេធចរាចរណ៍។ នេះគឺជាលក្ខណៈទូទៅមួយចំនួននៃ MEs ផ្ទាល់ខ្លួន៖
· ការទប់ស្កាត់កម្រិតកម្មវិធី - អនុញ្ញាតឱ្យតែកម្មវិធី ឬបណ្ណាល័យមួយចំនួនដើម្បីអនុវត្តសកម្មភាពបណ្តាញ ឬទទួលយកការតភ្ជាប់ចូល
· ការទប់ស្កាត់ផ្អែកលើហត្ថលេខា - តាមដានចរាចរណ៍បណ្តាញឥតឈប់ឈរ និងទប់ស្កាត់ការវាយប្រហារដែលគេស្គាល់ទាំងអស់។ ការគ្រប់គ្រងបន្ថែមបង្កើនភាពស្មុគស្មាញនៃការគ្រប់គ្រងសុវត្ថិភាព ដោយសារតែប្រព័ន្ធមួយចំនួនធំដែលអាចការពារដោយជញ្ជាំងភ្លើងផ្ទាល់ខ្លួន។ វាក៏បង្កើនហានិភ័យនៃអំពើពុករលួយ និងភាពងាយរងគ្រោះ ដោយសារការកំណត់រចនាសម្ព័ន្ធមិនល្អ។
ថាមវន្ត ME
ជញ្ជាំងភ្លើងថាមវន្តរួមបញ្ចូលគ្នានូវជញ្ជាំងភ្លើងស្ដង់ដារ (ដែលបានរាយបញ្ជីខាងលើ) និងបច្ចេកទេសរកឃើញការឈ្លានពាន ដើម្បីផ្តល់នូវការទប់ស្កាត់ការភ្ជាប់បណ្តាញដែលផ្គូផ្គងនឹងហត្ថលេខាជាក់លាក់មួយ ខណៈពេលដែលអនុញ្ញាតឱ្យមានការតភ្ជាប់ពីប្រភពផ្សេងទៀតទៅកាន់ច្រកដូចគ្នា។ ឧទាហរណ៍ អ្នកអាចទប់ស្កាត់សកម្មភាពរបស់ពពួក Worm បណ្តាញដោយមិនរំខានដល់ចរាចរណ៍ធម្មតា។
ដ្យាក្រាមតភ្ជាប់ ME៖
· គ្រោងការណ៍ការពារបណ្តាញមូលដ្ឋានបង្រួបបង្រួម
· គ្រោងការណ៍នៃបណ្តាញរងបើកចំហដែលត្រូវបានការពារ និងមិនត្រូវបានការពារ
· គ្រោងការណ៍ជាមួយនឹងការការពារដាច់ដោយឡែកនៃបណ្តាញរងដែលបិទ និងបើក។
ដំណោះស្រាយដ៏សាមញ្ញបំផុតគឺ ជញ្ជាំងភ្លើងគ្រាន់តែការពារបណ្តាញមូលដ្ឋានពីបណ្តាញសកល។ ក្នុងពេលជាមួយគ្នានោះ ម៉ាស៊ីនមេ WWW ម៉ាស៊ីនមេ FTP ម៉ាស៊ីនមេសំបុត្រ និងម៉ាស៊ីនមេផ្សេងទៀតក៏ត្រូវបានការពារដោយជញ្ជាំងភ្លើងផងដែរ។ ក្នុងករណីនេះ ចាំបាច់ត្រូវយកចិត្តទុកដាក់យ៉ាងខ្លាំងក្នុងការទប់ស្កាត់ការជ្រៀតចូលទៅក្នុងស្ថានីយការពារនៃបណ្តាញមូលដ្ឋានដោយប្រើម៉ាស៊ីនមេ WWW ដែលងាយស្រួលចូលប្រើ។
Fig.6.4 គ្រោងការណ៍នៃការការពារបណ្តាញមូលដ្ឋានបង្រួបបង្រួម
ដើម្បីទប់ស្កាត់ការចូលទៅកាន់បណ្តាញមូលដ្ឋានដោយប្រើធនធានម៉ាស៊ីនមេ WWW វាត្រូវបានណែនាំឱ្យភ្ជាប់ម៉ាស៊ីនមេសាធារណៈនៅពីមុខជញ្ជាំងភ្លើង។ វិធីសាស្ត្រនេះមានសន្តិសុខខ្ពស់ជាងសម្រាប់បណ្តាញមូលដ្ឋាន ប៉ុន្តែកម្រិតសុវត្ថិភាពទាបជាងសម្រាប់ម៉ាស៊ីនមេ WWW និង FTP ។
រូបភាព 6.5 ដ្យាក្រាមនៃបណ្តាញរងដែលបានបិទ និងមិនត្រូវបានការពារ
ព័ត៌មានពាក់ព័ន្ធ។
បណ្តាញត្រូវការការការពារពីការគំរាមកំហែងពីខាងក្រៅ។ ការលួចទិន្នន័យ ការចូលប្រើប្រាស់ដោយគ្មានការអនុញ្ញាត និងការខូចខាតអាចប៉ះពាល់ដល់ប្រតិបត្តិការបណ្តាញ និងបណ្តាលឱ្យមានការខាតបង់ធ្ងន់ធ្ងរ។ ប្រើកម្មវិធី និងឧបករណ៍ពិសេសដើម្បីការពារខ្លួនអ្នកពីឥទ្ធិពលបំផ្លិចបំផ្លាញ។ នៅក្នុងការពិនិត្យឡើងវិញនេះយើងនឹងនិយាយអំពីជញ្ជាំងភ្លើងហើយមើលប្រភេទសំខាន់ៗរបស់វា។
គោលបំណងនៃជញ្ជាំងភ្លើង
ជញ្ជាំងភ្លើង (Firewalls) ឬជញ្ជាំងភ្លើងគឺជាវិធានការផ្នែករឹង និងផ្នែកទន់ដើម្បីការពារឥទ្ធិពលអវិជ្ជមានពីខាងក្រៅ។ ជញ្ជាំងភ្លើងដំណើរការដូចតម្រង៖ ពីលំហូរចរាចរណ៍ទាំងមូល មានតែចរាចរណ៍ដែលត្រូវបានអនុញ្ញាតប៉ុណ្ណោះដែលត្រូវបានរុះរើ។ នេះគឺជាខ្សែការពារទីមួយ រវាងបណ្តាញខាងក្នុង និងបណ្តាញខាងក្រៅ ដូចជាអ៊ីនធឺណិត។ បច្ចេកវិទ្យានេះត្រូវបានប្រើប្រាស់អស់រយៈពេល 25 ឆ្នាំ។
តម្រូវការសម្រាប់ជញ្ជាំងភ្លើងបានកើតឡើងនៅពេលដែលវាច្បាស់ថាគោលការណ៍នៃការតភ្ជាប់បណ្តាញពេញលេញលែងដំណើរការទៀតហើយ។ កុំព្យូទ័របានចាប់ផ្តើមលេចឡើងមិនត្រឹមតែនៅក្នុងសាកលវិទ្យាល័យ និងមន្ទីរពិសោធន៍ប៉ុណ្ណោះទេ។ ជាមួយនឹងការរីករាលដាលនៃកុំព្យូទ័រ និងអ៊ិនធឺណិត វាចាំបាច់ដើម្បីបំបែកបណ្តាញខាងក្នុងចេញពីបណ្តាញខាងក្រៅដែលមិនមានសុវត្ថិភាព ដើម្បីការពារខ្លួនអ្នកពីអ្នកឈ្លានពាន និងការពារកុំព្យូទ័ររបស់អ្នកពីការលួចចូល។
ដើម្បីការពារបណ្តាញសាជីវកម្ម ជញ្ជាំងភ្លើងផ្នែករឹងត្រូវបានដំឡើង - នេះអាចជាឧបករណ៍ដាច់ដោយឡែក ឬជាផ្នែកនៃរ៉ោតទ័រ។ ទោះជាយ៉ាងណាក៏ដោយការអនុវត្តនេះមិនតែងតែត្រូវបានអនុវត្តទេ។ វិធីជំនួសគឺត្រូវដំឡើងកម្មវិធីជញ្ជាំងភ្លើងនៅលើកុំព្យូទ័រដែលត្រូវការការការពារ។ ឧទាហរណ៍មួយគឺជញ្ជាំងភ្លើងដែលបានបង្កើតឡើងនៅក្នុងវីនដូ។
វាសមហេតុផលក្នុងការប្រើជញ្ជាំងភ្លើងកម្មវិធីនៅលើកុំព្យូទ័រយួរដៃរបស់ក្រុមហ៊ុនដែលអ្នកប្រើនៅលើបណ្តាញក្រុមហ៊ុនដែលមានសុវត្ថិភាព។ នៅខាងក្រៅជញ្ជាំងនៃអង្គការ អ្នកឃើញខ្លួនអ្នកនៅក្នុងបរិយាកាសដែលមិនមានការការពារ - ជញ្ជាំងភ្លើងដែលបានដំឡើងនឹងការពារអ្នកនៅពេលធ្វើដំណើរអាជីវកម្ម នៅពេលធ្វើការនៅក្នុងហាងកាហ្វេ និងភោជនីយដ្ឋាន។
របៀបដែលវាដំណើរការ ជញ្ជាំងភ្លើង
ការត្រងចរាចរណ៍កើតឡើងដោយផ្អែកលើច្បាប់សុវត្ថិភាពដែលបានបង្កើតជាមុន។ ចំពោះគោលបំណងនេះ តារាងពិសេសមួយត្រូវបានបង្កើតឡើងដែលការពិពណ៌នាអំពីទិន្នន័យដែលអាចទទួលយកបាន និងមិនអាចទទួលយកបានសម្រាប់ការបញ្ជូនត្រូវបានបញ្ចូល។ ជញ្ជាំងភ្លើងមិនអនុញ្ញាតឱ្យមានចរាចរណ៍ទេ ប្រសិនបើច្បាប់ទប់ស្កាត់ណាមួយពីតារាងត្រូវបានបង្កឡើង។
ជញ្ជាំងភ្លើងអាចបដិសេធ ឬអនុញ្ញាតឱ្យចូលប្រើដោយផ្អែកលើប៉ារ៉ាម៉ែត្រផ្សេងៗគ្នា៖ អាសយដ្ឋាន IP ឈ្មោះដែន ពិធីការ និងលេខច្រក ព្រមទាំងការរួមបញ្ចូលគ្នានៃពួកវា។
- អាសយដ្ឋាន IP ។ ឧបករណ៍នីមួយៗដែលប្រើពិធីការ IP មានអាសយដ្ឋានតែមួយគត់។ អ្នកអាចបញ្ជាក់អាសយដ្ឋាន ឬជួរជាក់លាក់ដើម្បីបញ្ឈប់ការប៉ុនប៉ងដើម្បីទទួលបានកញ្ចប់ព័ត៌មាន។ ឬផ្ទុយមកវិញ - ផ្តល់សិទ្ធិចូលប្រើតែរង្វង់ជាក់លាក់នៃអាសយដ្ឋាន IP ប៉ុណ្ណោះ។
- ច្រក។ ទាំងនេះគឺជាចំណុចដែលផ្តល់ឱ្យកម្មវិធីចូលទៅកាន់ហេដ្ឋារចនាសម្ព័ន្ធបណ្តាញ។ ឧទាហរណ៍ ពិធីការ ftp ប្រើច្រក 21 ហើយច្រក 80 ត្រូវបានបម្រុងទុកសម្រាប់កម្មវិធីដែលប្រើសម្រាប់ការរុករកគេហទំព័រ។ វាផ្តល់ឱ្យយើងនូវសមត្ថភាពក្នុងការទប់ស្កាត់ការចូលទៅកាន់កម្មវិធី និងសេវាកម្មមួយចំនួន។
- ឈ្មោះដែន។ អាសយដ្ឋានធនធានអ៊ីនធឺណិតក៏ជាប៉ារ៉ាម៉ែត្រតម្រងផងដែរ។ អ្នកអាចទប់ស្កាត់ចរាចរណ៍ពីគេហទំព័រមួយ ឬច្រើន។ អ្នកប្រើប្រាស់នឹងត្រូវបានការពារពីមាតិកាមិនសមរម្យ និងបណ្តាញពីផលប៉ះពាល់ដែលបង្កគ្រោះថ្នាក់។
- ពិធីការ។ ជញ្ជាំងភ្លើងត្រូវបានកំណត់រចនាសម្ព័ន្ធដើម្បីអនុញ្ញាតឱ្យចរាចរនៃពិធីការមួយ ឬរារាំងការចូលដំណើរការទៅកាន់មួយក្នុងចំណោមពួកវា។ ប្រភេទពិធីការបង្ហាញពីសំណុំនៃប៉ារ៉ាម៉ែត្រសុវត្ថិភាព និងភារកិច្ចដែលកម្មវិធីដែលវាប្រើអនុវត្ត។
ប្រភេទនៃ ITU
1. ម៉ាស៊ីនមេប្រូកស៊ី
ស្ថាបនិកម្នាក់នៃ ITU ដែលដើរតួជាច្រកសម្រាប់កម្មវិធីរវាងបណ្តាញខាងក្នុង និងខាងក្រៅ។ ម៉ាស៊ីនមេប្រូកស៊ីមានមុខងារផ្សេងទៀត រួមទាំងការការពារទិន្នន័យ និងឃ្លាំងសម្ងាត់។ លើសពីនេះទៀតពួកគេមិនអនុញ្ញាតឱ្យមានការតភ្ជាប់ដោយផ្ទាល់ពីខាងក្រៅព្រំដែនបណ្តាញ។ ការប្រើប្រាស់មុខងារបន្ថែមអាចដាក់ភាពតានតឹងហួសហេតុដល់ដំណើរការ និងកាត់បន្ថយការបញ្ជូន។
2. ជញ្ជាំងភ្លើងជាមួយនឹងការត្រួតពិនិត្យស្ថានភាពសម័យ
អេក្រង់ដែលមានសមត្ថភាពក្នុងការត្រួតពិនិត្យស្ថានភាពនៃវគ្គគឺជាបច្ចេកវិទ្យាដែលបានបង្កើតឡើងរួចហើយ។ ការសម្រេចចិត្តទទួលយក ឬទប់ស្កាត់ទិន្នន័យត្រូវបានជះឥទ្ធិពលដោយរដ្ឋ ច្រក និងពិធីការ។ កំណែបែបនេះត្រួតពិនិត្យសកម្មភាពទាំងអស់ភ្លាមៗបន្ទាប់ពីការតភ្ជាប់ត្រូវបានបើករហូតដល់វាត្រូវបានបិទ។ ប្រព័ន្ធសម្រេចថាតើត្រូវបិទចរាចរណ៍ឬអត់ ដោយផ្អែកលើច្បាប់ និងបរិបទដែលកំណត់ដោយអ្នកគ្រប់គ្រង។ ក្នុងករណីទី 2 ទិន្នន័យដែល ITU បានផ្តល់ពីការភ្ជាប់ពីមុនត្រូវបានយកមកពិចារណា។
3. ការគ្រប់គ្រងការគំរាមកំហែងបង្រួបបង្រួម ITU (UTM)
ឧបករណ៍ស្មុគស្មាញ។ តាមក្បួនជញ្ជាំងភ្លើងបែបនេះដោះស្រាយបញ្ហា 3 យ៉ាង៖
- តាមដានស្ថានភាពសម័យ;
- ការពារការឈ្លានពាន;
- ធ្វើការស្កេនប្រឆាំងមេរោគ។
ពេលខ្លះជញ្ជាំងភ្លើងដែលបានដំឡើងកំណែទៅកំណែ UTM រួមមានមុខងារផ្សេងទៀត ឧទាហរណ៍៖ ការគ្រប់គ្រងពពក។
4. Next-Generation Firewall (NGFW)
ការឆ្លើយតបទៅនឹងការគំរាមកំហែងទំនើប។ អ្នកវាយប្រហារកំពុងអភិវឌ្ឍបច្ចេកវិទ្យាវាយប្រហារឥតឈប់ឈរ ស្វែងរកភាពងាយរងគ្រោះថ្មីៗ កែលម្អមេរោគ និងធ្វើឱ្យវាកាន់តែពិបាកក្នុងការវាយលុកការវាយប្រហារកម្រិតកម្មវិធី។ ជញ្ជាំងភ្លើងបែបនេះមិនត្រឹមតែត្រងកញ្ចប់ព័ត៌មាន និងត្រួតពិនិត្យស្ថានភាពនៃវគ្គនោះទេ។ វាមានប្រយោជន៍ក្នុងការរក្សាសុវត្ថិភាពព័ត៌មាន ដោយសារលក្ខណៈពិសេសដូចខាងក្រោម៖
- ដោយគិតពីលក្ខណៈពិសេសកម្មវិធី ដែលធ្វើឱ្យវាអាចធ្វើទៅបានដើម្បីកំណត់អត្តសញ្ញាណ និងបន្សាបកម្មវិធីព្យាបាទ។
- ការការពារប្រឆាំងនឹងការវាយប្រហារបន្តពីប្រព័ន្ធឆ្លងមេរោគ;
- មូលដ្ឋានទិន្នន័យដែលបានធ្វើបច្ចុប្បន្នភាពដែលមានការពិពណ៌នាអំពីកម្មវិធី និងការគំរាមកំហែង។
- តាមដានចរាចរណ៍ដែលត្រូវបានអ៊ិនគ្រីបដោយប្រើពិធីការ SSL ។
5. ជញ្ជាំងភ្លើងជំនាន់ថ្មីជាមួយនឹងការការពារការគំរាមកំហែងសកម្ម
ប្រភេទនៃជញ្ជាំងភ្លើងនេះគឺជាកំណែប្រសើរឡើងនៃ NGFW ។ ឧបករណ៍នេះជួយការពារប្រឆាំងនឹងការគំរាមកំហែងកម្រិតខ្ពស់។ មុខងារបន្ថែមអាច៖
- ពិចារណាបរិបទ និងកំណត់ធនធានដែលមានហានិភ័យបំផុត;
- វាយលុកការវាយប្រហារយ៉ាងឆាប់រហ័សតាមរយៈស្វ័យប្រវត្តិកម្មសុវត្ថិភាព ដែលគ្រប់គ្រងដោយឯករាជ្យនូវការការពារ និងកំណត់គោលនយោបាយ។
- កំណត់អត្តសញ្ញាណសកម្មភាពរំខាន ឬគួរឱ្យសង្ស័យ តាមរយៈការប្រើប្រាស់ទំនាក់ទំនងនៃព្រឹត្តិការណ៍នៅលើបណ្តាញ និងនៅលើកុំព្យូទ័រ។
កំណែនៃជញ្ជាំងភ្លើង NGFW នេះណែនាំគោលការណ៍បង្រួបបង្រួម ដែលជួយសម្រួលការគ្រប់គ្រងយ៉ាងខ្លាំង។
គុណវិបត្តិនៃ ITU
ជញ្ជាំងភ្លើងការពារបណ្តាញពីអ្នកឈ្លានពាន។ ទោះយ៉ាងណាក៏ដោយ អ្នកត្រូវយកចិត្តទុកដាក់លើការកំណត់របស់វា។ សូមប្រយ័ត្ន៖ ប្រសិនបើអ្នកមានកំហុសនៅពេលកំណត់ប៉ារ៉ាម៉ែត្រចូលដំណើរការ អ្នកនឹងបង្កគ្រោះថ្នាក់ ហើយជញ្ជាំងភ្លើងនឹងបញ្ឈប់ចរាចរណ៍ចាំបាច់ និងមិនចាំបាច់ ហើយបណ្តាញនឹងមិនអាចដំណើរការបាន។
ការប្រើជញ្ជាំងភ្លើងអាចបណ្តាលឱ្យមានការថយចុះនៃដំណើរការបណ្តាញ។ ចងចាំថាពួកគេស្ទាក់ចរាចរចូលទាំងអស់ដើម្បីត្រួតពិនិត្យ។ នៅពេលដែលទំហំបណ្តាញមានទំហំធំ ការព្យាយាមខ្លាំងពេកក្នុងការពង្រឹងសុវត្ថិភាព និងការណែនាំច្បាប់បន្ថែមទៀតនឹងនាំឱ្យបណ្តាញកាន់តែយឺត។
ជារឿយៗ ជញ្ជាំងភ្លើងតែមួយមិនគ្រប់គ្រាន់ដើម្បីធានាបណ្តាញទាំងស្រុងពីការគំរាមកំហែងពីខាងក្រៅនោះទេ។ ដូច្នេះហើយ វាត្រូវបានប្រើជាមួយនឹងកម្មវិធីផ្សេងទៀតដូចជា កំចាត់មេរោគ។
សេចក្តីណែនាំ
ចូលទៅកាន់ម៉ឺនុយចាប់ផ្តើមសំខាន់នៃប្រព័ន្ធប្រតិបត្តិការវីនដូ។ ជ្រើសរើសផ្នែក "ផ្ទាំងបញ្ជា" ហើយចូលទៅកាន់ធាតុ "ជញ្ជាំងភ្លើងវីនដូ" ។ អ្នកក៏អាចដំណើរការការកំណត់របស់វាពីបន្ទាត់ពាក្យបញ្ជាដោយបញ្ចូលអត្ថបទខាងក្រោម៖ "control.exe /name Microsoft.WindowsFirewall" ។
ពិនិត្យមើលបង្អួចដែលបើក។ នៅខាងឆ្វេងមានបន្ទះមួយដែលមានផ្នែកជាច្រើនដែលទទួលខុសត្រូវចំពោះការកំណត់ជញ្ជាំងភ្លើងផ្សេងៗ អេក្រង់ក. ចូលទៅកាន់ផ្ទាំង "ប្រវត្តិរូបសាធារណៈ" និង "ប្រវត្តិរូបឯកជន" ដែលនៅជាប់នឹងសិលាចារឹក "ការតភ្ជាប់ចេញ" អ្នកត្រូវដោះធីកជម្រើស "ទប់ស្កាត់" ។ ចុចប៊ូតុង "អនុវត្ត" និង "យល់ព្រម" បន្ទាប់មកបិទបង្អួច។ បន្ទាប់ពីនេះ អ្នកអាចចាប់ផ្តើមដំឡើងការចូលប្រើអ៊ីនធឺណិតសម្រាប់សេវាកម្ម និងកម្មវិធីផ្សេងៗដែលបានដំឡើងនៅលើកុំព្យូទ័រផ្ទាល់ខ្លួនរបស់អ្នក។
ចូលទៅកាន់ផ្ទាំង "ការកំណត់កម្រិតខ្ពស់" ដើម្បីបើកដំណើរការជញ្ជាំងភ្លើង អេក្រង់នៅក្នុងរបៀបសុវត្ថិភាពដែលប្រសើរឡើង។ បង្អួចដែលលេចឡើងមានរបារឧបករណ៍ និងបីផ្នែក។ ជ្រើសរើសផ្នែក "ច្បាប់សម្រាប់ការតភ្ជាប់ចេញ" នៅក្នុងវាលខាងឆ្វេងបន្ទាប់មកពិនិត្យមើល "បង្កើតច្បាប់" នៅក្នុងវាលខាងស្តាំ។ វានឹងបើកអ្នកជំនួយការបង្កើតច្បាប់។
ជ្រើសរើសប្រភេទច្បាប់ដែលអ្នកចង់បន្ថែមទៅការកំណត់ជញ្ជាំងភ្លើងរបស់អ្នក។ អេក្រង់ក. អ្នកអាចជ្រើសរើសសម្រាប់ការតភ្ជាប់កុំព្យូទ័រទាំងអស់ ឬកំណត់រចនាសម្ព័ន្ធកម្មវិធីជាក់លាក់មួយដោយបញ្ជាក់ផ្លូវទៅកាន់វា។ ចុចប៊ូតុង "បន្ទាប់" ដើម្បីទៅកាន់ធាតុ "កម្មវិធី" ដែលយើងបញ្ជាក់ផ្លូវទៅកាន់កម្មវិធីម្តងទៀត។
ចូលទៅកាន់សកម្មភាព។ នៅទីនេះអ្នកអាចអនុញ្ញាតឱ្យមានការតភ្ជាប់ឬរារាំងវា។ អ្នកក៏អាចបង្កើតការតភ្ជាប់ដែលមានសុវត្ថិភាពផងដែរ ដែលវានឹងត្រូវបានពិនិត្យដោយប្រើ IPSec។ ក្នុងពេលជាមួយគ្នាដោយចុចប៊ូតុង "ប្ដូរតាមបំណង" អ្នកអាចកំណត់ច្បាប់ផ្ទាល់ខ្លួនរបស់អ្នក។ បន្ទាប់ពីនោះ សូមបញ្ជាក់ "ប្រវត្តិរូប" សម្រាប់ច្បាប់របស់អ្នក ហើយបង្កើតឈ្មោះសម្រាប់វា។ ចុចប៊ូតុង "រួចរាល់" ដើម្បីរក្សាទុកការកំណត់របស់អ្នក។
កម្រិតនៃការភ្លឹបភ្លែតៗនៅពេលដែលអេក្រង់ត្រូវបានបើកអាស្រ័យលើប៉ារ៉ាម៉ែត្រដែលបានកំណត់សម្រាប់អត្រាធ្វើឱ្យរូបភាពឡើងវិញនៅលើម៉ូនីទ័រ។ គោលគំនិតនៃ "អត្រាធ្វើឱ្យស្រស់" អនុវត្តចំពោះម៉ូនីទ័រចង្កៀង សម្រាប់ម៉ូនីទ័រ LCD ការកំណត់ទាំងនេះមិនសំខាន់ទេ។ អេក្រង់នៃម៉ូនីទ័រចង្កៀងភាគច្រើនត្រូវបានធ្វើបច្ចុប្បន្នភាពម្តងក្នុងមួយនាទី។ ប្រសិនបើការកំណត់ទាំងនេះមិនសមនឹងអ្នក សូមលុបចេញ ភ្លឹបភ្លែតៗ អេក្រង់ដោយធ្វើតាមជំហានជាច្រើន។
សេចក្តីណែនាំ
ហៅសមាសភាគអេក្រង់។ ដើម្បីធ្វើដូចនេះបើក "ផ្ទាំងបញ្ជា" តាមរយៈម៉ឺនុយ "ចាប់ផ្តើម" ។ នៅក្នុងប្រភេទ "ការរចនា និងស្បែក" ចុចខាងឆ្វេងលើរូបតំណាង "អេក្រង់" ឬជ្រើសរើសកិច្ចការដែលមាននៅផ្នែកខាងលើនៃបង្អួច។ ប្រសិនបើផ្ទាំងបញ្ជានៅលើកុំព្យូទ័ររបស់អ្នកមានរូបរាងបុរាណ សូមជ្រើសរើសរូបតំណាងដែលអ្នកកំពុងស្វែងរកភ្លាមៗ។
មានវិធីមួយផ្សេងទៀត៖ ចុចកណ្ដុរស្ដាំលើផ្នែកណាមួយនៃ “Desktop” ដែលមិនមានឯកសារ និងថតឯកសារ។ នៅក្នុងម៉ឺនុយទម្លាក់ចុះជ្រើស "លក្ខណសម្បត្តិ" ដោយចុចខាងឆ្វេងលើវា។ ប្រអប់ "លក្ខណសម្បត្តិបង្ហាញ" ថ្មីនឹងបើក។
នៅក្នុងបង្អួចដែលបើកសូមចូលទៅកាន់ផ្ទាំង "ជម្រើស" ហើយចុចលើប៊ូតុង "កម្រិតខ្ពស់" ដែលមានទីតាំងនៅផ្នែកខាងក្រោមនៃបង្អួច។ សកម្មភាពនេះនឹងបង្ហាញនូវប្រអប់ "Properties: Monitor connection module and [name of your video card]" dialog box។
នៅក្នុងបង្អួចថ្មីចូលទៅកាន់ផ្ទាំង "ម៉ូនីទ័រ" ហើយធីកប្រអប់នៅជាប់ "លាក់របៀបដែលម៉ូនីទ័រមិនអាចប្រើបាន" ។ វានឹងជួយអ្នកឱ្យជៀសវាងបញ្ហាដែលអាចកើតមាន: ប្រសិនបើ អេក្រង់ត្រូវបានដំឡើងមិនត្រឹមត្រូវ រូបភាពម៉ូនីទ័រអាចមិនស្ថិតស្ថេរ។ ដូចគ្នានេះផងដែរ ប្រេកង់ដែលបានជ្រើសរើសមិនត្រឹមត្រូវអាចនាំឱ្យឧបករណ៍ដំណើរការខុសប្រក្រតី។
ដោយប្រើបញ្ជីទម្លាក់ចុះនៅក្នុងផ្នែក "ការកំណត់ម៉ូនីទ័រ" កំណត់វាល "អត្រាធ្វើឱ្យស្រស់" ទៅ អេក្រង់»តម្លៃដែលអ្នកត្រូវការ។ អត្រាធ្វើឱ្យស្រស់កាន់តែខ្ពស់។ អេក្រង់ម៉ូនីទ័រកាន់តែតិច។ ប្រេកង់លំនាំដើមគឺ 100 Hz ទោះបីជាម៉ូនីទ័ររបស់អ្នកអាចគាំទ្រប្រេកង់ផ្សេងគ្នាក៏ដោយ។ ពិនិត្យព័ត៌មាននេះនៅក្នុងឯកសារ ឬនៅលើគេហទំព័ររបស់អ្នកផលិត។
បន្ទាប់ពីធ្វើការផ្លាស់ប្តូរចាំបាច់សូមចុចលើប៊ូតុង "អនុវត្ត" នៅក្នុងបង្អួចលក្ខណសម្បត្តិរបស់ម៉ូនីទ័រ។ នៅពេលសួរដើម្បីបញ្ជាក់ការកំណត់ថ្មី សូមឆ្លើយថាបាទ/ចាស។ ចុចលើប៊ូតុង យល់ព្រម។ អ្នកនឹងត្រូវបានទុកឱ្យមានបង្អួច "លក្ខណសម្បត្តិ៖ អេក្រង់" មួយ។ បិទវាដោយប្រើប៊ូតុង យល់ព្រម ឬរូបតំណាង [x] នៅជ្រុងខាងស្តាំខាងលើនៃបង្អួច។
ប្រសិនបើនៅពេលផ្លាស់ប្តូរអត្រាធ្វើឱ្យស្រស់ អេក្រង់រូបរាងរបស់ផ្ទៃតុនឹងផ្លាស់ប្តូរ កំណត់វានៅក្នុងបង្អួចលក្ខណសម្បត្តិ អេក្រង់ដំណោះស្រាយដែលងាយស្រួលអាន ចុចលើប៊ូតុង "អនុវត្ត" ហើយបិទបង្អួច។ លៃតម្រូវទំហំនៃផ្ទៃធ្វើការនៅលើអេក្រង់ដោយប្រើប៊ូតុងលៃតម្រូវនៅលើតួម៉ូនីទ័រ។ កុំភ្លេចចុចលើប៊ូតុង "Degauss" នៅចុងបញ្ចប់។
ការងារអ៊ីនធឺណិត អេក្រង់ឬជញ្ជាំងភ្លើងត្រូវបានរចនាឡើងដើម្បីគ្រប់គ្រងប្រតិបត្តិការរបស់កម្មវិធីនៅលើបណ្តាញ និងដើម្បីការពារប្រព័ន្ធប្រតិបត្តិការ និងទិន្នន័យអ្នកប្រើប្រាស់ពីការវាយប្រហារពីខាងក្រៅ។ មានកម្មវិធីជាច្រើនដែលមានមុខងារស្រដៀងគ្នា ហើយវាមិនតែងតែមានប្រសិទ្ធភាពនោះទេ។ ដើម្បីពិនិត្យមើលគុណភាពនៃបណ្តាញរបស់អ្នក។ អេក្រង់ហើយប្រើកម្មវិធី 2ip Firewall Tester។
សេចក្តីណែនាំ
ដោយប្រើម៉ាស៊ីនស្វែងរក សូមស្វែងរកតំណទាញយកសម្រាប់ឧបករណ៍ 2ip Firewall Tester ។ ពិនិត្យឯកសារដែលបានទាញយកដោយប្រើកម្មវិធីកំចាត់មេរោគ ហើយដំណើរការកម្មវិធី។ តាមក្បួនកម្មវិធីត្រូវតែដំឡើងនៅលើដ្រាយវ៍រឹងរបស់កុំព្យូទ័រ។ បន្ទាប់ពីនោះផ្លូវកាត់នឹងបង្ហាញនៅលើផ្ទៃតុដែលអ្នកអាចបើកដំណើរការវាបាន។
បង្អួចកម្មវិធីគឺសាមញ្ញណាស់ ហើយមានបន្ទាត់សារ និងប៊ូតុងពីរជំនួយ និងសាកល្បង។ ត្រូវប្រាកដថាកុំព្យូទ័ររបស់អ្នកមានអ៊ីនធឺណិត ហើយចុចលើប៊ូតុងសាកល្បង។ ឧបករណ៍ប្រើប្រាស់នឹងព្យាយាមទំនាក់ទំនងជាមួយម៉ាស៊ីនមេខាងក្រៅ។ ប្រសិនបើការតភ្ជាប់ត្រូវបានបង្កើតឡើង (សារមួយលេចឡើងជាអក្សរក្រហម) នោះជញ្ជាំងភ្លើងរបស់អ្នកមិនមានប្រសិទ្ធភាពទេ។ វាក៏គួរឱ្យកត់សម្គាល់ផងដែរថាភាគច្រើននៃកម្មវិធីនេះត្រូវបានដំឡើងតាមលំនាំដើមជាមួយនឹងចំណុចប្រទាក់ភាសាអង់គ្លេស។ ដើម្បីប្តូរទៅជាភាសារុស្សី សូមចូលទៅកាន់ការកំណត់កម្មវិធី។ កុំភ្លេចរក្សាទុកការផ្លាស់ប្តូរទាំងអស់ដែលបានធ្វើឡើងនៅក្នុងកម្មវិធី។
ប្រសិនបើការតភ្ជាប់មិនអាចបង្កើតបាន និងកម្មវិធីច្រកផ្លូវ អេក្រង់ហើយបានចេញសំណើដើម្បីអនុញ្ញាតការតភ្ជាប់នេះ ដែលមានន័យថាជញ្ជាំងភ្លើងកំពុងដំណើរការ។ អនុញ្ញាតឱ្យយើងធ្វើការតភ្ជាប់តែម្តង។ សម្រាប់ការត្រួតពិនិត្យជញ្ជាំងភ្លើងដែលស្មុគ្រស្មាញជាងមុន សូមប្តូរឈ្មោះឯកសារបើកដំណើរការឧបករណ៍ប្រើប្រាស់ 2ip Firewall Tester ទៅជាឈ្មោះកម្មវិធីដែលការចូលប្រើអ៊ីនធឺណិតត្រូវបានគេដឹងថាត្រូវបានអនុញ្ញាត។ ឧទាហរណ៍ Internet Explorer ។ ដើម្បីធ្វើដូចនេះដាក់ឈ្មោះឧបករណ៍ប្រើប្រាស់ iexplore.exe ដំណើរការវាម្តងទៀតហើយចុចលើប៊ូតុងសាកល្បង។ ប្រសិនបើការតភ្ជាប់ត្រូវបានបង្កើតឡើង នោះការងារអ៊ីនធឺណិតរបស់អ្នក។ អេក្រង់មានកម្រិតការពារទាប។
ប្រសិនបើការតភ្ជាប់មិនត្រូវបានបង្កើតឡើង នោះកម្មវិធីច្រកផ្លូវរបស់អ្នក។ អេក្រង់និងអនុវត្តមុខងាររបស់វាជាមួយនឹងប្រាំចំណុច។ អ្នកអាចរុករកគេហទំព័រនៅលើអ៊ីនធឺណិតដោយសុវត្ថិភាព ពីព្រោះកុំព្យូទ័រផ្ទាល់ខ្លួនរបស់អ្នកត្រូវបានការពារដោយភាពជឿជាក់ពីការគំរាមកំហែងផ្សេងៗ។ តាមក្បួនកម្មវិធីបែបនេះមានការកំណត់ដែលអាចបត់បែនបាននៅក្នុងប្រព័ន្ធ។
វីដេអូលើប្រធានបទ
ពេលខ្លះ ពេលកំពុងអង្គុយនៅកុំព្យូទ័រ អ្នកអាចសម្គាល់ឃើញថារូបភាពនៅលើអេក្រង់ញ័រ «អណ្តែត» ក្នុងលក្ខណៈប្លែក ឬចាប់ផ្ដើមលេចឡើងដោយមិននឹកស្មានដល់។ បញ្ហានេះរីករាលដាល។ ប៉ុន្តែហេតុផលសម្រាប់វាគឺខុសគ្នា។ វាមានតម្លៃក្នុងការស្វែងរកមូលហេតុដែលអេក្រង់ញ័រ។
ភាគច្រើនជាញឹកញាប់មូលហេតុនៃអេក្រង់ញ័រគឺវត្តមាននៃប្រភពនៃវាលអេឡិចត្រូម៉ាញ៉េទិចឆ្លាស់នៅក្នុងបន្ទប់ធ្វើការឬផ្ទះល្វែង។ នេះអាចត្រូវបានពិនិត្យយ៉ាងងាយស្រួលដោយផ្លាស់ទីម៉ូនីទ័រ។ ប្រសិនបើវាឈប់ នោះបញ្ហាគឺទាក់ទងជាពិសេសទៅនឹងវាលអេឡិចត្រូ។ ប្រភពរបស់ពួកគេនៅកន្លែងធ្វើការគឺ ការដំឡើងអគ្គិសនីផ្សេងៗ ស្ថានីយបំប្លែង និងខ្សែថាមពល។ នៅផ្ទះពួកគេត្រូវបានជំនួសដោយទូរទស្សន៍ ទូទឹកកក មីក្រូវ៉េវ និងឧបករណ៍ប្រើប្រាស់ក្នុងផ្ទះផ្សេងទៀត។
មូលហេតុទីពីរនៃអេក្រង់ញ័រគឺការផ្គត់ផ្គង់ថាមពលមិនគ្រប់គ្រាន់ដល់ម៉ូនីទ័រ។ តាមក្បួនមួយ ម៉ូនីទ័រត្រូវបានភ្ជាប់ជាមួយអ្នកបើកយន្តហោះ ដែលបន្ថែមពីលើខ្លួនវាក៏ "ផ្តល់ថាមពល" ដល់អង្គភាពប្រព័ន្ធ ម៉ូដឹម ទូរទស្សន៍ ចង្កៀង និងអ្វីៗជាច្រើនទៀត អាស្រ័យលើរសជាតិរបស់អ្នកប្រើប្រាស់។ វាមានតម្លៃព្យាយាមបិទឧបករណ៍ទាំងនេះមួយចំនួន ហើយមើលថាតើរូបភាពញ័រនៅលើម៉ូនីទ័របានថយចុះឬអត់។ បើមិនដូច្នេះទេ ប្រហែលជាបញ្ហាគឺស្ថិតនៅលើអ្នកបើកបរផ្ទាល់ តាមរបៀបដែលវាច្រោះចរន្តអគ្គិសនី។ អ្នកអាចព្យាយាមផ្លាស់ប្តូរវាបាន។
មូលហេតុទូទៅតិចបំផុត (ទោះបីជារឿងដែលតែងតែនឹកឃើញ) គឺជាបញ្ហានៅក្នុងម៉ូនីទ័រផ្ទាល់ ឧទាហរណ៍ ម៉ាស៊ីនស្កេនខូច ឬបញ្ហាជាមួយការផ្គត់ផ្គង់ថាមពលរបស់វា។ ក្នុងករណីបែបនេះ វាជាការប្រសើរសម្រាប់អ្នកប្រើប្រាស់ដែលគ្មានបទពិសោធន៍ មិនឱ្យឡើងលើម៉ូនីទ័រ។ ដំណោះស្រាយដ៏ល្អបំផុតក្នុងស្ថានភាពនេះគឺត្រូវទាក់ទងអ្នកឯកទេសដែលមានលក្ខណៈសម្បត្តិគ្រប់គ្រាន់។
ពេលខ្លះបញ្ហាខាងលើអាចបណ្តាលមកពីអត្រាធ្វើឱ្យស្រស់អេក្រង់ទាប។ តាមលំនាំដើម ម៉ូនីទ័រមួយចំនួនមានប្រេកង់កំណត់ប្រហែល 60 Hz។ នេះមិនត្រឹមតែធ្វើឱ្យអេក្រង់ញ័រគួរឱ្យកត់សម្គាល់ប៉ុណ្ណោះទេ ប៉ុន្តែថែមទាំងបង្កគ្រោះថ្នាក់ដល់ភ្នែករបស់អ្នកទៀតផង។ ដូច្នេះវាមានតម្លៃប្រើ "ផ្ទាំងបញ្ជា" ដើម្បីស្វែងរកធាតុម៉ឺនុយ "អេក្រង់" ហើយកំណត់ប្រេកង់នៅទីនោះដល់ 75 Hz ។ នៅប្រេកង់នេះ ការញ័រអេក្រង់អាចបាត់ទាំងស្រុង។
ប្រយ័ត្ន៖ យើងកំពុងថត!
ដើម្បីថតអេក្រង់ សូមបើកដំណើរការកម្មវិធីនៅលើកុំព្យូទ័ររបស់អ្នកដោយចុចលើផ្លូវកាត់នៅលើផ្ទៃតុ (ជាធម្មតាវាត្រូវបានបង្កើតដោយស្វ័យប្រវត្តិក្នុងអំឡុងពេលដំណើរការដំឡើង) ឬដោយការស្វែងរកវានៅក្នុងបញ្ជីកម្មវិធី (តាមរយៈប៊ូតុង "ចាប់ផ្តើម")។ បន្ទាប់ពីនោះនៅក្នុងបង្អួចការងារដែលបើកសូមជ្រើសរើសមុខងារដែលអ្នកត្រូវការ។ នៅក្នុងកម្មវិធីនេះ អ្នកអាចចាប់យកអេក្រង់៖ អេក្រង់ទាំងមូល ធាតុបង្អួច បង្អួចរមូរ តំបន់ដែលបានជ្រើសរើស តំបន់ថេរ តំបន់ចៃដន្យ ឬថតអេក្រង់ពីជម្រើសពីមុន។
របារឧបករណ៍ក៏បើកនៅពេលអ្នកចុចប៊ូតុង "ឯកសារ" នៅក្នុងម៉ឺនុយមេនៃកម្មវិធី។
ពីឈ្មោះនៃជម្រើស វាច្បាស់ណាស់ថាផ្នែកណាមួយនៃបង្អួចការងារនឹងត្រូវបានបន្លិចកំឡុងពេលដំណើរការអេក្រង់។ អ្នកអាចថតរូបអេក្រង់ទាំងមូល ឬផ្នែកណាមួយរបស់វាដោយចុចតែម្តង។ នៅទីនេះផងដែរ អ្នកអាចកំណត់តំបន់ជាក់លាក់មួយ ឬផ្នែកនៃអេក្រង់ដែលនឹងឆ្លើយតបទៅនឹងប៉ារ៉ាម៉ែត្រដែលបានបញ្ជាក់ពីមុន។ ជាទូទៅ អ្នកអាចថតអេក្រង់បានគ្រប់យ៉ាង។
លើសពីនេះ កម្មវិធីនេះមានបញ្ជីឧបករណ៍តូចៗដែលចាំបាច់សម្រាប់ដំណើរការរូបភាព៖ ក្ដារលាយពណ៌ បង្អួចពង្រីក បន្ទាត់ដែលអ្នកអាចគណនាចម្ងាយពីចំណុចមួយទៅចំណុចមួយទៀតជាមួយនឹងភាពត្រឹមត្រូវនៃមីលីម៉ែត្រ ប្រូត្រាក់ទ័រ ការត្រួតស៊ីគ្នា និងសូម្បីតែ បន្ទះក្តារបន្ទះ ដែលអនុញ្ញាតឱ្យអ្នកធ្វើកំណត់ចំណាំ និងគំនូរដោយផ្ទាល់នៅលើអេក្រង់។
ដើម្បីធ្វើសកម្មភាពបន្ថែមទៀត ចុចប៊ូតុង "មេ" បន្ទាប់មកបន្ទះបន្ថែមដែលមានឧបករណ៍ជាក់លាក់មួយនឹងបង្ហាញនៅលើអេក្រង់។ ដោយមានជំនួយរបស់ពួកគេ អ្នកអាចច្រឹបរូបភាព កំណត់ទំហំរបស់វា បន្លិចផ្នែកជាក់លាក់មួយជាមួយនឹងពណ៌ លាបលើអត្ថបទ ជ្រើសរើសពុម្ពអក្សរ និងពណ៌បំពេញ។
ប៊ូតុង "មើល" នៅក្នុងម៉ឺនុយមេអនុញ្ញាតឱ្យអ្នកផ្លាស់ប្តូរមាត្រដ្ឋាន ធ្វើការជាមួយបន្ទាត់ និងប្ដូររូបរាងឯកសារដែលបានដាក់បញ្ចាំងតាមបំណង៖ ល្បាក់, mosaic ។
បន្ទាប់ពីអ្នកថតរូបអេក្រង់ ចុចប៊ូតុង "ឯកសារ" នៅលើរបារខាងលើនៃកម្មវិធី ហើយជ្រើសរើសជម្រើស "រក្សាទុកជា" នៅក្នុងបង្អួចទម្លាក់ចុះ។ បន្ទាប់ពីនេះ បង្អួចបន្ថែមនឹងបើកនៅជ្រុងខាងស្តាំ ដែលអ្នកនឹងត្រូវជ្រើសរើសប្រភេទឯកសារ៖ PNG, BMP, JPG, GIF, PDF ។ បន្ទាប់មកអ្វីទាំងអស់ដែលនៅសល់គឺត្រូវបញ្ជាក់ថតដែលត្រូវរក្សាទុកឯកសារ។
បណ្តាញដែលបានរចនាឡើងដើម្បីទប់ស្កាត់ចរាចរណ៍ទាំងអស់ លើកលែងតែទិន្នន័យដែលមានការអនុញ្ញាត។ នេះខុសពីរ៉ោតទ័រ ដែលមុខងាររបស់វាគឺបញ្ជូនចរាចរទៅកាន់គោលដៅរបស់វាឱ្យបានលឿនតាមដែលអាចធ្វើទៅបាន។មានមតិមួយថា Router ក៏អាចដើរតួនាទីជា Firewall ផងដែរ។ ទោះយ៉ាងណាក៏ដោយ មានភាពខុសប្លែកគ្នាជាមូលដ្ឋានមួយរវាងឧបករណ៍ទាំងនេះ៖ រ៉ោតទ័រត្រូវបានរចនាឡើងដើម្បីបញ្ជូនចរាចរណ៍យ៉ាងឆាប់រហ័ស មិនមែនរារាំងវាទេ។ ជញ្ជាំងភ្លើងគឺជាឧបករណ៍សុវត្ថិភាពដែលអនុញ្ញាតឱ្យចរាចរជាក់លាក់ពីស្ទ្រីមទិន្នន័យ ហើយរ៉ោតទ័រគឺជាឧបករណ៍បណ្តាញដែលអាចត្រូវបានកំណត់រចនាសម្ព័ន្ធដើម្បីទប់ស្កាត់ចរាចរណ៍ជាក់លាក់។
លើសពីនេះទៀតជញ្ជាំងភ្លើងជាធម្មតាមានជួរធំទូលាយនៃការកំណត់។ ការឆ្លងកាត់ចរាចរណ៍នៅលើជញ្ជាំងភ្លើងអាចត្រូវបានកំណត់រចនាសម្ព័ន្ធដោយសេវាកម្ម អាសយដ្ឋាន IP របស់អ្នកផ្ញើ និងអ្នកទទួល និងដោយលេខសម្គាល់អ្នកប្រើប្រាស់ដែលស្នើសុំសេវាកម្ម។ ជញ្ជាំងភ្លើងអនុញ្ញាតឱ្យកណ្តាល ការគ្រប់គ្រងសន្តិសុខ. នៅក្នុងការកំណត់រចនាសម្ព័ន្ធមួយ អ្នកគ្រប់គ្រងអាចកំណត់រចនាសម្ព័ន្ធចរាចរចូលដែលបានអនុញ្ញាតសម្រាប់ប្រព័ន្ធខាងក្នុងទាំងអស់នៅក្នុងស្ថាប័នមួយ។ នេះមិនលុបបំបាត់តម្រូវការក្នុងការអាប់ដេត និងកំណត់រចនាសម្ព័ន្ធប្រព័ន្ធនោះទេ ប៉ុន្តែវាកាត់បន្ថយលទ្ធភាពដែលប្រព័ន្ធមួយ ឬច្រើនត្រូវបានកំណត់មិនត្រឹមត្រូវ និងបង្ហាញប្រព័ន្ធទាំងនោះទៅនឹងការវាយប្រហារលើសេវាកម្មដែលបានកំណត់រចនាសម្ព័ន្ធមិនត្រឹមត្រូវ។
ការកំណត់ប្រភេទជញ្ជាំងភ្លើង
ជញ្ជាំងភ្លើងមានពីរប្រភេទសំខាន់ៗ៖ ជញ្ជាំងភ្លើងកម្រិតកម្មវិធី និងជញ្ជាំងភ្លើងកម្រិតកម្មវិធី។ តម្រងកញ្ចប់. ពួកវាផ្អែកលើគោលការណ៍ប្រតិបត្តិការផ្សេងៗគ្នា ប៉ុន្តែនៅពេលដែលបានកំណត់រចនាសម្ព័ន្ធត្រឹមត្រូវ ឧបករណ៍ទាំងពីរប្រភេទនេះផ្តល់នូវមុខងារសុវត្ថិភាពត្រឹមត្រូវនៃការទប់ស្កាត់ចរាចរណ៍ដែលហាមឃាត់។ ដូចដែលអ្នកនឹងឃើញនៅក្នុងផ្នែកខាងក្រោម កម្រិតនៃការការពារឧបករណ៍ទាំងនេះផ្តល់អាស្រ័យលើរបៀបដែលពួកវាត្រូវបានអនុវត្ត និងកំណត់រចនាសម្ព័ន្ធ។
ជញ្ជាំងភ្លើងស្រទាប់កម្មវិធី
ជញ្ជាំងភ្លើងស្រទាប់កម្មវិធី ឬអេក្រង់ប្រូកស៊ី គឺជាកញ្ចប់កម្មវិធីផ្អែកលើប្រតិបត្តិការ ប្រព័ន្ធគោលបំណងទូទៅ(ដូចជា Windows NT និង Unix) ឬនៅលើវេទិកាផ្នែករឹងរបស់ជញ្ជាំងភ្លើង។ ជញ្ជាំងភ្លើងមានចំណុចប្រទាក់ជាច្រើន ដែលមួយសម្រាប់បណ្តាញនីមួយៗដែលវាត្រូវបានភ្ជាប់។ សំណុំនៃច្បាប់គោលការណ៍កំណត់ពីរបៀបដែលចរាចរណ៍ត្រូវបានផ្ទេរពីបណ្តាញមួយទៅបណ្តាញមួយទៀត។ ប្រសិនបើច្បាប់មិនអនុញ្ញាតឲ្យធ្វើចរាចរណ៍ឆ្លងកាត់បានច្បាស់លាស់ ជញ្ជាំងភ្លើងបដិសេធ ឬបោះបង់កញ្ចប់ព័ត៌មាន។
ច្បាប់គោលនយោបាយសន្តិសុខត្រូវបានពង្រឹងតាមរយៈការប្រើប្រាស់ម៉ូឌុលចូលដំណើរការ។ នៅក្នុងជញ្ជាំងភ្លើងស្រទាប់កម្មវិធី ពិធីការដែលបានអនុញ្ញាតនីមួយៗត្រូវតែមានម៉ូឌុលចូលប្រើផ្ទាល់ខ្លួន។ ម៉ូឌុលចូលប្រើដ៏ល្អបំផុតគឺជាម៉ូឌុលដែលត្រូវបានបង្កើតឡើងជាពិសេសសម្រាប់ពិធីការដែលកំពុងត្រូវបានដោះស្រាយ។ ជាឧទាហរណ៍ ម៉ូឌុលចូលប្រើ FTP កំណត់គោលដៅពិធីការ FTP ហើយអាចកំណត់ថាតើការឆ្លងកាត់ការអនុលោមតាមពិធីការនោះ និងថាតើចរាចរណ៍នោះត្រូវបានអនុញ្ញាតដោយច្បាប់គោលនយោបាយសុវត្ថិភាពដែរឬទេ។
នៅពេលប្រើជញ្ជាំងភ្លើងស្រទាប់កម្មវិធី ការតភ្ជាប់ទាំងអស់ឆ្លងកាត់វា (សូមមើលរូបភាព 10.1) ។ ដូចដែលបានបង្ហាញក្នុងរូបភាព ការតភ្ជាប់ចាប់ផ្តើមពីប្រព័ន្ធអតិថិជន ហើយទៅកាន់ចំណុចប្រទាក់ខាងក្នុងនៃជញ្ជាំងភ្លើង។ ជញ្ជាំងភ្លើងទទួលយកការតភ្ជាប់ វិភាគមាតិកានៃកញ្ចប់ព័ត៌មាន និងពិធីការដែលបានប្រើ និងកំណត់ថាតើចរាចរណ៍អនុលោមតាមច្បាប់គោលនយោបាយសុវត្ថិភាព។ បើដូច្នេះមែន ជញ្ជាំងភ្លើងផ្តួចផ្តើមការតភ្ជាប់ថ្មីរវាងចំណុចប្រទាក់ខាងក្រៅរបស់វា និងប្រព័ន្ធម៉ាស៊ីនមេ។
ជញ្ជាំងភ្លើងស្រទាប់កម្មវិធីប្រើម៉ូឌុលចូលដំណើរការចូល ការតភ្ជាប់។ ម៉ូឌុលការគ្រប់គ្រងការចូលប្រើក្នុងជញ្ជាំងភ្លើងទទួលយកការភ្ជាប់ចូល និងដំណើរការពាក្យបញ្ជា មុនពេលបញ្ជូនចរាចរទៅកាន់អ្នកទទួល។ ដូច្នេះ ជញ្ជាំងភ្លើងការពារប្រព័ន្ធពីការវាយប្រហារតាមកម្មវិធី។
អង្ករ។ ១០.១.
ចំណាំ
ភាពពាក់ព័ន្ធនៅទីនេះគឺថា ម៉ូឌុលចូលដំណើរការជញ្ជាំងភ្លើងខ្លួនឯងមិនងាយរងការវាយប្រហារទេ។ ប្រសិនបើ កម្មវិធីមិនត្រូវបានបង្កើតឡើងដោយប្រុងប្រយ័ត្នទេ វាអាចជាសេចក្តីថ្លែងការណ៍មិនពិត។
អត្ថប្រយោជន៍បន្ថែមនៃស្ថាបត្យកម្មប្រភេទនេះគឺថាវាធ្វើឱ្យមានការលំបាកខ្លាំងណាស់ ប្រសិនបើមិនអាច "លាក់" ចរាចរណ៍នៅក្នុងសេវាកម្មផ្សេងទៀត។ ឧទាហរណ៍ កម្មវិធីគ្រប់គ្រងប្រព័ន្ធមួយចំនួនដូចជា NetBus និង
ជញ្ជាំងភ្លើងមានច្រើនប្រភេទ អាស្រ័យលើលក្ខណៈដូចខាងក្រោមៈ
ថាតើខែលផ្តល់ការតភ្ជាប់រវាងថ្នាំងមួយ និងបណ្តាញមួយ ឬរវាងបណ្តាញពីរ ឬច្រើនផ្សេងគ្នា។
ថាតើការគ្រប់គ្រងលំហូរទិន្នន័យកើតឡើងនៅស្រទាប់បណ្តាញ ឬកម្រិតខ្ពស់នៃគំរូ OSI ដែរឬទេ។
ថាតើស្ថានភាពនៃការតភ្ជាប់សកម្មត្រូវបានត្រួតពិនិត្យឬអត់។
អាស្រ័យលើការគ្របដណ្តប់នៃលំហូរទិន្នន័យដែលបានគ្រប់គ្រង ជញ្ជាំងភ្លើងត្រូវបានបែងចែកទៅជា:
បណ្តាញប្រពៃណី (ឬជញ្ជាំងភ្លើង) - កម្មវិធី (ឬផ្នែកសំខាន់នៃប្រព័ន្ធប្រតិបត្តិការ) នៅលើច្រកផ្លូវមួយ (ឧបករណ៍ដែលបញ្ជូនចរាចររវាងបណ្តាញ) ឬដំណោះស្រាយផ្នែករឹងដែលគ្រប់គ្រងលំហូរទិន្នន័យចូល និងចេញរវាងបណ្តាញដែលបានតភ្ជាប់ (វត្ថុបណ្តាញចែកចាយ) ;
ជញ្ជាំងភ្លើងផ្ទាល់ខ្លួនគឺជាកម្មវិធីដែលបានដំឡើងនៅលើកុំព្យូទ័ររបស់អ្នកប្រើ ហើយត្រូវបានរចនាឡើងដើម្បីការពារតែកុំព្យូទ័រនេះពីការចូលប្រើដោយគ្មានការអនុញ្ញាត។
អាស្រ័យលើកម្រិត OSI ដែលការគ្រប់គ្រងការចូលដំណើរការកើតឡើង ជញ្ជាំងភ្លើងអាចដំណើរការលើ៖
កម្រិតបណ្តាញនៅពេលតម្រងកើតឡើងដោយផ្អែកលើអាសយដ្ឋានរបស់អ្នកផ្ញើ និងអ្នកទទួលកញ្ចប់ព័ត៌មាន លេខច្រកនៃស្រទាប់ដឹកជញ្ជូននៃគំរូ OSI និងច្បាប់ឋិតិវន្តដែលបានបញ្ជាក់ដោយអ្នកគ្រប់គ្រង។
កម្រិតសម័យ(ត្រូវបានគេស្គាល់ផងដែរថាជា រដ្ឋ) នៅពេលដែលវគ្គរវាងកម្មវិធីត្រូវបានត្រួតពិនិត្យ ហើយកញ្ចប់ព័ត៌មានដែលបំពានលើការបញ្ជាក់ TCP/IP មិនត្រូវបានឆ្លងកាត់ ជារឿយៗត្រូវបានប្រើក្នុងប្រតិបត្តិការព្យាបាទ - ការស្កេនធនធាន ការលួចចូលតាមរយៈការអនុវត្ត TCP/IP មិនត្រឹមត្រូវ ការតភ្ជាប់ធ្លាក់ចុះ/យឺត ការបញ្ចូលទិន្នន័យ។
កម្រិតកម្មវិធី(ឬកម្រិតកម្មវិធី) នៅពេលដែលការត្រងត្រូវបានអនុវត្តដោយផ្អែកលើការវិភាគទិន្នន័យកម្មវិធីដែលបានបញ្ជូននៅក្នុងកញ្ចប់ព័ត៌មាន។ ប្រភេទនៃអេក្រង់ទាំងនេះអនុញ្ញាតឱ្យអ្នកទប់ស្កាត់ការបញ្ជូនព័ត៌មានដែលមិនចង់បាន និងអាចបង្កគ្រោះថ្នាក់ ដោយផ្អែកលើគោលការណ៍ និងការកំណត់។
ត្រងនៅកម្រិតបណ្តាញ
ការត្រងកញ្ចប់ព័ត៌មានចូល និងចេញ ត្រូវបានអនុវត្តដោយផ្អែកលើព័ត៌មានដែលមាននៅក្នុងវាលខាងក្រោមនៃ TCP និង IP headers នៃកញ្ចប់ព័ត៌មាន៖ អាសយដ្ឋាន IP អ្នកផ្ញើ; អាសយដ្ឋាន IP អ្នកទទួល; ច្រកអ្នកផ្ញើ; ច្រកអ្នកទទួល។
ការត្រងអាចត្រូវបានអនុវត្តតាមវិធីជាច្រើនដើម្បីរារាំងការតភ្ជាប់ទៅកាន់កុំព្យូទ័រ ឬច្រកជាក់លាក់។ ឧទាហរណ៍ អ្នកអាចទប់ស្កាត់ការតភ្ជាប់ដែលមកពីអាសយដ្ឋានជាក់លាក់នៃកុំព្យូទ័រ និងបណ្តាញទាំងនោះ ដែលត្រូវបានចាត់ទុកថាមិនគួរឱ្យទុកចិត្ត។
ការចំណាយទាបដែលទាក់ទង;
ភាពបត់បែនក្នុងការកំណត់ច្បាប់តម្រង;
ការពន្យាពេលបន្តិចក្នុងការឆ្លងកាត់កញ្ចប់ព័ត៌មាន។
គុណវិបត្តិ៖
មិនប្រមូលកញ្ចប់ដែលបែកខ្ញែក;
មិនមានវិធីដើម្បីតាមដានទំនាក់ទំនង (ការតភ្ជាប់) រវាងកញ្ចប់។
តម្រងកម្រិតសម័យ
អាស្រ័យលើការត្រួតពិនិត្យនៃការតភ្ជាប់សកម្ម ជញ្ជាំងភ្លើងអាចជា៖
គ្មានរដ្ឋ(ការត្រងសាមញ្ញ) ដែលមិនត្រួតពិនិត្យការតភ្ជាប់បច្ចុប្បន្ន (ឧទាហរណ៍ TCP) ប៉ុន្តែត្រងស្ទ្រីមទិន្នន័យដោយផ្អែកលើច្បាប់ឋិតិវន្ត។
ការត្រួតពិនិត្យកញ្ចប់ព័ត៌មានរដ្ឋ (SPI)(context-aware filtering) ត្រួតពិនិត្យការតភ្ជាប់បច្ចុប្បន្ន និងឆ្លងកាត់តែកញ្ចប់ព័ត៌មានទាំងនោះដែលបំពេញតក្កវិជ្ជា និងក្បួនដោះស្រាយនៃពិធីការ និងកម្មវិធីដែលត្រូវគ្នា។
ជញ្ជាំងភ្លើងជាមួយ SPI ធ្វើឱ្យវាអាចធ្វើទៅបានដើម្បីប្រយុទ្ធប្រឆាំងនឹងប្រភេទផ្សេងៗនៃការវាយប្រហារ DoS និងភាពងាយរងគ្រោះនៃពិធីការបណ្តាញមួយចំនួន។ លើសពីនេះ ពួកគេផ្តល់នូវមុខងារនៃពិធីការដូចជា H.323, SIP, FTP ជាដើម ដែលប្រើគ្រោងការណ៍ផ្ទេរទិន្នន័យស្មុគស្មាញរវាងអ្នកទទួល ដែលពិបាកពណ៌នាដោយច្បាប់ឋិតិវន្ត ហើយជារឿយៗមិនស៊ីគ្នាជាមួយស្តង់ដារ ជញ្ជាំងភ្លើងគ្មានរដ្ឋ។
គុណសម្បត្តិនៃការច្រោះបែបនេះរួមមាន:
ការវិភាគមាតិកាកញ្ចប់;
មិនមានព័ត៌មានអំពីប្រតិបត្តិការនៃពិធីការស្រទាប់ 7 គឺត្រូវបានទាមទារ។
គុណវិបត្តិ៖
វាពិបាកក្នុងការវិភាគទិន្នន័យកម្រិតកម្មវិធី (អាចប្រើ ALG - Application level gateway)។
ច្រកទ្វារកម្រិតកម្មវិធី ALG (ច្រកកម្រិតកម្មវិធី) គឺជាធាតុផ្សំនៃរ៉ោតទ័រ NAT ដែលយល់អំពីពិធីការកម្មវិធី ហើយនៅពេលដែលកញ្ចប់ព័ត៌មាននៃពិធីការនេះឆ្លងកាត់វា វាកែប្រែពួកវាតាមរបៀបដែលអ្នកប្រើប្រាស់នៅពីក្រោយ NAT អាចប្រើពិធីការបាន។
សេវា ALG ផ្តល់ការគាំទ្រសម្រាប់ពិធីការកម្រិតកម្មវិធី (ដូចជា SIP, H.323, FTP ។ល។) ដែលការបកប្រែអាសយដ្ឋានបណ្តាញមិនត្រូវបានអនុញ្ញាត។ សេវាកម្មនេះកំណត់ប្រភេទកម្មវិធីនៅក្នុងកញ្ចប់ដែលចេញមកពីចំណុចប្រទាក់បណ្តាញខាងក្នុង ហើយអនុវត្តការបកប្រែអាសយដ្ឋាន/ច្រកសម្រាប់ពួកវាតាមរយៈចំណុចប្រទាក់ខាងក្រៅ។
បច្ចេកវិជ្ជា SPI (Stateful Packet Inspection) ឬបច្ចេកវិជ្ជាត្រួតពិនិត្យកញ្ចប់ព័ត៌មានដោយគិតគូរពីស្ថានភាពនៃពិធីការនាពេលបច្ចុប្បន្ននេះ គឺជាវិធីសាស្ត្រកម្រិតខ្ពស់នៃការគ្រប់គ្រងចរាចរណ៍។ បច្ចេកវិទ្យានេះអនុញ្ញាតឱ្យអ្នកគ្រប់គ្រងទិន្នន័យចុះក្រោមដល់កម្រិតកម្មវិធីដោយមិនចាំបាច់មានឈ្មួញកណ្តាល ឬកម្មវិធីប្រូកស៊ីដាច់ដោយឡែកសម្រាប់ពិធីការ ឬសេវាបណ្តាញដែលបានការពារនីមួយៗ។
ជាប្រវត្តិសាស្ត្រ ជញ្ជាំងភ្លើងបានវិវត្តន៍ពីតម្រងកញ្ចប់ព័ត៌មានគោលបំណងទូទៅ ទៅជាឧបករណ៍កណ្តាលជាក់លាក់នៃពិធីការ ទៅជាការត្រួតពិនិត្យរដ្ឋ។ បច្ចេកវិទ្យាពីមុនគ្រាន់តែបំពេញគ្នាទៅវិញទៅមក ប៉ុន្តែមិនបានផ្តល់ការគ្រប់គ្រងទូលំទូលាយលើការតភ្ជាប់ទេ។ តម្រងកញ្ចប់មិនមានសិទ្ធិចូលទៅកាន់ការតភ្ជាប់ និងព័ត៌មានស្ថានភាពកម្មវិធីដែលត្រូវការដើម្បីធ្វើការសម្រេចចិត្តចុងក្រោយអំពីសុវត្ថិភាពនោះទេ។ កម្មវិធី Middleware ដំណើរការតែទិន្នន័យកម្រិតកម្មវិធីប៉ុណ្ណោះ ដែលជារឿយៗបង្កើតឱកាសផ្សេងៗសម្រាប់ការលួចចូលប្រព័ន្ធ។ ស្ថាបត្យកម្មអធិការកិច្ចរបស់រដ្ឋគឺមានតែមួយគត់ព្រោះវាអនុញ្ញាតឱ្យអ្នកគ្រប់គ្រងព័ត៌មានដែលអាចធ្វើបានទាំងអស់ឆ្លងកាត់ម៉ាស៊ីនច្រកទ្វារ: ទិន្នន័យកញ្ចប់ព័ត៌មាន ទិន្នន័យស្ថានភាពការតភ្ជាប់ ទិន្នន័យដែលត្រូវការដោយកម្មវិធី។
ឧទាហរណ៍នៃយន្តការរដ្ឋអធិការកិច្ច. ជញ្ជាំងភ្លើងត្រួតពិនិត្យវគ្គ FTP ដោយពិនិត្យមើលទិន្នន័យនៅកម្រិតកម្មវិធី។ នៅពេលអតិថិជនស្នើសុំឱ្យម៉ាស៊ីនមេបើកការតភ្ជាប់បញ្ច្រាស (ពាក្យបញ្ជា FTP PORT) ជញ្ជាំងភ្លើងដកលេខច្រកចេញពីសំណើនោះ។ បញ្ជីរក្សាទុកអាសយដ្ឋានម៉ាស៊ីនភ្ញៀវ និងម៉ាស៊ីនមេ និងលេខច្រក។ នៅពេលដែលការប៉ុនប៉ងបង្កើតការតភ្ជាប់ទិន្នន័យ FTP ត្រូវបានរកឃើញ ជញ្ជាំងភ្លើងនឹងស្កេនបញ្ជី ហើយពិនិត្យមើលថាតើការតភ្ជាប់ពិតជាឆ្លើយតបទៅនឹងសំណើអតិថិជនដែលមានសុពលភាពដែរឬទេ។ បញ្ជីការតភ្ជាប់ត្រូវបានរក្សាដោយថាមវន្ត ដូច្នេះមានតែច្រក FTP ដែលត្រូវការប៉ុណ្ណោះត្រូវបានបើក។ ដរាបណាវគ្គត្រូវបានបិទ ច្រកនានាត្រូវបានរារាំង ដែលផ្តល់នូវកម្រិតសុវត្ថិភាពខ្ពស់។
អង្ករ។ ២.១២.ឧទាហរណ៍នៃយន្តការអធិការកិច្ចរដ្ឋដែលធ្វើការជាមួយពិធីការ FTP
តម្រងកម្រិតកម្មវិធី
ដើម្បីការពារភាពងាយរងគ្រោះមួយចំនួនដែលមាននៅក្នុង packet filtering ជញ្ជាំងភ្លើងត្រូវតែប្រើកម្មវិធីកម្មវិធីដើម្បីត្រងការតភ្ជាប់ទៅកាន់សេវាកម្មដូចជា Telnet, HTTP, FTP ។ កម្មវិធីបែបនេះត្រូវបានគេហៅថាសេវាប្រូកស៊ី ហើយម៉ាស៊ីនដែលសេវាប្រូកស៊ីដំណើរការត្រូវបានគេហៅថា gateway កម្រិតកម្មវិធី។ ច្រកផ្លូវបែបនេះលុបបំបាត់អន្តរកម្មដោយផ្ទាល់រវាងអតិថិជនដែលមានការអនុញ្ញាត និងម៉ាស៊ីនខាងក្រៅ។ ច្រកចេញចូលច្រោះកញ្ចប់ព័ត៌មានចូល និងចេញទាំងអស់នៅស្រទាប់កម្មវិធី (ស្រទាប់កម្មវិធី - ស្រទាប់ខាងលើនៃគំរូបណ្តាញ) ហើយអាចវិភាគមាតិកាទិន្នន័យ ដូចជា URL ដែលមាននៅក្នុងសារ HTTP ឬពាក្យបញ្ជាដែលមាននៅក្នុងសារ FTP ។ ពេលខ្លះវាមានប្រសិទ្ធភាពជាងក្នុងការត្រងកញ្ចប់ព័ត៌មានដោយផ្អែកលើព័ត៌មានដែលមាននៅក្នុងទិន្នន័យខ្លួនឯង។ តម្រងកញ្ចប់ព័ត៌មាន និងតម្រងកម្រិតតំណមិនប្រើខ្លឹមសារនៃស្ទ្រីមព័ត៌មាននៅពេលធ្វើការសម្រេចចិត្តលើការត្រងទេ ប៉ុន្តែការត្រងកម្រិតកម្មវិធីអាចធ្វើដូច្នេះបាន។ តម្រងកម្រិតកម្មវិធីអាចប្រើព័ត៌មានពីបឋមកថាកញ្ចប់ព័ត៌មាន ក៏ដូចជាខ្លឹមសារទិន្នន័យ និងព័ត៌មានអ្នកប្រើប្រាស់។ អ្នកគ្រប់គ្រងអាចប្រើការត្រងកម្រិតកម្មវិធីដើម្បីគ្រប់គ្រងការចូលប្រើប្រាស់ដោយផ្អែកលើអត្តសញ្ញាណរបស់អ្នកប្រើប្រាស់ និង/ឬផ្អែកលើកិច្ចការជាក់លាក់ដែលអ្នកប្រើប្រាស់កំពុងព្យាយាមអនុវត្ត។ នៅក្នុងតម្រងកម្រិតកម្មវិធី អ្នកអាចកំណត់ច្បាប់ដោយផ្អែកលើពាក្យបញ្ជាដែលចេញដោយកម្មវិធី។ ឧទាហរណ៍ អ្នកគ្រប់គ្រងអាចការពារអ្នកប្រើប្រាស់ជាក់លាក់ពីការទាញយកឯកសារទៅកុំព្យូទ័រជាក់លាក់មួយដោយប្រើ FTP ឬអនុញ្ញាតឱ្យអ្នកប្រើបង្ហោះឯកសារតាមរយៈ FTP នៅលើកុំព្យូទ័រតែមួយ។
គុណសម្បត្តិនៃការច្រោះបែបនេះរួមមាន:
ច្បាប់តម្រងសាមញ្ញ;
លទ្ធភាពនៃការរៀបចំអធិការកិច្ចមួយចំនួនធំ។ ការការពារកម្រិតកម្មវិធីអនុញ្ញាតឱ្យមានការត្រួតពិនិត្យបន្ថែមមួយចំនួនធំ ដែលកាត់បន្ថយលទ្ធភាពនៃការលួចចូលដោយប្រើរន្ធនៅក្នុងកម្មវិធី។
សមត្ថភាពក្នុងការវិភាគទិន្នន័យកម្មវិធី។
គុណវិបត្តិ៖
ដំណើរការទាបធៀបនឹងការត្រងកញ្ចប់;
ប្រូកស៊ីត្រូវតែយល់អំពីពិធីការរបស់វា (ភាពមិនអាចទៅរួចនៃការប្រើប្រាស់ជាមួយពិធីការមិនស្គាល់) ?;
តាមក្បួនវាដំណើរការនៅក្រោមប្រព័ន្ធប្រតិបត្តិការស្មុគស្មាញ។
