ความปลอดภัย: ไฟร์วอลล์, การตรวจจับการบุกรุก สัมภาษณ์กับดีลิงค์ โมเด็มพร้อมไฟร์วอลล์ (ไฟร์วอลล์) พร้อมฟังก์ชัน SPI การเปรียบเทียบไฟร์วอลล์ฮาร์ดแวร์และซอฟต์แวร์

ด้วยความหลากหลายของมืออาชีพ ซอฟต์แวร์การป้องกันการโจมตีประเภทต่างๆ บนเครือข่ายท้องถิ่นจากภายนอก (นั่นคือจากอินเทอร์เน็ต) ล้วนมีข้อเสียเปรียบร้ายแรงประการหนึ่ง ค่าใช้จ่ายสูง- และถ้า เรากำลังพูดถึงเกี่ยวกับเครือข่ายขนาดเล็ก คลาสโซโหการซื้อแพ็คเกจจำนวนมากถือเป็นความฟุ่มเฟือยที่ไม่สามารถจ่ายได้ ในขณะเดียวกันก็น่าสังเกตว่าสำหรับ เครือข่ายขนาดเล็กความสามารถของแพ็คเกจดังกล่าวอาจซ้ำซ้อนด้วยซ้ำ ดังนั้นเพื่อปกป้องเครือข่าย SOHO ขนาดเล็ก โซลูชันฮาร์ดแวร์ราคาไม่แพง - ไฟร์วอลล์ - จึงถูกนำมาใช้กันอย่างแพร่หลาย จากการออกแบบ ไฟร์วอลล์สามารถนำไปใช้เป็นโซลูชันแยกต่างหาก หรือเป็นส่วนสำคัญของเราเตอร์คลาส SOHO โดยเฉพาะ เราเตอร์ไร้สายซึ่งช่วยให้คุณสามารถรวมส่วนแบบมีสายและไร้สายของเครือข่ายท้องถิ่นเข้าด้วยกันได้
ในบทความนี้ เราจะดูฟังก์ชันหลักของไฟร์วอลล์ฮาร์ดแวร์สมัยใหม่ที่สร้างไว้ในเราเตอร์คลาส SOHO และใช้เพื่อให้การป้องกันเครือข่ายท้องถิ่นขนาดเล็ก

ไฟร์วอลล์เป็นส่วนหนึ่งของเราเตอร์

เนื่องจากเราเตอร์เป็นอุปกรณ์เครือข่ายที่ติดตั้งอยู่ที่ขอบระหว่างเครือข่ายภายในและภายนอกและทำหน้าที่ดังกล่าว เกตเวย์เครือข่ายจากนั้นในแง่การออกแบบจะต้องมีพอร์ตอย่างน้อยสองพอร์ต LAN เชื่อมต่อกับพอร์ตใดพอร์ตหนึ่งเหล่านี้ และพอร์ตนี้จะกลายเป็นพอร์ต LAN ภายใน เครือข่ายภายนอก (อินเทอร์เน็ต) เชื่อมต่อกับพอร์ตที่สองโดยเปลี่ยนเป็นพอร์ต WAN ภายนอก ตามกฎแล้วเราเตอร์คลาส SOHO มีพอร์ต WAN หนึ่งพอร์ตและพอร์ต LAN หลายพอร์ต (ตั้งแต่หนึ่งถึงสี่) ซึ่งรวมกันเป็นสวิตช์ ในกรณีส่วนใหญ่ พอร์ต WAN ของสวิตช์จะมีอินเทอร์เฟซ 10/100Base-TX และสามารถเชื่อมต่อโมเด็ม xDSL ที่มีอินเทอร์เฟซที่เหมาะสมหรือสายเคเบิลเครือข่ายอีเทอร์เน็ตได้

นอกจากนี้การใช้เครือข่ายไร้สายอย่างแพร่หลายได้นำไปสู่การเกิดขึ้นของเราเตอร์ไร้สายทั้งคลาส อุปกรณ์เหล่านี้ นอกเหนือจากเราเตอร์แบบคลาสสิกที่มีพอร์ต WAN และ LAN แล้ว ยังมีจุดเข้าใช้งานไร้สายในตัวที่รองรับโปรโตคอล IEEE 802.11a/b/g ส่วนไร้สายของเครือข่ายซึ่งช่วยให้คุณสามารถจัดระเบียบจุดเข้าใช้งานจากมุมมองของเราเตอร์หมายถึงเครือข่ายภายในและในแง่นี้คอมพิวเตอร์ที่เชื่อมต่อกับเราเตอร์แบบไร้สายก็ไม่แตกต่างจากที่เชื่อมต่อกับ LAN ท่าเรือ.

เราเตอร์ใดๆ ในฐานะอุปกรณ์เลเยอร์เครือข่าย จะมีที่อยู่ IP ของตัวเอง นอกจากเราเตอร์แล้ว พอร์ต WAN ยังมีที่อยู่ IP ของตัวเองอีกด้วย

คอมพิวเตอร์ที่เชื่อมต่อกับพอร์ต LAN ของเราเตอร์จะต้องมีที่อยู่ IP บนเครือข่ายย่อยเดียวกันกับเราเตอร์ นอกจากนี้ ในการตั้งค่าเครือข่ายของพีซีเหล่านี้ คุณต้องตั้งค่าที่อยู่เกตเวย์เริ่มต้นให้ตรงกับที่อยู่ IP ของเราเตอร์ และสุดท้ายอุปกรณ์ที่เชื่อมต่อกับพอร์ต WAN จาก เครือข่ายภายนอกต้องมีที่อยู่ IP จากเครือข่ายย่อยเดียวกันกับพอร์ต WAN ของเราเตอร์

เนื่องจากเราเตอร์ทำหน้าที่เป็นเกตเวย์ระหว่างเครือข่ายท้องถิ่นและอินเทอร์เน็ต จึงสมเหตุสมผลที่จะคาดหวังฟังก์ชันต่างๆ เช่น การปกป้องเครือข่ายภายในจากการเข้าถึงที่ไม่ได้รับอนุญาต ดังนั้นเราเตอร์คลาส SOHO สมัยใหม่เกือบทั้งหมดจึงมีไฟร์วอลล์ฮาร์ดแวร์ในตัวซึ่งเรียกอีกอย่างว่าไฟร์วอลล์

คุณสมบัติไฟร์วอลล์

วัตถุประสงค์หลักของไฟร์วอลล์ในท้ายที่สุดคือเพื่อให้มั่นใจถึงความปลอดภัยของเครือข่ายภายใน เพื่อแก้ไขปัญหานี้ ไฟร์วอลล์จะต้องสามารถปกปิดเครือข่ายที่ได้รับการป้องกัน และบล็อกทุกอย่างได้ ประเภทที่รู้จักการโจมตีของแฮกเกอร์ บล็อกการรั่วไหลของข้อมูลจากเครือข่ายภายใน ควบคุมแอปพลิเคชันที่เข้าถึงเครือข่ายภายนอก

เพื่อนำไปปฏิบัติ ฟังก์ชั่นที่ระบุไฟร์วอลล์จะวิเคราะห์การรับส่งข้อมูลทั้งหมดระหว่างเครือข่ายภายนอกและภายในเพื่อให้สอดคล้องกับเกณฑ์หรือกฎที่กำหนดไว้ซึ่งกำหนดเงื่อนไขในการส่งผ่านการรับส่งข้อมูลจากเครือข่ายหนึ่งไปยังอีกเครือข่ายหนึ่ง หากการรับส่งข้อมูลตรงตามเกณฑ์ที่กำหนด ไฟร์วอลล์จะอนุญาตให้ผ่านได้ มิฉะนั้น กล่าวคือ หากไม่เป็นไปตามเกณฑ์ที่กำหนดไว้ ไฟร์วอลล์จะบล็อกการรับส่งข้อมูล ไฟร์วอลล์กรองการรับส่งข้อมูลทั้งขาเข้าและขาออก และยังช่วยให้คุณสามารถควบคุมการเข้าถึงทรัพยากรเครือข่ายหรือแอปพลิเคชันบางอย่างได้ พวกเขาสามารถบันทึกความพยายามทั้งหมดในการเข้าถึงทรัพยากรเครือข่ายท้องถิ่นโดยไม่ได้รับอนุญาต และออกคำเตือนเกี่ยวกับความพยายามในการบุกรุก

ในแง่ของวัตถุประสงค์ ไฟร์วอลล์มีลักษณะคล้ายกับจุดตรวจ (จุดตรวจ) ของสถานที่ที่ได้รับการป้องกันอย่างใกล้ชิดที่สุด โดยจะมีการตรวจสอบเอกสารของทุกคนที่เข้ามาในอาณาเขตของสถานที่และทุกคนที่ออกจากสถานที่นั้น หากเป็นไปตามระเบียบ อนุญาตให้เข้าถึงอาณาเขตได้ ไฟร์วอลล์ทำงานในลักษณะเดียวกันทุกประการ เฉพาะบทบาทของผู้ที่ผ่านจุดตรวจสอบเท่านั้นที่เป็นแพ็กเก็ตเครือข่าย และการส่งผ่านคือส่วนหัวของแพ็กเก็ตเหล่านี้สอดคล้องกับชุดกฎที่กำหนดไว้ล่วงหน้า

ไฟร์วอลล์มีความน่าเชื่อถือจริงหรือ?

เป็นไปได้ไหมที่จะบอกว่าไฟร์วอลล์ให้ความปลอดภัย 100% สำหรับเครือข่ายของผู้ใช้หรือพีซีส่วนบุคคล ไม่แน่นอน หากเพียงเพราะไม่มีระบบใดให้การรับประกันความปลอดภัยได้ 100% ไฟร์วอลล์ควรถือเป็นเครื่องมือที่หากกำหนดค่าอย่างถูกต้อง จะทำให้งานของผู้โจมตีเจาะเข้าไปมีความซับซ้อนมากขึ้น คอมพิวเตอร์ส่วนบุคคลผู้ใช้ เราเน้นย้ำ: ซับซ้อนเท่านั้น แต่ไม่รับประกันเลย ความปลอดภัยอย่างแท้จริง- อย่างไรก็ตามหากเราไม่ได้พูดถึงการปกป้องเครือข่ายท้องถิ่น แต่เกี่ยวกับการปกป้องพีซีแต่ละเครื่องด้วยการเข้าถึงอินเทอร์เน็ต ไฟร์วอลล์ ICF (Internet Connection Firewall) ที่สร้างในระบบปฏิบัติการ Windows XP จะสามารถรับมือกับความปลอดภัยส่วนบุคคลได้สำเร็จ ดังนั้นในอนาคตเราจะพูดถึงเฉพาะไฟร์วอลล์ฮาร์ดแวร์ขององค์กรที่มุ่งปกป้องเครือข่ายขนาดเล็กเท่านั้น

หากไฟร์วอลล์ที่ติดตั้งที่ทางเข้าเครือข่ายท้องถิ่นเปิดใช้งานโดยสมบูรณ์ (ตามกฎแล้วสิ่งนี้สอดคล้องกับการตั้งค่าเริ่มต้น) เครือข่ายที่ป้องกันนั้นจะไม่สามารถเข้าถึงได้อย่างสมบูรณ์และไม่สามารถเข้าถึงได้จากภายนอก อย่างไรก็ตาม การที่เครือข่ายภายในไม่สามารถเจาะเข้าไปได้อย่างสมบูรณ์ก็มีข้อเสียเช่นกัน ความจริงก็คือในกรณีนี้จะไม่สามารถใช้บริการอินเทอร์เน็ต (เช่น ICQ และโปรแกรมที่คล้ายกัน) ที่ติดตั้งบนพีซีได้ ดังนั้นงานในการตั้งค่าไฟร์วอลล์คือการสร้างหน้าต่างในผนังว่างในตอนแรกที่ไฟร์วอลล์เป็นตัวแทนสำหรับผู้โจมตี ช่วยให้โปรแกรมผู้ใช้สามารถตอบสนองต่อคำขอจากภายนอกและดำเนินการโต้ตอบที่ได้รับการควบคุมระหว่างเครือข่ายภายในและโลกภายนอกในท้ายที่สุด อย่างไรก็ตาม ยิ่งหน้าต่างดังกล่าวปรากฏในผนังมากเท่าไร เครือข่ายก็จะยิ่งมีความเสี่ยงมากขึ้นเท่านั้น ดังนั้นให้เราเน้นย้ำอีกครั้ง: ไม่มีไฟร์วอลล์ใดที่สามารถรับประกันความปลอดภัยที่แท้จริงของเครือข่ายท้องถิ่นที่ไฟร์วอลล์ปกป้องได้

การจำแนกประเภทของไฟร์วอลล์

ความสามารถของไฟร์วอลล์และระดับความฉลาดของมันขึ้นอยู่กับระดับนั้น โมเดลอ้างอิง OSI พวกมันทำงาน ยิ่งสูง. ชั้น OSIซึ่งไฟร์วอลล์ถูกสร้างขึ้น ระดับการป้องกันก็จะสูงขึ้นตามไปด้วย

จำได้ว่าแบบจำลอง OSI ( เปิดระบบการเชื่อมต่อโครงข่าย) ประกอบด้วยเจ็ดระดับ สถาปัตยกรรมเครือข่าย- อันแรกอันต่ำสุดก็คือ ชั้นทางกายภาพ- ตามมาด้วยดาต้าลิงค์ เครือข่าย การขนส่ง เซสชัน การนำเสนอ และแอปพลิเคชันหรือเลเยอร์แอปพลิเคชัน เพื่อจัดให้มีการกรองการรับส่งข้อมูล ไฟร์วอลล์จะต้องทำงานอย่างน้อยในเลเยอร์ที่สามของโมเดล OSI นั่นคือที่เลเยอร์เครือข่าย โดยที่แพ็กเก็ตถูกกำหนดเส้นทางตามการแปลที่อยู่ MAC ไปยังที่อยู่เครือข่าย จากมุมมองของโปรโตคอล TCP/IP เลเยอร์นี้สอดคล้องกับเลเยอร์ IP (Internet Protocol) เมื่อรับข้อมูลเลเยอร์เครือข่าย ไฟร์วอลล์จะสามารถระบุที่อยู่ต้นทางและปลายทางของแพ็กเก็ต และตรวจสอบว่าอนุญาตให้รับส่งข้อมูลระหว่างปลายทางเหล่านี้หรือไม่ อย่างไรก็ตาม มีข้อมูลเลเยอร์เครือข่ายไม่เพียงพอที่จะวิเคราะห์เนื้อหาแพ็กเก็ต ไฟร์วอลล์ที่ทำงานที่เลเยอร์การขนส่ง OSI ได้รับหลายรายการ ข้อมูลเพิ่มเติมเกี่ยวกับแพ็กเก็ตและในแง่นี้สามารถให้แผนการรักษาความปลอดภัยเครือข่ายที่ชาญฉลาดยิ่งขึ้น สำหรับไฟร์วอลล์ที่ทำงานในระดับแอปพลิเคชันนั้นสามารถเข้าถึงได้ ข้อมูลครบถ้วนเกี่ยวกับแพ็คเก็ตเครือข่าย ซึ่งหมายความว่าไฟร์วอลล์ดังกล่าวให้การป้องกันเครือข่ายที่เชื่อถือได้มากที่สุด

ขึ้นอยู่กับระดับของโมเดล OSI ที่ไฟร์วอลล์ทำงาน ในอดีตการจัดหมวดหมู่ของอุปกรณ์เหล่านี้ได้พัฒนาขึ้น:

  • ตัวกรองแพ็คเก็ต;
  • เกตเวย์ระดับเซสชัน (เกตเวย์ระดับวงจร);
  • เกตเวย์ระดับแอปพลิเคชัน
  • การตรวจสอบแพ็คเก็ตแบบมีสถานะ (SPI)

โปรดทราบว่า การจำแนกประเภทนี้มีความสนใจในอดีตเท่านั้น เนื่องจากไฟร์วอลล์สมัยใหม่ทั้งหมดอยู่ในหมวดหมู่ของไฟร์วอลล์ SPI ที่ทันสมัยที่สุด (ในแง่ของการป้องกันเครือข่าย)

ตัวกรองแบทช์

ไฟร์วอลล์ประเภทตัวกรองแพ็คเก็ตเป็นไฟร์วอลล์พื้นฐานที่สุด (ฉลาดน้อยที่สุด) ไฟร์วอลล์เหล่านี้ทำงานที่เลเยอร์เครือข่ายของโมเดล OSI หรือที่เลเยอร์ IP ของสแต็กโปรโตคอล TCP/IP ไฟร์วอลล์ดังกล่าวเป็นสิ่งจำเป็นในเราเตอร์ทุกตัว เนื่องจากเราเตอร์ใดๆ ทำงานอย่างน้อยที่เลเยอร์ที่สามของรุ่น OSI

งานของตัวกรองแพ็คเก็ตคือการกรองแพ็คเก็ตตามข้อมูลเกี่ยวกับที่อยู่ IP ต้นทางหรือปลายทางและหมายเลขพอร์ต

ในไฟร์วอลล์ประเภทตัวกรองแพ็กเก็ต แต่ละแพ็กเก็ตจะถูกวิเคราะห์เพื่อตรวจสอบว่าตรงตามเกณฑ์การส่งข้อมูลหรือไม่ หรือมีการบล็อกการส่งข้อมูลก่อนที่จะส่งหรือไม่ ไฟร์วอลล์สามารถส่งแพ็กเก็ต ปฏิเสธ หรือส่งการแจ้งเตือนไปยังผู้เริ่มการส่งข้อมูล ทั้งนี้ขึ้นอยู่กับแพ็กเก็ตและเกณฑ์การส่งที่สร้างขึ้น

ตัวกรองแพ็คเก็ตนั้นใช้งานง่ายและแทบไม่มีผลกระทบต่อความเร็วการกำหนดเส้นทาง

เซสชันเกตเวย์

เกตเวย์เลเยอร์เซสชันคือไฟร์วอลล์ที่ทำงานที่เลเยอร์เซสชันของโมเดล OSI หรือที่เลเยอร์ TCP (Transport Control Protocol) ของสแต็กโปรโตคอล TCP/IP ไฟร์วอลล์เหล่านี้จะตรวจสอบกระบวนการสร้างการเชื่อมต่อ TCP (องค์กรของเซสชันการแลกเปลี่ยนข้อมูลระหว่างเครื่องปลายทาง) และช่วยให้คุณสามารถพิจารณาว่าเซสชันการสื่อสารที่กำหนดนั้นถูกต้องหรือไม่ ข้อมูลที่ถ่ายโอนไปยัง คอมพิวเตอร์ระยะไกลในเครือข่ายภายนอกผ่านเกตเวย์ที่ระดับเซสชันไม่มีข้อมูลเกี่ยวกับแหล่งที่มาของการส่งข้อมูลนั่นคือทุกอย่างดูราวกับว่าข้อมูลถูกส่งโดยไฟร์วอลล์เองและไม่ใช่โดยคอมพิวเตอร์บนเครือข่ายภายใน (ป้องกัน) . ไฟร์วอลล์ที่ใช้โปรโตคอล NAT ทั้งหมดเป็นเกตเวย์เลเยอร์เซสชัน (โปรโตคอล NAT จะอธิบายไว้ด้านล่าง)

เกตเวย์ระดับเซสชันยังไม่มีผลกระทบอย่างมีนัยสำคัญต่อความเร็วการกำหนดเส้นทาง ในเวลาเดียวกัน เกตเวย์เหล่านี้ไม่สามารถกรองแต่ละแพ็กเก็ตได้

เกตเวย์แอปพลิเคชัน

เกตเวย์เลเยอร์แอปพลิเคชันหรือพร็อกซีเซิร์ฟเวอร์ ทำงานที่เลเยอร์แอปพลิเคชันของโมเดล OSI เลเยอร์แอปพลิเคชันมีหน้าที่รับผิดชอบในการเข้าถึงแอปพลิเคชันไปยังเครือข่าย งานในระดับนี้ได้แก่ การถ่ายโอนไฟล์ การแลกเปลี่ยน ทางไปรษณีย์และการจัดการเครือข่าย เมื่อรับข้อมูลเกี่ยวกับแพ็กเก็ตที่เลเยอร์แอปพลิเคชัน เกตเวย์ของเลเยอร์แอปพลิเคชันสามารถใช้การบล็อกการเข้าถึงบริการบางอย่างได้ ตัวอย่างเช่น หากเกตเวย์ระดับแอปพลิเคชันได้รับการกำหนดค่าเป็นเว็บพร็อกซี การรับส่งข้อมูลใดๆ ที่เกี่ยวข้องกับโปรโตคอล Telnet, FTP, Gopher จะถูกบล็อก เนื่องจากไฟร์วอลล์เหล่านี้วิเคราะห์แพ็กเก็ตที่เลเยอร์แอปพลิเคชัน จึงสามารถกรองคำสั่งเฉพาะ เช่น http:post, get เป็นต้น คุณลักษณะนี้ใช้ไม่ได้กับตัวกรองแพ็คเก็ตหรือเกตเวย์ชั้นเซสชัน เกตเวย์ระดับแอปพลิเคชันยังสามารถใช้เพื่อบันทึกกิจกรรมของผู้ใช้แต่ละรายและสร้างเซสชันการสื่อสารระหว่างผู้ใช้เหล่านั้น ไฟร์วอลล์เหล่านี้นำเสนอวิธีการที่มีประสิทธิภาพในการปกป้องเครือข่ายมากกว่าเกตเวย์ชั้นเซสชันและตัวกรองแพ็คเก็ต

ไฟร์วอลล์ SPI

ไฟร์วอลล์ประเภทล่าสุด Stateful Packet Inspection (SPI) ผสมผสานประโยชน์ของตัวกรองแพ็คเก็ต เกตเวย์ในชั้นเซสชัน และเกตเวย์ในชั้นแอปพลิเคชัน ที่จริงแล้วเรากำลังพูดถึงไฟร์วอลล์หลายระดับที่ทำงานพร้อมกันในระดับเครือข่าย เซสชัน และแอปพลิเคชัน

ไฟร์วอลล์ SPI จะกรองแพ็กเก็ตที่เลเยอร์เครือข่าย กำหนดความถูกต้องของเซสชันการสื่อสารตามข้อมูลเลเยอร์เซสชัน และวิเคราะห์เนื้อหาของแพ็กเก็ตตามข้อมูลเลเยอร์แอปพลิเคชัน

ไฟร์วอลล์เหล่านี้มอบวิธีการที่เชื่อถือได้มากที่สุดในการปกป้องเครือข่ายและ ในขณะนี้เป็นมาตรฐานโดยพฤตินัย

การตั้งค่าไฟร์วอลล์

วิธีการและความสามารถในการกำหนดค่าไฟร์วอลล์ขึ้นอยู่กับ รุ่นเฉพาะ- น่าเสียดายที่ไม่มีกฎการกำหนดค่าที่เหมือนกัน มีอินเทอร์เฟซที่เหมือนกันน้อยกว่ามาก เราสามารถพูดคุยเกี่ยวกับกฎทั่วไปบางประการที่ควรปฏิบัติตามเท่านั้น ที่จริงแล้วกฎพื้นฐานนั้นค่อนข้างง่าย: จำเป็นต้องห้ามทุกสิ่งที่ไม่จำเป็นสำหรับการทำงานปกติของเครือข่าย

บ่อยครั้งที่ความสามารถในการกำหนดค่าไฟร์วอลล์ขึ้นอยู่กับการเปิดใช้งานกฎที่กำหนดไว้ล่วงหน้าและการสร้างกฎแบบคงที่ในรูปแบบของตาราง

ลองใช้ตัวอย่างตัวเลือกสำหรับการกำหนดค่าไฟร์วอลล์ที่รวมอยู่ในเราเตอร์ Gigabyte GN-B49G เราเตอร์นี้มีกฎที่กำหนดไว้ล่วงหน้าจำนวนหนึ่งที่อนุญาตให้คุณใช้ระดับการรักษาความปลอดภัยเครือข่ายภายในในระดับต่างๆ กฎเหล่านี้มีดังต่อไปนี้:

  • ห้ามเข้าถึงการกำหนดค่าและการดูแลระบบของเราเตอร์จากฝั่ง WAN การเปิดใช้งานฟังก์ชันนี้จะห้ามการเข้าถึงการตั้งค่าเราเตอร์จากเครือข่ายภายนอก
  • การเข้าถึงจาก Global-IP ไปยัง Private-IP เป็นสิ่งต้องห้ามภายใน LAN ฟังก์ชั่นนี้ช่วยให้คุณสามารถบล็อกการเข้าถึงภายในเครือข่ายท้องถิ่นจากที่อยู่ IP ทั่วโลก (ถ้ามี) ไปยังที่อยู่ IP ที่สงวนไว้สำหรับการใช้งานส่วนตัว
  • ป้องกันการแชร์ไฟล์และเครื่องพิมพ์จากภายนอกเครือข่ายของเราเตอร์ ฟังก์ชั่นนี้ป้องกันการใช้การเข้าถึงเครื่องพิมพ์และไฟล์ร่วมกันบนเครือข่ายภายในจากภายนอก
  • ไม่สามารถตรวจพบการมีอยู่ของเราเตอร์ได้จากฝั่ง WAN ฟังก์ชั่นนี้ทำให้เราเตอร์มองไม่เห็นจากเครือข่ายภายนอก
  • ป้องกันการโจมตีประเภท Denial of Service (DoS) เมื่อเปิดใช้งานฟังก์ชันนี้ จะมีการใช้การป้องกันการโจมตี DoS (Denial of Service) การโจมตี DoS นั้นเป็นประเภทหนึ่ง การโจมตีเครือข่ายซึ่งประกอบด้วยการรับคำขอจำนวนหนึ่งไปยังเซิร์ฟเวอร์ที่ต้องการบริการจากระบบ เซิร์ฟเวอร์ใช้ทรัพยากรในการสร้างการเชื่อมต่อและให้บริการ และเมื่อได้รับคำขอบางอย่างแล้ว ก็ไม่สามารถรับมือกับคำขอเหล่านั้นได้ การป้องกันการโจมตีประเภทนี้จะขึ้นอยู่กับการวิเคราะห์แหล่งที่มาของการโจมตีที่มากเกินไปเมื่อเปรียบเทียบกับ การจราจรปกติและห้ามโอน

ดังที่เราได้กล่าวไปแล้ว ไฟร์วอลล์จำนวนมากมีกฎที่กำหนดไว้ล่วงหน้า ซึ่งโดยพื้นฐานแล้วจะเหมือนกับกฎที่ระบุไว้ข้างต้น แต่อาจมีชื่อที่แตกต่างกัน

อีกวิธีในการกำหนดค่าไฟร์วอลล์คือการสร้างกฎแบบคงที่ซึ่งไม่เพียงช่วยให้คุณปกป้องเครือข่ายจากภายนอกเท่านั้น แต่ยังช่วยจำกัดผู้ใช้เครือข่ายท้องถิ่นไม่ให้เข้าถึงเครือข่ายภายนอกอีกด้วย ความเป็นไปได้ในการสร้างกฎค่อนข้างยืดหยุ่นและช่วยให้คุณสามารถปรับใช้ได้เกือบทุกสถานการณ์ ในการสร้างกฎ คุณต้องระบุที่อยู่ IP ต้นทาง (หรือช่วงของที่อยู่) พอร์ตต้นทาง ที่อยู่ IP ปลายทางและพอร์ต ประเภทโปรโตคอล ทิศทางการส่งแพ็กเก็ต (จากเครือข่ายภายในไปยังเครือข่ายภายนอกหรือในทางกลับกัน) เช่นกัน เป็นการกระทำที่ควรดำเนินการเมื่อตรวจพบแพ็กเก็ตด้วยคุณสมบัติที่ระบุ (ปล่อยหรือข้ามแพ็กเก็ต) ตัวอย่างเช่น หากคุณต้องการห้ามผู้ใช้เครือข่ายภายใน (ช่วงที่อยู่ IP: 192.168.1.1-192.168.1.100) ไม่ให้เข้าถึงเซิร์ฟเวอร์ FTP (พอร์ต 21) ซึ่งอยู่ที่ที่อยู่ IP ภายนอก 64.233.183.104 กฎอาจเป็นได้ กำหนดไว้ดังต่อไปนี้:

  • ทิศทางการส่งแพ็คเก็ต: LAN-to-WAN;
  • ที่อยู่ IP ต้นทาง: 192.168.1.1-192.168.1.100;
  • พอร์ตต้นทาง: 1-65535;
  • พอร์ตปลายทาง: 21;
  • โปรโตคอล: TCP;
  • การกระทำ: หล่น

การกำหนดค่าคงที่ของกฎไฟร์วอลล์สำหรับตัวอย่างที่กล่าวถึงข้างต้นจะแสดงในรูปที่ 1 1.

โปรโตคอล NAT ซึ่งเป็นส่วนหนึ่งของไฟร์วอลล์

เราเตอร์สมัยใหม่ทั้งหมดที่มีไฟร์วอลล์ในตัวรองรับโปรโตคอล NAT (Network Address Translation)

โปรโตคอล NAT ไม่ได้เป็นส่วนหนึ่งของไฟร์วอลล์ แต่ในขณะเดียวกันก็ช่วยปรับปรุงความปลอดภัยของเครือข่าย ภารกิจหลักของโปรโตคอล NAT คือการแก้ปัญหาการขาดแคลนที่อยู่ IP ซึ่งจะมีความเร่งด่วนมากขึ้นเรื่อย ๆ เมื่อจำนวนคอมพิวเตอร์เพิ่มมากขึ้น

ความจริงก็คือในเวอร์ชันปัจจุบันของโปรโตคอล IPv4 มีการจัดสรรไบต์สี่ไบต์เพื่อกำหนดที่อยู่ IP ซึ่งทำให้สามารถสร้างที่อยู่คอมพิวเตอร์เครือข่ายได้มากกว่าสี่พันล้านที่อยู่ แน่นอนว่าในสมัยที่อินเทอร์เน็ตเพิ่งเกิดขึ้น เป็นเรื่องยากที่จะจินตนาการว่าสักวันหนึ่งที่อยู่ IP จำนวนนี้อาจไม่เพียงพอ เพื่อแก้ไขปัญหาการขาดแคลนที่อยู่ IP บางส่วน จึงได้มีการเสนอโปรโตคอลการแปลที่อยู่เครือข่าย NAT

โปรโตคอล NAT ถูกกำหนดโดยมาตรฐาน RFC 1631 ซึ่งกำหนดวิธีการแปลที่อยู่เครือข่าย

ในกรณีส่วนใหญ่ อุปกรณ์ NAT จะแปลงที่อยู่ IP ที่สงวนไว้สำหรับการใช้งานส่วนตัวบนเครือข่ายท้องถิ่นให้เป็นที่อยู่ IP สาธารณะ

พื้นที่ที่อยู่ส่วนตัวอยู่ภายใต้การควบคุมของ RFC 1918 ที่อยู่เหล่านี้ประกอบด้วยช่วง IP ต่อไปนี้: 10.0.0.0-10.255.255.255, 172.16.0.0-172.31.255.255, 192.168.0.0-192.168.255.255

ตาม RFC 1918 ไม่สามารถใช้ที่อยู่ IP ส่วนตัวได้ เครือข่ายทั่วโลกดังนั้นจึงสามารถใช้งานได้อย่างอิสระเพื่อวัตถุประสงค์ภายในเท่านั้น

ก่อนที่จะไปยังข้อมูลเฉพาะของโปรโตคอล NAT เรามาดูกันว่าการเชื่อมต่อเครือข่ายเกิดขึ้นระหว่างพีซีสองเครื่องอย่างไร

เมื่อคอมพิวเตอร์เครื่องหนึ่งบนเครือข่ายสร้างการเชื่อมต่อกับคอมพิวเตอร์อีกเครื่องหนึ่ง ซ็อกเก็ตจะถูกเปิดขึ้น ซึ่งกำหนดโดยที่อยู่ IP ต้นทาง พอร์ตต้นทาง ที่อยู่ IP ปลายทาง พอร์ตปลายทาง และโปรโตคอลเครือข่าย รูปแบบแพ็กเก็ต IP มีช่องขนาด 2 ไบต์สำหรับหมายเลขพอร์ต ซึ่งช่วยให้คุณสามารถกำหนดพอร์ตได้ 65,535 พอร์ตซึ่งมีบทบาทเป็นช่องทางการสื่อสารที่ไม่ซ้ำกัน จากทั้งหมด 65,535 พอร์ต 1,023 พอร์ตแรกถูกสงวนไว้สำหรับบริการเซิร์ฟเวอร์ที่มีชื่อเสียง เช่น เว็บ, FTP, Telnet เป็นต้น พอร์ตอื่นๆ ทั้งหมดสามารถใช้เพื่อวัตถุประสงค์อื่นได้

ตัวอย่างเช่น หากคอมพิวเตอร์เครือข่ายเครื่องหนึ่งเข้าถึงเซิร์ฟเวอร์ FTP (พอร์ต 21) จากนั้นเมื่อเปิดซ็อกเก็ต ระบบปฏิบัติการกำหนดพอร์ตใด ๆ ที่สูงกว่า 1,023 ให้กับเซสชัน ตัวอย่างเช่น อาจเป็นพอร์ต 2153 จากนั้นแพ็กเก็ต IP ที่ส่งจากพีซีไปยังเซิร์ฟเวอร์ FTP จะมีที่อยู่ IP ของผู้ส่ง พอร์ตของผู้ส่ง (2153) ที่อยู่ IP ของผู้รับ และปลายทาง พอร์ต (21) ที่อยู่ IP ต้นทางและพอร์ตจะถูกใช้สำหรับการตอบสนองของเซิร์ฟเวอร์ต่อไคลเอนต์ การใช้พอร์ตที่แตกต่างกันสำหรับเซสชันเครือข่ายที่แตกต่างกันทำให้ไคลเอนต์เครือข่ายสามารถสร้างหลายเซสชันพร้อมกันได้ เซิร์ฟเวอร์ต่างๆหรือด้วยบริการของเซิร์ฟเวอร์เดียว

ตอนนี้เรามาดูกระบวนการสร้างเซสชันเมื่อใช้เราเตอร์ NAT ที่ขอบของเครือข่ายภายในและอินเทอร์เน็ต

เมื่อไคลเอ็นต์เครือข่ายภายในสร้างการเชื่อมต่อกับเซิร์ฟเวอร์เครือข่ายภายนอก ดังนั้นในกรณีของการสร้างการเชื่อมต่อระหว่างพีซีสองเครื่อง ซ็อกเก็ตจะถูกเปิด ซึ่งกำหนดโดยที่อยู่ IP ต้นทาง พอร์ตต้นทาง ที่อยู่ IP ปลายทาง พอร์ตปลายทาง และโปรโตคอลเครือข่าย เมื่อแอปพลิเคชันส่งข้อมูลผ่านซ็อกเก็ตนี้ ที่อยู่ IP ต้นทางและพอร์ตต้นทางจะถูกแทรกลงในแพ็กเก็ตในช่องตัวเลือกแหล่งที่มา ฟิลด์ตัวเลือกปลายทางจะมีที่อยู่ IP ของเซิร์ฟเวอร์และพอร์ตเซิร์ฟเวอร์ ตัวอย่างเช่น คอมพิวเตอร์บนเครือข่ายภายในที่มีที่อยู่ IP 192.168.0.1 สามารถเข้าถึงเว็บเซิร์ฟเวอร์ WAN ด้วยที่อยู่ IP 64.233.188.104 ในกรณีนี้ระบบปฏิบัติการไคลเอนต์สามารถกำหนดพอร์ต 1251 (พอร์ตต้นทาง) ให้กับเซสชันที่สร้างขึ้นและพอร์ตปลายทางคือพอร์ตบริการเว็บนั่นคือ 80 จากนั้นแอตทริบิวต์ต่อไปนี้จะถูกระบุในส่วนหัวของแพ็กเก็ตที่ส่ง (รูปที่ 2):

  • พอร์ตต้นทาง: 1251;
  • ที่อยู่ IP ของผู้รับ: 64.233.183.104;
  • พอร์ตปลายทาง: 80;
  • โปรโตคอล: TCP

อุปกรณ์ NAT (เราเตอร์) ดักแพ็คเก็ตที่มาจากเครือข่ายภายในและเข้าสู่ตารางภายในของการแมปพอร์ตต้นทางและปลายทางของแพ็คเก็ตโดยใช้ที่อยู่ IP ปลายทาง, พอร์ตปลายทาง, ที่อยู่ IP ภายนอกของอุปกรณ์ NAT, พอร์ตภายนอก โปรโตคอลเครือข่ายและ IP ภายใน - ที่อยู่ไคลเอ็นต์และพอร์ต

สมมติว่าในตัวอย่างที่กล่าวถึงข้างต้น เราเตอร์ NAT มีที่อยู่ IP ภายนอก 195.2.91.103 (ที่อยู่พอร์ต WAN) และสำหรับเซสชันที่สร้างขึ้น พอร์ตภายนอกของอุปกรณ์ NAT คือ 3210 ในกรณีนี้ ตารางภายใน สำหรับการแมปพอร์ตต้นทางและปลายทางของแพ็กเก็ตประกอบด้วยข้อมูลต่อไปนี้:

  • IP ต้นทาง: 192.168.0.1;
  • พอร์ตต้นทาง: 1251;
  • ที่อยู่ IP ภายนอก

อุปกรณ์ NAT: 195.2.91.103;

  • พอร์ตอุปกรณ์ NAT ภายนอก: 3210;
  • ที่อยู่ IP ของผู้รับ: 64.233.183.104;
  • พอร์ตปลายทาง: 80;
  • โปรโตคอล: TCP

จากนั้นอุปกรณ์ NAT จะ "ออกอากาศ" แพ็กเก็ตโดยการแปลงฟิลด์ต้นทางในแพ็กเก็ต: ที่อยู่ IP ภายในและพอร์ตของไคลเอ็นต์จะถูกแทนที่ด้วยที่อยู่ IP และพอร์ตภายนอกของอุปกรณ์ NAT ในตัวอย่างนี้ แพ็คเกจที่แปลงแล้วจะมีข้อมูลต่อไปนี้:

  • IP ต้นทาง: 195.2.91.103;
  • พอร์ตต้นทาง: 3210;
  • ที่อยู่ IP ของผู้รับ: 64.233.183.104;
  • พอร์ตปลายทาง: 80;
  • โปรโตคอล: TCP

แพ็กเก็ตที่แปลงแล้วจะถูกส่งผ่านเครือข่ายภายนอกและไปถึงเซิร์ฟเวอร์ที่ระบุในท้ายที่สุด

เมื่อได้รับแพ็กเก็ตแล้วเซิร์ฟเวอร์จะส่งต่อแพ็กเก็ตตอบกลับไปยังที่อยู่ IP ภายนอกและพอร์ตของอุปกรณ์ NAT (เราเตอร์) โดยระบุที่อยู่ IP และพอร์ตของตัวเองในฟิลด์ต้นทาง (รูปที่ 3) ในตัวอย่างที่พิจารณา แพ็กเก็ตการตอบกลับจากเซิร์ฟเวอร์จะมีข้อมูลต่อไปนี้ในส่วนหัว:

  • พอร์ตต้นทาง: 80;
  • ที่อยู่ IP ของผู้รับ: 195.2.91.103;
  • พอร์ตปลายทาง: 3210;
  • โปรโตคอล: TCP

ข้าว. 3. หลักการทำงานของอุปกรณ์ NAT เมื่อส่งแพ็กเก็ตจากเครือข่ายภายนอกไปยังเครือข่ายภายใน

อุปกรณ์ NAT รับแพ็กเก็ตเหล่านี้จากเซิร์ฟเวอร์และแยกวิเคราะห์เนื้อหาตามตารางการแมปพอร์ต หากพบการแมปพอร์ตในตารางซึ่งที่อยู่ IP ต้นทาง พอร์ตต้นทาง พอร์ตปลายทาง และโปรโตคอลเครือข่ายจากแพ็กเก็ตขาเข้าตรงกับที่อยู่ IP ของโฮสต์ระยะไกล ด้วย พอร์ตระยะไกลและด้วยโปรโตคอลเครือข่ายที่ระบุในการแมปพอร์ต NAT จะทำงาน การแปลงผกผัน: แทนที่ที่อยู่ IP ภายนอกและพอร์ตภายนอกในช่องปลายทางของแพ็กเก็ตด้วยที่อยู่ IP และพอร์ตภายในของไคลเอ็นต์เครือข่ายภายใน ดังนั้นแพ็กเก็ตที่ส่งไปยังเครือข่ายภายในสำหรับตัวอย่างที่กล่าวถึงข้างต้นจะมีคุณลักษณะดังต่อไปนี้:

  • IP ต้นทาง: 64.233.183.104;
  • พอร์ตต้นทาง: 80;
  • ที่อยู่ IP ของผู้รับ: 192.168.0.1;
  • พอร์ตปลายทาง: 1251;
  • โปรโตคอล: TCP

อย่างไรก็ตามหากไม่มีการจับคู่ในตารางการแมปพอร์ตแล้ว แพ็คเกจที่เข้ามาถูกปฏิเสธและการเชื่อมต่อถูกยกเลิก

ต้องขอบคุณเราเตอร์ NAT พีซีทุกเครื่องในเครือข่ายภายในสามารถถ่ายโอนข้อมูลไปยังเครือข่ายทั่วโลกโดยใช้ที่อยู่ IP ภายนอกและพอร์ตของเราเตอร์ ในกรณีนี้ ที่อยู่ IP ของเครือข่ายภายในซึ่งเป็นพอร์ตที่กำหนดให้กับเซสชัน ยังคงมองไม่เห็นจากเครือข่ายภายนอก

อย่างไรก็ตาม เราเตอร์ NAT อนุญาตให้มีการแลกเปลี่ยนข้อมูลระหว่างคอมพิวเตอร์ในเครือข่ายภายในและภายนอกเฉพาะในกรณีที่การแลกเปลี่ยนนี้เริ่มต้นโดยคอมพิวเตอร์ในเครือข่ายภายในเท่านั้น หากคอมพิวเตอร์บนเครือข่ายภายนอกพยายามเข้าถึงคอมพิวเตอร์บนเครือข่ายภายในด้วยความคิดริเริ่มของตนเอง การเชื่อมต่อจะถูกปฏิเสธโดยอุปกรณ์ NAT ดังนั้นนอกเหนือจากการแก้ปัญหาการขาดแคลนที่อยู่ IP แล้ว โปรโตคอล NAT ยังช่วยปรับปรุงความปลอดภัยของเครือข่ายภายในอีกด้วย

ปัญหาที่เกี่ยวข้องกับอุปกรณ์ NAT

แม้ว่าอุปกรณ์ NAT จะดูเรียบง่าย แต่ก็เกี่ยวข้องกับปัญหาบางอย่างที่มักจะทำให้การจัดระเบียบปฏิสัมพันธ์ระหว่างกันยุ่งยากขึ้น คอมพิวเตอร์เครือข่ายหรือขัดขวางการก่อตั้งโดยทั่วไป ตัวอย่างเช่น หากเครือข่ายท้องถิ่นได้รับการปกป้องโดยอุปกรณ์ NAT ไคลเอนต์ใดๆ บนเครือข่ายภายในจะสามารถสร้างการเชื่อมต่อกับเซิร์ฟเวอร์ WAN ได้ แต่ในทางกลับกัน นั่นคือคุณไม่สามารถเริ่มต้นการเชื่อมต่อจากเครือข่ายภายนอกไปยังเซิร์ฟเวอร์ที่อยู่บนเครือข่ายภายในด้านหลังอุปกรณ์ NAT แต่จะเกิดอะไรขึ้นหากมีบริการบนเครือข่ายภายใน (เช่น FTP หรือเว็บเซิร์ฟเวอร์) ที่ผู้ใช้บนเครือข่ายภายนอกต้องสามารถเข้าถึงได้ เพื่อแก้ไขปัญหานี้ เราเตอร์ NAT ใช้เทคโนโลยีโซนปลอดทหารและการส่งต่อพอร์ต ซึ่งจะอธิบายรายละเอียดด้านล่าง

ปัญหาอีกประการหนึ่งเกี่ยวกับอุปกรณ์ NAT ก็คือแอปพลิเคชันเครือข่ายบางตัวรวมที่อยู่ IP และพอร์ตไว้ในส่วนข้อมูลของแพ็กเก็ต เห็นได้ชัดว่าอุปกรณ์ NAT ไม่สามารถดำเนินการแปลที่อยู่ดังกล่าวได้ ด้วยเหตุนี้ หากแอปพลิเคชันเครือข่ายแทรกที่อยู่ IP หรือพอร์ตลงในส่วนของเพย์โหลดของแพ็กเก็ต เซิร์ฟเวอร์ที่ตอบสนองต่อแพ็กเก็ตนั้นจะใช้ที่อยู่ IP และพอร์ตที่ซ้อนกันซึ่งไม่มีรายการการแมปที่สอดคล้องกันในตารางภายในของอุปกรณ์ NAT . เป็นผลให้แพ็กเก็ตดังกล่าวจะถูกยกเลิกโดยอุปกรณ์ NAT ดังนั้นแอปพลิเคชันที่ใช้เทคโนโลยีนี้จะไม่สามารถทำงานได้ต่อหน้าอุปกรณ์ NAT

มีแอปพลิเคชันเครือข่ายที่ใช้พอร์ตหนึ่ง (เป็นพอร์ตต้นทาง) เพื่อส่งข้อมูล แต่รอการตอบสนองบนพอร์ตอื่น อุปกรณ์ NAT วิเคราะห์การรับส่งข้อมูลขาออกและจับคู่พอร์ตต้นทาง อย่างไรก็ตาม อุปกรณ์ NAT ไม่ทราบว่าคาดว่าจะมีการตอบสนองบนพอร์ตอื่น และไม่สามารถดำเนินการแมปที่เกี่ยวข้องได้ ด้วยเหตุนี้ แพ็กเก็ตการตอบสนองที่ส่งไปยังพอร์ตที่ไม่มีการแมปในตารางภายในของอุปกรณ์ NAT จะลดลง

ปัญหาอีกประการหนึ่งเกี่ยวกับอุปกรณ์ NAT คือการเข้าถึงพอร์ตเดียวกันหลายครั้ง ลองพิจารณาสถานการณ์ที่ไคลเอนต์หลายตัวของเครือข่ายท้องถิ่นซึ่งแยกออกจากเครือข่ายภายนอกโดยอุปกรณ์ NAT เข้าถึงเครือข่ายเดียวกัน พอร์ตมาตรฐาน- ตัวอย่างเช่น อาจเป็นพอร์ต 80 ซึ่งสงวนไว้สำหรับบริการบนเว็บ เนื่องจากไคลเอนต์เครือข่ายภายในทั้งหมดใช้ที่อยู่ IP เดียวกัน จึงเกิดคำถาม: อุปกรณ์ NAT จะทราบได้อย่างไรว่าไคลเอนต์เครือข่ายภายในใดเป็นคำขอภายนอก เพื่อแก้ไขปัญหานี้ ไคลเอนต์เครือข่ายภายในเพียงตัวเดียวเท่านั้นที่สามารถเข้าถึงพอร์ตมาตรฐานในเวลาใดก็ตาม

การส่งต่อพอร์ตแบบคงที่ (การแมปพอร์ต)

เพื่อให้แอปพลิเคชันบางตัวทำงานบนเซิร์ฟเวอร์บนเครือข่ายภายใน (เช่น เว็บเซิร์ฟเวอร์หรือเซิร์ฟเวอร์ FTP) สามารถเข้าถึงได้จากเครือข่ายภายนอก อุปกรณ์ NAT จะต้องได้รับการกำหนดค่าให้แมประหว่างพอร์ตที่ใช้ แอปพลิเคชันบางอย่างและที่อยู่ IP ของเซิร์ฟเวอร์เครือข่ายภายในที่แอปพลิเคชันเหล่านี้ทำงาน ในกรณีนี้พวกเขาพูดถึงเทคโนโลยีการเปลี่ยนเส้นทางพอร์ต (การแมปพอร์ต) และเซิร์ฟเวอร์เครือข่ายภายในนั้นเรียกว่าเซิร์ฟเวอร์เสมือน เป็นผลให้คำขอใด ๆ จากเครือข่ายภายนอกไปยังที่อยู่ IP ภายนอกของอุปกรณ์ NAT (เราเตอร์) บนพอร์ตที่ระบุจะถูกเปลี่ยนเส้นทางไปยังเซิร์ฟเวอร์เสมือนที่ระบุบนเครือข่ายภายในโดยอัตโนมัติ

ตัวอย่างเช่น หากมีการกำหนดค่าเซิร์ฟเวอร์ FTP เสมือนบนเครือข่ายภายในซึ่งทำงานบนพีซีที่มีที่อยู่ IP 192.168.0.10 จากนั้นเมื่อทำการตั้งค่า เซิร์ฟเวอร์เสมือนมีการระบุที่อยู่ IP ของเซิร์ฟเวอร์เสมือน (192.168.0.10) โปรโตคอลที่ใช้ (TCP) และพอร์ตแอปพลิเคชัน (21) ในกรณีเช่นนี้ เมื่อเข้าถึงที่อยู่ภายนอกของอุปกรณ์ NAT (พอร์ต WAN ของเราเตอร์) บนพอร์ต 21 ผู้ใช้บนเครือข่ายภายนอกจะสามารถเข้าถึงเซิร์ฟเวอร์ FTP บนเครือข่ายภายในได้ แม้ว่าจะใช้โปรโตคอล NAT ก็ตาม ตัวอย่างการกำหนดค่าเซิร์ฟเวอร์เสมือนบนเราเตอร์ NAT จริงจะแสดงในรูปที่ 1 4.

โดยทั่วไปแล้ว เราเตอร์ NAT อนุญาตให้คุณสร้างการส่งต่อพอร์ตแบบคงที่หลายรายการ ดังนั้นบนเซิร์ฟเวอร์เสมือนเครื่องเดียว คุณสามารถเปิดหลายพอร์ตพร้อมกันหรือสร้างเซิร์ฟเวอร์เสมือนหลายเครื่องด้วยที่อยู่ IP ที่แตกต่างกันได้ อย่างไรก็ตาม ด้วยการส่งต่อพอร์ตแบบคงที่ คุณไม่สามารถส่งต่อพอร์ตเดียวไปยังที่อยู่ IP หลายแห่งได้ ซึ่งหมายความว่าพอร์ตสามารถสอดคล้องกับที่อยู่ IP เดียวได้ ตัวอย่างเช่น เป็นไปไม่ได้ที่จะกำหนดค่าเว็บเซิร์ฟเวอร์หลายแห่งด้วยที่อยู่ IP ที่แตกต่างกัน ในการดำเนินการนี้ คุณจะต้องเปลี่ยนพอร์ตเว็บเซิร์ฟเวอร์เริ่มต้นและเมื่อเข้าถึงพอร์ต 80 ในการกำหนดค่าเราเตอร์ พอร์ตภายใน(พอร์ตส่วนตัว) ระบุพอร์ตเว็บเซิร์ฟเวอร์ที่เปลี่ยนแปลง

เราเตอร์ส่วนใหญ่ยังอนุญาตให้คุณตั้งค่าการเปลี่ยนเส้นทางแบบคงที่ของกลุ่มพอร์ตนั่นคือกำหนดกลุ่มพอร์ตทั้งหมดในคราวเดียวให้กับที่อยู่ IP ของเซิร์ฟเวอร์เสมือน คุณลักษณะนี้มีประโยชน์หากคุณต้องการรองรับแอปพลิเคชันที่ใช้พอร์ตจำนวนมาก เช่น เกมหรือการประชุมทางเสียง/วิดีโอ จำนวนกลุ่มพอร์ตที่ส่งต่อจะแตกต่างกันไปตามเราเตอร์รุ่นต่างๆ แต่โดยปกติแล้วจะมีอย่างน้อยสิบกลุ่ม

การส่งต่อพอร์ตแบบไดนามิก (แอปพลิเคชันพิเศษ)

การส่งต่อพอร์ตแบบคงที่สามารถแก้ปัญหาการเข้าถึงจากเครือข่ายภายนอกไปยังบริการเครือข่ายท้องถิ่นที่ได้รับการคุ้มครองโดยอุปกรณ์ NAT ได้บางส่วน อย่างไรก็ตามยังมีงานที่ตรงกันข้าม - ความจำเป็นในการให้ผู้ใช้เครือข่ายท้องถิ่นสามารถเข้าถึงเครือข่ายภายนอกผ่านอุปกรณ์ NAT ความจริงก็คือแอปพลิเคชันบางตัว (เช่น เกมบนอินเทอร์เน็ต การประชุมทางวิดีโอ ระบบโทรศัพท์ผ่านอินเทอร์เน็ต และแอปพลิเคชันอื่น ๆ ที่ต้องมีการสร้างหลายเซสชันพร้อมกัน) ไม่สามารถทำงานร่วมกับเทคโนโลยี NAT ได้ เพื่อแก้ไขปัญหานี้ จะใช้สิ่งที่เรียกว่าการเปลี่ยนเส้นทางพอร์ตแบบไดนามิก (บางครั้งเรียกว่าแอปพลิเคชันพิเศษ) เมื่อตั้งค่าการเปลี่ยนเส้นทางพอร์ตที่ระดับของแอปพลิเคชันเครือข่ายแต่ละรายการ

หากเราเตอร์รองรับ ฟังก์ชั่นนี้คุณต้องระบุหมายเลขพอร์ตภายใน (หรือช่วงเวลาพอร์ต) ที่เกี่ยวข้อง แอปพลิเคชันเฉพาะ(ปกติเรียกว่า Trigger Port) และระบุหมายเลขพอร์ตภายนอกของอุปกรณ์ NAT (Public Port) ซึ่งจะถูกแมปเข้ากับพอร์ตภายใน

เมื่อเปิดใช้งานการส่งต่อพอร์ตแบบไดนามิก เราเตอร์จะตรวจสอบการรับส่งข้อมูลขาออกจากเครือข่ายภายใน และจดจำที่อยู่ IP ของคอมพิวเตอร์ที่เป็นที่มาของการรับส่งข้อมูลนั้น เมื่อข้อมูลกลับมาถึงส่วนท้องถิ่น การส่งต่อพอร์ตจะถูกเปิดใช้งานและข้อมูลจะถูกส่งผ่านภายใน หลังจากการถ่ายโอนเสร็จสิ้น การเปลี่ยนเส้นทางจะถูกปิดใช้งาน จากนั้นคอมพิวเตอร์เครื่องอื่นจะสามารถสร้างการเปลี่ยนเส้นทางใหม่ไปยังที่อยู่ IP ของตนได้

การส่งต่อพอร์ตแบบไดนามิกใช้สำหรับบริการที่เกี่ยวข้องกับคำขอที่มีระยะเวลาสั้นและการถ่ายโอนข้อมูลเป็นหลัก เนื่องจากหากคอมพิวเตอร์เครื่องหนึ่งใช้การส่งต่อพอร์ต คอมพิวเตอร์อีกเครื่องหนึ่งจะไม่สามารถทำเช่นเดียวกันในเวลาเดียวกันได้ หากคุณต้องการกำหนดค่าแอปพลิเคชันที่ต้องการกระแสข้อมูลคงที่ซึ่งครอบครองพอร์ตเป็นเวลานาน การเปลี่ยนเส้นทางแบบไดนามิกจะไม่ได้ผล อย่างไรก็ตาม ในกรณีนี้ มีวิธีแก้ไขปัญหาอยู่ที่การใช้เขตปลอดทหาร

โซนดีเอ็มแซด

เขตปลอดทหาร (DMZ) เป็นอีกวิธีหนึ่งในการหลีกเลี่ยงข้อจำกัดของโปรโตคอล NAT เราเตอร์สมัยใหม่ทั้งหมดมีคุณสมบัตินี้ เมื่อคอมพิวเตอร์บนเครือข่ายท้องถิ่นภายในถูกวางในโซน DMZ โปรโตคอล NAT จะโปร่งใส ซึ่งหมายความว่าคอมพิวเตอร์เครือข่ายภายในนั้นแทบจะตั้งอยู่ด้านหน้าไฟร์วอลล์ สำหรับพีซีที่อยู่ในโซน DMZ พอร์ตทั้งหมดจะถูกเปลี่ยนเส้นทางไปยังที่อยู่ IP ภายในเดียวซึ่งช่วยให้คุณสามารถจัดระเบียบการถ่ายโอนข้อมูลจากเครือข่ายภายนอกไปยังเครือข่ายภายในได้

ตัวอย่างเช่น หากเซิร์ฟเวอร์ที่มีที่อยู่ IP 192.168.1.10 ซึ่งอยู่บนเครือข่ายท้องถิ่นภายใน ตั้งอยู่ในโซน DMZ และเครือข่ายท้องถิ่นนั้นได้รับการปกป้องโดยอุปกรณ์ NAT จากนั้นเมื่อมีคำขอมาถึงพอร์ตใด ๆ จาก เครือข่ายภายนอกไปยังที่อยู่พอร์ต WAN สำหรับอุปกรณ์ NAT คำขอนี้จะถูกส่งต่อไปยังที่อยู่ IP 192.168.1.10 นั่นคือไปยังที่อยู่ของเซิร์ฟเวอร์เสมือนในโซน DMZ

ตามกฎแล้วเราเตอร์ NAT คลาส SOHO อนุญาตให้วางคอมพิวเตอร์เพียงเครื่องเดียวในโซน DMZ ตัวอย่างการกำหนดค่าคอมพิวเตอร์ในโซน DMZ แสดงในรูปที่ 1 5.

ข้าว. 5. ตัวอย่างการกำหนดค่าคอมพิวเตอร์ในโซน DMZ

เนื่องจากคอมพิวเตอร์ที่อยู่ในโซน DMZ สามารถเข้าถึงได้จากเครือข่ายภายนอก และไม่ได้รับการป้องกันด้วยไฟร์วอลล์ แต่อย่างใด จึงกลายเป็นช่องโหว่ของเครือข่าย คุณควรหันไปวางคอมพิวเตอร์ในเขตปลอดทหารเป็นทางเลือกสุดท้ายเท่านั้น เมื่อไม่มีวิธีอื่นในการข้ามข้อ จำกัด ของโปรโตคอล NAT ที่เหมาะสมด้วยเหตุผลใดก็ตาม

เทคโนโลยี NAT Traversal

วิธีการที่เราระบุไว้เพื่อหลีกเลี่ยงข้อจำกัดของโปรโตคอล NAT อาจทำให้เกิดปัญหาสำหรับผู้ใช้มือใหม่ เพื่ออำนวยความสะดวกในการบริหารจัดการ จึงมีการเสนอเทคโนโลยีอัตโนมัติสำหรับการกำหนดค่าอุปกรณ์ NAT เทคโนโลยี NAT Traversal (เส้นทาง NAT) ช่วยให้ แอปพลิเคชันเครือข่ายตรวจสอบว่าอุปกรณ์เหล่านี้ได้รับการปกป้องโดยอุปกรณ์ NAT ค้นหาที่อยู่ IP ภายนอก และดำเนินการส่งต่อพอร์ตไป โหมดอัตโนมัติ- ดังนั้น ข้อดีของเทคโนโลยี NAT Traversal ก็คือ ผู้ใช้ไม่จำเป็นต้องกำหนดค่าการแมปพอร์ตด้วยตนเอง

เทคโนโลยี NAT Traversal ขึ้นอยู่กับโปรโตคอล UPnP (Universal Plug and Play) ดังนั้นในเราเตอร์ จึงมักจำเป็นต้องตรวจสอบตัวเลือก UPnP&NAT

D-Link เป็นผู้พัฒนาและซัพพลายเออร์โซลูชั่นฮาร์ดแวร์ที่มีชื่อเสียงสำหรับการสร้างเครือข่ายคอมพิวเตอร์ทุกขนาด กลุ่มผลิตภัณฑ์ยังรวมถึงอุปกรณ์ที่ให้การป้องกันเครือข่ายด้วย ภัยคุกคามภายนอก: ไฟร์วอลล์และระบบตรวจจับการบุกรุก เราขอให้ตัวแทน D-Link บอกเราว่าเทคโนโลยีใดที่ใช้ในโซลูชันฮาร์ดแวร์เพื่อรับรองความปลอดภัยด้านไอที โซลูชันฮาร์ดแวร์แตกต่างจากซอฟต์แวร์คู่กันอย่างไร และในกรณีใด ผลิตภัณฑ์ประเภทใดที่เหมาะสมที่สุด การสัมภาษณ์บางส่วนยังกล่าวถึงข้อมูลเฉพาะของตลาดรัสเซียสำหรับโซลูชันความปลอดภัยด้านไอที ตลอดจนแนวโน้มและแนวโน้มของตลาดด้วย Ivan Martynyuk ที่ปรึกษาโครงการของ D-Link ตอบคำถามของเรา


Ivan Martynyuk ที่ปรึกษาโครงการที่ D-Link



อเล็กเซย์ โดลย่า: คุณช่วยเล่าให้เราฟังเกี่ยวกับบริษัทของคุณสักเล็กน้อยได้ไหม?

อีวาน มาร์ตีนยัค: ตามมาตรฐานอุตสาหกรรมไอที D-Link เป็นบริษัทที่ค่อนข้างเก่า จัดขึ้นในเดือนมีนาคม พ.ศ. 2529 สำนักงานภูมิภาค 87 แห่งของบริษัทจำหน่ายและสนับสนุนอุปกรณ์ในกว่า 100 ประเทศ บริษัทมีพนักงานมากกว่าสามพันคน หากเราพูดถึงสาขากิจกรรมของ บริษัท D-Link เป็นผู้ผลิตอุปกรณ์เครือข่ายรายใหญ่ที่สุดสำหรับกลุ่มธุรกิจขนาดเล็กและขนาดกลาง ดังนั้นจากการศึกษาจำนวนหนึ่งของภาคผู้บริโภคของตลาดอุปกรณ์เครือข่ายที่ดำเนินการโดยฝ่ายวิเคราะห์ บริษัท Synergy Research Group, D-Link ครองอันดับหนึ่งของโลกในด้านปริมาณการขายอุปกรณ์ในภาคนี้ จากข้อมูลของ Synergy Research Group พบว่า D-Link ขายอุปกรณ์เครือข่ายมากกว่า 8 ล้านเครื่องในไตรมาสแรกของปี 2547 ซึ่งมากกว่าจำนวนอุปกรณ์ที่ขายโดยคู่แข่งที่ใกล้เคียงที่สุดเกือบสองเท่า และจากการประมาณการของ IDC D-Link ครองอันดับหนึ่งในด้านการขายสวิตช์และอุปกรณ์ไร้สายในภูมิภาคเอเชียแปซิฟิก


อเล็กเซย์ โดลย่า: คุณพัฒนาผลิตภัณฑ์รักษาความปลอดภัยเครือข่ายมานานแค่ไหนแล้ว? ผลิตภัณฑ์เหล่านี้คืออะไร?

อีวาน มาร์ตีนยัค: ผลิตภัณฑ์พิเศษเฉพาะชิ้นแรกสำหรับการป้องกันเครือข่ายปรากฏจากบริษัทของเราเมื่อไม่นานมานี้ - ในปี 2545 การปรากฏตัวค่อนข้างช้าของบริษัทในส่วนนี้เนื่องมาจากนโยบายการทำงานในตลาด D-Link ผลิตเฉพาะผลิตภัณฑ์ที่ "เป็นที่ยอมรับ" ที่ผลิตจำนวนมากซึ่งมีความต้องการของตลาดสูง บริษัทไม่ได้พัฒนาเทคโนโลยีและโปรโตคอลล่าสุด แต่ใช้ข้อกำหนดมาตรฐานที่กำหนดไว้อย่างดีในผลิตภัณฑ์ของตน ข้อแตกต่างระหว่างบริษัทของเรากับบริษัทอื่นๆ ก็คือเราไม่เพียงแต่พัฒนาอุปกรณ์เท่านั้น รวมถึงการพัฒนาไมโครวงจรบางตัวด้วย และเขียนให้พวกเขาด้วย ซอฟต์แวร์และเรายังผลิตเองในโรงงานของเราเองอีกด้วย บริษัทมีศูนย์พัฒนาและโรงงานหลายแห่งตั้งอยู่ใน ประเทศต่างๆความสงบ. ผลิตภัณฑ์รักษาความปลอดภัยเครือข่ายได้รับการออกแบบและผลิตในไต้หวัน วันนี้นี้ สายผลิตภัณฑ์ค่อนข้างกว้างและประกอบด้วย: เราเตอร์และสวิตช์ที่มีฟังก์ชันรักษาความปลอดภัยเครือข่าย ไฟร์วอลล์ และระบบตรวจจับการบุกรุก ตลอดจนอุปกรณ์พิเศษ เช่น เกตเวย์ไร้สาย ซึ่งมีบางส่วน คุณสมบัติการทำงานออกแบบมาโดยเฉพาะสำหรับใช้ในเครือข่ายไร้สาย ได้แก่ เครื่องมือรักษาความปลอดภัยเฉพาะเครือข่ายไร้สาย เครื่องมือตรวจสอบสิทธิ์ผู้ใช้และการชาร์จ ฯลฯ


อเล็กเซย์ โดลย่า: คุณช่วยบอกเราโดยละเอียดเกี่ยวกับการทำงานของไฟร์วอลล์และเครื่องมือตรวจจับการบุกรุกของคุณ และเครื่องมือป้องกันการโจมตีใดบ้าง

อีวาน มาร์ตีนยัค: ปัจจุบันมีไฟร์วอลล์อยู่สามรุ่น รุ่นแรกคือไฟร์วอลล์กรองแพ็กเก็ต อุปกรณ์เหล่านี้สามารถทำการวิเคราะห์แพ็กเก็ตบนเครือข่ายและ ระดับการขนส่งนั่นคือวิเคราะห์ที่อยู่ IP เช่นเดียวกับ TCP และ พอร์ต UDPต้นทางและปลายทาง และจากข้อมูลนี้ ตัดสินใจว่าจะทำอย่างไรต่อไปกับแพ็กเก็ตนี้: ปล่อยให้มันผ่านไป ปฏิเสธมัน เปลี่ยนลำดับความสำคัญ ฯลฯ อุปกรณ์รุ่นที่สองคือไฟร์วอลล์ตัวกลาง (พรอกซี) อุปกรณ์เหล่านี้สามารถวิเคราะห์ข้อมูลได้ทั้งหมดเจ็ดระดับ ลงไปจนถึงระดับแอปพลิเคชัน และให้การป้องกันในระดับที่สูงมากตามไปด้วย อย่างไรก็ตาม อุปกรณ์ดังกล่าวไม่ได้ส่งแพ็กเก็ตไปโดยตรง โลกภายนอกแต่ทำหน้าที่เป็นตัวแทนตัวกลางระหว่างแอปพลิเคชันภายในและบริการภายนอก ซึ่งในกรณีที่มีการพยายามแฮ็กจะนำไปสู่การประนีประนอมของไฟร์วอลล์ ไม่ใช่โฮสต์ภายใน ดังนั้นอุปกรณ์ดังกล่าวจึงต้องการแพลตฟอร์มฮาร์ดแวร์ความเร็วสูงเพื่อให้มั่นใจถึงประสิทธิภาพสูงและมีค่าใช้จ่ายสูงสุด รุ่นที่สามคือไฟร์วอลล์ Stateful Packet Inspections (SPI) อุปกรณ์เหล่านี้ทำงานคล้ายกับหน้าจอการกรองแพ็กเก็ต แต่จะวิเคราะห์ฟิลด์เพิ่มเติมในแพ็กเก็ต เช่น ธงและหมายเลขลำดับแพ็กเก็ต และยังจัดเก็บข้อมูลเกี่ยวกับแพ็กเก็ตที่ส่งไปก่อนหน้านี้ด้วย ดังนั้น จึงให้การป้องกันในระดับที่สูงกว่า อุปกรณ์ดังกล่าวสามารถห้ามการส่งแพ็กเก็ตจากอินเทอร์เฟซหนึ่งไปยังอีกอินเทอร์เฟซหนึ่งได้ หากไม่ได้เป็นส่วนหนึ่งของเซสชันที่กำหนดไว้ล่วงหน้าในทิศทางตรงกันข้าม หรือยุติเซสชันหากสังเกตเห็นการละเมิดใด ๆ อุปกรณ์เหล่านี้ต้องการทรัพยากรการประมวลผลเกือบเหมือนกันกับไฟร์วอลล์กรองแพ็คเก็ต และมีราคาไม่แตกต่างกันมากนัก แต่ให้การป้องกันในระดับที่สูงกว่ามาก
ระบบตรวจจับการบุกรุก ระบบตรวจจับ- IDS) ยังเป็นอุปกรณ์ที่ชาญฉลาดยิ่งขึ้นซึ่งไม่เพียงแต่ทำงานได้ทั้งเจ็ดระดับเท่านั้น แต่ยังมีเครื่องมือที่ช่วยให้คุณวิเคราะห์เนื้อหาของแพ็กเก็ตได้ละเอียดยิ่งขึ้น และตรวจจับโทรจันและไวรัสที่ปลอมตัวหรือการกระทำที่เป็นอันตรายอื่น ๆ ในการดำเนินการนี้ ระบบดังกล่าวประกอบด้วยฐานข้อมูลการโจมตีและลายเซ็นไวรัสที่เตรียมไว้ล่วงหน้า และยังมีระบบการวิเคราะห์แบบฮิวริสติกที่ในบางกรณีอนุญาตให้มีการบล็อกการโจมตีที่ไม่มีลายเซ็นอยู่ในฐานข้อมูล
หากเราพูดถึงอุปกรณ์ของเราก็จะมีฟังก์ชันอย่างใดอย่างหนึ่งขึ้นอยู่กับรุ่น


อเล็กเซย์ โดลย่า: เทคโนโลยีและอัลกอริธึมเฉพาะใดบ้างที่ใช้เพื่อปกป้องเครือข่าย กล่าวคือ ไฟร์วอลล์ของคุณทำงานอย่างไรกันแน่?

อีวาน มาร์ตีนยัค: ไฟร์วอลล์ทั้งหมดของเรา: DFL-100, DFL-200, DFL-600, DFL-700, DFL-900, DFL-1100, DFL-1500 เป็นไฟร์วอลล์ stateful packet inspection (SPI) รองรับฟังก์ชันการแปลที่อยู่ ( Network Address Translation - NAT) ซึ่งช่วยให้คุณซ่อนโครงสร้างภายในของเครือข่าย ป้องกันการโจมตีแบบปฏิเสธการบริการ (DoS คือ แยกกลุ่มการโจมตีที่มีจุดมุ่งหมายเพื่อทำให้โฮสต์หรือบริการไม่ทำงาน) ช่วยให้คุณสามารถจำกัดการเข้าถึงได้ ผู้ใช้ท้องถิ่นไปยังแหล่งข้อมูลบนเว็บภายนอกและเครื่องมือสนับสนุนสำหรับการสร้างเครือข่ายส่วนตัวเสมือน (Virtual Private Network - VPN) โดยใช้โปรโตคอลต่อไปนี้: IPSec, PPTP และ L2TP ยิ่งไปกว่านั้น ฟังก์ชั่นความปลอดภัยข้างต้นทั้งหมดได้รับการสนับสนุนไม่เพียงแต่ในอุปกรณ์พิเศษ - ไฟร์วอลล์เท่านั้น แต่ยังรองรับในอุปกรณ์ที่ถูกกว่า - อินเทอร์เน็ตเกตเวย์ของซีรีย์ DI-8xx (DI-804HV, DI-808HV, DI-824VUP+) ราคาขายปลีกของอุปกรณ์ที่อายุน้อยที่สุด (DI-804HV) อยู่ที่เพียง 99 ดอลลาร์ ซึ่งทำให้เกือบทุกบริษัทและแม้แต่ผู้ใช้ตามบ้านมีราคาไม่แพง
อุปกรณ์รุ่นเก่ายังรองรับกลไกความปลอดภัยอื่นๆ ที่ซับซ้อนกว่าอีกด้วย ตัวอย่างเช่น อุปกรณ์: DFL-200, DFL-600, DFL-700, DFL-900, DFL-1100 และ DFL-1500 อนุญาตให้มีการตรวจสอบผู้ใช้โดยใช้วิธีการในตัวหรือภายนอก DFL-600, DFL-700, DFL-900, DFL-1100 และ DFL-1500 ช่วยให้คุณสามารถควบคุมแบนด์วิธของช่องสัญญาณได้ DFL-200, DFL-700, DFL-900, DFL-1100 และ DFL-1500 มีโมดูลระบบตรวจจับการบุกรุก (IDS) ในตัวพร้อมฐานข้อมูลลายเซ็นที่อัปเดต DFL-900 และ DFL-1500 มีโมดูลพร็อกซี (Proxy) ในตัวสำหรับโปรโตคอลต่อไปนี้: HTTP, FTP, SMTP และ POP3 เช่น เป็นไฟร์วอลล์ตัวกลาง และเมื่อทำงานกับโปรโตคอลเหล่านี้ ไม่เพียงแต่ให้ระดับการรักษาความปลอดภัยที่สูงกว่าเท่านั้น แต่ยังช่วยให้สามารถควบคุมเนื้อหาได้อีกด้วย ตัวอย่างเช่น อนุญาตให้คุณจำกัดการเข้าถึงของผู้ใช้ไปยังทรัพยากรบนเว็บบางอย่าง และ DFL-900 และ DFL-1500 มีฐานข้อมูลที่จัดหมวดหมู่ในตัวซึ่งต่างจากรุ่นอื่นๆ ที่ผู้ดูแลระบบต้องป้อนทรัพยากรเหล่านี้ด้วยตนเอง ซึ่งจะได้รับการอัปเดตโดยอัตโนมัติ และสิ่งเดียวที่ผู้ดูแลระบบต้องการคือการเลือกหมวดหมู่ของเว็บไซต์ที่อนุญาตหรือปฏิเสธการเข้าถึง การเข้าถึงอาจถูกจำกัดตามเนื้อหาของหน้าเว็บหรือ ทรัพยากรเฉพาะซึ่งผู้ดูแลระบบป้อนด้วยตนเอง การเรียกใช้แอปเพล็ตและสคริปต์ Java หรือ ActiveX และการโหลดคุกกี้อาจถูกบล็อก บน โปรโตคอล FTP, SMTP และ POP3 อาจถูกบล็อกไม่ให้ดาวน์โหลดไฟล์บางประเภท อุปกรณ์: DFL-1100 และ DFL-1500 รองรับโหมดความพร้อมใช้งานสูงนั่นคืออนุญาตให้คุณติดตั้งอุปกรณ์สองตัวพร้อมกันและสลับไปใช้อุปกรณ์สำรองโดยอัตโนมัติหากอุปกรณ์หลักล้มเหลว
นอกจากนี้อุปกรณ์ทั้งหมดยังแตกต่างกันในด้านประสิทธิภาพ จำนวนอินเทอร์เฟซ การมีฟังก์ชันเพิ่มเติมบางอย่าง และแน่นอนว่ามีค่าใช้จ่าย


อเล็กเซย์ โดลย่า: ระบบตรวจจับการบุกรุกของคุณทำงานอย่างไร?

อีวาน มาร์ตีนยัค: ระบบตรวจจับการบุกรุกของเรา (DFL-2100 และ DFL-2400) มีความโปร่งใสแบบคลาสสิก ระบบเครือข่ายการตรวจจับการบุกรุก (ระบบตรวจจับการบุกรุกบนเครือข่ายโปร่งใส - TNIDS) นั่นคืออุปกรณ์เหล่านี้เป็นอุปกรณ์ฮาร์ดแวร์เฉพาะที่ติดตั้งในช่องว่างเครือข่ายและวิเคราะห์การรับส่งข้อมูลทั้งหมดที่ส่งผ่านอุปกรณ์เหล่านั้น การวิเคราะห์สามารถดำเนินการได้บนพื้นฐานของฐานข้อมูลลายเซ็นซึ่งมีการอัพเดตเป็นระยะ หรือบนพื้นฐานของการวิเคราะห์ฮิวริสติก ซึ่งช่วยให้สามารถตรวจจับการโจมตีใหม่ๆ ที่ไม่อยู่ในรายการลายเซ็นได้ หากตรวจพบการโจมตี ระบบจะเขียนข้อมูลลงในไฟล์บันทึกและสามารถแจ้งผู้ดูแลระบบ บล็อกการส่งแพ็กเก็ต หรือยุติเซสชันได้ ระบบมาพร้อมกับซอฟต์แวร์พิเศษ - Policy Server ซึ่งช่วยให้คุณดำเนินการได้ การจัดการที่ยืดหยุ่นระบบตรวจจับการบุกรุก รับรายงานการโจมตี อัพเดตฐานข้อมูลลายเซ็น สร้าง ผู้ดูแลระบบลายเซ็นของคุณเอง สร้างรายงานต่างๆ และตรวจสอบปริมาณข้อมูลแบบเรียลไทม์ DFL-2100 และ DFL-2400 แตกต่างกันเฉพาะในด้านประสิทธิภาพเท่านั้น


อเล็กเซย์ โดลย่า: คุณสามารถเปรียบเทียบแนวคิดในการใช้เครื่องมือรักษาความปลอดภัยเครือข่ายฮาร์ดแวร์และซอฟต์แวร์ (ไฟร์วอลล์และระบบตรวจจับการบุกรุก) ได้หรือไม่ ข้อดีและข้อเสียของผลิตภัณฑ์ทั้งสองประเภทนี้สัมพันธ์กันอย่างไร

อีวาน มาร์ตีนยัค: ระหว่างการพัฒนา โซลูชั่นซอฟต์แวร์ มีข้อจำกัดทางเทคโนโลยีต่างๆ น้อยลง และตามกฎแล้ว นักพัฒนามีส่วนร่วมในกระบวนการนี้น้อยลง ดังนั้น ต้นทุนต่อหน่วยของโซลูชันดังกล่าวจึงมักจะต่ำกว่า นี่เป็นเรื่องจริงสำหรับไฟร์วอลล์ด้วย ค่าใช้จ่ายของซอฟต์แวร์ไฟร์วอลล์ต่ำกว่าเมื่อเปรียบเทียบกับโซลูชันฮาร์ดแวร์ที่มีฟังก์ชันการทำงานคล้ายคลึงกัน ในขณะเดียวกัน โซลูชันซอฟต์แวร์ก็มีความยืดหยุ่นมากขึ้น การเพิ่มฟังก์ชันการทำงานเพิ่มเติมในอนาคตหรือแก้ไขข้อผิดพลาดที่ทำไว้ก่อนหน้านี้จะง่ายกว่า จากสิ่งที่ฉันพูดปรากฎว่าไม่จำเป็นต้องใช้โซลูชันฮาร์ดแวร์ - โซลูชันซอฟต์แวร์มีทั้งฟังก์ชั่นการใช้งานมากกว่าและราคาถูกกว่า แต่มันไม่ง่ายขนาดนั้น ประการแรก สำหรับผู้ใช้ปลายทาง โซลูชันซอฟต์แวร์อาจกลายเป็นราคาแพงกว่าโซลูชันฮาร์ดแวร์ เนื่องจากโซลูชันที่สมบูรณ์ไม่เพียงแต่รวมค่าใช้จ่ายของซอฟต์แวร์ไฟร์วอลล์เท่านั้น แต่ยังรวมถึงต้นทุนของระบบปฏิบัติการนอกเหนือจากไฟร์วอลล์ด้วย รวมถึงต้นทุนของแพลตฟอร์มฮาร์ดแวร์ที่มีประสิทธิภาพควรสูงกว่าในกรณีของโซลูชันฮาร์ดแวร์มาก ไฟร์วอลล์ฟรีที่แจกฟรีนั้นบริษัทต่างๆ ไม่ได้ใช้งานจริง จากการวิเคราะห์ของหน่วยงานต่างๆ พบว่ามีบริษัทประมาณ 3-5% ที่ใช้ซอฟต์แวร์ดังกล่าว เปอร์เซ็นต์การใช้งานที่ต่ำมีสาเหตุหลักมาจากปัญหาด้านการสนับสนุน ซึ่งมีความสำคัญอย่างยิ่งสำหรับอุปกรณ์ประเภทนี้ และในบางกรณีกับคุณภาพของซอฟต์แวร์ดังกล่าว ประการที่สอง โซลูชันซอฟต์แวร์ยังมีข้อเสียหลายประการ และข้อเสียหลักคือสามารถถูกแฮ็กหรือข้ามได้โดยตรง แต่ผ่านช่องโหว่ของระบบปฏิบัติการที่ทำงานได้ และจำนวนช่องโหว่ที่มีอยู่ในระบบปฏิบัติการนั้นสูงกว่าซอฟต์แวร์ไฟร์วอลล์เฉพาะทางหรืออะนาล็อกของฮาร์ดแวร์มาก นอกจากนี้ ความน่าเชื่อถือของโซลูชันซอฟต์แวร์ยังต่ำกว่า เนื่องจากทำงานบนแพลตฟอร์มฮาร์ดแวร์สากลที่มีส่วนประกอบจำนวนมาก (ยิ่งส่วนประกอบในระบบมีน้อย ความน่าเชื่อถือก็จะยิ่งสูงขึ้น) นอกจากนี้ ส่วนประกอบบางส่วนยังประกอบด้วย: องค์ประกอบทางกลที่กำลังเคลื่อนที่ (ฮาร์ดไดรฟ์ พัดลม) ซึ่งมีเวลาความล้มเหลวต่ำกว่าชิ้นส่วนอิเล็กทรอนิกส์มาก องค์ประกอบแม่เหล็ก (ฮาร์ดไดรฟ์) ซึ่งมีความต้านทานต่อความเสียหายต่ำและไวต่อรังสีแม่เหล็กไฟฟ้า กลุ่มผู้ติดต่อจำนวนมากเช่น มีโอกาสสูงที่จะเกิดปัญหาที่เกี่ยวข้องกับการสัมผัสที่ขาด ซอฟต์แวร์ไฟร์วอลล์ต้องการคุณสมบัติในระดับที่สูงกว่าจากบุคลากรที่ดำเนินการ เนื่องจากจำเป็นต้องกำหนดค่าอย่างถูกต้องไม่เพียงแต่หน้าจอเท่านั้น แต่ยังรวมถึงระบบปฏิบัติการด้วย ซึ่งไม่ง่ายอย่างที่หลายคนคิด ซอฟต์แวร์ไฟร์วอลล์บางตัวไม่ได้จำหน่ายโดยไม่มีการจัดหาด้วยซ้ำ บริการชำระเงินโดยการตั้งค่าพวกเขา ซอฟต์แวร์ไฟร์วอลล์มีราคาแพงกว่าในการบำรุงรักษาเนื่องจากจำเป็นต้องตรวจสอบอย่างต่อเนื่องไม่เพียง แต่ตรวจพบช่องโหว่ในซอฟต์แวร์พิเศษและติดตั้งแพตช์เท่านั้น แต่ยังรวมถึงช่องโหว่ของระบบปฏิบัติการด้วยซึ่งอย่างที่ฉันบอกไปแล้วว่ามีอีกมากมาย นอกจากนี้ อาจมีปัญหาความเข้ากันได้ระหว่างซอฟต์แวร์ โดยเฉพาะอย่างยิ่งหลังจากติดตั้งแพตช์เพิ่มเติม นอกจากนี้ยังจำเป็นต้องตรวจสอบสภาพของส่วนประกอบทางกลและแม่เหล็กอย่างต่อเนื่องเพื่อดูความเสียหาย ห้องที่ไฟร์วอลล์ซอฟต์แวร์ตั้งอยู่จะต้องมีกฎที่เข้มงวดมากขึ้นสำหรับการเข้าถึงของบุคลากร เนื่องจากแพลตฟอร์มฮาร์ดแวร์สากลอนุญาตให้เชื่อมต่อได้หลายวิธี เหล่านี้คือพอร์ตภายนอก (USB, LPT, RS-232) และไดรฟ์ในตัว (ซีดี, ฟลอปปี้) และเมื่อเปิดแพลตฟอร์มคุณสามารถเชื่อมต่อผ่าน IDE หรือ อินเตอร์เฟซ SCSI- ในขณะเดียวกันระบบปฏิบัติการก็อนุญาตให้คุณติดตั้งโปรแกรมที่เป็นอันตรายต่างๆ และในที่สุดแพลตฟอร์มฮาร์ดแวร์สากลก็มีการใช้พลังงานสูงซึ่งส่งผลเสียต่อเวลาการทำงานจากแหล่งที่มา แหล่งจ่ายไฟสำรองในกรณีที่ไฟฟ้าขัดข้อง การถกเถียงกันว่าโซลูชันใดในท้ายที่สุดคือซอฟต์แวร์หรือฮาร์ดแวร์ที่ดีกว่านั้นเกิดขึ้นมานานแล้ว แต่ฉันอยากจะทราบว่า วิธีการทางเทคนิค- มันเป็นเพียงเครื่องมือที่อยู่ในมือของผู้แสวงหาประโยชน์จากพวกเขา และในกรณีส่วนใหญ่ ปัญหาด้านความปลอดภัยเกิดขึ้นเนื่องจากการไม่ตั้งใจหรือคุณสมบัติต่ำของบุคลากรที่รับผิดชอบในเรื่องนี้ และไม่ใช่การเลือกแพลตฟอร์มใดแพลตฟอร์มหนึ่งโดยเฉพาะ


อเล็กเซย์ โดลย่า: ในกรณีใดที่คุณคิดว่าเหมาะสมที่จะใช้โซลูชันฮาร์ดแวร์เพื่อปกป้องเครือข่าย และในกรณีใดบ้าง - ซอฟต์แวร์ ควรมีตัวอย่างสถานการณ์การใช้งานผลิตภัณฑ์สักสองสามตัวอย่าง

อีวาน มาร์ตีนยัค: การใช้ซอฟต์แวร์ไฟร์วอลล์มีความสมเหตุสมผลหากจำเป็นต้องใช้บางอย่างที่เฉพาะเจาะจงมาก ฟังก์ชั่นซึ่งโซลูชันฮาร์ดแวร์ใดไม่มี เช่น จำเป็นต้องใช้โมดูลตัวกลางสำหรับโปรโตคอลแปลกใหม่บางตัว หรือในทางกลับกัน จำเป็นต้องได้รับ โซลูชั่นราคาถูกในขณะที่บริษัทหรือผู้ใช้มีแพลตฟอร์มฮาร์ดแวร์และระบบปฏิบัติการอยู่แล้ว ไม่ว่าในกรณีใด คุณต้องคำนึงถึงข้อเสียและข้อดีทั้งหมดของโซลูชันทั้งสองและเลือกการประนีประนอม


อเล็กเซย์ โดลย่า: ฉันเข้าใจถูกต้องหรือไม่ว่าผู้ใช้ตามบ้านไม่จำเป็นต้องใช้ไฟร์วอลล์ฮาร์ดแวร์?

อีวาน มาร์ตีนยัค: ฉันจะไม่พูดอย่างนั้น การใช้มาตรการรักษาความปลอดภัยบางอย่างไม่ได้ขึ้นอยู่กับว่าผู้ใช้คือใคร: บ้านหรือองค์กร ไม่ว่าจะเป็นบริษัทขนาดใหญ่หรือขนาดเล็ก แต่ขึ้นอยู่กับต้นทุนของข้อมูลที่จำเป็นต้องได้รับการคุ้มครอง เช่น จากความสูญเสียที่เกิดขึ้นโดยผู้ใช้ในกรณีที่มีการละเมิดฟังก์ชันการป้องกันตั้งแต่หนึ่งฟังก์ชันขึ้นไป - การละเมิดการรักษาความลับ ความสมบูรณ์ หรือความพร้อมของข้อมูล ตามกฎแล้ว ยิ่งบริษัทมีขนาดใหญ่เท่าใด ข้อมูลก็จะยิ่งมีมากขึ้นเท่านั้น ลักษณะที่เป็นความลับและผลขาดทุนของบริษัทในกรณีนี้ก็สูงกว่า แต่ยังเป็นผู้ใช้ทั่วไปด้วย เช่น หัวหน้าของบริษัทเดียวกันบนเขา คอมพิวเตอร์ที่บ้านอาจมีข้อมูลที่อาจสูญเสียค่าใช้จ่ายสูง ดังนั้นคอมพิวเตอร์ของเขาจึงควรได้รับการปกป้องไม่เลวร้ายไปกว่า เครือข่ายองค์กร- การเลือกวิธีการป้องกันและค่าใช้จ่ายตามกฎแล้วจะถูกกำหนดโดยต้นทุนของข้อมูลที่ได้รับการคุ้มครอง กล่าวอีกนัยหนึ่ง มันไม่สมเหตุสมผลเลยที่จะใช้จ่ายกับมาตรการรักษาความปลอดภัยมากกว่าข้อมูลที่คุ้มค่า ปัญหาอยู่ที่อื่น - ในการกำหนดต้นทุนของข้อมูล เมื่อพูดถึงการปกป้องข้อมูลที่เป็นของรัฐ กฎหมายจะมีผลใช้บังคับเพื่อควบคุมระดับการป้องกันที่ต้องการ


อเล็กเซย์ โดลย่า: จากประสบการณ์ในการทำธุรกิจในรัสเซีย คุณสามารถติดตามอัตราการเติบโตของตลาดฮาร์ดแวร์ความปลอดภัยเครือข่ายในช่วงไม่กี่ปีที่ผ่านมาได้หรือไม่?

อีวาน มาร์ตีนยัค: ฉันได้กล่าวไปแล้วว่าบริษัทมีประสบการณ์สามปีในตลาดนี้ และสำหรับเรา ปี 2547 ถือเป็นปีบ่งชี้ในเรื่องนี้ ปริมาณการขายอุปกรณ์ในรูปของตัวเงินเพิ่มขึ้นมากกว่า 170% เมื่อเทียบกับปีที่แล้ว เมื่อพิจารณาจากรายงานของหน่วยงานวิเคราะห์ ในปีที่ผ่านมาการเติบโตที่สำคัญในกลุ่มนี้ไม่เพียงแต่สังเกตได้จากเราเท่านั้น แต่ยังรวมถึงบริษัทอื่นๆ ที่ผลิตอุปกรณ์ดังกล่าวด้วย ตลาดระบบรักษาความปลอดภัยในรูปแบบที่มีอยู่นั้นก่อตั้งขึ้นราวปี 1997 แต่เพิ่งเริ่มต้นเมื่อปีที่แล้วเท่านั้นที่ถือว่ามีขนาดใหญ่มาก


อเล็กเซย์ โดลย่า: มีความเฉพาะเจาะจงในการดำเนินธุรกิจในตลาดฮาร์ดแวร์รักษาความปลอดภัยของรัสเซียเมื่อเปรียบเทียบกับประเทศอื่น ๆ หรือไม่?

อีวาน มาร์ตีนยัค: ใช่ จริงๆ แล้วตลาดรัสเซียแตกต่างจากตลาดโลกเล็กน้อย น่าจะเกิดจากสภาพเศรษฐกิจของประเทศและสภาพจิตใจ ประการแรก โครงสร้างของตลาดระบบรักษาความปลอดภัยนั้นแตกต่างกัน หากในระดับโลกตลาดฮาร์ดแวร์มีขนาดใหญ่กว่าตลาดซอฟต์แวร์มากกว่าสองเท่าแสดงว่าในรัสเซียส่วนแบ่งของพวกเขาจะเท่ากันโดยประมาณ สิ่งนี้มีสาเหตุมาจากปัญหาทางเศรษฐกิจบางประการและด้วยเหตุนี้จึงมีการจำหน่ายซอฟต์แวร์ละเมิดลิขสิทธิ์ในระดับสูง ในรัสเซียไม่มีตลาดสำหรับบริการเอาท์ซอร์สในด้านความปลอดภัยซึ่งเป็นที่นิยมอย่างมากในประเทศอื่น ๆ ธุรกิจนี้ไม่ได้รับการพัฒนาเนื่องจากผู้จัดการหลายคนพิจารณาว่าไม่ปลอดภัยที่จะจัดการปัญหาด้านความปลอดภัยของข้อมูลให้กับบุคคลที่สามและการแก้ปัญหาโดยใช้ผู้เชี่ยวชาญของตนเองซึ่งระดับคุณสมบัติมักไม่ตรงตามข้อกำหนดขั้นต่ำจะทำกำไรได้มากกว่า อะไร เครือข่ายรัสเซียได้รับการปกป้องที่ดีกว่า และเรามีพนักงานในระดับที่สูงกว่า นี่เป็นความเชื่อผิดๆ เดียวกันกับแนวคิดที่ว่าซอฟต์แวร์เสรีมีความน่าเชื่อถือมากกว่าซอฟต์แวร์เชิงพาณิชย์ ดังนั้นวิธีการทำธุรกิจในรัสเซียจึงแตกต่างออกไปเล็กน้อย เราต้องให้ความสนใจเป็นพิเศษที่จะไม่ทำงานร่วมกับผู้วางระบบและบริษัทเอาท์ซอร์ส แต่ต้องทำงานร่วมกับ ผู้ใช้ปลายทางผู้บริโภคผลิตภัณฑ์


อเล็กเซย์ โดลย่า: คุณช่วยคาดการณ์อนาคตได้ไหมว่าอุตสาหกรรมความปลอดภัยของข้อมูลจะพัฒนาไปอย่างไรในอีกไม่กี่ปีข้างหน้า?

อีวาน มาร์ตีนยัค: ใน เมื่อเร็วๆ นี้การโจมตีที่ดำเนินการในระดับแอปพลิเคชัน เช่นเดียวกับไวรัส สปายแวร์ และสแปม ก่อให้เกิดความเสียหายและความไม่สะดวกต่อผู้ใช้เพิ่มมากขึ้นเรื่อยๆ ดังนั้น นักพัฒนาจะให้ความสำคัญกับระบบที่ทำงานในระดับนี้มากขึ้น ซึ่งรวมถึงไฟร์วอลล์ตัวกลางต่างๆ ระบบการจัดการเนื้อหา และระบบตรวจจับและป้องกันการบุกรุก ระบบแบบกระจายต่างๆ จะแพร่หลายมากขึ้น และจะพัฒนาในแง่ของการใช้งาน ทำให้สามารถตัดสินใจเกี่ยวกับการโจมตีได้ และวิธีการขับไล่ตามข้อมูลที่ได้รับจากแหล่ง ระบบ และการสอบสวนต่างๆ


อเล็กเซย์ โดลย่า: คุณไม่สามารถเปิดเผยความคิดของผู้เชี่ยวชาญได้ บริษัทที่มีชื่อเสียงกลุ่มแยงกีที่ในอีกไม่กี่ปีข้างหน้าการเน้นในการสร้างระบบรักษาความปลอดภัยจะค่อยๆ เปลี่ยนจากการตอบโต้การโจมตีของแฮ็กเกอร์ "ภายนอก" มาเป็นการป้องกันการโจมตี "จากภายใน"?

อีวาน มาร์ตีนยัค: หากดูรายงานของหน่วยงานวิเคราะห์ต่างๆ จะสังเกตเห็นความขัดแย้งประการหนึ่ง ในอีกด้านหนึ่ง มีบริษัทจำนวนมากที่ใช้มาตรการรักษาความปลอดภัยที่รับรองความปลอดภัยตามแนวขอบของเครือข่ายมากกว่าบริษัทที่ป้องกันตนเองจากการโจมตีจากภายใน และในทางกลับกัน บริษัทสูญเสียจากการโจมตี "ภายใน" ที่นำมาใช้นั้นสูงกว่ามาก มากกว่าจาก "ภายนอก" ผู้เชี่ยวชาญในสาขานี้หวังเป็นอย่างยิ่งว่าวันหนึ่งเจ้าหน้าที่รักษาความปลอดภัยของบริษัทจะรู้สึกตัวและให้ความสนใจ ภัยคุกคามภายในไม่น้อยไปกว่าภายนอก


อเล็กเซย์ โดลย่า: คุณให้การสนับสนุนทางเทคนิคประเภทใดแก่ลูกค้าผลิตภัณฑ์ของคุณ? จากข้อมูลที่ให้ไว้บนเว็บไซต์ของคุณ D-Link ให้ข้อมูลเพิ่มเติม บริการ, คำถามที่พบบ่อย, ฐานความรู้, HELPER และอื่นๆ อีกมากมาย เป็นไปได้ไหมที่จะเจาะจงมากขึ้น?

อีวาน มาร์ตีนยัค: แม้ว่า D-Link จะเชี่ยวชาญด้านการผลิตอุปกรณ์สำหรับกลุ่มธุรกิจขนาดเล็กและขนาดกลาง แต่คลังแสงของเราก็มีผลิตภัณฑ์ที่ค่อนข้างซับซ้อนและใช้งานได้ค่อนข้างสูง ซึ่งไม่ใช่เรื่องง่ายสำหรับผู้เชี่ยวชาญที่มีคุณสมบัติสูงที่จะเชี่ยวชาญ หากคุณไปที่เว็บไซต์ของเรา คุณจะเห็นว่าบริษัทมีสำนักงานภูมิภาคจำนวนมากที่ให้การสนับสนุนในท้องถิ่น ยิ่งคุณอยู่ใกล้บุคคลใดบุคคลหนึ่งมากเท่าไร คุณก็จะยิ่งเข้าใจเขามากขึ้นเท่านั้น และจะสามารถเสนอวิธีแก้ปัญหาทางเทคนิคที่ดีกว่าให้เขาหรือแก้ไขปัญหาของเขาได้เร็วยิ่งขึ้น ในกรณีนี้จะง่ายกว่าสำหรับคนที่จะโทรหาคุณหรือขับรถขึ้นไปหรือคุณเองก็สามารถขับรถไปหาผู้ใช้และแก้ไขปัญหาได้ทันที บริษัทยังมีเว็บไซต์ภาษารัสเซียที่คุณสามารถค้นหาได้ ข้อมูลรายละเอียดเกี่ยวกับผลิตภัณฑ์ ค้นหาว่าสามารถซื้อได้ที่ไหน อ่านข่าวสาร ส่วนที่ใหญ่ที่สุดแห่งหนึ่งของไซต์คือส่วนนี้ การสนับสนุนทางเทคนิคซึ่งมีคำตอบสำหรับคำถามที่พบบ่อย (FAQ) ฐานความรู้ ( ฐานความรู้) ซึ่งมีคำตอบสำหรับคำถามทางเทคนิคมากมาย ตัวช่วยที่จะเป็นประโยชน์สำหรับผู้ใช้มือใหม่เมื่อสร้างเครือข่าย โปรแกรมจำลองอินเทอร์เฟซอุปกรณ์ ฟอรัมที่คุณสามารถพูดคุยเรื่องต่างๆ ได้ ด้านเทคนิคการใช้อุปกรณ์ทั้งกับผู้ใช้รายอื่นและพนักงาน D-Link รวมถึงข้อมูลทางเทคนิคที่เป็นประโยชน์อื่น ๆ อีกมากมาย นอกจากเว็บไซต์แล้ว ยังรองรับไซต์ FTP อีกด้วย ซึ่งคุณสามารถดาวน์โหลดคู่มือผู้ใช้ฉบับสมบูรณ์สำหรับอุปกรณ์ต่างๆ ได้ ซึ่งส่วนใหญ่แปลเป็นภาษารัสเซีย ตลอดจนเฟิร์มแวร์ ไดรเวอร์ และซอฟต์แวร์อื่น ๆ และเอกสารประกอบของอุปกรณ์


อเล็กเซย์ โดลย่า: นอกเหนือจากการสนับสนุนทางเทคนิคแล้ว คุณมีการฝึกอบรมหรือไม่? สัมมนาหลักสูตร?

อีวาน มาร์ตีนยัค: สำนักงานภูมิภาคทุกแห่งของเราจัดการสัมมนาทางเทคนิคฟรีเป็นประจำ ซึ่งช่วยให้คุณสามารถโต้ตอบกับผู้ใช้และถ่ายทอดข้อมูลที่ไม่สามารถให้ผ่านสื่อหรือเว็บไซต์ได้ การเพิ่มระดับทางเทคนิคของผู้เชี่ยวชาญด้านไอทีส่งผลเชิงบวกต่อระดับของโซลูชันทางเทคนิคที่พวกเขานำไปใช้และปริมาณการขายอุปกรณ์ของเรา การสัมมนาประกอบด้วย 2 ส่วน คือ ภาคทฤษฎี กล่าวถึงหลักการสร้างเครือข่าย โปรโตคอลเครือข่ายเทคโนโลยีและผลิตภัณฑ์ของเราและสิ่งที่ใช้งานได้จริงซึ่งแสดงวิธีปรับแต่งผลิตภัณฑ์เหล่านี้สำหรับงานเฉพาะ


อเล็กเซย์ โดลย่า: มีคำพูดสุดท้ายที่จะบอกกับผู้อ่านของเราไหม?

อีวาน มาร์ตีนยัค: ฉันอยากจะทราบว่าไฟร์วอลล์และระบบตรวจจับการบุกรุกเป็นสิ่งจำเป็น แต่มีวิธีการปกป้องข้อมูลไม่เพียงพอ ปัญหานี้จำเป็นต้องได้รับการแก้ไขในวงกว้างและได้มีการนำเสนอสิ่งที่เรียกว่า “ระบบรักษาความปลอดภัยข้อมูลที่ครอบคลุม” ซึ่งเป็นมาตรการที่ซับซ้อนทั้งในด้านองค์กร กฎหมาย และทางเทคนิค การแก้ปัญหาความปลอดภัยของข้อมูลมักเริ่มต้นด้วยการวิเคราะห์ข้อมูลที่หมุนเวียนในองค์กร การจำแนกประเภทและการกำหนดมูลค่า จากนั้นจึงระบุศักยภาพต่างๆ ภัยคุกคามที่เป็นไปได้และส่วนมากอาจมีลักษณะตามธรรมชาติ เช่น อุปกรณ์ขัดข้อง ภัยพิบัติทางธรรมชาติ ข้อผิดพลาดของบุคลากร ฯลฯ และหลังจากนั้นจึงเลือกรุ่นและวิธีการป้องกันที่จำเป็นเท่านั้น นอกจากนี้ แม้แต่ระบบรักษาความปลอดภัยที่ออกแบบและสร้างมาอย่างเหมาะสมก็ไม่สามารถปกป้องเครือข่ายของคุณได้อย่างมีประสิทธิภาพเสมอไป เนื่องจากโครงสร้างเชิงตรรกะและทางกายภาพมีการเปลี่ยนแปลงอยู่ตลอดเวลา โครงสร้างองค์กรขององค์กรก็เปลี่ยนแปลงอยู่ตลอดเวลา และภัยคุกคามประเภทใหม่ ๆ ก็ปรากฏขึ้น ระบบป้องกันจำเป็นต้องได้รับการวิเคราะห์และปรับเปลี่ยนตามสถานการณ์ที่เปลี่ยนแปลงอยู่ตลอดเวลา การรักษาความปลอดภัยเป็นกระบวนการ


อเล็กเซย์ โดลย่า: ขอบคุณมากครับที่ตกลงตอบคำถามของเรา เราจะติดตามความสำเร็จของบริษัทและผลิตภัณฑ์ของคุณต่อไป!




ทำไมคุณถึงต้องมีไฟร์วอลล์ในเราเตอร์?

เครือข่ายไร้สายจำเป็นต้องมีการป้องกันอย่างระมัดระวัง เนื่องจากโอกาสที่ดีที่สุดในการดักจับข้อมูลถูกสร้างขึ้นที่นี่ ดังนั้น หากคอมพิวเตอร์หลายเครื่องเชื่อมต่อเข้ากับเครือข่ายโดยใช้เราเตอร์ จะต้องติดตั้งและใช้งานไฟร์วอลล์ไม่เพียงแต่ในคอมพิวเตอร์แต่ละเครื่องเท่านั้น แต่ยังรวมถึงบนเราเตอร์ด้วย ตัวอย่างเช่น ฟังก์ชันไฟร์วอลล์ในเราเตอร์ซีรีส์ DI-XXX ดำเนินการโดย SPI ซึ่งทำการตรวจสอบแพ็คเก็ตเพิ่มเติม หัวข้อของการตรวจสอบคือแพ็กเก็ตเป็นของการเชื่อมต่อที่สร้างขึ้นหรือไม่

ในระหว่างเซสชันการเชื่อมต่อ พอร์ตจะเปิดขึ้นซึ่งสามารถถูกโจมตีโดยแพ็กเก็ตภายนอก ช่วงเวลาที่ดีเป็นพิเศษสำหรับสิ่งนี้คือเมื่อเซสชันเสร็จสิ้นและพอร์ตยังคงเปิดอยู่เป็นเวลาหลายนาที ดังนั้น SPI จะจดจำสถานะเซสชันปัจจุบันและวิเคราะห์แพ็กเก็ตขาเข้าทั้งหมด ต้องสอดคล้องกับสิ่งที่คาดหวัง - มาจากที่อยู่ที่ส่งคำขอและมีตัวเลขที่แน่นอน หากแพ็กเก็ตไม่สอดคล้องกับเซสชัน กล่าวคือ ไม่ถูกต้อง ถูกบล็อกและเหตุการณ์นี้ถูกบันทึกไว้ในบันทึก ไฟร์วอลล์อื่นบนเราเตอร์ช่วยให้คุณสามารถบล็อกการเชื่อมต่อขาออกจากคอมพิวเตอร์ที่ติดไวรัสได้

1,590 รูเบิล

TP-Link TP-LINK TD-W8961N(RU)

- ด้วยการรองรับ ADSL2+ ด้วยการสนับสนุนเทลเน็ต จำนวนพอร์ตสวิตช์คือ 4 พอร์ต พร้อมการกำหนดเส้นทางแบบคงที่ ด้วยเราเตอร์ในตัว ด้วยฟังก์ชั่น SPI. การดำเนินการ - ภายนอก ด้วยการสนับสนุน NAT ด้วยการสนับสนุน DNS แบบไดนามิก- ประเภทโมเด็ม - ADSL ด้วยการรองรับ SNMP ด้วยเซิร์ฟเวอร์ DHCP พร้อมสวิตช์ในตัว อินเทอร์เฟซ - อีเธอร์เน็ต ด้วยเว็บอินเตอร์เฟส ด้วยเขตปลอดทหาร (DMZ) ขนาด 130x195x35 มม.

ซื้อ วี ร้านค้าออนไลน์ท็อปคอมพิวเตอร์.RU

ปิ๊กอัพได้

รีวิววิดีโอรูปถ่าย

1,390 รูเบิล

7% 1,490 ถู.

โมเด็ม xDSL TP-LINK TD-W8901N

รองรับ VPN(VPN ผ่าน) เราเตอร์ในตัว สวิตช์ในตัว รองรับ DNS แบบไดนามิก เว็บอินเตอร์เฟส การสนับสนุนเทลเน็ต มีพอร์ตสวิตช์ 4 พอร์ต เอสพีไอ. ไฟร์วอลล์. เซิร์ฟเวอร์ DHCP แนท การดำเนินการ - ภายนอก เขตปลอดทหาร (DMZ) อินเทอร์เฟซ - อีเธอร์เน็ต ประเภทโมเด็ม - ADSL รองรับ SNMP รองรับ ADSL2+ ความลึก : 128 มม. กว้าง : 35 มม. สูง : 182 มม.

ซื้อ วี ร้านค้าออนไลน์เอ็กซ์คอมช็อป

ปิ๊กอัพได้

รีวิววิดีโอรูปถ่าย

790 ถู

โมเด็ม UPVEL UR-104AN เราเตอร์ ADSL2+ พร้อมพอร์ตอีเธอร์เน็ต 4 พอร์ต 10/100 Mbit/s พร้อมรองรับ IP-TV

ด้วยการกำหนดเส้นทางแบบคงที่ ด้วยเขตปลอดทหาร (DMZ) ด้วยการสนับสนุน NAT ด้วยเซิร์ฟเวอร์ DHCP ด้วยการรองรับอุโมงค์ VPN (VPN Endpoint) ด้วยการรองรับ ADSL2+ ด้วยฟังก์ชั่น SPI. ด้วยไฟร์วอลล์. จำนวนพอร์ตสวิตช์คือ 4 อินเทอร์เฟซคืออีเทอร์เน็ต การดำเนินการ - ภายนอก จำนวนอุโมงค์ VPN ที่รองรับ - 100 พร้อมเราเตอร์ในตัว ด้วยการรองรับ SNMP ด้วยการสนับสนุน DNS แบบไดนามิก ด้วยเว็บอินเตอร์เฟส พร้อมสวิตช์ในตัว ประเภทโมเด็ม - ADSL น้ำหนัก : 180 กรัม ขนาด 110x160x35 มม.

ซื้อ วี ร้านค้าออนไลน์ Oldi.ru

รีวิววิดีโอรูปถ่าย

2,261 รูเบิล

โมเด็ม ดีลิงค์ DSL-2640U

รองรับ SNMP รองรับ ADSL2+ เอสพีไอ- การดำเนินการ - ภายนอก ไฟร์วอลล์- เขตปลอดทหาร (DMZ) ประเภทโมเด็ม - ADSL รองรับอุโมงค์ VPN (VPN Endpoint) รองรับ VPN (ผ่าน VPN) อินเทอร์เฟซ - อีเธอร์เน็ต เซิร์ฟเวอร์ DHCP แนท เว็บอินเตอร์เฟส การกำหนดเส้นทางแบบคงที่ สวิตช์ในตัว รองรับ DNS แบบไดนามิก เราเตอร์ในตัว ด้วยจำนวนพอร์ตสวิตช์ 4. น้ำหนัก: 327 กรัม.

วี ร้านค้าออนไลน์ราคา-com.ru

รีวิววิดีโอรูปถ่าย

1,890 รูเบิล

TP-Link TP-LINK TD-W8968

ประเภทโมเด็ม - ADSL ด้วยเว็บอินเตอร์เฟส ด้วยเซิร์ฟเวอร์ DHCP ด้วยการสนับสนุน DNS แบบไดนามิก ด้วยการสนับสนุนเทลเน็ต ด้วยเขตปลอดทหาร (DMZ) ด้วยเราเตอร์ในตัว ด้วยฟังก์ชั่น SPI. ด้วยไฟร์วอลล์. ด้วยการสนับสนุน NAT ด้วยการกำหนดเส้นทางแบบคงที่ อินเทอร์เฟซ - อีเธอร์เน็ต การดำเนินการ - ภายนอก ด้วยการรองรับ SNMP จำนวนพอร์ตสวิตช์คือ 4 พร้อมรองรับ ADSL2+ ด้วยการรองรับ VPN (VPN ผ่าน) พร้อมสวิตช์ในตัว ความลึก : 130 มม. กว้าง : 195 มม. ความสูง : 36 มม.

วี ร้านค้าออนไลน์ท็อปคอมพิวเตอร์.RU

ปิ๊กอัพได้

รีวิววิดีโอรูปถ่าย

1,590 รูเบิล

โมเด็ม xDSL TP-LINK TD-W8961N

เขตปลอดทหาร (DMZ) สวิตช์ในตัว เอสพีไอ- แนท การดำเนินการ - ภายนอก รองรับ ADSL2+ การสนับสนุนเทลเน็ต อินเทอร์เฟซ - อีเธอร์เน็ต ไฟร์วอลล์. รองรับ SNMP รองรับ DNS แบบไดนามิก เซิร์ฟเวอร์ DHCP เว็บอินเตอร์เฟส ด้วยจำนวนพอร์ตสวิตช์ 4. ประเภทโมเด็ม - ADSL การกำหนดเส้นทางแบบคงที่ เราเตอร์ในตัว ความลึก: 130 มม. ความกว้าง: 195 มม. ความสูง: 35 มม.

วี ร้านค้าออนไลน์เอ็กซ์คอมช็อป

ปิ๊กอัพได้

รีวิววิดีโอรูปถ่าย

2,075 รูเบิล

โมเด็ม ADSL อัพเวล UR-203AWP

การดำเนินการ - ภายนอก ด้วยการรองรับ ADSL2+ ด้วยการรองรับ SNMP อินเทอร์เฟซ - อีเธอร์เน็ต ประเภทโมเด็ม - ADSL ด้วยเว็บอินเตอร์เฟส ด้วยการกำหนดเส้นทางแบบคงที่ ด้วยฟังก์ชั่น SPI. ด้วยไฟร์วอลล์. ด้วยการสนับสนุนเทลเน็ต ด้วยเราเตอร์ในตัว จำนวนพอร์ตสวิตช์คือ 3 พร้อมเขตปลอดทหาร (DMZ) ด้วยการสนับสนุน NAT ด้วยเซิร์ฟเวอร์ DHCP ด้วยการสนับสนุน VPN (VPN ผ่าน) พร้อมสวิตช์ในตัว ด้วยการสนับสนุน DNS แบบไดนามิก กว้าง : 175 มม. ความลึก : 115 มม. ความสูง : 30 มม. น้ำหนัก : 280 กรัม

วี ร้านค้าออนไลน์ท็อปคอมพิวเตอร์.RU

ปิ๊กอัพได้

รูปถ่าย

1,790 รูเบิล

โมเด็ม xDSL TP-LINK TD-W8960N

เขตปลอดทหาร (DMZ) เซิร์ฟเวอร์ DHCP รองรับ VPN (ผ่าน VPN) รองรับ DNS แบบไดนามิก สวิตช์ในตัว รองรับ SNMP เอสพีไอ. ไฟร์วอลล์. แนท อินเทอร์เฟซ - อีเธอร์เน็ต พอร์ตคอนโซล เว็บอินเตอร์เฟส ประเภทโมเด็ม - ADSL ด้วยอุโมงค์ VPN ที่รองรับ 10 แห่ง การดำเนินการ - ภายนอก รองรับอุโมงค์ VPN (VPN Endpoint) รองรับ ADSL2+ การกำหนดเส้นทางแบบคงที่ เราเตอร์ในตัว ด้วยจำนวนพอร์ตสวิตช์ 4. ความลึก: 140 มม. ความสูง : 28 มม. กว้าง : 200 มม.



บทความที่เกี่ยวข้อง