การกำหนดค่าไฟร์วอลล์ขั้นสูงบนเซิร์ฟเวอร์

อินฟอร์เมเทค ดิจิตอล » Recursos » การกำหนดค่าไฟร์วอลล์ขั้นสูงบนเซิร์ฟเวอร์

ปริญญาโท การกำหนดค่าไฟร์วอลล์ขั้นสูงบนเซิร์ฟเวอร์ เรื่องนี้ไม่ได้จำกัดอยู่แค่บริษัทขนาดใหญ่เท่านั้น บริษัทใดก็ตามที่ให้ความสำคัญกับความปลอดภัยทางไซเบอร์จำเป็นต้องเข้าใจวิธีการแบ่งส่วนเครือข่าย กำหนดโซน สร้างกฎเกณฑ์โดยละเอียด และใช้ประโยชน์สูงสุดจากทั้งไฟร์วอลล์ภายนอกและไฟร์วอลล์ของ Windows บนคอมพิวเตอร์และเซิร์ฟเวอร์ทุกเครื่อง

ตลอดทั้งคู่มือนี้ คุณจะได้เห็นรายละเอียดอย่างครบถ้วนเกี่ยวกับวิธีการต่างๆ ไฟร์วอลล์รุ่นใหม่ (NGFW)วิธีการออกแบบโซน (LAN, WAN, DMZ, VLAN) ประเภทของกฎที่จะนำมาใช้ (โปรแกรม พอร์ต โปรโตคอล IP…) และวิธีการใช้ประโยชน์จาก... ไฟร์วอลล์ Windows พร้อมความปลอดภัยขั้นสูงเครื่องมืออย่าง SimpleWall มีบทบาทอย่างไร และควรปฏิบัติตามแนวทางปฏิบัติที่ดีที่สุดอย่างไรเพื่อป้องกันไม่ให้โครงสร้างทั้งหมดนี้กลายเป็นความโกลาหลที่ควบคุมไม่ได้?

ไฟร์วอลล์รุ่นใหม่บนเซิร์ฟเวอร์: มากกว่าแค่การกรองพอร์ต

ไฟร์วอลล์รุ่นใหม่ เช่น ฟอร์ติเกต NGFWอุปกรณ์เหล่านี้ผสานรวมฟังก์ชันเครือข่ายขั้นสูงและระบบรักษาความปลอดภัยขั้นสูงไว้ในอุปกรณ์เดียว ไม่ได้แค่เปิดหรือปิดพอร์ตเท่านั้น แต่ยังวิเคราะห์การรับส่งข้อมูลในระดับแอปพลิเคชัน ตรวจสอบเนื้อหาที่เข้ารหัส และผสานรวมเข้ากับสถาปัตยกรรมคลาวด์ LAN WLAN และการเข้าถึงระยะไกลที่ซับซ้อนได้อีกด้วย

ในกรณีของ FortiGate หัวใจสำคัญของระบบคือ ฟอร์ติโอเอสระบบปฏิบัติการเฉพาะที่รวมนโยบายความปลอดภัยและฟังก์ชันเครือข่ายเข้าไว้ด้วยกัน ได้แก่ SD-WAN ในตัว, ZTNA สากล, การควบคุมการรับส่งข้อมูลในเครือข่ายไร้สายและเครือข่ายแบบมีสาย และการจัดการแบบรวมศูนย์ด้วย FortiManager

นอกจากนี้ ทีมเหล่านี้ยังพึ่งพา... สถาปัตยกรรม ASIC ที่เป็นกรรมสิทธิ์ (ชิปเฉพาะ) เพื่อเร่งความเร็วในการตรวจสอบและถอดรหัสแพ็กเก็ตโดยไม่ลดประสิทธิภาพหรือทำให้การใช้พลังงานเพิ่มขึ้นอย่างฉับพลัน แม้ในขณะที่เครือข่ายมีภาระงานหนักและมีเซสชันพร้อมกันหลายร้อยหรือหลายพันเซสชัน

การป้องกันภัยคุกคามจะแข็งแกร่งขึ้นด้วย บริการฟอร์ติการ์ดซึ่งเพิ่มปัญญาประดิษฐ์เพื่อตรวจจับมัลแวร์ การรับส่งข้อมูลที่น่าสงสัย ช่องโหว่ และการโจมตีแบบเจาะจงเป้าหมาย โดยผสานทุกอย่างเข้ากับแนวคิดของ Fortinet Security Fabric: โครงสร้างความปลอดภัยที่ครอบคลุมเครือข่าย อุปกรณ์ปลายทาง และคลาวด์ เพื่อตอบสนองต่อเหตุการณ์ต่างๆ อย่างเป็นระบบและประสานงานกัน

การออกแบบโซนไฟร์วอลล์และการแบ่งส่วนเครือข่ายบนเซิร์ฟเวอร์

ก่อนที่จะเริ่มสร้างกฎเกณฑ์ราวกับว่าไม่มีวันพรุ่งนี้ คุณต้องออกแบบ... สถาปัตยกรรมของเขตพื้นที่ และ การแบ่งส่วนเครือข่ายยิ่งตาข่ายแบนราบมากเท่าไหร่ ก็ยิ่งทำให้ผู้โจมตีเคลื่อนที่ไปด้านข้างได้ง่ายขึ้นเท่านั้นเมื่อเข้าไปอยู่ในตาข่ายแล้ว

ขั้นตอนแรกคือการระบุ สินทรัพย์และบริการที่สำคัญเว็บเซิร์ฟเวอร์ ฐานข้อมูล แอปพลิเคชันภายใน อุปกรณ์ ณ จุดขาย ระบบโทรศัพท์ VoIP เครือข่ายสำหรับแขก ฯลฯ จะถูกจัดกลุ่มตามความสำคัญและความเสี่ยง โดยแบ่งออกเป็นโซนตรรกะต่างๆ

แนวปฏิบัติมาตรฐานคือการสร้าง DMZ (เขตปลอดทหาร) สำหรับเซิร์ฟเวอร์ที่ให้บริการโดยตรงผ่านทางอินเทอร์เน็ต (เช่น อีเมล, VPN, เว็บแอปพลิเคชัน, พอร์ทัลสาธารณะ ฯลฯ) ระบบเหล่านี้จะต้องแยกออกจากทั้งเครือข่ายภายนอกและเครือข่ายภายในที่สำคัญที่สุด โดยจำกัดปริมาณการรับส่งข้อมูลระหว่างพื้นที่ต่างๆ ให้เหลือน้อยที่สุดเท่าที่จะเป็นไปได้

เซิร์ฟเวอร์ที่สามารถเข้าถึงได้จากภายในองค์กรเท่านั้น ตั้งอยู่ใน พื้นที่เซิร์ฟเวอร์ภายในสิ่งเหล่านี้จะแยกออกจากเครือข่ายผู้ใช้ เครือข่ายการจัดการ และสภาพแวดล้อมห้องปฏิบัติการหรือการทดสอบใดๆ เพื่อให้ใช้งานได้จริง มักใช้สวิตช์ที่มีการรองรับ VLAN เพื่อรักษาระยะห่างในระดับที่ 2 ด้วยเช่นกัน

ในสภาพแวดล้อม IPv4 เครือข่ายภายในทั้งหมดจะต้องใช้ สนามยิงปืนส่วนตัว (RFC1918) และอาศัยกลไก NAT ในการเข้าถึงอินเทอร์เน็ต โดยปกติการแปลงที่อยู่จะดำเนินการที่ไฟร์วอลล์รอบนอก ซึ่งบังคับใช้นโยบายการรับส่งข้อมูลขาเข้าและขาออกสำหรับแต่ละโซนโดยเฉพาะด้วย

รายการควบคุมการเข้าถึง (ACLs) และกฎระหว่างโซน

เมื่อกำหนดและกำหนดโซนให้กับอินเทอร์เฟซหรือซับอินเทอร์เฟซของไฟร์วอลล์เรียบร้อยแล้ว ก็ถึงเวลา... ACL (รายการควบคุมการเข้าถึง)ซึ่งเป็นกฎที่ใช้ตัดสินว่าการจราจรประเภทใดได้รับอนุญาตและประเภทใดถูกห้ามระหว่างโซนเหล่านั้น

แนวคิดคือการกำหนดชุดกฎที่เรียบง่ายที่สุดเท่าที่จะเป็นไปได้สำหรับแต่ละอินเทอร์เฟซหรือซับอินเทอร์เฟซ เฉพาะเจาะจงและละเอียด ข้อกำหนดที่เป็นไปได้ ได้แก่: IP ต้นทางหรือซับเน็ต, IP ปลายทางหรือซับเน็ต, โปรโตคอล (TCP, UDP, ICMP ฯลฯ), พอร์ตที่เกี่ยวข้อง และการดำเนินการ (อนุญาตหรือไม่อนุญาต) ยิ่งกฎมีความเฉพาะเจาะจงมากเท่าไหร่ ช่องโหว่ด้านความปลอดภัยก็จะยิ่งน้อยลงเท่านั้น

แนวปฏิบัติที่ดีคือการปิดท้าย ACL แต่ละข้อด้วยกฎข้อหนึ่งว่า “ปฏิเสธทุกอย่าง” โดยนัยนี่เป็นเหมือนตาข่ายนิรภัย: หากแพ็กเก็ตใดไม่ตรงกับกฎการอนุญาตที่มีอยู่ก่อนแล้ว แพ็กเก็ตนั้นจะถูกบล็อก จากนั้นจะมีการสร้างข้อยกเว้นเฉพาะเจาะจงสำหรับโฟลว์ที่จำเป็นจริงๆ

แนะนำให้ปิดใช้งานด้วยเช่นกัน การเข้าถึงอินเทอร์เฟซการบริหารจัดการสำหรับบุคคลทั่วไป ของไฟร์วอลล์ (HTTP, HTTPS, SSH ฯลฯ) อนุญาตให้จัดการได้เฉพาะจากเครือข่ายภายในที่เฉพาะเจาะจงมาก หรือผ่าน VPN สำหรับการจัดการที่ปลอดภัยเท่านั้น

ไฟร์วอลล์รุ่นใหม่ (NGFW) สามารถทำงานได้มากกว่าแค่การเชื่อมต่อพอร์ตและ IP โดยใช้ประโยชน์จากเทคโนโลยีต่างๆ ควบคุมการใช้งานหมวดหมู่เว็บ, IPS และการวิเคราะห์ไฟล์ขั้นสูง (แซนด์บ็อกซ์) หากคุณชำระเงินสำหรับคุณสมบัติเหล่านี้แล้ว การเปิดใช้งานและกำหนดค่าในขั้นตอนการทำงานที่สำคัญ โดยเฉพาะอย่างยิ่งขั้นตอนที่เกี่ยวข้องกับการเข้าถึงเครือข่ายภายนอก ถือเป็นเรื่องที่สมเหตุสมผล

ไฟร์วอลล์แบบอนุญาตเทียบกับไฟร์วอลล์แบบจำกัดบนเซิร์ฟเวอร์

จุดสำคัญในการออกแบบนโยบายไฟร์วอลล์ (ไม่ว่าจะเป็นไฟร์วอลล์ระดับเครือข่ายหรือไฟร์วอลล์ระดับระบบปฏิบัติการ) คือการตัดสินใจว่าจะเริ่มต้นจากสถานะความปลอดภัยก่อนหรือไม่ อนุญาตหรือจำกัด.

ในหนึ่ง ไฟร์วอลล์ที่อนุญาต กฎโดยนัยที่สำคัญที่สุดคือ "อนุญาตทุกอย่าง" เฉพาะสิ่งที่ถูกกำหนดไว้อย่างชัดเจนโดยกฎการปฏิเสธเท่านั้นที่จะถูกบล็อก วิธีการนี้มักใช้ในเครือข่ายท้องถิ่นที่เชื่อถือได้ (LAN) หรือในคอมพิวเตอร์ที่กำหนดค่าเป็น "เครือข่ายส่วนตัว" ใน Windows

ในหนึ่ง ไฟร์วอลล์ที่จำกัด สิ่งที่เกิดขึ้นกลับตรงกันข้าม: กฎสุดท้ายคือ "ปฏิเสธทั้งหมด" เฉพาะทราฟฟิกที่ตรงกับกฎการอนุญาตที่ระบุไว้อย่างชัดเจนเท่านั้นที่จะได้รับอนุญาตให้ผ่านไปได้ ปรัชญานี้พบได้ทั่วไปในอินเทอร์เฟซเครือข่ายบริเวณกว้าง (WAN) ในไฟร์วอลล์ เช่น pfSense หรือ NGFW ขององค์กร และในอุปกรณ์ที่กำหนดค่าเป็น "เครือข่ายสาธารณะ"

ตัวอย่างเช่น Windows ใช้ค่าเริ่มต้น นโยบายที่เข้มงวดเกี่ยวกับการเชื่อมต่อขาเข้า (บล็อกทุกอย่างที่ไม่ได้รับอนุญาตอย่างชัดเจน) และ นโยบายที่ผ่อนปรนเกี่ยวกับรายจ่าย (อนุญาตทุกอย่างยกเว้นสิ่งที่คุณบล็อกไว้) สามารถปรับการตั้งค่านี้ได้จากคุณสมบัติขั้นสูงของไฟร์วอลล์

ไฟร์วอลล์ของ Windows สามารถทำอะไรได้บ้างบนเซิร์ฟเวอร์?

El ไฟร์วอลล์ Windows พร้อมความปลอดภัยขั้นสูง มันมีประสิทธิภาพมากกว่าที่หลายคนคิด มันสามารถควบคุมการรับส่งข้อมูลขาเข้าและขาออก กรองตามที่อยู่ IP พอร์ต โปรโตคอล บริการ อินเทอร์เฟซเครือข่าย ประเภทโปรไฟล์ (โดเมน ส่วนตัว สาธารณะ) และแม้กระทั่งตามผู้ใช้หรือกลุ่มในบางกรณี

ในบรรดาความสามารถต่างๆ นั้น ความสามารถที่โดดเด่นมีดังต่อไปนี้: การกรองแพ็คเก็ต ในระดับพื้นฐาน ระบบจะสร้างบันทึกรายละเอียด (ซึ่งสามารถนำไปวิเคราะห์ด้วย Event Viewer หรือส่งไปยัง SIEM ได้) ตรวจจับเครือข่ายสาธารณะเพื่อใช้โปรไฟล์ที่เข้มงวดขึ้นโดยอัตโนมัติ และผสานรวมกับเลเยอร์ความปลอดภัยอื่นๆ เช่น Windows Defender

สำหรับธุรกิจขนาดเล็กและสภาพแวดล้อมเซิร์ฟเวอร์จำนวนมาก เซิร์ฟเวอร์ที่ได้รับการกำหนดค่าอย่างเหมาะสมสามารถช่วยได้ มากเกินพอแล้วโดยเฉพาะอย่างยิ่งเมื่อใช้ร่วมกับซอฟต์แวร์ป้องกันไวรัสที่มีประสิทธิภาพและแนวทางการบริหารจัดการที่ดี อย่างไรก็ตาม สิ่งสำคัญคือต้องตระหนักถึงข้อจำกัดของมัน: มันไม่สามารถใช้ทดแทน NGFW (NGFW) หรือ IPS (ระบบป้องกันการบุกรุก) ที่ติดตั้งไว้รอบนอกได้

จุดอ่อนที่ควรกล่าวถึงคือ ไฟร์วอลล์ของ Windows ไม่ได้เปิดใช้งานฟีเจอร์นี้โดยค่าเริ่มต้น การตรวจสอบแพ็คเก็ตลึก ด้วยลายเซ็นขั้นสูง โปรแกรมนี้ไม่ได้บล็อกข้อมูลการใช้งานระบบโดยพื้นฐาน การแจ้งเตือนก็ไม่ชัดเจน (แทบจะไม่แจ้งเตือนคุณเกี่ยวกับการเชื่อมต่อใหม่) และวิธีการตรวจสอบบันทึกก็ไม่เป็นมิตรต่อผู้ใช้ที่ไม่เชี่ยวชาญด้านเทคนิค

เข้าถึง Windows Firewall พร้อมระบบรักษาความปลอดภัยขั้นสูง

เพื่อจัดการการตั้งค่าไฟร์วอลล์ขั้นสูงในสภาพแวดล้อมของ โดเมน Active Directoryในอุดมคติแล้ว ควรทำงานร่วมกับ GPO (Group Policy Objects)จำเป็นอย่างยิ่งที่จะต้องเป็นสมาชิกของกลุ่มผู้ดูแลระบบโดเมน หรือได้รับมอบหมายสิทธิ์ในการเข้าถึง GPO

จากคอนโซลการจัดการนโยบาย คุณสามารถไปยังส่วนต่างๆ ได้ นโยบาย > การกำหนดค่าคอมพิวเตอร์ > การตั้งค่า Windows > การตั้งค่าความปลอดภัย > ไฟร์วอลล์ Windows พร้อมการรักษาความปลอดภัยขั้นสูงที่นั่นสามารถกำหนดกฎทั่วไปสำหรับคอมพิวเตอร์ไคลเอ็นต์และเซิร์ฟเวอร์ที่เข้าร่วมโดเมนได้

ถ้ามันเกี่ยวกับ เซิร์ฟเวอร์เครื่องเดียวหรือคอมพิวเตอร์ท้องถิ่นคุณแค่ต้องมีสิทธิ์ผู้ดูแลระบบบนอุปกรณ์นั้น วิธีที่เร็วที่สุดในการเปิดคอนโซลคือการกดปุ่ม START แล้วพิมพ์ wf.msc จากนั้นกด Enter หน้าต่าง Windows Firewall พร้อมระบบรักษาความปลอดภัยขั้นสูงสำหรับคอมพิวเตอร์เครื่องนั้นจะเปิดขึ้น

หน้าจอหลักแสดงผล กฎขาเข้า, กฎขาออก, กฎความปลอดภัยการเชื่อมต่อ และการกำหนดค่าโปรไฟล์ต่างๆ (โดเมน ส่วนตัว สาธารณะ) พร้อมด้วยพื้นที่ตรวจสอบที่แสดงเฉพาะกฎที่ใช้งานอยู่เท่านั้น

โปรไฟล์ นโยบายระดับโลก และพฤติกรรมเริ่มต้น

แผงคุณสมบัติไฟร์วอลล์จะควบคุมตัวเลือกโดยรวมสำหรับแต่ละรายการ โปรไฟล์เครือข่าย (โดเมน, ส่วนตัว, สาธารณะ) ตัวเลือกเหล่านี้จะกำหนดวิธีการทำงานของไฟร์วอลล์เมื่ออะแดปเตอร์เครือข่ายเชื่อมโยงกับประเภทเครือข่ายเฉพาะ

สำหรับแต่ละโปรไฟล์ คุณสามารถตัดสินใจได้ว่าจะเปิดใช้งานไฟร์วอลล์หรือไม่ เปิดหรือปิดไม่ว่าการเชื่อมต่อขาเข้าที่ไม่ตรงตามกฎใด ๆ จะถูกบล็อกหรืออนุญาต และเช่นเดียวกันสำหรับการเชื่อมต่อขาออก

นอกจากนี้ ยังสามารถปรับพารามิเตอร์ต่างๆ ดังต่อไปนี้ได้: การแจ้งเตือนเมื่อบล็อกโปรแกรมสถานที่ตั้ง บันทึกไฟร์วอลล์รวมถึงขนาดสูงสุดของไฟล์บันทึกเหล่านั้น และการจัดการพิเศษสำหรับทราฟฟิกที่ได้รับการปกป้องโดยอุโมงค์ VPN IPsec ซึ่งโดยทั่วไปถือว่ามีความน่าเชื่อถือมากกว่า

ใน การดูแล ระบบจะแสดงกฎที่ใช้งานอยู่ทั้งหมด รวมถึงกฎจาก Group Policy Objects (GPOs) และกฎที่กำหนดไว้ในเครื่อง นี่คือที่ที่คุณสามารถตรวจสอบได้ว่ากฎใดบ้างที่ใช้งานอยู่จริง และมีพารามิเตอร์อะไรบ้าง จากนั้นคุณสามารถเปิดและแก้ไขคุณสมบัติของกฎเหล่านั้นได้

กฎการเข้าและออก: ทิศทางการจราจร

เมื่อใช้งานกฎในไฟร์วอลล์ของ Windows หนึ่งในข้อผิดพลาดที่พบบ่อยที่สุดคือ ทำให้ทิศทางการจราจรสับสนกฎขาเข้าใช้กับแพ็กเก็ตที่เข้ามายังคอมพิวเตอร์ ส่วนกฎขาออกใช้กับแพ็กเก็ตที่ออกจากคอมพิวเตอร์ไปยังเครื่องอื่น

หากเป้าหมายคือการป้องกันการเชื่อมต่อจากอินเทอร์เน็ตไปยังเซิร์ฟเวอร์ จำเป็นต้องสร้างหรือแก้ไข กฎการเข้าในทางกลับกัน หากเป้าหมายคือการป้องกันไม่ให้เซิร์ฟเวอร์หรือโปรแกรมเชื่อมต่อกับภายนอก จะต้องดำเนินการที่ฝั่งเซิร์ฟเวอร์เอง กฎการออก.

แต่ละรายการในรายการจะระบุว่ากฎนั้นเปิดใช้งานอยู่ (ไอคอนเครื่องหมายถูกสีเขียว) หรือปิดใช้งานอยู่ กฎที่ปิดใช้งานจะไม่ส่งผลกระทบต่อการรับส่งข้อมูล แม้ว่าจะยังคงมีการกำหนดกฎเหล่านั้นไว้ก็ตาม เป็นเรื่องปกติที่จะพบกฎของ Windows ที่กำหนดไว้ล่วงหน้าจำนวนมากซึ่งมีอยู่แต่ไม่ได้เปิดใช้งานจนกว่าจะจำเป็นต้องใช้

เพื่อให้เข้าใจอย่างถ่องแท้ การไหลของข้อมูลจากต้นทาง/ปลายทาง และพอร์ตภายใน/ภายนอก สิ่งนี้สำคัญมากเพื่อหลีกเลี่ยงการสร้างกฎที่ไม่เคยถูกนำไปใช้ หรือกฎที่เปิดเผยข้อมูลมากกว่าที่จำเป็น ซึ่งเป็นสิ่งที่พบได้บ่อยมากเมื่อกำหนดค่าบริการที่ซับซ้อน

ประเภทของกฎในไฟร์วอลล์ของ Windows

ตัวช่วยสร้างกฎใหม่ของไฟร์วอลล์ Windows มีให้เลือกสี่หมวดหมู่หลัก: โปรแกรม พอร์ต ค่าที่กำหนดไว้ล่วงหน้า และค่าที่กำหนดเองแต่ละแบบได้รับการออกแบบมาสำหรับสถานการณ์ที่แตกต่างกัน ดังนั้นจึงเป็นสิ่งสำคัญที่จะต้องเลือกอย่างระมัดระวังโดยขึ้นอยู่กับสิ่งที่คุณต้องการบรรลุ

กฎ โครงการ มุ่งเน้นไปที่ไฟล์ปฏิบัติการเฉพาะไฟล์หนึ่ง; ของ พอร์ต พวกเขากรองตามหมายเลขพอร์ต TCP หรือ UDP; ที่กำหนดไว้ล่วงหน้า พวกมันช่วยลดความซับซ้อนในการจัดการบริการ Windows ที่คุ้นเคย และ ส่วนบุคคล เทคโนโลยีนี้ช่วยให้สามารถปรับแต่งได้อย่างละเอียดมากยิ่งขึ้น โดยการผสมผสานเกณฑ์หลายอย่างเข้าด้วยกันในคราวเดียว

ในทุกกรณี ตัวช่วยสร้างจะจบลงด้วยการถามว่าเราต้องการดำเนินการใด (อนุญาต อนุญาตเฉพาะเมื่อมีการรักษาความปลอดภัยด้วย IPsec หรือบล็อก) และจะใช้กฎนั้นกับโปรไฟล์เครือข่ายใด (โดเมน ส่วนตัว สาธารณะ) สุดท้ายนี้ ชื่อและคำอธิบาย เพื่อให้สามารถระบุได้ง่ายภายหลัง

สำหรับเซิร์ฟเวอร์ที่สำคัญ การใช้เวลาจัดทำเอกสารกฎอย่างถูกต้องและระบุรายละเอียดต่างๆ ถือเป็นเรื่องคุ้มค่า มันปกป้องบริการอะไร และมันมีอยู่เพื่ออะไรเพื่อให้ในการตรวจสอบหรือการเปลี่ยนแปลงในอนาคต จะไม่มีข้อสงสัยใด ๆ เกี่ยวกับประโยชน์ของมัน

กฎเกณฑ์ตามโปรแกรม: การควบคุมอย่างละเอียดของบริการเฉพาะด้าน

กฎประเภท โครงการ การตั้งค่าพอร์ตเป็นวิธีที่สะดวกในการควบคุมปริมาณการรับส่งข้อมูลของแอปพลิเคชันโดยไม่ต้องจดจำพอร์ตทั้งหมดที่แอปพลิเคชันใช้งาน สามารถนำไปใช้กับการรับส่งข้อมูลทั้งขาเข้าและขาออกได้

ในตัวช่วยสร้าง ให้เลือกตัวเลือก "เส้นทางโปรแกรมนี้" และระบุ เส้นทางไฟล์ปฏิบัติการสามารถใช้ตัวแปรสภาพแวดล้อมเพื่อให้แน่ใจว่ากฎนั้นถูกนำไปใช้อย่างถูกต้อง แม้ว่าโปรแกรมจะถูกติดตั้งในเส้นทางที่แตกต่างกันในคอมพิวเตอร์แต่ละเครื่องก็ตาม

บนเซิร์ฟเวอร์ที่ให้บริการภายใน svchost.exe สำหรับคอนเทนเนอร์แบบมัลติเซอร์วิสอื่นๆ คุณสามารถปรับแต่งกฎให้ใช้กับเฉพาะเซอร์วิสที่ระบุได้โดยการเลือกเซอร์วิสด้วยชื่อย่อ ซึ่งจะช่วยให้คุณสามารถแยกแยะความแตกต่าง เช่น ปริมาณการรับส่งข้อมูลของเซอร์วิส RPC เฉพาะภายในกระบวนการเดียวกันได้

ขอแนะนำอย่างยิ่งให้รวมกฎของโปรแกรมเข้ากับข้อจำกัดในแท็บของ โปรโตคอลและพอร์ตระบุพอร์ตที่แอปพลิเคชันสามารถรับฟังหรือใช้งานได้อย่างชัดเจน หากคุณพยายามเปิดพอร์ตอื่น ไฟร์วอลล์จะบล็อกพอร์ตนั้น

กฎพอร์ต: การกรอง TCP/UDP แบบคลาสสิก

กฎประเภท พอร์ต การตั้งค่าเหล่านี้ช่วยให้คุณอนุญาตหรือบล็อกการรับส่งข้อมูลโดยอิงตามหมายเลขพอร์ตภายในหรือภายนอก และโปรโตคอล (โดยหลักคือ TCP หรือ UDP) สามารถใช้ได้ทั้งสำหรับกฎขาเข้าและขาออก

ตัวอย่างเช่น ในกฎขาเข้าทั่วไปสำหรับการเปิดใช้งานนั้น พอร์ต TCP 21เลือก TCP ระบุ "พอร์ตท้องถิ่นเฉพาะ" และป้อน 21 สามารถระบุพอร์ตหลายพอร์ตโดยคั่นด้วยเครื่องหมายจุลภาค (เช่น 21,20,22) หรือช่วง เช่น 5000-5100 หรือแม้แต่ผสมพอร์ตแต่ละพอร์ตและช่วงในกฎเดียวกันได้

ถัดไป คุณเลือกการกระทำ (อนุญาต อนุญาตหากปลอดภัย บล็อก) และโปรไฟล์ที่จะนำไปใช้ นี่เป็นวิธีง่ายๆ ในการเปิดใช้งานบริการมาตรฐานบางอย่าง (HTTP, HTTPS, RDP ฯลฯ) โดยไม่ต้องลงรายละเอียดเกี่ยวกับโปรแกรมเฉพาะเจาะจง

ในกรณีของ กฎการออกวิธีปฏิบัติที่พบได้บ่อยที่สุดคือการระบุพอร์ตระยะไกล เนื่องจากนี่คือปลายทางที่เซิร์ฟเวอร์พยายามเชื่อมต่อ ตัวอย่างการใช้งานทั่วไปคือการบล็อกการรับส่งข้อมูลขาออกทั้งหมดไปยังพอร์ตที่น่าสงสัย หรือจำกัดไม่ให้แอปพลิเคชันบางตัวสื่อสารได้เฉพาะพอร์ตที่กำหนดไว้เท่านั้น

กฎที่กำหนดไว้ล่วงหน้าและกฎที่ปรับแต่งเอง

ลา กฎที่กำหนดไว้ล่วงหน้า โปรแกรมเหล่านี้รวบรวมการตั้งค่าสำเร็จรูปสำหรับบริการ Windows ทั่วไป (เช่น การแชร์ไฟล์และเครื่องพิมพ์ การเข้าถึงเดสก์ท็อประยะไกล เป็นต้น) เพียงแค่เลือกบริการ ระบุว่าจะอนุญาตหรือบล็อก เลือกโปรไฟล์ แล้วก็เสร็จเรียบร้อย

ตัวเลือกนี้สะดวกเมื่อคุณต้องการเปิดใช้งานหรือจำกัดบริการภายในอย่างรวดเร็วโดยไม่ต้องตรวจสอบว่าบริการนั้นใช้พอร์ตและโปรโตคอลใดในแต่ละกรณี เบื้องหลัง ระบบจะสร้างกฎเฉพาะหลายข้อที่ครอบคลุมบริการนั้นโดยอัตโนมัติ

ลา กฎที่กำหนดเอง ตัวเลือกเหล่านี้มีความครอบคลุมมากที่สุดและให้การควบคุมสูงสุด ช่วยให้คุณสามารถระบุพารามิเตอร์ทั้งหมดได้ เช่น โปรแกรม (หรือทุกโปรแกรม), ประเภทบริการ, โปรโตคอล IP (พร้อมรายการ TCP, UDP, ICMPv4, ICMPv6, GRE, IPv6-Route เป็นต้น), การรวมกันของพอร์ตภายในและภายนอก, ที่อยู่ IP ต้นทางและปลายทาง (รวมถึงช่วงและซับเน็ต) และเงื่อนไขเพิ่มเติม

ในโปรโตคอลต่างๆ เช่น ICMPv4 หรือ ICMPv6 คุณสามารถเลือกได้ว่าจะใช้หรือไม่ใช้ พวกเขาสนับสนุน ICMP ทุกประเภท หรือเฉพาะข้อความบางประเภทเท่านั้น (เช่น คำขอสะท้อนเสียง, การตอบกลับสะท้อนเสียง, หมดเวลา ฯลฯ) คุณยังสามารถกำหนดประเภทและรหัสเฉพาะที่ไม่ปรากฏในรายการทั่วไปได้อีกด้วย

นอกจากนี้ เมื่อกำหนดที่อยู่ IP ในส่วนขอบเขต ตัวช่วยสร้างจะอนุญาตให้ดำเนินการดังกล่าวได้ เพิ่มช่วงทั้งหมดหรือซับเน็ต (ตัวอย่างเช่น 192.168.10.0/24) เพื่อจำกัดขอบเขตให้แคบลงว่าอุปกรณ์ใดบ้างที่สามารถใช้กฎนั้นได้ ทั้งในพื้นที่และจากระยะไกล

กฎขาเข้า ICMP บนเซิร์ฟเวอร์

การอนุญาตให้ทราฟฟิก ICMP ผ่านไปยังเซิร์ฟเวอร์หรือไม่นั้น เป็นการตัดสินใจเชิงกลยุทธ์ กฎ ICMP ขาเข้า คุณสมบัตินี้ช่วยให้อุปกรณ์สามารถตอบสนองต่อการส่งสัญญาณ ping และข้อความวินิจฉัยเครือข่ายบางอย่าง ซึ่งมีประโยชน์มากสำหรับงานด้านการบริหารจัดการ แต่ก็อาจให้ข้อมูลแก่ผู้โจมตีได้เช่นกัน

ในการสร้างกฎ ICMP ขาเข้าในไฟร์วอลล์ของ Windows ให้เปิดคอนโซลขั้นสูง แล้วไปที่ กฎการเข้า และจะมีการสร้างกฎกำหนดเองใหม่ขึ้น ในส่วนของโปรแกรม คุณมักจะเลือก "โปรแกรมทั้งหมด"

ในหน้าจอโปรโตคอล ให้เลือก ICMPv4 หรือ ICMPv6 ขึ้นอยู่กับสแต็กเครือข่ายที่ใช้ หากคุณใช้งานทั้ง IPv4 และ IPv6 คุณจะต้องสร้างกฎสำหรับแต่ละระบบ ตัวเลือกการปรับแต่งช่วยให้คุณสามารถเลือกประเภท ICMP เฉพาะที่คุณต้องการอนุญาต (เฉพาะการร้องขอ/การตอบกลับแบบ echo หรือชุดที่กว้างกว่านั้น)

ถัดไป จะมีการกำหนดขอบเขต (IP ใดบ้างที่สามารถ ping ได้), การกระทำ (โดยปกติคือการอนุญาตการเชื่อมต่อ) และโปรไฟล์เครือข่ายที่กฎจะมีผลบังคับใช้ สุดท้าย จะมีการกำหนดชื่อที่สื่อความหมายให้กับกฎเพื่อให้ง่ายต่อการระบุ

กฎระเบียบของบริการหรือโปรแกรมขาเข้าและขาออก

ในบางสถานการณ์ ความต้องการคือการปล่อยให้ บริการเฉพาะเจาะจง รับฟังข้อมูลการจราจรขาเข้า ในพอร์ตใดก็ได้ที่จำเป็น หรือในทางตรงกันข้าม: ป้องกันไม่ให้โปรแกรมสื่อสารกับโลกภายนอกผ่านพอร์ตใดๆ ก็ตาม

สำหรับส่วนขาเข้า จะมีการสร้างกฎแบบกำหนดเอง โดยเลือก "เส้นทางโปรแกรมนี้" และระบุไฟล์ปฏิบัติการของบริการ จากนั้นสามารถปรับแต่งเพิ่มเติมเพื่อให้กฎนี้ใช้ได้เฉพาะกับบริการที่อยู่ภายในไฟล์ปฏิบัติการนั้น โดยเลือกบริการด้วยชื่อย่อ

นอกจากนี้ยังมีตัวเลือกในการปรับแต่งอีกด้วย ประเภทบริการ SID โดยใช้คำสั่ง sc sidtype การตั้งค่านี้ส่งผลต่อวิธีการใช้งานบริการนั้นภายในกฎของไฟร์วอลล์ การเปลี่ยนเป็น RESTRICTED อาจป้องกันไม่ให้บริการเริ่มต้นทำงาน ดังนั้นจึงควรทำอย่างระมัดระวังและเฉพาะเมื่อต้องการการป้องกันประเภทนั้นเท่านั้น

สำหรับส่วนที่ส่งออก กระบวนการจะคล้ายกัน แต่เป็นการสร้าง... กฎการออกจากระบบหากคุณต้องการบล็อกไม่ให้โปรแกรมนั้นเข้าถึงอินเทอร์เน็ตโดยสมบูรณ์ ให้กำหนดเส้นทางไปยังไฟล์ปฏิบัติการ ตั้งค่าการดำเนินการเป็น "บล็อกการเชื่อมต่อ" และเลือกโปรไฟล์ที่คุณต้องการจำกัดการเข้าถึง

การกำหนดค่าพิเศษสำหรับ RPC และพอร์ตแบบไดนามิก

บริการที่ใช้ RPC (เรียกขั้นตอนระยะไกล) การรับส่งข้อมูลเหล่านี้อาจมีความละเอียดอ่อนเป็นพิเศษ เนื่องจากใช้พอร์ตแบบไดนามิกที่ระบบกำหนดให้ในระหว่างการทำงาน เพื่ออนุญาตให้การรับส่งข้อมูลนี้ผ่านไฟร์วอลล์ของ Windows อย่างมีระเบียบ จำเป็นต้องสร้างกฎเฉพาะสองข้อ

ลำแรกมุ่งหน้าไปที่ บริการกำหนดจุดสิ้นสุด RPCโดยไฟล์ดังกล่าวจะอยู่ใน %systemroot%\system32\svchost.exe กฎนี้ได้รับการปรับแต่งให้ใช้กับบริการ RpcSs โดยตั้งค่าโปรโตคอลเป็น TCP และเลือกตัวเลือก "RPC Endpoint Mapper" สำหรับพอร์ตภายในเครื่อง

กฎข้อที่สองถูกสร้างขึ้นเพื่อ บริการเครือข่ายที่เปิดใช้งาน RPC ที่เราต้องการอนุญาต โดยระบุเส้นทางไปยังไฟล์ปฏิบัติการที่โฮสต์คำสั่งนั้น และเชื่อมโยงกับบริการเฉพาะนั้นด้วย ในกรณีนี้ จะเลือก "พอร์ตไดนามิก RPC" สำหรับพอร์ตภายในเครื่อง

ในทั้งสองกฎนั้น ขอบเขต (ที่อยู่ IP ที่อนุญาต) การกระทำ (อนุญาตการเชื่อมต่อ) และโปรไฟล์จะถูกปรับแต่ง ด้วยวิธีนี้ เฉพาะอุปกรณ์และบริการที่ตรงตามเงื่อนไขเหล่านี้เท่านั้นที่จะสามารถใช้ประโยชน์จากการส่งต่อพอร์ต RPC ได้

การบันทึก การตรวจสอบ และการแก้ไขปัญหาไฟร์วอลล์ของ Windows

เมื่อมีบางอย่างทำงานผิดปกติ บันทึกไฟร์วอลล์และเหตุการณ์ตรวจสอบจะเป็นตัวบ่งชี้สำคัญ แหล่งข้อมูลแรกแนะนำให้ตั้งค่าการรวบรวมบันทึกข้อมูลให้ถูกต้องก่อนใช้งาน

ในคุณสมบัติของไฟร์วอลล์ ในแท็บของแต่ละโปรไฟล์ คุณสามารถปรับแต่งได้ เส้นทางไฟล์บันทึกขนาดสูงสุดในหน่วยกิโลไบต์ และว่าจะบันทึกแพ็กเก็ตที่สูญหาย การเชื่อมต่อที่สำเร็จ หรือทั้งสองอย่าง ในสภาพแวดล้อมเซิร์ฟเวอร์ มักจะเป็นความคิดที่ดีที่จะบันทึกทั้งสองอย่างเพื่อให้เห็นภาพรวมที่ชัดเจน

ในทางกลับกัน ด้วยเครื่องมือบรรทัดคำสั่ง auditpol.exe สามารถเปิดใช้งานหมวดหมู่ย่อยการตรวจสอบเฉพาะ เช่น การเปลี่ยนแปลงนโยบาย เพื่อให้ระบบสร้างเหตุการณ์โดยละเอียดเมื่อมีการแก้ไขนโยบายไฟร์วอลล์หรือ IPsec

เมื่อตรวจสอบปัญหา การบันทึกสถานะของเครือข่ายด้วยเครื่องมือต่างๆ จะเป็นประโยชน์อย่างมาก netstat -ano > netstat.txt และรายการกระบวนการที่มี รายการงาน > tasklist.txtโดยการเปรียบเทียบ PID ของกระบวนการใน tasklist กับการเชื่อมต่อที่ใช้งานอยู่ใน netstat จะสามารถระบุได้ว่าโปรแกรมใดกำลังใช้งานพอร์ตใดอยู่

ในสถานการณ์ที่ซับซ้อน ไมโครซอฟต์มีสคริปต์ต่างๆ ให้เลือกใช้ เช่น ทีเอสเอส.พีเอส1 เพื่อรวบรวมข้อมูลการทำงานขั้นสูงของระบบกรองข้อมูลของ Windows (WFP) ซึ่งจะถูกบรรจุลงในไฟล์ ZIP และสามารถนำไปวิเคราะห์หรือส่งต่อให้ฝ่ายสนับสนุนด้านเทคนิคได้

เครื่องมือภายนอก: SimpleWall และไฟร์วอลล์จากผู้ผลิตรายอื่น

ไฟร์วอลล์ที่ติดตั้งมากับ Windows นั้นใช้งานได้ดี แต่หลายคนมักมองข้ามไป อินเทอร์เฟซที่ใช้งานง่ายกว่า และมีการแจ้งเตือนที่ชัดเจนเมื่อแอปพลิเคชันพยายามเข้าถึงอินเทอร์เน็ตเป็นครั้งแรก นั่นคือจุดที่โซลูชันจากผู้ให้บริการภายนอกเข้ามามีบทบาท

หนึ่งในตัวเลือกโอเพนซอร์สที่มีน้ำหนักเบาสำหรับ Windows คือ ซิมเพิลวอลล์โปรแกรมนี้อาศัยแพลตฟอร์มการกรองของ Windows (WFP) แต่ไม่ได้แก้ไขไฟร์วอลล์ของ Windows โดยตรง แต่จะสร้างกฎของตัวเองผ่าน WFP เพื่อควบคุมว่าแอปพลิเคชันใดบ้างที่สามารถเข้าถึงได้

หนึ่งในคุณสมบัติเด่นคือ โปรแกรมแก้ไขกฎง่ายๆรายการภายในสำหรับบล็อกการส่งข้อมูลและการสอดแนมของ Windows, บันทึกแพ็กเก็ตที่ถูกบล็อก, ความเข้ากันได้กับ IPv6 และการสนับสนุนบริการระบบและแอปจาก Microsoft Store

SimpleWall ช่วยให้คุณสร้างกฎถาวรหรือชั่วคราว (ซึ่งจะหายไปหลังจากรีสตาร์ท) เปิดใช้งานตัวกรองทั่วโลก และจัดประเภทโปรแกรมเป็นอนุญาต บล็อก หรือบล็อกโดยไม่แสดงข้อความแจ้งเตือน อย่างไรก็ตาม เพื่อให้กฎของคุณมีผล SimpleWall เองจะต้องทำงานอยู่เบื้องหลังด้วย

นอกเหนือจาก SimpleWall แล้ว ผู้ใช้บางรายยังเลือกใช้... ไฟร์วอลล์เชิงพาณิชย์ พร้อมคุณสมบัติเพิ่มเติมมากมาย เช่น การตรวจสอบแพ็กเก็ตเชิงลึก รายการป้องกันการติดตามที่กำหนดค่าไว้ล่วงหน้า การจำลองสภาพแวดล้อม การวิเคราะห์พฤติกรรม แดชบอร์ดกราฟิกขั้นสูง และการมองเห็นการรับส่งข้อมูลขาออกที่ดียิ่งขึ้น ผลิตภัณฑ์เหล่านี้จำนวนมากทำงานร่วมกับไฟร์วอลล์ของ Windows หรือทดแทนไฟร์วอลล์บางส่วนได้

ประสิทธิภาพ ข้อดี และข้อเสียของการใช้ไฟร์วอลล์บนเซิร์ฟเวอร์

การใช้ไฟร์วอลล์ ไม่ว่าจะเป็นระดับเครือข่ายภายนอกหรือระดับระบบปฏิบัติการ มีข้อดีเพียงเล็กน้อย ต้นทุนในการปฏิบัติงานเนื่องจากแพ็กเก็ตเครือข่ายแต่ละแพ็กเก็ตจะถูกวิเคราะห์เทียบกับกฎอย่างน้อยหนึ่งข้อ ซึ่งอาจสังเกตได้ชัดเจนในอุปกรณ์ที่มีฮาร์ดแวร์จำกัดมากหรือเก่ามาก ตรวจสอบดู คู่มือการเพิ่มประสิทธิภาพเซิร์ฟเวอร์ Linux เพื่อบรรเทาผลกระทบ

อย่างไรก็ตาม ข้อดีของการมี กำแพงป้องกันด่านแรก มันมีประโยชน์อย่างมาก: ช่วยลดความเสี่ยงจากการโจมตีจากภายนอก ควบคุมว่าแอปพลิเคชันใดบ้างที่สามารถเชื่อมต่อจากภายนอกได้ สร้างบันทึกข้อมูลที่เป็นประโยชน์สำหรับการตรวจสอบ และปรับระดับการป้องกันตามว่าคุณอยู่ในเครือข่ายที่เชื่อถือได้หรือเครือข่ายสาธารณะ

ข้อเสียหลักๆ นอกเหนือจากผลกระทบต่อประสิทธิภาพการทำงานแล้ว ก็คือ... ความซับซ้อนในการบำรุงรักษา (โดยเฉพาะสำหรับผู้ใช้ที่ไม่มีประสบการณ์) และความรู้สึกปลอดภัยที่ผิดพลาด: ไฟร์วอลล์ไม่สามารถทดแทนโปรแกรมป้องกันไวรัสที่ดี การอัปเดตระบบ หรือแน่นอนว่าสามัญสำนึกของผู้ดูแลระบบได้

นอกจากนี้ การจัดการกฎอย่างเหมาะสมยังต้องใช้เวลา เช่น การตรวจสอบกฎที่ใช้งานอยู่จริง การลบกฎที่ล้าสมัย การบันทึกการเปลี่ยนแปลง และการตรวจสอบให้แน่ใจว่าไม่มีช่องโหว่ใด ๆ ที่ถูกปล่อยทิ้งไว้โดยไม่ได้ตั้งใจเมื่อทำการทดสอบอย่างรวดเร็วหรือข้อยกเว้นชั่วคราว

แนวทางปฏิบัติขั้นสูงที่ดีที่สุดสำหรับการรักษาความปลอดภัยไฟร์วอลล์บนเซิร์ฟเวอร์

ในสภาพแวดล้อมเซิร์ฟเวอร์ที่จริงจัง การตั้งค่าเพียงสี่กฎแล้วปล่อยทิ้งไว้คงไม่เพียงพอ ยังมีอีกหลายสิ่งหลายอย่างที่ต้องพิจารณา แนวปฏิบัติที่ดี ซึ่งช่วยรักษาการควบคุมและลดความเสี่ยงในระยะยาว

ขั้นตอนแรกคือการนำไปใช้ หลักการของสิทธิพิเศษน้อยที่สุด (PoLP)หลักการนี้ใช้ได้ทั้งกับผู้ใช้และกฎเกณฑ์ โดยจะหลีกเลี่ยงกฎทั่วไป เช่น "อนุญาตทุกอย่างจากทุก IP" และกำหนดกฎที่ปรับให้เหมาะสมกับ IP หรือซับเน็ตที่เฉพาะเจาะจง พอร์ตที่เฉพาะเจาะจง และแอปพลิเคชันที่รู้จักแทน

อีกสิ่งสำคัญคือการบำรุงรักษาไฟร์วอลล์และส่วนประกอบต่างๆ ของไฟร์วอลล์ อัพเดทอยู่เสมอขั้นตอนนี้รวมถึงการติดตั้งแพทช์ระบบปฏิบัติการ เฟิร์มแวร์ไฟร์วอลล์ ลายเซ็น IPS และการอัปเดตใดๆ ที่ผู้จำหน่ายเผยแพร่ โดยควรทำการทดสอบในสภาพแวดล้อมทดสอบก่อน

สุดท้ายนี้ สิ่งสำคัญคือต้องดำเนินการติดตั้งใช้งาน การติดตามและบันทึกข้อมูลอย่างมีประสิทธิภาพส่งบันทึกข้อมูลไปยังระบบ SIEM กำหนดการแจ้งเตือนสำหรับรูปแบบที่น่าสงสัย (ตัวอย่างเช่น แพ็กเก็ตจำนวนมากถูกบล็อกจาก IP เดียวกัน) และตรวจสอบรายงานเป็นระยะ ไม่ใช่แค่เก็บรวบรวมไว้ "เผื่อไว้" เท่านั้น

นอกจากเลเยอร์ตรรกะแล้ว... ความปลอดภัยทางกายภาพ คุณสมบัติสำคัญของไฟร์วอลล์ ได้แก่ การติดตั้งอุปกรณ์ในตู้แร็คแบบปิด การจำกัดการเข้าถึงห้องเทคนิค และการสำรองข้อมูลการกำหนดค่าเพื่อให้สามารถย้อนกลับได้อย่างรวดเร็วหากเกิดปัญหาหลังจากมีการเปลี่ยนแปลง

เลเยอร์เพิ่มเติม: การกรอง URL, VPN, IPS, QoS และการควบคุมแอปพลิเคชัน

ไฟร์วอลล์รุ่นใหม่ส่วนใหญ่จะอนุญาตให้คุณเปิดใช้งานคุณสมบัติขั้นสูงที่เสริมการกรองแพ็กเก็ตพื้นฐานและกฎ IP/พอร์ตได้

El การกรอง URL โปรแกรมนี้ช่วยให้คุณจัดประเภทเว็บไซต์ตามหมวดหมู่ (เช่น มัลแวร์ เครือข่ายสังคม เนื้อหาสำหรับผู้ใหญ่ การดาวน์โหลดแบบ P2P เป็นต้น) และบล็อกเว็บไซต์ที่ถือว่าไม่เหมาะสมหรือเป็นอันตราย ซึ่งช่วยเสริมสร้างความปลอดภัยและบังคับใช้นโยบายการใช้งานที่ยอมรับได้

ลา VPNไม่ว่าจะเป็นการเชื่อมต่อระหว่างสำนักงานหรือการเข้าถึงระยะไกล VPN จะใช้โปรโตคอลเช่น IPsec หรือ SSL/TLS เพื่อเข้ารหัสข้อมูลระหว่างสำนักงานและผู้ใช้ระยะไกล โดยทั่วไปไฟร์วอลล์จะรวมการยุติการเชื่อมต่อ VPN เหล่านี้และใช้หลักการควบคุมเดียวกันกับข้อมูลที่เข้ารหัสเช่นเดียวกับส่วนที่เหลือของเครือข่าย

Un ระบบป้องกันการบุกรุก (IPS) ระบบจะตรวจสอบการรับส่งข้อมูลแบบเรียลไทม์เพื่อค้นหารูปแบบการโจมตีที่รู้จักหรือพฤติกรรมที่ผิดปกติ และสามารถบล็อกการเชื่อมต่อที่พยายามใช้ประโยชน์จากช่องโหว่ของระบบหรือแอปพลิเคชันโดยอัตโนมัติ

El ควบคุมการใช้งาน มันให้การมองเห็นที่กว้างกว่าแค่พอร์ตมาก: มันช่วยให้คุณตัดสินใจได้ว่าแอปพลิเคชันใดบ้าง (เช่น Skype, Dropbox, แอปพลิเคชันเกม ฯลฯ) ที่ได้รับอนุญาตหรือถูกบล็อก แม้ว่าแอปพลิเคชันเหล่านั้นจะใช้พอร์ตมาตรฐานหรือพอร์ตเข้ารหัสก็ตาม

ในที่สุด กาลิดัด เด เซอร์วิซิโอ (QoS) คุณสมบัตินี้ช่วยให้สามารถจัดลำดับความสำคัญของการรับส่งข้อมูลที่สำคัญ (เสียง การประชุมทางวิดีโอ แอปพลิเคชันทางธุรกิจ) เหนือการรับส่งข้อมูลอื่นๆ ที่มีความสำคัญน้อยกว่า ซึ่งจะช่วยป้องกันไม่ให้การดาวน์โหลดหรือการสำรองข้อมูลขนาดใหญ่ทำให้เครือข่ายใช้งานไม่ได้สำหรับผู้ใช้ปลายทาง

ดูแลเอาใจใส่เป็นอย่างดี การกำหนดค่าไฟร์วอลล์ขั้นสูงบนเซิร์ฟเวอร์ตั้งแต่การออกแบบโซนและกฎเกณฑ์ที่ละเอียด ไปจนถึงการใช้ฟังก์ชันรุ่นใหม่ การบันทึก การตรวจสอบ และเครื่องมือต่างๆ เช่น SimpleWall หรือ NGFW เฉพาะทาง ล้วนสร้างความแตกต่างระหว่างเครือข่ายที่ "พอใช้งานได้" กับโครงสร้างพื้นฐานที่พร้อมรับมือกับการโจมตี เติบโตโดยไม่สูญเสียการควบคุม และตอบสนองความต้องการด้านความปลอดภัยในปัจจุบันได้อย่างแท้จริง