시작하기. 무료입니다
또는 회원 가입 e메일 주소
Network Security 저자: Mind Map: Network Security

1. Firewall Architecture

1.1. -การจัดวางไฟร์วอลล์คอมโพเน็นต์ในแบบต่างๆ เพื่อทำให้เกิดเป็นระบบไฟร์วอลล์ขึ้น   -Single Box Architecture   -Screening Router , Dual-Homed Host หรือ Multi-purposed Firewall Box   -Screened Host Architecture   -Multi Layer Architecture   -Screened Subnet Architecture

1.1.1. Single Box Architecture -เป็น Architecture แบบง่ายๆ ที่มีcomponentทำหน้าที่เป็นไฟร์วอลล์เพียงอันเดียวตั้งอยู่ระหว่างเน็ตเวิร์กภายในกับเน็ตเวิร์กภายนอก   -ข้อดีของวิธีนี้ก็คือการที่มีเพียงจุดเดียวที่หน้าที่ไฟร์วอลล์ทั้งหมด ควบคุมการเข้าออกของข้อมูล ทำให้ดูแลได้ง่าย เป็นจุดสนใจในการดูแลความปลอดภัยเน็ตเวิร์ก   -ในทางกลับกันข้อเสียของวิธีนี้ก็คือ การที่มีเพียงจุดเดียวนี้ ทำให้มีความเสี่ยงสูง หากมีการconfigurationผิดพลาดหรือมีช่องโหว่เพียงเล็กน้อย การผิดพลาดเพียงจุดเดียวอาจทำให้ระบบถูกเจาะได้

1.1.2. Multi Layer Architecture -Screened Subnet Architecture เป็นสถาปัตยกรรมที่มีการเพิ่ม Perimeter Network เข้าไปกั้นระหว่างอินเตอร์เน็ตกับเน็ตเวิร์กภายในไม่ให้เชื่อมต่อกันโดยตรง ทำให้เน็ตเวิร์กภายในมีความปลอดภัยมากขึ้น   -ประกอบไปด้วย เราเตอร์ 2 ตัว ตัวนึงอยู่ระหว่างอินเตอร์เน็ตกับ Perimeter Network ส่วนอีกตัวหนึ่งอยู่ระหว่าง Perimeter Network กับเน็ตเวิร์กภายใน ถ้าหากแฮกเกอร์จะเจาะเน็ตเวิร์กภายในต้องผ่านเราเตอร์เข้ามาถึง 2 ตัวด้วยกัน ถึงแม้ว่าจะเจาะชั้นแรกเข้ามายัง Bastion host ได้ แต่ก็ยังต้องผ่านเราเตอร์ตัวในอีก ถึงจะเข้ามายังเน็ตเวิร์กภายในได้

2. Intrusion Detection System(IDS)

2.1. ระบบตรวจหาการบุกรุกบนเครือข่าย (Network-based IDSs) -จะทำงานในเครือข่ายคอมพิวเตอร์ ด้วยการติดตามตรวจสอบสัญญาณจราจร (Traffic) ที่อยู่ในรูปของแพ็กเก็ตข้อมูลเพื่อตรวจสอบว่าแพ็กเก็ตใดมีลักษณะที่ผิดปกติ

2.2. IDS (Intrusion Detection System) คือหมายถึงฮาร์ดแวร์หรือซอฟต์แวร์ที่ติดตามตรวจสอบสัญญาณจราจร (Traffic) ที่ส่งผ่านบนเครือข่ายคอมพิวเตอร์ด้วยการวิเคราะห์รูปแบบ พฤติกรรมในแพ็กเก็ตข้อมูล (Packet Data) เพื่อค้นหาสิ่งที่ผิดปกติ(Anomaly) แล้วนำเข้าสู่กระบวนการทำนาย (Prediction) เพื่อตัดสินว่าเป็นเหตุการณ์บุกรุกจริงแล้วแจ้งเตือน (Alert) ให้ผู้รับผิดชอบระบบทราบเพื่อดำเนินการป้องกันและแก้ไขต่อไป

2.3. ระบบตรวจหาการบุกรุกบนครื่องคอมพิวเตอร์ (Host-based IDSs) -จะทำงานในเครื่องคอมพิวเตอร์ ด้วยการติดตามตรวจสอบสัญญาณจราจร (Traffic) ที่อยู่ในรูปของแพ็กเก็ตข้อมูลและตรวจสอบการใช้งานโปรแกรมประยุกต์ (Application) ในเครื่องคอมพิวเตอร์จากไฟล์บันทึกข้อมูลการใช้(Log File) เพื่อตรวจสอบว่าแพ็กเก็ตใดมีลักษณะที่ผิดปกติ

2.4. หลักการทำงานของระบบตรวจหาการบุกรุก -การตรวจหาการใช้งานที่ผิด (Misuse Detection)หรือ (Signature-based) เป็นการตรวจหารูปแบบการบุกรุกด้วยการวิเคราะห์พฤติกรรมหรือเหตุการณ์ที่เกิดขึ้นในระบบเครือข่าย โดยการเปรียบเทียบพฤติกรรมหรือเหตุการณ์ที่เข้ามาในเครือข่าย ณ เวลาขณะน้ันกับพฤติกรรมหรือเหตุการณ์ที่เป็นการบุกรุกซึ่งจัดเก็บไว้ในฐานข้อมูลระบบ -Pattern Matching เป็นการเปรียบเทียบแพ็กเก็ตของซิกเนเจอร์ -Stateful Matching เป็นการเปรียบเทียนรูปแบบของกิจกรรมทั่วไป -การตรวจหาเหตุการณ์ผิดปกติ (Anomaly-based Detection) เป็นการตรวจหารูปแบบการบุกรุก ด้วย -การวิเคราะห์พฤติกรรมหรือเหตุการณ์ที่เกิดขึ้นในระบบเครือข่าย โดยการเปรียบเทียบพฤติกรรมหรือเหตุการณ์ที่เข้ามาในเครือข่าย ณ เวลาขณะน้ันกับพฤติกรรมหรือเหตุการณ์ที่เป็นการบุกรุกซึ่งจัดเก็บไว้ในฐานข้อมูลระบบ -การตรวจหาความผิดปกติด้วยสถิติ (Statistical Anomaly-Based) -การตรวจหาความผิดปกติด้วยโพรโตคอล (Protocol Anomaly-Based) -การตรวจหาความผิดปกติด้วยสัญญาณจราจร(Traffic Anomaly-Based

2.5. การวิเคราะห์รูปแบบการโจมตีของระบบตรวจหาการบุกรุก  ( Attack Analysis of IDS) การวิเคราะห์เนื้อหา (Content Analysis) จะต้องมีการจับแพ็กเก็ตข้อมูล (Capture Packets) ทั้งหมดซึ่งโดยปกติแล้วขนาดของ Ethernet Packet สามารถมีขนาดได้ถึง1500 bytes เพราะฉะน้ันจำเป็นต้องมีพื้นที่ว่างในฮาร์ดดิสก์(Disk Space) และหน่วยประมวลผล (CPU Time) ในการประมวลผลข้อมูลดังกล่าวที่เหมาะสม ข้อดีของการวิเคราะห์เนื้อหาคือง่าย รวดเร็วและเป็นการตรวจหาในเวลาจริง(Real-Time Detection) มากกว่า ข้อเสียคือโอกาสของความผิดพลาดในการแจ้งเตือนนั้นสูงกว่าและต้องการใช้เครื่องคอมพิวเตอร์ในการประมวลผลและจัดเก็บในการทำงานที่สูงมาก

2.6. การวิเคราะห์สัญญาณจราจร (Traffic Analysis) เป็นการแปลความหมายจากรูปแบบ(Patterns) ในส่วนหัวของแพ็กเก็ต (Packet Header) ซึ่งจะแสดงถึงความผิดปกติของเครือข่าย เพราะฉะน้ันจึงมีความจำเป็นที่ผุ้วิเคราะห์จะต้องมีความรู้และทักษะในการแปลความหมายจากข้อมูลดังกล่าว เนื่องจากวิเคราะห์จะดูเฉพาะส่วนที่เป็นส่วนหัวของแพ็กเก็ต ฉะน้ันจึงมีการจับเฉพาะส่วนหัวของข้อมูล โดยปกติแล้วส่วนหัวที่จะต้องจับจะมีขนาดประมาณ 68 byte และหากต้องการความถูกต้องในการวิเคราะห์จึงจำเป็นต้องมีการจับทุก ๆ ส่วนหัวที่ผ่านในเครือข่าย ข้อดีของการวิเคราะห์สัญญาณจราจร คือความถูกต้องของการแปลความหมายของข้อมูล ข้อเสียคือ ผู้วิเคราะห์จะต้องผ่านการฝึกฝนมาเป็นอย่างดีและในการประมวลผลจะไม่สามารถเป็นแบบเชิงเวลาจริงได้

2.7. การติดตั้งระบบตรวจหาการบุกรุก 1. การใช้ฮับวางระหว่างสวิตช์กับเราเตอร์ แล้วเชื่อมต่อระบบตรวจหาการบุกรุกเข้ากับฮับ 2. การทำพอร์ตมิลเรอริ่งคือการใช้คุณสมบัติของสวิตช์ในการส่งต่อทุก ๆ แพ็กเก็ตที่รับจากพอร์ตที่ต่ออยู่กับเราเตอร์ไปยังอีกพอร์ตหนึ่งที่ต่ออยู่กับระบบตรวจหาการบุกรุกเป็นผลให้ระบบตรวจหาการบุกรุกสามารถตรวจจับทุกแพ็กเก็ตที่ส่งถึงกันระหว่างเราเตอร์และไฟร์วอลล์ได้ 3. การใช้แท็พซึ่งเป็นอุปกรณ์ที่ทำหน้าที่คล้ายฮับแต่มีคุณสมบัติที่ทนต่อข้อผิดพลาดและไม่มีผลกระทบต่อการไหลของtraffic ไม่ทำให้ประสิทธิภาพของเครือข่ายลดลง และสามารถตรวจจับแพ็กเก็ตได้ทุกแพ็กเก็ต

2.8. ซอฟต์แวร์ที่นิยมใช้ในการตรวจหาการบุกรุก 1. Snort เป็นซอฟต์แวร์ที่อยู่ในกลุ่ม Network Intrusion Detection System (NIDS) 2. Tcpdump เป็ นซอฟต์แวร์ในกลุ่ม Network Analyzer 3. Ethereal 4. Sniffit เป็นซอฟต์แวร์ดักจับแพ็กเกต

3. Intrusion Detection and Prevention System

3.1. Introduction การ Monitoring เป็นกระบวนการที่สำคัญใน กลุ่มการทำงาน PDR -Intrusion Detection System คืออุปกรณ์ที่ใช้ ในการ Detect สัญญาณของปัญหาต่างๆ ใน ระบบสารสนเทศ -Intrusion Prevention System เป็นระบบที่มีค วามสามารถมากกว่า Intrusion Detection System โดยมีความสามารถในการ Prevent และ Response ต่อปัญหาการโจมตีต่างๆ ได้

3.2. Intrusion การทำงานที่ทำให้ระบบสูญเสีย Confidentiality , Integrity, Availability -การทำงานที่ทำให้กระบวนการ Security Mechanism ต่างๆ ไม่สามารถทำงานได้  เช่นการทำงานของมัลแวร์ต่างๆ , unauthorized access, authorized users ที่ดำเนินการเพิ่มสิทธิ ของตนเอง -การทำงานโดยไม่รู้หรือไม่ตั้งใจของผู้ใช้งานเช่น พิมพ์ผิด การเข้าใช้งานระบบผิด อาจทำให้มองได้ ว่าเป็นการบุกรุก (False Positive)

3.3. การทำงานของ IDPS ระบุเหตุฉุกเฉินที่เป็นไปได้ -เก็บข้อมูลเหตุฉุกเฉินที่พบ  -พยายามหยุดการบุกรุกโดยอัตโนมัติ  -ระบุปัญหาที่เกิดขึ้นซึ่งขัดกับนโยบายการรักษา ความปลอดภัย -จัดทำรายงานและแจ้งเตือนผู้ดูแลระบบ

3.4. ผลลัพธ์การทำงานของ IDPS ผลลัพธ์ส่วนใหญ่จะเป็นการแจ้งเตือนและเก็บข้อมูลการแจ้งเตือนในรูปแบบต่างๆ เช่น การแสดง Alert Message ในหน้าจอ การส่งอีเมล์ , SMS แจ้งเตือน การส่งเสียง , ไฟกะพริบแจ้งเตือน ความสามารถในการตอบสนองต่อปัญหา ตัดการเชื่อมต่อ ตั้งค่าระบบเพิ่มเติม

4. Intrusion Detection System(IDS)

4.1. IDS (Intrusion Detection System) คือหมายถึงฮาร์ดแวร์หรือซอฟต์แวร์ที่ติดตามตรวจสอบสัญญาณจราจร (Traffic) ที่ส่งผ่านบนเครือข่ายคอมพิวเตอร์ด้วยการวิเคราะห์รูปแบบพฤติกรรมในแพ็กเก็ตข้อมูล (Packet Data) เพื่อค้นหาสิ่งที่ผิดปกติ(Anomaly) แล้วนำเข้าสู่กระบวนการทำนาย (Prediction) เพื่อตัดสินว่าเป็นเหตุการณ์บุกรุกจริงแล้วแจ้งเตือน (Alert) ให้ผู้รับผิดชอบระบบทราบเพื่อดำเนินการป้องกันและแก้ไขต่อไป

4.2. Intrusion Detection System Architecture ระบบตรวจหาการบุกรุกบนเครือข่าย (Network-based IDSs จะทำงานในเครือข่ายคอมพิวเตอร์ ด้วยการติดตามตรวจสอบสัญญาณจราจร (Traffic) ที่อยู่ในรูปของแพ็กเก็ตข้อมูลเพื่อตรวจสอบว่าแพ็กเก็ตใดมีลักษณะที่ผิดปกติ

4.3. ระบบตรวจหาการบุกรุกบนครื่องคอมพิวเตอร์ (Host-based IDSs) จะทำงานในเครื่องคอมพิวเตอร์ ด้วยการติดตามตรวจสอบสัญญาณจราจร (Traffic) ที่อยู่ในรูปของแพ็กเก็ตข้อมูล ตรวจสอบการใช้งานโปรแกรมประยุกต์ (Application) ในเครื่องคอมพิวเตอร์จากไฟล์บันทึกข้อมูลการใช้(Log File) เพื่อตรวจสอบว่าแพ็กเก็ตใดมีลักษณะที่ผิดปกติ การวางอุปกรณ์เซ็นเซอร์ที่ใช้คอยตรวจสอบ package ที่วิ่งอยู่บนระบบเครือข่ายและประมวลผล package ต่อ package  โดยเซ็นเซอร์ดังกล่าวจะถูกวางไว้ในจุดที่ต้องการทำการตรวจสอบโดยอาจจะเชื่อมต่อเข้าไปยัง hub หรือ switch

4.4. หลักการทำงานของระบบตรวจหาการบุกรุก การตรวจหาการใช้งานที่ผิด (Misuse DetectionหรือSignature-based) -เป็นการตรวจหารูปแบบการบุกรุกด้วยการวิเคราะห์พฤติกรรมหรือเหตุการณ์ที่เกิดขึ้นในระบบเครือข่าย   -จะเป็นการเก็บข้อมูลรูปแบบการทำงานที่ผิดปกติไว้ เปรียบเทียบกับเหตุการณ์ที่เกิดขึ้น   -หากเหตุการณ์ใดตรงกับข้อมูลที่เก็บไว้จะหมายความว่าเกิดเหตุการณ์ผิดปกติขึ้น   -มีความแม่นยำในการตรวจสอบรูปแบบเฉพาะสูง แต่ไม่สามารถตรวจสอบการ การโจมตีที่ถูกปรับเปลี่ยนเล็กน้อยได้   -ไม่สามารถตรวจสอบการโจมตีที่ใช้การเชื่อมต่อที่ซับซ้อนหลายขั้นตอนได้ การเปรียบเทียบ Pattern Matching เป็นการเปรียบเทียบแพ็กเก็ตของซิกเนเจอร์ Stateful Matching เป็นการเปรียบเทียบรูปแบบของกิจกรรมทั่วไป

4.5. หลักการทำงานของระบบตรวจหาการบุกรุก การตรวจหาการใช้งานที่ผิด (Misuse DetectionหรือSignature-based) ยกตัวอย่างการทำงาน การตรวจจับการ telnet ที่ใช้ username “root” E-mail ที่มีการแนบไฟล์ที่มีนามสกุล “.exe” โปรแกรมสแกนไวรัส โปรแกรมสแกนช่องโหว่ของเครื่องคอมพิวเตอร์

4.6. การตรวจหาเหตุการณ์ผิดปกติ (Anomaly-based Detection) เป็นการตรวจหารูปแบบการบุกรุก ด้วย เก็บข้อมูลเกี่ยวกับการทำงานต่างๆ ที่เป็นการทำงานปกติไว้เปรียบเทียบกับเหตุการณ์ที่เกิดขึ้น ถ้าแตกต่างกันจะแปลว่าเกิดการทำงานที่ผิดปกติขึ้น จึงดำเนินการตอบสนองในรูปแบบต่างๆ สามารถตรวจจับการโจมตีใหม่ๆ ได้ มี overhead และใช้การประมวลผลมากกว่า signature-based .

4.7. การวัดตามกฎ (Rule-based Measure) เป็นวิธีการวัดโดยกำหนดพฤติกรรมหรือเหตุการณ์ปกติเป็นกฎไว้ แล้วนำ พฤติกรรมหรือเหตุการณ์ที่เกิดขึ้นในเครือข่าย ณ เวลาในขณะน้ัน มาเปรียบเทียบกับกฎ หากไม่ตรงกันแสดงว่าเป็นรูปแบบการโจมตี เช่น ใช้กฎพื้นฐาน IF/THEN ของการเขียนโปรแกรมในระบบผู้เชี่ยวชาญ (Expert System) ใช้การอนุญาตของระบบผู้เชี่ยวชาญสำหรับคุณลักษณะของปัญญาประดิษฐ์ (Artificial Intelligence) กฎระเบียบที่ซับซ้อนมากขึ้น อุปสงค์มากขึ้นจากความต้องการการประมวลผลของเครื่องและโปรแกรมทางคอมพิวเตอร์และไม่สามารถตรวจสอบการโจมตีแบบใหม่ได้

4.8. การวิเคราะห์รูปแบบการโจมตีของระบบตรวจหาการบุกรุก  ( Attack Analysis of IDS) 1.การวิเคราะห์เนื้อหา (Content Analysis) จะต้องมีการจับแพ็กเก็ตข้อมูล (Capture Packets) ทั้งหมด ซึ่งโดยปกติแล้วขนาดของ Ethernet Packet สามารถมีขนาดได้ถึง1500 bytes เพราะฉะน้ันจำเป็นต้องมีพื้นที่ว่างในฮาร์ดดิสก์(Disk Space) และหน่วยประมวลผล (CPU Time) ในการประมวลผลข้อมูลดังกล่าวที่เหมาะสม ข้อดีของการวิเคราะห์เนื้อหาคือง่าย รวดเร็วและเป็นการตรวจหาในเวลาจริง(Real-Time Detection) มากกว่า ข้อเสียคือโอกาสของความผิดพลาดในการแจ้งเตือนนั้นสูงกว่าและต้องการใช้เครื่องคอมพิวเตอร์ในการประมวลผลและจัดเก็บในการทำงานที่สูงมาก  2.การวิเคราะห์สัญญาณจราจร (Traffic Analysis) เป็นการแปลความหมายจากรูปแบบ(Patterns) ในส่วนหัวของแพ็กเก็ต (Packet Header)

5. Screened Host Architecture -จะมีโฮสต์ซึ่งให้บริการ Proxy เหมือนกับใน Single Box Architecture ที่เป็น Dual-homed Host แต่จะต่างกันตรงที่ว่า โฮสต์นั้นจะอยู่ภายในเน็ตเวิร์ก ไม่ต่ออยู่กับเน็ตเวิร์กภายนอกอื่นๆ   -มีเราเตอร์ที่ทำหน้าที่ Packet Filtering ช่วยบังคับให้เครื่องภายในเน็ตเวิร์กต้องติดต่อเซอร์วิสผ่าน Proxy โดยไม่ยอมให้ติดต่อใช้เซอร์วิสจากภายนอกโดยตรง และก็ให้ภายนอกเข้าถึงได้เฉพาะ Bastion host ( คือโฮสต์ที่มีความเสี่ยงสูงต่อการถูกโจมตี มักจะเป็นโฮสต์ที่เปิดให้บริการกับอินเตอร์เน็ต ดังนั้นโฮสต์นี้ต้องมีการดูแลเป็นพิเศษ) เท่านั้น   -Architecture นี้เหมาะสำหรับ   -เน็ตเวิร์กที่มีการติดต่อกับเน็ตเวิร์กภายนอกน้อย   -เน็ตเวิร์กที่มีการป้องกันความปลอดภัยใน ระดับของโฮสต์เป็นอย่างดีแล้ว

6. Firewall

6.1. -เป็นคอมโพเน็นต์หรือกลุ่มของคอมโพเน็นต์ที่ทำหน้าที่ในการควบคุมการเข้าถึงระหว่างเน็ตเวิร์กภายนอกหรือเน็ตเวิร์กที่เราคิดว่าไม่ปลอดภัย กับเน็ตเวิร์กภายในหรือเน็ตเวิร์กที่เราต้องการจะป้องกัน โดยที่คอมโพเน็นต์นั้นอาจจะเป็นเราเตอร์ คอมพิวเตอร์ หรือเน็ตเวิร์ก ประกอบกันก็ได้ ขึ้นอยู่กับวิธีการหรือ Firewall Architecture ที่ใช้ - Software firewall - specialized software running on an individual computer - Network firewall - a dedicated device designed to protect one or more computers. - Network Based Firewalls   -Packet filter   -Stateful Inspection  -Proxy

6.2. ข้อจำกัดของ Firewall

6.2.1. อันตรายที่เกิดจากเน็ตเวิร์กภายใน ไม่สามารถป้องกันได้เนื่องจากอยู่ภายในเน็ตเวิร์กเอง ไม่ได้ผ่านไฟร์วอลล์เข้ามา อันตรายจากภายนอกที่ไม่ได้ผ่านเข้ามาทางไฟร์วอลล์ เช่นการ Dial-up เข้ามายังเน็ตเวิร์กภายในโดยตรงโดยไม่ได้ผ่านไฟร์วอลล์ อันตรายจากวิธีใหม่ๆ ที่เกิดขึ้น ทุกวันนี้มีการพบช่องโหว่ใหม่ๆ เกิดขึ้นทุกวัน เราไม่สามารถไว้ใจไฟร์วอลล์โดยการติดตั้งเพียงครั้งเดียวแล้วก็หวังให้มันปลอดภัยตลอดไป เราต้องมีการดูแลรักษาอย่างต่อเนื่องสม่ำเสมอ ไวรัส ถึงแม้จะมีไฟร์วอลล์บางชนิดที่สามารถป้องกันไวรัสได้ แต่ก็ยังไม่มีไฟร์วอลล์ชนิดใดที่สามารถตรวจสอบไวรัสได้ในทุกๆ โปรโตคอล

6.3. 1.Packet filter Firewalls

6.3.1. Packet Filter คือเราเตอร์ที่ทำการหาเส้นทางและส่งต่อ (route) อย่างมีเงื่อนไข โดยจะพิจารณาจากข้อมูลส่วนที่อยู่ในเฮดเดอร์ (header) ของแพ็กเก็ตที่ผ่านเข้ามา เทียบกับกฎ (rules) ที่กำหนดไว้และตัดสินว่าควรจะทิ้ง (drop) แพ็กเก็ตนั้นไปหรือว่าจะยอม (accept) ให้แพ็กเก็ตนั้นผ่านไปได้

6.3.1.1. ข้อดี ไม่ขึ้นกับแอพพลิเคชัน มีความเร็วสูง รองรับการขยายตัวได้ดี  ข้อเสีย บางโปรโตคอลไม่เหมาะสมกับการใช้ Packet Filtering เช่น FTP, ICQ

6.4. 2. Stateful Inspection Firewalls

6.4.1. -เป็นเทคโนโลยีที่เพิ่มเข้าไปใน Packet Filtering โดยในการพิจารณาว่าจะยอมให้แพ็กเก็ตผ่านไปนั้น แทนที่จะดูข้อมูลจากเฮดเดอร์เพียงอย่างเดียว   -Stateful Inspection จะนำเอาส่วนข้อมูลของแพ็กเก็ต (message content) และข้อมูลที่ได้จากแพ็กเก็ตก่อนหน้านี้ที่ได้ทำการบันทึกเอาไว้ นำมาพิจารณาด้วย จึงทำให้สามารถระบุได้ว่าแพ็กเก็ตใดเป็นแพ็กเก็ตที่ติดต่อเข้ามาใหม่ หรือว่าเป็นส่วนหนึ่งของการเชื่อมต่อที่มีอยู่แล้ว -ตัวอย่างผลิตภัณฑ์ทางการค้าที่ใช้ Stateful Inspection Technology ได้แก่   -Check Point Firewall-1   -Cisco Secure Pix Firewall   -SunScreen Secure Net และส่วนที่เป็น open source แจกฟรี ได้แก่ NetFilter ใน Linux (iptables ในลีนุกซ์เคอร์เนล 2.3 เป็นต้นไป)

6.5. 3. Proxy Service

6.5.1. -Proxy หรือ Application Gateway เป็นแอพพลิเคชันโปรแกรมที่ทำงานอยู่บนไฟร์วอลล์ที่ตั้งอยู่ระหว่างเน็ตเวิร์ก 2 เน็ตเวิร์ก ทำหน้าที่เพิ่มความปลอดภัยของระบบเน็ตเวิร์กโดยการควบคุมการเชื่อมต่อระหว่างเน็ตเวิร์กภายในและภายนอก Proxy จะช่วยเพิ่มความปลอดภัยได้มากเนื่องจากมีการตรวจสอบข้อมูลถึงในระดับของแอพพลิเคชันเลเยอร์ (Application Layer การทำงานของ Proxy เมื่อไคลเอนต์ต้องการใช้เซอร์วิสภายนอก ไคลเอนต์จะทำการติดต่อไปยัง Proxy ก่อน ไคลเอนต์จะเจรจา (negotiate) กับ Proxy เพื่อให้ Proxy ติดต่อไปยังเครื่องปลายทางให้ เมื่อ Proxy ติดต่อไปยังเครื่องปลายทางให้แล้วจะมีการเชื่อมต่อ 2 การเชื่อมต่อ คือ ไคลเอนต์กับ Proxy และ Proxy กับเครื่องปลายทาง โดยที่ Proxy จะทำหน้าที่รับข้อมูลและส่งต่อข้อมูลให้ใน 2 ทิศทาง Proxy จะทำหน้าที่ในการตัดสินใจว่าจะให้มีการเชื่อมต่อกันหรือไม่ จะส่งต่อแพ็กเก็ตให้หรือไม่

6.5.1.1. ข้อดี -มีความปลอดภัยสูง -รู้จักข้อมูลในระดับแอพพลิเคชัน   ข้อเสีย -ประสิทธิภาพต่ำ -แต่ละบริการมักจะต้องการโปรเซสของตนเอง -สามารถขยายตัวได้ยาก

7. Intrusion prevention systems (IPS)

7.1. IPS (Intrusion Prevention System) คือ Software หรือ hardware ที่ได้รับการออก แบบมาเพื่อให้ตรวจสอบการบุกรุกโดยจะทำงานคล้ายๆกับ IDS(Intrusion Detection System) แต่จะมีคุณสมบัติพิเศษในการจู่โจมกลับหรือหยุดยั้งผู้บุกรุกได้ด้วยตัวเองโดยที่ไม่จำเป็นต้องอาศัยโปรแกรมหรือ hardware ตัวอื่นๆ

7.2. ประเภทของ  IPS แบ่งประเภทตามแพลตฟอร์ม (Network / Host based) 1.Network-based intrusion prevention system (NIPS): monitors the entire network for suspicious traffic by analysing protocol activity.   2.Wireless intrusion prevention systems (WIPS): monitor a wireless network for suspicious traffic by analysing wireless networking protocols.   3.Network behavior analysis (NBA): examines network traffic to identify threats that generate unusual traffic flows, such as distributed denial of service (DDoS) attacks, certain forms of malware and policy violations.   4.Host-based intrusion prevention system (HIPS): an installed software package which monitors a single host for suspicious activity by analysing events occurring within that host.