ในโลกที่ข้อมูลไหลเวียนอย่างไม่หยุดหย่อน การรักษาความปลอดภัยของเครือข่าย (Network Security) จึงเป็นสิ่งสำคัญสูงสุด และหนึ่งในเครื่องมือพื้นฐานแต่ทรงพลังที่สุดในการปกป้องเครือข่ายของเราก็คือ ไฟร์วอลล์ (Firewall) ครับ
ไฟร์วอลล์เปรียบเสมือนยามเฝ้าประตูที่คอยตรวจสอบและตัดสินใจว่าจะอนุญาตให้ข้อมูลเข้าหรือออกเครือข่ายของคุณได้หรือไม่ โดยจะพิจารณาจากกฎ (Rules) ที่กำหนดไว้ล่วงหน้า แต่คุณทราบหรือไม่ว่าไฟร์วอลล์เองก็มี “สไตล์” การทำงานที่แตกต่างกันออกไป? ในบทความนี้ เราจะมาเจาะลึกความแตกต่างระหว่าง Stateful Firewall และ Stateless Firewall กันครับ
Stateless Firewall ผู้คุมกฎที่เคร่งครัดแต่ไม่จำ
เริ่มต้นกันที่ Stateless Firewall ครับ ชื่อก็บอกอยู่แล้วว่า “Stateless” ซึ่งหมายถึง “ไม่มีสถานะ” หรือ “ไม่จดจำ” นั่นเองครับ
Stateless Firewall (หรือ Packet Filtering Firewall) ทำงานโดยการตรวจสอบแต่ละแพ็กเก็ตข้อมูล (Packet) อย่างอิสระ โดยไม่คำนึงถึงว่าแพ็กเก็ตนั้นเป็นส่วนหนึ่งของการเชื่อมต่อ (Connection) ที่กำลังดำเนินอยู่หรือไม่ มันจะตรวจสอบข้อมูลในส่วนหัว (Header) ของแพ็กเก็ต เช่น
- ที่อยู่ IP ต้นทาง (Source IP Address)
- ที่อยู่ IP ปลายทาง (Destination IP Address)
- พอร์ตต้นทาง (Source Port)
- พอร์ตปลายทาง (Destination Port)
- โปรโตคอล (Protocol) เช่น TCP, UDP, ICMP
การทำงาน ลองนึกภาพว่าคุณมีกฎเกณฑ์ง่ายๆ ว่า “อนุญาตให้รถที่มาจากถนน A เข้าได้ และบล็อกรถที่มาจากถนน B” Stateless Firewall ก็จะทำตามกฎนี้เป๊ะๆ ครับ มันจะมองแค่ว่าแพ็กเก็ตนี้มาจากไหน กำลังจะไปไหน ใช้พอร์ตอะไร โดยไม่ได้สนใจว่าแพ็กเก็ตก่อนหน้านี้หรือหลังจากนี้เป็นอะไร หรือเป็นส่วนหนึ่งของการสนทนา (Session) เดียวกันหรือไม่
ข้อดีของ Stateless Firewall
- ความเร็วสูง เนื่องจากไม่ต้องเก็บข้อมูลสถานะการเชื่อมต่อ จึงทำงานได้รวดเร็ว เหมาะสำหรับเครือข่ายที่มีปริมาณการรับส่งข้อมูลสูงมากๆ และต้องการความหน่วง (Latency) ต่ำ
- ใช้ง่าย (สำหรับกฎพื้นฐาน) การกำหนดกฎค่อนข้างตรงไปตรงมา ไม่ซับซ้อนมากนักในเบื้องต้น
- ใช้ทรัพยากรน้อย ไม่ต้องใช้หน่วยความจำหรือพลังประมวลผลมากนักในการเก็บข้อมูลสถานะ
ข้อจำกัดของ Stateless Firewall
- ความปลอดภัยจำกัด ไม่สามารถป้องกันการโจมตีที่ซับซ้อนได้ เช่น การโจมตีแบบ TCP SYN Flood ที่พยายามเปิดการเชื่อมต่อจำนวนมากแต่ไม่สมบูรณ์
- การกำหนดกฎที่ซับซ้อน หากต้องการอนุญาตการเชื่อมต่อแบบสองทิศทาง (เช่น การเข้าถึงเว็บ) ต้องกำหนดกฎอนุญาตทั้งขาเข้าและขาออกแยกกัน ซึ่งอาจทำให้เกิดช่องโหว่ได้หากกำหนดกฎไม่รัดกุมพอ
- ไม่เหมาะกับโปรโตคอลที่มีสถานะ ไม่สามารถจัดการกับโปรโตคอลที่มีการแลกเปลี่ยนข้อมูลสถานะ เช่น FTP (ซึ่งมีช่องสัญญาณควบคุมและช่องสัญญาณข้อมูลแยกกัน) ได้อย่างมีประสิทธิภาพ
Stateful Firewall ผู้คุมกฎที่ฉลาดและจดจำ
มาถึงพระเอกของเราในยุคปัจจุบัน นั่นคือ Stateful Firewall ครับ คำว่า “Stateful” หมายถึง “มีสถานะ” หรือ “จดจำสถานะ” นั่นเอง
Stateful Firewall (หรือ Circuit-Level Gateway) มีความสามารถที่เหนือกว่า Stateless Firewall อย่างมาก โดยมันจะทำการตรวจสอบไม่เพียงแค่ข้อมูลในส่วนหัวของแพ็กเก็ตเท่านั้น แต่ยัง จดจำสถานะ (State) ของการเชื่อมต่อที่กำลังดำเนินอยู่ทั้งหมดในเครือข่ายด้วย
การทำงาน เมื่อมีการเริ่มต้นการเชื่อมต่อใหม่ (เช่น คอมพิวเตอร์ของคุณพยายามเชื่อมต่อไปยังเว็บไซต์หนึ่ง) Stateful Firewall จะสร้าง “ตารางสถานะการเชื่อมต่อ (Connection State Table)” ขึ้นมาเพื่อบันทึกข้อมูลสำคัญเกี่ยวกับการเชื่อมต่อนั้น เช่น
- ที่อยู่ IP ต้นทางและปลายทาง
- พอร์ตต้นทางและปลายทาง
- ลำดับของแพ็กเก็ต (Sequence Numbers)
- สถานะปัจจุบันของการเชื่อมต่อ (เช่น กำลังเริ่มต้น, กำลังใช้งาน, กำลังปิด)
เมื่อแพ็กเก็ตถัดไปของการเชื่อมต่อเดียวกันเข้ามา Firewall จะไม่จำเป็นต้องตรวจสอบกับกฎทั้งหมดอีกครั้ง แต่จะตรวจสอบจากตารางสถานะว่าแพ็กเก็ตนี้เป็นส่วนหนึ่งของการเชื่อมต่อที่ถูกต้องและถูกสร้างขึ้นมาอย่างถูกวิธีหรือไม่ หากเป็นส่วนหนึ่งของการเชื่อมต่อที่อนุญาตไว้แล้ว ก็จะอนุญาตให้ผ่านได้ทันที โดยไม่ต้องมีกฎขาออกที่ชัดเจนสำหรับแพ็กเก็ตตอบกลับ
ตัวอย่าง หากคุณเชื่อมต่อไปยัง https//www.google.com/search?q=Google.com, Stateful Firewall จะอนุญาตแพ็กเก็ตขาออกไปยัง Google และเมื่อแพ็กเก็ตตอบกลับจาก https//www.google.com/search?q=Google.com เข้ามา Firewall จะรู้ว่าแพ็กเก็ตนี้เป็น “คำตอบ” ของคำขอที่คุณส่งออกไป จึงอนุญาตให้ผ่านเข้ามาได้ โดยที่คุณไม่ต้องตั้งกฎขาเข้าเพื่ออนุญาต https//www.google.com/search?q=Google.com โดยเฉพาะ นี่คือความฉลาดของมันครับ
ข้อดีของ Stateful Firewall
- ความปลอดภัยที่เหนือกว่า สามารถป้องกันการโจมตีที่ซับซ้อนได้ดีกว่า เพราะสามารถตรวจสอบได้ว่าแพ็กเก็ตนั้นเป็นส่วนหนึ่งของการเชื่อมต่อที่ถูกต้องหรือไม่ ช่วยป้องกันการโจมตีแบบ SYN Flood, IP Spoofing หรือ Fragment Attacks ได้
- การจัดการกฎที่ง่ายขึ้น ไม่จำเป็นต้องกำหนดกฎขาเข้าสำหรับแพ็กเก็ตตอบกลับของการเชื่อมต่อที่เริ่มจากภายในเครือข่าย ทำให้การกำหนดกฎมีความกระชับและลดความผิดพลาด
- รองรับโปรโตคอลที่ซับซ้อน สามารถจัดการกับโปรโตคอลที่มีสถานะได้อย่างมีประสิทธิภาพ เช่น FTP, SIP (VoIP)
- ตรวจสอบความถูกต้องของ Session สามารถตรวจสอบความถูกต้องของลำดับแพ็กเก็ตภายใน Session ทำให้มั่นใจได้ว่าไม่มีแพ็กเก็ตที่ไม่พึงประสงค์เข้ามาแทรกแซง
ข้อจำกัดของ Stateful Firewall
- ความเร็วที่ลดลงเล็กน้อย เนื่องจากการต้องเก็บและประมวลผลข้อมูลสถานะการเชื่อมต่อ จึงอาจมีความหน่วงที่เพิ่มขึ้นเล็กน้อยเมื่อเทียบกับ Stateless Firewall (แต่ในปัจจุบันความแตกต่างนี้มีน้อยมากสำหรับ Firewall สมัยใหม่)
- ใช้ทรัพยากรมากขึ้น ต้องใช้หน่วยความจำและพลังประมวลผลมากขึ้นในการจัดการตารางสถานะ
- มีความซับซ้อนในการตั้งค่าและแก้ไขปัญหา หากเกิดปัญหา การตรวจสอบสถานะอาจซับซ้อนกว่า
ตารางเปรียบเทียบ Stateful vs. Stateless Firewall
| คุณสมบัติ | Stateless Firewall (Packet Filtering) | Stateful Firewall (Circuit-Level Gateway) |
| การทำงาน | ตรวจสอบแต่ละแพ็กเก็ตแยกกัน ไม่จดจำสถานะการเชื่อมต่อ | ตรวจสอบแพ็กเก็ตและจดจำสถานะการเชื่อมต่อทั้งหมด |
| ข้อมูลที่ใช้ | IP ต้นทาง/ปลายทาง, พอร์ตต้นทาง/ปลายทาง, โปรโตคอล | ข้อมูลข้างต้น + ข้อมูลสถานะการเชื่อมต่อ (Session State) |
| ความปลอดภัย | พื้นฐาน, จำกัด, ป้องกันการโจมตีซับซ้อนได้ไม่ดี | สูง, ป้องกันการโจมตีซับซ้อนได้ดี เช่น SYN Flood, IP Spoofing |
| ประสิทธิภาพ | สูง, ความหน่วงต่ำ | สูง (แต่ต่ำกว่า Stateless เล็กน้อย), ความหน่วงเพิ่มขึ้นเล็กน้อย |
| การจัดการกฎ | ต้องกำหนดกฎทั้งขาเข้าและขาออกอย่างชัดเจน | สามารถจัดการกฎได้ง่ายขึ้น เพราะจดจำสถานะการตอบกลับ |
| การใช้ทรัพยากร | น้อย | มากกว่า |
| ความซับซ้อน | ต่ำ | สูงกว่า |
| เหมาะสำหรับ | เครือข่ายที่ต้องการความเร็วสูงสุด, หรือเป็น Layer แรกของการกรอง | เครือข่ายส่วนใหญ่ที่ต้องการความปลอดภัยสูง, องค์กร, บ้าน |
บทสรุป เลือกใช้แบบไหนดี?
ในทางปฏิบัติ Stateful Firewall คือมาตรฐานในปัจจุบัน สำหรับการป้องกันเครือข่ายส่วนใหญ่ ไม่ว่าจะเป็นเครือข่ายองค์กรขนาดใหญ่ หรือแม้แต่เราเตอร์ไร้สายตามบ้านของเราก็มักจะมีคุณสมบัติ Stateful Firewall ติดตั้งมาให้ด้วยแล้ว
ในขณะที่ Stateless Firewall ยังคงมีบทบาทอยู่บ้างในบางสถานการณ์ที่ต้องการประสิทธิภาพสูงสุด เช่น ในอุปกรณ์เครือข่ายระดับคอร์ (Core Network Devices) ที่ทำหน้าที่ส่งต่อแพ็กเก็ตด้วยความเร็วสูง หรือเป็น Layer แรกของการกรองแพ็กเก็ตก่อนจะส่งต่อไปยัง Stateful Firewall ที่ซับซ้อนกว่า
การทำความเข้าใจความแตกต่างของไฟร์วอลล์ทั้งสองประเภทนี้ ช่วยให้เราเข้าใจได้ว่าข้อมูลของเราได้รับการปกป้องอย่างไร และทำไมการมี “ยามเฝ้าประตู” ที่ฉลาดและจดจำได้ จึงเป็นสิ่งสำคัญอย่างยิ่งในยุคดิจิทัลนี้ครับ
