Home » Firewall Architecture: Next-Gen Firewall, UTM, Zone-Based และ Policy Design
Firewall Architecture: Next-Gen Firewall, UTM, Zone-Based และ Policy Design
Firewall Architecture: Next-Gen Firewall, UTM, Zone-Based และ Policy Design
Firewall เป็น cornerstone ของ network security ที่ควบคุม traffic ระหว่าง trusted และ untrusted networks Next-Gen Firewall (NGFW) เพิ่ม application awareness, IPS และ threat intelligence เหนือกว่า traditional firewall, UTM (Unified Threat Management) รวมหลาย security functions ใน appliance เดียว และ Zone-Based Firewall ใช้ security zones แทน interface-based rules เพื่อ policy design ที่ยืดหยุ่น
Traditional firewalls ทำงานที่ Layer 3-4 (IP + Port) แต่ applications วันนี้ทำงานบน port 80/443 เกือบทั้งหมด ทำให้ port-based filtering ไม่เพียงพอ NGFW สามารถ identify applications (Facebook, YouTube, Zoom) ที่ใช้ port เดียวกัน แล้ว apply policy ต่างกันได้ ซึ่งเป็นสิ่งจำเป็นสำหรับ modern network security
Firewall Evolution
| Generation |
Technology |
Capability |
| 1st Gen: Packet Filter |
ACLs (Layer 3-4) |
Filter by src/dst IP, port, protocol |
| 2nd Gen: Stateful |
Connection tracking |
Track connection state (SYN, ESTABLISHED, etc.) |
| 3rd Gen: Application |
Deep Packet Inspection |
Inspect application layer (Layer 7) |
| NGFW |
App-ID + IPS + TI |
Application awareness + intrusion prevention + threat intelligence |
| Cloud Firewall |
FWaaS (Firewall as a Service) |
Cloud-delivered firewall (SASE, SSE) |
NGFW vs Traditional Firewall
| Feature |
Traditional Firewall |
NGFW |
| Filtering |
IP + Port (Layer 3-4) |
Application + User + Content (Layer 3-7) |
| Application Awareness |
ไม่มี (port 443 = all HTTPS traffic) |
มี (identify Facebook, Zoom, Slack separately) |
| IPS |
แยก device |
Built-in (single pass) |
| User Identity |
ไม่มี (IP-based only) |
AD/LDAP integration (user-based policies) |
| SSL Inspection |
ไม่มี / limited |
Full SSL/TLS decryption + inspection |
| Threat Intelligence |
ไม่มี |
Real-time threat feeds + sandboxing |
| URL Filtering |
แยก proxy |
Built-in URL categorization |
NGFW Vendors
| Vendor |
Product |
จุดเด่น |
| Palo Alto Networks |
PA Series / Prisma |
App-ID pioneer, WildFire sandboxing, single-pass architecture |
| Fortinet |
FortiGate |
Custom ASIC (high performance), FortiGuard threat intel, good price/performance |
| Cisco |
Firepower / Secure Firewall |
Snort IPS, Talos threat intel, AMP integration |
| Check Point |
Quantum |
SandBlast zero-day protection, unified management (SmartConsole) |
| Juniper |
SRX Series |
Junos OS, ATP Cloud, strong routing integration |
UTM (Unified Threat Management)
| Feature |
รายละเอียด |
| คืออะไร |
All-in-one security appliance: firewall + IPS + antivirus + URL filter + VPN + anti-spam |
| Advantage |
ง่าย: 1 device, 1 management console, 1 vendor |
| Disadvantage |
Performance: enable ทุก feature → throughput ลดลงมาก |
| Best For |
SMB (Small-Medium Business) ที่ต้องการ simplicity |
| Not Best For |
Enterprise/DC ที่ต้องการ high performance (ใช้ dedicated NGFW + IPS) |
| Vendors |
Fortinet FortiGate, Sophos XGS, WatchGuard, SonicWall |
Zone-Based Firewall
| Feature |
รายละเอียด |
| คืออะไร |
จัดกลุ่ม interfaces เป็น security zones → apply policy ระหว่าง zones |
| Common Zones |
Inside (trust), Outside (untrust), DMZ, Guest, Management |
| Zone Pair |
Policy ระหว่าง 2 zones (e.g., Inside → Outside = allow, Outside → Inside = deny) |
| Intra-zone |
Traffic within same zone: usually permitted by default |
| Inter-zone |
Traffic between zones: denied by default (must explicitly allow) |
| Self Zone |
Traffic to/from firewall itself (management, routing protocols) |
| Advantage |
Flexible: add interfaces to zones without rewriting policies |
Firewall Policy Design
| Principle |
รายละเอียด |
| Least Privilege |
Allow เฉพาะ traffic ที่จำเป็น → deny all else (implicit deny) |
| Specific First |
Specific rules ก่อน general rules (firewall processes top-down) |
| Deny Log Last |
Explicit deny rule สุดท้ายพร้อม logging (track blocked traffic) |
| Application-based |
ใช้ App-ID rules แทน port-based (port 443 ≠ allow everything) |
| User-based |
Policy per user/group (HR group ≠ Engineering group) |
| Segmentation |
แยก zones: servers, users, IoT, guests (lateral movement prevention) |
| Regular Review |
Review rules ทุก 90 วัน → remove unused/expired rules |
SSL/TLS Inspection
| Feature |
รายละเอียด |
| Why |
~90% web traffic เป็น HTTPS → ไม่ inspect = blind spot ขนาดใหญ่ |
| Forward Proxy |
Decrypt outbound HTTPS → inspect → re-encrypt (need CA cert on clients) |
| Inbound Inspection |
Decrypt inbound HTTPS → inspect → forward to internal server |
| Performance Impact |
SSL inspection ใช้ CPU สูง → ต้อง size firewall ให้เพียงพอ |
| Exclusions |
Banking, healthcare sites → exclude จาก inspection (privacy/compliance) |
| Certificate Pinning |
บาง apps pin certificate → ใช้ SSL inspection ไม่ได้ → bypass |
High Availability
| Mode |
รายละเอียด |
| Active-Passive |
1 active firewall + 1 standby → failover เมื่อ active fails |
| Active-Active |
Both firewalls forward traffic → load sharing + failover |
| Session Sync |
Sync connection state → seamless failover (no session drop) |
| Heartbeat |
HA heartbeat link ระหว่าง firewalls (dedicated link recommended) |
| Failover Time |
Usually < 1 second (sub-second with session sync) |
ทิ้งท้าย: Firewall = First Line of Defense
Firewall Architecture NGFW: application awareness + IPS + threat intelligence (Layer 3-7) UTM: all-in-one (firewall + AV + IPS + URL filter) — best for SMB Zone-Based: group interfaces into zones → inter-zone policies (deny by default) Policy: least privilege, app-based, user-based, specific first, regular review SSL Inspection: decrypt HTTPS for visibility (~90% traffic) HA: active-passive or active-active with session sync (sub-second failover)
อ่านเพิ่มเติมเกี่ยวกับ Zero Trust Network Architecture และ Network Access Control NAC 802.1X ที่ siamlancard.com หรือจาก icafeforex.com และ siam2r.com
