Home » Firewall Deep Dive: Stateful, NGFW, WAF, Microsegmentation และ Policy Design
Firewall Deep Dive: Stateful, NGFW, WAF, Microsegmentation และ Policy Design
Firewall Deep Dive: Stateful, NGFW, WAF, Microsegmentation และ Policy Design
Firewall เป็นอุปกรณ์รักษาความปลอดภัยที่ขาดไม่ได้ในทุก network Stateful Firewall ติดตาม connection state เพื่อ allow/deny traffic, NGFW (Next-Generation Firewall) เพิ่ม application awareness + IPS + SSL inspection, WAF (Web Application Firewall) ป้องกัน web attacks เช่น SQL injection และ XSS, Microsegmentation แบ่ง network เป็น zones เล็กๆ เพื่อ limit lateral movement และ Policy Design กำหนด rules ที่ effective + maintainable
Firewall เป็นด่านแรกของ defense แต่หลายองค์กร configure firewall ผิดพลาด: rules เยอะเกินไปจนไม่มีใครเข้าใจ, allow any any ที่ลืมลบ, ไม่ review rules เป็นประจำ Proper policy design + regular audit + NGFW features ช่วยให้ firewall ทำงานได้ตาม intended security posture
Firewall Types
| Type |
Layer |
Capabilities |
| Packet Filter |
L3-L4 |
Filter by src/dst IP, port, protocol (stateless, no connection tracking) |
| Stateful Firewall |
L3-L4 |
Track connection state (SYN, ESTABLISHED, RELATED) — allow return traffic |
| NGFW |
L3-L7 |
Stateful + App-ID + User-ID + IPS + SSL decrypt + URL filtering |
| WAF |
L7 (HTTP) |
Protect web apps: SQL injection, XSS, CSRF, OWASP Top 10 |
| Cloud Firewall (FWaaS) |
L3-L7 |
Firewall-as-a-Service in cloud (SASE component) |
| Host-based Firewall |
L3-L7 |
iptables, Windows Firewall, macOS pf (per-host protection) |
Stateful Firewall
| Feature |
รายละเอียด |
| Connection Table |
เก็บ state ของทุก connection (src/dst IP+port, protocol, state, timeout) |
| SYN Tracking |
Track TCP handshake: SYN → SYN-ACK → ACK (only allow established connections) |
| Return Traffic |
Auto-allow return traffic ของ connection ที่ initiated จากข้างใน |
| UDP/ICMP |
Create pseudo-state (จับคู่ request-response แม้ไม่มี connection concept) |
| Timeout |
TCP: 3600s (established), UDP: 30-120s, ICMP: 30s (configurable) |
| Limitation |
ไม่เข้าใจ application content (ดูแค่ IP/port ไม่รู้ว่า port 443 ทำอะไร) |
NGFW Features
| Feature |
รายละเอียด |
| Application ID |
Identify applications ไม่ว่าจะใช้ port อะไร (e.g., detect YouTube on port 443) |
| User ID |
Map traffic to users (ไม่ใช่แค่ IP) → policy based on user/group |
| IPS/IDS |
Intrusion Prevention: detect + block known exploits, vulnerabilities |
| SSL/TLS Decryption |
Decrypt HTTPS → inspect content → re-encrypt (man-in-the-middle for security) |
| URL Filtering |
Block categories (malware, gambling, adult) + custom URL lists |
| Threat Intelligence |
Real-time feeds: malicious IPs, domains, file hashes → auto-block |
| Sandboxing |
Submit unknown files → analyze in sandbox → block if malicious |
| DNS Security |
Block DNS requests to malicious domains (C2, phishing) |
NGFW Vendors
| Vendor |
Product |
จุดเด่น |
| Palo Alto Networks |
PA-Series / VM-Series |
App-ID pioneer, PAN-OS, WildFire sandbox, best in Gartner MQ |
| Fortinet |
FortiGate |
Best price/performance (ASIC), FortiOS, Security Fabric integration |
| Cisco |
Firepower / Secure Firewall |
Cisco ecosystem integration, Snort IPS, Talos threat intel |
| Check Point |
Quantum |
Unified security management, ThreatCloud, R81.20 |
| Juniper |
SRX Series |
Junos OS, strong routing + security, data center focus |
WAF (Web Application Firewall)
| Feature |
รายละเอียด |
| คืออะไร |
Firewall ที่ inspect HTTP/HTTPS traffic เพื่อป้องกัน web application attacks |
| OWASP Top 10 |
Protect against: SQL injection, XSS, CSRF, broken auth, SSRF, etc. |
| Positive Model |
Define what’s allowed → block everything else (whitelist) |
| Negative Model |
Define what’s blocked → allow everything else (blacklist/signatures) |
| Solutions |
Cloudflare WAF, AWS WAF, F5 ASM, Imperva, ModSecurity (open source) |
| Deployment |
Reverse proxy (inline), cloud-based (CDN), agent-based (on web server) |
Microsegmentation
| Feature |
รายละเอียด |
| คืออะไร |
แบ่ง network เป็น segments เล็กๆ → enforce policy ระหว่าง segments (limit lateral movement) |
| Traditional |
VLAN + firewall between VLANs (coarse — หลาย servers ใน VLAN เดียว) |
| Micro |
Policy per workload/application (fine-grained — server-to-server policies) |
| Zero Trust |
Default deny ทุก traffic → allow เฉพาะ approved flows (never trust, always verify) |
| Solutions |
VMware NSX, Cisco ACI, Illumio, Guardicore (Akamai), Cilium (K8s) |
| Benefit |
Attacker compromise 1 server → cannot move to other servers (contained) |
Firewall Policy Design
| Best Practice |
รายละเอียด |
| Default Deny |
สุดท้ายเป็น deny all → allow เฉพาะที่จำเป็น (whitelist approach) |
| Least Privilege |
Allow เฉพาะ traffic ที่จำเป็นเท่านั้น (specific src/dst/port) |
| Zone-Based |
แบ่ง network เป็น zones (trust, untrust, DMZ) → policy between zones |
| Rule Naming |
ตั้งชื่อ + description ที่ชัดเจน (ใครขอ, วันที่, ticket number) |
| Rule Ordering |
Most specific rules ก่อน → general rules หลัง → deny all สุดท้าย |
| Regular Review |
Review rules ทุก 6-12 เดือน → ลบ rules ที่ไม่ใช้ (rule cleanup) |
| Log & Monitor |
Log deny rules + alert on unusual patterns (detect policy violations) |
| Change Management |
ทุก firewall change ต้องผ่าน approval + documentation + testing |
ทิ้งท้าย: Firewall = First Line of Defense, Not the Only One
Firewall Deep Dive Stateful: track connections (SYN/ACK), auto-allow return traffic NGFW: App-ID + User-ID + IPS + SSL decrypt + URL filter + sandboxing WAF: protect web apps (OWASP Top 10: SQLi, XSS, CSRF) Microsegmentation: per-workload policies, limit lateral movement (zero trust) Policy Design: default deny + least privilege + zone-based + regular review + naming Vendors: Palo Alto (best NGFW), Fortinet (best price/perf), Cisco, Check Point Key: firewall is necessary but not sufficient — combine with IPS, WAF, EDR, SIEM for defense-in-depth
อ่านเพิ่มเติมเกี่ยวกับ Zero Trust Microsegmentation ZTNA และ Network Security Operations SIEM SOAR ที่ siamlancard.com หรือจาก icafeforex.com และ siam2r.com
