ในยุคที่ภัยคุกคามทางไซเบอร์เพิ่มขึ้นทุกวัน Firewall คือด่านป้องกันแรกสุดที่ทุกองค์กรต้องมี ไม่ว่าจะเป็นธุรกิจขนาดเล็ก กลาง หรือใหญ่ บทความนี้จะพาคุณเจาะลึกทุกเรื่องเกี่ยวกับ Firewall ตั้งแต่พื้นฐานไปจนถึงการตั้งค่าจริง รวมถึง UTM (Unified Threat Management) ที่รวมฟีเจอร์ความปลอดภัยหลายอย่างไว้ในอุปกรณ์เดียว พร้อมเปรียบเทียบแบรนด์ยอดนิยมอย่าง pfSense และ FortiGate อย่างละเอียด เหมาะสำหรับผู้ดูแลระบบ IT และผู้สนใจด้าน Network Security ทุกคน
Firewall คืออะไร?
Firewall คืออุปกรณ์หรือซอฟต์แวร์ที่ทำหน้าที่ ควบคุมการรับส่งข้อมูล (Traffic) ระหว่างเครือข่ายภายใน (Internal Network) กับเครือข่ายภายนอก (External Network เช่น Internet) โดยพิจารณาจากกฎ (Rules) ที่กำหนดไว้ล่วงหน้า เพื่อป้องกันการเข้าถึงที่ไม่ได้รับอนุญาตและภัยคุกคามต่าง ๆ
Firewall ทำงานโดยวิเคราะห์ Packet ของข้อมูลที่ผ่านเข้าออก แล้วตัดสินใจว่าจะ อนุญาต (Allow) หรือ ปฏิเสธ (Deny/Drop) ตามเงื่อนไขที่ตั้งไว้ เช่น IP Address ต้นทาง/ปลายทาง, Port, Protocol เป็นต้น
วิวัฒนาการของ Firewall
Firewall ได้พัฒนามาหลายรุ่น (Generation) แต่ละรุ่นมีความสามารถเพิ่มขึ้นตามลำดับ ดังนี้:
1. Packet Filter Firewall (Generation 1)
เป็น Firewall รุ่นแรกสุด ทำงานที่ Layer 3-4 (Network/Transport Layer) ของ OSI Model โดยตรวจสอบ Header ของแต่ละ Packet ว่าตรงกับ Rule ที่ตั้งไว้หรือไม่ พิจารณาจาก Source IP, Destination IP, Source Port, Destination Port และ Protocol (TCP/UDP/ICMP) เป็นหลัก
- ข้อดี: ทำงานเร็ว ใช้ทรัพยากรน้อย ง่ายต่อการตั้งค่า
- ข้อเสีย: ไม่สามารถตรวจสอบเนื้อหาภายใน Packet ได้ ไม่รู้จัก Session/State ทำให้โดนโจมตีบางรูปแบบได้ง่าย
2. Stateful Inspection Firewall (Generation 2)
พัฒนาต่อจาก Packet Filter โดยเพิ่มความสามารถในการ จดจำสถานะ (State) ของ Connection เช่น TCP 3-Way Handshake ทำให้สามารถแยกแยะได้ว่า Packet ที่เข้ามาเป็นส่วนหนึ่งของ Connection ที่ถูกต้องหรือไม่ ซึ่งเป็นมาตรฐานของ Firewall ในปัจจุบัน
- ข้อดี: ปลอดภัยกว่า Packet Filter มาก สามารถป้องกัน SYN Flood, IP Spoofing ได้ดีกว่า
- ข้อเสีย: ใช้ทรัพยากรมากกว่า Packet Filter เพราะต้องเก็บ State Table
3. Application Layer Firewall / Proxy Firewall (Generation 3)
ทำงานที่ Layer 7 (Application Layer) สามารถตรวจสอบเนื้อหาภายใน Packet ได้ เช่น HTTP Request/Response, DNS Query, FTP Command เป็นต้น โดยทำหน้าที่เป็น Proxy กลาง ทำให้สามารถกรองเนื้อหา ตรวจจับ Malware และควบคุมการใช้งาน Application ได้อย่างละเอียด
- ข้อดี: ตรวจสอบ Traffic ได้ลึกถึงระดับ Application มีความปลอดภัยสูงสุด
- ข้อเสีย: ช้ากว่า เพราะต้องวิเคราะห์ข้อมูลทุก Layer ใช้ทรัพยากรสูง
4. Next-Generation Firewall (NGFW)
NGFW คือ Firewall รุ่นล่าสุดที่รวมความสามารถของ Stateful Inspection + Application Layer + ฟีเจอร์ความปลอดภัยขั้นสูงเข้าด้วยกัน เช่น Deep Packet Inspection (DPI), Intrusion Prevention System (IPS), Application Awareness & Control, SSL/TLS Inspection, Threat Intelligence และอื่น ๆ อีกมากมาย
- ข้อดี: ครบครันที่สุด สามารถป้องกันภัยคุกคามสมัยใหม่ได้ดี
- ข้อเสีย: ราคาสูง ต้องการผู้เชี่ยวชาญในการตั้งค่าและดูแล
ประเภทของ Firewall
นอกจากการแบ่งตามรุ่น (Generation) แล้ว Firewall ยังสามารถแบ่งตามรูปแบบการใช้งานได้ดังนี้:
1. Network Firewall (Hardware Firewall)
เป็นอุปกรณ์เฉพาะ (Appliance) ที่ติดตั้งระหว่าง Internal Network กับ Internet เช่น FortiGate, Palo Alto, Cisco ASA, SonicWall เป็นต้น มีประสิทธิภาพสูง รองรับ Traffic ได้มาก เหมาะสำหรับองค์กรขนาดกลางถึงใหญ่ที่ต้องการความเร็วและความเสถียรสูง
2. Host-based Firewall (Software Firewall)
เป็นซอฟต์แวร์ที่ติดตั้งบนเครื่องคอมพิวเตอร์แต่ละเครื่อง เช่น Windows Defender Firewall, iptables/nftables บน Linux เหมาะสำหรับการป้องกันระดับ Endpoint ใช้งานร่วมกับ Network Firewall เพื่อเพิ่มความปลอดภัยแบบ Defense-in-Depth
3. Cloud Firewall (FWaaS – Firewall as a Service)
Firewall ที่ให้บริการบน Cloud เช่น AWS Security Groups, Azure Firewall, Google Cloud Firewall, Cloudflare WAF เหมาะสำหรับองค์กรที่ใช้ Cloud Infrastructure ข้อดีคือไม่ต้องซื้อ Hardware สามารถ Scale ได้ง่าย จ่ายตามการใช้งานจริง
4. WAF (Web Application Firewall)
Firewall เฉพาะทางสำหรับป้องกัน Web Application จากการโจมตีเช่น SQL Injection, Cross-Site Scripting (XSS), CSRF, DDoS ทำงานที่ Layer 7 โดยเฉพาะ HTTP/HTTPS Traffic เช่น ModSecurity, Cloudflare WAF, AWS WAF, F5 BIG-IP ASM
UTM (Unified Threat Management) คืออะไร?
UTM หรือ Unified Threat Management คือแนวคิดในการรวมฟีเจอร์ความปลอดภัยหลายอย่างไว้ในอุปกรณ์เดียว แทนที่จะต้องซื้ออุปกรณ์แยกกันหลายตัว UTM จะรวม:
- Firewall — กรอง Traffic ตาม Rules
- IDS/IPS (Intrusion Detection/Prevention System) — ตรวจจับและป้องกันการบุกรุก
- Antivirus/Anti-Malware — สแกนไวรัสและมัลแวร์ในระดับ Gateway
- VPN Gateway — รองรับ Site-to-Site VPN และ Remote Access VPN
- Content Filtering/Web Filtering — บล็อกเว็บไซต์ที่ไม่เหมาะสมหรืออันตราย
- Anti-Spam — กรอง Email ขยะ
- Application Control — ควบคุมการใช้งาน Application เช่น บล็อก Social Media ในเวลาทำงาน
- Data Loss Prevention (DLP) — ป้องกันข้อมูลสำคัญรั่วไหล
UTM เหมาะสำหรับ SMB (Small and Medium Business) ที่ต้องการความปลอดภัยครบครันแต่ไม่มีงบประมาณซื้ออุปกรณ์แยกหลายตัว และไม่มีทีม IT ขนาดใหญ่ในการดูแล
NGFW vs UTM vs Traditional Firewall — ตารางเปรียบเทียบ
| คุณสมบัติ | Traditional Firewall | UTM | NGFW |
|---|---|---|---|
| Packet Filtering | ✔ | ✔ | ✔ |
| Stateful Inspection | ✔ | ✔ | ✔ |
| Application Awareness | ✘ | ✔ (พื้นฐาน) | ✔ (ขั้นสูง) |
| IDS/IPS | ✘ | ✔ | ✔ |
| Antivirus Gateway | ✘ | ✔ | บางรุ่น |
| VPN | บางรุ่น | ✔ | ✔ |
| Content Filtering | ✘ | ✔ | ✔ |
| Deep Packet Inspection | ✘ | บางรุ่น | ✔ |
| SSL/TLS Inspection | ✘ | บางรุ่น | ✔ |
| Threat Intelligence | ✘ | ✘ | ✔ |
| Sandboxing | ✘ | ✘ | ✔ (บางรุ่น) |
| ประสิทธิภาพ (Performance) | สูงมาก | ปานกลาง | สูง |
| ราคา | ต่ำ | ปานกลาง | สูง |
| เหมาะกับ | เครือข่ายเล็ก | SMB | องค์กรขนาดกลาง-ใหญ่ |
Firewall Rules — หลักการตั้งค่ากฎ Firewall
Firewall Rules คือหัวใจสำคัญของ Firewall ทุกตัว การตั้งค่า Rules ที่ดีจะช่วยปกป้องเครือข่ายได้อย่างมีประสิทธิภาพ โดยแต่ละ Rule จะประกอบด้วยองค์ประกอบหลัก ๆ ดังนี้:
องค์ประกอบของ Firewall Rule
- Action: Allow (อนุญาต), Deny (ปฏิเสธ), Drop (ทิ้งโดยไม่แจ้ง), Reject (ปฏิเสธพร้อมแจ้ง)
- Source: IP Address หรือ Subnet ต้นทาง เช่น 192.168.1.0/24
- Destination: IP Address หรือ Subnet ปลายทาง
- Port: หมายเลข Port เช่น 80 (HTTP), 443 (HTTPS), 22 (SSH), 3389 (RDP)
- Protocol: TCP, UDP, ICMP, Any
- Direction: Inbound (ขาเข้า) หรือ Outbound (ขาออก)
- Zone: เช่น LAN, WAN, DMZ, Guest
- Schedule: กำหนดเวลาที่ Rule มีผลบังคับใช้
- Logging: บันทึก Log เมื่อ Rule ถูกใช้งาน
หลักการสำคัญในการตั้ง Rules
- Default Deny (Implicit Deny): กฎพื้นฐานที่สำคัญที่สุด คือ “ปฏิเสธทุกอย่างก่อน แล้วค่อยอนุญาตเฉพาะที่จำเป็น” (Whitelist Approach)
- Least Privilege: อนุญาตเฉพาะ Traffic ที่จำเป็นต่อการทำงานเท่านั้น ไม่เปิดกว้างเกินไป
- Order Matters: Rules จะถูกประมวลผลตามลำดับจากบนลงล่าง (Top-Down) Rule ที่ Match ก่อนจะถูกนำไปใช้
- Log Everything: เปิด Logging สำหรับ Rule สำคัญ ๆ เพื่อใช้ในการตรวจสอบและ Troubleshoot
- Regular Review: ตรวจสอบและอัปเดต Rules อย่างสม่ำเสมอ ลบ Rules ที่ไม่ใช้แล้ว
ตัวอย่าง Firewall Rules
# ตัวอย่าง Firewall Rules (Pseudo-syntax) # Rule 1: อนุญาต HTTP/HTTPS จาก LAN ไป Internet ALLOW Source=LAN_Net Dest=Any Port=80,443 Proto=TCP Zone=LAN→WAN # Rule 2: อนุญาต DNS จาก LAN ไป DNS Server ALLOW Source=LAN_Net Dest=8.8.8.8,1.1.1.1 Port=53 Proto=UDP,TCP Zone=LAN→WAN # Rule 3: อนุญาต SSH เฉพาะจาก IP ของ Admin ALLOW Source=10.0.0.100 Dest=Firewall_IP Port=22 Proto=TCP Zone=LAN→FW # Rule 4: บล็อก Social Media ในเวลาทำงาน DENY Source=LAN_Net Dest=SocialMedia_Group Port=443 Proto=TCP Schedule=Mon-Fri 09:00-17:00 # Rule 5: Default Deny (ต้องอยู่ล่างสุดเสมอ) DENY Source=Any Dest=Any Port=Any Proto=Any Log=Yes
Firewall Zones
การแบ่ง Zone ช่วยให้การจัดการ Firewall Rules ง่ายขึ้นและปลอดภัยมากขึ้น:
- WAN (Untrusted): เชื่อมต่อกับ Internet ถือเป็นโซนที่ไม่น่าเชื่อถือ
- LAN (Trusted): เครือข่ายภายในองค์กร ถือเป็นโซนที่เชื่อถือได้
- DMZ (Demilitarized Zone): โซนกลางสำหรับวาง Server ที่ต้องเข้าถึงจาก Internet เช่น Web Server, Mail Server
- Guest: เครือข่ายสำหรับแขกหรือ BYOD ที่ไม่ควรเข้าถึง LAN ได้
NAT & Port Forwarding บน Firewall
NAT (Network Address Translation) คือกระบวนการแปลง IP Address จาก Private IP เป็น Public IP (หรือกลับกัน) เพื่อให้เครื่องในเครือข่าย LAN สามารถเข้าถึง Internet ได้ NAT มีหลายประเภท:
ประเภทของ NAT
- Source NAT (SNAT) / Masquerade: แปลง Source IP จาก Private เป็น Public เมื่อออก Internet ใช้กันมากที่สุด
- Destination NAT (DNAT) / Port Forwarding: แปลง Destination IP จาก Public เป็น Private เพื่อส่ง Traffic ไปยัง Server ภายใน
- Static NAT (1:1 NAT): แมป Private IP กับ Public IP แบบ 1 ต่อ 1 เหมาะสำหรับ Server ที่ต้องการ Public IP เฉพาะ
ตัวอย่าง Port Forwarding
# Port Forwarding: Web Server ภายใน Public IP: 203.150.x.x Port 80 → Private IP: 192.168.1.10 Port 80 Public IP: 203.150.x.x Port 443 → Private IP: 192.168.1.10 Port 443 # Port Forwarding: Remote Desktop Public IP: 203.150.x.x Port 13389 → Private IP: 192.168.1.20 Port 3389 # Port Forwarding: CCTV DVR/NVR Public IP: 203.150.x.x Port 8080 → Private IP: 192.168.1.50 Port 80 Public IP: 203.150.x.x Port 37777 → Private IP: 192.168.1.50 Port 37777
คำเตือน: การ Port Forward ต้องระวังเรื่องความปลอดภัย อย่า Forward Port ที่ไม่จำเป็น และควรใช้ VPN แทนการ Port Forward โดยตรงเมื่อเป็นไปได้ โดยเฉพาะ Port ที่เสี่ยงอย่าง RDP (3389), SSH (22), Telnet (23)
VPN on Firewall
Firewall สมัยใหม่ส่วนใหญ่รองรับ VPN ในตัว ทำให้เราสามารถสร้าง Tunnel เข้ารหัสข้อมูลได้โดยไม่ต้องซื้ออุปกรณ์ VPN แยก (อ่านเพิ่มเติมที่ VPN คืออะไร? สอนตั้งค่า VPN สำหรับ Remote Access)
IPSec VPN
เป็นมาตรฐาน VPN ที่ใช้กันมากที่สุด เหมาะสำหรับ Site-to-Site VPN เชื่อมต่อสำนักงานสาขากับสำนักงานใหญ่ มีความปลอดภัยสูงมาก ทำงานที่ Layer 3 รองรับ IKEv1 และ IKEv2
- Phase 1 (IKE SA): ตกลงเรื่อง Encryption, Authentication, DH Group
- Phase 2 (IPSec SA): สร้าง Tunnel จริง กำหนด Encryption Algorithm (AES-256), Hash (SHA-256)
SSL VPN
เหมาะสำหรับ Remote Access VPN ที่ให้พนักงานเชื่อมต่อจากที่บ้านหรือนอกสถานที่ ใช้ SSL/TLS ผ่าน Port 443 ทำให้ผ่าน Firewall ได้ง่าย ไม่ต้อง Install Client พิเศษ (บางยี่ห้อ) สามารถใช้ Web Browser ได้เลย
แบรนด์ Firewall ยอดนิยม
ในตลาดปัจจุบันมี Firewall หลายแบรนด์ให้เลือก ทั้งแบบ Commercial และ Open Source ดังนี้:
Firewall เชิงพาณิชย์ (Commercial)
| แบรนด์ | จุดเด่น | เหมาะกับ | ราคาเริ่มต้น (โดยประมาณ) |
|---|---|---|---|
| FortiGate (Fortinet) | ประสิทธิภาพสูง, SD-WAN, FortiGuard Labs | SMB ถึง Enterprise | ~15,000-30,000 บาท |
| Palo Alto Networks | Application-based Policy, WildFire Sandbox | Enterprise | ~80,000+ บาท |
| SonicWall | ราคาคุ้มค่า, ใช้งานง่าย | SMB | ~12,000-25,000 บาท |
| Sophos XGS | Synchronized Security, Heartbeat | SMB ถึง Mid-Enterprise | ~20,000-40,000 บาท |
| Cisco ASA/Firepower | Integration กับ Cisco Ecosystem | Enterprise | ~50,000+ บาท |
| Check Point | ThreatCloud, R81 Management | Enterprise | ~60,000+ บาท |
Firewall Open Source (ฟรี)
| ซอฟต์แวร์ | จุดเด่น | เหมาะกับ |
|---|---|---|
| pfSense | ยืดหยุ่นสูง, Community ใหญ่, Packages มากมาย | SMB, Home Lab, การเรียนรู้ |
| OPNsense | Fork จาก pfSense, UI สวยกว่า, อัปเดตบ่อย | SMB, Home Lab |
| IPFire | เรียบง่าย, ใช้งานง่าย | Home, Small Office |
| VyOS | CLI-based, คล้าย Cisco IOS | ผู้เชี่ยวชาญ Network |
pfSense Setup เบื้องต้น (Free Open Source Firewall)
pfSense เป็น Firewall/Router Open Source ที่ได้รับความนิยมสูงสุด พัฒนาบน FreeBSD สามารถติดตั้งบน PC เก่าหรือ Mini PC ได้ เหมาะสำหรับ SMB และการเรียนรู้
ความต้องการขั้นต่ำของระบบ
- CPU: 64-bit (x86-64), 600 MHz ขึ้นไป
- RAM: 1 GB ขึ้นไป (แนะนำ 4 GB+)
- Storage: 8 GB ขึ้นไป (SSD แนะนำ)
- NIC: อย่างน้อย 2 Port (WAN + LAN)
ขั้นตอนการติดตั้ง pfSense
- ดาวน์โหลด pfSense CE ISO จาก pfsense.org
- สร้าง Bootable USB ด้วย Rufus หรือ Etcher
- Boot จาก USB และติดตั้งลง Disk
- กำหนด WAN Interface (เชื่อมต่อกับ Modem/Internet)
- กำหนด LAN Interface (เชื่อมต่อกับ Switch ภายใน)
- เข้า Web GUI ผ่าน https://192.168.1.1 (Default)
- ทำ Initial Setup Wizard (ตั้งค่า Hostname, DNS, WAN Type, LAN IP)
Packages ที่แนะนำบน pfSense
- pfBlockerNG: บล็อก Ads, Malware Domains (เหมือน Pi-hole)
- Snort/Suricata: IDS/IPS ตรวจจับการบุกรุก
- OpenVPN: สร้าง VPN Server (SSL VPN)
- HAProxy: Reverse Proxy และ Load Balancer
- ntopng: Network Traffic Monitoring
- Squid: Proxy Server และ Cache
ตัวอย่างการตั้ง Firewall Rule บน pfSense
# เข้า Firewall > Rules > LAN # เพิ่ม Rule ใหม่: Action: Pass Interface: LAN Protocol: TCP Source: LAN net Destination: Any Port: 80, 443 Description: Allow HTTP/HTTPS from LAN # บันทึกและ Apply Changes
FortiGate Basic Configuration
FortiGate จาก Fortinet เป็น Firewall/UTM ที่ได้รับความนิยมสูงสุดในตลาด Thailand มี Market Share อันดับ 1 เหมาะสำหรับทุกขนาดองค์กร ตั้งแต่รุ่น FortiGate 40F สำหรับ SOHO ไปจนถึง FortiGate 7000 Series สำหรับ Data Center
Initial Setup FortiGate
- เชื่อมต่อ PC เข้ากับ Port 1 (Internal/LAN) ของ FortiGate
- เปิด Browser ไปที่ https://192.168.1.99 (Default IP)
- Login ด้วย Username: admin Password: (ว่าง) สำหรับครั้งแรก
- เปลี่ยน Password ทันที
- ตั้งค่า Interface: WAN (DHCP/Static/PPPoE), LAN (IP, DHCP Server)
ตัวอย่าง FortiGate CLI Commands
# ตั้งค่า Interface WAN
config system interface
edit "wan1"
set mode dhcp
set allowaccess ping https ssh
next
end
# ตั้งค่า Interface LAN
config system interface
edit "internal"
set ip 192.168.1.1 255.255.255.0
set allowaccess ping https ssh http
next
end
# สร้าง Firewall Policy (LAN to WAN)
config firewall policy
edit 1
set name "LAN-to-WAN"
set srcintf "internal"
set dstintf "wan1"
set srcaddr "all"
set dstaddr "all"
set action accept
set schedule "always"
set service "ALL"
set nat enable
set utm-status enable
set av-profile "default"
set ips-sensor "default"
set webfilter-profile "default"
next
end
FortiGate Security Profiles
- AntiVirus: สแกนไวรัสใน Traffic (HTTP, FTP, SMTP, POP3, IMAP)
- Web Filter: กรองเว็บไซต์ตาม Category (FortiGuard Web Filter)
- IPS: ป้องกันการบุกรุก (Intrusion Prevention)
- Application Control: ควบคุมการใช้ Application (Facebook, YouTube, LINE, etc.)
- SSL Inspection: ตรวจสอบ HTTPS Traffic (Deep Inspection / Certificate Inspection)
- DNS Filter: กรอง DNS Request ที่อันตราย
High Availability (HA) — ระบบสำรอง Firewall
สำหรับองค์กรที่ต้องการความต่อเนื่อง (Business Continuity) ไม่สามารถยอมให้ Firewall หยุดทำงานได้ จำเป็นต้องตั้งค่า High Availability (HA) ซึ่งมี 2 รูปแบบหลัก:
Active-Passive (A/P)
- ใช้ Firewall 2 ตัวที่เหมือนกัน ตัวหนึ่ง Active (ทำงานจริง) อีกตัว Passive (Standby รอ)
- เมื่อตัว Active ล่ม ตัว Passive จะเปลี่ยนมาเป็น Active ทันที (Failover)
- Failover Time ปกติ 1-5 วินาที
- ข้อดี: ง่ายต่อการตั้งค่า ไม่ซับซ้อน
- ข้อเสีย: ตัว Passive ไม่ได้ทำงานจริง เสียเงินซื้อแต่ไม่ได้ใช้ Performance
Active-Active (A/A)
- Firewall ทั้ง 2 ตัวทำงานพร้อมกัน แบ่ง Traffic กันรับภาระ (Load Balancing)
- เมื่อตัวใดตัวหนึ่งล่ม อีกตัวจะรับ Traffic ทั้งหมด
- ข้อดี: ใช้ Performance ได้เต็มทั้ง 2 ตัว Throughput สูงกว่า
- ข้อเสีย: ตั้งค่าซับซ้อนกว่า อาจมีปัญหา Asymmetric Routing
Firewall Sizing — การเลือกขนาด Firewall ให้เหมาะสม
การเลือก Firewall ที่มีขนาดเหมาะสมกับองค์กรเป็นสิ่งสำคัญมาก หากเลือกเล็กเกินไปจะเป็นคอขวด (Bottleneck) ของเครือข่าย หากเลือกใหญ่เกินไปก็เสียเงินโดยเปล่าประโยชน์
ปัจจัยที่ต้องพิจารณา
| ปัจจัย | คำอธิบาย | ตัวอย่าง |
|---|---|---|
| Firewall Throughput | ความเร็วสูงสุดในการประมวลผล Traffic | 1 Gbps, 5 Gbps, 10 Gbps |
| IPS Throughput | ความเร็วเมื่อเปิด IPS (จะลดลงจาก Firewall Throughput) | 500 Mbps, 2 Gbps |
| NGFW Throughput | ความเร็วเมื่อเปิดทุก Feature (AV+IPS+App Control) | 300 Mbps, 1 Gbps |
| Concurrent Sessions | จำนวน Session ที่รองรับพร้อมกัน | 100K, 500K, 2M sessions |
| New Sessions/sec | จำนวน Session ใหม่ที่สร้างได้ต่อวินาที | 5K, 20K, 100K/sec |
| VPN Throughput | ความเร็ว VPN Tunnel | 500 Mbps, 2 Gbps |
| จำนวนผู้ใช้ | จำนวน User ที่ต้องรองรับ | 50, 200, 1000+ users |
| Internet Bandwidth | แบนด์วิดท์ Internet ขององค์กร | 100 Mbps, 1 Gbps |
Sizing Guide ตามขนาดองค์กร
| ขนาดองค์กร | จำนวน User | Internet BW | แนะนำ FortiGate | แนะนำ pfSense |
|---|---|---|---|---|
| SOHO | 1-10 | 50-100 Mbps | FortiGate 40F | Mini PC 2-Core |
| Small Office | 10-50 | 100-300 Mbps | FortiGate 60F/80F | Mini PC 4-Core |
| Medium | 50-200 | 300 Mbps – 1 Gbps | FortiGate 100F/200F | Server 8-Core |
| Large | 200-1000 | 1-10 Gbps | FortiGate 600F/1000F | ไม่แนะนำ (ใช้ Commercial) |
| Enterprise | 1000+ | 10+ Gbps | FortiGate 3000F+ | – |
ข้อผิดพลาดที่พบบ่อยในการตั้งค่า Firewall
- ใช้ Default Password: ไม่เปลี่ยน Password เริ่มต้นของ Firewall ทำให้ถูกเจาะได้ง่าย
- Rule Any-Any-Allow: ตั้ง Rule อนุญาตทุกอย่าง เท่ากับไม่มี Firewall
- ไม่ Update Firmware: ไม่อัปเดต Firmware/Signature ทำให้มีช่องโหว่ CVE
- ไม่ Enable Logging: ไม่เปิด Log ทำให้ไม่สามารถตรวจสอบเหตุการณ์ได้
- Port Forward ไม่จำเป็น: เปิด Port Forward มากเกินไป โดยเฉพาะ RDP, SSH
- ไม่ทำ HA: ไม่ตั้งระบบสำรอง เมื่อ Firewall เสียทั้งองค์กรใช้ Internet ไม่ได้
- ไม่แบ่ง Zone: ไม่แยก DMZ, Guest Network ทำให้เมื่อถูกเจาะส่วนหนึ่ง อาจลามไปทั้งระบบ
- ใช้ HTTP บริหาร Firewall: เข้าหน้า Management ผ่าน HTTP แทน HTTPS ทำให้ Password ถูกดักจับได้
- ไม่ Backup Configuration: ไม่สำรอง Config เมื่ออุปกรณ์เสียต้องตั้งค่าใหม่ทั้งหมด
- ไม่ Review Rules: ไม่ตรวจสอบ Rules เป็นระยะ ทำให้มี Rules ที่ล้าสมัยหรือขัดแย้งกัน
FAQ — คำถามที่พบบ่อยเกี่ยวกับ Firewall
Q: Firewall กับ Router ต่างกันอย่างไร?
A: Router ทำหน้าที่ Routing (ส่งต่อ Packet จากเครือข่ายหนึ่งไปอีกเครือข่ายหนึ่ง) ส่วน Firewall ทำหน้าที่กรอง Traffic ตาม Security Rules แต่ในปัจจุบัน Firewall ส่วนใหญ่ทำหน้าที่ Router ได้ด้วย
Q: ควรใช้ Firewall ฟรี (pfSense) หรือซื้อ Commercial?
A: ขึ้นอยู่กับงบประมาณและขนาดองค์กร pfSense เหมาะกับ SMB ที่มี IT Admin ที่มีความรู้ ส่วน Commercial อย่าง FortiGate เหมาะกับองค์กรที่ต้องการ Support, Warranty และ Threat Intelligence จากผู้ผลิต
Q: Firewall ช่วยป้องกัน DDoS ได้ไหม?
A: Firewall สามารถป้องกัน DDoS ขนาดเล็กได้ (Connection Limit, Rate Limit) แต่สำหรับ DDoS ขนาดใหญ่ (Volumetric Attack) ต้องใช้บริการ Cloud-based DDoS Protection เช่น Cloudflare, AWS Shield
Q: ต้องใช้ License สำหรับ Firewall หรือไม่?
A: Hardware ส่วนใหญ่ทำงานพื้นฐาน (Firewall, NAT, VPN) ได้โดยไม่ต้องมี License แต่ฟีเจอร์ขั้นสูง เช่น IPS Signature, Web Filter Database, Antivirus Engine ต้อง Subscription รายปี
Q: Firewall ตั้งค่าแล้วต้องดูแลอะไรบ้าง?
A: ต้อง Monitor Log เป็นประจำ, อัปเดต Firmware และ Signature, Review Rules ทุก 3-6 เดือน, Backup Configuration สม่ำเสมอ, และทดสอบ HA Failover เป็นระยะ
Q: pfSense รองรับ VLAN ได้ไหม?
A: ได้ pfSense รองรับ 802.1Q VLAN Tagging เต็มรูปแบบ สามารถสร้าง VLAN Interfaces และตั้ง Firewall Rules แยกต่างหากสำหรับแต่ละ VLAN ได้
