Home » Firewall Architecture: Stateful, NGFW, WAF และ Cloud Firewall
Firewall Architecture: Stateful, NGFW, WAF และ Cloud Firewall
Firewall Architecture: Stateful, NGFW, WAF และ Cloud Firewall
Firewall Architecture มีหลายรูปแบบตั้งแต่ stateful packet filtering ที่ดู connection state ไปจนถึง NGFW (Next-Generation Firewall) ที่เพิ่ม application awareness, IPS และ threat intelligence WAF (Web Application Firewall) ป้องกัน web attacks เฉพาะทาง และ Cloud Firewall ออกแบบมาสำหรับ cloud-native environments
การเลือก firewall ผิดประเภท ทำให้เกิดช่องโหว่ด้านความปลอดภัย เช่น stateful firewall ไม่สามารถตรวจจับ SQL injection ได้ ต้องใช้ WAF NGFW ไม่สามารถป้องกัน DDoS ขนาดใหญ่ได้ ต้องใช้ cloud DDoS protection การเข้าใจแต่ละ type ช่วยให้ design defense-in-depth architecture ได้ถูกต้อง
Firewall Evolution
| Generation |
Technology |
ดูอะไร |
| 1st Gen: Packet Filter |
ACL-based (stateless) |
IP src/dst, port, protocol |
| 2nd Gen: Stateful |
Connection tracking |
TCP/UDP state + packet headers |
| 3rd Gen: NGFW |
Application awareness + IPS |
Application ID + threats + users |
| WAF |
HTTP/HTTPS inspection |
SQL injection, XSS, OWASP Top 10 |
| Cloud Firewall |
Cloud-native (FWaaS) |
Distributed, auto-scale, API-driven |
Stateful Firewall
| Feature |
รายละเอียด |
| วิธีทำงาน |
Track TCP/UDP connection state (SYN, SYN-ACK, ESTABLISHED) |
| State Table |
จำทุก connection (src/dst IP+port, state, timeout) |
| ข้อดี |
อนุญาต return traffic อัตโนมัติ (ไม่ต้องสร้าง rule สำหรับ return) |
| ข้อจำกัด |
ไม่เห็น application layer (HTTP vs HTTPS vs tunneled traffic ดูเหมือนกัน) |
| Use Case |
Basic perimeter security, inter-VLAN filtering |
| ตัวอย่าง |
iptables/nftables, Cisco ASA (legacy mode), pfSense |
NGFW (Next-Generation Firewall)
| Feature |
รายละเอียด |
| Application Identification |
Identify applications (Facebook, YouTube, Zoom) ไม่ใช่แค่ port |
| IPS (Intrusion Prevention) |
Detect + block exploits, malware, vulnerability attacks |
| User Identity |
Integrate กับ AD → policy per user/group (ไม่ใช่แค่ IP) |
| SSL/TLS Decryption |
Decrypt HTTPS เพื่อ inspect encrypted traffic |
| Threat Intelligence |
Block known malicious IPs/domains/URLs (cloud-updated) |
| URL Filtering |
Block/allow websites ตาม category (gambling, malware, etc.) |
| Sandboxing |
Execute suspicious files ใน sandbox → detect zero-day malware |
NGFW Vendors
| Vendor |
Product |
จุดเด่น |
| Palo Alto Networks |
PA-Series / VM-Series |
App-ID leader, best threat prevention, Prisma Access |
| Fortinet |
FortiGate |
Best price/performance, ASIC-based, SD-WAN built-in |
| Cisco |
Firepower / Secure Firewall |
Deep Cisco integration, Talos threat intelligence |
| Check Point |
Quantum |
Strong management (SmartConsole), threat prevention |
| Juniper |
SRX Series |
Junos OS, strong routing, AI-driven security |
WAF (Web Application Firewall)
| Feature |
รายละเอียด |
| ป้องกันอะไร |
OWASP Top 10: SQL injection, XSS, CSRF, path traversal, etc. |
| วิธีทำงาน |
Inspect HTTP requests/responses → block malicious patterns |
| Positive Model |
Allow only known-good requests (whitelist) |
| Negative Model |
Block known-bad patterns (blacklist/signatures) |
| Deployment |
Reverse proxy (inline), cloud-based, หรือ agent-based |
WAF Products
| Product |
Type |
จุดเด่น |
| Cloudflare WAF |
Cloud |
Easy setup, free tier, global network |
| AWS WAF |
Cloud |
AWS integration, managed rules, pay-per-use |
| Azure WAF |
Cloud |
Azure Application Gateway integration |
| F5 BIG-IP ASM |
On-prem/Cloud |
Advanced WAF, bot protection, API security |
| ModSecurity |
Open-source |
Free, OWASP CRS, Apache/Nginx module |
| Imperva (Incapsula) |
Cloud |
WAF + DDoS + CDN + bot management |
Cloud Firewall (FWaaS)
| Feature |
รายละเอียด |
| AWS Security Group |
Instance-level stateful firewall (per-ENI) |
| AWS Network ACL |
Subnet-level stateless firewall |
| AWS Network Firewall |
Managed NGFW service (Suricata-based) |
| Azure NSG |
Network Security Group (per-subnet/NIC) |
| Azure Firewall |
Managed cloud NGFW (FQDN filtering, threat intel) |
| GCP Cloud Firewall |
VPC firewall rules (global, per-network) |
| Zscaler |
Cloud-native FWaaS (SASE/SSE) |
Firewall Placement
| Location |
Firewall Type |
ป้องกันอะไร |
| Internet Edge |
NGFW |
Inbound attacks, outbound C2, application control |
| DMZ |
NGFW + WAF |
Web server attacks (WAF) + network attacks (NGFW) |
| Internal Segmentation |
NGFW / Internal Firewall |
East-west traffic, lateral movement |
| Cloud |
Cloud FW + WAF + SG |
Cloud workload protection |
| Remote Users |
FWaaS (SASE) |
Remote user security (no VPN needed) |
Best Practices
| Practice |
รายละเอียด |
| Default deny |
Block ทุกอย่าง → allow เฉพาะที่จำเป็น (least privilege) |
| Defense in depth |
หลาย layers: NGFW (edge) + WAF (web) + IPS + micro-seg |
| SSL decryption |
Decrypt + inspect HTTPS (80%+ traffic encrypted) |
| Regular rule review |
Review + cleanup firewall rules ทุก quarter |
| Logging + monitoring |
Log ทุก rule hit → SIEM สำหรับ analysis + alerting |
| HA (High Availability) |
Active-Passive หรือ Active-Active สำหรับ uptime |
| Change management |
ทุก firewall change ผ่าน approval process + documentation |
ทิ้งท้าย: Firewall = Layered Security
Firewall Architecture Stateful = connection state, NGFW = app ID + IPS + user identity WAF = OWASP Top 10 (SQL injection, XSS), Cloud FW = cloud-native Defense in depth: NGFW (edge) + WAF (web) + micro-seg (internal) SSL decryption สำคัญ (80%+ traffic encrypted) Default deny + regular rule review + logging to SIEM
อ่านเพิ่มเติมเกี่ยวกับ DDoS Protection และ Network Segmentation ที่ siamlancard.com หรือจาก icafeforex.com และ siam2r.com
