Firewall Best Practices: ตั้งค่า Firewall องค์กรอย่างมืออาชีพ
Firewall เป็นด่านป้องกันแรกของเครือข่ายองค์กร แต่ firewall ที่ตั้งค่าไม่ดีก็ไม่ต่างจากประตูที่ไม่ได้ล็อค จากรายงานของ Gartner กว่า 99% ของ firewall breaches เกิดจาก misconfiguration ไม่ใช่จากช่องโหว่ของ firewall เอง กฎที่หละหลวม port ที่เปิดไว้โดยไม่จำเป็น default password ที่ไม่เคยเปลี่ยน ทั้งหมดนี้เป็นช่องทางที่ attacker ใช้เจาะเข้ามา
บทความนี้จะสอน Firewall Best Practices ที่ network engineer และ security team ทุกคนควรรู้ ตั้งแต่หลักการพื้นฐาน zone design, rule management, logging ไปจนถึง NGFW features ที่ควรเปิดใช้
Zone-Based Firewall Design
หลักการสำคัญที่สุดของ firewall คือ zone-based design แบ่ง network ออกเป็น security zones ที่มีระดับความน่าเชื่อถือต่างกัน
Security Zones พื้นฐาน
Outside/Untrust Zone คือ internet ที่ไม่น่าเชื่อถือที่สุด DMZ (Demilitarized Zone) สำหรับ public-facing servers เช่น web server, email gateway ที่ต้องเข้าถึงจาก internet Inside/Trust Zone สำหรับ internal network ของพนักงาน Server Zone สำหรับ internal servers ที่ไม่ต้องเข้าถึงจาก internet Management Zone สำหรับ network devices management interface หลักการคือ traffic จาก zone ที่ trust สูงกว่าไปยัง zone ที่ trust ต่ำกว่า อนุญาตโดยปริยาย แต่ traffic จาก zone ที่ trust ต่ำกว่ามาหา zone ที่ trust สูงกว่า ต้องมี explicit rule อนุญาต
Micro-Segmentation
องค์กรที่ใช้ Zero Trust จะแบ่ง zone ย่อยลงไปอีก เช่น แยก zone สำหรับแต่ละแผนก (HR, Finance, Engineering) แยก zone สำหรับ IoT devices แยก zone สำหรับ guest Wi-Fi แต่ละ zone มี firewall rules ที่กำหนดว่าสื่อสารกับ zone อื่นได้อย่างไร ลดพื้นที่ที่ attacker สามารถเคลื่อนที่ได้ (lateral movement) เมื่อเจาะเข้ามาได้
Firewall Rule Management
กฎ firewall ที่ดีต้องมีระเบียบ อ่านง่าย และ maintain ได้
Principle of Least Privilege
กฎข้อแรกและสำคัญที่สุด deny all by default แล้วค่อย allow เฉพาะ traffic ที่จำเป็น ห้ามมี rule ที่ allow any-any เด็ดขาด ทุก rule ต้องระบุ source, destination, port/service และ action อย่างชัดเจน ถ้าไม่แน่ใจว่า traffic นี้จำเป็นหรือไม่ ให้ block ไว้ก่อนแล้วดู log ว่ามีใคร complain
Rule Organization
จัดเรียง rules อย่างเป็นระบบ กลุ่มที่ 1 Emergency rules (เช่น block IP ที่โจมตีอยู่) กลุ่มที่ 2 Infrastructure rules (DNS, NTP, DHCP) กลุ่มที่ 3 Business application rules (ERP, CRM, email) กลุ่มที่ 4 User access rules (internet access, cloud apps) กลุ่มที่ 5 Default deny rule ที่ท้ายสุด ทุก rule ต้องมี comment อธิบายว่าเปิดให้ใคร ทำไม request จากใคร เมื่อไหร่ มี ticket number อ้างอิง
ตารางตัวอย่าง Firewall Rules
| # | Source Zone | Dest Zone | Service | Action | Comment |
|---|---|---|---|---|---|
| 1 | Any | Any | Known Bad IPs | DENY | Threat Intelligence Block List |
| 10 | Inside | DMZ | DNS (53) | ALLOW | Internal DNS to DMZ resolver |
| 20 | Inside | Server | HTTPS (443) | ALLOW | Users to internal web apps |
| 30 | Inside | Outside | HTTP/HTTPS | ALLOW | Internet browsing via proxy |
| 40 | Outside | DMZ | HTTPS (443) | ALLOW | Public access to web server |
| 50 | DMZ | Server | SQL (1433) | ALLOW | Web server to database |
| 999 | Any | Any | Any | DENY LOG | Default deny – log all drops |
NGFW Features ที่ต้องเปิดใช้
Next-Generation Firewall (NGFW) มีความสามารถมากกว่า firewall แบบเดิม ต้องเปิดใช้เพื่อป้องกันภัยคุกคามสมัยใหม่
Application Control
Application Control ระบุ application จริงๆ ที่ใช้ ไม่ใช่แค่ port number เพราะปัจจุบัน application หลายตัวใช้ port 443 เหมือนกัน (HTTPS) firewall แบบเดิมแยกไม่ออก NGFW สามารถระบุได้ว่า traffic นี้เป็น Microsoft Teams, YouTube, BitTorrent หรือ Facebook แล้วกำหนด policy ต่างกัน เช่น allow Teams, block BitTorrent, bandwidth-limit YouTube
IPS/IDS (Intrusion Prevention)
IPS ตรวจจับและ block การโจมตีที่ผ่าน firewall rules ได้ เช่น SQL injection, buffer overflow, exploit ของ vulnerability ที่รู้จัก enable IPS profile สำหรับ traffic ที่เข้ามาจาก Outside zone ไปยัง DMZ และ Server zone update signature ให้ทันสมัยอยู่เสมอ (อย่างน้อยวันละครั้ง)
SSL/TLS Inspection
กว่า 90% ของ web traffic เป็น HTTPS ที่เข้ารหัส ถ้าไม่มี SSL Inspection firewall จะมองไม่เห็นเนื้อหาภายใน ไม่สามารถ scan malware หรือ detect threats ได้ SSL Inspection จะ decrypt traffic ตรวจสอบ แล้ว re-encrypt ก่อนส่งต่อ ต้อง deploy CA certificate ไปยัง client ทุกเครื่อง ข้อควรระวังคือ อย่า inspect traffic ไปยัง banking, healthcare หรือ sites ที่มี privacy concern
Firewall Logging และ Monitoring
Logging เป็นส่วนสำคัญของ firewall management ที่หลายคนละเลย
Log Everything ที่สำคัญ
อย่างน้อยต้อง log denied traffic ทั้งหมด เพื่อดูว่ามีใครพยายามเข้าถึงสิ่งที่ไม่ได้รับอนุญาต log admin activities ทุกการ login, config change, rule modification log threat events จาก IPS, antivirus, URL filtering ส่ง logs ไปยัง SIEM (Security Information and Event Management) เช่น Splunk, ELK Stack หรือ FortiAnalyzer สำหรับ centralized analysis
Regular Rule Review
ทุก 3-6 เดือน ต้อง review firewall rules ทั้งหมด ลบ rules ที่ไม่ใช้แล้ว (ดูจาก hit count ถ้า rule ไม่เคย hit เลย 6 เดือน อาจไม่จำเป็นแล้ว) ตรวจ rules ที่กว้างเกินไป (เช่น allow any source) ลด scope ให้แคบลง ตรวจว่า rules ยังสอดคล้องกับ business requirement หรือไม่ ใช้ firewall policy analyzer tools ช่วยหา rules ที่ซ้ำซ้อน, contradicting หรือ shadowed
High Availability สำหรับ Firewall
Firewall เป็น single point of failure ที่สำคัญที่สุด ถ้า firewall ล่ม ทั้งองค์กรไม่สามารถทำงานได้ ต้องมี HA เสมอ
Active/Passive HA
Firewall ตัวหนึ่งทำงานปกติ (Active) อีกตัว standby พร้อมรับช่วงทันทีเมื่อ Active ล่ม session table ถูก sync ระหว่าง 2 ตัวตลอดเวลา failover time ประมาณ 1-3 วินาที user แทบไม่รู้สึก เหมาะสำหรับองค์กรทั่วไป
Active/Active HA
Firewall ทั้ง 2 ตัวทำงานพร้อมกัน แบ่ง load กัน ใช้ throughput ได้เต็มทั้ง 2 ตัว เมื่อตัวหนึ่งล่ม อีกตัวรับ load ทั้งหมด เหมาะสำหรับองค์กรที่ต้องการ throughput สูงและ maximize investment ในฮาร์ดแวร์ แต่ configuration ซับซ้อนกว่า Active/Passive
ทิ้งท้าย: Firewall ดีแค่ไหนก็ขึ้นอยู่กับคนตั้งค่า
Firewall ราคาแพงที่สุดก็ไร้ค่าถ้าตั้งค่าไม่ดี ปฏิบัติตาม best practices เหล่านี้ zone-based design, least privilege rules, NGFW features, logging และ regular review จะทำให้ firewall ขององค์กรป้องกันได้อย่างแท้จริง ไม่ใช่แค่เป็น checkbox สำหรับ audit
อ่านเพิ่มเติมเกี่ยวกับ Zero Trust Network และ DNS Security ที่ siamlancard.com หรือจาก icafeforex.com และ siam2r.com
