firewall – Implementer Limited

School Infrastructure

โครงสร้างทาง IT ที่โรงเรียนต้องมี
ขอแชร์ประสบการณ์ ที่ได้วางระบบและดูแลระบบให้กับโรงเรียนแห่งหนึ่งมีจำนวนนักเรียนประมาณ 4,000 + ทำให้รู้สึกว่าโรงเรียนก็เหมือนกับบริษัทซึ่งมีทั้งบริษัทขนาดเล็กและขนาดใหญ่ ซึ่งขนาดของโรงเรียนจะมีผลกับความซับซ้อนของระบบ IT ภายใน

สิ่งแรกที่ต้องมีไม่ว่าจะโรงเรียนขนาดเล็กหรือขนาดใหญ่คือระบบ Network ซึ่งจะเชื่อมโยงเครื่องคอมพิวเตอร์ เชื่อมโยงตึกต่างๆของโรงเรียนเข้าหากันเพื่อให้สามารถแลกเปลี่ยนข้อมูลระหว่างกัน รวมถึงเชื่อมต่อ Internet ให้สามารถค้นคว้าแลกเปลี่ยนข้อมูลไปยังภายนอก ระบบ Network เปรียบได้กับเส้นเลือดของคน ถ้าคนมีเส้นเลือดที่แข็งแรงและดีก็จะสามารถส่งเลือดไปเลี้ยงอวัยวะทุกส่วนได้อย่างราบรื่น ส่งผลให้อวัยวะสามารถทำงานได้เต็มประสิทธิภาพ ระบบ Network ก็เช่นกันถ้าโรงเรียนมีระบบ Network ที่ดีก็จะสามารถติดต่อสื่อสารแลกเปลี่ยนข้อมูลกันในโรงเรียนและรวมไปถึงแลกเปลี่ยนข้อมูลผ่าน Internet ได้อย่างรวดเร็วและปลอดภัย และยังต้องมีการแบ่งกลุ่มของ network ครู บุคลากร และ นักเรียนแยกกัน เพราะคงไม่อยากให้ ห้องคอมนักเรียนเอาไวรัสมาแพร่ให้กับเครื่องคอมของบุคลากรที่ใช้การบริหารงาน โรงเรียนจนไม่สามารถใช้งานได้

ระบบป้องกันการใช้งาน Internet (Firewall) ในปัจจุบัน Internet แทบจะมีผลต่อการดำรงชีวิตของเราในทุกๆวัน ไม่ว่าจะเป็นการค้นคว้าหาข้อมูล ส่ง e-mail ซึ่งข้อมูลบน Internet มีทั้งข้อมูลที่ดีมีประโยชน์ และ ข้อมูลที่ไม่ดีเป็นอันตรายต่อนักเรียน โรงเรียนจึงต้องมีระบบป้องกันคัดกรองข้อมูลที่มีประโยชน์มาให้นักเรียนและครูได้ใช้งาน

ระบบการจัดการผู้ใช้งานในโรงเรียน (Active Directory) เป็นระบบรวบรวมผู้ใช้ทั้งหมดในโรงเรียน โดยจะสามารถแบ่งผู้ใช้ออกเป็นกลุ่ม แต่ละกลุ่มจะมีสิทธิ์การใช้งาน การเข้าถึงข้อมูลได้แตกต่างกัน

ระบบเก็บข้อมูลส่วนกลาง (Network Attached Storage : NAS) มีไว้เพื่อรวบรวมข้อมูลต่างๆของโรงเรียน รวมถึงข้อมูลที่ครูหรือบุคลากรทำขึ้น ไม่ต้องเก็บไว้ที่เครื่องคอมพิวเตอร์ส่วนตัว เพื่อให้สะดวกต่อการค้นหา นำไปใช้ และยังสามารถ backup ข้อมูลดังกล่าวเพื่อป้องกันข้อมูลสูญหายได้จากส่วนกลาง

ระบบ e-mail ของโรงเรียน ครูและบุคลากรมีการใช้ e-mail ที่เป็นของโรงเรียนเพื่อสร้างภาพลักษณ์ สร้างความน่าเชื่อถือให้แก่บุคคลภายนอกว่าได้ติดต่อกับครูหรือบุคลากรของโรงเรียนจริงๆ ไม่ได้มีใครมาแอบอ้างว่าเป็นตัวแทนของโรงเรียน และยังสามารถมี e-mail ให้กับนักเรียนทุกคนได้อีก โดยที่นักเรียนสามารถใช้ e-mail นี้ในการเรียนการสอน เช่นส่งการบ้าน ส่งงาน รวมไปถึงการเรียนการสอน online ได้อีกด้วย

สนใจปรับปรุง วางระบบ IT ของโรงเรียนติดต่อได้ครับ

เพิ่ม Firewall ในระบบที่ใช้ ADSL หรือ Fiber

บริษัทที่ใช้ internet จาก 3BB, True หรือ TOT แบบ ADSL หรือ Fiber อยากเพิ่ม firewall เข้ามาในระบบเพื่อใช้งาน VPN (work from home) แต่ก็กลัวยุ่งยาก ซึ่งจริงๆ แล้วมีขั้นตอนไม่เยอะ
แนะนำ Fortigate Firewall ราคาเริ่มต้นอยู่ที่ประมาณ 25,000 บาท รวมติดตั้ง

ขั้นตอนการเพิ่ม firewall เข้ามาในระบบ

เปลี่ยน Router ที่ได้จาก ISP เป็น Bridge Mode
เปลี่ยน IP Router ไป subnet อื่น
เสียบสายจาก Router มาที่ WAN บน Firewall
เสียบสายจาก LAN จาก Firewall เข้า switch
เปลี่ยน IP firewall เป็น IP เดิมของ router (gateway)
ถ้า router เคยแจก IP ก็ให้ Firewall แจก IP แทน
แค่นี้ก็ใช้งาน Firewall ได้แล้ว ที่เหลือก็คือการสร้าง Policy ต่างๆ มาใช้งาน

ข้อดีของการมี firewall

มีความเสถียรมากกว่า Router จาก ISP ที่อาจจะต้องไปเปิดปิดบ่อยๆ เพราะรับโหลดไม่ไหว
Firewall ตั้ง Policy ได้ตาม Interface, Address, ช่วงเวลา หรือ User ได้อย่างยีดหยุ่น
Captive Portal กำหนดให้ต้อง Login ก่อนใช้งานได้
Application Control ตั้ง Policy ได้ตาม Application ที่ User ใช้งาน เช่นห้ามพนักงานดูวีดีโอทุกประเภทช่วงเวลางาน
Web Filtering กรองเว็บที่ User ใช้งาน
Antivirus กรองไวรัสที่เข้ามาทาง Internet
Virtual IP เปิดให้เข้ามาใช้บาง Server ผ่าน Internet
SSL VPN ให้ User เข้ามาใช้งาน Server จากนอก Office (Work from Home)
Site to Site VPN เชื่อต่อสาขากับสำนักงานใหญ่
SysLogs ส่ง Traffic log ไปเก็บไว้บน syslog server

สนใจสอบถามเพิ่มเติม info@implementer.co.th หรือ send message ทาง facebook

VPN with 2 Step Verification

ความกังวลอย่างหนึ่งของการเปิดให้ user VPN ด้วย username/password คือคิดว่ายังไม่ปลอดภัยเพียงพอต่อองค์กร

Fortigate มี FortiToken เป็นอุปกรณ์เล็กๆ ขนาดเท่า thumb drive ที่จะสุ่มตัวเลขไปเรื่อยๆ ทุกครั้งที่ user login จะต้องใส่ตัวเลขที่อยู่บน Fortitoken ลงไปด้วย เพื่อเพิ่มความปลอดภัยขึ้นอีกขั้นหนึ่ง

FortiToken ต้องซื้อแยก ส่วนการเปิดใช้งานบน Fortigate ทำได้เลย โดยใส่ ID ของ FotiToken ให้ user แต่ละคนไม่ต้องมี licensed เพิ่มเติม
หรือถ้าใช้เป็น App บนโทรศัพท์มือถือก็ซื้อ licensed มาใส่ตามจำนวน user ที่จะใช้งาน

สนใจสอบถามเพิ่มเติม info@implementer.co.th หรือ send message ทาง facebook

Work from Home with VPN

เมื่อ 10 ปีก่อนผมมักจะแนะนำให้ลูกค้ามี Firewall ง่ายๆ อย่าง pfSense ติดตั้งไว้บน VMware เพื่อจัดการ Bandwidth และให้ User authenticate ก่อนใช้งาน Internet เพื่อเก็บ Log

ต่อมาความต้องการของลูกค้ามากขึ้นอยาก Block เว็บตามประเภท เช่นเว็บดูหนัง ฟังเพลง เล่นเกม เลยต้องขยับมาใช้ Fortigate เพราะ Block เว็บได้เป็นกลุ่มตามที่ลูกค้าอยากได้ ข้อดีของ Firewall ที่ต้องจ่าย MA รายปีคือมีการอัพเดต Signature ของ Application Control, Web Filtering และ AntiVirus ให้ด้วย

VPN ก็เป็น Feature ที่มากับ Firewall แทบทุกยี่ห้อ การใช้ VPN ต่างกับการ Forward Port คือ Forward port จะทำเป็นเครื่องๆ สำหรับแต่ละ Port เช่น เครื่อง 1 ใช้ Port 80 แล้ว เครื่อง 2 ต้องไปใช้ Port 81

ส่วนการ VPN เป็นเหมือนเครื่องของผู้ใช้ปลั้กเข้ามาในระบบ สามารถใช้งานได้ทุกอย่าง หรือจำกัดให้ใช้งานได้แค่บางอย่างผ่าน Policy บน Firewall

บน Firewall การจัดการ Traffic โดยแบ่งประเภทได้เป็น IP, Subnet, User, Service, Application, Destination

ตัวอย่าง Policy
Subnet ของ Server ใช้ Internet ได้ทุกประเภท ตลอดเวลา
User กลุ่ม Manager ใช้ Internet ได้ทุกประเภท 8.00-18.00
User กลุ่ม Staff ใช้ Internet ได้ทุกประเภท 12.00-13.00
User กลุ่ม Staff ใช้ Internet ได้เฉพาะที่อนุญาติ 8.00-18.00

ตัวอย่าง VPN Policy
User กลุ่ม IT เข้าใช้งานได้ทุก Subnet
User กลุ่ม Manager และ Staff ไม่ให้เข้า Subnet Network และ Storage

การต่อ VPN จากภายนอกเข้ามาแนะนำให้ใช้ SSL VPN และเปลี่ยน Port เป็น 443 เพื่อป้องกันปัญหา Port โดน Block เพื่อใช้งานนอกสถานที่

บน Fortigate การเปืดให้งาน VPN ง่ายมากแค่ระบุ WAN ที่จะให้เข้ามา กำหนดกลุ่ม User ที่อนุญาติ แล้วก็กำหนด Policy ตามที่ต้องการ
ที่ฝั่ง Client ก็แค่ติดตั้ง FortiClient แล้วชี้มาที่ IP WAN ของบริษัท หรือถ้าไม่ได้ Fixed IP ก็ใช้ Dynamic DNS ไปก่อน แต่แนะนำว่าควรสมัคร Fixed IP ไว้เดี๋ยวนี้ราคาไม่แพงแล้ว

สนใจสอบถามเพิ่มเติม info@implementer.co.th หรือ send message ทาง facebook