ការអនុញ្ញាតកញ្ចប់តែមួយ
PortGuard
PortGuard ផ្តល់ជូននូវបច្ចេកវិជ្ជាការអនុញ្ញាតកញ្ចប់តែមួយដ៏រឹងមាំដើម្បីការពារបណ្តាញរបស់អ្នកពីការចូលប្រើដោយគ្មានការអនុញ្ញាត រួមទាំងការគំរាមកំហែងការស្កេនច្រក។
ទាញយកឥឡូវនេះ GUI ពហុវេទិកា
GUI ពហុវេទិកា
ទាញយកសម្រាប់ Windows
fwknopc_2_6_11_x64-setup.exe
ទាញយកសម្រាប់ Macos
fwknopc_2_6_11_x64.pkg
ទាញយកសម្រាប់ Android
fwknopc_2_6_11_x64.apk
ម៉ាស៊ីនមេ Fwknop សម្រាប់ CentOS7
| ឈ្មោះឯកសារ | កែប្រែចុងក្រោយ | MD5 |
|---|---|---|
| fwknop-server-2.6.11-1.el7.x86_64.rpm | 2025-07-29 |
1a375f89c2aa16935ddce164ad16adad
|
| libfko-3.0.0-1.x86_64.rpm | 2025-07-29 |
7f720f1f444f1634bab7cadbbfec40b2
|
1. ហេតុអ្វីបានជាខ្ញុំបង្កើត PortGuard?
ដំបូងខ្ញុំបានរៀនអំពីគោលគំនិតនៃការអនុញ្ញាតកញ្ចប់តែមួយ (SPA) កំឡុងពេលសន្ទនាធម្មតាជាមួយមិត្តរួមការងារនៅកន្លែងធ្វើការ។ មុននោះខ្ញុំមិនមានចំណេះដឹងពីការគោះច្រក ឬ SPA ទេ។ វាបានកើតឡើងដូច្នេះថាក្រុមហ៊ុនរបស់យើងត្រូវការដំណោះស្រាយការគោះច្រក ហើយបន្ទាប់ពីការស្រាវជ្រាវ និងរុករកសម្ភារៈដែលពាក់ព័ន្ធ ខ្ញុំបានរកឃើញ fwknop ។ គោលគំនិតនៃ fwknop គឺពិតជាគួរអោយចាប់អារម្មណ៍ — សម្រាប់សេវាកម្មដែលត្រូវការអាចចូលប្រើបានសម្រាប់តែពីរបីនាក់ប៉ុណ្ណោះ fwknop គឺជាដំណោះស្រាយដ៏ល្អមួយ។ យើងបានពិចារណាបង្កើតឧបករណ៍ផ្ទាល់ខ្លួនរបស់យើង ប៉ុន្តែ fwknop មានភាពចាស់ទុំជាង។ ទោះជាយ៉ាងណាក៏ដោយ fwknop មានគុណវិបត្តិរបស់វា៖ វាស្មុគស្មាញ ជាមួយនឹងខ្សែកោងការរៀនសូត្រដ៏ចោតសម្រាប់ការដំឡើង និងការប្រើប្រាស់ ហើយវាខ្វះកម្មវិធីអតិថិជនដែលយកចិត្តទុកដាក់។ នេះបាននាំឱ្យមានការបង្កើត PortGuard ។ គោលដៅរបស់ PortGuard គឺដើម្បីគាំទ្រពិធីការគោះច្រកសំខាន់ៗដូចជា fwknop និងនៅពេលអនាគត tnok ខណៈពេលដែលផ្តល់នូវអតិថិជនឆ្លងវេទិកា។ បង្កើតឡើងជាផ្នែកបន្ថែមនៃ fwknop និង tnok PortGuard មានគោលបំណងធ្វើឱ្យបច្ចេកវិទ្យា SPA កាន់តែងាយស្រួលប្រើ និងអាចចូលប្រើបាន។
2. វេទិកាដែលគាំទ្រអតិថិជន PortGuard
បច្ចុប្បន្ន PortGuard គាំទ្រវេទិកាដូចខាងក្រោម៖
- iOS
- Android
- Windows
- macOS
3. ករណីប្រើប្រាស់ PortGuard
មុខងារស្នូលរបស់ PortGuard គឺដើម្បីបង្កើនសុវត្ថិភាពបណ្តាញដោយការលាក់ច្រកសេវា (លំនាំដើមបានបិទ) ហើយវាសាកសមសម្រាប់សេណារីយ៉ូដូចខាងក្រោម៖
3.1 ការពារសេវាចូលប្រើពីចម្ងាយ (ឧ. SSH)
សេណារីយ៉ូ៖ អ្នកគ្រប់គ្រងត្រូវចូលប្រើសេវាកម្ម SSH ដោយសុវត្ថិភាពពីទីតាំងផ្សេងៗគ្នា (ឧ. ផ្ទះ ហាងកាហ្វេ បណ្តាញទូរស័ព្ទ) ដោយមិនចាំបាច់បង្ហាញច្រក SSH ទៅបណ្តាញសាធារណៈ។
ការអនុវត្ត៖ ប្រើ fwknop ឬ tnok ម៉ាស៊ីនភ្ញៀវផ្ញើកញ្ចប់ទិន្នន័យ SPA ឬកញ្ចប់ព័ត៌មានគោះ TOTP ហើយម៉ាស៊ីនមេផ្ទៀងផ្ទាត់ និងបើកច្រក SSH ជាបណ្តោះអាសន្ន (លំនាំដើម 22) បន្ទាប់ពីផ្ទៀងផ្ទាត់។
គុណសម្បត្តិ៖ ការពារ Nmap និងឧបករណ៍ស្កេនច្រកផ្សេងទៀតពីការស្វែងរកសេវាកម្ម ដោយកាត់បន្ថយហានិភ័យនៃភាពងាយរងគ្រោះសូន្យថ្ងៃដែលត្រូវបានកេងប្រវ័ញ្ច។
ឧទាហរណ៍៖ សមាជិកក្រុមពីចម្ងាយប្រើម៉ាស៊ីនភ្ញៀវ fwknop ដើម្បីផ្ញើកញ្ចប់ទិន្នន័យ SPA នៅលើឧបករណ៍ Windows ឬ Android ចូលប្រើម៉ាស៊ីនមេខាងក្នុងរបស់ក្រុមហ៊ុនដោយសុវត្ថិភាព។
3.2 ការការពារសេវាកម្មនៅក្នុងបរិស្ថានពពក
សេណារីយ៉ូ៖ សេវាកម្មខាងក្នុង (ឧ. មូលដ្ឋានទិន្នន័យ ម៉ាស៊ីនមេបណ្តាញ) នៅក្នុង AWS, Azure និងវេទិកាពពកផ្សេងទៀតចាំបាច់ត្រូវចូលប្រើតាមរយៈបណ្តាញសាធារណៈ ប៉ុន្តែច្រកត្រូវជៀសវាងពីការប៉ះពាល់ដោយផ្ទាល់។
ការអនុវត្ត៖ PortGuard រួមបញ្ចូលជាមួយ NAT ដើម្បីអនុញ្ញាតឱ្យអតិថិជនខាងក្រៅចូលប្រើសេវាកម្មខាងក្នុងនៅក្នុងកន្លែងអាសយដ្ឋាន RFC 1918 តាមរយៈ SPA ។
គុណសម្បត្តិ៖ គាំទ្រប្រព័ន្ធបណ្តាញស្មុគ្រស្មាញ ដែលសមរម្យសម្រាប់បរិស្ថានពពកកូនកាត់ និងពហុភតិកៈ។
ឧទាហរណ៍៖ ដំណើរការ fwknopd លើឧទាហរណ៍ AWS EC2 បើកច្រក MySQL (3306) យ៉ាងស្វាហាប់សម្រាប់អ្នកប្រើប្រាស់ដែលមានសិទ្ធិចូលប្រើ។
3.3 ការពារប្រឆាំងនឹង Port Scanning និង Brute Force
សេណារីយ៉ូ៖ ម៉ាស៊ីនមេប្រឈមមុខនឹងការស្កេនច្រក (ឧ. Nmap) ឬការវាយប្រហារដោយកម្លាំងសាហាវ ហើយត្រូវការលាក់ច្រកសេវា ដើម្បីកាត់បន្ថយផ្ទៃនៃការវាយប្រហារ។
ការអនុវត្ត៖ PortGuard រក្សាគោលការណ៍ទម្លាក់កំហុសលំនាំដើម ដោយបើកច្រកបន្ទាប់ពីទទួលបានកញ្ចប់ទិន្នន័យ SPA ត្រឹមត្រូវ។
គុណសម្បត្តិ៖ ទោះបីជាមានភាពងាយរងគ្រោះដែលមិនទាន់បានជួសជុលក៏ដោយ អ្នកវាយប្រហារមិនអាចស្វែងរកច្រកសេវាបានទេ។
ឧទាហរណ៍៖ ទប់ស្កាត់ SSH brute force, fwknop គ្រាន់តែបើកច្រកបន្ទាប់ពីផ្ទៀងផ្ទាត់ HMAC ។
3.4 គាំទ្រការការពារសេវាកម្មច្រើន។
សេណារីយ៉ូ៖ សហគ្រាសត្រូវការពារសេវាកម្មជាច្រើន (ឧ. SSH, RDP, VPN, database) ប៉ុន្តែមិនចង់ឱ្យច្រកទាំងអស់បើកគ្រប់ពេលនោះទេ។
ការអនុវត្ត៖ fwknop គាំទ្រការកំណត់សេវាកម្ម និងច្រកជាច្រើននៅក្នុង access.conf ហើយម៉ាស៊ីនភ្ញៀវអាចបញ្ជាក់ពិធីការ និងច្រកគោលដៅ។
គុណសម្បត្តិ៖ ការកំណត់រចនាសម្ព័ន្ធច្បាប់ដែលអាចបត់បែនបាន គាំទ្រការអស់ពេលផ្ទាល់ខ្លួន និងយុទ្ធសាស្ត្របើកច្រក។
ឧទាហរណ៍៖ កំណត់រចនាសម្ព័ន្ធ fwknop ដើម្បីការពារទាំង SSH (tcp/22) និង OpenVPN (udp/1194) ។
3.5 សុវត្ថិភាពឧបករណ៍បង្កប់ ឬ IoT
សេណារីយ៉ូ៖ ឧបករណ៍ IoT ឬប្រព័ន្ធបង្កប់ត្រូវការការគ្រប់គ្រងពីចម្ងាយ ប៉ុន្តែធនធានឧបករណ៍មានកម្រិត និងងាយរងការវាយប្រហារ។
ការអនុវត្ត៖ ដំណើរការ fwknopd ឬ tnokd ទម្ងន់ស្រាលនៅលើឧបករណ៍ដែលមានឧបសគ្គ គ្រប់គ្រងការចូលប្រើប្រាស់តាមរយៈ SPA ឬ TOTP ។
គុណសម្បត្តិ៖ ការប្រើប្រាស់ធនធានទាប សមរម្យសម្រាប់ឧបករណ៍តូចៗ។
ឧទាហរណ៍៖ ការពារសេវាកម្មបណ្តាញដែលដំណើរការលើ Raspberry Pi ។
3.6 ការរួមបញ្ចូលឧបករណ៍ភាគីទីបី
សេណារីយ៉ូ៖ ត្រូវការរួមបញ្ចូលជាមួយឧបករណ៍ដែលមិនគាំទ្រ fwknop ដើម (ឧ. រ៉ោតទ័រ Cisco) គ្រប់គ្រងច្បាប់ជញ្ជាំងភ្លើង។
ការអនុវត្ត៖ មុខងារ វដ្តបើក/បិទ ពាក្យបញ្ជា (វដ្តនៃពាក្យបញ្ជាបើក/បិទ) នៃ fwknop អនុញ្ញាតឱ្យដំណើរការស្គ្រីបផ្ទាល់ខ្លួន ដើម្បីកែប្រែ ACL នៃឧបករណ៍ភាគីទីបីដោយថាមវន្ត។
គុណសម្បត្តិ៖ អាចពង្រីកបាន គាំទ្រឧបករណ៍ជញ្ជាំងភ្លើងមិនស្តង់ដារ។
ឧទាហរណ៍៖ ដំណើរការ fwknopd នៅលើម៉ាស៊ីនមេលីនុច ធ្វើបច្ចុប្បន្នភាព ACL នៃរ៉ោតទ័រ Cisco តាមរយៈ SSH ។
3.7 ព័ត៌មានលម្អិតបច្ចេកទេស
- fwknop គាំទ្រការកំណត់ការអស់ពេល (CMD_CYCLE_TIMER) ច្រកបើកដោយស្វ័យប្រវត្តិបិទ កាត់បន្ថយពេលវេលានៃការប៉ះពាល់។
- អាចត្រូវបានផ្សំជាមួយ VPN (ឧ. WireGuard, OpenVPN) ដើម្បីបង្កើតបណ្តាញឯកជនដែលមានសុវត្ថិភាព។
- គាំទ្រ X-Forwarded-សម្រាប់ការញែកបឋមកថា សមរម្យសម្រាប់ SPA នៅក្នុងបរិស្ថាន HTTP ។
4. តើ PortGuard មានសុវត្ថិភាពប៉ុណ្ណា?
សុវត្ថិភាពរបស់ PortGuard គឺពឹងផ្អែកជាចម្បងលើយន្តការអនុញ្ញាតតែមួយកញ្ចប់ (SPA) នៃ fwknop រួមបញ្ចូលគ្នាជាមួយនឹងការអ៊ិនគ្រីប ការផ្ទៀងផ្ទាត់ និងការរួមបញ្ចូលជញ្ជាំងភ្លើង ដែលផ្តល់នូវការការពារពហុស្រទាប់។ ខាងក្រោមនេះគឺជាការវិភាគលម្អិតអំពីសុវត្ថិភាព៖
4.1 ការអ៊ិនគ្រីប និងការផ្ទៀងផ្ទាត់
ការអ៊ិនគ្រីប៖ fwknop គាំទ្រការអ៊ិនគ្រីបស៊ីមេទ្រី Rijndael (AES) ឬការអ៊ិនគ្រីបមិនស៊ីមេទ្រី GnuPG ហើយមាតិកាកញ្ចប់ទិន្នន័យ SPA មិនអាចញែកដោយផ្ទាល់បានទេ។
ការផ្ទៀងផ្ទាត់៖ ប្រើ HMAC-SHA256 (លំនាំដើម) ឬកំណែខ្ពស់ជាងនេះសម្រាប់ការផ្ទៀងផ្ទាត់កញ្ចប់ទិន្នន័យ ធានានូវភាពត្រឹមត្រូវនៃទិន្នន័យ និងការជឿទុកចិត្តប្រភព។
សុវត្ថិភាព៖ ការពារ man-in-the-middle (MITM) និងវាយប្រហារឡើងវិញ HMAC បានអនុវត្តបន្ទាប់ពីការអ៊ិនគ្រីប ទប់ទល់នឹង CBC mode padding oracle attacks (ឧ. ការវាយប្រហារ Vaudenay)។
ដែនកំណត់៖ ការអ៊ិនគ្រីបស៊ីមេទ្រីទាមទារកូនសោដែលបានចែករំលែក និងម៉ាស៊ីនមេ ការគ្រប់គ្រងសោមិនត្រឹមត្រូវអាចនាំឱ្យលេចធ្លាយ។ របៀប GnuPG ទាមទារការថែរក្សាសោរ
4.2 រារាំងការស្កេនច្រក
យន្តការ៖ PortGuard ប្រើប្រាស់គោលការណ៍ Drop Firewall លំនាំដើម ហើយច្រកសេវាកម្មមើលមិនឃើញនៅពេលដែលមិនត្រូវបានអនុញ្ញាត ដូច្នេះ Nmap និងឧបករណ៍ផ្សេងទៀតមិនអាចរកឃើញវាបានទេ។
សុវត្ថិភាព៖ កាត់បន្ថយផ្ទៃវាយប្រហារយ៉ាងសំខាន់ ទោះបីជាមានភាពងាយរងគ្រោះសូន្យថ្ងៃក៏ដោយ អ្នកវាយប្រហារមិនអាចកំណត់ទីតាំងច្រកសេវាបានទេ។
ដែនកំណត់៖ ប្រសិនបើកញ្ចប់ទិន្នន័យគោះត្រូវបានធុំក្លិន (ការគោះច្រកតាមបែបប្រពៃណីគឺងាយនឹងបញ្ហានេះ) អ្នកវាយប្រហារអាចព្យាយាមចាក់ឡើងវិញ (SPA បានដោះស្រាយបញ្ហានេះតាមរយៈ HMAC)។
4.3 ទប់ទល់នឹងកម្លាំងសាហាវ
យន្តការ៖ កញ្ចប់ទិន្នន័យ SPA ត្រូវតែត្រូវបានអ៊ិនគ្រីបយ៉ាងត្រឹមត្រូវ ហើយ HMAC ត្រូវបានផ្ទៀងផ្ទាត់ កម្លាំង brute គឺស្ទើរតែមិនអាចទៅរួចទេ (កញ្ចប់ទិន្នន័យដែលមាន HMAC បរាជ័យត្រូវបានលុបចោលដោយផ្ទាល់) ។
សុវត្ថិភាព៖ បើប្រៀបធៀបទៅនឹងការគោះច្រកបែបប្រពៃណី ការរចនាកញ្ចប់តែមួយ និងយន្តការអ៊ិនគ្រីបរបស់ SPA ធ្វើអោយប្រសើរឡើងយ៉ាងខ្លាំងនូវសមត្ថភាពក្នុងការទប់ទល់នឹងកម្លាំងសាហាវ។
ដែនកំណត់៖ កំហុសក្នុងការកំណត់រចនាសម្ព័ន្ធ (ឧ. សោខ្សោយ ឬបិទ HMAC) អាចកាត់បន្ថយសុវត្ថិភាព។
✨ លក្ខណៈពិសេស
មនុស្ស ❤️ Fwknop
John
Michael
James
David
Olivia
William