Firewall คืออะไร ทำงานยังไง ต่างจาก VPN ยังไง [อัปเดต 2023]

Firewall คือ ซอฟต์แวร์หรือฮาร์ดแวร์ด้าน Network Security ทำหน้าที่จัดการด้านความปลอดภัยบนระบบเครือข่าย

Firewall คืออะไร?

Firewall เป็นซอฟต์แวร์หรือฮาร์ดแวร์ด้าน Network Security ทำหน้าที่จัดการด้านความปลอดภัยบนระบบเครือข่าย โดยจะมีการกำหนดกฎ (Rule) หรือนโยบาย (Policy) ควบคุมการเข้าออกของข้อมูล และคัดกรองว่าข้อมูลที่จะส่งผ่านนั้นมีความปลอดภัยหรือไม่ โดยเปรียบเทียบกับกฎเกณฑ์ต่างๆ ที่กำหนดไว้

เปรียบเสมือนกำแพงที่มีประตูผ่านเข้าออกของข้อมูล และมีทหารยามคอยรักษาความปลอดภัยคอยขวาง และตรวจสอบการเชื่อมต่อต่างๆ ให้เป็นไปตามกฎ ซึ่ง Firewall จะคัดกรอง Packet ข้อมูลว่า มาจากที่ไหน (Source) จะส่งไปที่ใด (Destination) และข้อมูลคืออะไรหรือจะทำอะไร (Service/Port) หากพบว่าข้อมูลนั้นไม่ผ่านกฎที่ตั้งไว้แม้แต่เพียงข้อเดียว Firewall จะไม่ยอมให้ข้อมูลนั้นผ่านเข้าไป (Default Deny)

Firewall จึงเป็นเครื่องมือที่สำคัญสำหรับใช้ดูแลระบบเครือข่ายขององค์กร ช่วยกรองข้อมูล ป้องกันข้อมูลรั่วไหลและอันตรายจากการเชื่อมต่อจากอุปกรณ์ที่ติดไวรัส ปกป้องระบบจากการบุกรุก, การโจมตี, Spam, Malware และการโจรกรรมข้อมูลจากผู้ที่ไม่หวังดี ตลอดจนควบคุมพฤติกรรมการใช้งานของคนในองค์กร และช่วยจัดระเบียบโครงสร้างด้าน IT เช่น การแบ่งระดับความลับของข้อมูล เพื่อให้สมาชิกขององค์กรเข้าถึงเฉพาะข้อมูลในส่วนที่ดูแลรับผิดชอบ

แม้ว่า Firewall มีคุณสมบัติที่คล้ายกับโปรแกรม Antivirus แต่ในความเป็นจริงแล้ว AntiVirus ทำหน้าที่ตรวจตราและรู้ตัวตอนพบว่ามีผู้บุกรุกเข้ามาแล้ว แต่ Firewall จะมีช่วยป้องกันตั้งแต่แรก ปิดกั้นไม่ให้ผู้บุกรุกผ่านเข้ามาได้

Firewall มีประโยชน์อย่างไร?

ช่วยลดช่องโหว่ด้านความปลอดภัยในเครือข่ายขององค์กร
หน้าที่หลักของ Firewall คือการรักษาความปลอดภัยในระบบเครือข่าย หรือการโจมตีของแฮกเกอร์
เราสามารถตั้งค่าอุปกรณ์หรือกำหนดกฎเฉพาะ เพื่อให้อุปกรณ์ Firewall สามารถจดจำและบล็อก Computer Virus และ Malware ได้ และยังสามารถบล็อก Traffic จากภายนอกที่ไม่ได้รับอนุญาตได้อีกด้วย
ช่วยตรวจสอบและควบคุมการใช้อินเตอร์เน็ต
นอกเหนือจากการตรวจสอบการรับส่งข้อมูลขาเข้าแล้ว ยังสามารถใช้ Firewall เพื่อตรวจสอบและบล็อกการรับส่งข้อมูลขาออกจากภายในองค์กรได้อีกด้วย เช่น บล็อกการใช้งาน Social Media, หยุดการเข้าถึงเว็บไซต์ที่ไม่เหมาะสมหรือไม่มีความปลอดภัย, ปิดกั้นการดาวน์โหลดไฟล์ขนาดใหญ่ที่ไม่เกี่ยวข้องกับการทำงาน หรือกำหนดให้พนักงานใช้ Facebook ได้เฉพาะเวลาพัก เป็นต้น ช่วยลด Distraction และเพิ่มผลลัพธ์ที่ดีในการทำงาน
ใช้ในการตรวจสอบเครือข่ายเพื่อป้องกันการโจมตีหรือการละเมิด
แม้ว่า Firewall จะมีความสามารถในการตรวจสอบการรับส่งข้อมูลในเครือข่ายทั้งขาเข้าและขาออกทั้งหมด อย่างไรก็ตาม ยังไม่มี Firewall ใดที่สามารถป้องกันการคุกคามทาง cyber ได้ 100% ทุกเครือข่ายอาจถูกโจมตีหรือละเมิดได้ เราสามารถตั้งค่า Firewall ให้แจ้งเตือนควบคุมและดูแลด้าน IT เมื่อมี Traffic ที่ไม่ได้รับอนุญาตเกิดขึ้น ช่วยให้สามารถดำเนินการได้อย่างรวดเร็วเมื่อมีการละเมิดหรือโจมตีเกิดขึ้น โดยส่วนใหญ่มักกำหนดให้แจ้งเตือนผ่านทางอีเมลหรือข้อความ
ช่วยปกป้องอีเมลและชื่อเสียงของบริษัท
เราสามารถใช้ Firewall เพื่อปกป้อง E-mail Server ขององค์กร เนื่องจาก หากแฮกเกอร์เจาะเข้า SMTP Server และทำการส่งสแปมเมลล์ออกจากระบบไปยังรายชื่อผู้ติดต่อ อาจส่งผลให้สูญเสียลูกค้า/คู่ค้า หรือสร้างความเสียหายต่อชื่อเสียงขององค์กรได้
การสร้างเครือข่ายส่วนตัวเสมือน (VPN)
อุปกรณ์ Firewall สามารถเข้ารหัสเครือข่ายส่วนตัวเสมือน (VPN) โดยพนักงานที่ทำงาน work from home หรืออยู่นกสถานที่ สามารถใช้อุปกรณ์เคลื่อนที่เชื่อมต่อกับเครือข่ายของบริษัท และเข้าถึงระบบหรือข้อมูลภายในผ่านการเชื่อมต่อที่เข้ารหัสเฉพาะ ซึ่งจะทำให้การเชื่อมต่อเครือข่ายมีความปลอดภัยเพิ่มขึ้นอีกขั้น และป้องกันการดักจับข้อมูลขององค์กรและข้อมูลส่วนตัวจากบุคคลภายนอกได้

ชนิดของ Firewall

Firewall เป็นอุปกรณ์ที่สำคัญที่จะช่วยให้เครือข่ายที่ใช้งานปลอดภัยมากขึ้น ปัจจุบันมี Firewall ทั้งแบบ Hardware และแบบ Software ให้เลือกใช้ ซึ่งแต่ละประเภทก็จะมีข้อดีข้อเสียที่แตกต่างกัน ผู้ใช้งานต้องศึกษาและทำความเข้าใจเพื่อ ให้ใช้งานได้อย่างเหมาะสมตรงกับความต้องการของแต่ละองค์กร

Software-based Firewall

เป็นโปรแกรมที่ใช้ติดตั้งบน Client หรือ Server โดยสามารถดาวน์โหลดมาติดตั้งได้ และ ยังมีแบบที่เป็นโปรแกรมที่ติดตั้งมากับระบบปฏิบัติการคอมพิวเตอร์ด้วย เช่น Windows Defender (ระบบปฏิบัติการ Windows) และ UFW (ระบบปฏิบัติการ Ubuntu) ซึ่ง Software-based Firewall จะมีข้อดีหลัก ๆ ดังนี้

มีทั้งแบบฟรี และแบบเสียค่าใช้จ่าย ในราคาที่ไม่แพง
ติดตั้งได้โดยไม่เสียพื้นที่ใน Data Center เพิ่ม
ติดตั้งได้ง่าย สามารถดาวน์โหลดมาติดตั้งเองได้ และสามารถป้องกันได้ทันที ตามค่า Default
สามารถติดตั้งได้บน Hardware ที่หลากหลาย

Software-based Firewall จะถูกติดตั้งไว้ที่ตัวระบบปฏิบัติการ โดยใช้ CPU ประมวลผลการทำงาน เป็นการสร้างแนวป้องกันไว้สำหรับคอมพิวเตอร์หรือ server เครื่องนั้นๆ มีความสามารถในการป้องกันที่พอสำหรับใช้งานส่วนบุคคลหรือเฉพาะเครื่องที่ได้ติดตั้งโปรแกรมไว้ แต่อาจจะไม่สามารถป้องกันทั้งระบบได้ในภาพรวม จึงเป็นที่มาของการพัฒนา Hardware-based Firewall ระดับองค์กร

Hardware-based Firewall

เป็นอุปกรณ์ที่ถูกออกแบบมาในลักษณะเฉพาะ มีความเสถียร, ปลอดภัยและ มีความเร็วในการทำงานสูง และยากต่อการเจาะเข้าระบบ ยกเว้นแต่แฮกเกอร์จะพัฒนาวิธีการเฉพาะเจาะจงในการแฮกเข้าระบบของอุปกรณ์นั้นๆ โดยที่อุปกรณ์ Hardware-based Firewall จะขวางกั้นระหว่างเครือข่ายภายในกับเครือข่ายภายนอก มีความสามารถครอบคลุมระบบ Network ทั้งหมด โดยให้มีทางเข้าออกทางเดียว สามารถคัดกรอง บล็อก เก็บลิสต์ ดูกิจกรรมที่เกิดขึ้นว่าใครใช้เว็บไหน เปิดดูอะไร ผ่านกฎเกณฑ์การใช้อินเตอร์เน็ตทั้งหมดที่กำหนดอยู่ในอุปกรณ์ตัวนี้ ซึ่งถึงแม้ไม่สามารถควบคุมการทำงานภายในเครื่องได้เหมือนกับโปรแกรม Firewall หรือโปรแกรม Antivirus แต่ทุกกิจกรรมที่คอมพิวเตอร์ต้องติดต่อกับโลกภายนอกจะถูกตรวจสอบได้ทั้งหมด

ข้อดี Firewall แบบ Hardware-based

เนื่องจากเป็น Hardware แยกต่างหาก ไม่ต้องแชร์ทรัพยากรกับซอฟต์แวร์อื่นๆ ใน Server จึงมีประสิทธิภาพสูงกว่า มีความเร็วในการประมวลผล Packet มากกว่า
ปกป้องเครือข่ายแบบรวมศูนย์ มีช่องโหว่ให้โจมตีน้อยกว่า
รับ Bandwidth ได้สูง
กรอง Packet ด้วยการตั้ง Rule
สามารถทำ VPN ในกรณีที่ต้องการการเชื่อมต่อที่ปลอดภัยมากขึ้น

Hardware-based Firewall แบ่งออกได้ทั้งหมด 5 ประเภท

Packet Filtering Firewall
มีความสามารถในการคัดกรอง Packet ที่เข้ามา ว่าตรงกับกฎหรือเงื่อนไขที่กำหนดไว้หรือไม่ หากผ่านเกณฑ์ครบทุกข้อจะถือว่าเป็นข้อมูลที่เชื่อถือได้และส่งไปยังปลายทาง แต่ถ้าไม่น่าเชื่อถือก็จะไม่ให้ผ่าน
ข้อดี – ประสิทธิภาพในการประมวลผล Packet
ข้อเสีย – มีความเสี่ยงต่อการถูกโจมตี
Circuit-level Gateway
มีความสามารถในการตรวจสอบเส้นทางการเชื่อมต่อของเครือข่าย โดยสร้างแบบจำลองการเชื่อมต่อขึ้น เพื่อพิจารณาว่าเครือข่ายที่เข้ามามีความน่าเชื่อถือหรือไม่ อย่างไรก็ตาม มันไม่สามารถตรวจสอบ Packet ด้วยตัวเองได้ แต่การตรวจสอบ Packet ของ Firewall ประเภทนี้จะทำงานบน Transport Layer (Layer 4 ใน OSI Model)
Stateful Inspection Firewall
มีความสามารถในการตรวจสอบสถานะ คือ ไม่ใช่เพียงแค่ตรวจสอบ Packet แต่ยังติดตามได้ว่าเคยเข้ามาในเครือข่ายนี้แล้วหรือไม่ หรือเข้ามาครั้งแรก โดยนำข้อมูลของแพ็คเกจก่อนหน้าและ Packet ปัจจุบันมาเทียบกัน ดังนั้นจึงมีความปลอดภัยมากกว่าแค่การตรวจสอบเส้นทาง หรือการกรอง Packet ตามกฎเพียงอย่างเดียว
Application-level Gateway
เป็น Firewall ชนิดที่ติดตั้งบนเครื่องคอมพิวเตอร์แยกตัวออกจากเครื่อง Router แต่ยังเชื่อมต่อกับเครื่อง Router เพื่อค้นหาเส้นทางของการส่ง Packet ทำหน้าที่คัดกรองและตรวจสอบเนื้อหาภายใน Packet ในระดับ Applicationนอกจากนั้นยังสามารถตรวจจับและปิดกั้นการโจมตีที่มองไม่เห็นบนเครือข่าย OSI Model ได้ บางครั้งทำหน้าที่คล้าย Proxy Firewall ที่เป็นระบบรักษาความปลอดภัยเครือข่ายที่ปกป้องข้อมูลเครือข่าย โดยการควบคุม และตรวจสอบข้อมูลที่มีความผิดปกติได้
Next-generation Firewall
เป็น Firewall ที่มีประสิทธิภาพสูง สามารถรับมือภัยคุกคามที่ซับซ้อนได้ โดยรวมความสามารถในตรวจสอบเส้นทางเครือข่าย เข้ากับการตรวจสอบ Packet และยังรวมถึง Deep Packet Inspection (DPI) ซึ่งเป็นวิธีการขั้นสูงในการตรวจสอบและจัดการรับส่งข้อมูลเครือข่าย ถือเป็นการรวมรูปแบบการตรวจสอบ Packet ที่หลากหลาย รวมทั้งระบบรักษาความปลอดภัยเครือข่ายอื่นๆ เช่น การตรวจจับ/ป้องกันการบุกรุก, การกรอง Malware และโปรแกรมป้องกันไวรัสโดยฟังก์ชันที่เพิ่มมีความแตกต่างจาก Firewall ทั่วไป คือ การเข้าถึงระดับ Application Layer สามารถแยกการใช้งานของ Application Layer ว่าเป็นการใช้โปรแกรม LINE, Facebook, Youtube หรือเป็นโปรแกรมประเภทอะไร ทำให้สามารถตั้ง Policy เพื่อทำการควบคุมการใช้งาน Application ต่าง ๆ เหล่านั้นได้

เปรียบเทียบข้อดี ข้อเสีย ของ Firewall แต่ละประเภท

ประเภทของ Firewall	ข้อดี	ข้อเสีย
*Packet Filtering Firewall*	มีประสิทธิภาพในการประมวลผล Packet	มีความเสี่ยงต่อการถูกโจมตี
*Circuit-level Gateway*	การรับส่งข้อมูลและการประมวลผลมีประสิทธิภาพสูงกว่าระดับ Application-level Gateway	ไม่สามารถกรองเนื้อหา Packet ที่เข้ามาได้
*Stateful Inspection Firewall*	ปิดกั้นและป้องกันการโจมตีที่ช่องโหว่ของ Protocol ได้	ผู้ดูแลระบบต้องมีความเชี่ยวชาญเป็นพิเศษในการกำหนดค่าเพื่อความปลอดภัย
*Application-level Gateway*	สามารถตรวจสอบและปิดกั้นการโจมตีที่มองไม่เห็นบนเครือข่ายจากแบบจำลองบน OSI	มีค่าใช้จ่ายในการประมวลผลสูง และต้องมีการตั้งค่า Proxy สำหรับแอปพลิเคชันเครือข่ายทุกตัวที่ใช้งาน
*Next-generation Firewall*	มีคุณสมบัติรอบด้าน รวมความสามารถของ Firewall ประเภทอื่นๆ เข้าไว้ด้วยกัน และมีระบบความปลอดภัยอื่นๆ รวมถึงการสแกน Malware และระบบตรวจจับ/ป้องกันการบุกรุกหรือภัยคุกคามขั้นสูง	ลงทุนสูง และต้องใช้ผู้เชี่ยวชาญในการตั้งค่า เพื่อให้ Firewall สามารถทำงานบนระบบที่ซับซ้อนได้อย่างมีประสิทธิภาพ

Software-based Firewall เหมาะสำหรับพฤติกรรมการใช้งานของ User ที่มีหลากหลาย ยากแก่การคาดเดา ไม่มีพื้นฐานหรือกฎเกณฑ์ตายตัว การใช้งาน Firewall จำเป็นต้องมีความยืดหยุ่นปรับตัวได้ และควรทำงานร่วมกับ Third Party Solution เช่น Anti-Virus Engine ถึงจะช่วยให้การรักษาความปลอดภัยมีประสิทธิภาพสูงสุด

ในขณะที่ Hardware-based Firewall ให้ความสามารถสูงและครอบคลุมเครือข่ายทั้งระบบ เหมาะสำหรับการปกป้องระบบที่มีความสำคัญ เช่น เครือข่ายโดยรวมขององค์กร, Data Center หรือ Server Farm

6 คุณสมบัติขั้นพื้นฐานที่อุปกรณ์ Firewall จำเป็นต้องมี

ที่ปัจจุบันมีให้เลือกหลากหลาย แต่ละรุ่นก็มีคุณสมบัติที่แตกต่างกัน สิ่งที่ผู้ซื้อควรคำนึงถึงนั่นก็คือ Feature ที่เหมาะสมกับการใช้งาน เพราะหากเลือกซื้อ อุปกรณ์ที่มี Feature ระดับสูง แต่ใช้งานไม่เต็มประสิทธิภาพก็ทำให้สูญเสียงบประมาณไปโดยเปล่าประโยชน

IPS (Intrusion Prevention System) IPS

เป็นตัวช่วยตรวจจับการโจมตี ทำงานคล้ายๆ กับ IDS (Intrusion Detection System) แต่ความสามารถจะสูงกว่าแค่การตรวจจับ คือสามารถที่จะหยุดยั้งการโจมตีได้ด้วย โดยไม่ต้องพึ่งพาอุปกรณ์ตัวอื่น จึงเป็น Feature สำคัญที่ขาดไม่ได้ จำเป็นต้องมี

Antivirus Gateway

ทำหน้าที่บล็อก Virus โดยอัตโนมัติ ทันทีตั้งแต่ Gateway ไม่ให้ไปถึงอุปกรณ์ปลายทางในเครือข่าย ไม่ว่าจะมาจากทางอีเมลหรือผ่านเว็บไซต์ ลดความเสี่ยงการแพร่กระจายหากเครื่องลูกข่ายไม่ได้ติดตั้งหรืออัปเดตโปรแกรม Antivirus

Web Filtering

ทำหน้าที่สำคัญในการกรองและจำกัดสิทธิการเข้าถึงเข้าเว็บไซต์ที่ไม่ปลอดภัยหรือเว็บเสี่ยง เพราะผู้ใช้งานทั่วไปอาจไม่สามารถทราบได้ว่าเว็บไซต์ไหนปลอดภัย หรือเว็บไซต์ไหนเป็นอันตราย ทำให้อาจนำพา Malware ต่างๆ เข้ามาในองค์กรได้

รองรับ Virtual Private Network (VPN)

เป็นหนึ่งใน Feature จำเป็นที่มีอยู่แล้วใน Firewall แทบทุกเครื่อง เพราะการเชื่อมต่อเครือข่ายจากภายนอกผ่านโครงข่ายอินเตอร์เน็ตอาจสร้างความเสียหายรุนแรงอย่างคาดไม่ถึง ปัจจุบันมีอุปกรณ์ Firewall ที่รองรับการใช้งาน VPN ผ่านมือถือเพื่ออำนวยความสะดวกกับผู้ใช้งาน

SD-Wan

เป็น application ที่ถูกออกแบบมาเพื่อรองรับการใช้งาน SDN แต่นำไปใช้กับการเชื่อมต่อบน WAN เพื่อเชื่อมต่อเครือข่ายระหว่างสำนักงานใหญ่ และสาขา หรือ Data Center ที่อยู่ห่างกันมาก ด้วยความสามารถในการใช้เครือข่ายร่วมกันได้ทำให้เราสามารถเลือกผู้ให้บริการได้มากกว่าหนึ่งราย ช่วยกระจายความเสี่ยงจากความไม่เสถียรของเครือข่าย และยังช่วยประหยัดงบประมาณอีกด้วย

Log System

นอกจากเป็นการปฏิบัติตามที่กำหนดไว้ในกฎหมาย พรบ.คอมพิวเตอร์ พ.ศ.2550 แล้ว การเก็บ Log File ยังช่วยให้ผู้ดูแลสามารถสืบหาสาเหตุของปัญหาในระบบ Network ได้อีกด้วย ซึ่งอุปกรณ์ Firewall บางรุ่นมี feature ที่เป็นสามารถแสดงผลเป็น Graph ได้แบบ Realtime ทำให้ง่ายต่อการค้นหาต้นตอของปัญหา เพื่อหาแนวทางป้องกันต่อไป

เหล่านี้เป็นเพียงตัวอย่าง 6 Features ขั้นพื้นฐานที่จำเป็นต้องมี และเป็นข้อพิจารณาเบื้องต้นในการเลือกซื้ออุปกรณ์ แต่ก็ยังมีอีกหลายคุณสมบัติที่สามารถเพิ่มความปลอดภัยให้กับเครือข่ายได้ เช่น

SSO
SPI (Stateful Packet Inspection) / DPI (Deep Package Inspection)
Integrated Wireless Control
Content Filtering / MAC Filtering / IP Filtering
NAT ALGs (Application Layer Gateway)
DoS/DDoS Attack Blocking SYN / ICMP Flood Blocking

แต่ละองค์กรควรเลือกใช้อุปกรณ์ตามความจำเป็นและความต้องการเป็นหลัก

ความสัมพันธ์ระหว่างเทคโนโลยี VPN กับ Firewall

VPN และ Firewall ต่างก็เป็นเทคโนโลยีด้าน Network Security ทั้งคู่ และมักมีการใช้งานร่วมกัน แม้บทบาทหน้าที่แตกต่างกัน แต่ยังมีความสัมพันธ์กันดังนี้
VPN ทำหน้าที่รักษาความลับและปกป้องความเป็นส่วนตัวในการรับส่งข้อมูล ผู้ใช้งานหรืออุปกรณ์ที่ได้รับอนุญาตเท่านั้นจึงจะสามารถรับส่งข้อมูลผ่าน VPN Tunnel ได้ ในขณะที่ Firewall ทำหน้าที่ปกป้องความปลอดภัยจากภัยคุกคามทางไซเบอร์
VPN เป็นเหมือนอุโมงค์ที่ช่วยจำกัดให้ผู้ใช้งานเข้าถึงต้นทางและปลายทางที่ได้รับอนุญาตเท่านั้น ในขณะที่ Firewall เป็นเหมือนกำแพงที่มีทหารยามคอยคัดกรองรถ (ข้อมูล) ที่จะผ่านเข้าออก
VPN คัดกรองผู้มีสิทธิ์ที่จะใช้งานอุโมงค์ข้อมูล แต่ไม่ได้ควบคุมว่าจะใช้งานอุโมงค์ข้อมูลนี้ได้อย่างไรบ้าง ใช้ได้นานแค่ไหน ในขณะที่ Firewall จะช่วยควบคุมพฤติกรรมการใช้งานภายในอุโมงค์

ทั้งนี้ การดูแล Network Security ขององค์กรไม่เพียงเป็นความรับผิดชอบของแผนก IT แต่ต้องอาศัยความร่วมมือของคนทั้งหมดภายในองค์กร อาทิ

ผู้บริหาร ที่มีหน้าที่กำหนดนโยบายความปลอดภัย
ผู้เชี่ยวชาญด้าน IT ซึ่งต้องออกแบบระบบความปลอดภัยให้เหมาะสมกับปริมาณ Traffic ของบริษัท
เจ้าหน้าที่ IT ระดับปฏิบัติการ ซึ่งต้อง Configure และ Monitor ระบบให้มีความปลอดภัยอยู่เสมอ รวมถึงเก็บ Log ตามกฎหมาย พรบ.คอมพิวเตอร์
ผู้ใช้งานทั่วไปในองค์กร ซึ่งต้องเข้าใจการใช้งานและปฏิบัติตามนโยบายความปลอดภัย รวมทั้งมีบทบาทสำคัญในการรายงานความผิดปกติที่เกิดขึ้นให้แก่เจ้าหน้าที่ที่เกี่ยวข้อง