Что такое межсетевой экран (firewall)

Межсетевой экран (МЭ, firewall) — это один из основных компонентов защиты компьютерных сетей, который позволяет обеспечить безопасность сетевого периметра и защитить сеть от различных угроз безопасности. Межсетевые экраны могут использоваться как самостоятельные устройства, так и быть интегрированным в другие компоненты сетевой инфраструктуры, например, в маршрутизатор или коммутатор.

Межсетевые экраны устанавливаются на границе двух и более сетей для контроля и фильтрации трафика, проходящего между ними. Как правило, МЭ устанавливаются на границе между локальной сетью и интернетом или между различными подразделениями организации, которые имеют разные уровни доступа к обрабатываемой информации.

Доказанная эффективность и высокая производительность позволяют использовать межсетевые экраны для защиты конфиденциальной информации. Это средство защиты незаменимо при построении государственных, муниципальных информационных систем, АСУ ТП, информационных систем персональных данных и критической информационной инфраструктуры. В данном случае межсетевой экран должен подтвердить соответствие заявленным требованиям, успешно пройдя процедуру сертификации. Подробнее о том, как и зачем сертифицируют межсетевые экраны, в нашей статье.

Типы межсетевых экранов

По типу исполнения различают программные и программно-аппаратные межсетевые экраны. Программно-аппаратные межсетевые экраны — это совокупный комплекс технических средств, системного и прикладного ПО, оптимизированного под конкретную платформу. Как правило, такие межсетевые экраны отличаются большей производительностью нежели программные, но, в то же время, и большей стоимостью.

Основная классификация межсетевых экранов связана с уровнем модели OSI, на которых они функционируют. Принято выделять следующие типы межсетевых экранов:

• управляемые коммутаторы на L2. Способны осуществлять проверку трафика между разными сетями и узлами, но слабо применимы против сетевых угроз;
• пакетные фильтры на L3/L4. Анализируют данные, представленные в заголовках пакетов. Такие межсетевые экраны считаются оптимальными для защиты периметра сети с заведомо низким уровнем доверия;
• шлюзы сеансового уровня на L3/L4/L5. Межсетевые экраны данного уровня являются посредниками между внешними хостами и узлами локальной сети и блокируют сетевые пакеты, не относящиеся ни к одному из установленных соединений;
• посредники прикладного уровня на L7. Межсетевой экран «понимает» содержимое пакетов на уровне приложений и с помощью посредников, отвечающих за свой протокол прикладного уровня, позволяет фильтровать трафик, блокировать определенные последовательности команд, обнаруживать DOS-атаки, проверять SSL- сертификаты;
• инспекторы состояния на L3-L7. Межсетевой экран является комплексным механизмом, включающий в себя способы анализа пакетов и их фильтрацию на всех возможных уровнях.

Функции межсетевых экранов

Основными функциями межсетевого экрана являются:

• защита компьютерных сетей от несанкционированного доступа. Межсетевой экран позволяет контролировать доступ к сети и блокировать попытки несанкционированного доступа в локальную сеть или из нее;
• контроль сетевого трафика. Межсетевой экран фильтрует проходящие через него пакеты данных на основании заданных правил и политик безопасности, блокируя трафик, который не соответствует этим правилам. Дополнительно МЭ позволяет контролировать использование трафика в сети, применяя механизмы оптимизации, с целью достижения эффективной работы компьютерной сети.
• предотвращение распространения угроз безопасности. Межсетевой экран может содержать компоненты, позволяющие своевременно обнаружить и заблокировать вирусы, трояны, шпионское и другое вредоносное ПО.
• защита от современных атак. Межсетевой экран предоставляет механизмы защиты от различных типов атак, включая атаки ботнета, DDoS-атаки, дефрагментацию пакетов, сканирование портов и другие.

История межсетевых экранов

Первые межсетевые экраны были разработаны в 1988 году компанией Digital Equipment Corporation (DEC) и назывались DEC SEAL (Secure External Access Link). Они были созданы для защиты от внешних атак и уязвимостей в компьютерных сетях и функционировали на нижних уровнях модели OSI, перехватывая и анализируя пакеты на соответствие заданным правилам. В 1990 году компания Check Point Software Technologies выпустила первый коммерческий межсетевой экран под названием FireWall-1, которые выпускались на базе специализированных микросхемам (ASIC), что позволяло проводить глубокий анализ заголовков пакетов. Такой межсетевой экран мог вести таблицу активных соединений и применять ее в правилах фильтрации (Stateful Packet Inspection, SPI), что позволяет проверять IP-адреса отправителя и получателя и контролировать порты.

В 1991 году компания SEAL впервые выпустила межсетевой экран, функционирующий на уровне приложений с использованием протокола конкретного приложения, а спустя пару лет на рынке появилось открытое решение Firewall Toolkit (FWTK) от Trusted Information Systems . Данные межсетевые экраны проверяли трафик на всех уровнях. К середине 90-х МЭ могли фильтровать пакеты таких популярных протоколов, как FTP, Telnet и SMTP. Коммерческая версия FWTK осуществляла URL-фильтрацию и обладала встроенными средствами защиты от вредоносных программ. Можно считать, что это был первый межсетевой экран следующего поколения. О них расскажем подробнее далее.

Программные межсетевые экраны появились существенно позже (конец 90х) в связи с популярностью антивирусных программ при защите персональных компьютеров от вредоносного ПО.

Долгое время российский рынок коммерческих межсетевых экранов был представлен преимущественно западными вендорами, однако в связи с событиями 2022 года и их решением об уходе из России, оказалась освобождена целая ниша, предоставляющая шанс на развитие отечественных решений. Немаловажным является тот факт, что в рамках господдержки Министерство промышленности и торговли РФ субсидирует разработку отечественных решений, в том числе и в сфере информационной безопасности.

Межсетевой экран следующего поколения (NGFW)

Как уже было сказано выше, межсетевые экраны следующего поколения (Next-Generation Firewall, NGFW) — это максимально возможный на данный момент уровень фильтрации трафика. Что делает межсетевой экран следующего поколения таким особенным? Прежде всего, это комплекс встроенных механизмов безопасности, осуществляющих глубокую проверку пакетов и реализующих дополнительные функции, такие как обнаружение и предотвращение атак, контроль приложений, защита от вредоносных программ и многие другие. NGFW могут интегрироваться с другими системами безопасности, такими как системы обнаружения вторжений (IDS) и системы защиты от вредоносных программ, что делает использование межсетевого экрана более эффективными при обеспечении безопасности сетей.

По анализу экспертов от 30% до 40% трафика, поступающего во внутреннюю сеть организации извне, составляет мусорный контент, не относящийся к решению бизнес-задач компании. Именно межсетевые экраны следующего поколения позволяют выявить и запретить такой трафик, как стриминговые сервисы, рекламные баннеры, торрент и многое другое, тем самым снизив нагрузку на внутреннюю сеть и ее персонал.

Одним из таких межсетевых экранов следующего поколения является флагманское решение компании «Айдеко» — Ideco UTM, — построенное на базе ядра Linux и комплексе современных средств защиты собственной разработки. В дополнение к межсетевому экранированию Ideco UTM предоставляет пользователям:

• IPS и контроль приложений (DPI);
• контентную фильтрацию и межсетевое экранирование веб-приложений (WAF);
• блокировку анонимайзеров и по GeoIP;
• антивирусную проверку на базе антивирусов Лаборатории Касперского и ClamAV;
• антиспам проверку трафика и антишпион;
• защиту от бот-сетей и фишинга;
• встроенный VPN.

Как протестировать и где получить консультацию

Если у вас возникли вопросы по функциональности Ideco UTM или вы хотите протестировать наш межсетевой экран, оставьте заявку ниже для получения консультации или доступа к демо-версии.

Что такое файрвол (брандмауэр)

В обычной жизни брандмауэром (это по-немецки; по-английски то же самое называется файрволом от англ. firewall) называют противопожарный кожух (стену или перегородку). В компьютерном мире под брандмауэром подразумевают программу, выполняющую очень серьёзные защитные функции. По сути – это та же перегородка, однако не только от огня, но и от любых других воздействий.

Набор функций у разных брандмауэров может весьма серьёзно отличаться друг от друга, но общая святая цель у них всех одна – оградить компьютер пользователя от негативных внешних воздействий и предупредить его о том, что внутри компьютера происходит что-то не то.

Некоторые аспекты действия брандмауэра можно проиллюстрировать следующим примером.

Предположим, ты обзавёлся телохранителем, который всё время находится рядом с тобой – как дома, так и во время путешествий по мегаполису. Перед тем как ты его взял на работу, телохранителю было подробно объяснено, в чём именно заключаются его функции. О чём мог – ты его предупредил, а по поводу всего остального телохранителю предложено обучаться уже в процессе – в рабочем, так сказать, порядке.

Теперь ты выходишь на улицу и идёшь в нужном направлении. Вдруг откуда ни возьмись появляется очаровательная блондинка, которая бросается к тебе с криками: «Вася, родной, ты ли это. Это я, Лена! А ну, дай-ка я тебя поцелую, негодяй ты эдакий. » Телохранитель не знает, действительно ли это твоя знакомая Лена, а также даже если знакомая, то можно ли ей разрешать тебя целовать. Поэтому он перехватывает Лену в момент броска и держит тётку на весу, ожидая твоих распоряжений. Теперь дело за тобой, потому что только ты сам можешь ему объяснить, как дальше поступить с Леной. Вариантов несколько:

1. Отпустить и разрешить поцеловать.

2. Отпустить, но целовать не разрешать.

3. К телу в любом случае не допускать и на будущее пресекать все попытки сближения.

Могут быть и другие варианты инструкций, например «разрешить поцеловать, но в следующий раз всё равно спрашивать разрешения, потому что ещё неизвестно, насколько сладким будет этот поцелуй».

Идёшь дальше, как вдруг появляется какой-то парень, который бросается к тебе с дикими криками: «Добрый день, я представитель канадской фирмы! Позвольте предложить вам. » Телохранитель тут же перехватывает парня, поворачивает спиной и отвешивает ему здоровенный пинок, потому что в момент инструктажа ты чётко сказал, что не желаешь вступать в контакты ни с какими уличными коммивояжерами, а этот негодяй совершенно точно подходит под данное определение по целой системе признаков.

И так – целый день. Телохранитель всё время находится рядом с тобой, отслеживает все контакты и постоянно пополняет свою информационную базу в случае появления каких-то новых контактов.

Но и дома телохранитель всё время находится рядом с тобой и занимается следующими вещами. Закрывает все окна, чтобы через них не дай бог не пролез враг! Открытыми он оставляет только те окна, которые тобою или твоими близкими используются постоянно. Например, окно, в которое ты любишь плевать на улицу, и окно, в которое залезает тёща, возвращаясь из булочной. (Старая клюшка хочет находиться в хорошей спортивной форме, чтобы изводить тебя ещё много лет.) Причём телохранитель ни за что не пустит тёщу в то окно, в которое ты плюёшь, а при твоём плевке через «тёщино» окно он поинтересуется, не перепутал ли ты место приложения своего плевка.

Также телохранитель постоянно следит за теми предметами, которые ты используешь каждый день, – не изменились ли они, потому что это может быть свидетельством действий злоумышленников. Например, если твоя любимая миска, из которой ты каждый день ешь салат, из зелёной станет фиолетовой, телохранитель обязательно тебе на это укажет и предложит выяснить, с чего это привычная миска вдруг поменялась.

Брандмауэр на твоем компьютере будет заниматься практически тем же самым!

1. Отслеживанием всех подозрительных контактов.
Какие-то программы с твоего компьютера могут пытаться отправлять некие данные в Интернет, а также получать оттуда информацию. В ряде случаев – почтовая программа, мессенджер (ICQ, MSN) – это вполне нормально, но если совершенно неизвестная тебе программа вдруг пытается самостоятельно установить контакт с Интернетом – с высокой долей вероятности это троян.

2. Блокированием всех портов, не нужных для работы, и анализом трафика, идущего через открытые порты.
Как мы уже говорили, с Интернетом компьютер общается через порты. Через них же осуществляются атаки на твой компьютер. Файрвол, как цепной пёс, стоит на страже этих портов, предупреждая тебя обо всех несанкционированных попытках проникновения.

3. Наблюдением за выполняемыми (запускаемыми) программами.
При первом запуске программы брандмауэр запоминает её данные. И если в момент очередного запуска выяснится, что программа вдруг изменилась, брандмауэр тебя об этом обязательно предупредит (если он настроен соответствующим образом). Ведь если программу изменил не ты (например, поставив новую версию), это может означать, что программа заражена вирусом.

Вот более или менее простое изложение того, чем именно брандмауэр занимается на твоём компьютере.

Разумеется, брандмауэры, как и телохранители, все разные. Если вернуться к нашему примеру, то телохранители могут быть напрягающие и не напрягающие. Есть, например, телохранители, которые создают совершенно ненужную суету. Например, завидев пролетающего голубя, они будут пихать вас в ближайшую подворотню, старательно закрывая вас своим объёмным, но туповатым телом, бешено крича: «Босс, быстро скрываемся, босс! Летит птица, босс, она может какнуть вам на шляпу!»

Бывают также телохранители, которые, завидев у вас в руках зажжённую зажигалку, немедленно потушат её с формулировкой: «Вы же себе так все волосы на голове сожжёте, босс!»

Впрочем, может быть, тебе такие телохранители и нужны – предупреждающие о любой, даже самой незначительной опасности. А может, наоборот – тебе нужны люди, чьё присутствие совершенно незаметно, однако они тем не менее вполне эффективно будут защищать тебя от различных реальных опасностей.

Всё то же самое – с брандмауэрами. Есть брандмауэры «болтливые», которые поднимают шум по любому, даже самому незначительному поводу и постоянно дёргают пользователя, требуя разрешить или запретить не только запуск программ и приложений, но и всевозможных действий этих программ и приложений.

Другие же брандмауэры наоборот – тихонько сидят себе на сторожевой вышке, аккуратно и без лишнего шума пристреливая на взлёте всех вражеских птиц.

Собственно, и те, и другие брандмауэры имеют право на существование. Они специально делаются такими разными, потому что требования и предпочтения пользователей также весьма разнятся. Более того, один и тот же брандмауэр нередко можно настроить на различные режимы вашей личной паранойи: кричать и орать по любому поводу либо же сидеть и не высовываться, самостоятельно блокируя то, что они считают нужным. То есть ненужным для вашего компьютера.

Что такое брандмауэр операционной системы и как с ним работать

Не стоит путать Windows Defender Firewall с антивирусной программой Windows Defender. Хоть у них и похожие названия, но они выполняют разные функции. Рассмотрим, что такое брандмауэр и как с ним работать.

Что такое брандмауэр?

Windows Defender Firewall (брандмауэр) — это программное обеспечение, разработанное Microsoft для защиты компьютеров под управлением операционной системы Windows. Программное обеспечение разрешает или запрещает программам на компьютере доступ к сети или интернет-ресурсам. Он также разрешает или блокирует соединения с другими компьютерами в сети.

Брандмауэр Windows защищает операционную систему и пользовательские данные на компьютере от неправомерного или несанкционированного доступа, использования и возможного заражения. Иногда его для краткости называют Защитником Windows, но не следует путать с антивирусным программным обеспечением Microsoft Defender, поскольку они не связаны между собой.

На сайте Microsoft сказано, что брандмауэр — это то, что защищает порты, через которые поступают данные на устройство. Его можно представить в виде защитного замка или охранника у двери, который решает, пропускать кого-то или нет.

В компьютерную сферу название пришло из сферы строительства, где брандмауэр — это название глухой стены из негорючих материалов. В переводе с немецкого «брандмауэр» означает ‘пожарная стена’. У термина существует англоязычный аналог — «файрвол». По устоявшемуся правилу брандмауэром называют программу контроля трафика, часть операционной системы Windows, а файрволами — продукцию сторонних производителей, выполняющую аналогичные функции. Еще одно распространенное название брандмауэра — «межсетевой экран».

Брандмауэры бывают программными и аппаратными. Каждый пользователь использует оба вида. Практически в каждом доме стоит модем, через который переводится интернет от поставщика услуг. Такое устройство — аппаратный брандмауэр. Программная разновидность файрвола идет вместе с пакетом Windows и macOS.

В брандмауэре Защитника Windows есть три сетевых профиля, каждый из которых имеет набор правил:

1. Профиль домена активен и используется, когда компьютер подключен к сети, требующей аутентификации на контроллере домена, например, в сети крупной компании.
2. Частный профиль активен и используется, когда компьютер подключен к частной сети (домашняя или рабочая сеть без использования контроллера домена).
3. Общедоступный профиль активен и используется, когда компьютер подключен к общедоступной сети в кафе, отеле, библиотеке или ресторане.

Зачем нужен брандмауэр? Брандмауэр — это защитный экран между глобальным экраном и локальной сетью. Он выполняет функции проверки и фильтрации данных, поступающих из интернета. Среди полезных функций брандмауэра, о которых не знают многие пользователи, назовем такие:

• Защита конфиденциальной информации и запрет передавать ее на сайты сторонних организаций.
• Возможность настройки подключения к компьютеру только с одного IP-адреса, которая позволит пользователю заходить на домашний компьютер, находясь вне дома, но не даст сделать это посторонним лицам.
• Блокировка зараженных рекламных объявлений и всплывающих окон.
• Запрет установленным на компьютере приложениям устанавливать связь с Сетью и обновляться самостоятельно без разрешения пользователя.

Брандмауэры очень важны для предотвращения проникновения опасного или мошеннического трафика. Они блокируют доступ определенных программ к интернету, если активность слишком опасная.

Как пользоваться брандмауэром

Прибегать к отключению брандмауэра не приходится, поскольку стандартные настройки защитника подходят для обычного пользования. Однако без использования файрвола может проходить любой тип трафика. Когда брандмауэр включен, проходит только тот сетевой трафик, который разрешен правилами защитника. Рассмотрим подробнее, какие манипуляции можно выполнять с брандмауэром.

Как отключить брандмауэр?

Воспользуйтесь самым простым способом на Windows 10. Для этого выполните такие действия:

1. Нажмите «Пуск» и войдите в параметры системы.
2. Откройте «Обновление и безопасность».
3. Перейдите в «Безопасность Windows».
4. Выберите «Брандмауэр и защита сети».
5. На выбор будет предложено сеть домена, частная сеть и общедоступная сеть. Выберите необходимую сеть и в разделе «Брандмауэр Microsoft Defender» установите флажок в активное положение.

Если получили сообщение об ошибке или параметр не активируется, то воспользуйтесь средством устранения неполадок. После проверки повторите попытку.

Отключить брандмауэр еще сможете в системном приложении «Конфигурация системы». Откройте ее через поиск Windows и перейдите в раздел «Службы». Найдите брандмауэр и снимите с него галочку, нажмите «Ок».

Как включить брандмауэр?

Включается брандмауэр аналогичным способом, как и отключается. Для этого выполните такие действия:

1. Через меню «Пуск» войдите в параметры.
2. Пройдите по такому пути: «Обновление и безопасность» → «Безопасность Windows» → «Брандмауэр и защита сети».
3. Выберите выключенную сеть и включите ее при помощи соответствующего переключателя.

Старайтесь использовать стандартные настройки брандмауэра, предложенные системой. Эти настройки предназначены для защиты устройства в большинстве сетевых сценариев. Один из ключевых примеров — проведение блокировки по умолчанию для входящих подключений.

Настройка приоритета для входящих подключений

В брандмауэре можно настроить профили при помощи правил (фильтров), чтобы они могли работать с пользовательскими приложениями или другими типами программного обеспечения. Например, администратор или пользователь может добавить правило для размещения программы, открыть порт или протокол, разрешить определенный тип трафика.

Для этого выполните такие действия:

1. Откройте командную строку, впишите wf.msc и нажмите Enter.
2. Нажмите правой кнопкой мыши на «Правила для исходящего подключения» и выберите «Создать правило…».
3. Выберите подходящий тип правила.

Во многих случаях для работы приложений в сети требуется разрешение определенных типов входящего трафика. При разрешении этих входящих исключений необходимо помнить о таких правилах приоритета:

1. Вручную определенные разрешающие правила будут иметь приоритет над настройкой блокировки по умолчанию.
2. Вручную настроенные правила блокировки будут иметь приоритет над любыми конфликтующими разрешающими правилами.
3. Более конкретные правила будут иметь приоритет над менее конкретными правилами, за исключением случаев, когда существуют вручную настроенные правила блокировки, как указано в пункте 2. Например, если параметры правила 1 включают диапазон IP-адресов, а параметры правила 2 включают один IP-хост адрес, правило 2 будет иметь приоритет.

Первые два пункта важны для того, чтобы удостовериться, что нет других явных правил блокировки, которые могут непреднамеренно перекрываться. Учитывая вышеперечисленные правила, настроите беспрепятственный поток трафика, который хотите разрешить.

В работу брандмауэра не рекомендуется вмешиваться. Неопытный пользователь может навредить защитной работе файрвола, что приведет к плачевным последствиям работы операционной системы в целом. К отключению и настройкам приоритетов брандмауэра необходимо подходить с максимальным пониманием того, что хотите получить в итоге.

При подготовке материала использовались источники:
https://www.ideco.ru/chto_takoe_mejsetevoy_ekran_firewall
https://exler.ru/expromt/chto-takoe-fajrvol-brandmauer.htm
https://www.nur.kz/technologies/instructions/1776394-cto-takoe-brandmauer-i-dla-cego-on-nuzen/