Firewall, или брандмауэр, межсетевой экран – важный компонент сетевой безопасности. Правильное произношение: «фаэрволл», а не «брандмаузер», «браузер», «фаерболл» или «огненная стена».
Происхождение названия
Название «фаэрволл» (firewall) заимствовано из пожарной безопасности, где так называют негорючую стену, препятствующую распространению огня. В сетевых технологиях фаэрволл выполняет аналогичную функцию, защищая сеть от нежелательного трафика.
Функции Firewall
Как активное сетевое устройство (наравне с коммутаторами и роутерами), фаэрволл работает на 3 уровне модели OSI. Его основная задача – защита локальной сети от несанкционированного доступа из внешних сетей, таких как интернет. Интернет полон опасностей: хакеров, вредоносных файлов и кибератак. Фаэрволл блокирует нежелательный трафик (входящий и исходящий), пропуская только разрешённый.
Правила доступа (ACL)
Для управления трафиком используются специальные правила – списки контроля доступа (ACL – Access Control List). Сетевой администратор настраивает эти правила, определяя, какой трафик может проходить, а какой – нет. Например, невозможность зайти на YouTube с рабочего компьютера может быть вызвана соответствующими правилами ACL.
Блокировка ресурсов
Простейший способ блокировки – запрет доступа по IP-адресу. Однако, если у ресурса много IP-адресов или они постоянно меняются, фаэрволл может использовать для фильтрации порты, доменные имена, протоколы и даже приложения.
Пример: Сетевой администратор может заблокировать доступ к базе знаний wiki.merionet.ru для IT-отдела (подсеть 10.15.15.0/24), но оставить доступ для отдела разработки (подсеть 10.15.20.0/24). Или заблокировать приложение TikTok для всей офисной Wi-Fi сети. Последнее возможно только с продвинутыми фаэрволлами.
Типы Firewall
Фаэрволлы бывают разных типов:
- Специализированное оборудование: дорогостоящие устройства.
- Встроенная функция: в простых устройствах, например, домашних роутерах.
- Программное обеспечение (Host-Based Firewall): устанавливается на компьютер (часто интегрируется в антивирусы).
- Виртуальная машина.
- Облачное приложение.
Host-Based Firewall защищает отдельный компьютер, в то время как другие типы обычно защищают всю сеть. Комбинация этих подходов обеспечивает многоуровневую защиту.
Stateful и Stateless Firewall
Существуют два основных типа фаэрволлов:
- Stateful: более продвинутые, анализируют контекст трафика и состояние соединения. Они проверяют метаданные пакетов (порты, IP-адреса, длину, флаги и т.д.), принимая решения на основе множества параметров.
- Stateless: более простые, анализируют каждый пакет изолированно, основываясь только на правилах ACL, без учёта контекста и предыдущих пакетов.
Firewall – критически важный компонент любой сети. Его правильная настройка необходима для обеспечения безопасности всей инфраструктуры. Неправильная конфигурация может привести к серьёзным проблемам.