Файрвол - это система сетевой безопасности, которая отслеживает и контролирует входящий и исходящий сетевой трафик на основе определенных правил, указанных в настройках. Другое название этого средства кибербезопасности - межсетевой экран (только когда речь идет о аппаратном решении). Эти слова являются синонимами. Как правило, это устройство устанавливает барьер между надежной внутренней сетью и ненадежной внешней, которой является Интернет.

Немного истории. Устройство под названием файрвол использовалось для повышения безопасности задолго до того, как был изобретен Интернет. Оно служило для предотвращения распространения пожара внутри здания. Современные цифровые файрволы отслеживают не огонь, а входящий и исходящий трафик.

Для чего нужен firewall: защита от внешних угроз

Для чего нужен FireWall. Источник: Exa.net

Он выполняет задачу акцептирования безопасного трафика, блокируя тот, который может представлять угрозу кибербезопасности на этом уровне. В некотором смысле файрвол выполняет функцию фильтра между устройством, таким как компьютер, и внешней сетью, такой как Интернет. Брандмауэр блокирует потенциально опасный трафик, поступающий как на ваш компьютер, так и с него.

Зачем нужно это устройство? Например, файрвол может помешать хакеру, проникнуть на компьютер или сервер. Однако firewall может по ошибке остановить и работу безопасных приложений. Хотя он является отличным дополнением к другим мерам кибербезопасности, самостоятельно он не может обеспечить полную неуязвимость компьютера в сети, полной вредоносных программ.

Большинство современных вычислительных устройств имеют свои собственные программные брандмауэры, поэтому чаще всего не нужно специально покупать firewall, например, для офисного ПК. Просто требуется убедиться, что на вашем устройстве включена эта программа. Это легко проверяется в настройках.

В чем разница между брандмауэром и антивирусом?

Для чего нужен FireWall. Источник: Educba

Базовый файрвол в виде брандмауэра обычно поставляется с операционной системой. Так современные версии Windows (начиная с версии 8.1) снабжаются встроенным антивирусом - Windows Defender.

Однако чтобы оставаться в безопасности в Интернете, одного файрвола недостаточно. Самым важным инструментом для этой цели на сегодняшний день является антивирусная программа. Чем же она отличается от сетевого экрана? Хотя файрвол отслеживает и в некоторых случаях блокирует трафик (входящий и исходящий), он не проверяет содержимое этого трафика. Антивирусная программа - это приложение, которое проверяет загруженные файлы и посещенные веб-сайты, чтобы определить, представляют ли они угрозу устройству. Если оно обнаруживает что-то подозрительное и потенциально опасное, то блокирует опасность на внешнем уровне до того, как она сможет причинить какой-либо вред компьютеру или серверу.

Итак, приведем основные преимущества файрвола:

Отслеживает трафик в сети, к которой подключен компьютер. Если файрвол распознает угрозу, он блокирует ее доступ к устройству уже на этапе поступления информации (препятствуя нежелательному контенту проникнуть далее при настроенных правилах фильтрации трафика).
Повышается общая неуязвимость и конфиденциальность, хранящейся в системе информации. Однако не стоит забывать, что кибербезопасность всегда должна быть многоуровневой, и в некоторых случаях стоит подумать об использовании туннелирования для безопасного просмотра веб-страниц в приватном режиме.

Как работает firewall и как он блокирует нежелательные соединения

Иллюстрация работы FireWall. Источник: Wallarm

Аппаратный файрвол, как и программный вариант является первым этапом защиты, он отслеживает и фильтрует все виды трафика: сетевой (включая исходящий), трафик прикладного уровня, онлайн-транзакции. Он блокирует входящие угрозы на основе набора заранее запрограммированных правил, которые также могут определять, какие пользователи могут получать доступ к определенным областям сети.

Виды файрволов

Виды FireWall. Источник: Liquidweb

Различают 3 основные типа файрволов:

программные (брандмауэры);
аппаратные межсетевые экраны;
облачные файрволы (использующие в работе сервер);

Также файрволы могут классифицироваться по другим критериям, например по цели использования (в зависимости от того, для чего нужны).

Программные файрволы

Программный брандмауэр защищает только одно устройство и устанавливается, как следует из названия, в виде программного обеспечения. Такие файрволы являются наиболее популярными, поскольку их легко установить. Однако, такие средства, как правило, защищают только одно устройство. Именно из-за этого программные брандмауэры могут оказаться неподходящим решением для крупных компаний и в других случаях, когда требуется защитить большую сеть.

Аппаратные сетевые экраны

Аппаратные сетевые экраны Cisco. Источник: LanKey

В отличие от программных решений, аппаратные файрволы представляют собой физическое устройство, оснащенное необходимым софтом для блокировки входящего вредоносного трафика в сети. Одним из преимуществ аппаратного варианта является то, что он позволяет пользователю отключать брандмауэры, которые действуют на самом устройстве. Для работы на этом уровне не требуются собственные ресурсы устройства. Аппаратные файрволы также можно использовать для управления сетевым трафиком, поступающим на несколько устройств в одной сети. Однако они являются более дорогостоящим решением, чем программные, и для их установки и эксплуатации может потребоваться определенный опыт.

В качестве примера крупного производителя аппаратных файрволов можно назвать фирму Huawei. Она является одним из крупнейших в мире поставщиков решений в области информационно-коммуникационных технологий. Компания специализируется на создании инноваций, ориентированных на потребности клиента, расширении возможностей средств кибербезопасности. Фирма Huawei, работает в более чем 170 странах мира.

Аппаратные сетевые экраны прошли долгий путь развития. Первые из них были разработаны корпорацией Digital Equipment Corporation (DEC) еще в конце 1980-х годов.

Эти ранние файрволы работали на открытых системах (OSI), перехватывая трафик по проводам и проверяя свойства каждого отдельного пакета, чтобы определить, соответствуют ли они настроенному набору правил (например, адреса источника и назначения и номера портов). Затем эти пакеты либо отклонялись, либо переадресовывались.

Этот метод проверки трафика, хотя и был быстрым, оказался неоправданно ресурсоемким и привел непосредственно к внедрению решений сетевого уровня, позже названных файрволами с отслеживанием состояния.

Важным шагом в развитии технологии было появление сетевых фильтров прикладного уровня. Первый подобный файрвол с открытым исходным кодом Firewall Toolkit (FWTK) был выпущен компанией Trusted Information Systems в 1993 году, что ознаменовало начало новой эры в развитии межсетевых фильтров и многоуровневой системы защиты, которая широко применяется и сегодня.

Облачные файрволы

Облачные FireWall. Источник: Stream

Как следует из названия, облачный файрвол использует облачный сервер для фильтрации и блокирования вредоносного трафика.

Данное решение является весьма популярным и дает хорошие результаты, однако оно значительно уступает по эффективности аппаратным сетевым экранам. Поэтому крупным компаниям рекомендуется иметь аппаратные файрволы и собственный штат специалистов для их обслуживания.

Топ-5 аппаратных файрволов: сравнение их функций и возможностей

Cisco Secure Firewall

Ciscro Secure Firewall 3100. Источник: Cisco

Cisco - компания, специализирующаяся на сетевых технологиях, в частности на решениях на основе интернет-протокола (IP). Она была основана в 1984 году группой ученых-компьютерщиков из Стэнфордского университета. На сегодняшний день в Cisco работают сотрудники из множества стран мира, которые продолжают внедрять инновации в производство. Компания активно занимается разработкой средств защиты от угроз в цифровом пространстве. Более того, Cisco расширяет свой опыт, предлагая широкий спектр услуг, таких как техническая поддержка и расширенные сервисы. Компания продает свои продукты и предоставляет услуги на корпоративном уровне коммерческим предприятиям и физическим лицам. Cisco Secure Firewall — это межсетевые экраны нового поколения (Next-Generation Firewall, NGFW). Они обеспечивают комплексную защиту от угроз, включая мониторинг и контроль приложений, защиту от вторжений нового поколения, усовершенствованного вредоносного ПО.

Плюсы и минусы аппаратных сетевых экранов Cisco:

+ В удобном интерфейсе легко ориентироваться;
+ Достаточно просто переключаться с одного экрана или окна на другое;
+ Несколько экранов / окон предоставляют быструю информацию о производительности, трафике, приложениях, угрозах и т.д.;
+ Понятный и знакомый многим системным администраторам синтаксис работы с консолью Cisco;
- Отсутствие функции отката к предыдущим настройкам;
- Отсутствие эффективной системы реагирования на запросы службы поддержки. Нет системы регистрации запросов;
- Высокая стоимость;

Juniper. Серия SRX

SRX Series Firewall от Juniper с 14 портами LC-LC. Источник: Juniper

Компания Juniper Networks, базирующаяся в Кремниевой долине, была основана около двух десятилетий назад Прадипом Синду, Деннисом Фергюсоном и Бьорном Лиенкресом. Целью компании является разработка инновационных продуктов и решений для удовлетворения растущих потребностей цифрового мира. Услугами, предлагаемыми Juniper, пользуются различные компании и предприятия по всему миру. Аппаратные файрволы Juniper серии SRX представляют собой интегрированные решения, обеспечивающие защиту сетей от различных угроз. Они отличаются высокой производительностью, широким набором дополнительных функций.

Плюсы и минусы файрволов от этого производителя:

+ Стабильная работа, низкая частота сбоев Высокая пропускная способность;
+ Высокая производительность маршрутизации трафика;
+ Простота автоматизации;
+ Могут работать в операционной системе JUNOS. (Поэтому есть доступ ко многим преимуществам операционной системы. Удобную функцию отката в JUNOS сетевые администраторы могут использовать для тестирования и фиксации изменений в течение определенного периода времени);
- Для работы с устройствами SRX нужны профессионально подготовленные специалисты. Кроме того, требуется некоторое время, чтобы привыкнуть к устройству, а графический интерфейс платформы SRX нуждается в значительном улучшении;
- Некоторые функции файрвола требуют основательной доработки;
- Высокая стоимость.

FortiGate: Next Generation Firewall (NGFW)

Предназначенный для дата центров межсетевой экран FortiGate 6000F Series, с портами SFP28, QSFP28, RJ45. Источник: Fortinet

Основанная более 20 лет назад в Саннивейле (штат Калифорния) компания Fortinet продолжает оставаться мощной движущей силой кибербезопасности. Обеспечение защиты устройств и данных – миссия FortiGate. Каталог более чем из 50 продуктов корпоративного уровня является одним из крупнейших в своем роде.

Аппаратные файрволы FortiGate Next Generation Firewall — это комплексные решения, объединяющие функции классических межсетевых экранов, систем защиты каналов, мониторинга вторжений, фильтрации веб-трафика и электронной почты пользователей.

Плюсы и минусы:

+ Интуитивно понятный графический интерфейс, который очень удобен в использовании. Например, можно настроить множество сложных правил. Пользователи отмечают удобство командной строки, а также функции завершения;
+ У каждой конфигурации файрвола FortiGate свой собственный мастер настройки. Все необходимые инструкции и документация по продукту есть на официальном веб-сайте;
+ Расширенная защита от угроз: включает в себя сложные механизмы обнаружения, в том числе обучение системы и анализ для выявления и устранения сложных опасностей;
- Команда поддержки не в состоянии справиться со всеми запросами клиентов;
- Отсутствие функции печати отчетов;

MikroTik

Коммутатор (Маршрутизатор) Mikrotik CCR2004-1G-12S+2XS с 12 портами SFP+. Обеспечивает невероятные результаты при обработке одного туннеля (до 3,4 Гбит/с) и обработке каналов BGP.

MikroTik - латвийская компания, основанная в 1996 году для разработки маршрутизаторов и беспроводных интернет-провайдерских систем, оснащенных встроенными файрволами, работающими на основе собственной операционной системы RouterOS. В настоящее время MikroTik предоставляет широкий выбор аппаратных средств для обеспечения безопасного подключения к Интернету.

Межсетевой экран MikroTik основаны на принципах iptables в Linux и позволяют фильтровать входящий и исходящий трафик по определенным правилам. В работе этих брандмауэров используются цепочки (input, output и forward) и действия (accept, drop и reject).

Плюсы и минусы:

+ Собственная операционная система. На ПК устанавливается приложение WinBox, обеспечивающее доступ к оболочке системы и ее консоли, что буквально превращает компьютер в маршрутизатор со всеми необходимыми функциями - маршрутизацией, файрволом, беспроводной точкой доступа, каналом обратной связи, VPN-сервером и многим другим;
+ Доступные цены. По причине доступных цен данное аппаратное решение является отправной точкой в сфере использования файрволов для многих компаний;
+ Удобный графический интерфейс;
+ Настройка WinBox является интуитивно понятной и под силу даже начинающему системному администратору.

Palo Alto Networks

Модели Firewall Hardware нового поколения от Palo Alto Networks — от офисных, до дата-центр и 5G-провайдеров. Источник: Palo Alto Networks

Palo Alto Networks фокусируется на обеспечении безопасного доступа в сети на основе общепринятых стандартов безопасности. Сетевые экраны серии PA обеспечивают высокий стандарт защиты для каждого аспекта деятельности.

Аппаратные файрволы Palo Alto Networks представлены разными моделями, включая компактные устройства для малых офисов и крупных корпоративных систем, обеспечивающими гибкость и масштабируемость для различных потребностей организаций.

Что нравится и не нравится пользователям аппаратных файрволов Palo Alto:

+ Большой спектр возможностей для анализа сетевого трафика, что позволяет лучше контролировать его, применяя различные профили безопасности, такие как категория URL (которую можно легко настроить), антивирус, защита от шпионских программ, расширенная фильтрация URL, блокировка файлов и т.д. Кроме того, можно создать пользовательский идентификатор приложения;
+ Интерфейс с множеством дополнительных функций, просмотр и управление с помощью единого окна. - Имеющаяся инструкция практически бесполезна (по крайней мере, та, что доступна для пользователей);
- Нет возможности перенести (скопировать) часть правила политики безопасности в другое правило;
- Процесс обучения администраторов очень сложный;
- Большинство функций продукта требует дополнительного лицензирования, что приводит к излишним затратам;
- Продукт требует регулярного обновления и сопровождения.

Распространенные мифы о Firewall

Абстрактное изображение FireWall. Источник: Elegant

Негативно влияет на производительность системы

Принято считать, что сетевой экран снижает скорость работы системы. Но, это не всегда так и зависит исключительно от типа используемой техники. Аппаратный межсетевой экран - это внешние физические устройства, которые технически соединяют систему с Интернетом. Таким образом, они не могут влиять на производительность ПК, соединенного с ними. Программные же брандмауэры существуют внутри компьютера и действительно зависят от его ресурсов.

Известно, что несколько брандмауэров, работающих в одной сети, могут потенциально повлиять на скорость работы системы. К тому же этот показатель зависит от объема фильтруемого трафика. Например, если сервер перегружен сотнями поступающих Гб трафика, (при использовании программного брандмауэра) в его работе может наступить полный паралич (ведь в этом случае будут задействованы ресурсы процессора).

Firewall экран - это то же самое, что и антивирус

Это неверное предположение. Файрволы и антивирусы, предназначены для обеспечения безопасности на разных уровнях. Первые отслеживают и контролируют трафик в сети, предоставляют доступ к безопасным подключениям и блокируют вредоносные. В свою очередь, антивирусные программы необходимы для фильтрации вредоносных файлов, кодов и приложений, которые могут причинить вред системе. Таким образом, два этих продукта не являются взаимозаменяемыми, а каждый их них выполняет свою функцию.

FireWall и Антивирус. Источник: AfterAcademy

Для Firewall не требуется обновлений

Это верно лишь отчасти. Для программного брандмауэра действительно нужны обновления. Для аппаратных же файрволов обновления не так важны. Эффективность их работы зависит от настроек, произведённых администратором.

Firewall обеспечивает полную безопасность при работе в Сети

К сожалению, и это является мифом. На самом деле сетевой экран не может гарантировать полноценную защиту. Он только повышает степень безопасности, но не может полностью предотвратить атаки злоумышленников. Возможности межсетевого экрана ограничены, когда речь идет о внешних сетях, таких как Интернет. Если в файрволе есть «лазейка», взломать систему злоумышленникам будет проще простого. Сетевой экран может выполнять только свою функцию, но не выходить за ее рамки. Безопасность предприятия при использовании аппаратного сетевого экрана всецело зависит от IT специалиста и степени его вовлеченности в работу. Файрвол не является “волшебной палочкой”, которая способна самостоятельно сделать сеть безопасной. Это мощный и сложный инструмент, который в полной мере может быть реализован только в руках профессионалов.

Firewall защищает от новейших угроз

Степень обеспечиваемой безопасности и реагирование устройства на новейшие угрозы в значительной степени зависит от профессионализма IT-специалиста, обслуживающего его. Его знания, умения и работать на результат - залог цифровой безопасности компании.

Файрвол обнаруживает вредоносное ПО

Межсетевой экран предназначен для блокирования точек входа, которые могут быть использованы злоумышленниками для доступа к системе. Однако если в системе уже есть вредоносное ПО, установка сетевого экрана в качестве контрмеры не приведет к устранению проблемы.

Упрощенное изображение принципа работы FireWall. Источник: Spiceworks

Аппаратные файрволы предназначены только для крупных компаний

Существует ошибочное мнение, что такие брандмауэры необходимы только для крупных компаний. Однако специалисты в области кибербезопасности говорят, что межсетевой экран необходим практически в каждой компании, в которой есть от 10 пользователей. Например, если компании требуется собственный сайт, то файрвол сможет защитить его от DDoS-атак. В организациях, в которых работает До 10 пользователей, достаточно встроенных в маршрутизатор средств. Например если компания использует оборудование “Микротик” начального уровня, к примеру - RB3011UIAS-RM то ее сотрудники могут настроить базовые принципы фильтрации трафика даже в этом устройстве. Конечно, это решение не обеспечит высокую производительность, которую гарантируют устройства специализированных линеек, но данный вариант тоже будет работать и сэкономит бюджет малой организации.

Растущие киберугрозы распространяются во всех отраслях, независимо от количества сотрудников, и firewall необходим для поддержания стабильности и безопасности внутренних сетей.

Заключение

Мы разобрали вопрос «что такое файрвол». Наиболее подробно рассмотрели аппаратные сетевые экраны, как наиболее эффективное средство киберзащиты. Были перечислены ведущие этих устройств, преимущества и недостатки их продукции. Также мы развеяли наиболее распространенные мифы о файрволах.

Автор:

Serverflow