Firewall — английский термин, обозначающий противопожарную стену, возведенную, например, между близко расположенными зданиями для предотвращения распространения огня с одного строения на остальные. Есть немецкое слово «Брандмауэр», означающее то же самое.
В IT оба эти слова являются синонимами межсетевого экрана — исключительно программного или комплексного компонента операционной системы. Он может быть установлен как отдельно, так и поставляться в составе ОС, а также антивирусного ПО, поскольку они решают схожие задачи, просто разными способами. Существуют и аппаратные решения — выделенные устройства, используемые в корпоративных сетях.
Файрволы делают то же самое, что и их предки — защищают компьютер или локальную сеть от внешних угроз, только в роли огня выступает вредоносное программное обеспечение, DDoS-атаки, бэкдоры. В паре с антивирусом Firewall образует эффективную связку для защиты ПК, предотвращая попадание вирусов и запрещая любое несанкционированное вмешательство извне.
Брандмауэры появились гораздо позже антивирусов, и были ответом на быстрорастущее число атак на компьютеры. Стало очевидно, что предупредить угрозу заражения гораздо легче, чем потом с ней бороться. К тому же их можно использовать и в других сценариях, например, для разграничения прав доступа машин интрасети — запретить некоторым ПК выход в интернет полностью или только по определенным IP-адресам.
Принцип работы
Сетевой экран устанавливается в точке выхода локальной сети в интернет или просто на ПК, если речь идет о единичной машине. Теперь весь входящий и исходящий трафик находится под его контролем, а значит, мы можем установить любые правила фильтрации. И такие правила действительно есть — часто их называют ruleset, что так и переводится — «набор правил».
Этот набор правил — его можно представить в виде туннеля для потока пакетов с последовательными шлюзами, где каждый из шлюзов являет собой отдельное правило — разрешает или запрещает определенные пакеты данных.
Более сложный вариант может включать контроль состояния сеансов — брандмауэр на протяжении нескольких сеансов анализирует все действия пользователя в сети, после чего выстраивает для себя некие границы типичного поведения. Если поведение покажется нетипичным — он может заблокировать трафик.
Небольшое отступление
С самого начала сетевые экраны пошли двумя путями развития: в виде прокси-серверов, которые выполняли роль защитника для сетей, и Firewall’ов, программно осуществляющих фильтрацию по набору правил — о них написано выше. Выделенные прокси-серверы обладали большей производительностью и могли позволить себе более тщательную проверку по различным характеристикам.
Развитие сетевых экранов на базе прокси-серверов постепенно вылилось в NGFW (Next-Generation Firewall или Межсетевой экран следующего поколения). В частности, их задействуют для ограничения доступа к ресурсам, заблокированным в определенной стране, на уровне операторов связи. Они, среди прочего, используют Deep Packet Inspection (DPI) — технологию, способную осуществлять детальный анализ пакетов по их содержимому, а не только заголовкам.
Впрочем, он может быть полезен и для компаний, являясь эффективным инструментом защиты сетевой инфраструктуры, позволяющим выявлять многие современные угрозы. На данный момент существуют программно-аппаратные решения, сочетающие в себе все перечисленные возможности и даже больше, но в целом это уже выходит за рамки подобных статей, предназначенных для ознакомления.
Продолжаем
Итак, домашние файрволы — это в большинстве своем программное обеспечение, фильтрующее пакеты по некоторым простым характеристикам, указанным в заголовке пакета: IP-адресу отправителя и получателя, протоколу и так далее.
Есть 2 варианта работы:
- разрешено все, что не запрещено — если соответствия правилам, запрещающим соединение, не найдено, пакеты проходят;
- запрещено все, что не разрешено — проходят только те пакеты, которые попадают под разрешающие правила, остальные блокируются.
Второй вариант более безопасный, но требует детальной настройки и донастройки по мере возникновения новых потребностей.
Как начать пользоваться
Если на ПК установлена актуальная версия — 10 или 11 — операционной системы Windows, то в них уже по умолчанию есть собственный антивирус и Firewall. Найти его можно в настройках, например, для Windows 11 путь будет таким: «Настройки» → «Конфиденциальность и защита» → «Безопасность Windows» → «Брандмауэр и защита сети».
Если по каким-то причинам встроенное решение не устраивает, можно установить стороннее. Собственные межсетевые экраны есть в составе большинства современных антивирусов и в качестве отдельного программного обеспечения. Как правило, внешние файрволы отличаются большей гибкостью в настройке и дополнительными опциям, встроенные же — максимально просты и устроены так, чтобы пользователь не замечал их работу до возникновения угрозы.
Современные операционные системы самостоятельно определяют наличие двух антивирусов или файрволов и предлагают выбрать один из вариантов, например, при установке стороннего антивируса, встроенный в Windows отключится самостоятельно и включится, если удалить сторонний. Несмотря на это, при установке несистемного файрвола лучше убедиться, что системный отключен. Одновременная работа сразу двух сетевых экранов с разными политиками — плохая идея.
В macOS тоже есть встроенный Firewall, но по умолчанию из-за политики Apple он отключен. Его можно включить: «Системные настройки» → «Сеть» → «Брандмауэр». Он ничем не отличается, работает по такому же принципу и обладает схожими настройками.
Пользователям Linux можно установить утилиту с GUI или воспользоваться командной строкой. Возможность управлять политиками доступа реализована на уровне ядра, но в различных дистрибутивах может выглядеть по-разному, например, уже включать приложение с GUI — лучше поискать информацию о том, как это устроено в каждом конкретном случае.
