Открыть сервис

Брандмауэр

Брандмауэр (от нем. Brandmauer — «пожарная стена»), также известный как межсетевой экран или файрвол (от англ. firewall) — это комплекс аппаратных, программных или программно-аппаратных средств, осуществляющий контроль и фильтрацию проходящих через него сетевых пакетов на основе заданных правил. Основная функция брандмауэра — защита компьютерной сети или отдельного узла от несанкционированного доступа, а также предотвращение утечки информации и распространения вредоносного программного обеспечения.

История

Предпосылки появления

С развитием компьютерных сетей в 1980-х годах возникла необходимость в разграничении доступа между различными сегментами сети. Первые протоколы, такие как TCP/IP, не предусматривали встроенных механизмов аутентификации и шифрования, что делало сети уязвимыми для атак извне. Ключевым импульсом для разработки брандмауэров стало осознание того, что подключение локальной сети к глобальной (Интернет) без защиты равносильно оставлению открытой двери в здание.

Первое поколение: пакетные фильтры

Первые брандмауэры появились в конце 1980-х годов. Они работали на сетевом уровне модели OSI (уровень 3) и анализировали заголовки IP-пакетов: IP-адреса источника и назначения, порты и протоколы (TCP, UDP). Такие устройства назывались пакетными фильтрами. Примером ранней реализации является фильтр, разработанный компанией Digital Equipment Corporation (DEC) в 1988 году. Пакетные фильтры были просты, быстры, но не могли анализировать содержимое пакета (полезную нагрузку) и были уязвимы для атак, использующих фрагментацию пакетов или подделку адресов (IP-спуфинг).

Второе поколение: шлюзы сеансового уровня

В начале 1990-х годов появились шлюзы сеансового уровня (stateful inspection firewalls). Они отслеживали состояние активных соединений (сессий). В отличие от простых пакетных фильтров, которые проверяли каждый пакет изолированно, такие брандмауэры вели таблицу состояний. Они пропускали входящие пакеты только в том случае, если они были частью ранее установленного и разрешённого исходящего соединения. Это значительно повысило безопасность, так как злоумышленник не мог отправить пакет извне, не имея предварительно установленного соединения изнутри сети. Первым коммерческим продуктом такого типа стал Firewall-1 компании Check Point Software Technologies (1993 год).

Третье поколение: шлюзы прикладного уровня

Следующим этапом стали шлюзы прикладного уровня (application-level gateways) или прокси-серверы. Они работали на прикладном уровне модели OSI (уровень 7) и анализировали содержимое трафика конкретных протоколов (HTTP, FTP, SMTP). Прокси-брандмауэр полностью разрывал соединение: клиент устанавливал соединение с прокси, а прокси — с сервером назначения. Это позволяло проверять команды прикладного протокола, обнаруживать вредоносные данные в теле запроса (например, SQL-инъекции или XSS-атаки) и скрывать внутреннюю структуру сети. Недостатком была более низкая производительность и необходимость настройки для каждого приложения.

Современные брандмауэры

Современные брандмауэры, как правило, являются комбинированными решениями (Next-Generation Firewall, NGFW). Они объединяют функции пакетной фильтрации, инспекции состояний, анализа приложений, а также включают системы предотвращения вторжений (IPS), антивирусную проверку, фильтрацию URL и интеграцию с облачными сервисами безопасности. С развитием облачных вычислений и виртуализации появились виртуальные брандмауэры (Virtual Firewall) и брандмауэры как сервис (Firewall-as-a-Service, FWaaS).

Классификация

По способу реализации

  • Программные брандмауэры — это приложения, устанавливаемые на операционную систему (например, встроенный брандмауэр Windows, iptables/nftables в Linux, сторонние продукты типа Comodo Firewall). Они защищают конкретный компьютер, но потребляют его ресурсы (процессор, память).
  • Аппаратные брандмауэры — это специализированные устройства, работающие на собственном программном обеспечении (например, Cisco ASA, FortiGate, MikroTik). Они обладают высокой производительностью и не зависят от ресурсов защищаемого компьютера, но стоят дороже.
  • Программно-аппаратные комплексы — устройства, объединяющие специализированное «железо» и проприетарное ПО, оптимизированное для задач фильтрации. Часто используются в корпоративных сетях и центрах обработки данных (ЦОД).

По типу фильтрации

  • Пакетные фильтры (stateless) — принимают решение на основе заголовков каждого отдельного пакета.
  • Брандмауэры с инспекцией состояний (stateful) — отслеживают состояние соединения и принимают решения на основе контекста сессии.
  • Шлюзы прикладного уровня (proxy) — выступают посредником, полностью разрывая соединение и анализируя трафик на уровне приложений.
  • Брандмауэры уровня ядра (kernel-level) — встраиваются непосредственно в ядро операционной системы, что обеспечивает максимальную производительность и минимальную задержку.

По месту размещения

  • Персональные — устанавливаются на конечные устройства (ПК, ноутбуки, смартфоны). Защищают только одно устройство.
  • Сетевые — размещаются на границе локальной сети (периметральные брандмауэры) или между её сегментами (внутренние брандмауэры). Защищают всю сеть или её часть.
  • Облачные — предоставляются как услуга облачным провайдером (например, AWS Network Firewall, Azure Firewall, Google Cloud Armor). Защищают виртуальные сети и ресурсы в облаке.

Принцип работы

Основой работы любого брандмауэра является набор правил (политик безопасности). Правило состоит из условий и действия. Условия могут включать:

  • IP-адрес источника (откуда пришёл пакет).
  • IP-адрес назначения (куда направлен пакет).
  • Порт источника (порт, с которого отправлен пакет).
  • Порт назначения (порт, на который предназначен пакет, например, 80 для HTTP, 443 для HTTPS).
  • Протокол (TCP, UDP, ICMP и др.).
  • Интерфейс (через какой сетевой интерфейс пришёл или уходит пакет).
  • Время суток (некоторые правила могут действовать только в рабочие часы).
  • Приложение (для NGFW — например, разрешить трафик только от браузера Chrome, но запретить от Skype).

Действие может быть:

  • Разрешить (Allow) — пакет пропускается.
  • Заблокировать (Deny) — пакет отбрасывается, отправителю может быть отправлено сообщение об ошибке (ICMP-пакет) или нет.
  • Отклонить (Reject) — пакет отбрасывается, и отправителю обязательно отправляется уведомление об ошибке.

Правила проверяются последовательно, сверху вниз. Как только пакет соответствует условию какого-либо правила, применяется соответствующее действие, и дальнейшая проверка по остальным правилам прекращается. Если пакет не соответствует ни одному правилу, применяется действие по умолчанию (обычно «запретить всё»).

Применение

Защита корпоративных сетей

Брандмауэры являются обязательным элементом инфраструктуры любой организации, имеющей выход в Интернет. Они устанавливаются на границе сети для защиты от внешних атак (хакеры, черви, сканеры портов) и для контроля исходящего трафика (предотвращение утечки данных, блокировка доступа к нежелательным сайтам).

Защита домашних пользователей

Встроенные брандмауэры в операционных системах (Windows Defender Firewall, iptables) и в домашних маршрутизаторах (NAT-брандмауэр) защищают частные компьютеры от атак из Интернета. Многие антивирусные пакеты также включают персональный брандмауэр.

Сегментация сети

Внутри крупных сетей брандмауэры используются для разделения на зоны безопасности (DMZ, внутренняя сеть, сеть для гостей). Например, веб-сервер размещается в DMZ, и брандмауэр разрешает трафик к нему из Интернета, но блокирует доступ из DMZ к внутренней сети с критичными данными (бухгалтерия, базы данных).

Облачные вычисления

В облачных средах брандмауэры используются для защиты виртуальных машин, контейнеров и серверных функций. Они могут быть как встроенными в платформу (группы безопасности в AWS, Azure), так и сторонними виртуальными устройствами.

Критика и ограничения

  • Производительность: Глубокая инспекция пакетов (DPI) и анализ на прикладном уровне требуют значительных вычислительных ресурсов, что может приводить к задержкам и снижению пропускной способности сети.
  • Сложность настройки: Неправильно настроенные правила могут блокировать легитимный трафик или, наоборот, оставлять лазейки для атак. Управление большим количеством правил в крупных организациях является сложной задачей.
  • Неэффективность против некоторых угроз: Брандмауэр не защищает от атак, использующих разрешённые протоколы (например, HTTP-атаки, передача вредоносного кода через HTTPS, если трафик не расшифровывается). Он также бесполезен против угроз, исходящих изнутри сети (инсайдеры, заражённые устройства, подключённые к локальной сети в обход брандмауэра).
  • Обход защиты: Существуют методы обхода брандмауэров, такие как туннелирование (использование SSH, VPN, DNS-туннелей), использование нестандартных портов для разрешённых протоколов, шифрование трафика на прикладном уровне.

Интересные факты

  • Термин «брандмауэр» (firewall) изначально использовался в строительстве для обозначения противопожарной стены, которая должна была препятствовать распространению огня между зданиями или частями здания.
  • Первый коммерческий брандмауэр, DEC SEAL, был представлен в 1991 году. Он стоил около 30 000 долларов США.
  • В России требования к брандмауэрам, используемым в государственных информационных системах и системах персональных данных, регулируются Федеральной службой по техническому и экспортному контролю (ФСТЭК России). Существуют сертифицированные средства защиты информации, соответствующие определённым классам защищённости.

Источники

  • Стандарт RFC 2979 «Behavior of and Requirements for Internet Firewalls» (2000).
  • Книга: Cheswick, W. R., Bellovin, S. M., & Rubin, A. D. «Firewalls and Internet Security: Repelling the Wily Hacker» (2nd ed., 2003).
  • Материалы лекций курса «Компьютерные сети» (Курс МФТИ, 2020).
  • Документация по продуктам Cisco ASA, Check Point, Fortinet.
  • Методические документы ФСТЭК России по защите информации.

BFOmetr — база данных и аналитика по компаниям России.

На главную BFOmetr →