Открыть сервис

Файрвол

Файрвол (от англ. firewall — «огненная стена»), также известный как брандмауэр (от нем. Brandmauer — «пожарная стена») или сетевой экран, — это комплекс аппаратных или программных средств, предназначенный для контроля и фильтрации сетевого трафика на основе заданных правил безопасности. Основная функция файрвола — разделение сети на сегменты с разным уровнем доверия и предотвращение несанкционированного доступа из одной сети в другую, а также защита от внешних угроз, таких как хакерские атаки, вредоносное ПО и утечка данных.

История

Предпосылки появления

С развитием компьютерных сетей в 1980-х годах, особенно после появления сети ARPANET и протокола TCP/IP, возникла необходимость в защите ресурсов от несанкционированного доступа. Первые методы защиты основывались на простой аутентификации и контроле доступа на уровне операционной системы, однако они не обеспечивали изоляции между сетями.

Первые реализации

Концепция файрвола как отдельного устройства была впервые предложена в 1988 году в докладе Джеффри Могала и Дейва Рида из Digital Equipment Corporation (DEC). В том же году компания DEC выпустила первый коммерческий продукт — DEC SEAL (Secure External Access Link), который представлял собой шлюз прикладного уровня. В 1991 году появился первый программный файрвол — пакетный фильтр, реализованный в операционной системе Linux (пакет ipfwadm).

Развитие в 1990-х

В 1992 году компания Check Point Software Technologies выпустила FireWall-1 — первый коммерческий продукт, сочетавший фильтрацию пакетов и проверку состояния соединений (stateful inspection). Это стало революцией, так как позволяло отслеживать не только отдельные пакеты, но и контекст соединения. К концу 1990-х годов файрволы стали стандартным компонентом корпоративных сетей, а в 1998 году Microsoft встроила базовый файрвол в Windows 98 (Internet Connection Sharing).

Современный этап

С 2000-х годов файрволы эволюционировали в многофункциональные устройства (Next-Generation Firewall, NGFW), объединяющие фильтрацию пакетов, контроль приложений, системы предотвращения вторжений (IPS), антивирусную защиту и VPN-функции. В 2010-х появились облачные файрволы (Firewall-as-a-Service, FWaaS) и виртуальные сетевые экраны для облачных платформ (AWS Security Groups, Azure Firewall).

Классификация

По способу реализации

По уровню фильтрации (модель OSI)

По типу защищаемой среды

Принципы работы

Базовые механизмы

Файрвол анализирует каждый сетевой пакет, проходящий через него, и сравнивает его с набором правил (access control list, ACL). Правила могут быть:

Правила обрабатываются последовательно; первое совпадение определяет действие. Если ни одно правило не подходит, по умолчанию пакет блокируется (политика deny-all) или пропускается (политика allow-all). В современных системах предпочтительна политика deny-all.

Контроль состояния соединений (Stateful Inspection)

Для TCP-соединений файрвол создаёт таблицу состояний, где записывает:

Это позволяет пропускать только пакеты, относящиеся к уже установленным легитимным сессиям, и блокировать подозрительные пакеты (например, SYN-флуд).

Фильтрация на прикладном уровне

NGFW используют Deep Packet Inspection (DPI) для анализа содержимого пакетов на уровне приложений. Например, файрвол может блокировать HTTP-запросы, содержащие SQL-инъекции, или запретить передачу файлов определённого типа через FTP.

Применение

Защита корпоративных сетей

Файрволы устанавливаются на границе сети (периметральные) для защиты от внешних атак. Они также используются для сегментации внутренней сети (межсетевые экраны между отделами), чтобы ограничить распространение угроз внутри организации.

Защита домашних пользователей

Встроенные файрволы в маршрутизаторах (NAT-брандмауэры) и операционных системах защищают домашние компьютеры от несанкционированного доступа из интернета. Современные антивирусные пакеты (например, Kaspersky, Norton) включают персональные файрволы.

Облачные среды

В облачных платформах файрволы реализуются как виртуальные устройства (например, AWS Security Groups — stateful фильтры для EC2-инстансов) или как сервисы (Azure Firewall — управляемый облачный файрвол). Они интегрируются с политиками IAM (Identity and Access Management) и обеспечивают микросегментацию.

Специализированные применения

Критика и ограничения

Недостатки традиционных файрволов

Эволюция угроз

Современные атаки (например, APT — advanced persistent threats) часто используют легитимные протоколы и шифрование, что делает традиционные файрволы менее эффективными. Поэтому в современных системах файрволы дополняются системами обнаружения вторжений (IDS/IPS), песочницами и поведенческим анализом.

Интересные факты

Источники

BFOmetr — база данных и аналитика по компаниям России.

На главную BFOmetr →