Файрвол
Файрвол (от англ. firewall — «огненная стена»), также известный как брандмауэр (от нем. Brandmauer — «пожарная стена») или сетевой экран, — это комплекс аппаратных или программных средств, предназначенный для контроля и фильтрации сетевого трафика на основе заданных правил безопасности. Основная функция файрвола — разделение сети на сегменты с разным уровнем доверия и предотвращение несанкционированного доступа из одной сети в другую, а также защита от внешних угроз, таких как хакерские атаки, вредоносное ПО и утечка данных.
История
Предпосылки появления
С развитием компьютерных сетей в 1980-х годах, особенно после появления сети ARPANET и протокола TCP/IP, возникла необходимость в защите ресурсов от несанкционированного доступа. Первые методы защиты основывались на простой аутентификации и контроле доступа на уровне операционной системы, однако они не обеспечивали изоляции между сетями.
Первые реализации
Концепция файрвола как отдельного устройства была впервые предложена в 1988 году в докладе Джеффри Могала и Дейва Рида из Digital Equipment Corporation (DEC). В том же году компания DEC выпустила первый коммерческий продукт — DEC SEAL (Secure External Access Link), который представлял собой шлюз прикладного уровня. В 1991 году появился первый программный файрвол — пакетный фильтр, реализованный в операционной системе Linux (пакет ipfwadm).
Развитие в 1990-х
В 1992 году компания Check Point Software Technologies выпустила FireWall-1 — первый коммерческий продукт, сочетавший фильтрацию пакетов и проверку состояния соединений (stateful inspection). Это стало революцией, так как позволяло отслеживать не только отдельные пакеты, но и контекст соединения. К концу 1990-х годов файрволы стали стандартным компонентом корпоративных сетей, а в 1998 году Microsoft встроила базовый файрвол в Windows 98 (Internet Connection Sharing).
Современный этап
С 2000-х годов файрволы эволюционировали в многофункциональные устройства (Next-Generation Firewall, NGFW), объединяющие фильтрацию пакетов, контроль приложений, системы предотвращения вторжений (IPS), антивирусную защиту и VPN-функции. В 2010-х появились облачные файрволы (Firewall-as-a-Service, FWaaS) и виртуальные сетевые экраны для облачных платформ (AWS Security Groups, Azure Firewall).
Классификация
По способу реализации
- Аппаратные файрволы — выделенные устройства (например, Cisco ASA, Fortinet FortiGate), работающие на специализированном оборудовании с оптимизированным программным обеспечением. Отличаются высокой производительностью и надёжностью, используются в крупных организациях.
- Программные файрволы — приложения, устанавливаемые на компьютер или сервер (например, Windows Defender Firewall, iptables в Linux, Comodo Firewall). Обеспечивают гибкость настройки, но потребляют ресурсы хоста.
- Облачные файрволы — сервисы, предоставляемые облачными провайдерами (AWS Network Firewall, Google Cloud Armor). Управляются через API и интегрируются с облачной инфраструктурой.
По уровню фильтрации (модель OSI)
- Пакетные фильтры (Packet Filter) — работают на сетевом (3) и транспортном (4) уровнях. Анализируют заголовки IP-пакетов (IP-адреса, порты, протоколы) и принимают решение на основе статических правил. Пример: iptables.
- Файрволы с контролем состояния соединений (Stateful Inspection) — дополняют пакетную фильтрацию отслеживанием состояния TCP-соединений. Позволяют разрешать ответные пакеты от легитимных сессий, блокируя подозрительные. Пример: Check Point FireWall-1.
- Шлюзы прикладного уровня (Application Gateway) — работают на прикладном (7) уровне. Анализируют содержимое протоколов (HTTP, FTP, SMTP) и могут блокировать вредоносные команды или файлы. Пример: прокси-сервер Squid.
- Файрволы нового поколения (NGFW) — объединяют все три уровня, добавляя идентификацию приложений (независимо от порта), контроль пользователей, интеграцию с системами предотвращения вторжений. Пример: Palo Alto Networks.
По типу защищаемой среды
- Персональные файрволы — защищают отдельный компьютер (например, брандмауэр Windows).
- Корпоративные файрволы — защищают целую сеть (сегмент) или дата-центр. Могут быть распределёнными.
- Виртуальные файрволы — работают в виртуализированных средах (VMware NSX, Microsoft Hyper-V).
Принципы работы
Базовые механизмы
Файрвол анализирует каждый сетевой пакет, проходящий через него, и сравнивает его с набором правил (access control list, ACL). Правила могут быть:
- Разрешающими — пропустить пакет.
- Запрещающими — отбросить пакет.
- С перенаправлением — направить пакет на другой интерфейс или в лог.
Правила обрабатываются последовательно; первое совпадение определяет действие. Если ни одно правило не подходит, по умолчанию пакет блокируется (политика deny-all) или пропускается (политика allow-all). В современных системах предпочтительна политика deny-all.
Контроль состояния соединений (Stateful Inspection)
Для TCP-соединений файрвол создаёт таблицу состояний, где записывает:
- IP-адреса и порты отправителя и получателя.
- Номер последовательности (SEQ) и подтверждения (ACK).
- Фазу соединения (SYN, SYN-ACK, ESTABLISHED, FIN).
Это позволяет пропускать только пакеты, относящиеся к уже установленным легитимным сессиям, и блокировать подозрительные пакеты (например, SYN-флуд).
Фильтрация на прикладном уровне
NGFW используют Deep Packet Inspection (DPI) для анализа содержимого пакетов на уровне приложений. Например, файрвол может блокировать HTTP-запросы, содержащие SQL-инъекции, или запретить передачу файлов определённого типа через FTP.
Применение
Защита корпоративных сетей
Файрволы устанавливаются на границе сети (периметральные) для защиты от внешних атак. Они также используются для сегментации внутренней сети (межсетевые экраны между отделами), чтобы ограничить распространение угроз внутри организации.
Защита домашних пользователей
Встроенные файрволы в маршрутизаторах (NAT-брандмауэры) и операционных системах защищают домашние компьютеры от несанкционированного доступа из интернета. Современные антивирусные пакеты (например, Kaspersky, Norton) включают персональные файрволы.
Облачные среды
В облачных платформах файрволы реализуются как виртуальные устройства (например, AWS Security Groups — stateful фильтры для EC2-инстансов) или как сервисы (Azure Firewall — управляемый облачный файрвол). Они интегрируются с политиками IAM (Identity and Access Management) и обеспечивают микросегментацию.
Специализированные применения
- Web Application Firewall (WAF) — защита веб-приложений от атак (XSS, SQLi). Пример: ModSecurity.
- Database Firewall — мониторинг и блокировка SQL-запросов к базам данных.
- Industrial Firewall — защита промышленных сетей (SCADA, PLC) от кибератак.
Критика и ограничения
Недостатки традиционных файрволов
- Неспособность блокировать угрозы внутри периметра — если атакующий уже проник в сеть (например, через заражённый ноутбук), периметральный файрвол не защитит.
- Сложность управления — в крупных сетях количество правил может достигать тысяч, что ведёт к ошибкам и снижению производительности.
- Уязвимость к шифрованному трафику — файрвол не может анализировать содержимое HTTPS-пакетов без расшифровки (TLS-инспекция), что требует дополнительных сертификатов и ресурсов.
Эволюция угроз
Современные атаки (например, APT — advanced persistent threats) часто используют легитимные протоколы и шифрование, что делает традиционные файрволы менее эффективными. Поэтому в современных системах файрволы дополняются системами обнаружения вторжений (IDS/IPS), песочницами и поведенческим анализом.
Интересные факты
- Термин «firewall» происходит из строительства: в зданиях возводились огнестойкие стены для предотвращения распространения пожара. В компьютерной сфере термин впервые использован в 1980-х годах для обозначения межсетевого экрана.
- Первый в мире коммерческий файрвол DEC SEAL стоил около 50 000 долларов США и весил более 20 кг.
- В России требования к файрволам регулируются Федеральным законом № 152-ФЗ «О персональных данных» и приказами ФСТЭК, которые предписывают использование сертифицированных средств защиты информации.
Источники
- Д. Могал, Д. Рид. «Firewalls: A Technique for Network Security» (1988).
- С. Норткатт, Д. Новак. «Межсетевые экраны. Практическое руководство» (2002).
- Материалы Check Point Software Technologies (1993–2024).
- Документация Microsoft Windows Firewall (2001–2024).
- Стандарты NIST SP 800-41 «Guidelines on Firewalls and Firewall Policy» (2009).
- Публикации ФСТЭК России по сертификации средств защиты информации (2010–2024).
BFOmetr — база данных и аналитика по компаниям России.
На главную BFOmetr →