🔒 Брандмауэр (Firewall)
1. Что такое брандмауэр?
Брандмауэр (firewall) — это программное или аппаратное средство, предназначенное для контроля и фильтрации сетевого трафика на основе заданных правил. Основная цель брандмауэра — предотвратить несанкционированный доступ к сети или компьютеру и обеспечить защиту от внешних угроз.
2. Зачем нужны брандмауэры?
- Защита от несанкционированного доступа извне.
- Контроль входящего и исходящего трафика.
- Предотвращение распространения вредоносных программ.
- Управление разрешёнными/запрещёнными подключениями.
- Соблюдение политик безопасности в организациях.
3. Типы брандмауэров
| Тип |
Описание |
| Пакетный фильтр (Packet-filtering firewall) |
Анализирует заголовки пакетов (IP, порт) и принимает решение о пропуске или блокировке. Работает на уровне сети (L3). |
| Stateful Inspection Firewall |
Отслеживает состояние соединений. Может определить, является ли пакет частью установленного сеанса. |
| Proxy-брандмауэр (Application-Level Gateway) |
Работает как посредник между клиентом и сервером, анализируя данные на прикладном уровне (L7). |
| Next-Generation Firewall (NGFW) |
Современные межсетевые экраны, объединяющие классические функции брандмауэра с системами обнаружения вторжений (IDS), антивирусами, контролем приложений и другими средствами. |
4. Как работает брандмауэр?
🔄 Принцип работы:
- Все входящие и исходящие сетевые пакеты проходят через брандмауэр.
- Пакеты сравниваются с заранее заданными правилами фильтрации.
- Если правило совпадает, пакет либо пропускается, либо блокируется.
- Некоторые брандмауэры могут также проверять содержимое пакетов (например, NGFW).
🔍 Пример правила:
Если протокол = TCP
И IP-адрес источника = 192.168.1.100
И порт назначения = 22
Тогда разрешить подключение
5. Компоненты брандмауэра
| Компонент |
Описание |
| Правила фильтрации (Ruleset) |
Набор инструкций, определяющих, какие соединения разрешены, а какие запрещены. |
| Состояние соединения (State Table) |
Для stateful-брандмауэров хранит информацию о текущих сеансах. |
| Логирование (Logging) |
Фиксирует события для последующего анализа и расследования инцидентов. |
| Обнаружение аномалий (Intrusion Detection) |
Интегрированные модули IDS/IPS для выявления подозрительной активности. |
6. Правила брандмауэра
Правила — это основа работы любого брандмауэра. Обычно они имеют следующую структуру:
| Поле |
Описание |
| Action (Действие) |
Allow / Deny / Drop |
| Protocol (Протокол) |
TCP / UDP / ICMP / Any |
| Source IP |
IP-адрес отправителя |
| Destination IP |
IP-адрес получателя |
| Source Port |
Порт источника |
| Destination Port |
Целевой порт |
| Direction |
Входящий / Исходящий трафик |
⚠️ Важно: Порядок правил имеет значение. Первое совпадение определяет действие.
7. Примеры использования брандмауэра
🔐 Защита веб-сервера
- Разрешить только HTTP (порт 80) и HTTPS (порт 443).
- Заблокировать все остальные входящие подключения.
📡 Защита домашней сети
- Разрешить выход в интернет всем устройствам.
- Запретить входящие соединения извне, кроме SSH (порт 22) с определённого IP.
🏢 Корпоративная сеть
- Блокировка доступа к соцсетям и торрентам.
- Разрешение только корпоративным приложениям.
- Мониторинг и логирование всех событий.
8. Аппаратные и программные брандмауэры
| Тип |
Описание |
| Аппаратные брандмауэры |
Физическое устройство (роутер, UTM), устанавливаемое между интернетом и внутренней сетью. Примеры: Cisco ASA, Fortinet FortiGate, pfSense. |
| Программные брандмауэры |
Устанавливаются на отдельные устройства. Примеры: Windows Defender Firewall, iptables, ufw, firewalld, ZoneAlarm. |
9. Полезные команды для управления брандмауэром
🖥 Windows (PowerShell / netsh)
# Просмотр действующих правил
Get-NetFirewallRule
# Включить брандмауэр
Set-NetFirewallProfile -Profile Domain,Public,Private -Enabled True
# Добавить правило для порта
New-NetFirewallRule -DisplayName "Allow 80" -Direction Inbound -LocalPort 80 -Protocol TCP -Action Allow
🐧 Linux (iptables / ufw)
# Проверить текущие правила
sudo iptables -L -n -v
# Разрешить порт 22 (SSH)
sudo iptables -A INPUT -p tcp --dport 22 -j ACCEPT
# Заблокировать всё остальное
sudo iptables -A INPUT -j DROP
# Использование ufw (упрощённый интерфейс)
sudo ufw allow 80/tcp
sudo ufw enable
10. Best Practices
- Минимизация правил: Чем меньше правил, тем проще их поддерживать и проверять.
- Default-Deny: По умолчанию блокировать весь трафик, разрешать только необходимый.
- Регулярное обновление правил: Учитывать изменения в сетевой архитектуре и новых угрозах.
- Логирование и мониторинг: Слежение за событиями позволяет быстро реагировать на атаки.
- Тестирование: Перед применением новых правил проверять их в тестовой среде.
11. FAQ
❓ В чём разница между брандмауэром и антивирусом?
- Брандмауэр контролирует сетевой трафик.
- Антивирус сканирует файлы и процессы на наличие вредоносного ПО.
❓ Можно ли полностью заблокировать интернет через брандмауэр?
- Да, можно создать правило, которое блокирует весь исходящий трафик.
❓ Как проверить, включен ли брандмауэр?
- На Windows:
Control Panel → Windows Defender Firewall.
- На Linux:
sudo ufw status или systemctl status firewalld.
12. Полезные ссылки