Спецпроекты

Что такое фаерволы и как они работают

Безопасность Интернет Интеграция ИТ в банках ИТ в госсекторе Ритейл Маркет

Фаервол, или брандмауэр, — термин для обозначения технических и программных средств, которые обрабатывают входящий и исходящий сетевой трафик. Проходящие данные проверяются на соответствие набору заданных правил и могут быть заблокированы от дальнейшей передачи.

Оба названия были заимствованы из иностранных языков и означают одно и то же: «противопожарный щит/стена» — в переводе с английского («firewall») и немецкого («brandmauer»), соответственно.

Как и проистекает из изначальной формулировки, фаервол предназначен для защиты внутренней информационной среды или ее отдельных частей от некоторых внешних потоков, и наоборот, предохраняет от прохождения отдельных пакетов вовне — например, в интернет. Фаерволы позволяют отфильтровывать подозрительный и вредоносный трафик, в том числе пресекать попытки взлома и компрометации данных.

При правильной настройке сетевой щит позволяет пользователям сети иметь доступ ко всем нужным ресурсам и отбрасывает нежелательные соединения от хакеров, вирусов и других вредоносных программ, которые пытаются пробиться в защищенную среду.

История появления

Фаерволом может быть как программное средство, так и комплекс ПО и оборудования. И поначалу они были чисто железными, как и давшие им название противопожарные сооружения.

В контексте компьютерных технологий термин стал применяться в 1980-х годах. Интернет тогда был в самом начале своего применения в глобальных масштабах.

Есть мнение, что, прежде чем название фаервола пришло в реальную жизнь, оно прозвучало в фильме «Военные игры» 1983 г., где главный герой — хакер, проникший в сеть Пентагона. Возможно, это повлияло на заимствование и использование именно такого именования оборудования.

Первыми фаерволами можно назвать маршрутизаторы, которые защищали сети в конце 1980-х. Все передаваемые данные проходили сквозь них, поэтому логично было добавить им возможность фильтрации пакетов.

По одной из версий слово «фаервол» применительно к ИТ-системам впервые прозвучало в фильме «Военные игры», 1983 г.

Виды фаерволов

Сетевой экран может ограждать от нежелательного трафика как всю сеть, так и отдельную рабочую станцию или сервер. Фаервол может быть реализован:

  • как программа, запущенная на оборудовании общего назначения,
  • как аппаратное средство для специализированного устройства или комплекса,
  • как предварительно сконфигурированный образ, запущенный на виртуальной машине.

Единой и строгой классификации брандмауэров нет, однако часто можно встретить распределение их в зависимости от поддерживаемого уровня сетевой модели OSI.

Управляемые коммутаторы

Сетевые экраны в виде управляемых коммутаторов — быстрое и мощное средство для защиты корпоративных сетей. Такие устройства работают на канальном уровне OSI и не могут фильтровать данные на протоколах более высоких уровней.

Эти фаерволы могут применяться между сегментами локальной сети или отдельными компьютерами.

Пакетные фильтры

Эти устройства функционируют на канальном и, в некоторых случаях, сетевом уровнях OSI. Контроль трафика производится путем анализа заголовков проходящих пакетов. Это одни из первых средств защиты сетей и являются самыми распространенными.

Узким местом таких межсетевых экранов является то, что при фильтрации фрагментированных пакетов в дальнейшую обработку и передачу могут попадать сообщения, маскирующиеся под фрагменты доверенного пакета. Поэтому часто администраторы настраивают эти фильтры так, чтобы блокировать любые фрагментированные пакеты.

Шлюзы сеансового уровня

Фаерволы, действующие на сеансовом уровне, выступают в качестве посредника (прокси) между внешними хостами и узлами локальной сети. Все соединения вносятся в специальную таблицу, после чего фильтр проходят лишь те пакеты, что относятся к соединениям из этой таблицы. При разрыве соединения последующие пакеты отбрасываются.

Шлюз скрывает от внешних узлов внутреннюю топологию локальной сети, что значительно усложняет потенциальные вредоносные атаки. Единственный путь для них — подменять и маскировать пакеты, подкидывая «троянских коней».

Посредники прикладного уровня

Сетевые экраны прикладного уровня OSI тоже проксируют внешние соединения, но действуют более комплексно. Они могут вычленять в передаваемых данных нежелательные последовательности и команды, причем отдельно анализируются разные прикладные протоколы.

К примеру, такой фаервол может определить, что в почтовом сообщении содержится исполняемый файл, и отбросить его. Каждый пакет проходит многоэтапную проверку, поэтому сетевые экраны данного типа очень медленные и ресурсоемкие. Они редко могут быть использованы для обработки потоков в реальном времени.

Инспекторы состояния

Эти фаерволы не воздействуют на этап установления соединения между хостами, что дает им преимущество в производительности.

Фильтрация трафика в них производится по принципу сетевого экрана сеансового уровня. Инспектор состояния контролирует каждый пакет на основе таблицы правил, а также сопоставляет каждую сессию на базе таблицы состояний. На уровне приложений работают специализированные посредники.

Дополнительная защита сети

Любой фаервол эффективно защищает локальную сеть или машину только от тех угроз, о которых знает. Всегда есть вероятность, что в систему найдет путь нераспознанный сетевым экраном трафик.

Для дополнительной защиты можно использовать протоколы TLS, SSH, IPsec и SRTP, которые применяют криптографию для искажения и маскировки содержимого пакетов, или протоколы OpenPGP и S/MIME, шифрующие информацию на прикладном уровне, что препятствует фильтрации пакетов на сетевом уровне.

Стоимость лицензий на фаерволы

Сегодня фаерволы входят в большинство комплексных решений по повышению ИТ-безопасности компаний. Их стоимость зависит от функционала и количества лицензий, то есть числа защищаемых устройств, как мобильных, так и серверных, и десктопных. С ценами на такие решения можно ознакомиться на ИТ-маркетплейсе Market.CNews в разделе «ИТ-безопасность».

Так, минимальная стоимость защитного программного обеспечения с фаерволом на борту — ₽2400 в месяц на 1 ПК. Однако с ростом количества сотрудников в компании цена будет расти заметно медленнее. В частности, для компании из 10 рабочих мест стоимость составит уже порядка ₽13500 в месяц, а на 100 ПК — всего ₽60 тыс. в месяц.