Брандмауэр, что это такое

Обновлено: 21.11.2024

Знакомство с брандмауэрами для дома и малого офиса

Использование брандмауэра в сочетании с другими защитными мерами может повысить вашу устойчивость к атакам.

Когда ваш компьютер доступен через подключение к Интернету или сеть Wi-Fi, он подвержен атаке. Однако вы можете ограничить внешний доступ к вашему компьютеру и информации на нем с помощью брандмауэра.

Что делают брандмауэры?

Брандмауэры обеспечивают защиту от внешних кибератак, защищая ваш компьютер или сеть от вредоносного или ненужного сетевого трафика. Брандмауэры также могут предотвратить доступ вредоносного программного обеспечения к компьютеру или сети через Интернет. Брандмауэры можно настроить так, чтобы они блокировали данные из определенных местоположений (например, сетевых адресов компьютеров), приложений или портов, пропуская при этом релевантные и необходимые данные. (Дополнительную информацию см. в разделе Общие сведения об атаках типа «отказ в обслуживании».)

Какой тип брандмауэра лучше?

К категориям брандмауэров относятся аппаратное и программное обеспечение. Хотя у обоих есть свои преимущества и недостатки, решение об использовании брандмауэра важнее, чем решение о том, какой тип вы используете.

  • Оборудование. Эти физические устройства, обычно называемые сетевыми брандмауэрами, располагаются между вашим компьютером и Интернетом (или другим сетевым подключением). Многие поставщики и некоторые поставщики интернет-услуг (ISP) предлагают интегрированные маршрутизаторы для малых и домашних офисов, которые также включают функции брандмауэра. Аппаратные брандмауэры особенно полезны для защиты нескольких компьютеров и контроля сетевой активности, которая пытается пройти через них. Преимущество аппаратных брандмауэров заключается в том, что они обеспечивают дополнительную линию защиты от атак, достигающих настольных вычислительных систем. Недостатком является то, что это отдельные устройства, для настройки и обслуживания которых требуются обученные специалисты.
  • Программное обеспечение. Большинство операционных систем (ОС) включают встроенную функцию брандмауэра, которую следует включить для дополнительной защиты, даже если у вас есть внешний брандмауэр. Программное обеспечение брандмауэра также можно приобрести отдельно в местном компьютерном магазине, у поставщика программного обеспечения или у поставщика услуг Интернета. Если вы загружаете программное обеспечение брандмауэра из Интернета, убедитесь, что оно получено из надежного источника (например, от признанного поставщика программного обеспечения или поставщика услуг) и предлагается через безопасный сайт. (Дополнительную информацию см. в разделе Общие сведения о сертификатах веб-сайтов.) Преимущество программных брандмауэров заключается в их способности контролировать определенное сетевое поведение отдельных приложений в системе. Существенным недостатком программного брандмауэра является то, что он обычно располагается в той же защищаемой системе. Нахождение в одной системе может помешать брандмауэру обнаруживать и останавливать вредоносные действия. Другой возможный недостаток программных брандмауэров заключается в том, что если у вас есть брандмауэр для каждого компьютера в сети, вам нужно будет обновлять и управлять брандмауэром каждого компьютера по отдельности.

Как узнать, какие параметры конфигурации следует применить?

Большинство имеющихся в продаже брандмауэров, как аппаратных, так и программных, предварительно настроены и готовы к использованию. Поскольку каждый брандмауэр уникален, вам необходимо прочитать и понять документацию, прилагаемую к нему, чтобы определить, достаточно ли настроек брандмауэра по умолчанию для ваших нужд. Это особенно важно, потому что конфигурация «по умолчанию» обычно менее ограничительна, что может сделать ваш брандмауэр более уязвимым для компрометации. Оповещения о текущей вредоносной активности (например, оповещения CISA) иногда содержат информацию об ограничениях, которые вы можете реализовать через брандмауэр.

Хотя правильно настроенные брандмауэры могут эффективно блокировать некоторые атаки, не поддавайтесь ложному чувству безопасности. Брандмауэры не гарантируют, что ваш компьютер не будет атакован. Брандмауэры в первую очередь помогают защитить от вредоносного трафика, а не от вредоносных программ (например, вредоносных программ), и могут не защитить вас, если вы случайно установите или запустите вредоносное ПО на своем компьютере. Однако использование брандмауэра в сочетании с другими мерами защиты (например, антивирусным программным обеспечением и безопасными методами работы на компьютере) повысит вашу устойчивость к атакам. (Дополнительную информацию см. в разделе Хорошие привычки безопасности.)

Авторы

Этот продукт предоставляется в соответствии с настоящим Уведомлением и настоящей Политикой конфиденциальности и использования.

Брандмауэр — это устройство сетевой безопасности, которое отслеживает входящий и исходящий сетевой трафик и разрешает или блокирует пакеты данных на основе набора правил безопасности. Его цель — установить барьер между вашей внутренней сетью и входящим трафиком из внешних источников (например, из Интернета), чтобы заблокировать вредоносный трафик, такой как вирусы и хакеры.

Как работает брандмауэр?

Брандмауэры тщательно анализируют входящий трафик на основе заранее установленных правил и фильтруют трафик, поступающий из незащищенных или подозрительных источников, для предотвращения атак. Брандмауэры защищают трафик в точке входа компьютера, называемой портами, где происходит обмен информацией с внешними устройствами. Например, "Адрес источника 172.18.1.1 может достигать пункта назначения 172.18.2.1 через порт 22".

Представьте, что IP-адреса — это дома, а номера портов — это комнаты в доме. Только доверенные люди (исходные адреса) могут вообще входить в дом (адрес назначения) — затем он дополнительно фильтруется, чтобы людям в доме разрешался доступ только к определенным комнатам (порты назначения), в зависимости от того, являются ли они владельцем. , ребенок или гость. Владелец допущен в любую комнату (любой порт), а дети и гости допускаются в определенный набор комнат (конкретные порты).

Типы брандмауэров

Брандмауэры могут быть программными или аппаратными, хотя лучше иметь и то, и другое. Программный брандмауэр — это программа, устанавливаемая на каждый компьютер и регулирующая трафик с помощью номеров портов и приложений, а физический брандмауэр — это элемент оборудования, установленный между вашей сетью и шлюзом.

Брандмауэры с фильтрацией пакетов, наиболее распространенный тип брандмауэров, проверяют пакеты и запрещают их прохождение, если они не соответствуют установленному набору правил безопасности. Брандмауэр этого типа проверяет исходный и конечный IP-адреса пакета. Если пакеты соответствуют «разрешенным» правилам брандмауэра, то им можно доверять вход в сеть.

Брандмауэры с фильтрацией пакетов делятся на две категории: с сохранением состояния и без сохранения состояния. Брандмауэры без сохранения состояния проверяют пакеты независимо друг от друга и не имеют контекста, что делает их легкой мишенью для хакеров. Напротив, брандмауэры с отслеживанием состояния запоминают информацию о ранее переданных пакетах и ​​считаются гораздо более безопасными.

Несмотря на то, что брандмауэры с фильтрацией пакетов могут быть эффективными, в конечном итоге они обеспечивают очень простую защиту и могут быть очень ограниченными — например, они не могут определить, не повлияет ли содержимое отправляемого запроса на приложение, к которому он обращается. Если вредоносный запрос, разрешенный с адреса доверенного источника, приведет, скажем, к удалению базы данных, брандмауэр не сможет об этом узнать. Брандмауэры следующего поколения и прокси-брандмауэры лучше приспособлены для обнаружения таких угроз.

Брандмауэры нового поколения (NGFW) сочетают в себе традиционные технологии брандмауэров с дополнительными функциями, такими как проверка зашифрованного трафика, системы предотвращения вторжений, антивирус и многое другое. В частности, он включает глубокую проверку пакетов (DPI). В то время как базовые брандмауэры просматривают только заголовки пакетов, глубокая проверка пакетов проверяет данные внутри самого пакета, позволяя пользователям более эффективно идентифицировать, классифицировать или останавливать пакеты с вредоносными данными. Узнайте больше о Forcepoint NGFW здесь.

Брандмауэры с преобразованием сетевых адресов (NAT) позволяют нескольким устройствам с независимыми сетевыми адресами подключаться к Интернету с использованием одного IP-адреса, скрывая отдельные IP-адреса. В результате злоумышленники, сканирующие сеть на наличие IP-адресов, не могут получить конкретные сведения, что обеспечивает большую защиту от атак. Брандмауэры NAT аналогичны прокси-брандмауэрам в том смысле, что они действуют как посредники между группой компьютеров и внешним трафиком.

Многоуровневая проверка с отслеживанием состояния (SMLI) фильтрует пакеты на сетевом, транспортном и прикладном уровнях, сравнивая их с известными доверенными пакетами. Подобно брандмауэрам NGFW, SMLI также проверяет весь пакет и разрешает ему пройти только в том случае, если он проходит каждый уровень отдельно. Эти брандмауэры проверяют пакеты, чтобы определить состояние связи (отсюда и название), чтобы гарантировать, что все инициированные связи происходят только с надежными источниками.

Сертификаты могут помочь специалистам по безопасности подтвердить свои базовые знания в области информационной безопасности. Рассмотрите возможность добавления этих лучших облачных средств безопасности .

Изучите три основные проблемы безопасности при работе с несколькими арендаторами и способы их устранения, в том числе недостаточную видимость и превышение привилегий.

Если ваша компания использует поставщика облачных баз данных, очень важно обеспечить максимальную безопасность. Ознакомьтесь с функциями безопасности .

Новейшее аппаратное обеспечение Cisco и привязка Intersight к общедоступному облаку Kubernetes расширяют возможности гибридных облачных продуктов для клиентов. Но .

Чтобы преодолеть разрыв между командами NetOps и SecOps, сетевые специалисты должны знать основы безопасности, включая различные типы .

Какова реальность новых сетевых технологий? Здесь эксперты определяют риски — реальные или предполагаемые — и преимущества, которые они несут .

Закон CHIPS не только направляет миллиарды долларов на производство полупроводниковых микросхем в США, но и отражает серьезные изменения в том, как США .

Подробнее об основных функциях, отличительных чертах, сильных и слабых сторонах платформ блокчейна, которые получают максимальную отдачу .

Эксперты высоко оценивают недавно предложенное Комиссией по ценным бумагам и биржам США правило раскрытия информации о климатических рисках, которое требует от компаний выявлять климатические риски .

ИТ-администраторам, рассматривающим возможность перехода на Windows 11, следует узнать, как функции версии Enterprise могут помочь их .

Последняя сборка для разработчиков Windows 11 позволяет открывать несколько папок в приложении для управления файлами. Предполагается, что эта функция .

Администраторам настольных компьютеров следует обратить внимание на собственные функции безопасности и архитектуру Windows 10, чтобы установить базовый уровень настольных компьютеров.

Nvidia запустила облачную версию своей платформы Omniverse для 3D-моделирования. Компания также представила Omniverse .

Преодолейте сбои AWS, научившись создавать многорегиональную архитектуру, обеспечивающую отказоустойчивость в случае аварии.

Чтобы добиться высокой доступности и отказоустойчивости в AWS, ИТ-администраторы должны сначала понять различия между двумя моделями.

Члены Чартерного института ИТ, профессионального объединения технических специалистов в Великобритании, предостерегают от ограничений.

В течение многих лет он интегрировался с Solarwinds и был перепроданным продуктом, но теперь планирует нацелить корпоративных клиентов на резервную копию.

Исследование показывает, как планы развертывания центров обработки данных гигантов публичного облака влияют на расходы на оборудование и программное обеспечение

Брандмауэр — это устройство сетевой безопасности, которое отслеживает и фильтрует входящий и исходящий сетевой трафик на основе ранее установленных политик безопасности организации. По сути, брандмауэр — это барьер, который находится между частной внутренней сетью и общедоступным Интернетом. Основная цель брандмауэра — пропускать безопасный трафик и блокировать опасный трафик.

История брандмауэра

Брандмауэры существуют с конца 1980-х годов и начинались как фильтры пакетов, то есть сети, настроенные для проверки пакетов или байтов, передаваемых между компьютерами. Хотя брандмауэры с фильтрацией пакетов все еще используются сегодня, брандмауэры прошли долгий путь по мере развития технологий на протяжении десятилетий.

  • Вирус 1-го поколения
    • Поколение 1, конец 1980-х, вирусные атаки на автономные ПК затронули все предприятия и привели к появлению антивирусных продуктов.
    • Поколение 2, середина 1990-х годов, атаки из Интернета затронули весь бизнес и привели к созданию брандмауэра.
    • Поколение 3, начало 2000-х годов, использование уязвимостей в приложениях, которые затронули большинство предприятий и привели к созданию систем предотвращения вторжений (IPS).
    • Поколение 4, прибл. В 2010 году увеличилось количество целенаправленных, неизвестных, уклончивых, полиморфных атак, которые затронули большинство компаний и привели к появлению продуктов для защиты от ботов и песочницы.
    • Поколение 5, прибл. 2017 г. – крупномасштабные, многовекторные, мегаатаки с использованием передовых инструментов для атак, а также внедрение передовых решений по предотвращению угроз.

    Еще в 1993 году генеральный директор Check Point Гил Швед представил первый брандмауэр с контролем состояния, FireWall-1. Перенесемся на двадцать семь лет вперед, и брандмауэр по-прежнему остается первой линией защиты организации от кибератак. Современные брандмауэры, в том числе брандмауэры следующего поколения и сетевые брандмауэры, поддерживают множество функций и возможностей благодаря встроенным возможностям, в том числе:

    Типы брандмауэров

    Фильтрация пакетов

    Прокси-сервис

    Проверка состояния

    Брандмауэр нового поколения (NGFW)

    Что делают брандмауэры?

    Брандмауэр — необходимая часть любой архитектуры безопасности. Он избавляет от необходимости строить догадки о защите на уровне хоста и доверяет ее вашему сетевому защитному устройству. Межсетевые экраны, и особенно межсетевые экраны следующего поколения, сосредоточены на блокировании вредоносных программ и атак на уровне приложений, наряду с интегрированной системой предотвращения вторжений (IPS). Эти межсетевые экраны нового поколения могут быстро и беспрепятственно реагировать на внешние атаки и реагировать на них по всей сети. Они могут устанавливать политики для лучшей защиты вашей сети и проводить быструю оценку для обнаружения инвазивных или подозрительных действий, таких как вредоносные программы, и их закрытия.

    Зачем нам нужны брандмауэры?

    Брандмауэры, особенно брандмауэры нового поколения, предназначены для блокировки вредоносных программ и атак на уровне приложений. Наряду со встроенной системой предотвращения вторжений (IPS) эти межсетевые экраны нового поколения способны быстро и беспрепятственно реагировать на обнаружение атак и борьбу с ними по всей сети. Брандмауэры могут действовать в соответствии с ранее установленными политиками, чтобы лучше защитить вашу сеть, и могут выполнять быстрые оценки для обнаружения инвазивных или подозрительных действий, таких как вредоносные программы, и отключать их. Используя брандмауэр для своей инфраструктуры безопасности, вы настраиваете свою сеть с помощью определенных политик, разрешающих или блокирующих входящий и исходящий трафик.

    Проверка сетевого уровня и прикладного уровня

    Важность NAT и VPN

    Брандмауэры также выполняют основные функции сетевого уровня, такие как преобразование сетевых адресов (NAT) и виртуальная частная сеть (VPN). Преобразование сетевых адресов скрывает или преобразует внутренние IP-адреса клиента или сервера, которые могут находиться в «диапазоне частных адресов», как определено в RFC 1918, в общедоступный IP-адрес. Сокрытие адресов защищаемых устройств позволяет сохранить ограниченное количество IPv4-адресов и является защитой от сетевой разведки, поскольку IP-адрес скрыт от Интернета.

    Аналогичным образом виртуальная частная сеть (VPN) расширяет частную сеть через общедоступную сеть в туннеле, который часто шифруется, где содержимое пакетов защищено при прохождении через Интернет. Это позволяет пользователям безопасно отправлять и получать данные в общих или общедоступных сетях.

    Брандмауэры нового поколения и не только

    Межсетевые экраны нового поколения проверяют пакеты на уровне приложений стека TCP/IP и способны идентифицировать такие приложения, как Skype или Facebook, и применять политику безопасности в зависимости от типа приложения.

    Сегодня устройства UTM (Unified Threat Management) и брандмауэры следующего поколения также включают технологии предотвращения угроз, такие как система предотвращения вторжений (IPS) или антивирус, для обнаружения и предотвращения вредоносных программ и угроз. Эти устройства могут также включать технологии песочницы для обнаружения угроз в файлах.

    Поскольку среда кибербезопасности продолжает развиваться, а атаки становятся все более изощренными, брандмауэры следующего поколения будут по-прежнему оставаться важным компонентом решения для обеспечения безопасности любой организации, независимо от того, находитесь ли вы в центре обработки данных, в сети или в облаке. Чтобы узнать больше об основных возможностях, которыми должен обладать брандмауэр нового поколения, загрузите Руководство покупателя брандмауэра следующего поколения (NGFW).

    Возможно, вы слышали термин "брандмауэр" применительно к ИТ-безопасности или безопасности в Интернете. Может быть, даже в буквальном смысле – стена, которая фактически останавливает огонь. Но что такое брандмауэр? Что они делают? Как они работают? Почему они важны для сетевой безопасности?

    Видео: ответы на вопросы о сетевом брандмауэре

    Найдите ответы в этом коротком пояснительном видео из PowerCert Animated Videos. (К сведению: на канале PowerCert есть еще много отличных видеороликов, посвященных ИТ и технологиям).

    Расшифровка видео: Что такое брандмауэр? Теперь брандмауэр — это система, предназначенная для предотвращения несанкционированного доступа в частную сеть путем фильтрации информации, поступающей из Интернета.

    Брандмауэр блокирует нежелательный трафик и разрешает нежелательный трафик. Таким образом, цель брандмауэра — создать защитный барьер между частной сетью и общедоступным Интернетом, потому что в Интернете всегда будут хакеры и вредоносный трафик, которые могут попытаться проникнуть в частную сеть, чтобы причинить вред, а брандмауэр — это основной компонент в сети, чтобы предотвратить это.

    Брандмауэр особенно важен для крупной организации, в которой есть много компьютеров и серверов, потому что вы не хотите, чтобы все эти устройства были доступны для всех в Интернете, где хакер может проникнуть и полностью нарушить работу этой организации. Вот почему вам нужен брандмауэр для их защиты.

    Таким образом, брандмауэр, используемый в компьютерных сетях, очень похож на то, как брандмауэр работает в структуре здания. Собственно, отсюда и произошло слово «брандмауэр». Брандмауэр в конструкции здания обеспечивает барьер, так что в случае фактического пожара с любой стороны здания брандмауэр должен сдержать огонь и не дать ему распространиться на другую сторону.

    Итак, брандмауэр предназначен для того, чтобы огонь не уничтожил все здание. Но если бы брандмауэра здесь не было, огонь перекинулся бы на другую сторону, и тогда все здание было бы разрушено, а сетевой брандмауэр работает так же, как структурный брандмауэр. Он останавливает вредоносную активность до того, как она сможет распространиться на другую сторону брандмауэра и нанести ущерб частной сети. Таким образом, в современном мире высоких технологий брандмауэр необходим в каждом доме, особенно в бизнесе или организации, для обеспечения безопасности своей сети.

    Теперь брандмауэр работает, фильтруя входящие сетевые данные и определяя по своим правилам, разрешен ли ему вход в сеть. Эти правила также известны как «список контроля доступа». Эти правила настраиваются и определяются сетевым администратором. Администратор решает не только то, что может войти в сеть, но и то, что может выйти из сети. Таким образом, эти правила либо разрешают, либо запрещают разрешение.

    В качестве примера у нас есть несколько правил в списке управления доступом брандмауэра, и он показывает список IP-адресов, которые были разрешены или запрещены этим брандмауэром.Как видите, трафик с некоторых IP-адресов разрешен для входа в эту сеть. Но трафик с одного IP-адреса запрещен.

    Поэтому, если трафик с этого IP-адреса пытался попасть в эту сеть, брандмауэр отклонит его из-за правил, установленных в брандмауэре. Но другим IP-адресам предоставляется доступ, потому что это разрешено правилами. Теперь брандмауэры не просто создают правила на основе IP-адресов. Но они также могут создавать правила на основе доменных имен, протоколов, программ, портов и ключевых слов.

    Допустим, в этом примере правила брандмауэра контролируют доступ по номерам портов, и предположим, что правила разрешают входящие данные, использующие номера портов 80, 25 и 110, а данные, использующие эти порты, получают доступ к этой сети. . Таким образом, любые входящие данные, использующие эти порты, могут проходить через брандмауэр. Но также и в этом брандмауэре правила запрещают любые данные, использующие номера портов 23 и 3389. Таким образом, любые входящие данные, использующие эти номера портов, будут запрещены в доступе брандмауэром, и они не пройдут через брандмауэр.

    Вкратце, вот как в основном работают брандмауэры. Теперь брандмауэры бывают разных типов, и один тип называется брандмауэром на основе хоста, и это программный брандмауэр. Это своего рода брандмауэр, который устанавливается на компьютер и защищает только этот компьютер и ничего больше.

    Например, более поздние версии операционных систем Microsoft поставляются с предустановленным брандмауэром на основе хоста, и вы можете увидеть этот пример здесь, а также существуют брандмауэры на основе хоста сторонних производителей, которые можно приобрести и установить на компьютер. Так, например, Zone Alarm, который является популярным брандмауэром на основе хоста стороннего производителя, а также многие антивирусные программы будут иметь встроенный брандмауэр на основе хоста.

    Другой тип брандмауэра называется сетевым брандмауэром. Сетевой брандмауэр представляет собой комбинацию аппаратного и программного обеспечения, работает на сетевом уровне и размещается между частной сетью и общедоступным Интернетом.

    Но в отличие от брандмауэра на основе хоста, где он защищает только этот компьютер, брандмауэр на основе сети защищает всю сеть, и он делает это с помощью правил управления, которые применяются ко всей сети, поэтому любая вредоносная активность может быть остановлена ​​до того, как она достигает компьютеров.

    Теперь сетевые брандмауэры могут быть самостоятельными продуктами, которые в основном используются крупными организациями, а также могут быть встроенными компонентами маршрутизатора, на которые полагаются многие небольшие организации, или они также могут быть развернуты в облачной инфраструктуре поставщика услуг.

    Теперь многие организации будут использовать как сетевые, так и хостовые брандмауэры. Они будут использовать сетевой брандмауэр для защиты всей сети в целом, а также хостовые брандмауэры для индивидуальной защиты своих компьютеров и серверов. Это обеспечит максимальную защиту, потому что, если вредоносные данные случайно пройдут через сетевой брандмауэр, хостовые брандмауэры на каждом компьютере будут там, чтобы остановить это.

    Спасибо всем за просмотр этого видео о брандмауэрах. Подписывайтесь и увидимся в следующем видео. Спасибо.

    Читайте также: