network firewall что это
Что такое Firewall в роутере?
Содержание:
Firewall – это заимствованный из английского языка термин, который переводится как «противопожарная стена». Эта система активно используется в сетевом оборудовании и компьютерах для защиты подключения от различных вирусов и хакерских атак.
Что такое Firewall
Другое название Firewall – межсетевой экран. По сути, это специальный фильтр, который проверяет информацию, полученную из интернета, на предмет наличия вредоносных данных. Например, вирусов. Он сравнивает пакеты данных, приходящие на устройства, с определенной базой, чтобы выделить среди них потенциально опасные.
Но это лишь первая «линия баррикад», потому не стоит полностью на него полагаться. Система защиты поможет избежать самых распространенных проблем, однако не гарантирует 100%-ную безопасность устройства.
Для чего нужен Firewall в роутере
Этот межсетевой экран применяется в роутерах для того, чтобы обезопасить сетевые подключения. Он блокирует вредоносные данные еще на стадии попадания в сеть пользователя, тем самым потенциально спасая все устройства, которые в нее входят.
Практически все современные устройства поставляются со встроенным Firewall, что обеспечивает хотя бы минимальную степень безопасности. Выбирая роутер, рекомендуется отдельное внимание уделить наличию или отсутствию такого функционала. Вполне возможно, что бюджетный вариант не будет им оснащен и станет причиной огромного количества проблем из-за хакерских атак или различных вирусов. На безопасности в данном случае экономить не стоит.
Как настроить Firewall в роутере
Можно выделить 3 основных уровня защиты, которые может предоставлять среднестатистический роутер с Firewall:
Названия и отдельные детали этого параметра могут сильно различаться в зависимости от множества параметров. Важно помнить, что большинство провайдеров требуют, чтобы пользователи выставляли определенные настройки, оптимально подходящие для используемого подключения. Поэтому попытка самостоятельно что-то поменять может привести к отключению интернет-соединения.
Заключение
Firewall в роутере нужен в абсолютном большинстве случаев. Каждый год количество вредоносных программ и приложений, вирусов и хакерских атак возрастает на порядок. Никто не может дать 100%-ной гарантии, что устройства пользователя будут защищены абсолютно от всех угроз, однако такая система обороны ПК значительно повышает уровень безопасности сети.
Оставьте свою электронную почту и получайте самые свежие статьи из нашего блога. Подписывайтесь, чтобы ничего не пропустить
Firewalls — немного теории для начинающих или что надо знать перед покупкой
Несколько лет назад мне пришлось окунуться в мир firewall-ов и найти нужный вариант. Платный/бесплатный, открытый/закрытый, железо или софт. Опций предостаточно. Сегодня все это позади и у меня уже давно есть любимый firewall, который я ставлю за считанные минуты, но тем, кто только начинает работать в этой области, хотелось бы помочь внеся хоть какую-то ясность. Надеюсь, что поможет.
(Не могу заставить себя писать “межсетевой экран”, firewall – он и в Африке firewall).
1. Изначально firewall-ы разделяются на 2 типа: host-based и network. Host-based устанавливается непосредственно на клиентскую машину (поверх существующей ОС) и защищает исключительно одну эту машину. Это может быть полезно в домашних условиях (особенно, если у вас всего один компьютер и он напрямую подключен к модему) или в сетевом окружении, как дополнительное средство безопасности.
Network firewall защищает всю сеть и обычно служит шлюзом для этой сети. Сеть может состоять как из одного компьютера, так и из многих тысяч. Тип firewall-а выбирается в зависимости от сетевой среды и потребностей.
2. Network firewall подразделяются на 2 вида: PC-based (основанные на обычном компьютере) и ASIC-accelerated.
ASIC – application-specific integrated circuit. Подразумеваются машины, в которых основной функционал firewall-а происходит на аппаратном уровне. Как правило, это очень дорогие системы, стоимость которых зачастую доходит до нескольких десятков и даже сотен тысяч долларов. Используются обычно в ISP-подобных организациях, которым нужна очень высокая пропускная способность.
Все остальные firewall-ы являются PC-based. Не попадайтесь на удочки продавцов и маркетологов: все остальные firewall-ы являются PC-based.
3. В свою очередь PC-based firewall-ы подразделяются на 2 вида: дистрибутивы и appliances (корОбки). У каждого из них есть свои плюсы и минусы.
В пользу дистрибутивов:
— В зависимости от ситуации, у вас уже может быть в наличии нужное железо, которое вы можете выделить под firewall. Или же можете купить сервер/компьютер по относительно дешевой цене. Т.е. скорее всего это будет дешевле.
— Вы можете купить компьютер или сервер, который может быть маленьким или огромным – ваш выбор.
— Вы можете добавить в этот компьютер/сервер нескольких дополнительных сетевых карточек, или например поставить ОС на RAID массив – гибкость.
— Если понадобится, можете перенести (переустановить) ПО на другой сервер – мобильность.
— Вы конкретно знаете все технические характеристики вашего сервера.
— Вы гораздо меньше зависите от поставщика.
В пользу appliances:
— Меньше головной боли при выборе железа, особенно при попытке объять необъятное и просчитать наперед рост фирмы, объем траффика и т.д. Специалисты поставщика, как правило, могут подсказать какой именно аппарат из их ассортимента следует брать и зачасутю будут правы.
— Не все железо поддерживается всеми дистрибутивами. Зачастую софт “обрезан” довольно жестко. При установке ПО на новенький блестящий сервер, вы можете попасть в ситуацию, когда вы увидите на одном из форумов, что ваше железо однозначно не поддерживается. Причем предугадать такую ситуацию довольно трудно, ибо обычно в нее попадают когда деньги уже потрачены и прогресс пошел.
— Обычно они имеют “правильную” форму, т.е. маленькие аккуратные корОбки или 1U rackmounts (т.е. под серверную стойку).
— Как правило, они уже подогнаны под определенные категории использования, т.е. CPU, RAM, HD будут подходить под ваши нужды, а по количеству сетевых интерфейсов они будут превосходить стандартные 1U сервера.
— Поддерживаются как appliance, т.е. один адрес поддержки и для железа и для софта.
— Никакой головной боли с установкой ПО.
— Ну и напоследок, они зачастую очень неплохо выглядят.
4. (Теперь уже по традиции), дистрибутивы делятся на 2 вида: с открытыми исходниками и проприетарные.
Не вдаваясь слишком много в подробности и холивары, можно отметить, что нередко люди попадаются на удочки “FUD (Fear, uncertainty and doubt) campaign”, которую ведут вендоры проприетарного ПО, и ошибочно считают свободный/открытый софт недостаточно защищенным, не имеющим поддержки, некачественно написанным и т.д. Конечно, все это всего лишь FUD и не более. Опенсорсные firewall-ы ничуть не уступают по качеству своим закрытым товарищам. Но следует отметить некоторые моменты:
— Даже не являясь программистом можно насладиться прелестями СПО, ибо на форумах есть достаточно людей, которые с радостью помогут вам, вплоть до того, что могут даже написать небольшие патчи.
— Вы можете всегда посмотреть в код и попытаться понять что и как работает. Это зачастую помогает при решении проблем.
— С другой стороны, поставщик закрытого ПО предоставит вам поддержку (за немалые деньги) и специально обученные профессионалы помогут решить любую проблему.
Конечно, такой вид поддержки существует и в открытом ПО, но там, как правило, люди пытаются справиться сами.
5. Теперь давайте посмотрим чем обросли за все это время firewall-ы.
UTM – Unified Threat Management. По сути это тот же PC-based firewall, только обросший дополнительным функционалом. Сюда добавляют как стандартные (сегодня) функции firewall-а: IDS/IPS, VPN, load-balancing, routing, так и другие: content filtering, antivirus, anti-spam и т.д.
Обычно только небольшие организации с маленьким бюджетом пользуются UTM. Специалисты настоятельно рекоммендуют все-таки разделять и ставить машину с функционалом UTM за firewall-ом.
6. Сервер. Который “делает все серверные дела”. Есть такая птица. У него в наличии и firewall, и почта, и ftp, и файлохранилище, и еще куча вещей. Несмотря на невероятное удобство такого богатого функционала, пользоваться им крайне не рекомендуется, ибо в плане безопасности – это просто одна большая дыра.
7. IDS/IPS. Некое подобие анализатора траффика, работающего на основе базы подписей и пытающегося выявить аномалии. IDS (intrusion detection system) пытается их обнаружить, в то время как IPS (intrusion prevention system) пытается их еще и остановить.
Многие firewall-ы сегодня имеют этот функционал встроенным или же добавляют его как пакет.
8. IDS/IPS не идеальны, ибо не понимают протоколов, поэтому для более серьезной защиты используется Layer 7 firewall. Как правило, имеется в большинстве firewall-ов.
Стоит заметить, что и IDS/IPS и Layer 7 firewall достаточно прожорливы в плане CPU и RAM.
9. Функционал. Большинство firewall-ов пытаются включить в себя всевозможные ништяки, и при правильном маркетинге это звучит красиво.
Нужен ли вам весь этот функционал? Нет. Нужен ли он вам частично? Да. Поэтому желательно понять что вам нужно, что вам предлагают и почитать подробнее о каждой функции, чтобы не попадаться на удочку и не платить за то, что вы и через 10 лет не будете использовать.
10. Поддержка. Это одна из самых важных вещей в мире firewall-ов: кто-то должен уметь оперировать им и уметь разобраться при сбоях. Если у вас есть компетентные работники или Вы сами таким являетесь – прекрасно. Если нет – придется заплатить. Причем позаботиться об этом надо уже при покупке firewall-а. Зачастую поддержка совсем не дешевая, но это ваша гарантия. Стоит ли рисковать в данном случае?
Ну вот вроде и все. Если что-то забыл — пишите.
Как фаервол защищает компьютер?
Если вы интересуетесь, как обезопасить компьютер, который имеет выход в интернет, то вероятно задавались вопросом, что такое фаервол.
Фаервол (от английского firewall — противопожарная стена), он же брандмауэр (тот же перевод с немецкого brandmauer), он же межсетевой экран — компонент программного либо программно-аппаратного обеспечения, который фильтрует сетевой трафик, выполняет защитную функцию для фрагментов сети или отдельных узлов.
Его работа напоминает пункт пропуска на границе государства, либо пост охраны при входе на закрытую территорию.
Принцип работы
Брандмауэр можно представить как набор фильтров, через который последовательно проходит трафик. Каждый фильтр проверяет элементы потока на соответствие определенному правилу. Набор правил фильтрации(ruleset) определяет, какой пакет пересечет экран (операция allow – «разрешить»), а какой будет отброшен (операция deny – «отказать» без уведомления, что сервис недоступен, либо reject – «отклонить» с уведомлением).
Отбор пакетов происходит по одному из двух принципов:
Второй принцип дает большую безопасность ценой усложнения администрирования системы.
В зависимости от того, на уровне каких сетевых протоколов работает экран, его можно отнести к одному из следующих типов:
Для брандмауэров может создавать затруднения шифрованный либо тунеллированный трафик, который невозможно проанализировать на соответствие фильтрам. Для подобных случаев самым безопасным решением будет отбрасывать такие данные.
Далее рассмотрим персональные фаерволы, программы, которые устанавливаются на ПК для защиты от сетевых угроз.
Персональные брандмауэры работают по тем же принципам, что и межсетевые, но имеют ряд особенностей:
Примеры известных программ-фаерволов
Операционная система имеет встроенного защитника, а многие антивирусные программы имеют фаервол в составе, но это не помешает вам при желании выбрать, установить и настроить брандмауэр на своё усмотрение.
Популярные бесплатные фаерволы для Windows:
Как настроить брандмауэр для Windows?
Настройка фаервола — комплексная задача, для выполнения которой нужен багаж знаний. Необходимо проработать последовательный набор правил-фильтров, которые могли бы обеспечить защиту и в то же время не мешать работе полезных программ. Каждое правило имеет ряд свойств, и все они должны быть установлены грамотно.
Доступен ряд методов упрощения задачи:
Отдельно разберем, как разрешать доступ для отдельных приложений:
Как отключить брандмауэр в Windows?
При использовании другого полноценного фаервола встроенный можно выключить.
Самый быстрый способ — использовать командную строку:
Если потребуется, команда для включения выглядит так:
netsh advfirewall set allprofiles state on
Нost-based файерволы
Интернет можно по праву назвать символом 21 века. Через Интернет решаются вопросы, начиная от заказа пиццы в ближайшем кафе, заканчивая многомиллионными сделками. Последнее подталкивает каждого из нас к мысли о необходимости защиты той информации, с которой мы работаем в Интернете. Сегодня мне бы хотелось остановить свое внимание на межсетевых экранах. Использование этих устройств – не новое решение. Межсетевые экраны (файерволы) закрепили за собой важную роль в сетевом мире еще в середине девяностых годов прошлого века. Однако изменение технологий передачи информации, архитектурных решений при построении сетей неизбежно приводит к необходимости модернизации устройств, которые эти сети защищают. Изложение статьи будет построено следующим образом: мы поговорим о том, что такое периметр сети и как его можно защитить, введем формальное определение межсетевого экрана и обсудим основные принципы его работы и, наконец, поговорим о тех решениях, которые применяются сегодня при использовании файерволов. Поскольку некоторые термины встречаются раньше, чем их формальные определения, отметим, что файервол, брандмауэр и межсетевой экран – слова-синонимы, которые в контексте этой статьи можно не различать.
Что такое периметр сети
Рис. 1. Схематическое изображение периметра сети
Однако, естественно, ваш бизнес может состоять из нескольких офисов, филиалов, у вас могут быть коллеги, которых вы рады видеть в своем замке. Поэтому межсетевые экраны настраиваются значительно более сложным образом. Они не просто делят мир вокруг них на два полупространства, они устанавливают степени доверия для тех, кто в этих полупространствах живет. Вернемся к нашему примеру с замком – мы уже определились, что есть люди, которых мы рады в него впустить. Но наверняка найдутся и те, которых мы готовы впустить, но не показывать весь замок. Есть что-то, что по нашему глубокому убеждению этим товарищам видеть не обязательно. Не нужно забывать и о том, что кого-то мы в замок пускать категорически не хотим.
Чтобы определить кого впускать в наш замок, а кого нет, по периметру этого замка и ставятся межсетевые экраны. Теперь поймем, каким образом межсетевые экраны защищают наш «замок» и как устроен механизм их работы.
Коротко о файерволах
Межсетевой экран (брандмауэр, файервол) — технологический барьер, предназначенный для предотвращения несанкционированного или нежелательного сообщения между компьютерными сетями или хостами.
Рис 2. Схема работы зонного файервола
Зонные файерволы (на примере которых мы построим наш краткий экскурс в работу файерволов), имеют несколько интерфейсов, которые делятся на группы (зоны), в каждую зону может входить 1 и более интерфейсов. Вся настройка по фильтрации, как правило, происходит между зонами: фильтруется не тот трафик, который входит в интерфейс, а который идет из одной зоны в другую. То есть в явном виде указывается, из какой зоны в какую трафик идти должен/не должен. Например, на рисунке 2 синим цветом изображены 2 зоны, в каждой из которых расположено по 2 интерфейса. Политика трафика, которую мы настроим для этих зон, будет распространяться на все интерфейсы, которые в них расположены. Бывают файерволы, которые используют не зоны, а уровни доверия – каждому интерфейсу ставится в соответствие число: чем оно больше, тем более доверенный интерфейс. Трафик из интерфейсов с большим уровнем доверия в сторону интерфейсов с меньшим уровнем доверия по умолчанию разрешен. Обратное направление трафика возможно только после специальной настройки. Мы кратко обсудим работу только зонных файерволов. В последних обычно предусмотрен следующий набор действий над трафиком, который отобран из общего потока:
· pass – разрешить/пропустить (отметим, что пропускается только прямой трафик, то есть в нашем примере – тот, который идет «в замок»);
· drop – отбросить трафик;
· inspect – инспектировать трафик – этот трафик тоже пропускается, но в рамках сессии файервол пропускает трафик и обратно.
Пример: Если пользователь пытается получить доступ к запрещенной странице, межсетевой экран может разорвать такую коннекцию, предотвратив скачивание запрещенного материала. При этом другие подключения этого пользователя к тому же серверу разрешаются, и все остальные ресурсы пользователь может просматривать/скачивать.
Межсетевой экран может работать в L2 и L3 режиме (выполнять коммутацию или маршрутизацию соответственно).
В L2 режиме файервол практически не заметен для серверов и другого оборудования (ставится в разрыв кабеля как обычный мост/коммутатор). В L3 режиме появляется дополнительный переход через маршрутизатор (hop). Современные файерволы могут заниматься маршрутизацией (поддерживать большое число протоколов динамической маршрутизации), но обычно для этих целей используют обычные маршрутизаторы. Очень условно файервол можно считать компьютером, который умеет делать определенные функции.
В современных сетях файерволы используют для 3 функций:
Вы спросите, почему нельзя обойтись фильтрацией на роутерах. Мы помним, что на роутерах фильтрация трафика производилась с помощью списков доступа. Большинство файерволов делают фильтрацию трафика в режиме statefull (access-lists в режиме stateless), то есть отслеживают состояние коннекции – на файерволах есть список коннекций, которые в данный момент активны (в access-lists такого нет). То есть, если полетит какой- то пакет между двумя TCP – sockets и в заголовке TCP будет стоять флаг ACK, но при этом файервол не видел сегментов с SYN, то файервол этот пакет отбросит. На рисунке 3 слева показан правильный вариант установления TCP-соединения (тройное рукопожатие), а справа ситуация, описанная выше – файервол отбросит такой пакет.
Рис. 3. Схема установления TCP-соединения (слева) и пример ситуации, когда файервол не пропустит пакет для получателя (справа)
Последнее, что стоит отметить – на наш замок могут быть направлены DDoS атаки – распределенные атаки, направленные на отказ в обслуживании. То есть происходит бомбардировка центрального сервера одновременными запросами данных. Злоумышленник отправляет такие запросы из нескольких взломанных систем. Таким образом он пытается полностью занять интернет-канал и истощить ресурсы ОЗУ компании-жертвы. Конечная цель состоит в выводе из строя систем такой компании и прерывании ее бизнес-процессов. Поскольку файервол – это устройство, которое открывает сессии на себя, то это первое устройство, которое «ляжет».
Для защиты от таких атак можно применять оборудование компании Arbor. Это оборудование работает в режиме stateless и позволяет защищать периметр сети от DDoS. Таким образом оно служит своего рода экраном, который защищает наши файерволы. Однако это оборудование не может работать также гибко, как межсетевой экран – оно защищает наш «замок» только от конкретного вида вторжений, поэтому используется вместе с файерволами, а не вместо них.
Теперь, разобравшись с принципами работы классического сетевого файервола, поговорим о проблемах, которые стали возникать с их использованием последние несколько лет и о том, какие решения этих проблем существуют сегодня.
Host-based firewalls
Как мы понимаем, в предыдущей главе речь шла о защите физической сети – компьютерной сети, которая построена на физическом оборудовании и кабелях. В последнее время мы наблюдаем изменение инфраструктуры компьютерных сетей – большинство компаний работают с облачными ресурсами. Чтобы лучше понять, с какими проблемами в защите облачной инфраструктуры сталкиваются классические файерволы, скажем пару слов о процессе виртуализации сети. В последнее время начался взрывной рост использования виртуальных машин, которые изначально работали изолированно или в единой виртуализированной среде. Со временем виртуальные машины стали объединяться в виртуальные сети, эти сети стали взаимодействовать с физическими сетями, интегрироваться в них. Развитие этого процесса привело к созданию облачных ресурсов, где могут храниться приложения, сервера, виртуальные машины, контейнеры. В таком облаке может быть расположено оборудование IP, NFV, оптического доменов. Виртуальные сети очень быстро столкнулись с уязвимостями, которые характерны для физической сети. Появились проблемы с фильтрацией трафика, который идет из физической среды в виртуальную. Последняя требует значительно более гибких методов для защиты. Это связано в первую очередь с тем, что что вся инфраструктура виртуальных сетей представляет собой неоднородную среду. В такой среде очень сложно ввести привычную для физических сетей IP-адресацию. Таким образом, описанный выше подход по созданию специальных политик отбора трафика на основе IP-адресов теперь оказывается крайне сложным в реализации и не масштабируемым. Поэтому анализ и отбор трафика необходимо осуществлять по какому-то другому полю, а точнее по целой группе полей. Другими словами, наш «замок» становится значительно более сложной конструкцией – его защита требует применения новых, более интеллектуальных решений. Одно из таких решений – поставить host-based файервол на входе в виртуальную инфраструктуру. Эти файерволы отличаются очень гибкими возможностями при настройке политик отбора трафика и стоят значительно дешевле классических сетевых файерволов. Таким образом мы получаем единую точку входа в нашу виртуальную сеть, в которой мы сможем задавать сетевые политики для всех объектов в нашей среде. Давайте теперь обсудим, какие поля анализируют host-based файерволы, чтобы принять решение об отбросе/пропускании трафика. У каждого агента нашего облака есть набор метаданных – регион, домен, провайдер, версия, уникальное имя и целый ряд меток. На основе анализа этих полей host-based межсетевые экраны и принимают решение о том, как поступать с проходящим трафиком. Более того, определенным образом агрегируя поля метаданных мы можем вернуться к привычной нам архитектуре файерволов – создавать зоны и настраивать политики для трафика оперируя зонами, как это обсуждалось ранее.
Отметим еще одно важное преимущество, которым обладают host-based файерволы. Ни для кого не секрет, что современная сетевая архитектура построена на сетевых коммутаторах. Коммутаторы проводят микросегментирование, оставляя в одном сегменте как можно меньше устройств. В определённый момент развитие сетей привело нас к тому, что к одному интерфейсу коммутатора подключено только одно устройство (компьютер, сервер, роутер или другой коммутатор). Когда мы говорим о какой-то облачной архитектуре, то проблема микросегментации продолжает стоять так же остро, как и в физической сети. И здесь благодаря host-based файерволам мы можем эту микросегментацию выполнить. Такой подход значительно более экономически выгоден и прост в реализации, чем использование интеллектуальных L3 – коммутаторов для виртуальных систем.
Важной особенностью облака является динамичность его развития. Развертывание оборудования и изменение конфигурации в виртуальной сети происходит значительно быстрее, чем в физической. Host-based файервол является частью той виртуальной инфраструктуры, в которой он находится и развивается вместе с ней. Таким образом, применение host-based значительно более масштабируемое решение, чем использование классических файерволов.
Таким образом, host-based файерволы обладают целым рядом преимуществ:
Возможность гибко настраивать политики трафика используя метаданные;
Решение проблемы микросегментации в неоднородной среде;
Масштабируемость решения, возможность подстраиваться под динамично развивающуюся архитектуру виртуальной сети;
Доступность: host-based файерволы значительно дешевле, чем network-based
Однако, нельзя сказать, что при использовании host-based файероволов не возникает абсолютно никаких проблем. Эти устройства потребляют значительную часть полезной нагрузки, что особенно сильно проявляется, если потоки трафика значительно вырастают. Именно на этом этапе мы платим за масштабируемость нашего решения. Более того, host-based значительно уступает обычным сетевым файерволам по быстродействию. Эта проблема на сегодняшний день является наиболее актуальной и играет важную роль, когда речь касается выбора устройств для защиты сети.
Отметим также, что при защите каких-то особенно важных ресурсов существует технология эшелонированной защиты. То есть мы устанавливаем host-based файервол внутри периметра сети, уже защищенной обычными файерволами. Таким образом появляется дополнительный рубеж защиты. Такая эшелонированная защита определенных ресурсов позволяет свести к минимуму вероятность атаки на защищаемое устройство.
Заключение
Мы постарались последовательно разобраться с причинами появления файерволов, основными особенностями и принципами их работы, а также рассмотрели такое решение, как host-based файервол, которое позволяет значительно более гибко настраивать политики трафика и применяется в различных облачных средах.