Что такое брандмауэр: определение, использование и преимущества

Опубликовано: 2023-02-12

Если ваша компьютерная сеть — это ваша крепость, то сетевой брандмауэр — это решетка — главные ворота, отвечающие за регулирование потоков входящего и исходящего сетевого трафика. Это отчасти барьер, отчасти механизм проверки, отделяющий вашу сеть от сторонних сетей и блокирующий несанкционированный доступ.

Чтобы подробно ответить на вопрос — что такое брандмауэр? — в этом руководстве рассказывается о преимуществах брандмауэра, о том, как он работает для усиления вашей киберзащиты, а также о различных типах брандмауэров, которые вы можете использовать для мониторинга своей сети.

Оглавление
1. Что такое брандмауэр?
2. Пакеты и брандмауэры
3. Преимущества брандмауэров
4. Политики и наборы правил брандмауэра
4.1. Как создать надежную политику и набор правил?
5. Типы брандмауэров
6. Собственный брандмауэр WP Engine

Что такое брандмауэр?

В 19 веке брандмауэр был физическим барьером, предназначенным для предотвращения распространения огня от строения к строению. Позднее в автомобилях это был металлический барьер, отделявший моторный отсек от пассажирского салона.

В конечном итоге эта фраза была использована компьютерной индустрией для обозначения цифровой системы безопасности, которая устанавливает барьер между надежной сетью и ненадежной сетью, такой как Интернет.

С технической точки зрения брандмауэр — это самый внешний уровень системы кибербезопасности. Он отслеживает входящие и исходящие потоки сетевого трафика и определяет, разрешены или ограничены пакеты данных в соответствии с определенным набором правил безопасности.

В качестве первой линии защиты от вредоносного трафика брандмауэр защищает точку входа в сеть (порт), где данные могут обмениваться с посторонними устройствами. Каждый отдельный файл данных, который вы запрашиваете из интернет-источника, регистрируется и обрабатывается брандмауэром.

Пакеты и брандмауэры

Наиболее простой формой брандмауэра является брандмауэр с фильтрацией пакетов. Но чтобы понять, как это работает, нам сначала нужно определить пакеты.

Для передачи данных через Интернет файлы данных должны быть разбиты на более мелкие части, обычно размером от 500 байт до 64 КБ, со средним размером 1500 байт. Они называются пакетами данных, которые представляют собой фрагменты данных, отправляемых по сети протокола управления передачей/протокола Интернета (TCP/IP).

Прежде чем их можно будет собрать в окончательную форму, брандмауэр должен проанализировать каждый пакет данных и подтвердить, что устройство или система в вашей сети действительно запросили его.

В этом примере думайте о брандмауэре как о охраннике на концерте. Чтобы попасть на место проведения, они могут попросить вас пройти через контрольно-пропускной пункт, предъявить билеты и удостоверение личности, а затем попросить вас пройти через металлоискатель. Брандмауэр работает аналогичным образом, тщательно проверяя каждый пакет данных, чтобы определить:

  • Куда это идет
  • Откуда он взялся
  • Должен ли он быть разрешен, запрещен или исключен

В случае отказа пакет данных возвращается отправителю. Но в более вероятном сценарии, когда пакет данных сбрасывается, данные полностью исчезают.

Преимущества брандмауэров

Понимание преимуществ безопасности брандмауэра поможет защитить вашу сеть от злоумышленников и вредоносных действий. Брандмауэры могут служить только одним аспектом вашей защиты от кибербезопасности, но они играют важную роль, помогая вам:

  • Мониторинг сетевого трафика — брандмауэры блокируют входящую и исходящую активность. Они отслеживают сетевой трафик, используя заранее установленные правила и фильтры, чтобы оценить легитимность каждой части данных. Если брандмауэр заметит подозрительную активность, он немедленно предотвратит ее проникновение.
  • Предотвращение и выявление вредоносных действий . Вредоносные программы и вирусы представляют собой постоянную угрозу безопасности вашей сети. Используя эти гнусные инструменты, хакер может тайно отслеживать вашу деятельность, собирать ваши личные данные или получать контроль над системой. Брандмауэры могут предотвратить такие атаки от несанкционированного доступа. Или, если они обнаружат продолжающуюся хакерскую активность, они уведомят вас об устранении угрозы. Разработка внешнего интерфейса для защиты брандмауэра упростила пользователям навигацию по собственной сетевой безопасности. Если вы не знакомы с карьерой фронтенд-разработчика или средней зарплатой фронтенд-разработчика, вы можете положиться на наш ресурсный центр, который поможет вам ознакомиться с этим направлением работы.
  • Ограничить исходящие данные . Брандмауэры могут ограничивать входящий и исходящий трафик в сети. Таким образом, даже если хакер или вредоносный код успешно получает доступ, система может ограничить его влияние, не допуская выхода данных из системы без надлежащей авторизации.
  • Повышение конфиденциальности . В мире кибербезопасности конфиденциальность данных имеет первостепенное значение. Это особенно важно, если вы храните конфиденциальную личную информацию, такую ​​как платежные данные или медицинские записи. В таких случаях наличие брандмауэра — это лишь один из нескольких шагов, которые организация должна предпринять, чтобы усилить свою безопасность и обеспечить конфиденциальность.

Политики и наборы правил брандмауэра

Брандмауэры ссылаются на заранее установленные политики и наборы правил, чтобы решить, следует ли принять, отклонить или отбросить пакет. Чтобы работать должным образом, политика безопасности должна четко определять, как брандмауэр должен обрабатывать трафик, связанный с различными факторами, такими как IP-адреса, диапазоны адресов, приложения, протоколы и типы контента. В соответствии с рекомендациями Национального института стандартов и технологий (NIST) по брандмауэрам и политике брандмауэра:

«Примеры требований политики включают разрешение на передачу только необходимых протоколов интернет-протокола (IP), использование соответствующих IP-адресов источника и получателя, доступ к определенным портам протокола управления передачей (TCP) и протокола пользовательских дейтаграмм (UDP), а также определенные интернет-порты. Используемые типы и коды протокола управляющих сообщений (ICMP).

Для большинства наборов правил лучше ограничить весь трафик, кроме того, который явно разрешен политикой брандмауэра. Это снижает вероятность нападения. Это также снижает объемы сетевого трафика.

Как создать надежную политику и набор правил?

Структура NIST рекомендует три конкретных действия:

  1. Определите все требования, которые необходимо учитывать при выборе типа межсетевого экрана для реализации.
  2. Создавайте наборы правил, которые соответствуют политике брандмауэра, не снижая производительности брандмауэра.
  3. Управляйте архитектурой, политиками и программным обеспечением брандмауэра на протяжении всего их жизненного цикла, регулярно обновляя, проверяя и исправляя брандмауэры, чтобы они соответствовали потребностям вашей организации.

Типы брандмауэров

Брандмауэр относится к одной из двух категорий: программный (основной) или аппаратный (сетевой).

Программные брандмауэры — это программы, установленные на устройствах, которые регулируют входящий трафик с помощью номеров портов и приложений, тогда как аппаратные брандмауэры — это физические устройства, установленные для разделения вашей сети и шлюза. По данным Бостонского университета:

«Сетевые брандмауэры могут быть установлены по периметру или краю сети для защиты корпорации от хостов в Интернете или внутри для защиты одного сегмента сообщества от другого, например, для разделения корпоративных и жилых систем или исследований. систем из маркетинговых систем».

Есть также несколько подкатегорий брандмауэров, появившихся за эти годы, в том числе:

  • Межсетевой экран с проверкой состояния . Когда мы впервые объясняли, как работает межсетевой экран, мы говорили именно об этом. Брандмауэр с контролем состояния ограничивает или разрешает трафик в соответствии с состоянием, портом и протоколом. Но чтобы считаться «с сохранением состояния», просто иметь набор правил недостаточно. Он также должен вести исторический учет трафика. Обладая этой информацией, брандмауэр может принимать более сложные, контекстуализированные решения о том, проходит пакет или нет.
  • Прокси-брандмауэры . Иногда их называют шлюзовым брандмауэром или брандмауэром приложений. Прокси-брандмауэр действует как посредник между компьютерами и интернет-серверами. Он защищает входящий и исходящий трафик для основных интернет-протоколов путем кэширования, фильтрации, регистрации и управления запросами на уровне приложений. Это считается одной из самых безопасных форм брандмауэра, поскольку он не позволяет сетям автоматически и напрямую связываться с вашими системами.
  • Межсетевой экран следующего поколения (NGFW). Как следует из названия, технология межсетевого экрана развивалась на протяжении десятилетий, сочетая традиционные технологии — проверку состояния и фильтрацию пакетов — с современными инструментами. NGFW обеспечит:
    • Проверка зашифрованного трафика
    • Системы предотвращения вторжений
    • Антивирус
    • Глубокая проверка пакетов
    • Пути обновления для будущих информационных каналов
  • NGFW, ориентированный на угрозы . Этот тип брандмауэра сочетает в себе возможности GFW с расширенными функциями обнаружения и устранения угроз. Эти системы могут помочь вам идентифицировать активы, находящиеся под угрозой, такие как фотографии или видео, обнаруживать подозрительную активность и реагировать на атаки. Если вы не знаете, как пометить несанкционированное использование ваших цифровых активов, вы можете выполнить обратный поиск в Google Картинках, чтобы узнать, были ли они повторно опубликованы на других сайтах.
  • Брандмауэры преобразования сетевых адресов (NAT) . Брандмауэр NAT позволяет нескольким устройствам с независимыми адресами подключаться к Интернету с использованием одного и того же IP-адреса, не раскрывая их индивидуальные IP-адреса. Это создает дополнительный уровень анонимности и безопасности.
  • Виртуальный брандмауэр . Как правило, виртуальный брандмауэр развертывается как виртуальное устройство в частной или общедоступной облачной инфраструктуре, отслеживая и защищая трафик как в физических, так и в виртуальных сетях.

Собственный брандмауэр WP Engine

Брандмауэр — это первая линия киберзащиты вашей компании. Он играет важную роль в защите вашей сети. Отслеживая, проверяя и ограничивая трафик, брандмауэр помогает обеспечить доступ только к авторизованным данным.

В WP Engine мы стремимся внедрить надежные меры безопасности для создания безопасной среды хостинга WordPress без ущерба для производительности веб-сайта. Наша команда использует один из лучших брандмауэров для защиты от хакеров, которые ежегодно блокируют более 26 миллиардов атак. Вооруженная проактивным обнаружением угроз и множеством обновлений плагинов, ядра и PHP, система автоматически обнаруживает и направляет хороший, плохой и вредоносный трафик.

Но система не просто автоматизирована. Мы также предоставляем оперативную группу безопасности, которая применяет лучшие в своем классе стандарты для постоянного мониторинга ваших рисков и соответствия требованиям. Если возникает проблема с безопасностью, мы предоставляем упреждающие оповещения, чтобы вы могли остановить злоумышленников на их пути.

Вам нужно решение корпоративного уровня? Наша система Global Edge Security обеспечивает:

  • Управляемый брандмауэр веб-приложений (WAF)
  • Усовершенствованная защита от DDOS-атак
  • CDN Cloudflare
  • установка SSL

Благодаря специальной и расширенной безопасности WP Engine предоставляет функции, необходимые для корпоративных веб-сайтов WordPress, которые лучше, быстрее и безопаснее.

Нам доверяют более 170 000 клиентов по всему миру. Итак, не пора ли вам мигрировать сейчас?

Источники:

  • Техническая цель. Что такое сетевые пакеты? И как они работают? https://www.techtarget.com/searchnetworking/definition/packet
  • НИСТ. Рекомендации по брандмауэрам и политике брандмауэра. https://www.govinfo.gov/content/pkg/GOVPUB-C13-f52fdee3827e2f5d903fa8b4b66d4855/pdf/GOVPUB-C13-f52fdee3827e2f5d903fa8b4b66d4855.pdf
  • Бостонский университет. Как работают брандмауэры. https://www.bu.edu/tech/about/security-resources/host-based/intro/