Что такое брандмауэр? Начальное руководство по различным типам брандмауэров и тому, нужен ли он вам

Опубликовано: 2020-06-26

Каждый сайт нуждается в защите. Как и ваш персональный компьютер, онлайн-серверы могут быть атакованы. Вам нужен способ защититься от хакеров или других источников незаконного трафика. Вот тут и приходят на помощь брандмауэры.

Что такое брандмауэр, вкратце? Это барьер между компьютером и «внешним миром».

Злоумышленники могут нанести ущерб вашему серверу, если вы оставите свой веб-сайт незащищенным, и поэтому вы должны сделать все возможное, чтобы защитить свой сайт WordPress. Настройка брандмауэра должна быть одним из ваших первых дел.

Но существует множество различных типов брандмауэров, и вы можете не знать, с чего начать.

Брандмауэр — это барьер между вашим компьютером и внешним миром. Так как же выбрать правильный, чтобы защитить свой сайт от хакеров? Читайте рекомендации ️ Нажмите, чтобы твитнуть

Давайте рассмотрим все типы брандмауэров, когда они вам понадобятся и как настроить их на вашем сервере.

Что такое брандмауэр? Что делает брандмауэр?

Всякий раз, когда вы посещаете веб-сайт, вы в основном подключаетесь к другому компьютеру: веб-серверу. Но поскольку сервер — это всего лишь специализированный компьютер, он подвержен тем же атакам, что и ваш собственный ПК.

Небезопасно напрямую подключаться к другому устройству без какой-либо промежуточной защиты. Как только это соединение установлено, гораздо проще заразить другую сторону вредоносным ПО или запустить DDoS-атаку.

Вот для чего нужен брандмауэр. Это посредник между вами и любыми другими устройствами, пытающимися подключиться к вам, или, в случае веб-сервера, между ним и сотнями или тысячами соединений, которые он устанавливает с другими каждый день.

подключение к компьютеру
Подключение к веб-серверу

Так как же именно работает брандмауэр?

Брандмауэры просто контролируют входящий и исходящий трафик на устройстве, сканируя любые признаки вредоносной активности. Если он обнаружит что-то подозрительное, он немедленно заблокирует его от достижения пункта назначения.

Это большая система фильтрации для вашего компьютера или сервера.

Когда они были впервые разработаны, брандмауэры были очень простыми анализаторами пакетов, которые разрешали или блокировали входящий трафик на основе минимального набора предопределенных правил. Их было очень легко обойти.

В настоящее время они превратились в сложные части программирования, которые намного лучше предотвращают попытки вторжения и являются важной частью программного обеспечения для всех устройств.

Когда вам нужен брандмауэр

Вам может быть интересно: когда необходим брандмауэр? Он мне действительно нужен?

Брандмауэр требуется для любой машины, которая подключается к Интернету. Не только ваш компьютер, но и ваш веб-сервер, телефон, устройства IoT или все, что вы можете придумать, имеет возможность использовать Интернет.

Незащищенное устройство является легкой добычей для вторжений и инфекций.

Это может дать хакерам возможность захватить ваш компьютер, установить все, что они хотят, следить за тем, как вы вводите конфиденциальную информацию, такую ​​​​как учетные данные банка, или даже просматривать вашу веб-камеру / камеру и слушать через ваш микрофон.

В случае веб-сервера, если хакеру удастся пройти, он может испортить ваш веб-сайт, внедрить вредоносное ПО, заражающее ваших посетителей, изменить ваши учетные данные администратора WordPress или полностью отключить ваш сайт.

сайт не найден
Страница 404

Без брандмауэра ваш веб-сайт и даже ваши личные устройства уязвимы для DDoS-атак, вектора атаки, который отправляет тысячи или миллионы поддельных пакетов, чтобы перегрузить ваш сервер и вывести из строя ваш веб-сайт или Интернет.

Не убежден? Вот от чего брандмауэр может защитить вас или ваш сайт:

  • Вторжения : брандмауэры предотвращают несанкционированный доступ пользователей к вашему компьютеру или серверу удаленно и делают все, что они хотят.
  • Вредоносное ПО . Злоумышленники, которым удается проникнуть в систему, могут отправить вредоносное ПО, чтобы заразить вас или ваш сервер. Вредоносное ПО может украсть личную информацию, распространиться среди других пользователей или иным образом повредить ваш компьютер.
  • Атаки грубой силы : попытки хакеров перепробовать сотни комбинаций имени пользователя и пароля, чтобы узнать ваши учетные данные администратора (или других пользователей).
  • DDoS-атаки : брандмауэры (особенно брандмауэры веб-приложений) могут пытаться обнаружить приток поддельного трафика, возникающего во время DDoS-атаки.

Типы брандмауэров

Существует множество различных типов брандмауэров, каждый из которых предназначен для определенной ситуации. Некоторые лучше подходят для отдельных компьютеров, а другие предназначены для сетевой фильтрации.

Все они работают по-разному и лучше блокируют определенные виды трафика. Если вам интересно, что вам следует искать, мы разберем все основные типы брандмауэров.

Вот краткое резюме: если вы не используете свой собственный стек серверов (предоставляя веб-сайту собственный Интернет), тип брандмауэра, о котором вам в основном нужно беспокоиться, — это персональные брандмауэры, программные брандмауэры и брандмауэры веб-приложений.

Эти три являются наиболее важными. Однако прочтите больше об остальных, если хотите лучше понять, как работает брандмауэр и как он развивался с годами.

Персональный брандмауэр

Брандмауэры работают по-разному в зависимости от того, используются ли они отдельными компьютерами, целыми сетями (например, в бизнес-офисе) или веб-серверами. Персональный брандмауэр предназначен для использования только на одном компьютере. Это брандмауэр, который предварительно устанавливается на компьютерах с Windows и Mac или вместе с антивирусным программным обеспечением.

Хотя он работает аналогично серверному брандмауэру — разрешая или запрещая соединения с другими устройствами, приложениями и IP-адресами на основе набора предопределенных правил, — на самом деле он действует немного иначе.

Персональные брандмауэры могут защитить порты, которые вы используете для подключения к веб-сайтам и онлайн-приложениям (спрятав их, чтобы злоумышленники не могли видеть, что они открыты), защитить от атак, которые проникают через сеть, предотвратить доступ людей к вашему компьютеру и захват его, и анализировать весь входящий и исходящий трафик.

Они также действуют как брандмауэры приложений, отслеживая активность приложений на вашем устройстве и не позволяя установить соединение с небезопасным или неизвестным программным обеспечением.

В наши дни получить персональный брандмауэр довольно просто. Если вы используете любую современную версию Windows, она уже должна быть запущена по умолчанию.

персональный брандмауэр
Брандмауэр Защитника Windows

Компьютеры Mac также поставляются с ним, хотя вам нужно включить его самостоятельно. Для этого перейдите в «Системные настройки», нажмите «Безопасность и конфиденциальность», затем нажмите «Брандмауэр»:

Приложение брандмауэра в macOS
Приложение брандмауэра в macOS

Антивирусное программное обеспечение также часто поставляется со своим собственным. Примером может служить антивирус Avast: его программный брандмауэр совместим с Windows и служит вторым уровнем защиты.

Также существуют платные сторонние персональные брандмауэры, но они могут конфликтовать с настройками по умолчанию.

Аппаратный и программный брандмауэр

Брандмауэры бывают двух разных форм: аппаратные и программные брандмауэры. Программные брандмауэры — это загружаемые программы для вашего компьютера, которые контролируют все это с центральной панели управления. Аппаратные брандмауэры обеспечивают аналогичную функциональность, но они физически установлены в здании.

Возможно, вы этого не знаете, но, вероятно, у вас дома есть аппаратный брандмауэр: ваш маршрутизатор, устройство, которое позволяет вам подключаться к Интернету. Хотя это не совсем то же самое, что выделенное устройство аппаратного брандмауэра, оно предоставляет аналогичные функции мониторинга и разрешения или запрета соединений.

Как программные, так и аппаратные брандмауэры находятся между вашим компьютером и внешним миром, тщательно анализируя любые соединения, которые пытаются проскользнуть. Вы можете иметь один или оба из них, работающие в вашей сети.

Однако у аппаратных брандмауэров есть несколько недостатков. Их сложно настроить, и они требуют постоянного обслуживания, поэтому обычно они не подходят для отдельных компьютеров или очень малых предприятий без ИТ-отдела. Они могут вызывать проблемы с производительностью, особенно в сочетании с программным брандмауэром. И они не подходят для блокировки приложений на устройстве или пользовательских ограничений.

С другой стороны, аппаратный брандмауэр легко защитит всю вашу сеть компьютеров, в то время как настройка программного обеспечения для этого является более сложной задачей. И хотя злоумышленник может отключить программное обеспечение, если ему удастся войти, он не может вмешаться в физическое устройство.

Программные брандмауэры, как следует из их названия, лучше работают с программами на компьютере. Блокировка приложений, управление пользователями, создание журналов и мониторинг пользователей в вашей сети — их специализация. Их не так просто настроить для всей сети, но при установке на несколько устройств они обеспечивают более точное управление.

Брандмауэр с фильтрацией пакетов

Самый простой тип брандмауэра и один из первых разработанных — это брандмауэры с фильтрацией пакетов. Пакет — это данные, которыми обмениваются ваш компьютер и сервер. Когда вы щелкаете ссылку, загружаете файл или отправляете электронное письмо, вы отправляете пакет на сервер. И когда вы загружаете веб-страницу, она отправляет вам пакеты.

Брандмауэр с фильтрацией пакетов анализирует эти пакеты и блокирует их на основе набора предопределенных правил. Например, вы можете заблокировать пакеты, исходящие с определенного сервера или IP-адреса, или те, которые пытаются достичь определенного пункта назначения на вашем сервере.

Недостаток: эти типы брандмауэров просты и их легко обмануть. Невозможно применить расширенные правила. Если вы разрешите прохождение трафика через определенный порт, брандмауэр с фильтрацией пакетов пропустит что угодно, даже тот трафик, который для современных брандмауэров явно не является легитимным.

Единственным их преимуществом является то, что они настолько просты, что почти не влияют на производительность. Они не проверяют трафик, не сохраняют журналы и не выполняют никаких дополнительных функций. В наши дни следует избегать брандмауэров с фильтрацией пакетов или, по крайней мере, использовать их вместе с чем-то более продвинутым, поскольку есть гораздо лучшие решения.

Брандмауэр с отслеживанием состояния

После «безгражданских» простых фильтров пакетов пришла технология межсетевых экранов с отслеживанием состояния. Это было революционно, потому что вместо того, чтобы просто анализировать пакеты по мере их прохождения и отклонять на основе простых параметров, брандмауэры с отслеживанием состояния обрабатывают динамическую информацию и продолжают отслеживать пакеты по мере их прохождения по сети.

Нужен невероятно быстрый, надежный и полностью безопасный хостинг для вашего сайта? Kinsta предоставляет все это и круглосуточную поддержку мирового уровня от экспертов WordPress. Ознакомьтесь с нашими планами

Простой брандмауэр с фильтрацией пакетов может блокировать только на основе статической информации, такой как IP-адрес или порт. Межсетевые экраны с отслеживанием состояния лучше обнаруживают и блокируют незаконный трафик, поскольку они распознают шаблоны и другие передовые концепции.

По сравнению с межсетевыми экранами без сохранения состояния их недостатки заключаются в том, что они более интенсивны из-за хранения данных пакетов в памяти и более тщательного их анализа, а также ведения журналов того, что блокируется и что проходит. Но они гораздо лучшее решение.

Брандмауэр веб-приложений

брандмауэр веб-приложений
Как работают WAF

Хотя технология с отслеживанием состояния все еще используется сегодня, ее одной уже недостаточно для эффективного обеспечения безопасности сети. Брандмауэры приложений и веб-приложений стали следующим большим шагом.

Традиционные брандмауэры контролируют только общий сетевой трафик. Они с трудом или полностью не могут обнаружить трафик, входящий или исходящий из приложения, службы или другого программного обеспечения. Брандмауэры приложений были разработаны для работы с этими программами, перехватывая попытки вторжения, которые используют уязвимости программного обеспечения для обхода старых брандмауэров.

Они также могут функционировать как система родительского контроля для бизнеса, полностью блокируя доступ к определенным приложениям и веб-сайтам.

Брандмауэры веб-приложений работают аналогично, но они контролируют веб-приложения, а не программы на компьютере. Примерами веб-приложений являются сторонние плагины форм или корзины покупок, которые иногда могут быть взломаны для отправки вредоносных программ на ваш сервер. Без WAF вы уязвимы для этих атак.

Многие WAF основаны на облаке, а это означает, что вам не нужно вносить какие-либо радикальные изменения в свой сервер для их настройки. Но они также могут существовать на аппаратном или серверном программном обеспечении.

Если вам нужен брандмауэр для защиты вашего веб-сайта, ищите облачный WAF, такой как Cloudflare или Sucuri. Их можно установить без необходимости возиться с чувствительными настройками веб-хостинга или настраивать дорогое оборудование.

Брандмауэр нового поколения

Последним является брандмауэр нового поколения (NGFW), одно из самых последних изобретений этого поколения технологий безопасности. Эти инструменты корпоративного уровня, как и все вышеперечисленное, объединены в один. Глубокая фильтрация пакетов, предотвращение вторжений и мониторинг приложений — это лишь некоторые из их огромного набора сетевых функций.

Облачные брандмауэры следующего поколения существуют как онлайн-сервисы, но WAF гораздо более распространены и предоставляют аналогичные функции. Но если вам нужна абсолютно самая передовая из доступных технологий брандмауэра с полным набором средств защиты в одной программе, ищите NGFW.

Как получить брандмауэр

Чтобы защитить себя и свой веб-сайт, вам нужен высококачественный брандмауэр, который защитит вас от злоумышленников.

Что касается персональных брандмауэров, обычно нет необходимости из кожи вон лезть, чтобы их получить. Встроенный брандмауэр Windows работает очень хорошо без какой-либо настройки. А между брандмауэром приложений, который часто поставляется с вашим антивирусным программным обеспечением, и фильтром пакетов на вашем маршрутизаторе, ваш компьютер обычно более чем защищен.

Просто убедитесь, что ваш брандмауэр активирован, у вас установлен хороший антивирус и ваш маршрутизатор правильно настроен. То же самое можно сказать и о пользователях macOS.

Но что, если у вас есть сайт, который нуждается в защите?

Тогда это сильно отличается. Существует не так много встроенных инструментов для вашей защиты, и часто вы сами должны защитить свой веб-сайт. Например, если вы используете WordPress, у вас нет брандмауэра или чего-либо еще для защиты вашего сервера, а плагины безопасности являются одним из наиболее распространенных вариантов.

Разработчики WordPress делают все возможное, чтобы оптимизировать код, но когда возникают уязвимости, у вас нет ничего, чтобы предотвратить вторжение.

Каждый сайт может извлечь выгоду из WAF. Онлайн-сервисы, такие как Sucuri, Wordfence, Cloudflare, могут настроить его на вашем сервере за считанные минуты.

Кинста безопасный хостинг
Kinsta предлагает активные и пассивные меры для повышения безопасности

Помимо самостоятельной установки брандмауэра, вам следует выбрать веб-хостинг, который должным образом заботится о своих серверах. Слишком много дешевых хостингов не заботятся о безопасности, и это может вызвать огромные проблемы, если ваш сайт подвергнется критике.

Интеграция Kinsta с Cloudflare

Если ваш сайт размещен на Kinsta, вам не нужно беспокоиться о настройке WAF вручную. Все сайты в нашей инфраструктуре автоматически защищены нашей бесплатной интеграцией с Cloudflare, которая включает безопасный брандмауэр с настраиваемыми наборами правил и бесплатную защиту от DDoS. В дополнение к нашей интеграции с Cloudflare мы также реализуем другие меры безопасности, такие как обнаружение грубой силы, доступ к файлам только по SFTP, виртуальные машины Google Cloud Platform, комплексная гарантия безопасности и многое другое.

Резюме

На современном персональном компьютере обычно не требуется многого, поскольку в большинстве операционных систем предустановлен брандмауэр. Что касается вашего веб-сайта, слишком много хостингов просто не заботятся о безопасности своих серверов, поэтому ваша задача — защитить себя.

Если вы ищете веб-хост с надежной инфраструктурой безопасности, которая может поддерживать сайт любого размера, рассмотрите Kinsta. С нашей бесплатной интеграцией с Cloudflare и гарантией безопасности вы знаете, что не станете жертвой взлома. И в тех редких случаях, когда они прорвутся, мы предпримем шаги, чтобы избавиться от вредоносного ПО бесплатно.

Даже если вы выберете надежный хост, который уделяет большое внимание безопасности, рекомендуется установить брандмауэр веб-приложений в качестве второй линии защиты. Найдите хороший сервис, такой как Sucuri, или загрузите плагин безопасности WordPress, и все будет готово.