Що таке фаєрволи (firewall)

Фаєрвол – міжмережевий екран, що здійснює фільтрацію всього трафіку відповідно до прописаних заздалегідь принципів і правил. Якщо уявити сервер як невелику житлову багатоповерхівку, то Firewall – це старанний охоронець, який вдень і вночі стежить за порядком і не пропускає всередину нікого, хто викликає хоча б найменші підозри.

Firewall може бути:

1. Програмним. Спеціалізоване ПЗ встановлюють на VPS або виділений сервер, у конфігураційному файлі прописують певні правила, відповідно до яких здійснюватимуть фільтрацію вхідного і вихідного трафіку. Яскравий приклад -  брандмауер Windows, який вбудований в операційну систему за замовчуванням.
2. Програмно-апаратним. Надійніший і дорожчий варіант, який дає змогу ефективно захистити корпоративну мережу від DDoS-атак та інших спроб злому. Програмно-апаратні комплекси, які на Заході відомі як security appliance, є повністю автономними системами, які майже не потребують попереднього налаштування перед впровадженням у мережу. Цими пристроями можна керувати віддалено через протоколи SNMP, Telnet, SSH або SSL. 

Другий варіант набагато кращий для забезпечення захисту розгалужених корпоративних мереж за рахунок підвищеної відмовостійкості та продуктивності.

Різновиди Firewall і принципи їхньої роботи

Інформація між серверами та комп'ютерами в мережі Інтернет передається у вигляді пакетів – невеликих порцій даних, які містять якісь відомості. Коли ви передаєте кому-небудь файл, він ділиться на пакети, передається мережею, і вже на місці збирається назад відповідно до певних інструкцій. Фаєрвол потрібен для того, щоб аналізувати і перевіряти ці пакети даних на предмет впровадження шкідливого коду. Якщо "бар'єр" вважатиме пакет підозрілим, він його просто заблокує, запобігши таким чином загрозі для сервера-одержувача.

Існує два види фаєрволів:

1. Stateful. Аналізує дані в потоці, а рішення про фільтрацію трафіку приймає на підставі декількох прописаних алгоритмів. Аналіз IP-адреси, протоколу, довжини пакета, додатка, номера порту та інформації L3 дає змогу з високою точністю визначати і фільтрувати шкідливі пакети. Хороше рішення для корпоративних мереж з високою інтенсивністю вихідного трафіку.
2. Stateless. Менш гнучкий, зате вкрай ефективний завдяки суворому дотриманню заданих правил ACL. Такий фаєрвол – оптимальний варіант для невеликих проєктів із низьким рівнем загроз.

Обидва різновиди firewall мають свою специфіку застосування, але надійнішим і гнучкішим вважається все ж таки перший варіант – Stateful.

Чи потрібен вам міжмережевий бар'єр

Фаєрвол забезпечує захист мережі на кількох рівнях одночасно:

1. Запобігає несанкціонованому доступу. Наприклад, може припинити спроби скачування клієнтської бази із замаскованого IP за наявності функції перевірки налаштувань доступу.
2. Блокує передачу небезпечних даних. Уявіть ситуацію, що хтось зі співробітників компанії приніс на роботу заражену флешку з вірусом, здатним після активації зібрати необхідні дані і відправити їх назовні, творцеві шкідливого ПЗ. Міжмережевий екран за коректних налаштувань здатний запобігти подібному навіть у разі успішного зараження мережі. Пам'ятайте, що бар'єр працює в обидва боки.
3. Захистить корпоративну мережу від кібератак і DDoS. Існує набір правил, які допоможуть припинити будь-які спроби "покласти" сервер.

Тут, щоправда, є нюанси, і жоден firewall не може забезпечити 100% захист від DDoS атак. Ступінь захисту підвищується, при правильному налаштуванні міжмережевих фільтрів DDoS атаки будуть набагато менш ефективними, але практика показує, що навіть великі компанії час від часу піддаються подібним атакам, іноді навіть хакерам вдається досягти поставлених цілей.

Збільшити ефективність захисту від DDoS допоможуть багаторівневі фільтри на рівнях L3, L4 і L7 із застосуванням технології Reverse Proxy.

Кому необхідний захист за допомогою фаєрвола

Firewall необхідний на будь-яких проєктах, які під'єднані до мережі Інтернет, і які регулярно приймають дані "ззовні". Встановлення та налаштування брандмауера не потребуватиме серйозних капіталовкладень, насамперед тут потрібен грамотний системний адміністратор або фахівець із кібербезпеки, який зможе правильно налаштувати програмне забезпечення, прописати всі необхідні правила й алгоритми.

Існують і готові рішення, які можна "з коробки" підключати до корпоративної мережі, що вже працює. Для їхнього впровадження знадобиться мінімум часу і сил, але і ціна питання відчутно вища. Якщо залишилися питання, звертайтеся до наших фахівців через Livechat.