Інтернет – це все про підключення. На жаль, хоча є багато сайтів і вмісту, до яких ви можете підключитися, є багато речей, до яких ви також не хочете підключатися. Комп’ютерні віруси існують вже давно. Деякі з дійсно ранніх не були насправді руйнівними і просто робили щось несподіване, наприклад, грали музику техно або надсилали електронний лист.
Однак це не так у сучасному світі. Віруси та зловмисне програмне забезпечення можуть видаляти або шифрувати файли та зберігати їх для отримання викупу, реєструючи натискання клавіш визначте паролі та банківську інформацію або тихо зареєструйте свій комп’ютер у ботнеті для атаки інші.
Віруси та зловмисне програмне забезпечення також не єдині неприємні речі. Хакери постійно використовують автоматизовані інструменти сканування, щоб досліджувати пристрої в Інтернеті, щоб виявити ті, які вразливі до наявних у них інструментів.
У вас може виникнути спокуса просто від’єднати комп’ютер від Інтернету, щоб захистити його. Хоча це спрацює, це не дуже добре, оскільки ви втратите доступ до великої кількості корисної інформації та смішних фотографій котів, які складають Інтернет. Щоб керувати балансом між доступом і безпекою, у вас є брандмауер.
Що таке брандмауер?
Брандмауер — це інструмент, який пропускає певний мережевий трафік і блокує інший трафік. Ретельно налаштувавши правила, які контролюють, пропускається мережевий пакет через брандмауер чи ні, ви можете суттєво підвищити рівень безпеки свого комп’ютера.
Основна концепція побудована навколо списку контролю доступу. Деякі речі дозволені, деякі явно заблоковані, а все інше заблоковано за замовчуванням. Якщо ви зіткнулися з ситуацією, коли ваш брандмауер заважає вам щось зробити, загалом варто приділити секунду, щоб зрозуміти, чому з’єднання було заблоковано.
Звичайно, ви можете дозволити спілкування, якщо для цього немає законної причини. Або причина більше не актуальна. Так само, якщо ви отримуєте непотрібний мережевий трафік, ви можете просто заблокувати його. Можливо, варто подумати, чому це було дозволено, перш ніж це зробити. Оскільки блокування доступу може порушити законні функції.
Існує два основних типи брандмауерів. Мережевий брандмауер і персональний брандмауер розташовані в різних точках схеми мережі. Вони пропонують інші переваги та недоліки. Обидва можуть бути корисними та добре працювати разом, хоча наявність кількох може ускладнити процес діагностики, який блокує те, що не слід блокувати.
Мережевий брандмауер
Мережевий брандмауер – це брандмауер, розташований десь у вашій локальній мережі (LAN). Або потенційно ваша глобальна мережа (WAN). Він завжди розміщуватиметься між пристроями та фактичним підключенням до Інтернету. Як правило, він буде розташований якомога ближче до підключення до Інтернету. У сенсі топології мережі, не обов’язково у фізичній близькості.
Мережевий брандмауер зазвичай є фізичним пристроєм серверного типу. Це може бути окремий пристрій або інтегрований в інший мережевий пристрій, наприклад маршрутизатор. Зазвичай вони розгортаються в мережах корпоративного рівня і значно рідше зустрічаються в домашніх мережах.
Примітка: NAT і PAT, хоча і не призначені як функції безпеки, подібні до брандмауера, пропонують подібні переваги, принаймні, коли йдеться про блокування та дозвіл вхідного зв’язку. Усі домашні маршрутизатори реалізують NAT і PAT. Тож ви можете розглядати це як мережевий брандмауер.
Мережеві брандмауери зазвичай призначені для фільтрації всього вхідного та вихідного мережевого трафіку всієї мережі. Його позиція в мережі дає йому чудове розуміння всього трафіку в мережі. Проте багато з’єднань між пристроями кінцевих користувачів і веб-серверами зашифровані. Він не завжди добре бачить фактичний вміст мережевого трафіку. З цієї причини більшість правил мережевого брандмауера базуються на блокуванні відомих несправних IP-адрес і запобіганні доступу до небажаних номерів портів.
Мережеві брандмауери чудово забезпечують захист для пристроїв, які не можуть запустити власні брандмауери. Вони також добре пропонують централізований захист великої кількості пристроїв. На жаль, вони часто оновлюються повільно, якщо є правило, яке потрібно змінити. Однак зазвичай це відбувається через слабку або надто обережну корпоративну політику та людей, які не знають, з ким зв’язатися, щоб вирішити проблему.
Персональний брандмауер
Персональний брандмауер — це програмний брандмауер, встановлений на вашому пристрої. Він може контролювати комунікації та налаштовуватися для керування доступом окремих програм. Вони часто пов’язані з якимось рішенням для захисту від зловмисного програмного забезпечення, хоча, починаючи з Windows XP, Windows поставляється з вбудованим безкоштовним брандмауером.
Персональні брандмауери також постачаються з вашим пристроєм. Це не особливо важливо для настільних комп’ютерів. Проте ноутбуки та мобільні пристрої можуть підключатися до багатьох мереж, кожна з яких має різні профілі ризику. Наприклад, у корпоративній мережі у вас може бути багато підключених до мережі спільних ресурсів, принтерів та інших пристроїв, з якими потрібно безперебійно спілкуватися.
У домашньому середовищі ви, як правило, у відносній безпеці, але не обов’язково потребуєте тих служб, які дозволені брандмауером, і їх закриття є хорошим глибоким захистом. Якщо ви підключені до загальнодоступної точки доступу Wi-Fi, хоча ви не знаєте, що ще може бути підключено до мережі, ваш брандмауер має бути надійно заблокований.
Персональні брандмауери набагато легше оновити, щоб надати або заборонити доступ до чогось. Хоча багато пристроїв включають більше витрат на керування, деякі пропонують централізоване керування, яким кінцеві користувачі не довіряють. Персональні брандмауери охоплюють лише один пристрій, але можуть захистити його, де б він не був. Значний ризик полягає в тому, що вірус все-таки проникне. Він може отримати достатній контроль над комп’ютером, щоб безпосередньо керувати брандмауером, якого також може не бути.
Брандмауер веб-додатків
Веб-додатки також піддаються постійному шквалу атак хакерів. Типові брандмауери чудово захищають сервер від небажаного трафіку, але сама програма може бути вразливою. Хоча методи безпечної розробки та належне тестування безпеки є найкращими політиками безпеки, впровадження брандмауера веб-додатків або WAF може допомогти діяти як глибокий захист.
Порада: Поглиблений захист — це концепція безпеки з кількома рівнями функцій безпеки. Ідея полягає в тому, що якщо один захисний механізм дає збій або його обходять, залишаються інші захисні засоби.
WAF працює дещо інакше, ніж інші брандмауери. Оскільки він знаходиться в додатку, він може бачити та аналізувати розшифрований трафік. Це дозволяє аналізувати вміст фактично надісланих повідомлень. Якщо якийсь запит визначено як потенційно шкідливий, його можна заблокувати. Типовим прикладом того, що може бути заблоковано, є запити, які містять javascript. Атаки міжсайтового сценарію або XSS передбачають надсилання запитів за допомогою javascript, щоб браузер міг виконати шкідливий код.
Висновок
Брандмауер — це інструмент, який відстежує мережевий трафік і блокує або дозволяє його залежно від списку правил, які має брандмауер. Ці правила можна змінити відповідно до потреб користувачів і варіантів використання, хоча в деяких випадках користувач може не мати змоги внести зміни самостійно.
Брандмауери зазвичай блокують неочікуваний вхідний трафік, вони також відстежують надіслані запити, щоб вони могли пропускати відповіді. Зазвичай також доцільно заблокувати вихідні запити, якщо вони не потрібні як засіб поглибленого захисту.
Примітка. Термінологія брандмауера часто стосується списків блокування та дозволених списків.