Брандмауэр (или Firewall) – это программный комплекс, который служит для защиты компьютера от взлома хакерами, а также всевозможных вирусов и «троянов». Благодаря данной системе повышается степень безопасности работы в сети и отражаются многие атаки на компьютер за счёт фильтрации некоторых информационных пакетов. Именно поэтому настоятельно рекомендуется не отключать брандмауэр. Если пользователя не устраивает стандартный брандмауэр, то его в любой момент можно поменять на сторонний. Однако полностью отключать его весьма опасно.
Firewall отслеживает и блокирует все потенциально опасные подключения, тем самым эффективно защищая личные данные пользователя. Но не стоит путать брандмауэр с антивирусными приложениями, которые предназначены для борьбы с угрозами, уже расположенными на компьютере или на съёмных носителях. Против сетевых атак антивирусы бессильны. А что такое брандмауэр и чем он занимается? Он не следит за тем, какие действия выполняются на самом компьютере (разумеется, если не передаётся информация в сеть). Главной задачей брандмауэра является наблюдение именно за сетевым трафиком. Только совместное использование антивируса и firewall может гарантировать полную безопасность компьютера.
Брандмауэр на компьютере должен выполнять следующие задачи:
- Отслеживать все подозрительные соединения. Некоторые программы с компьютера могут пытаться отправить определённые данные в интернет, а также получить из него ту или иную информацию. Иногда это почтовая программа (Outlook Express), мессенджер (ICQ, MSN) – в этом случае всё нормально, но если совершенно неизвестная пользователю программа или приложение вдруг пытается самостоятельно наладить контакт со всемирной сетью – можно с высокой долей вероятности утверждать, что это «троян».
- Блокировать все порты, ненужные для работы, и анализировать трафик, идущий через открытые порты. При помощи портов компьютер общается с Интернетом. Через них же производятся атаки на ПК. Firewall должен защищать эти порты, предупреждая пользователя обо всех подозрительных попытках проникновения.
- Наблюдать за выполняемыми или запускаемыми программами. Если программа запускается в первый раз, то брандмауэр запоминает её данные. И когда во время очередного запуска вдруг выяснится, что программа изменилась, firewall должен предупредить об этом пользователя (если он настроен должным образом).
Как показывает статистика, компьютер, на котором не установлен брандмауэр и который находится в интернете, остаётся незаражённым максимум пару минут. По истечении этого времени пользователь непременно получит порцию вредоносных программ.
Брандмауэр Windows
В операционной системе Windows есть встроенный брандмауэр и он обладает достаточно большим количеством функций, хотя его интерфейс не совсем удобен.
В Windows встроен расширенный интерфейс настройки брандмауэра, в котором можно создать для него дополнительные правила. Например, блокировать соединение с интернетом определённых программ или позволить приложению связываться только с конкретными адресами.
Пользователь может использовать программу стороннего производителя для расширения функции брандмауэра Windows, тем самым заставляя его каждый раз запрашивать разрешение при попытке новой программы соединиться с интернетом. Среди программ, которые успешно работают в паре с брандмауэром, можно выделить Windows Firewall Control.
Рассмотрим на примере операционной системы Windows 10, как производятся основные операции со встроенным брандмауэром. Во всех последних версиях Windows эти действия практически идентичны.
Включение и отключение брандмауэра Windows
Для включения или отключения брандмауэра Windows необходимо зайти в «Панель управления > Система и безопасность > Брандмауэр Windows > Включение и отключение брандмауэра Windows». А потом для разделов «Параметры для частной сети» и «Параметры для общественной сети» нужно переместить указатель в положение «Включить брандмауэр Windows», и подтвердить действие нажатием кнопки «Ok».
Также вы можете открыть настройки брандмауэра в «Панели управления» при помощи команды «firewall.cpl». Для этого нужно открыть меню «Выполнить» при помощи комбинации клавиш Win+R, ввести команду «firewall.cpl» и нажать на кнопку «Ok».
Добавление исключений
Если Брандмауэр Windows блокирует работу нужного вам приложения, то вы можете добавить его в список исключений. Делается это следующим образом:
- Открываем «Панель управления > Система и безопасность > Брандмауэр Windows > Разрешение взаимодействия с приложением или компонентом в брандмауэре Windows».
- Нажимаем кнопки «Изменить параметры» и «Разрешить другие приложения».
- Дальше откроется окно, для поиска требуемого приложения. Здесь нужно нажать «Обзор».
- Выбираем нужное приложение и подтверждаем действие нажатием кнопки «Добавить».
- Добавленная программа появится в списке разрешённых программ и компонентов. Напротив неё нужно установить галочки в пунктах «Публичная» и «Частная» сеть.
После выполнения описаных выше действий не забудьте сохранить настройки нажатием на кнопку «Ok».
Брандмауэр Windows появился еще в Windows XP SP2 и используется по сей день. Некоторые пользователи персональных компьютеров, не замечая разницы между брандмауэром и антивирусом (при наличии второго), отключали брандмауэр, считая его бесполезным. К сожалению, такие люди очень глубоко ошибаются. Проще выражаясь, брандмауэр - средства для обнаружения и оповещения пользователя о какой-то проблеме, а антивирус - средство для поиска вредоносного программного обеспечения на компьютере и ее устранения. Все же нужно разобраться в этих понятиях подробнее.
Запущенный брандмауэр осуществляет блокирование различных входящих соединений. Например, раньше, до появления брандмауэра в основе операционных систем Windows, компьютер пользователя мог заразиться компьютерным червем за считанные минуты даже при условии, что на персональном компьютере установлен антивирус. Да, антивирус мог обнаружить проблему и устранить ее, но вредоносное программное обеспечение все равно проникало в систему. С выпуском Windows XP SP2 у пользователей отпала необходимость самостоятельного поиска и установки брандмауэра. Брандмауэр операционной системы может блокировать доступ к различным ресурсам системы в том случае, если пользователь подключен к общей сети, а не домашней. В том случае, если пользователь подключен к домашней сети, он может самостоятельно открыть доступ к каким-либо данным.
Естественно, что пользователь вправе установить на свой компьютер не только оригинальный брандмауэр Windows, но и сторонний. Только в таком случае они будут информировать пользователя о найденной угрозе абсолютно всегда, в то время, когда оригинальный брандмауэр делает это в фоновом режиме, а в итоге, пользователь все равно будет получать столько же пользы от бесплатного брандмауэра Windows, как и от стороннего.
Подводя итоги
Разумеется, что нужно иметь на компьютере как брандмауэр, так и антивирус. В то время, когда первый будет оповещать пользователя о большинстве вредоносных программ извне (из интернета), второй будет устранять их. Следовательно, наличие обеих программ - крайне важно для обеспечения должного уровня безопасности на персональном компьютере пользователя, но даже в этом случае стопроцентная гарантия от заражения невозможна, так как все время появляется новое вредоносное программное обеспечение.
Брандмауэр (или firewall) – средство, с помощью которого осуществляется процесс разграничения доступа к компьютеру через интернет. Различают два типа брандмауэров: программные и аппаратные.
При помощи брандмауэра возможно обеспечить безопасность компьютера: атаки хакеров, проникновение вредоносных программ становятся невозможными. Другой плюс заключается в том, что брандмауэр не позволяет злоумышленникам использовать ваш компьютер в своих целях: например, для атаки на компьютеры других пользователей. Особая важность применения брандмауэров отмечается на тех компьютерах, которые имеют постоянное подключение к интернету.В операционной системе Microsoft Windows имеется встроенный программный брандмауэр. Чтобы его запустить, достаточно выбрать «Пуск» –> «Панель управления» –> «Брандмауэр Windows». Использование стандартного брандмауэра способно обеспечить защиту от вышеуказанных угроз. Пользуйтесь подсказками операционной системы для его настройки. Настройка осуществляется путем задания конкретных правил и запретов для определенных программ, портов, служб и т.п. Также могут использоваться и другие программные брандмауэры. Они могут отличаться в предоставляемых пользователю возможностях, более глубокой и тонкой настройке, интерфейсе. Примерами программных брандмауэров могут служить NetworkShield Firewall, Avira Internet Security, BitDefender Internet Security и т.п.Большинство аппаратных брандмауэров подключается к сети между компьютером (или другим устройством, обеспечивающим подключение к интернету). Доступ к аппаратному брандмауэру осуществляется с помощью веб-браузера. В адресную строку вводится IP-адрес аппаратного брандмауэра, после чего открывается страница с его настройками. Отдельно стоит отметить, что многие маршрутизаторы имеют встроенный брандмауэр. В качестве примеров аппаратных решений могут выступать SonicWall, Cisco PIX и др.Необходимо знать, что брандмауэр может осуществлять взаимодействие с какими-либо сетевыми программами, которые установлены на компьютер. Это может приводить к определенным проблемам в работе программного обеспечения. Решить проблему возможно путем более точной настройки брандмауэра. Также подобная несовместимость может быть вызвана устаревшим программным обеспечением – его обновление нередко является решением проблемы.
Видео по теме
Мало кто представляет для чего нужен Брандмауэр или, как его еще называют Firewall, в операционной системе Windows. Далее, будет подробно рассмотрено, что это такое, и для чего он нужен. Здесь можно также узнать о надобности этой программы, в случае наличия антивируса. Будут рассмотрены и лучшие варианты для «операционки» Виндовс.
Что такое брандмауэр или фаервол
Суть данного программного обеспечения состоит в том, что оно контролирует весь трафик , который входит и выходит из компьютера по локальной сети или через интернет. Тем самым Firewall предотвращает нежелательный трафик, который не соответствует правилам программы.
Зачем нужен фаервол, каковы его функции
Своими действиями, он ограждает «железо» от заражения различными вирусами, а также от хакерских атак. В последних версиях операционной системы Windows стандартное средство защиты - брандмауэр, устанавливается по умолчанию в пакете программ.
Он также предотвращает появление зараженных рекламных объявлений, а также возникновение всплывающих окон, которые мешают работе компьютера. Защищает фаервол и от несанкционированного доступа со стороны кибермошенников и хранит информацию о компьютере пользователя, не позволяя ей передаваться на сервер и от сторонних организаций.
Как работает фаервол
Безопасность, которую обеспечивает файрвол имеет определенный принцип действия, он одинаков для всех видов брандмауэров. Все полученные данные с других компьютеров фаерволл сравнивает с установленной политикой безопасности, в случае обнаружения уязвимостей или наличия зараженных файлов, которые могут нанести вред компьютеру, он выводит соответствующее уведомление на экран компьютера и не пропускает их.
Настраивается эта программа при помощи фильтрации пакетов , когда выставляются определенные параметры, которые позволяют пропускать одни виды файлов и запрещать другие.
Нужен ли брандмауэр, если есть антивирус
Многие, сталкиваясь с брандмауэром не понимают различия между ним и антивирусом. При наличии второго они отключают файрвол, что впоследствии может привести к печальным последствиям. Необходимо понимать разницу между этими двумя видами программ.
Первые не позволяют вредоносным файлам попасть в систему компьютера, вторые же нужны для того, чтобы бороться с вирусами , которые все-таки проникли в систему, а также для борьбы с их распространением.
Лучший брандмауэр для Windows
Для операционной системы Windows разработано множество различных фаерволов. Для того чтобы выбрать конкретный нужно ознакомиться со всеми вариантами в этой статье будут представлены 6 лучших на наш взгляд брандмауэров.
Comodo Firewall
Это программа, которая распространяется на безвозмездной основе. Она обеспечивает хороший уровень защиты от внешних угроз и вирусов. Здесь предусмотрена возможность мгновенного оповещения пользователя компьютера о возможной атаке на «железо». Она обновляется автоматически через интернет. Имеется продвинутая система подсказок, которая поможет справиться даже начинающим пользователям. Отлично подходит для пользования в домашних условиях. Скачать можно с https://ru.comodo.com/software/internet_security/firewall.php
Avast! Internet Security
Это бесплатная программа, которая комплексно защищает систему компьютера от сетевых угроз в режиме реального времени. Имеет мощный сетевой экран
, распространяется вместе с антивирусом этой фирмы. Помогает полностью обезопасить компьютер от внешних угроз в виде хакерских атак вирусов, а также различного спама. Ссылка: https://www.avast.ru/internet-security 
AVG Internet Security
Это целый пакет программ, который формирует многоуровневую защиту
компьютера от внешних угроз. Распространяется условно-бесплатно, лицензия выдается сроком на год. В комплект входит сканер электронной почты и анти-спам. Использование специальной облачной технологии у этой программы позволяет серьезно экономить ресурсы компьютера. Загрузить можно: https://www.avg.com/ru-ru/internet-security 
Outpost Firewall Pro
Программа с портативной защитой, которая зарекомендовала себя с хорошей стороны в плане борьбы с сетевыми угрозами. Она распространяется условно-бесплатно
, бесплатная версия доступна в течение 30 дней. Не потребляет много ресурсов ПК.
ZoneAlarm Free Firewall
Простая утилита, которая позволяет хорошо защищать компьютер в режиме реального времени. Имеет гибкие настройки, также распространяется на бесплатной основе. Для защиты финансового благополучия пользователей ежедневно проверяет его кредитную карту. Для резервирования данных
предоставляется 5 гигабайт в облачном хранилище. Загрузить можно по ссылке: https://www.zonealarm.com/software/firewall/ 
Kerio WinRoute Firewall
Корпоративный пакет программ, предназначенный для защиты компьютеров в больших локальных сетях или офисных зданиях. В него встроены
URL-фильтры, IP-роутер, VPN-сервис. Он поддерживает VoIP и UPnP. 
Имеет высокую степень автоматизации и большое количество настроек. Распространяется на бесплатной основе. Новичкам здесь будет тяжело разобраться, но это того стоит. Один из самых мощных и эффективных пакетов. Ссылка:
Некоторые термины новичка-застройщика могут сбить с толку. Например, такой — брандмауэр в строительстве. Что это, зачем существует этот строительный элемент, почему он подчас бывает востребован – на все эти вопросы иногда быстрого ответа нет. Эта статья как раз и дает такие ответы.
Начнем с названия. Что означает сам термин «брандмауэр в строительстве»? Происхождение термина немецкое от слова Brandmauer (Brand — пожар, соответственно Mauer — стена).
Отсюда сразу становится ясна функция этого элемента строительства.
Он предназначен для предотвращения распространения огня (пожара).
Обычно этот противопожарный барьер представляет собой капитальную, как правило, глухую стену, возведенную из огнеупорных материалов. Эта стена разделяет помещения на отсеки внутри здания, либо служит преградой огню между зданиями.
Т.е.брандмауэр — это просто капитальная стенка , которая строится на одной (или на 2) стороне . Также он может представлять собой огнеупорную преграду, отсекающую огонь с обеих сторон (чаще всего такие сооружения возводятся на предприятиях и заводах). Брандмауэр еще иногда может устанавливаться и на крыше, в этом случае он будет называться крышевым и представлять собой вертикальную стенку.
При устройстве стандартного брандмауэра необходимо выдерживать ряд следующих условий.
- Если стена сооружается природного камня, ее усредненная должна превышать значение 500 мм. Если стена — это кирпичная кладка, то ее толщина должна быть больше 250 мм.
- Как поступить в том случае, если строительный брандмауэр получается очень большим по высоте и ширине? В этом индивидуальном случае монтируются железобетонные столбы, а пространство между столбами заполняют стенами из огнеупорного изделия, которые имеют меньшую толщину. Это значительно экономит средства при строительстве и снижает вес сооружения, следовательно, давление на весь фундамент.
- При обустройстве стандартного брандмауэра исключается наличие окон или дверей в нём. Если же такое наличие необходимо технологически, то проемы, а также двери выполняется только из негорючих стройматериалов, а вентиляционные воздухоотводы при этом должны снабжаться автоматической задвижкой из специального негорючего материала, все зазоры при монтаже должны быть аккуратно загерметизированны раствором. Окна при этом делаются из армированного стекла или, как вариант, из стеклоблоков.
- Предел огнестойкости употребляемых строительных материалов должен превышать 4 часа.
- Высота брандмауэра, как правило, немного превышает общую высоту здания. Общепринятый показатель таков: эта высота должна возвышаться на 600 мм над кровлей, которая изготовлена из горючего материала, и на 300 мм превышать несгораемую кровлю.
Подытоживая, еще раз подчеркнем предназначение рассмотренного строительного элемента.
|Брандмауэр, или файрвол – это система, обеспечивающая сетевую безопасность путём фильтрации входящего и исходящего трафика, руководствуясь установленными пользователем правилами. Основной задачей брандмауэра является устранение нежелательных сетевых коммуникаций или уменьшение их количества. В большинстве серверных инфраструктур брандмауэры обеспечивают основной уровень безопасности, который в сочетании с другими мерами предосторожности позволяет предотвратить атаки злоумышленников.
В данной статье рассказывается о том, как работают брандмауэры, в частности программные фаерволы с сохранением состояния (такие как IPTables и FirewallD), поскольку они относятся к облачным серверам. Статья охватывает пакеты TCP, различные типы брандмауэров, а такж множество других тем, связанных с брандмауэрами с сохранением состояния. Кроме того, в конце руководства можно найти много полезных ссылок на мануалы, которые помогут настроить брандмауэр на вашем сервере.
Сетевые пакеты TCP
Прежде чем приступить к обсуждению различных типов фаерволов, ознакомьтесь с трафиком Transport Control Protocol (TCP).
Сетевой трафик TCP перемещается по сети в виде пакетов-контейнеров, содержащих заголовки, в которых находится управляющая информация (адреса исходника и назначения, последовательность пакетов информации) и данных (что называется полезной нагрузкой). Управляющая информация в каждом пакете гарантирует, что его данные доставляются должным образом, и что его элементы также поддерживают брандмауэры.
Важно отметить, что для успешного получения входящего TCP-пакета получателю нужно отправить в ответ отправителю пакеты подтверждения. Комбинация управляющей информации во входящем и исходящем пакетах может использоваться для определения состояния подключения.
Типы фаерволов
Существует три базовых типа брандмауэров:
- фильтры пакетов сетевого уровня (или stateless),
- с сохранением состояния (или stateful),
- и прикладного уровня.
Фильтры пакетов сетевого уровня работают путём анализа отдельных пакетов. Они не знают о состоянии соединения и могут только разрешить или запретить пакеты, исходя из их индивидуальных заголовков.
Фаерволы с сохранением состояния могут определить состояние соединения пакета, что делает их более гибкими. Они собирают пакеты, пока не определят состояние соединения до того, как к трафику будут применены правила брандмауэра.
Брандмауэры прикладного уровня анализируют передаваемые данные, что позволяет пропускать сетевой трафик через правила брандмауэра, индивидуальные для отдельных сервисов и приложений. Они также известны как прокси-фаерволы.
Кроме программного обеспечения фаерволов, доступного во всех современных операционных системах, функциональность брандмауэра также может предоставляться аппаратными устройствами (например, маршрутизаторами или аппаратными фаерволами).
Правила фаерволов
Как упоминалось выше, сетевой трафик, который проходит брандмауэр, проверяется при помощи наборов правил, чтобы определить, разрешен этот трафик или нет. Проще всего объяснить правила брандмауэра на примерах.
Предположим, у вас есть сервер со списком правил для входящего трафика:
- Принимать (accept) новый и ранее установленный трафик на сетевой интерфейс через порт 80 и 443 (веб-трафик HTTP и HTTPS).
- Сбрасывать (drop) входящий трафик от IP-адресов нетехнических сотрудников офиса на порт 22 (SSH).
- Принимать новый и существующий входящий трафик IP-диапазона офиса на частный сетевой интерфейс через порт 22 (SSH).
Обратите внимание на слова «accept» и «drop» в этих примерах. С их помощью задаётся действие, которое фаервол должен выполнить в случае, если трафик отвечает правилу.
- Accept значит разрешить трафик;
- Reject – заблокировать трафик и вернуть ошибку «unreachable»;
- Drop – заблокировать трафик и не возвращать ничего.
Сетевой трафик проходит список правил брандмауэра в определённой последовательности, которая называется цепочкой правил. Как только фаервол обнаруживает правило, которому отвечает трафик, он выполняет соответствующее действие для этого трафика. В данном примере согласно правилам брандмауэра сотрудник офиса, пытающийся установить SSH-соединение с сервером, будет заблокирован согласно правилу 2 и к правилу 3 не будет допущен. Системный администратор же пройдёт фаервол, поскольку отвечает правилу 3.
Политика фаервола по умолчанию
Как правило, цепочки правил брандмауэра не охватывают все возможные условия явно. Потому цепочки всегда должны иметь политику по умолчанию, которая состоит только действия (accept, reject или drop).
К примеру, политика по умолчанию одной из ранее упомянутых цепочек – drop. Если любой компьютер вне офиса попытается установить SSH-соединение к серверу, трафик будет сброшен, так как он не соответствует ни одному правилу.
Если задана политика по умолчанию accept, то любой пользователь (кроме нетехнических сотрудников офиса) сможет становить соединение с любым открытым сервисом данного сервера. Конечно, это пример очень плохо настроенного брандмауэра, потому что он защищает сервисы только от нетехнических сотрудников.
Входящий и исходящий трафик
Сетевой трафик, с точки зрения сервера, может быть либо входящим, либо исходящим; брандмауэр поддерживает отдельный набор правил для каждого вида трафика.
Трафик, который происходит из любой точки сети называется входящим трафиком. Он воспринимается не так, как исходящий трафик, который отправляется сервером. Как правило, сервер разрешает исходящий трафик, потому что считает себя заслуживающим доверия. Однако набор правил для исходящего трафика может использоваться для предотвращения нежелательной коммуникации в случае, если сервер взломан злоумышленником или вредоносным исполняемым файлом.
Чтобы использовать преимущества безопасности брандмауэра по максимуму, нужно определить все способы взаимодействия других систем с вашим сервером, создать правила, которые явно позволяют такое взаимодействие, а затем сбросить весь оставшийся трафик. Имейте в виду, что также нужно создать соответствующие правила для исходящего трафика, чтобы сервер мог отправлять подтверждения для разрешенных входящих соединений. Кроме того следует учитывать, что серверу, как правило, нужно инициировать свой исходящий трафик (например, для загрузки обновлений или подключения к базе данных), а потому важно продумать эти случаи и создать для них набор правил.
Создание правил исходящего трафика
Предположим, фаервол сбрасывает исходящий трафик по умолчанию (политика drop). Следовательно, правила accept для входящего трафика будут бесполезны без дополнительных правил исходящего трафика.
Чтобы дополнить ранее упомянутые правила входящего трафика (1 и 3) и обеспечить правильное взаимодействие с этими адресами и портами, можно использовать следующие правила брандмауэра для исходящего трафика:
- Принимать существующий исходящий трафик на общий сетевой интерфейс через порт 80 и 443 (HTTP и HTTPS);
- Принимать существующий исходящий трафик на закрытый сетевой через порт 22 (SSH).
Обратите внимание, явно задавать правило для сброшенного входящего трафика (правило 2) не нужно, так как сервер не будет устанавливать или подтверждать это соединение.
Программы и инструменты
Итак, теперь вы знаете, как работает фаервол, и пришло время ознакомиться с основными пакетами, позволяющими настроить фаервол. Далее можно прочесть о самых распространённых пакетах для настройки брандмауэра.
IPTables
IPTables – это стандартный фаервол, который по умолчанию входит в большинство дистрибутивов Linux
Примечание: Более современный вариант называется nftables и в скором времени он заменит этот пакет.
На самом деле IPTables является фронт-эндом для хуков netfilter на уровне ядра, при помощи которых можно управлять сетевым стеком Linux. Он работает путем сопоставления каждого пакета, пересекающего сетевой интерфейс, с набором правил.
Инструкции по настройке фаервола IPTables можно найти в следующих статьях.
