Что относится к межсетевым экранам

Брандмауэр (он же межсетевой экран, он же файрвол) — это фильтр между вашей сетью и внешним миром. Всё входящее и исходящее проходит через него, и он решает: пропустить пакет или отбросить. Программный, аппаратный, гибридный — неважно, принцип один. Файрвол анализирует трафик, сверяет его с правилами безопасности и блокирует то, что под них не подходит. Если у вас нет межсетевого экрана на периметре — у вас нет периметра.

Как работают брандмауэры и зачем они нужны

Файрвол делает четыре вещи:

1. Контроль доступа. Трафик идёт только туда, куда разрешено. Порт 22 открыт для вашего офисного IP, для остальных — закрыт. Всё просто.
   
   
2. Фильтрация пакетов. Каждый пакет проверяется: откуда пришёл, куда идёт, по какому протоколу. Не прошёл проверку — в дроп.
   
   
3. Логирование. Все события пишутся в журнал. Когда (не «если», а «когда») что-то пойдёт не так — логи покажут, откуда прилетело. Кстати, корректное логирование файрвола — одно из ключевых требований при подготовке серверной инфраструктуры к ИБ-аудиту.
   
   
4. Блокировка угроз. От банального сканирования портов до попыток эксплуатации уязвимостей — файрвол отсекает подозрительную активность до того, как она дойдёт до ваших сервисов.
   
   

Два базовых метода фильтрации: Stateful Inspection (отслеживает состояние соединений) и Proxy (работает посредником между клиентом и сервером). Stateful быстрее, Proxy глубже анализирует трафик на уровне приложений.

Типы межсетевых экранов

Сетевые (Network Firewall) — классика жанра. Работают на 3-4 уровне OSI, фильтруют по IP, портам и протоколам. Ставятся на периметр сети. Cisco ASA, Fortinet FortiGate, Palo Alto — из этой категории.

Прикладные (Application Firewall, WAF) — работают на 7-м уровне OSI. Понимают HTTP, HTTPS, DNS и другие протоколы приложений. Ловят SQL-инъекции, XSS, CSRF и прочие атаки, которые сетевой файрвол пропустит. Для веб-сервисов — must have.

Облачные (Cloud Firewall) — защищают виртуальную инфраструктуру в AWS, Azure, Yandex Cloud. Интегрируются с API облачного провайдера, масштабируются автоматически.

NGFW (Next-Generation Firewall) — комбайны, объединяющие функции сетевого файрвола, IPS, антивируса и DPI. Анализируют трафик до уровня приложений, умеют в SSL-инспекцию. Palo Alto, Check Point, FortiGate — все они NGFW.

Виртуальные файрволы — те же сетевые экраны, но в виде VM. Разворачиваются внутри гипервизора (о том, какой гипервизор выбрать в 2025 году, у нас есть отдельный разбор), защищают трафик между виртуальными машинами. Если вы ищете сервер для виртуализации, закладывайте запас ресурсов под файрвол — он будет жить рядом с вашими VM.

Выбор зависит от задачи. Периметр офиса — достаточно NGFW. Публичный веб-сервис — нужен WAF. Гибридное облако — комбинация всего вышеперечисленного.

Коммутатор с функциями файрвола

Это L3-коммутатор со встроенными ACL, 802.1X и базовым stateless-файрволом. Типичный сценарий: сегментация VLAN в офисной сети, где полноценный межсетевой экран избыточен, но изолировать бухгалтерию от гостевого Wi-Fi всё-таки хочется.

Не путайте с настоящим файрволом: stateful inspection, DPI и IPS здесь не будет. Зато есть port security, DHCP snooping и защита от ARP-спуфинга. Для внутренней сегментации — достаточно.

Сетевой фильтр (Packet Filter)

Пакетный фильтр — базовый механизм файрвола. Смотрит на заголовок пакета: source IP, destination IP, порт, протокол. Если совпадает с правилом «разрешить» — пропускает. Не совпадает — дропает. Никакого анализа содержимого, никакого отслеживания состояния соединений.

В чистом виде уже почти не используется (привет, iptables в режиме stateless). Но понимать принцип полезно — все современные файрволы строятся на этом фундаменте.

Шлюз сеансового уровня (Circuit-Level Gateway)

Работает на 5-м уровне OSI. Отслеживает TCP-хендшейки и валидирует сессии, но не заглядывает внутрь пакетов. Если трёхстороннее рукопожатие прошло корректно — соединение считается легитимным.

Плюс: низкая нагрузка на процессор. Минус: бесполезен против атак на уровне приложений. Подходит как дополнительный слой защиты, но не как единственный.

Stateful-фильтр

Он же stateful inspection, он же «умный» фильтр. Отслеживает состояние каждого соединения: SYN → SYN-ACK → ACK, и дальше по цепочке. Знает, какой ответ ожидать на какой запрос.

Если приходит пакет, который не вписывается в текущую сессию — он отбрасывается. Это отсекает SYN-флуд, подмену пакетов и другие атаки, эксплуатирующие особенности TCP.

NAT-шлюз

NAT (Network Address Translation) — механизм трансляции адресов. Преобразует приватные IP (192.168.x.x, 10.x.x.x) в публичные и обратно. Побочный эффект — неплохая защита: снаружи не видно структуру внутренней сети.

Три режима: Static NAT (один к одному), Dynamic NAT (пул адресов), PAT/NAT Overload (много приватных адресов через один публичный с разными портами). Последний — стандарт для офисов и дома.

Посредник сеансового уровня (Session-Level Proxy)

Устанавливает отдельные соединения с клиентом и сервером, передаёт данные между ними. Клиент думает, что общается с сервером; сервер думает, что общается с клиентом. На деле оба общаются с прокси.

Полезно для контроля и логирования, но добавляет задержку. Используется там, где нужен полный контроль над сессией.

Минусы шлюзов сеансового уровня

Три проблемы:

Латентность. Дополнительная обработка = дополнительная задержка. Для интерактивных приложений (VoIP, видеоконференции) это критично.

Сложность настройки. Неправильно сконфигурированный шлюз — это разорванные сессии, таймауты и гневные тикеты в саппорт.

Отсутствие глубокой инспекции. Шлюз видит сессию, но не видит, что внутри. Вредоносный payload в корректно установленном соединении пройдёт незамеченным.

Прикладные прокси (Application-Level Gateway)

Работают на 7-м уровне OSI. Понимают протокол: HTTP, FTP, SMTP, DNS. Могут:

• Фильтровать контент (заблокировать скачивание .exe)
• Кэшировать данные (Squid-прокси, привет)
• Терминировать SSL и инспектировать шифрованный трафик
• Блокировать malware на лету

Минус — нужен отдельный прокси для каждого протокола. Плюс — глубокий контроль над тем, что происходит в сети.

Веб-прокси

HTTP/HTTPS-прокси между пользователями и интернетом. Типичные задачи в корпоративной сети:

• Кэширование (экономия канала, ускорение загрузки)
• Фильтрация URL (блокировка соцсетей в рабочее время — да, до сих пор актуально)
• Логирование (кто, куда, когда ходил)
• SSL-инспекция (вскрытие HTTPS для анализа, если политика безопасности требует)

Squid, Blue Coat, Zscaler — примеры веб-прокси разного уровня. От бесплатного опенсорса до enterprise-решений с облачной фильтрацией.

Stateful Packet Inspection (SPI)

Ядро любого современного файрвола. SPI отслеживает состояние каждого TCP/UDP-соединения в таблице состояний. Если пакет принадлежит известному соединению — пропускает. Если нет — проверяет по правилам или отбрасывает.

Это то, что отличает iptables с -m state --state ESTABLISHED,RELATED от пакетного фильтра. Быстро, эффективно, стандарт де-факто.

Пакетный фильтр

Stateless-фильтрация на 3-м уровне OSI. Каждый пакет оценивается изолированно: IP источника, IP назначения, порт, протокол. Правило совпало — действие выполнено. Контекст соединения не учитывается.

Плюсы: минимальная нагрузка на CPU, простая логика. Минусы: не видит связи между пакетами, уязвим для spoofing-атак.

Как самостоятельное решение — устарел. Как часть сложной системы (ACL на маршрутизаторе, первичная фильтрация перед stateful-файрволом) — работает.