Для чего нужен межсетевой экран и как работает

Межсетевой экран — это то, что стоит между вашей локальной сетью и хаосом интернета. Он фильтрует трафик, режет подозрительные соединения и не даёт случайному скрипт-кидди положить вам почтовый сервер в пятницу вечером. Без грамотно настроенного файрвола любая сетевая инфраструктура — просто открытая дверь.

Инженеры ittelo.ru помогут подобрать и сконфигурировать МЭ под вашу сеть — от небольшого офиса до распределённого ЦОД.

Что такое межсетевой экран

Межсетевой экран (он же файрвол, он же брандмауэр) — программный или аппаратный барьер между доверенной сетью и внешним миром. Его работа сводится к четырём задачам:

• фильтровать входящий и исходящий трафик по заданным правилам;
• блокировать подозрительные соединения до того, как они доберутся до хостов;
• вести журнал сетевых событий для последующего разбора инцидентов;
• ограничивать доступ между сегментами сети (микросегментация — привет, Zero Trust).

Тип файрвола зависит от задач: малому офису, где важно правильно выбрать сервер для офисной инфраструктуры, хватит программного решения, а нагруженному ЦОД нужен выделенный аппаратный МЭ или NGFW.

Как работает?

У файрвола два базовых режима: «запрещено всё, что не разрешено» (whitelist) и «разрешено всё, что не запрещено» (blacklist). Первый — параноидальный и безопасный, второй — удобный и дырявый. В продакшене почти всегда используют whitelist-подход.

Что делает МЭ при обработке каждого пакета:

• сверяет заголовки с набором ACL-правил (IP-адрес, порт, протокол);
• проверяет состояние соединения — новое оно, установленное или связанное с уже открытой сессией (stateful inspection);
• применяет политики для разных зон и групп пользователей;
• при срабатывании правила — логирует событие и (если настроено) шлёт алерт администратору через SNMP, syslog или webhook в мессенджер.

Типы межсетевых экранов

Классическая классификация:

• Пакетный фильтр (Packet Filter) — смотрит только заголовки: IP-адрес источника/назначения, порт, протокол. Быстрый, но «слепой» к содержимому.
• Stateful Inspection — отслеживает состояние TCP-сессий. Знает, какой пакет относится к какому соединению, и не пропустит пакет с флагом ACK без предшествующего SYN.
• Application-Level Gateway (прокси-файрвол) — работает на L7, разбирает протоколы прикладного уровня (HTTP, DNS, SMTP). Может заглянуть внутрь запроса и заблокировать, скажем, SQL-инъекцию в URL.
• NGFW (Next-Generation Firewall) — комбинирует stateful inspection, DPI, IPS, контроль приложений и идентификацию пользователей в одном устройстве. Palo Alto, Fortinet FortiGate, Check Point — типичные представители. Сюда же относят и встроенный анализ зашифрованного трафика (TLS-инспекция).

Чистые пакетные фильтры сейчас встречаются разве что в iptables/nftables на Linux-хостах. Периметр корпоративной сети закрывают NGFW — это де-факто стандарт.

Фильтрация трафика

Фильтрация — ядро работы любого файрвола. Каждый пакет проходит через цепочку правил (rule chain), и первое совпавшее правило определяет его судьбу: пропустить (ACCEPT), отбросить молча (DROP) или отклонить с уведомлением (REJECT).

Два подхода к построению правил:

• Default Deny — всё заблокировано, кроме явно разрешённого. Безопасно, но требует тщательной проработки ACL. Одна забытая запись — и пользователи не могут подключиться к нужному сервису.
• Default Allow — всё разрешено, кроме явно запрещённого. Проще в настройке, но дыр тут столько, что проще не ставить файрвол вовсе (шутка — ставить всё равно надо).

На продакшен-серверах и в ЦОД работает Default Deny. Default Allow — удел домашних роутеров, и то не всех.

Классификация межсетевых экранов

Брандмауэры делятся по ряду признаков и параметрам:

• по сетевым возможностям — работают на уровне IP-адресов либо анализируют информацию на уровнях L3–L7 модели OSI;
• по видимости пакетов — способны выполнять только поверхностный анализ заголовков или просматривать и анализировать содержимое;
• по методам фильтрации — разрешают, отклоняют или отбрасывают;
• по архитектуре — аппаратные и программные.

Отдельно выделяются прокси-серверы, которые следят за входящим и исходящим сетевым трафиком, обеспечивают анонимность пользователей и защиту локальной сети.

Реализация

Три формата развёртывания файрвола:

• Аппаратный (appliance) — выделенное устройство, заточенное под обработку трафика. Работает на собственной ОС (FortiOS, PAN-OS, Gaia), имеет аппаратные ускорители для DPI и TLS-инспекции. Пропускная способность — от 1 Гбит/с у младших моделей до 1+ Тбит/с у шасси операторского класса.
• Программный — pfSense, OPNsense, iptables/nftables, Windows Firewall. Ставится на обычный сервер или выделенную виртуалку. Гибкость настройки отличная, но производительность упирается в CPU и сетевой стек ОС.
• Виртуальный / облачный — тот же программный файрвол, но упакованный в VM-образ или контейнер. NSX Distributed Firewall от VMware, виртуальные аплайнсы FortiGate-VM, Palo Alto VM-Series. В Kubernetes-кластерах эту роль частично берут на себя Network Policies и сервис-меши типа Istio.

Гибридные среды (on-prem + облако) часто комбинируют аппаратный МЭ на периметре и виртуальные инстансы внутри облачных VPC.

Ограниченность анализа

Файрвол — не серебряная пуля. Вот где он буксует:

• Латентность при DPI. Глубокая инспекция пакетов жрёт ресурсы. Если включить TLS-дешифровку на весь трафик без аппаратного ускорителя, пропускная способность просядет в 3–5 раз.
• Слепота к зашифрованному трафику. Без TLS-инспекции файрвол видит только метаданные (SNI, IP, размер пакета). Полезная нагрузка — чёрный ящик.
• Обход через легитимные каналы. Туннелирование через DNS, HTTP/2, WebSocket — классический способ обхода. Обычный stateful-файрвол это не поймает, нужен L7-анализ.
• Zero-day и целевые атаки. Сигнатурный IPS не знает того, чего нет в его базе. Для обнаружения аномалий нужны NDR-решения (Network Detection & Response) поверх файрвола.

Файрвол закрывает периметр, но для полной защиты нужна эшелонированная оборона: IDS/IPS, SIEM, EDR на конечных точках. Комплексный подход к безопасности особенно важен, когда приходит время подготовить серверную инфраструктуру к ИБ-аудиту.

Как выбрать?

Выбор файрвола начинается не с каталога вендоров, а с ответа на три вопроса:

1. Какой объём трафика? Считайте пиковую пропускную способность с запасом х2. Файрвол, который работает на пределе, — это бутылочное горлышко и точка отказа.
2. Какие функции нужны прямо сейчас, а какие — через год? Если достаточно L3/L4-фильтрации — нет смысла платить за NGFW с песочницей и ML-анализом. Но если в планах TLS-инспекция и контроль приложений, берите сразу с запасом.
3. Как файрвол встраивается в существующий стек? Интеграция с SIEM (syslog, CEF/LEEF), поддержка REST API для автоматизации, совместимость с вашим VPN-решением — проверяйте до покупки, а не после.

И да — лицензии. У большинства вендоров (Fortinet, Palo Alto, Check Point) подписка на обновления сигнатур, URL-фильтрацию и песочницу оплачивается отдельно. Железка без подписки через год превращается в дорогой пакетный фильтр.

В чём заключается функция межсетевых экранов?

Основная функция брандмауэров — обеспечить защиту и безопасность сети, повысить её производительность.

Это достигается за счёт следующего:

• контролирует доступ к сети, уберегает от перегрузок и нежелательного контента;
• защищает от взлома, несанкционированного доступа, сбоев, сохраняет внутреннюю информацию компании;
• оптимизирует трафик за счёт отсечения нежелательных пакетов данных, повышает производительность;
• предотвращает распространение вирусов и других вредоносных программ внутри сети.

Политика безопасности сети усиливается за счёт контроля доступа и блокировки уязвимых мест.

Что может делать межсетевой экран?

Брандмауэры выполняют ряд операций:

• контролируют трафик — отслеживают и фильтруют передачу данных между устройствами, системами;
• защищают от нежелательных подключений — блокируют попытки несанкционированного доступа к сети, сдерживают атаки;
• блокируют вредоносное ПО — вирусы, червей, троянов и другие угрозы;
• настраивают VPN-соединения для безопасного удалённого доступа;
• логируют и анализируют сетевую активность — ведут запись выполняемых операций.

В совокупности это позволяет анализировать происходящие события, осуществлять управление, выявлять потенциальные угрозы.

Куда устанавливается межсетевой экран?

Есть несколько вариантов и конфигураций для установки МЭ:

• на границе внешней и внутренней сети — это позволяет контролировать доступ к ресурсам снаружи и предотвращать недопустимые соединения;
• внутри локальной сети — даёт дополнительный уровень безопасности и контроля доступа к её ресурсам;
• на шлюзе между двумя сетями — обеспечивает фильтрацию и контроль доступа между ними;
• на хосте — устанавливается на отдельный компьютер или сервер.

Любой из вариантов позволяет обеспечивать необходимую защиту сети, выбор зависит от особенностей её архитектуры и решаемых задач.

Сколько стоит межсетевой экран?

Разброс цен — от нуля до нескольких миллионов рублей.

• Бесплатно: pfSense, OPNsense, iptables/nftables. Нужен только сервер с парой сетевых интерфейсов и руки администратора.
• 50 000–300 000 ₽: младшие аппаратные модели для малого бизнеса (Fortinet FortiGate 40F/60F, Zyxel USG FLEX). Пропускная способность — 1–5 Гбит/с, базовый набор NGFW-функций.
• 300 000–2 000 000 ₽: средний сегмент для филиальных сетей и SMB. Fortinet FortiGate 100–400 серий, Check Point Quantum Spark.
• 2 000 000+ ₽: enterprise-решения для ЦОД и крупных распределённых сетей. Шасси Palo Alto PA-5000/PA-7000, Fortinet FortiGate 3000–7000, Check Point Quantum Maestro.

К стоимости железа добавляйте ежегодные подписки на security-сервисы — они составляют 20–40% от цены устройства. Лицензия закончилась — обновления сигнатур прекратились, и ваш NGFW превратился в тыкву.

Сколько функций выполняет межсетевой экран?

Firewall — мощный инструмент сетевой безопасности, который выполняет ряд функций:

• фильтрует трафик — анализирует входящие и исходящие потоки, блокирует нежелательные соединения;
• ограничивает доступ — определяет, каким компьютерам и приложениям давать разрешение, каким отказывать;
• защищает от атак — обнаруживает и блокирует типы спланированных массовых подключений, включая DDoS-атаки;
• обеспечивает VPN-поддержку — предоставляет безопасное удалённое подключение.

МЭ осуществляет и мониторинг сети, позволяя своевременно обнаруживать аномалии и проблемы в её работе.

Как отключить межсетевой экран?

Короткий ответ: не надо. Длинный ответ: если отключаете — знайте, что делаете, и ставьте таймер на обратное включение.

Когда это бывает оправдано: диагностика сетевой проблемы, когда нужно исключить файрвол из цепочки. В остальных случаях лучше не отключать МЭ целиком, а создать временное разрешающее правило и удалить его после отладки.

Если всё же нужно отключить:

• Linux (nftables): nft flush ruleset — очистит все правила. Чтобы вернуть: systemctl restart nftables.
• Windows: Панель управления → Брандмауэр Windows Defender → «Включение и отключение». Или через PowerShell: Set-NetFirewallProfile -Profile Domain,Public,Private -Enabled False.
• Аппаратный МЭ: зависит от вендора. Обычно через веб-интерфейс или CLI (например, set system session-timeout 0 у Fortinet не отключит, а вот Policy → Disable All — да).

После отладки — возвращайте всё назад. Открытый периметр без МЭ — это как серверная без замка: вопрос не «проникнут ли», а «когда». Кстати, о физической защите: убедитесь, что ваше помещение соответствует требованиям к серверным помещениям — сетевая безопасность начинается с физической.

В чём разница между файрволом и маршрутизатором?

Маршрутизатор решает куда отправить пакет (L3, таблицы маршрутизации, BGP/OSPF). Файрвол решает можно ли этот пакет пропустить.

На практике граница размыта: маршрутизаторы Cisco ISR умеют в Zone-Based Firewall, а NGFW от Palo Alto и Fortinet поддерживают динамическую маршрутизацию. Но подменять одно другим — плохая идея: маршрутизатор с ACL не заменит полноценный файрвол, а МЭ — не лучший выбор для сложной OSPF-топологии.

На каком уровне работает межсетевой экран?

Работа брандмауэра предусматривает возможности для нескольких уровней:

• физический — устройство располагается между оборудованием, контролирует трафик, фильтрует по MAC-адресам;
• канальный — проверяет протоколы передачи данных, блокирует или разрешает операции;
• сетевой — управляет IP-адресацией, работает с протоколами маршрутизации — IP, ICMP, OSPF и BGP;
• транспортный — контролирует трафик на уровне протокола TCP или UDP.

Некоторые МЭ реализуют контроль доступа на прикладном уровне. Они анализируют содержимое пакетов, блокируют или разрешают определённые приложения или службы — HTTP, FTP или SMTP.

Сколько классов межсетевых экранов?

Если считать по глубине анализа, получается четыре поколения — каждое следующее «видит» больше предыдущего:

• Packet Filter — смотрит заголовок IP/TCP/UDP. Решение: пропустить или отбросить. Работает быстро, но легко обходится фрагментацией и спуфингом.
• Stateful Inspection — запоминает состояние каждого TCP-соединения. Не пропустит «ответный» пакет, если не было запроса. Стандарт для любого МЭ уже лет двадцать.
• Application Gateway (Proxy) — полностью разрывает TCP-сессию: клиент подключается к прокси, прокси — к серверу. Это позволяет разобрать протокол прикладного уровня (HTTP, FTP, DNS), но добавляет задержку.
• NGFW с DPI и ML — объединяет stateful inspection, глубокую инспекцию пакетов, IPS, контроль приложений, песочницу и (у топовых моделей) ML-детекцию аномалий. Это не отдельный класс по ФСТЭК, но именно так устроены Palo Alto, Fortinet и Check Point.

Формальную классификацию МЭ в России регулирует ФСТЭК — шесть классов защищённости (от 6-го до 1-го) в зависимости от типа защищаемой информации и уровня угроз.

Какие возможности даёт межсетевой экран на прикладном уровне по сравнению с сетевым?

Файрвол на прикладном уровне позволяет:

• исследовать содержимое пакетов данных, а не только информацию о заголовках, портах и адресах;
• управлять доступом к определённым приложениям и сервисам на основе политик безопасности;
• выполнять точную инспекцию пакета данных;
• проверять целостность и подлинность данных, используя шифрование и цифровые подписи;
• блокировать нежелательные сайты, фильтровать вредоносные программы и контролировать передачу конфиденциальной информации.

Межсетевые экраны на прикладном уровне предоставляют гибкие и мощные средства для защиты данных и сетей по сравнению с МЭ на сетевом уровне.