Блог → Что такое брандмауэр и для чего он предназначен

Проще всего представить себе брандмауэр (также известен как файервол - от англ. firewall) как некий контрольный пункт, через который должна проходить вся входящая и исходящая в сеть Интернет информация, и который позволяет вам контролировать все потоки данных одновременно. Качественный брандмауэр не допускает проникновения злоумышленников в вашу систему извне, а также помогает предотвратить отправку конфиденциальной информации за пределы вашей системы. Например, когда ваши служащие выходят прогуляться в Интернет, опытные взломщики могут, на основании их обращений к различным вебсайтам, узнать их электронные адреса, с помощью которых можно проникнуть в корпоративную локальную сеть. Кроме того, брандмауэры не позволяют вашим служащим посещать те сайты, доступ к которым вы решили запретить (по каким-либо причинам).

Брандмауэр можно сконфигурировать таким образом, чтобы он пропускал только электронную почту (входящие и исходящие сообщения), это позволяет полностью защитить свою локальную сеть от любых нападений, которые производятся не через программу электронной почты. Вы также можете разрешить доступ к различным услугам Интернета только при выполнении определенных условий. Контрольные системы брандмауэра можно использовать для отслеживания и выявления нападений злоумышленников. Вы можете даже полностью закрыть свою локальную сеть для входящих сообщений из сети, обеспечив при этом свободный доступ ко всем ресурсам Интернет для своих служащих.

В идеальном случае весь сегмент Интернет, вместе со взломщиками и прочими опасностями, находятся за брандмауэром. Там же, за брандмауэром, находится и специальный "жертвенный" компьютер, на котором размещаются "грязные" (т.е. легко уязвимые вследствие своей общедоступности) серверы вашей компании, в частности Web-сервер и FTP. За брандмауэр позволяется "выходить" только наделённым соответствующими полномочиями служащим, которые могут использовать лишь указанные вами службы - всё это постоянно находится под тщательным автоматическим контролем. Таким образом, компьютеры вашей компании как бы расположены внутри надёжно защищенной крепости.

Хотя брандмауэры действительно эффективно защищают вашу локальную сеть, за эту безопасность приходится расплачиваеться ограничением доступа к некоторым Интернет сервисами, или созданием разного рода неудобств при работе вашего офиса в сети Интернет. Кроме того, вам приходится платить за приобретение и техническое обслуживание программного и аппаратного обеспечения брандмауэра (правда, можно найти и бесплатные версии программного обеспечения). Помимо финансовых расходов, для работы с брандмауэрами требуется время и наличие квалифицированных специалистов - администраторов сети.

Если ваша компания подключена к Интернету через маршрутизатор, вы можете запрограммировать его на использование специальных программ-фильтров. Они следят за поступающими на ваш компьютер данными и не пропускают те из них, которые вы считаете угрозой безопасности. По-настоящему хороший маршрутизатор позволит фильтровать не только входящие, но и исходящие сообщения. Фильтры маршрутизатора можно использовать также для разделения своей Интранет сети (т.е. внутренней сети компании) на подсети, а также для ввода ограничений на различные категории информации, которая может передаваться между ними. Это позволит вам поддерживать внутреннюю безопасность между структурными подразделениями компании на должном уровне.

Разумеется, маршрутизатор с фильтрами стоит дешевле, чем технически более сложный брандмауэр. Кроме того, маршрутизатор проще в настройке и эксплуатации, однако через него (если он не подкреплен другими средствами зашиты) злоумышленникам намного проще проникнуть в вашу систему и взять ее под свой контроль.

Устанавливать брандмауэры имеет смысл далеко не на всех Интернет серверах. Скажем, если ваша компания подключается к всемирной паутине с помощью обычного модема и коммутируемой телефонной линии, то брандмауэр для вас - ненужная роскошь. Кроме того, вы можете обойтись без брандмауэра в следующих случаях.

1. Если все серверы, через которые злоумышленники могут легко проникнуть в вашу систему (такие как Web, Gopher, FTP, Telnet, Finger или серверы списков электронной почты), работают исключительно на внешнем компьютере, установленном на Web-узле вашего провайдера, т.е. не в помещениях вашей компании; или же расположены на специальном, отдельно установленном компьютере, который, хотя и находится в помещении вашей компании, не соединён ни с какими другими компьютерами вашей локальной сети.

2. Если все сотрудники офиса имеют доступ к Интернет только через специальные компьютеры, которые не используются ни в каких друтих целях, или же получают доступ в Интернет только через системы SLIP, РРР и ISDN по коммутируемым телефонным линиям, отключающимся сразу же после того, как пользователь покидает сеть. В качестве исключения может быть разрешена передача электронной почты между вашими компьютерами и сетью Интернет при условии, что доступ ко всем прочим услугам заблокирован.

3. Если ни на одном из компьютеров вашей компании, подключенных к Интернету, не хранится информация о клиентах (особенно данные кредитных карточек, которые часто становятся целью хакеров) или какие-либо иные сведения конфиденциального характера.

4. Если для получения электронной почты каждый из ваших служащих обращается к провайдеру в индивидуальном порядке через системы SLIP, РРР и ISDN по коммутируемым телефонным линиям, или же если в качестве почтового сервера вы используете не SMTP-сервер, а компьютер, работающий по протоколу UUCP. Почтовый сервер UUCP периодически соединяется по телефонной линии с провайдером, получает и отправляет сообщения и немедленно отключается от сети. При таком режиме работы постоянный канал связи между вашими компьютерами и Интернет отсутствует, что сильно ослложняет задачу по взлому и проникновению в локальную сеть. Некоторые специалисты, правда, считают, что это не является гарантией безопасности, поскольку известны случай, когда взломщики проникали в узлы с помошью программ UUCP. Тем не менее, на мой взгляд сервер UUCP в любом случае гораздо безопаснее сервера SMTP, который подключен к Интернету 24 часа в сутки.