Брандмауэр - что это такое? Полезная функция в операционной системе или малоэффективное средство защиты? Прежде чем ответить на этот вопрос, нам предстоит выяснить, что делает брандмауэр и как правильно его настроить.
Общие сведения
функции.
Функции брандмауэра
Выполняя роль защитника системы, данная функция позволяет избежать заражения файлов на вашем компьютере вирусами и поддерживает корректную работу в целом. При этом во время вашего "блуждания" по брандмауэр (что это такое, мы рассмотрели ранее) анализирует данные, которые передаются через интернет в виде пакетов, сопоставляет сведения о них и, если они противоречат и не соответствуют заданным правилам, блокирует их и закрывает им доступ к вашему ПК.
Как выполнить настройку брандмауэра?
Для того чтобы программа действовала корректно и не затрудняла вам работу в интернете, необходимо ее правильно и грамотно настроить. То есть прописать свои правила. Ниже мы расскажем о том, как настроить От пользователя потребуется лишь активировать его. Это можно сделать следующим образом:
Вторым шагом будет настройка разрешенных соединений и исключений. Делается это двумя способами: или вы самостоятельно прописываете ту программу (те программы), доступ которым запрещен, или каждый раз, когда система будет сталкиваться с попыткой запуска нового приложения, задавать правило (то есть разрешать доступ или запрещать). Постоянно выбирать вам не придется, указав один раз правило для системы, про него можно забыть. То есть компьютер самостоятельно каждый раз будет его применять. Дезактивировать правило вы можете в любой момент через «Панель управления» - «Брандмауэр Windows». Стоит ли пользоваться стандартным защитником системы или лучше установить стороннее приложение, решать вам, но, по словам экспертов, в последних в версиях ОС "Виндовс" установлен отличный брандмауэр. Что это такое, вы теперь знаете!
Брандмауэры (фаерволы) - это важная часть защитного программного обеспечения, и пользователям всегда пытаются предложить что-то новое из этого. Однако Windows комплектовалась своим собственным хорошим брандмауэром, начиная с Windows XP SP2, и в большинстве случаев этого более чем достаточно.
Как считает Крис Хоффман, автор статьи "Почему (и когда) вам не стоит устанавливать фаервол стороннего производителя" на вам не обязательно нужен полный пакет безопасности типа Internet Security . Все, что вам действительно нужно установить на Windows 7, это антивирус, а Windows 8 и 8.1 теперь комплектуются собственным антивирусом. Рассмотрим подробнее данную точку зрения.
Первичная функция брандмауэра - блокировать не запрошенные входящие соединения. Брандмауэры могут с умом блокировать различные типы соединений, например, они могут разрешать доступ к сетевым файловым ресурсам и другим услугам, когда ваш ноутбук соединен с вашей домашней сетью, но не разрешать это, когда он связан с общественной сетью Wi-Fi в кафе.
Брандмауэр помогает блокировать соединения с потенциально уязвимыми сервисами и контролирует доступ к сетевым сервисам, особенно файловым ресурсам, но также и к другим видам сервисов, которые доступны только в доверенных сетях.
До появления Windows XP SP2, в которой Брандмауэр Windows был модернизирован и работал по умолчанию, системы Windows XP, подключенные непосредственно к Интернету, заражались в среднем за четыре минуты. Черви, такие как Blaster, могли напрямую подключаться ко всем подряд. Поскольку в Windows не было брандмауэра, она впускала червя Blaster.
Брандмауэр защитил бы от этой угрозы, даже при том, что базовое программное обеспечение Windows было уязвимое. Даже если современная версия Windows будет уязвима для такого червя, будет чрезвычайно трудно заразить компьютер, потому что брандмауэр заблокирует весь его входящий трафик.
Брандмауэр Windows делает ту же самую работу по блокированию входящих подключений, что и брандмауэр стороннего производителя. Сторонние брандмауэры, например, которые используются в комплексных антивирусах, в ручном режиме могут давать о себе знать чаще, сообщая всплывающими окнами, что они работают, и запрашивая у вас разрешение на входящее подключение, но Брандмауэр Windows постоянно делает свою работу в фоновом режиме.
Он включен по умолчанию и будет оставаться включенным, если вы не отключите его вручную или не установите брандмауэр стороннего производителя. Вы можете найти его интерфейс в разделе «Брандмауэр Windows» на Панели управления.
Когда программе нужны входящие подключения, она должна создать правило в брандмауэре или показать всплывающее диалоговое окно и запросить разрешение.
По умолчанию Брандмауэр Windows делает только самое необходимое: блокирует входящие соединения. У него есть еще некоторые дополнительные функции, но они находятся в скрытой, менее удобной для использования части интерфейса.
Например, большинство сторонних брандмауэров дают возможность легко управлять тем, какие приложения на компьютере могут подключаться к Интернету. Когда приложение впервые производит исходящее соединение, такой брандмауэр показывает всплывающий диалог. Это дает возможность управлять тем, какие приложения на компьютере могут получать доступ к Интернету, блокируя соединения определенных приложений.
Опытным пользователям может нравиться эта функция, но она скорее всего не подойдет обычным пользователям. Им придется определить приложения, которым нужно разрешить подключаться, и могут заблокировать соединения фоновых процессов обновления, воспрепятствовав тому, чтобы связанное с ними программное обеспечение получало обновления, и поставив их под угрозу. Это также очень серьезная проблема, поскольку вы должны будете подтверждать запросы каждый раз, когда еще одно приложение будет пытаться подключиться. Если вы действительно не доверяете программе, которая пытается попасть в Интернет, возможно, в первую очередь, вам не следует запускать эту программу на своем компьютере.
Тем не менее, если вам нужен контроль над исходящими соединениями, то вам, вероятно, не помешает брандмауэр стороннего разработчика – например, бесплатный Comodo Firewall . В нем также будет предложен интерфейс, где вам будет легче просматривать статистику, журналы брандмауэра и другую информацию.
Для большинства же пользователей использование брандмауэра стороннего производителя просто добавляет неоправданные сложности.
У Брандмауэра Windows в действительности больше функций, чем можно было бы ожидать, хотя его интерфейс не слишком удобен:
- В Windows имеется расширенный интерфейс настройки брандмауэра, где вы можете для него. Вы можете создать правила, блокирующие соединения с интернетом определенных программ или позволяющие программе связываться только с определенными адресами.
- Вы можете использовать программу стороннего производителя, чтобы расширить функции брандмауэра Windows, заставив его тем самым запрашивать разрешение каждый раз, когда новая программа пытается соединиться с Интернетом. Среди программ, работающих в паре с Брандмауэром Windows, можно выделить - Windows 8 Firewall Control или Windows Firewall Control .
Фаервол стороннего производителя - это инструмент опытного пользователя, он не является обязательным компонентом защитного программного обеспечения. Брандмауэр Windows надежен и заслуживает доверия. Хотя люди могут дискутировать по поводу уровня обнаружения вирусов Microsoft Security Essentials или Защитника Windows, Брандмауэр Windows выполняет работу по блокированию входящих соединений так же хорошо, как и другие брандмауэры.
Нашли опечатку? Нажмите Ctrl + Enter
|Брандмауэр, или файрвол – это система, обеспечивающая сетевую безопасность путём фильтрации входящего и исходящего трафика, руководствуясь установленными пользователем правилами. Основной задачей брандмауэра является устранение нежелательных сетевых коммуникаций или уменьшение их количества. В большинстве серверных инфраструктур брандмауэры обеспечивают основной уровень безопасности, который в сочетании с другими мерами предосторожности позволяет предотвратить атаки злоумышленников.
В данной статье рассказывается о том, как работают брандмауэры, в частности программные фаерволы с сохранением состояния (такие как IPTables и FirewallD), поскольку они относятся к облачным серверам. Статья охватывает пакеты TCP, различные типы брандмауэров, а такж множество других тем, связанных с брандмауэрами с сохранением состояния. Кроме того, в конце руководства можно найти много полезных ссылок на мануалы, которые помогут настроить брандмауэр на вашем сервере.
Сетевые пакеты TCP
Прежде чем приступить к обсуждению различных типов фаерволов, ознакомьтесь с трафиком Transport Control Protocol (TCP).
Сетевой трафик TCP перемещается по сети в виде пакетов-контейнеров, содержащих заголовки, в которых находится управляющая информация (адреса исходника и назначения, последовательность пакетов информации) и данных (что называется полезной нагрузкой). Управляющая информация в каждом пакете гарантирует, что его данные доставляются должным образом, и что его элементы также поддерживают брандмауэры.
Важно отметить, что для успешного получения входящего TCP-пакета получателю нужно отправить в ответ отправителю пакеты подтверждения. Комбинация управляющей информации во входящем и исходящем пакетах может использоваться для определения состояния подключения.
Типы фаерволов
Существует три базовых типа брандмауэров:
- фильтры пакетов сетевого уровня (или stateless),
- с сохранением состояния (или stateful),
- и прикладного уровня.
Фильтры пакетов сетевого уровня работают путём анализа отдельных пакетов. Они не знают о состоянии соединения и могут только разрешить или запретить пакеты, исходя из их индивидуальных заголовков.
Фаерволы с сохранением состояния могут определить состояние соединения пакета, что делает их более гибкими. Они собирают пакеты, пока не определят состояние соединения до того, как к трафику будут применены правила брандмауэра.
Брандмауэры прикладного уровня анализируют передаваемые данные, что позволяет пропускать сетевой трафик через правила брандмауэра, индивидуальные для отдельных сервисов и приложений. Они также известны как прокси-фаерволы.
Кроме программного обеспечения фаерволов, доступного во всех современных операционных системах, функциональность брандмауэра также может предоставляться аппаратными устройствами (например, маршрутизаторами или аппаратными фаерволами).
Правила фаерволов
Как упоминалось выше, сетевой трафик, который проходит брандмауэр, проверяется при помощи наборов правил, чтобы определить, разрешен этот трафик или нет. Проще всего объяснить правила брандмауэра на примерах.
Предположим, у вас есть сервер со списком правил для входящего трафика:
- Принимать (accept) новый и ранее установленный трафик на сетевой интерфейс через порт 80 и 443 (веб-трафик HTTP и HTTPS).
- Сбрасывать (drop) входящий трафик от IP-адресов нетехнических сотрудников офиса на порт 22 (SSH).
- Принимать новый и существующий входящий трафик IP-диапазона офиса на частный сетевой интерфейс через порт 22 (SSH).
Обратите внимание на слова «accept» и «drop» в этих примерах. С их помощью задаётся действие, которое фаервол должен выполнить в случае, если трафик отвечает правилу.
- Accept значит разрешить трафик;
- Reject – заблокировать трафик и вернуть ошибку «unreachable»;
- Drop – заблокировать трафик и не возвращать ничего.
Сетевой трафик проходит список правил брандмауэра в определённой последовательности, которая называется цепочкой правил. Как только фаервол обнаруживает правило, которому отвечает трафик, он выполняет соответствующее действие для этого трафика. В данном примере согласно правилам брандмауэра сотрудник офиса, пытающийся установить SSH-соединение с сервером, будет заблокирован согласно правилу 2 и к правилу 3 не будет допущен. Системный администратор же пройдёт фаервол, поскольку отвечает правилу 3.
Политика фаервола по умолчанию
Как правило, цепочки правил брандмауэра не охватывают все возможные условия явно. Потому цепочки всегда должны иметь политику по умолчанию, которая состоит только действия (accept, reject или drop).
К примеру, политика по умолчанию одной из ранее упомянутых цепочек – drop. Если любой компьютер вне офиса попытается установить SSH-соединение к серверу, трафик будет сброшен, так как он не соответствует ни одному правилу.
Если задана политика по умолчанию accept, то любой пользователь (кроме нетехнических сотрудников офиса) сможет становить соединение с любым открытым сервисом данного сервера. Конечно, это пример очень плохо настроенного брандмауэра, потому что он защищает сервисы только от нетехнических сотрудников.
Входящий и исходящий трафик
Сетевой трафик, с точки зрения сервера, может быть либо входящим, либо исходящим; брандмауэр поддерживает отдельный набор правил для каждого вида трафика.
Трафик, который происходит из любой точки сети называется входящим трафиком. Он воспринимается не так, как исходящий трафик, который отправляется сервером. Как правило, сервер разрешает исходящий трафик, потому что считает себя заслуживающим доверия. Однако набор правил для исходящего трафика может использоваться для предотвращения нежелательной коммуникации в случае, если сервер взломан злоумышленником или вредоносным исполняемым файлом.
Чтобы использовать преимущества безопасности брандмауэра по максимуму, нужно определить все способы взаимодействия других систем с вашим сервером, создать правила, которые явно позволяют такое взаимодействие, а затем сбросить весь оставшийся трафик. Имейте в виду, что также нужно создать соответствующие правила для исходящего трафика, чтобы сервер мог отправлять подтверждения для разрешенных входящих соединений. Кроме того следует учитывать, что серверу, как правило, нужно инициировать свой исходящий трафик (например, для загрузки обновлений или подключения к базе данных), а потому важно продумать эти случаи и создать для них набор правил.
Создание правил исходящего трафика
Предположим, фаервол сбрасывает исходящий трафик по умолчанию (политика drop). Следовательно, правила accept для входящего трафика будут бесполезны без дополнительных правил исходящего трафика.
Чтобы дополнить ранее упомянутые правила входящего трафика (1 и 3) и обеспечить правильное взаимодействие с этими адресами и портами, можно использовать следующие правила брандмауэра для исходящего трафика:
- Принимать существующий исходящий трафик на общий сетевой интерфейс через порт 80 и 443 (HTTP и HTTPS);
- Принимать существующий исходящий трафик на закрытый сетевой через порт 22 (SSH).
Обратите внимание, явно задавать правило для сброшенного входящего трафика (правило 2) не нужно, так как сервер не будет устанавливать или подтверждать это соединение.
Программы и инструменты
Итак, теперь вы знаете, как работает фаервол, и пришло время ознакомиться с основными пакетами, позволяющими настроить фаервол. Далее можно прочесть о самых распространённых пакетах для настройки брандмауэра.
IPTables
IPTables – это стандартный фаервол, который по умолчанию входит в большинство дистрибутивов Linux
Примечание: Более современный вариант называется nftables и в скором времени он заменит этот пакет.
На самом деле IPTables является фронт-эндом для хуков netfilter на уровне ядра, при помощи которых можно управлять сетевым стеком Linux. Он работает путем сопоставления каждого пакета, пересекающего сетевой интерфейс, с набором правил.
Инструкции по настройке фаервола IPTables можно найти в следующих статьях.
Добрый день уважаемые читатели, с вами Тришкин Денис.
Более десяти лет назад корпорация Microsoft представила общественности Windows XP SP 2. В этой операционной системе любопытные пользователи сразу заметили новое приложение для защиты компьютера от вредоносного ПО. Одним из людей был и я.
Сегодня мне хочется рассказать вам, что такое брандмауэр Windows, какие его основные функции и всю связанную с ним информацию. Ведь наверняка это интересно не только мне.
Многие пользователи хотят знать, что такое брандмауэр в Windows, также называется Firewall (фаерволл).
Если компьютер не имеет защиты, к личной информации могут получить доступ злоумышленники. Это происходит посредством вредоносного программного кода (известного как вирус), способного не только вывести систему из строя, но и полностью уничтожить файлы. Служба создана специально для блокирования подобных действий.
Обратите внимание, что защиту нужно использовать всегда, независимо от типа соединения с «мировой паутиной » (модем, кабель, спутник).
увеличить
В каждой сети есть определенный порт, позволяющий той или иной информации попасть в компьютер или обратно в виртуальное пространство. Наличие таких каналов напрямую зависит от типа получаемого или отправляемого трафика.
Если с компьютера не поступал запрос на передачу каких-либо данных, брандмауэр блокирует порт до того, как он доберется до рабочей станции. Иногда установка некоторого ПО, включая онлайн-игры, может открыть доступ к некоторым шлюзам, что снизит уровень безопасности.
Как узнать о наличии брандмауэра? ( )
Встроенная стандартная программа защиты есть во всех версиях Windows, начиная с XP SP 2. Для проверки наличия необходимо зайти в «Панель управления», а потом выбрать Firewall или Security Center. В новых ОС от Microsoft пункт «Брандмауэр» вынесен отдельно.
Как проверить работоспособность на разных версиях Windows? ( )
Защиту системы можно включить, как и многие другие программы этой оболочки. Нужно сделать следующее:
Для проверки работы фаервола на новых ОС от Microsoft нужно:
Настройка приложения ( )
Кроме новых программ в список обязательно входят все стандартные приложения и дополнения – установленные вместе с ОС.
Иногда появляется необходимость добавить в исключения уже имеющееся обеспечение. Для этого нужно выбрать «Изменить параметры
», «Разрешить другую программу
» и нажать на подходящей. Если в перечне нет – поможет кнопка «Обзор
».
увеличить
Что делать если нет встроенной защиты? ( )
Некоторые версии операционных систем не имеют встроенного Firewall. Чтобы защитить рабочую машину от вредоносного ПО, нужно обязательно установить его. Для этого используются программные или аппаратные брандмауэры.
Аппаратные
К ним относятся многие беспроводные точки доступа и маршрутизаторы, обеспечивающие нужный уровень безопасности домашним сетям. Использовать этот вид можно и в рабочих целях. Единственное, что меняется – масштабы оборудования, позволяющего обслуживать большее количество пользователей.
Программные
Этот вид защиты прекрасно подходит для личных компьютеров. По большей части он разрабатывается другими производителями. В основном к ним относятся так называемые антивирусы, которые кроме защиты файлов, предлагают и безопасность трафика. Нередко предоставляется и множество других дополнительных функций. Самыми известными из них можно смело назвать Kaspersky и NOD. Это платные программы, которые считаются действенней остальных.
К сожалению, они также потребляют много ресурсов компьютера, заставляя работать остальное ПО медленнее. Но если выбирать, нужны ли они или нет, смело можно заявить – да. Учитывая просто невероятное количество различных вирусов, занести «заразу » без этих программ можно многими способами.
Нужно ли устанавливать дополнительные программы? ( )
Сам по себе Firewall не может на все 100% защитить систему. Вместе с тем софт выполняет ключевые функции. Поэтому в первую очередь устанавливается он (или просто включается), а потом предпринимаются дополнительные меры. Они могут состоять из обновления системы или установки антивируса.
Использование брандмауэра в пределах одной сети ( )
Все чаще сегодня пользователи компьютера подключаются не только к Интернету, но и к сетям, состоящим из нескольких устройств. И не ясно, нужно ли включать брандмауэр на одном аппарате или сразу на всех.
Специалисты, разрабатывающие это ПО, рассказали, что программу нужно задействовать не только на всех машинах сети, но и проверять, чтобы она охватывала каждое подключение.
увеличить
Главное – фаервол всегда должен работать, если не используется стороння программа. Это позволит обезопасить свой компьютер. При этом в 95% случаях спасет сборка со стандартными параметрами. Если присутствует программа стороннего разработчика, скорее всего обычный брандмауэр автоматически отключится. Это предусмотрено, чтобы не возникало конфликтов внутри системы.
Брандмауэр Windows появился еще в Windows XP SP2 и используется по сей день. Некоторые пользователи персональных компьютеров, не замечая разницы между брандмауэром и антивирусом (при наличии второго), отключали брандмауэр, считая его бесполезным. К сожалению, такие люди очень глубоко ошибаются. Проще выражаясь, брандмауэр - средства для обнаружения и оповещения пользователя о какой-то проблеме, а антивирус - средство для поиска вредоносного программного обеспечения на компьютере и ее устранения. Все же нужно разобраться в этих понятиях подробнее.
Запущенный брандмауэр осуществляет блокирование различных входящих соединений. Например, раньше, до появления брандмауэра в основе операционных систем Windows, компьютер пользователя мог заразиться компьютерным червем за считанные минуты даже при условии, что на персональном компьютере установлен антивирус. Да, антивирус мог обнаружить проблему и устранить ее, но вредоносное программное обеспечение все равно проникало в систему. С выпуском Windows XP SP2 у пользователей отпала необходимость самостоятельного поиска и установки брандмауэра. Брандмауэр операционной системы может блокировать доступ к различным ресурсам системы в том случае, если пользователь подключен к общей сети, а не домашней. В том случае, если пользователь подключен к домашней сети, он может самостоятельно открыть доступ к каким-либо данным.
Естественно, что пользователь вправе установить на свой компьютер не только оригинальный брандмауэр Windows, но и сторонний. Только в таком случае они будут информировать пользователя о найденной угрозе абсолютно всегда, в то время, когда оригинальный брандмауэр делает это в фоновом режиме, а в итоге, пользователь все равно будет получать столько же пользы от бесплатного брандмауэра Windows, как и от стороннего.
Подводя итоги
Разумеется, что нужно иметь на компьютере как брандмауэр, так и антивирус. В то время, когда первый будет оповещать пользователя о большинстве вредоносных программ извне (из интернета), второй будет устранять их. Следовательно, наличие обеих программ - крайне важно для обеспечения должного уровня безопасности на персональном компьютере пользователя, но даже в этом случае стопроцентная гарантия от заражения невозможна, так как все время появляется новое вредоносное программное обеспечение.
Брандмауэр (или firewall) – средство, с помощью которого осуществляется процесс разграничения доступа к компьютеру через интернет. Различают два типа брандмауэров: программные и аппаратные.
При помощи брандмауэра возможно обеспечить безопасность компьютера: атаки хакеров, проникновение вредоносных программ становятся невозможными. Другой плюс заключается в том, что брандмауэр не позволяет злоумышленникам использовать ваш компьютер в своих целях: например, для атаки на компьютеры других пользователей. Особая важность применения брандмауэров отмечается на тех компьютерах, которые имеют постоянное подключение к интернету.В операционной системе Microsoft Windows имеется встроенный программный брандмауэр. Чтобы его запустить, достаточно выбрать «Пуск» –> «Панель управления» –> «Брандмауэр Windows». Использование стандартного брандмауэра способно обеспечить защиту от вышеуказанных угроз. Пользуйтесь подсказками операционной системы для его настройки. Настройка осуществляется путем задания конкретных правил и запретов для определенных программ, портов, служб и т.п. Также могут использоваться и другие программные брандмауэры. Они могут отличаться в предоставляемых пользователю возможностях, более глубокой и тонкой настройке, интерфейсе. Примерами программных брандмауэров могут служить NetworkShield Firewall, Avira Internet Security, BitDefender Internet Security и т.п.Большинство аппаратных брандмауэров подключается к сети между компьютером (или другим устройством, обеспечивающим подключение к интернету). Доступ к аппаратному брандмауэру осуществляется с помощью веб-браузера. В адресную строку вводится IP-адрес аппаратного брандмауэра, после чего открывается страница с его настройками. Отдельно стоит отметить, что многие маршрутизаторы имеют встроенный брандмауэр. В качестве примеров аппаратных решений могут выступать SonicWall, Cisco PIX и др.Необходимо знать, что брандмауэр может осуществлять взаимодействие с какими-либо сетевыми программами, которые установлены на компьютер. Это может приводить к определенным проблемам в работе программного обеспечения. Решить проблему возможно путем более точной настройки брандмауэра. Также подобная несовместимость может быть вызвана устаревшим программным обеспечением – его обновление нередко является решением проблемы.
Видео по теме
