Брандмауэр (firewall) - перегородка из огнеупорного материала, возводимая на пути распространения пожара. Также данный термин стал использоваться для обозначения аппаратных и программных средств сетевой защиты (сетевой экран). Пожалуй, такое название было выбрано из маркетинговых соображений: "Пусть за стеной бушует пожар или беснуются варвары, но вам за надежной защитой ничего не грозит". В действительности сетевой экран походит не на сплошную стену, а на таможенный пост, где в соответствии с предписаниями проверяется багаж путешественников.
Если груз к ввозу или вывозу разрешен, его пропускают. Если нет - извините. Причем решения принимаются на основе адресов получателя/отправителя, а не содержимого груза. Так что доверенный отправитель может отправить своему визави не только поздравительную открытку, но и грамм триста тротилового эквивалента. Таможня "посылочку" пропустит, если связь разрешена в предписании.
Какие бывают брандмауэры? Программные или аппаратные. Последние специально спроектированы для фильтрации трафика устройства. В среднем их производительность гораздо выше, чем у программных брандмауэров, что особенно заметно на крупных информационных магистралях. Ценой они также различаются (угадайте, кто дороже).
Что брандмауэр не делает? Не анализирует передаваемые данные. Решение позволить/запретить передачу сетевых пакетов принимается на основе их адресной информации (сетевые адреса и порты отправителя/получателя). Причем данные, передаваемые в пакетах, не рассматриваются (а это может быть вредоносный код для взлома программы).
Владелец одного ресурса, после того как его веб-сервер взломали: а) нехорошо отозвался о вирусописателях; б) удивился, как сайт могли взломать, если он был закрыт брандмауэром. Ответ: а) вирусописатели встречаются разные; б) взломали сайт через уязвимость web-сервера, а доступ к нему в брандмауэре был открыт. Для анализа передаваемых по сети данных предназначены программы, получившие название сетевые системы обнаружения вторжения (Network Intrusion Detection System, NIDS). Это аналог антивирусного монитора, адаптированного для сетевого трафика. Просматривая пропущенный брандмауэром трафик, NIDS, зафиксировав начало сетевой атаки, передает сигнал брандмауэру. Тот, соответствующим образом изменив правила фильтрации, прерывает нападение. Связка "брандмауэр - NIDS", гибко реагируя на возникающую угрозу, обеспечивает гораздо лучшую сетевую защиту, чем лишь один брандмауэр. Девизом брандмауэра можно было бы назвать: "Все, кому разрешен доступ, - джентльмены". Девиз же NIDS: "И за джентльменами надо присматривать".
Что брандмауэр и NIDS не делают? Не шифруют передаваемые данные.
Это не их задача, но согласитесь, немногого стоит надежность банка, если деньги он пересылает в обычных почтовых конвертах. Вернувшись к аналогии с бюрократами, отмечу, что большое число программ - ICQ, FTP, почтовые клиенты (протоколы SMTP/POP3), интернет-браузеры (HTTP) и т. д. - передает данные в открытом виде. Следовательно, любой, кто перехватит курьера, может их прочитать. Поэтому при использовании ненадежных каналов связи (интернет в первых рядах) для передачи конфиденциальных данных следует использовать криптозащиту. Будет ли это PGP-кодирование почты или VPN-соединение различных сетей, зависит от решаемых задач. Поскольку данная тема далеко выходит за рамки статьи, на этом мы и остановимся.
Что еще ожидать от брандмауэра? Падения работоспособности системы.
Программный брандмауэр при повышении объема сетевого трафика требует больше вычислительных ресурсов. Высокая скорость передачи данных накладывает требования ко времени обработки трафика. Цена вопроса: устойчивость сетевых соединений.
Мы живем в эпоху идеально продуманных операционных систем и совершенных аппаратных платформ, где драка за ресурсы невозможна в принципе. В большинстве офисных и домашних локальных сетей шлюз построен на базе компьютера а-ля пишущая машинка. За ней сидит девушка с Word ом, прикручен принтер, а еще есть дисковод. В результате периодически "интернет отваливается".
Если поставить два программных брандмауэра, будет круче? Нет. Возникнет конфликт между программами, когда они будут одновременно пытаться работать с сетью. Вместо повышенной защиты вы получите дыру. Лучше обращать внимание на качество, а не на количество.
Какой из сетевых брандмауэров самый крутой? Отражающий сетевые атаки. Большинство распространенных программных защит функционально схожи между собой. Часто выбор между той или иной программой определяется личным вкусом и языком интерфейса. Но несмотря на стремление разработчиков сделать интерфейс максимально дружелюбным, управление любым брандмауэром требует понимания основ сетевой активности.
Поставил брандмауэр, что дальше? Аудит. Практика - критерий истины. Следующий этап после построения защиты - ее проверка. Добро пожаловать на ресурс PC FLANK.
Вирусы вредные? Вирус-лекарь NetSky отыскивает в сети системы, зараженные другим вирусом, вылечивает их, а также устраняет уязвимость, использованную для заражения. На первый взгляд создатель NetSky заслуживает уважения за "души благородный порыв", но глубина людской неблагодарности, наверное, потрясла его. Смотрим дальше. Платой за услугу становится сетевой трафик, потраченный NetSky при рассылке своих копий с вылеченной им системы. В одном случае вирус за несколько дней нагнал больше шести гигабайт трафика, прежде чем владелец компьютера спохватился. Это еще раз подтверждает, что спасение утопающих - дело рук самих утопающих. За помощь приходится платить.