Что такое межсетевой экран

от

«Брандмауэр — это не просто галочка в чек-листе ФСТЭК, а постоянно эволюционирующая граница, которая перестала быть простым фильтром портов и превратилась в систему, способную видеть приложения, пользователей и контент.»

Межсетевой экран (Firewall)

Брандмауэр — это контролируемая граница, отделяющая одну сеть от другой, чаще всего «внутреннюю», доверенную, от «внешней», ненадёжной, такой как интернет. Его главная задача — принять решение о прохождении сетевого трафика на основе заданного набора правил.

От строительной перегородки до киберщита

Термин «брандмауэр» (firewall) пришёл в ИТ из строительства и пожарной безопасности, где обозначает огнеупорную стену, сдерживающую распространение пламени. В конце 1980-х годов исследователи, включая Дороти Деннинг, адаптировали это понятие для описания системы, которая должна сдерживать распространение сетевых угроз. Эта аналогия сохраняет актуальность: современный межсетевой экран — это не просто барьер, а интеллектуальная система, анализирующая «состав горючего материала» в цифровых потоках.

Эволюция функций: от фильтра до инспектора

Способность межсетевого экрана анализировать трафик прошла несколько этапов, каждый из которых добавлял новый контекст для принятия решений.

Пакетная фильтрация (Статические экраны)

Работает на сетевом уровне (L3) и транспортном (L4) модели OSI. Решение о пропуске пакета принимается на основе атрибутов заголовка: IP-адресов источника и назначения, номера порта и протокола (TCP, UDP). Правила статичны — экран не помнит состояние соединения.

Пример правила: «Запретить весь входящий трафик с адреса 192.0.2.100 на порт 22 (SSH) внутреннего сервера». Это базовый, но до сих пор применяемый механизм.

Stateful Inspection (Экраны с учётом состояния)

Здесь экран становится «контекстуальным». Он не просто проверяет отдельный пакет, а отслеживает состояние всех соединений (сессий). Правила могут быть более гибкими. Например, можно разрешить ответные пакеты на инициативное исходящее соединение, не открывая для этого отдельный «дырявый» порт для входящих запросов извне.

Экран запоминает, что внутренний компьютер A установил соединение с внешним сервером B на порт 443. Поэтому ответные пакеты от B к A будут автоматически разрешены, пока сессия активна. Это основа большинства современных корпоративных решений.

Прокси-сервисы (Шлюзы уровня приложений)

Экран выступает в роли активного посредника. Клиент устанавливает соединение не с конечным сервером, а с прокси-сервисом на самом экране. Тот, в свою очередь, от имени клиента устанавливает новое, отдельное соединение с сервером.

Это позволяет проводить глубокий анализ трафика на уровне конкретных прикладных протоколов (HTTP, FTP, SMTP), проверять корректность запросов, фильтровать контент и обеспечивать анонимизацию внутренних узлов. Цена — повышенная нагрузка на ресурсы экрана.

Глубина анализа: DPI и NGFW

Следующим шагом стало появление технологий Deep Packet Inspection (DPI, глубокая инспекция пакетов) и межсетевых экранов нового поколения (Next-Generation Firewall, NGFW). Разница с классическими подходами — в степени погружения в данные.

  • DPI анализирует не только заголовки, но и тело (полезную нагрузку) пакета, что позволяет выявлять замаскированный вредоносный код, конкретные приложения (например, отличать Skype от обычного веб-трафика) или шаблоны утечки данных.
  • NGFW — это концепция, объединяющая Stateful Inspection, DPI и другие функции в единую платформу. Ключевые признаки NGFW:
    • Идентификация приложений: Определение приложения (Telegram, Яндекс.Диск, BitTorrent) независимо от используемого порта или технологии шифрования.
    • Идентификация пользователей: Привязка сетевой активности не к IP-адресу, а к конкретному учётному имени в Active Directory или другой системе.
    • Встроенные системы предотвращения вторжений (IPS): Активный анализ трафика на наличие сигнатур известных атак и аномалий.
    • Контроль на основе репутации: Использование облачных баз данных для блокировки трафика на/с IP-адресов, доменов или URL со скомпрометированной репутацией.

Контекст российских требований (152-ФЗ, ФСТЭК)

В регулируемом поле межсетевой экран перестаёт быть просто «железкой» и становится элементом системы защиты информации (СЗИ). Ключевые моменты:

  • Средства защиты: Используемые межсетевые экраны должны быть сертифицированы ФСТЭК России в системе сертификации средств защиты информации (ССЗИ) для определённого класса защиты. Использование незасертифицированного продукта для защиты персональных данных или госинформации может быть нарушением.
  • Сегментация как требование: Приказы ФСТЭК (например, № 31, 239) прямо предписывают разделение сети на сегменты. Межсетевые экраны являются основным техническим инструментом для реализации этой сегментации и контроля трафика между сегментами разного уровня доверия (например, сеть пользователей и сеть серверов).
  • Управление доступом: Правила межсетевого экрана формализуют политику разграничения доступа к информационным ресурсам, что является обязательным требованием регуляторов.

Типы и архитектура размещения

Тип Описание Типичное применение
Периметровый (шлюзовый) Размещается на границе между локальной сетью организации и интернетом. Базовая защита всей внутренней сети от внешних угроз.
Внутренний (межсегментный) Разделяет различные сегменты внутри сети организации (офис-склад, филиал-ЦОД, пользователи-серверы). Реализация требований по сегментации, сдерживание горизонтального перемещения злоумышленника.
Виртуальный (vFW) Программный экран, развёрнутый в виртуальной или облачной среде для защиты трафика между виртуальными машинами. Защита в инфраструктурах ЦОД, частных и гибридных облаках.
Хостовый (персональный) Программный экран, работающий на конечном устройстве (ПК, сервере). Дополнительный контроль трафика конкретного узла, часто встроен в ОС.

Что остаётся за кадром: ограничения и мифы

  • Экран не панацея от внутренних угроз. Он слабо защищает от атак, исходящих из доверенного сегмента, или от действий инсайдера, чьи действия легитимны с точки зрения сетевых правил.
  • Шифрование усложняет анализ. Повсеместный TLS/HTTPS делает классический DPI бесполезным без использования технологий проксирования с разрывом SSL-сессий, что, в свою очередь, создаёт юридические и технические сложности.
  • Сложность конфигурации. Неправильно настроенные правила — распространённая причина инцидентов. Разрешительное правило «по умолчанию» сводит эффективность всей системы к нулю. Принцип минимальных привилегий здесь так же важен, как и в управлении доступом.

Современный межсетевой экран — это не «стена», а распределённая система контроля доступа для сетевого трафика. Его эволюция от простого фильтра к интеллектуальной платформе NGFW отражает общий тренд: безопасность смещается с защиты периметра на контроль идентификаций — приложений, пользователей и данных — независимо от их местоположения.

Загрузка…

Оставьте комментарий