Попадая в ИТ-инфраструктуру компании, киберпреступник может заполучить конфиденциальные данные компании. Что именно он будет с ними делать — вопрос второстепенный. Какие-то данные можно продать в даркнете. Другие — зашифровать и потребовать выкуп за их восстановление. Все это не так важно. Главное: как бы ни поступил злоумышленник, бизнес понесет финансовые и репутационные убытки.
Избежать этих рисков помогает особый инструмент. Его называют по разному: межсетевой экран, брандмауэр или фаервол. Разберемся, что он собой представляет и как работает.
Что такое межсетевой экран (Firewall)
Давайте сразу поставим все точки над i. Все эти отраслевые термины — файрвол (Firewall), брандмауэр, межсетевой экран (МСЭ) — просто разные слова для обозначения одного инструмента. Его основное назначение — контролировать поступающий трафик и не допускать несанкционированного проникновения в сеть компании.
Виды фаерволов
С точки зрения реализации существуют два типа фаерволов (межсетевых экранов).
- Аппаратные МСЭ
- Программные МСЭ
Это физическое оборудование, на котором уже установлено программное обеспечение для экранирования. Чтобы установить аппаратный МСЭ в свою инфраструктуру, необходимо приобрести саму «железку», подключить его к корпоративной сети и сконфигурировать в соответствии с актуальными политиками безопасности.
У аппаратных файрволов есть свои плюсы. Например, все ресурсы МСЭ будут тратится только на целевую нагрузку — фильтрацию трафика. Другие приложения физически не смогут работать на том же устройстве, а значит, файрволу не придется ни с кем делить мощности.
Это файрвол, выполненный в виде программы. Он устанавливается на сервер (физический или виртуальный) и пропускает через себя весь трафик, который должен попасть внутрь корпоративной сети.
Какие задачи решает файрвол
Выше мы уже разобрались и выяснили, что ключевая задача файрвола — не допускать несанкционированного доступа внутрь корпоративной сети. Для этого МСЭ отслеживает параметры как входящего, так и исходящего трафика.
Например, пакетные фильтры решают, пускать или не пускать IP-пакеты внутрь компании, после анализа их параметров. Они могут оценивать используемый протокол (например, TCP, UDP и пр.), IP и порт источника и другие параметры.
Нередко файрволы анализируют контекст пересылаемых данных. Например, входящий из внешней сети трафик будет «одобрен» межсетевым экраном только в том случае, если он будет ответом на запрос из внутренней сети. При любых других условиях он будет заблокирован.
Основные функции межсетевого экрана
Итак, главная задача файрвола — не пустить внутрь периметра компании трафик, которого там не должно быть. Это защищает сразу от широкого спектра угроз и предотвращает множественные риски. Разберем сценарии работы firewall подробнее — что умеет МСЭ.
- Блокировать несанкционированную передачу корпоративных данных
- Защищать от «поддельного» трафика
- Предотвращать DDoS-атаки
Предположим, сотрудник случайно подхватил вредоносное ПО. Некоторое время этот вирус «жил» внутри вашей инфраструктуры и собирал ценную информацию — документы и файлы. А когда попытался отправить ее на сервер злоумышленника, файрвол заблокировал передачу. В итоге корпоративная информация осталась в сохранности и не попала в руки к хакеру.
Разберем другую ситуацию. У компании есть несколько филиалов. Подразделение А обменивается трафиком с подразделением Б, причем их IP-адреса друг другу точно известны. Если вдруг злоумышленник попытается замаскировать вредоносный трафик под легитимный, сделать это у него не получится. Файрвол сравнит IP-адреса и заблокирует фальшивку.
Как происходят DDoS-атаки? Как правило, подконтрольная хакеру сеть зараженных устройств начинает «спамить» серверы компании запросами и «положить» его огромной нагрузкой. Инструмент, распознающий такие мусорные запросы, сгенерирует правило выявления вредоносного трафика и передаст его файрволу, который заблокирует их.
Сегодня файрволы редко используются как основной инструмент защиты. Как правило, МСЭ — лишь один из винтиков в системе информационной безопасности компании. Помимо файрволов компании также используют антивирусные решения, анти-DDoS инструменты, системы распознавания вторжений и другие средства безопасности.
Однако файрвол типа WAF до сих пор используется в качестве основного инструмента защиты веб-приложений. Такие средства «заточены» под специфику веб-ресурсов. Например, WAF от #CloudMTS:
- защищает от угроз OWASP TOP-10;
- снижает риски кражи учетных данных;
- распознает атаки на логику веб-приложений.
Подробнее о Web Application Firewall — на нашем сайте.
Подведем итоги
Вместо заключения предлагаем еще раз пройтись по озвученным выше тезисам и закрепить знания о фаерволах.
- Фаервол, firewall, брандмауэр, межсетевой экран, сетевой экран, МСЭ, МЭ — разные названия одного инструмента.
- Основное назначение фаервола — не пускать внутрь корпоративной сети трафик, который там не нужен, и не выпускать ценные данные куда-то на нелегитимный сервер.
- Межсетевой экран может быть реализован как аппаратным способом (в виде отдельного устройства), так и программным.
- Фаервол может защищать как сеть компании целиком (стоять перед ней), так и какой-то конкретный сегмент сети или устройство.
- Свои задачи firewall выполняет путем анализа входящего и исходящего трафика. Некоторые инструменты умеют учитывать контекст.
- Фаерволы не используются в качестве основного защитного решения, но вкупе с другими инструментами повышают общий уровень безопасности и помогают предотвратить утечку данных, кражу информации, DDoS-атаки и другие вредоносные активности.
