Что такое сетевой экран и зачем он нужен?

Один из популярных методов защиты компьютера от внешних угроз — сетевой экран. Их еще называют «межсетевые экраны», файрволлами (от английского firewall) или брандмауэрами.

Он позволяет защитить от вирусов, червей, троянских программ и действий злоумышленников. Сетевые экраны могут быть программными и аппаратными, их основная задача — контролировать и фильтровать проходящий сетевой трафик.

Чтобы не допустить вредоносные программы, сетевой экран анализирует структуру и содержимое пакетов данных. «Хорошие» пакеты, где нет проблемных элементов, пропускаются, а «плохие» — блокируются. Если есть серьезная угроза, сетевой экран предупреждает пользователя.

Как это работает

Приложения генерируют специальные пакеты данных, а для работы такого софта нужны выделенные порты. Так, браузеры используют 80-й порт для исходящих TCP-соединений, а также 53 порт DNS-сервера. Skype получает и отправляет данные по 44583 порту. Если закрыть порт, используемый приложением, оно перестанет работать — тот же Skype не сможет ни получать, ни отправлять сообщения, включая аудио и видео. Используют порты не только обычные приложения, но и зловредные.

Сетевой экран умеет настраивать список фильтрации, добавляя в него известные угрозы. Если защита обнаруживает во входящем трафике признаки зловреда, который находится в черном списке, то эти данные блокируются. Кроме того, сетевой экран может сравнивать входящие пакеты с безопасными. Если уровень сходства достаточно высокий, данные пропускаются. В таком случае работает правило «белых списков», когда разрешены только пакеты данных, соответствующие эталонам, прописанным в правилах. Остальная информация блокируется.

Сетевые экраны — надежный метод защиты. Операционную систему Windows поставляют сразу со встроенным сетевым экраном, который Microsoft рекомендует никогда не выключать. Для обычного пользователя такой защиты вполне хватит, но если нужен более высокий уровень — требуется маршрутизатор.

Насколько это надежно

У сетевых экранов степень защиты разная. Для начала спросите себя «для чего нужен сетевой экран?». Наиболее высокий уровень защиты требуется тем организациям, которые работают с государственной тайной или ценными корпоративными данными. В этом случае подходят экраны 1-го класса. Для большинства государственных учреждений, включая школы, вузы, муниципалитеты, хватит комплекса 5-го класса.

Подробнее о классификации по уровню защиты можно почитать здесь.

Коммерческие организации чаще всего используют комбинированные решения. Основные критерии для бизнеса — стоимость системы, ее производительность, уровень защиты и количество функций.

Небольшие компании часто используют программное решение, которое устанавливается лишь на один из компьютеров сети и выполняет роль шлюза. Плюс такого решения — невысокая стоимость и простая реализация. Минус — слабый уровень защиты.

Наиболее серьезная защита используется крупным бизнесом. Чаще всего это комбинация оборудования вроде маршрутизаторов с проверенным программным обеспечением. Такой сетевой экран может полностью закрыть компьютер или их сеть от внешних угроз. Сетевые экраны используются разработчиками, специалистами по информационной безопасности, обычными пользователями.

Возможности сетевых экранов

Вот их основные функции:

• Фильтрация доступа к незащищенным сервисам и службам;
• Блокирование внешних угроз, например, попытки получения закрытой информации из защищенной подсети или внедрения зловредной программы;
• Контроль доступа к отдельным элементам сети;
• Логирование угроз и действий защитной системы;
• Уведомление об угрозах, включая атаки на сеть или сетевой экран.

Консалтинговая компания Gartner, Inc предложила собственный список функций, которые должны быть у любого современного сетевого экрана, включая стандартные возможности:

• Встроенная система предотвращения вторжения;
• Возможность учета и контроля особенностей приложений, чтобы быстро идентифицировать угрозы;
• Система обновлений, позволяющая получать информацию о новых угрозах и оперативно на них реагировать;
• Технология защиты от угроз.

Современные сетевые экраны оснащаются и дополнительными функциями, которые могут быть полезны в организации — компании, учебном заведении, государственном учреждении. Например:

• Блокировка ресурсов с неподходящим по какой-либо причине контентом. Это развлекательные сайты и сайты категории ХХХ для компаний и вузов, ресурсы с опасной для детей информацией и т.п. Социальные сети часто блокируются в компаниях, чтобы сотрудники не отвлекались от работы.
• Составление отчетов о посещении различных сайтов тем либо иным сотрудником. Руководитель в этом случае понимает, кто из подчиненных работает, а кто — только делает вид.
• Распределение трафика по отдельным пользователям. Если пакет трафика ограничен, есть возможность установить ограничение для каждого пользователя — выделять определенный лимит в день, неделю, месяц.
• Идентификация пользователей по SMS или другим способом. Эта функция стала востребованной после выхода в РФ соответствующего закона.

Недостатки сетевых экранов

Основная проблема такой схемы защиты — сетевой экран не может фильтровать те данные, которые не удалось распознать. Пользователь может сам настроить обработку таких пакетов, их можно как блокировать, так и пропускать в систему. К пакетам, которые обычно не распознаются экранами, относятся данные из протоколов SRTP, IPsec, SSH, TLS. В них для скрытия содержимого используется криптография. Кроме того, это еще и протоколы, которые шифруют данные прикладного уровня (S/MIME и OpenPGP).

Несмотря на это, межсетевые экраны — достаточно надежный метод защиты частной или корпоративной информации. Они могут предотвратить кибератаку, выявить и ликвидировать вредоносную программу или пресечь попытку сотрудника компании зайти на ненужный сайт. Разобраться в многообразии сетевых экранов непросто, но главное здесь — идентифицировать собственные потребности и выбрать защиту, которая им соответствует.