Страж на границе сети
Представьте, что ваша сеть — это офис, а межсетевой экран (firewall, «огненная стена») — охранник на входе. Он проверяет каждого, кто входит и выходит, и решает: пропустить или нет. Именно это делает файрвол: контролирует сетевой трафик согласно заданным правилам.
Это первая и обязательная линия обороны любой сети — от домашнего роутера до корпоративного периметра.
Виды межсетевых экранов
Пакетный фильтр (Packet Filter) — простейший тип. Анализирует каждый пакет данных: откуда, куда, какой порт, какой протокол. Блокирует или пропускает по простым правилам. Быстрый, но не видит контекст: не знает, часть ли это установленного соединения или новая атака.
Stateful Inspection — следит за состоянием соединений. Запоминает, что соединение было инициировано изнутри — и разрешает входящие ответные пакеты. Не разрешает несанкционированные входящие попытки. Стандарт для большинства современных файрволов.
Next-Generation Firewall (NGFW) — файрвол нового поколения. Умеет: глубокую инспекцию пакетов (DPI), идентификацию приложений (не только по портам, но по контенту), контроль пользователей, интеграцию с IDS/IPS, анализ SSL-трафика.
Правила файрвола
Файрвол работает по правилам (rules / ACL — Access Control Lists). Правило: «источник — назначение — порт — действие (разрешить/запретить)». Правила применяются последовательно: первое совпавшее правило определяет действие. Порядок правил критически важен.
Базовый принцип: «запрещено всё, что явно не разрешено» (Default Deny). Это безопаснее, чем «разрешено всё, кроме явно запрещённого».
Размещение в сети
Файрвол обычно размещают на периметре: между интернетом и внутренней сетью. В более сложных архитектурах — несколько уровней: внешний файрвол, DMZ (демилитаризованная зона с публичными серверами), внутренний файрвол. Современная концепция Zero Trust предполагает файрвол между любыми сегментами сети.