Что такое брандмауэр? Как он работает, почему это важно и какой тип подходит для вашей установки
Почему брандмауэры имеют значение

Если вы когда-либо нажимали “Разрешить доступ” в приглашении Windows или macOS, открывали SSH на VPS или убеждались, что облачная база данных не была общедоступной, вы уже принимали решения о брандмауэре. Большинство людей делают это фрагментарно. Они знают, что этот параметр важен, но не понимают, какую границу они действительно защищают.
Вот почему брандмауэры по-прежнему имеют значение. Это не просто корпоративное оборудование в стойке центра обработки данных. Они появляются на ноутбуках, домашних маршрутизаторах, экземплярах VPS, облачных панелях управления и общедоступных веб-сайтах. Как только вы начнете рассматривать их как элементы управления границами вместо загадочных продуктов безопасности, эта тема становится намного проще в работе.
Это руководство дает вам эту более простую ментальную модель. Мы рассмотрим, что такое брандмауэр, как работают брандмауэры, основные типы брандмауэров и как выбрать правильный для устройства, сервера, облачной рабочей нагрузки или веб-сайта. Это не глубокое погружение в корпоративные устройства или полную архитектуру безопасности. Это практическая основа для выбора правильного элемента управления на правильной границе.
Быстрые ключевые термины перед началом

Вам не нужен сертификат по сетям, чтобы следовать этой статье. Вам нужен только небольшой набор терминов, которые предотвратят превращение остального объяснения в суп из аббревиатур.
| Термин | Значение на простом языке |
|---|---|
| 🔥 Firewall | Управление на основе правил, которое разрешает или блокирует сетевой трафик на определённой границе. |
| 🔌 Port | Пронумерованный проход, который помогает трафику достичь нужного сервиса на устройстве или сервере. |
| ⬅️ Inbound | Трафик, поступающий на ваше устройство, сервер или сервис. |
| ➡️ Outbound | Трафик, исходящий с вашего устройства, сервера или сервиса. |
| 📜 Rule | Условие, которое указывает firewall, какой трафик разрешить или заблокировать. |
| 🔄 Stateful | Способность запомнить уже разрешённое соединение, чтобы ответный трафик мог вернуться правильно. |
| 🖥️ Host-based firewall | Firewall, который работает непосредственно на отдельном ноутбуке, настольном компьютере или сервере. |
| 🌐 Network firewall | Firewall, который находится между сетями, например на маршрутизаторе, устройстве или шлюзе. |
| ☁️ Cloud firewall / security group | Виртуальный контроль firewall вокруг облачных ресурсов, таких как экземпляры, интерфейсы или сети. |
| 🛡️ WAF | Веб-приложение firewall, которое фильтрует HTTP и HTTPS трафик для веб-сайтов и API. |
Что такое брандмауэр на самом деле — и что это не так
По своей сути, брандмауэр — это устройство или программное обеспечение, которое контролирует сетевой трафик между системами, сетями или границами приложений, которые не должны полностью доверять друг другу. Звучит официально, но практическая версия проста: брандмауэр — это контрольная точка, которая решает, какой трафик может пройти. Он может находиться на ноутбуке, на сервере Linux, в маршрутизаторе, в облачной плоскости управления или перед веб-сайтом. Это не обязательно должна быть только физическая коробка.

Наиболее полезная аналогия здесь — безопасность здания. Сетевой брандмауэр — это входные ворота, которые контролируют, что вообще достигает имущества. Брандмауэр на основе хоста — это стойка в вестибюле для одного конкретного здания, решая, кто попадает на этот сервер или ноутбук. WAF — это контрольная точка, специфичная для комнаты внутри здания, проверяющая только посетителей, пытающихся войти в одну веб-ориентированную область. Одна и та же общая идея, разные границы.
Работа брандмауэра намеренно узка. Он решает, разрешен ли трафик на основе правил. Это означает, что он может снизить риск, разделить системы с разными уровнями риска и помочь сдержать ущерб, когда что-то пойдет не так. Он не автоматически очищает инфицированные файлы, не исправляет слабые пароли, не патчит уязвимое программное обеспечение и не превращает небезопасное приложение в безопасное. Это один уровень в многоуровневой защите, а не весь стек.
📝 Примечание: Брандмауэр — это не антивирус, не VPN и не полный стек безопасности. Антивирус ищет вредоносные файлы или поведение, VPN создает зашифрованный путь между конечными точками, а брандмауэр решает, какой трафик разрешен через границу.
Это различие важно, потому что путаница с брандмауэром обычно начинается, когда люди используют один ярлык для нескольких разных работ. Если вы установите антивирус, вам все равно нужны элементы управления трафиком. Если вы используете VPN, вам все равно нужны правила относительно того, какие услуги доступны. Если вы покупаете план хостинга с функциями безопасности, вам все равно нужно знать, какую границу защищает каждая функция. Брандмауэр — это контрольная точка трафика. Эта ясность делает остальную часть категории намного легче оценить.
Как работают брандмауэры на высоком уровне
Брандмауэры работают, сравнивая трафик с правилами. Эти правила обычно рассматривают пять практических вещей: источник, назначение, направление, протокол и порт. Другими словами, откуда поступает трафик, куда он идёт, является ли он входящим или исходящим, какой тип сетевого взаимодействия это и какой сервис он пытается достичь.

Возьмём простой пример VPS. Вы можете разрешить SSH только с доверенного IP-адреса администратора, разрешить HTTP и HTTPS из общедоступного интернета, потому что сайт предназначен для публичного доступа, и полностью закрыть порт базы данных для общественности. Ни одно из этих правил не является абстрактным театром безопасности. Каждое отвечает на очень обычный вопрос: кто должен иметь возможность достичь этого сервиса, а кто не должен?
Многие брандмауэры являются stateful, что означает, что они помнят разговор, который они уже разрешили. Если ваш сервер отправляет законный ответ обратно клиенту, брандмауэру не нужно, чтобы вы писали отдельное правило “обратного трафика” для каждого ответа во многих окружениях. Это не означает, что брандмауэр глубоко понимает каждое приложение. Это означает, что он отслеживает состояние соединения достаточно хорошо, чтобы разумно обрабатывать обычный двусторонний трафик.
📝 Примечание: “Default deny” означает разрешить только необходимое, а не сломать всё. Идея состоит в том, чтобы блокировать по умолчанию, а затем открыть только конкретный трафик, который сервис действительно требует.
Менталитет default-deny — это то, где брандмауэры становятся действительно полезными. Вместо того чтобы открывать всё и надеяться, что ничего чувствительного не прослушивается, вы начинаете с закрытого состояния и открываете только двери, которые служат реальной цели. Это снижает поверхность атаки и уменьшает случайное раскрытие. Это также применяется к исходящему трафику больше, чем многие читатели ожидают. Брандмауэры предназначены не только для остановки входящего интернет-трафика. Они также могут ограничить то, что скомпрометированное устройство, скрипт или сервер может достичь на выходе.
Почему вам нужен брандмауэр в реальной жизни

Самый простой способ увидеть ценность — это персональное устройство в общественной сети Wi-Fi. Ваш ноутбук не нуждается в случайных входящих соединениях от незнакомцев в той же сети. Брандмауэр на уровне хоста помогает предотвратить доступ к общему доступу к файлам, инструментам разработки или забытым сервисам просто потому, что вы подключились в неправильном месте.
Теперь перейдите к одному VPS, на котором работает веб-сайт. Серверу, вероятно, нужен общедоступный путь для HTTP или HTTPS, и ему может потребоваться SSH для администрирования. Ему не нужно, чтобы каждый другой сервис был открыт просто потому, что машина находится в сети. Брандмауэр помогает вам сказать очень конкретно: «этот сервер предназначен для веб-трафика и контролируемого доступа администратора — ничего больше».

Пример с базой данных еще более важен, потому что это очень распространено. База данных обычно существует для обслуживания приложения, а не общественного интернета. Если сервер приложений — это единственная система, которая должна с ней взаимодействовать, брандмауэр должен это отражать. Закрытие портов базы данных для всего мира — это не продвинутое усиление защиты. Это базовая гигиена границ.
Тот же принцип масштабируется в корпоративные сети и облачные среды. Не каждая система должна свободно взаимодействовать с каждой другой системой просто потому, что они находятся в одной компании или VPC. Сегментирование трафика помогает ограничить ненужное боковое движение, если одна машина неправильно настроена или скомпрометирована. Это реальная выгода брандмауэра во всех этих средах: меньшая поверхность атаки, меньше случайных открытий и лучшее сдерживание, когда одна часть установки имеет плохой день.
Основные типы брандмауэров

Основные категории брандмауэров легче понять, если перестать сортировать их по маркетинговым названиям и начать сортировать по месту их расположения. Различные типы брандмауэров — это в основном разные ответы на один вопрос: на какой границе контролируется этот трафик?
Брандмауэр на хосте работает непосредственно на защищаемом устройстве или сервере. На Windows это может быть Windows Defender Firewall. На Linux это может быть UFW поверх netfilter/nftables. Это часто первый полезный уровень для ноутбуков, VPS и выделенных серверов, потому что это наиболее близкий контроль к самому хосту.
Сетевой или периметровый брандмауэр находится между сетями. Это может быть домашний или офисный маршрутизатор, выделенное устройство или виртуальный шлюз между сегментами сети. Его задача шире, чем у брандмауэра на хосте, потому что он контролирует трафик, движущийся в, из или между сетями, а не только в одну машину.

Облачный брандмауэр — это виртуальная версия контроля границ вокруг облачных ресурсов. Поставщики используют разные названия — AWS security groups, Google Cloud VPC firewall rules, Azure NSGs — но идея, обращённая к пользователю, одна и та же: это правила на уровне облака вокруг рабочих нагрузок, интерфейсов, подсетей или сетей. На основных облачных платформах эти элементы управления обычно являются stateful, поэтому они выглядят как современный виртуальный брандмауэр, а не просто статический список.
WAF, или веб-приложение firewall, ещё более узкий. Он фильтрует HTTP и HTTPS запросы для веб-сайтов и API. Это полезно для публичных веб-приложений, особенно когда вам нужны правила на основе URL, заголовков, шаблонов запросов или типичного поведения веб-атак. Но граница намного меньше, чем предполагают многие люди.
⚠️ Предупреждение: WAF защищает только веб-трафик. Он не защищает SSH, базы данных, почтовые сервисы или другой не-веб трафик и не заменяет правила брандмауэра на хосте или сети.
Вы также встретите термины вроде управляемый брандмауэр или брандмауэр нового поколения. Они могут описывать реальные продукты и услуги, но это не лучшая отправная точка для решения новичка. Сначала решите, какую границу вам нужно защищать. Затем решите, хотите ли вы этот контроль как программное обеспечение на хосте, сетевое устройство, облачный набор правил или управляемый сервис. Таблица ниже — более чёткая карта.
| Тип брандмауэра | Где он находится | Что он фильтрует | Лучшее первое применение | Что он не заменяет |
|---|---|---|---|---|
| 🔒 Брандмауэр на хосте | На самом ноутбуке, настольном компьютере или сервере | Трафик к и от этого одного хоста | Усиление защиты личного устройства, VPS или выделенного сервера | Управление патчами, безопасный дизайн приложений, сегментация на уровне сети |
| 🛡️ Сетевой / периметровый брандмауэр | Между сетями, часто на маршрутизаторе, устройстве или шлюзе | Трафик, входящий, выходящий или движущийся между сегментами сети | Контроль доступа в доме, офисе или на краю центра обработки данных | Правила на уровне хоста, защита WAF для веб-приложений |
| ☁️ Облачный брандмауэр / группа безопасности | Вокруг облачных рабочих нагрузок, интерфейсов, подсетей или VPC | Трафик к и от облачных ресурсов | Ограничение доступа к экземплярам, сервисам и базам данных в облачном хостинге | Усиление хоста, безопасность приложений, фильтрация на уровне веб-приложений |
| 🌐 WAF | Перед веб-сайтом или API на уровне HTTP/HTTPS | Веб-запросы, пути, заголовки, методы и шаблоны запросов | Публичные веб-сайты и API, которым нужна фильтрация, специфичная для веб | Защита SSH, защита базы данных, общие обязанности сетевого брандмауэра |
Простая ментальная модель для выбора правильного брандмауэра
Самый простой способ выбрать брандмауэр — перестать спрашивать «Какой брандмауэр лучший?» и начать спрашивать «Какую границу я на самом деле защищаю?» На практике большинство решений начинаются с одной из четырех границ: устройства, хоста/сервера, подсети или VPC или публичного веб-приложения.

Затем спросите, насколько открыта эта граница. Она обращена в интернет, только внутренняя или предназначена только для административного доступа? Ноутбук, который перемещается между сетями, имеет другой паттерн открытости, чем приватная база данных. Публичный веб-сайт должен быть доступен отовсюду, но его административный SSH-порт — нет. Чем четче вы ответите на вопрос об открытости, тем очевиднее становится выбор брандмауэра.
Третий вопрос — операционный: кто управляет этой средой?
- Если вы напрямую управляете сервером, хост-брандмауэр обычно является ближайшей релевантной границей.
- Если вы развертываете рабочие нагрузки в облачной сети, уровень облачного брандмауэра может быть наиболее чистым первичным контролем вокруг этих ресурсов.
- И если трафик пересекает еще одну значимую границу после этого — от публичного интернета к уровню приложений или от уровня приложений к уровню базы данных — вот когда имеет смысл многоуровневость.
Добавляйте еще один уровень брандмауэра потому, что архитектура добавляет еще одну контрольную точку, а не потому, что «больше продуктов» автоматически означает лучшую безопасность.
Если вы запомните только одно правило, пусть это будет: начните с ближайшей релевантной границы, затем добавляйте уровни только когда трафик пересекает еще одну важную границу. Быстрая таблица ниже превращает это в переиспользуемый ярлык.
| Если вы защищаете… | Начните с… | Почему |
|---|---|---|
| 💻 Один ноутбук или настольный компьютер | Хост-брандмауэр | Это ближайший контроль к устройству, особенно когда это устройство перемещается между разными сетями. |
| 🖥️ Один VPS или выделенный сервер | Хост-брандмауэр | Вы напрямую управляете машиной, поэтому ее собственные правила трафика — первая полезная контрольная точка. |
| 🌐 Набор рабочих нагрузок внутри подсети или VPC | Облачный брандмауэр / группа безопасности | Важная граница находится вокруг рабочих нагрузок и сетевых путей между ними. |
| 🌍 Публичный веб-сайт или API | Хост/сетевой брандмауэр сначала, затем WAF если необходимо | Сервер все еще нуждается в базовых правилах доступа, и веб-приложения также могут нуждаться в фильтрации, специфичной для HTTP/HTTPS. |
| 🏢 Офисная или корпоративная сеть | Сетевой / периметровый брандмауэр | Первая значимая контрольная точка находится между внутренними системами и внешними или менее доверенными сетями. |
Какой Firewall подходит для какого случая

Первая таблица отвечает на вопрос, с чего начать. Следующая таблица отвечает на более практический вопрос: когда второй уровень firewall действительно оправдан? В большинстве конфигураций начинают с одного очевидного первого уровня, а второй добавляют только когда архитектура создает отдельный путь или уровень, который стоит контролировать отдельно.
| Случай использования | Рекомендуемый первый уровень | Возможный второй уровень | Почему |
|---|---|---|---|
| 💻 Личный ноутбук или настольный компьютер | Host-based firewall | Router или network firewall офиса | Устройство перемещается между сетями, поэтому первая точка контроля должна оставаться с самим устройством. |
| 🖥️ Один VPS | Host-based firewall | Provider или cloud network firewall | Обычно нужно ограничить SSH и открыть только те публичные сервисы, которые должен запускать сервер. |
| 🗄️⚙️ Self-hosted приложение с app + database | Host-based firewall на обоих серверах | Cloud/network firewall между уровнями | База данных обычно должна принимать трафик только от уровня приложения, а не из интернета. |
| ☁️🖧 Multi-server облачное развертывание | Cloud firewall / security group | Host-based firewall на критичных хостах | Первая граница находится вокруг рабочих нагрузок и сетевых путей, затем чувствительные хосты могут добавить более строгие локальные правила. |
| 🌐🔗 Публичный веб-сайт или API | Host/network firewall | WAF | Веб-трафик сначала нуждается в обычном доступе к портам, а WAF имеет смысл только когда приложение действительно обращено к HTTP/HTTPS. |
| 🏢📡 Офисная или корпоративная сеть | Network / perimeter firewall | Host-based firewall на конечных точках и серверах | Граничный контроль помогает в целом, а локальные правила улучшают изоляцию внутри окружения. |
Два паттерна имеют большее значение, чем названия в этой таблице. Первый уровень обычно находится ближе всего к активу, а второй уровень появляется только когда трафик пересекает другой уровень или границу доверия, которая заслуживает собственных правил.
Вот почему новый VPS или выделенный сервер часто начинается с host-based firewall даже когда он находится у провайдера (например, AlexHost). Хост все еще нуждается в четких локальных правилах для SSH, веб-трафика и всего приватного. Контроли на стороне провайдера или облачного типа полезны как внешний уровень, когда они дополнительно ограничивают открытость.
Строка про WAF зависит больше от типа приложения, чем от размера инфраструктуры. Это становится полезным, когда то, что вы защищаете, действительно является веб-сайтом или API и вам нужна фильтрация, специфичная для HTTP/HTTPS. Не каждая конфигурация нуждается в этом дополнительном уровне. Большинство окружений становятся безопаснее, когда правила специфичны, а не когда диаграмма сложна.
Распространённые ошибки в настройке брандмауэра

Самая распространённая ошибка в настройке брандмауэра — открыть слишком много “на время” и никогда не вернуться к этому. Временное правило разрешить всё, широко открытый тестовый порт или сервис администратора, доступный всему интернету, могут оставаться задолго после того, как исчезнет первоначальная причина. Широкий временный доступ часто становится постоянной уязвимостью.
⚠️ Внимание: Временные открытые правила часто становятся постоянным риском. Если вам нужно исключение, сделайте его узким, задокументируйте причину его существования и удалите его после завершения задачи.
Вторая ошибка — доверять неправильному уровню выполнять каждую задачу.
- Маршрутизатор не исключает необходимость в правилах хоста.
- Группа безопасности облака не делает локальное усиление защиты бесполезным.
- И WAF не защищает SSH, базы данных или что-либо ещё вне веб-трафика.
Большинство реальных сбоев брандмауэра — это не продвинутые сбои. Это обычные категориальные ошибки.
Третья ошибка — дрейф правил. Проекты меняются, порты меняются, люди меняются, и “только для этой миграции” длятся дольше, чем кто-либо признаёт. Хорошая гигиена брандмауэра означает пересмотр правил при изменении конфигурации, закрытие того, что больше не требуется, и сохранение доступа администратора специфичным по исходному IP, VPN или другому контролируемому пути, когда это возможно.
Брандмауэры — это границы, а не волшебные щиты

Одна и та же идея связывает три примера в начале. Запрос на ноутбуке, правило SSH на VPS и общедоступный веб-сайт — каждый из них требует одного и того же решения: что действительно должно быть доступно здесь, а что нет? Как только вы начнёте видеть брандмауэр как контрольно-пропускной пункт трафика вместо волшебного ярлыка безопасности, ответы становятся более практичными и намного менее устрашающими.
Брандмауэр — это не вся история безопасности. Его ценность заключается в дисциплинированном определении границ: общедоступные сервисы остаются общедоступными, доступ администратора остаётся узким, а внутренние системы остаются внутренними. Лучший брандмауэр — это тот, который соответствует реальному объёму воздействия, которым вам нужно управлять.
на всех хостинговых услугах