Заощадьте 15% на всіх хостингових послугах

Перевірте свої навички і отримайте Знижку на будь-який план хостингу

Використовуй код: Skills Почати
Рубрики
Адміністрація Безпека

Що таке брандмауер? Як він працює, чому це важливо та який тип підходить для вашої установки

Чому брандмауери мають значення

why

Якщо ви коли-небудь клацали “Дозволити доступ” у запиті Windows або macOS, відкривали SSH на VPS або переконувалися, що хмарна база даних не була загальнодоступною, ви вже приймали рішення щодо брандмауера. Більшість людей роблять це фрагментарно. Вони знають, що це налаштування має значення, але не розуміють, який саме кордон вони захищають.

Ось чому брандмауери все ще мають значення. Це не просто корпоративне обладнання на стійці в центрі обробки даних. Вони з’являються на ноутбуках, домашніх маршрутизаторах, VPS екземплярах, хмарних панелях керування та громадських веб-сайтах. Як тільки ви почнете розглядати їх як контроль кордонів замість таємничих продуктів безпеки, тема стає набагато простішою для роботи.

Цей посібник дає вам цю простішу ментальну модель. Ми розглянемо, що таке брандмауер, як працюють брандмауери, основні типи брандмауерів та як вибрати правильний для пристрою, сервера, хмарного навантаження або веб-сайту. Це не глибокий аналіз корпоративних пристроїв або повної архітектури безпеки. Це практична основа для вибору правильного контролю на правильному кордоні.

Швидкі ключові терміни перед початком

keywords

Вам не потрібна сертифікація з мереж, щоб слідувати цій статті. Вам потрібен лише невеликий набір термінів, які запобігатимуть тому, щоб решта пояснення не перетворилася на суп з абревіатур.

ТермінЗначення простою мовою
🔥 FirewallКерування на основі правил, яке дозволяє або блокує мережевий трафік на певній межі.
🔌 PortПронумерований вхід, який допомагає трафіку досягти потрібного сервісу на пристрої або сервері.
⬅️ InboundТрафік, що надходить на ваш пристрій, сервер або сервіс.
➡️ OutboundТрафік, що виходить з вашого пристрою, сервера або сервісу.
📜 RuleУмова, яка повідомляє firewall, який трафік дозволити або заблокувати.
🔄 StatefulЗдатність запам’ятовувати з’єднання, яке вже було дозволено, щоб трафік відповіді міг повернутися правильно.
🖥️ Host-based firewallFirewall, який працює безпосередньо на окремому ноутбуці, комп’ютері або сервері.
🌐 Network firewallFirewall, який розташований між мережами, наприклад на маршрутизаторі, пристрої або шлюзі.
☁️ Cloud firewall / security groupВіртуальний контроль firewall навколо хмарних ресурсів, таких як екземпляри, інтерфейси або мережі.
🛡️ WAFFirewall веб-додатків, який фільтрує HTTP та HTTPS трафік для веб-сайтів та API.

Що таке брандмауер насправді — і чим він не є

По суті, брандмауер — це пристрій або програмне забезпечення, яке контролює мережевий трафік між системами, мережами або межами додатків, які не повинні однаково довіряти одна одній. Звучить формально, але практична версія проста: брандмауер — це контрольна точка, яка вирішує, який трафік може пройти. Він може знаходитися на ноутбуці, на Linux сервері, у маршрутизаторі, у хмарній площині керування або перед веб-сайтом. Це не обов’язково має бути фізичний пристрій.

what

Найбільш корисна аналогія тут — безпека будівлі. Мережевий брандмауер — це передня брама, яка контролює, що взагалі досягає території. Брандмауер на основі хоста — це стійка в холі для однієї конкретної будівлі, вирішуючи, хто потрапляє на той сервер або ноутбук. WAF — це контрольна точка для конкретної кімнати всередині будівлі, перевіряючи лише відвідувачів, які намагаються потрапити в одну веб-орієнтовану область. Та сама загальна ідея, різні межі.

Робота брандмауера вузька навмисне. Він вирішує, чи дозволено трафік проходити на основі правил. Це означає, що він може зменшити вразливість, розділити системи з різними рівнями ризику та допомогти локалізувати шкоду, коли щось піде не так. Він не автоматично очищує інфіковані файли, не виправляє слабкі паролі, не патчує вразливе програмне забезпечення та не перетворює небезпечний додаток на безпечний. Це один рівень у налаштуванні оборони в глибину, а не весь стек.

📝 Примітка: Брандмауер — це не антивірус, не VPN і не повний стек безпеки. Антивірус шукає шкідливі файли або поведінку, VPN створює зашифровану дорогу між кінцевими точками, а брандмауер вирішує, який трафік дозволено через межу.

Ця різниця важлива, тому що плутанина з брандмауером зазвичай починається, коли люди використовують один термін для кількох різних завдань. Якщо ви встановите антивірус, вам все ще потрібні елементи керування трафіком. Якщо ви використовуєте VPN, вам все ще потрібні правила щодо того, які сервіси доступні. Якщо ви купуєте план хостингу з функціями безпеки, вам все ще потрібно знати, яку межу захищає кожна функція. Брандмауер — це контрольна точка трафіку. Ця ясність робить решту категорії набагато легшою для оцінки.

Як працюють брандмауери на високому рівні

Брандмауери працюють, порівнюючи трафік з правилами. Ці правила зазвичай розглядають п’ять практичних речей: джерело, призначення, напрямок, протокол та порт. Іншими словами, звідки надходить трафік, куди він йде, чи це вхідний чи вихідний трафік, який тип мережевої розмови це є та який сервіс він намагається досягти.

how

Візьмемо простий приклад VPS. Ви можете дозволити SSH лише з довіреної IP-адреси адміністратора, дозволити HTTP та HTTPS з публічного інтернету, оскільки сайт призначений для публічного доступу, і повністю закрити порт бази даних для публіки. Жодне з цих правил не є абстрактним театром безпеки. Кожне з них відповідає на дуже звичайне питання: хто повинен мати можливість досягти цього сервісу, а хто не повинен?

Багато брандмауерів є stateful, що означає, що вони пам’ятають розмову, яку вони вже дозволили. Якщо ваш сервер надсилає законну відповідь назад клієнту, брандмауер не потребує від вас написання окремого правила “зворотного трафіку” для кожної відповіді в багатьох середовищах. Це не означає, що брандмауер глибоко розуміє кожне застосування. Це означає, що він відстежує стан з’єднання достатньо добре, щоб розумно обробляти звичайний двосторонній трафік.

📝 Примітка: “Заборона за замовчуванням” означає дозволити лише те, що необхідно, а не зламати все. Ідея полягає в тому, щоб блокувати за замовчуванням, а потім відкрити лише конкретний трафік, який сервіс насправді потребує.

Це мислення “заборони за замовчуванням” робить брандмауери справді корисними. Замість того, щоб виставляти все напоказ і сподіватися, що нічого чутливого не слухає, ви починаєте закритим і відкриваєте лише двері, які служать реальній меті. Це зменшує поверхню атаки та зменшує випадковий вплив. Це також застосовується до вихідного трафіку більше, ніж очікують багато читачів. Брандмауери призначені не лише для зупинення вхідного інтернет-трафіку. Вони також можуть обмежити те, що скомпрометований пристрій, скрипт або сервер може досягти на виході.

Чому вам потрібен брандмауер в реальному житті

why-need

Найлегше побачити цінність на персональному пристрої в публічній мережі Wi-Fi. Ваш ноутбук не потребує випадкових вхідних з’єднань від незнайомців у тій же мережі. Брандмауер на основі хоста допомагає запобігти тому, щоб спільне використання файлів, інструменти розробки або забуті сервіси були випадково доступні лише тому, що ви підключилися в неправильному місці.

Тепер перейдіть до одного VPS, на якому працює веб-сайт. Серверу, ймовірно, потрібен публічний шлях для HTTP або HTTPS, і йому може знадобитися SSH для адміністрування. Він не потребує того, щоб кожен інший сервіс був відкритий лише тому, що машина в мережі. Брандмауер допомагає вам сказати дуже конкретно: «цей сервер призначений для веб-трафіку та контрольованого адміністративного доступу — нічого більше».

why-need

Приклад з базою даних ще важливіший, тому що він такий поширений. База даних зазвичай існує для обслуговування додатка, а не публічного інтернету. Якщо сервер додатків — це єдина система, яка повинна з нею спілкуватися, брандмауер повинен це відображати. Закриття портів бази даних для світу — це не передова защита. Це базова гігієна меж.

Той же принцип масштабується в корпоративні мережі та хмарні середовища. Не кожна система повинна вільно спілкуватися з кожною іншою системою лише тому, що вони знаходяться в одній компанії або VPC. Сегментація трафіку допомагає обмежити непотрібний бічний рух, якщо одна машина неправильно налаштована або скомпрометована. Це реальна користь брандмауера у всіх цих середовищах: менша поверхня атаки, менше випадкових розкриттів і краще стримування, коли одна частина налаштування має поганий день.

Основні типи брандмауерів

types

Основні категорії брандмауерів легше зрозуміти, коли ви перестаєте сортувати їх за маркетинговою назвою та починаєте сортувати їх за місцем розташування. Різні типи брандмауерів — це в основному різні відповіді на одне питання: на якій межі контролюється цей трафік?

Брандмауер на основі хоста працює безпосередньо на пристрої або сервері, який ви захищаєте. На Windows це може бути Windows Defender Firewall. На Linux це може бути UFW поверх netfilter/nftables. Це часто перший корисний рівень для ноутбуків, VPS екземплярів та виділених серверів, оскільки це найближчий контроль до самого хоста.

Мережевий або периметровий брандмауер розташовується між мережами. Це може бути домашній або офісний маршрутизатор, виділений пристрій або віртуальний шлюз між сегментами мережі. Його завдання ширше, ніж завдання брандмауера на основі хоста, оскільки він контролює трафік, який рухається в, з або між мережами, а не тільки в одну машину.

types

Хмарний брандмауер — це віртуальна версія контролю межі навколо хмарних ресурсів. Постачальники використовують різні назви — AWS security groups, Google Cloud VPC firewall rules, Azure NSGs — але ідея, орієнтована на читача, однакова: це правила на рівні хмари навколо робочих навантажень, інтерфейсів, підмереж або мереж. На основних хмарних платформах ці елементи керування зазвичай є stateful, тому вони відчуваються як сучасний віртуальний брандмауер, а не просто статичний контрольний список.

WAF, або брандмауер веб-додатків, ще вужчий. Він фільтрує HTTP та HTTPS запити для веб-сайтів та API. Це робить його корисним для публічних веб-додатків, особливо коли вам потрібні правила на основі URL-адрес, заголовків, шаблонів запитів або поведінки типових веб-атак. Але межа набагато менша, ніж припускає більшість людей.

⚠️ Попередження: WAF захищає тільки веб-трафік. Він не захищає SSH, бази даних, поштові сервіси або інший трафік, не пов’язаний з веб-сайтом, і не замінює правила брандмауера хоста або мережі.

Ви також побачите терміни на кшталт керований брандмауер або брандмауер нового покоління. Вони можуть описувати реальні продукти та послуги, але вони не є найкращою відправною точкою для рішення новачка. Спочатку вирішіть, яку межу вам потрібно захищати. Потім вирішіть, чи хочете ви, щоб цей контроль був реалізований як програмне забезпечення на хості, мережевому пристрої, хмарному наборі правил або керованій службі. Таблиця нижче — це чистіша карта.

Тип брандмауераМісце розташуванняЩо він фільтруєНайкраще перше використанняЩо він не замінює
🔒 Брандмауер на основі хостаНа самому ноутбуку, настільному комп’ютері або серверіТрафік до та від цього одного хостаПосилення особистого пристрою, VPS або виділеного сервераУправління патчами, безпечний дизайн додатків, сегментація на рівні мережі
🛡️ Мережевий / периметровий брандмауерМіж мережами, часто на маршрутизаторі, пристрої або шлюзіТрафік, що входить, виходить або рухається між сегментами мережіКонтроль доступу в домашній, офісній або периметрі центру обробки данихПравила на рівні хоста, захист WAF для веб-додатків
☁️ Хмарний брандмауер / група безпекиНавколо хмарних робочих навантажень, інтерфейсів, підмереж або VPCТрафік до та від хмарних ресурсівОбмеження доступу до екземплярів, сервісів та баз даних у хмарному хостингуПосилення хоста, безпека додатків, фільтрування на рівні веб-сайту
🌐 WAFПеред веб-сайтом або API на рівні HTTP/HTTPSВеб-запити, шляхи, заголовки, методи та шаблони запитівПублічні веб-сайти та API, які потребують фільтрування, специфічного для веб-сайтуЗахист SSH, захист бази даних, загальні обов’язки мережевого брандмауера

Простий розумовий модель для вибору правильного брандмауера

Найпростіший спосіб вибрати брандмауер — перестати запитувати: «Який брандмауер найкращий?» і почати запитувати: «Який кордон я насправді захищаю?» На практиці більшість рішень починаються з одного з чотирьох кордонів: пристрою, хоста/сервера, підмережі або VPC або публічної веб-програми.

model

Потім запитайте, наскільки цей кордон відкритий. Він звернений до інтернету, тільки внутрішній або призначений лише для адміністративного доступу? Ноутбук, який переміщується між мережами, має інший характер відкритості, ніж приватна база даних. Публічний веб-сайт призначений для доступу звідусіль, але його адміністративний SSH-порт — ні. Чим чіткіше ви відповідите на питання про відкритість, тим очевидніше стає вибір брандмауера.

Третє питання — операційне: хто керує цим середовищем?

  • Якщо ви безпосередньо керуєте сервером, брандмауер на основі хоста зазвичай є найближчим відповідним кордоном.
  • Якщо ви розгортаєте робочі навантаження в хмарній мережі, рівень хмарного брандмауера може бути найчистішим першим контролем навколо цих ресурсів.
  • І якщо трафік перетинає інший важливий кордон після цього — від публічного інтернету до рівня додатків або від рівня додатків до рівня бази даних — це коли має сенс розшарування.

Додавайте ще один рівень брандмауера, тому що архітектура додає ще один контрольний пункт, а не тому, що «більше продуктів» автоматично означає кращу безпеку.

Якщо ви пам’ятатимете лише одне правило, нехай це буде: почніть з найближчого відповідного кордону, потім додавайте рівні лише тоді, коли трафік перетинає інший важливий кордон. Швидка таблиця нижче перетворює це на повторно використовуваний ярлик.

Якщо ви захищаєте…Почніть з…Чому
💻 Один ноутбук або настільний комп’ютерБрандмауер на основі хостаЦе найближчий контроль до пристрою, особливо коли цей пристрій переміщується між різними мережами.
🖥️ Один VPS або виділений серверБрандмауер на основі хостаВи безпосередньо керуєте машиною, тому її власні правила трафіку є першим корисним контрольним пунктом.
🌐 Набір робочих навантажень усередині підмережі або VPCХмарний брандмауер / група безпекиВажливий кордон знаходиться навколо робочих навантажень і мережевих шляхів між ними.
🌍 Публічний веб-сайт або APIБрандмауер хоста/мережі спочатку, потім WAF за потребиСервер все ще потребує базових правил доступу, а веб-програми також можуть потребувати фільтрування, специфічного для HTTP/HTTPS.
🏢 Офісна або корпоративна мережаМережевий / периметровий брандмауерПерший важливий контрольний пункт знаходиться між внутрішніми системами та зовнішніми або менш надійними мережами.

Which Firewall Fits Which Use Case

fit

Перша таблиця відповідає на питання, з чого почати. Наступна таблиця відповідає на практичніше питання: коли другий рівень брандмауера насправді виправданий? Більшість конфігурацій все ще починаються з одного очевидного першого рівня, а другий додається лише коли архітектура створює окремий шлях або рівень, який варто контролювати окремо.

Сценарій використанняРекомендований перший рівеньМожливий другий рівеньЧому
💻 Персональний ноутбук або комп’ютерБрандмауер на хостіМаршрутизатор або брандмауер офісної мережіПристрій переміщується між мережами, тому перша контрольна точка повинна залишатися з самим пристроєм.
🖥️ Один VPSБрандмауер на хостіБрандмауер мережі провайдера або хмариЗазвичай потрібно обмежити SSH та відкрити лише публічні сервіси, які має запускати сервер.
🗄️⚙️ Самостійно розміщена програма з додатком та базою данихБрандмауер на хості на обох серверахБрандмауер хмари/мережі між рівнямиБаза даних зазвичай повинна приймати трафік лише від рівня додатків, а не з інтернету.
☁️🖧 Розгортання з кількома серверами в хмаріБрандмауер хмари / група безпекиБрандмауер на хості на критичних хостахПерша межа знаходиться навколо робочих навантажень та мережевих шляхів, потім чутливі хости можуть додати більш суворі локальні правила.
🌐🔗 Публічний веб-сайт або APIБрандмауер хості/мережіWAFВеб-трафік спочатку потребує звичайного доступу до портів, а WAF має сенс лише коли додаток насправді звернений до HTTP/HTTPS.
🏢📡 Офісна або корпоративна мережаБрандмауер мережі / периметраБрандмауер на хості на кінцевих пристроях та серверахКонтроль на краю допомагає в цілому, тоді як правила хості покращують ізоляцію всередині середовища.

Два паттерни мають більше значення, ніж позначки в цій таблиці. Перший рівень зазвичай це той, що найближче до активу, тоді як другий рівень з’являється лише коли трафік переходить до іншого рівня або межі довіри, яка заслуговує на власні правила.

Ось чому новий VPS або виділений сервер часто починається з брандмауера на хості навіть коли він розміщений у провайдера (такого як AlexHost). Хост все ще потребує чітких локальних правил для SSH, веб-трафіку та всього приватного. Контроль на стороні провайдера або в стилі хмари корисний як зовнішній рівень коли вони ще більше звужують експозицію.

Рядок WAF залежить більше від типу додатку, ніж від розміру інфраструктури. Він стає корисним коли те, що ви захищаєте, насправді є веб-сайтом або API і вам потрібна фільтрація специфічна для HTTP/HTTPS. Не кожна конфігурація потребує цього додаткового рівня. Більшість середовищ стають безпечнішими коли правила специфічні, а не коли діаграма складна.

Поширені помилки брандмауера

mistakes

Найпоширеніша помилка брандмауера — відкрити занадто багато “на даний момент” і ніколи не повернутися. Тимчасове правило дозволу всім, широко відкритий тестовий порт або служба адміністратора, відкрита для всього інтернету, можуть залишатися довго після того, як оригінальна причина зникла. Широкий тимчасовий доступ часто стає постійною вразливістю.

⚠️ Попередження: Тимчасові відкриті правила часто стають постійним ризиком. Якщо вам потрібен виняток, зробіть його вузьким, задокументуйте, чому він існує, і видаліть його після завершення завдання.

Друга помилка — довіра неправильному рівню для виконання кожного завдання.

  • Маршрутизатор не усуває необхідність у правилах хоста.
  • Група безпеки хмари не робить локальне посилення непотрібним.
  • І WAF не захищає SSH, бази даних або що-небудь інше поза веб-трафіком.

Більшість реальних відмов брандмауера — це не передові відмови. Це звичайні категоріальні помилки.

Третя помилка — дрейф правил. Проекти змінюються, порти змінюються, люди змінюються, і “просто для цієї міграції” змінюється довше, ніж хто-небудь визнає. Хороша гігієна брандмауера означає переглядати правила, коли налаштування змінюється, закривати те, що більше не потрібно, і тримати доступ адміністратора конкретним за вихідною IP-адресою, VPN або іншим контрольованим шляхом, коли це можливо.

Брандмауэри — це кордони, а не магічні щити

conclusion

Одна й та сама ідея пов’язує три вступні приклади. Запит на ноутбуці, правило SSH на VPS та публічний веб-сайт — кожен з них змушує прийняти одне й те саме рішення: що насправді має бути доступним тут, а що ні? Коли ви бачите брандмауэр як контрольно-пропускний пункт для трафіку замість магічної мітки безпеки, відповіді стають більш практичними та набагато менш лякаючими.

Брандмауэр — це не вся історія безпеки. Його цінність полягає в дисциплінованому обмеженні: публічні сервіси залишаються публічними, доступ адміністратора залишається вузьким, а внутрішні системи залишаються внутрішніми. Найкращий брандмауэр — це той, який відповідає експозиції, якою вам насправді потрібно керувати.