Все статьи

Firewall: щит корпоративной сети

12 ноя 20212527

Попадая в ИТ-инфраструктуру компании, киберпреступник может заполучить конфиденциальные данные компании. Что именно он будет с ними делать — вопрос второстепенный. Какие-то данные можно продать в даркнете. Другие — зашифровать и потребовать выкуп за их восстановление. Все это не так важно. Главное: как бы ни поступил злоумышленник, бизнес понесет финансовые и репутационные убытки.

Избежать этих рисков помогает особый инструмент. Его называют по разному: межсетевой экран, брандмауэр или фаервол. Разберемся, что он собой представляет и как работает.

dreamstime_xxl_23219089_1.png

Что такое межсетевой экран (Firewall)

Давайте сразу поставим все точки над i. Все эти отраслевые термины — файрвол (Firewall), брандмауэр, межсетевой экран (МСЭ) — просто разные слова для обозначения одного инструмента. Его основное назначение — контролировать поступающий трафик и не допускать несанкционированного проникновения в сеть компании.

Виды фаерволов

С точки зрения реализации существуют два типа фаерволов (межсетевых экранов).

  • Аппаратные МСЭ
  • Это физическое оборудование, на котором уже установлено программное обеспечение для экранирования. Чтобы установить аппаратный МСЭ в свою инфраструктуру, необходимо приобрести саму «железку», подключить его к корпоративной сети и сконфигурировать в соответствии с актуальными политиками безопасности.

    У аппаратных файрволов есть свои плюсы. Например, все ресурсы МСЭ будут тратится только на целевую нагрузку — фильтрацию трафика. Другие приложения физически не смогут работать на том же устройстве, а значит, файрволу не придется ни с кем делить мощности.

  • Программные МСЭ
  • Это файрвол, выполненный в виде программы. Он устанавливается на сервер (физический или виртуальный) и пропускает через себя весь трафик, который должен попасть внутрь корпоративной сети.

Какие задачи решает файрвол

Выше мы уже разобрались и выяснили, что ключевая задача файрвола — не допускать несанкционированного доступа внутрь корпоративной сети. Для этого МСЭ отслеживает параметры как входящего, так и исходящего трафика.

dreamstime_xxl_226947474_1 (1).png

Например, пакетные фильтры решают, пускать или не пускать IP-пакеты внутрь компании, после анализа их параметров. Они могут оценивать используемый протокол (например, TCP, UDP и пр.), IP и порт источника и другие параметры.

Нередко файрволы анализируют контекст пересылаемых данных. Например, входящий из внешней сети трафик будет «одобрен» межсетевым экраном только в том случае, если он будет ответом на запрос из внутренней сети. При любых других условиях он будет заблокирован.

Основные функции межсетевого экрана

Итак, главная задача файрвола — не пустить внутрь периметра компании трафик, которого там не должно быть. Это защищает сразу от широкого спектра угроз и предотвращает множественные риски. Разберем сценарии работы firewall подробнее — что умеет МСЭ.

  • Блокировать несанкционированную передачу корпоративных данных
  • Предположим, сотрудник случайно подхватил вредоносное ПО. Некоторое время этот вирус «жил» внутри вашей инфраструктуры и собирал ценную информацию — документы и файлы. А когда попытался отправить ее на сервер злоумышленника, файрвол заблокировал передачу. В итоге корпоративная информация осталась в сохранности и не попала в руки к хакеру.

  • Защищать от «поддельного» трафика
  • Разберем другую ситуацию. У компании есть несколько филиалов. Подразделение А обменивается трафиком с подразделением Б, причем их IP-адреса друг другу точно известны. Если вдруг злоумышленник попытается замаскировать вредоносный трафик под легитимный, сделать это у него не получится. Файрвол сравнит IP-адреса и заблокирует фальшивку.

  • Предотвращать DDoS-атаки
  • Как происходят DDoS-атаки? Как правило, подконтрольная хакеру сеть зараженных устройств начинает «спамить» серверы компании запросами и «положить» его огромной нагрузкой. Инструмент, распознающий такие мусорные запросы, сгенерирует правило выявления вредоносного трафика и передаст его файрволу, который заблокирует их.

dreamstime_xxl_133406203_1.png

Сегодня файрволы редко используются как основной инструмент защиты. Как правило, МСЭ — лишь один из винтиков в системе информационной безопасности компании. Помимо файрволов компании также используют антивирусные решения, анти-DDoS инструменты, системы распознавания вторжений и другие средства безопасности.

Однако файрвол типа WAF до сих пор используется в качестве основного инструмента защиты веб-приложений. Такие средства «заточены» под специфику веб-ресурсов. Например, WAF от #CloudMTS:

  • защищает от угроз OWASP TOP-10;
  • снижает риски кражи учетных данных;
  • распознает атаки на логику веб-приложений.

Подробнее о Web Application Firewall — на нашем сайте.

Подведем итоги

Вместо заключения предлагаем еще раз пройтись по озвученным выше тезисам и закрепить знания о фаерволах.

  • Фаервол, firewall, брандмауэр, межсетевой экран, сетевой экран, МСЭ, МЭ — разные названия одного инструмента.
  • Основное назначение фаервола — не пускать внутрь корпоративной сети трафик, который там не нужен, и не выпускать ценные данные куда-то на нелегитимный сервер.
  • Межсетевой экран может быть реализован как аппаратным способом (в виде отдельного устройства), так и программным.
  • Фаервол может защищать как сеть компании целиком (стоять перед ней), так и какой-то конкретный сегмент сети или устройство.
  • Свои задачи firewall выполняет путем анализа входящего и исходящего трафика. Некоторые инструменты умеют учитывать контекст.
  • Фаерволы не используются в качестве основного защитного решения, но вкупе с другими инструментами повышают общий уровень безопасности и помогают предотвратить утечку данных, кражу информации, DDoS-атаки и другие вредоносные активности.