Что такое брандмауэр и как он работает?

Брандмауэр - это система, которая обеспечивает сетевую безопасность путем фильтрации входящего и исходящего сетевого трафика на основе набора пользовательских правил. Как правило, цель брандмауэра состоит в том, чтобы уменьшить или исключить возникновение нежелательных сетевых коммуникаций, в то же время позволяя всем законным коммуникациям проходить свободно. В большинстве серверных инфраструктур брандмауэры обеспечивают существенный уровень безопасности, который в сочетании с другими мерами предотвращает злоумышленники от доступа к вашим серверам.

В этом руководстве будет рассмотрено, как работают межсетевые экраны, с акцентом на программные межсетевые экраныstateful, такие как iptables и FirewallD, которые связаны с облачными серверами. Мы начнем с краткого объяснения пакетов TCP и различных типов межсетевых экранов. Затем мы обсудим различные темы, имеющие отношение к брандмауэрам с сохранением состояния. Наконец, мы предоставим ссылки на другие учебные пособия, которые помогут вам настроить брандмауэр на вашем собственном сервере.

Прежде чем обсуждать различные типы межсетевых экранов, давайте кратко рассмотрим, как выглядит сетевой трафик транспортного протокола управления (TCP).

Сетевой трафик TCP перемещается по сети вpackets, которые представляют собой контейнеры, состоящие из заголовка пакета, который содержит управляющую информацию, такую ​​как адреса источника и назначения, а также информацию о последовательности пакетов, а также данные (также известные как полезная нагрузка) . Хотя управляющая информация в каждом пакете помогает обеспечить правильную доставку связанных данных, содержащиеся в ней элементы также предоставляют брандмауэрам различные способы сопоставления пакетов с правилами брандмауэра.

Важно отметить, что для успешного приема входящих пакетов TCP требуется, чтобы получатель отправил исходящие пакеты подтверждения обратно отправителю. Комбинация управляющей информации во входящих и исходящих пакетах может использоваться для определения состояния соединения (например, новый, установленный, связанный) между отправителем и получателем.

Давайте быстро обсудим три основных типа сетевых брандмауэров: фильтрация пакетов (без сохранения состояния), с сохранением состояния и прикладной уровень.

Брандмауэры с фильтрацией пакетов или без сохранения состояния работают путем изолированной проверки отдельных пакетов. Как таковые, они не знают о состоянии соединения и могут только разрешать или запрещать пакеты на основе отдельных заголовков пакетов.

Межсетевые экраны с сохранением состояния могут определять состояние соединения пакетов, что делает их намного более гибкими, чем межсетевые экраны без сохранения состояния. Они работают, собирая связанные пакеты, пока состояние соединения не будет определено до того, как какие-либо правила брандмауэра будут применены к трафику.

Брандмауэры приложений делают еще один шаг вперед, анализируя передаваемые данные, что позволяет сопоставить сетевой трафик с правилами брандмауэра, характерными для отдельных служб или приложений. Они также известны как межсетевые экраны на основе прокси.

В дополнение к программному обеспечению брандмауэра, которое доступно во всех современных операционных системах, функциональность брандмауэра также может обеспечиваться аппаратными устройствами, такими как маршрутизаторы или устройства брандмауэра. Опять же, наше обсуждение будет сосредоточено на программных брандмауэрахstateful, которые работают на серверах, которые они предназначены для защиты.

Как упоминалось выше, сетевой трафик, проходящий через брандмауэр, сопоставляется с правилами, чтобы определить, следует ли ему пропускать или нет. Простой способ объяснить, как выглядят правила брандмауэра, - показать несколько примеров, поэтому мы сделаем это сейчас.

Предположим, у вас есть сервер с этим списком правил брандмауэра, которые применяются к входящему трафику:

Обратите внимание, что первое слово в каждом из этих примеров - «принять», «отклонить» или «отбросить». Это указывает действие, которое брандмауэр должен выполнить в случае, если часть сетевого трафика соответствует правилу. Accept означает разрешить прохождение трафика,reject означает заблокировать трафик, но ответить с ошибкой «недоступен», аdrop означает заблокировать трафик и не отправить ответа. Остальная часть каждого правила состоит из условия, с которым сопоставляется каждый пакет.

Как выясняется, сетевой трафик сопоставляется со списком правил брандмауэра в последовательности или цепочке от первого до последнего. Более конкретно, после сопоставления правила соответствующее действие применяется к рассматриваемому сетевому трафику. В нашем примере, если сотрудник бухгалтерии попытается установить SSH-соединение с сервером, он будет отклонен на основании правила 2, прежде чем правило 3 будет даже проверено. Системный администратор, однако, будет принят, потому что они будут соответствовать только правилу 3.

Поскольку сетевой трафик с точки зрения сервера может быть как входящим, так и исходящим, брандмауэр поддерживает определенный набор правил для каждого случая. Трафик, исходящий из других источников, входящий трафик, обрабатывается иначе, чем исходящий трафик, отправляемый сервером. Для сервера обычно разрешается большая часть исходящего трафика, поскольку сервер, как правило, сам по себе заслуживает доверия. Тем не менее, исходящий набор правил может быть использован для предотвращения нежелательной связи в случае, если сервер скомпрометирован злоумышленником или вредоносным исполняемым файлом.

Чтобы максимизировать преимущества безопасности брандмауэра, вы должны определить все способы взаимодействия других систем с вашим сервером, создать правила, которые явно разрешают их, а затем отбросить весь другой трафик. Помните, что соответствующие исходящие правила должны быть в наличии, чтобы сервер позволял себе отправлять исходящие подтверждения любым соответствующим входящим соединениям. Кроме того, поскольку серверу обычно необходимо инициировать собственный исходящий трафик по разным причинам, например, для загрузки обновлений или подключения к базе данных, важно также включить эти случаи в набор исходящих правил.

Теперь, когда мы рассмотрели, как работают брандмауэры, давайте посмотрим на распространенные программные пакеты, которые могут помочь нам настроить эффективный брандмауэр. Хотя существует много других пакетов, связанных с брандмауэром, они эффективны и являются теми, с которыми вы столкнетесь чаще всего.

Теперь, когда вы понимаете, как работают брандмауэры, вам следует заняться внедрением брандмауэра, который улучшит вашу безопасность настройки вашего сервера с помощью приведенных выше руководств.

Если вы хотите узнать больше о том, как работают брандмауэры, посмотрите эти ссылки: