Вивчаючи основи комп'ютерної та мережевої безпеки, ви зіткнетеся з багатьма новими термінами: шифрування, порт, троянець та інші. Брандмауер - це термін, який буде з'являтися знову і знову.
Що таке брандмауер?
Брандмауер - це перша лінія захисту вашої мережі. Основне призначення брандмауера - не дозволити непроханим гостям переглядати вашу мережу. Брандмауер може бути апаратним пристроєм або програмним додатком, який зазвичай розташовується по периметру мережі, щоб діяти як привратник для всього вхідного і вихідного трафіку.
Брандмауер дозволяє вам встановлювати певні правила для визначення трафіку, який повинен бути дозволений у вашій приватній мережі або поза нею. Залежно від типу брандмауера ви можете обмежити доступ лише певними IP-адресами та доменними іменами або заблокувати певні типи трафіку, заблокувавши використовувані ними порти TCP/IP.
Як працює брандмауер?
Існують чотири основні механізми, які використовуються брандмауерами для обмеження трафіку. Один пристрій або додаток може використовувати більше одного з них для забезпечення глибокого захисту. Чотири механізми - це фільтрація пакетів, шлюз рівня каналу, проксі-сервер і шлюз додатків.
Пакетна фільтрування
Фільтр пакунків перехоплює весь трафік від мережі і оцінює його проти правил, які ви надаєте. Зазвичай фільтр пакетів може оцінювати IP-адресу джерела, порт джерела, IP-адресу призначення та порт призначення. Саме ці критерії можна фільтрувати, щоб дозволити або заборонити трафік з певних IP-адрес або через певні порти.
Шлюз на рівні ланцюга
Шлюз на рівні каналу блокує весь вхідний трафік для будь-якого хосту, крім самого себе. Всередині клієнтські машини запускають програмне забезпечення, яке дозволяє їм встановлювати з'єднання з машиною шлюзу на рівні каналу. Схоже, що в зовнішньому світі всі комунікації з вашої внутрішньої мережі походять із шлюзу на рівні каналу.
Проксі-сервер
Зазвичай використовується проксі-сервер для підвищення продуктивності мережі, але він також може виступати в якості свого роду брандмауера. Проксі-сервери приховують ваші внутрішні адреси, так що всі комунікації відбуваються від самого проксі-сервера. Проксі-сервер кешує запитані сторінки. Якщо користувач A переходить на Yahoo.com, проксі-сервер відправляє запит на Yahoo.com і отримує веб-сторінку. Якщо користувач B потім підключається до Yahoo.com, проксі-сервер просто відправляє інформацію, вже отриману для користувача A, тому він повертається набагато швидше, ніж необхідність знову отримувати його з Yahoo.com. Ви можете налаштувати проксі-сервер для блокування доступу до певних веб-сайтів і фільтрування трафіку деяких портів для захисту вашої внутрішньої мережі.
Шлюз програм
Шлюз додатків - це, по суті, проксі-сервер іншого роду. Внутрішній клієнт спочатку встановлює з'єднання зі шлюзом програми. Шлюз програми визначає, чи слід дозволити з'єднання чи ні, а потім встановлює з'єднання з кінцевим комп'ютером. Всі комунікації проходять через два з'єднання: клієнт-шлюз додатка та шлюз додатка до місця призначення. Шлюз програми відстежує весь трафік відповідно до своїх правил, перш ніж вирішити, чи слід його переадресувати. Як і у випадку з іншими типами проксі-серверів, шлюз додатків є єдиною адресою, видимою зовнішнім світом, тому внутрішня мережа захищена.
Відредагований Енді О'Доннеллом