Межсетевой экран
Что такое Межсетевой экран?
Межсетевой экранСетевое устройство или программное обеспечение безопасности, которое контролирует входящий и исходящий трафик в соответствии с заданным набором правил, разделяя доверенные и недоверенные сети.
Межсетевой экран обеспечивает соблюдение политики управления доступом на границе сети, проверяя пакеты и разрешая, отклоняя или регистрируя их в соответствии с правилами, ссылающимися на IP-адреса источника и назначения, порты и протоколы. Технология прошла через три поколения: пакетные фильтры без сохранения состояния, оценивающие каждый пакет изолированно; инспекция с сохранением состояния (stateful), впервые реализованная в Check Point FireWall-1 в 1994 году, которая отслеживает состояние соединения, так что ответный трафик сопоставляется с уже установленной сессией; и межсетевые экраны нового поколения (NGFW), добавляющие идентификацию приложений, инспекцию TLS, учёт пользователей и встроенную IPS.
У периметровых межсетевых экранов есть хорошо известные слепые зоны: они не могут инспектировать зашифрованный трафик «восток — запад» внутри плоской сети, а единственное чрезмерно разрешающее или перекрытое правило способно подорвать всю политику. Доминирующий реальный сценарий отказа — ошибка конфигурации: утечка данных Capital One в 2019 году, раскрывшая около 100 миллионов записей, произошла из-за чрезмерно разрешающей роли веб-фаервола (web-application-firewall), которой злоупотребили через SSRF, чтобы добраться до облачных метаданных. Эффективное внедрение означает наборы правил по умолчанию-запрещать (default-deny), правила с минимальными привилегиями, периодическую ресертификацию для удаления устаревших записей, управление изменениями и централизованное журналирование, передаваемое в SIEM для обнаружения дрейфа конфигурации и горизонтального перемещения. В современных архитектурах межсетевые экраны сочетают с микросегментацией и шлюзами нулевого доверия, а не полагаются на единый жёсткий периметр.
flowchart TD
P["Входящий пакет"] --> S{"Совпадает с таблицей состояний?"}
S -- "Да" --> A["Разрешить установленный поток"]
S -- "Нет" --> R{"Совпадает с правилом?"}
R -- "Разрешить" --> L["Разрешить, журналировать, добавить в таблицу состояний"]
R -- "Запретить" --> D["Отбросить или отклонить, журналировать"]
R -- "Нет совпадения" --> DD["Запрет по умолчанию"]● Примеры
- 01
Устройство pfSense блокирует входящий SMB (TCP/445) из Интернета.
- 02
Группа безопасности AWS разрешает только HTTPS от балансировщика к серверу приложения.
● Частые вопросы
Что такое Межсетевой экран?
Сетевое устройство или программное обеспечение безопасности, которое контролирует входящий и исходящий трафик в соответствии с заданным набором правил, разделяя доверенные и недоверенные сети. Относится к категории Сетевая безопасность в кибербезопасности.
Что означает Межсетевой экран?
Сетевое устройство или программное обеспечение безопасности, которое контролирует входящий и исходящий трафик в соответствии с заданным набором правил, разделяя доверенные и недоверенные сети.
Как защититься от Межсетевой экран?
Защита от Межсетевой экран обычно сочетает технические меры и операционные практики, как описано в определении выше.
Какие есть другие названия Межсетевой экран?
Распространённые альтернативные названия: Сетевой экран, Брандмауэр.