Ви, напевно, чули, що брандмауери є важливим захистом безпеки, але чи знаєте ви, чому це так? Багато людей цього не роблять, якщо посилання на брандмауери в телевізійних шоу, фільмах та інших видах популярних засобів масової інформації є будь-якими ознаками.
Брандмауер знаходиться між комп’ютером (або локальною мережею) та іншою мережею (наприклад, Інтернетом), контролюючи вхідний та вихідний мережевий трафік. Без брандмауера все йде. З брандмауером правила брандмауера визначають, через який трафік дозволено, а який ні.
Чому комп’ютери включають брандмауери
Більшість людей зараз використовують домашні маршрутизатори, щоб вони могли обмінюватися Інтернет-зв’язком між кількома пристроями. Однак були часи, коли багато людей підключали кабель Ethernet свого комп'ютера безпосередньо до свого кабелю або DSL-модему, підключаючи комп'ютер безпосередньо до Інтернету. Комп’ютер, підключений безпосередньо до Інтернету, має загальнодоступний IP - іншими словами, будь-хто в Інтернеті може його отримати. Будь-які мережеві служби, які ви використовуєте на своєму комп’ютері, як-от служби, що постачаються з Windows для спільного використання файлів і принтерів, віддаленого робочого столу та інших функцій, будуть доступні для інших комп’ютерів в Інтернеті.
Оригінальний випуск Windows XP не містив брандмауера. Поєднання послуг, розроблених для локальних мереж, відсутність брандмауера та комп’ютерів, підключених безпосередньо до Інтернету, призвело до того, що багато комп’ютерів з Windows XP заразилися за лічені хвилини після безпосереднього підключення до Інтернету.
Брандмауер Windows було введено в Windows XP з пакетом оновлень 2, і нарешті він увімкнув брандмауер за замовчуванням у Windows. Ці мережеві послуги були ізольовані від Інтернету. Замість того, щоб приймати всі вхідні з'єднання, система брандмауера відкидає всі вхідні з'єднання, якщо вона спеціально не налаштована на те, щоб дозволити ці вхідні з'єднання.
Це заважає людям в Інтернеті підключатися до служб локальної мережі на вашому комп’ютері. Він також контролює доступ до мережевих послуг з інших комп'ютерів у вашій локальній мережі. Ось чому вас запитують, який це тип мережі, коли ви підключаєтесь до такої в Windows. Якщо ви підключаєтесь до домашньої мережі, брандмауер надає доступ до цих служб. Якщо ви під’єднаєтесь до загальнодоступної мережі, брандмауер заборонить доступ.
Навіть якщо сама мережева служба налаштована так, щоб не дозволяти підключення з Інтернету, цілком можливо, що сама служба має недолік безпеки, і спеціально розроблений запит може дозволити зловмисникові запускати довільний код на вашому комп'ютері. Брандмауер запобігає цьому, перешкоджаючи, не дозволяючи вхідним з'єднанням навіть дістатися до цих потенційно вразливих служб.
Додаткові функції брандмауера
Брандмауери розташовані між мережею (наприклад, Інтернетом) та комп'ютером (або локальною мережею), який захищає брандмауер. Основною метою захисту домашнього користувача міжмережевого екрану є блокування небажаного вхідного мережевого трафіку, проте брандмауери можуть зробити набагато більше. Оскільки між цими двома мережами сидить брандмауер, він може аналізувати весь трафік, що надходить або виходить із мережі, і вирішити, що з цим робити. Наприклад, брандмауер також може бути налаштований на блокування певних типів вихідного трафіку, або він може реєструвати підозрілий трафік (або весь трафік).
Брандмауер може мати різні правила, які дозволяють і забороняють певні типи трафіку. Наприклад, він може дозволяти підключення до сервера з певної IP-адреси, відкидаючи всі запити на з’єднання з інших місць для забезпечення безпеки.
Брандмауери можуть бути будь-якими: від програмного забезпечення, що працює на вашому ноутбуці (наприклад, брандмауер, що входить до складу Windows), до виділеного обладнання в корпоративній мережі. Такі корпоративні брандмауери можуть аналізувати вихідний трафік, щоб переконатися, що зловмисне програмне забезпечення не обмінюється даними через мережу, контролювати використання мережі співробітником та фільтрувати трафік - наприклад, брандмауер може бути налаштований таким чином, щоб дозволити лише веб-перегляд трафіку через брандмауер, блокуючи доступ до інших типів додатків.
Якщо ви схожі на більшість людей, у вас є маршрутизатор вдома. Ваш маршрутизатор насправді функціонує як свого роду апаратний брандмауер завдяки своїй функції NAT (трансляція мережевих адрес), яка запобігає потраплянню небажаного вхідного трафіку до ваших комп’ютерів та інших пристроїв позаду вашого маршрутизатора.
Кредит зображення: Схема брандмауера з Вікісховища , ChrisDag на Flickr
