Брандмауэр (от нем. Brandmauer — противопожарная стена) — система фильтрации сетевого трафика. Анализирует пакеты и применяет политики: разрешить, запретить, записать в лог. Действует на разных уровнях OSI: пакетный фильтр (Layer 3/4), stateful inspection, application firewall (Layer 7).
Типы фаерволов
- Packet filter — проверяет заголовки пакетов (IP, порт, протокол). Без учёта состояния соединения. iptables в режиме без -m state.
- Stateful inspection — отслеживает состояния TCP-соединений. Разрешает пакеты связанных соединений (ESTABLISHED, RELATED). Современный стандарт.
- Application firewall (WAF) — анализирует содержимое приложения (SQL, HTTP). ModSecurity, Cloudflare WAF.
- Next-Generation Firewall (NGFW) — объединяет stateful + DPI + IPS + VPN + антивирус. Palo Alto, Cisco ASA, Fortinet.
Linux фаерволы
- iptables/nftables — низкоуровневый фаервол ядра.
- UFW (Uncomplicated Firewall) — упрощённый frontend iptables для Ubuntu/Debian.
- firewalld — динамический frontend для RHEL/CentOS/Fedora. Zones: public, internal, dmz.
- CSF (ConfigServer Security & Firewall) — популярный фаервол для cPanel-серверов.
DMZ (Demilitarized Zone)
Демилитаризованная зона — сеть между внешним и внутренним фаерволом. Публичные сервисы (веб-сервер, почта, DNS) размещаются в DMZ, защищая внутреннюю сеть.
История
Пакетные фильтры появились в конце 1980-х (DEC VAX с ULTRIX, 1988). Stateful inspection патентован Check Point в 1993 году. Linux netfilter появился в ядре 2.4 (2001). NGFW термин ввёл Gartner в 2009 году.
Связь с хостингом
На VDS программный фаервол (iptables/UFW) — обязательный элемент безопасности. Базовая конфигурация: разрешить только 22/80/443 и ESTABLISHED-соединения. Многие хостинг-провайдеры предоставляют облачный фаервол на уровне инфраструктуры (до ВМ) — дополнительный уровень защиты.
История брандмауэров
Первый сетевой брандмауэр (packet filter) разработан Дейвом Прессотто и Говардом Трики в AT&T Bell Labs в 1988 году. Stateful firewall — Checkpoint FireWall-1 (1994). Межсетевые экраны нового поколения (NGFW) появились в 2007 году с Palo Alto Networks. В Linux функцию брандмауэра выполняет Netfilter/iptables. Windows Firewall включён в Windows XP SP2 (2004). Аппаратные NGFW (Cisco ASA, Fortinet FortiGate) стоят от $500 до $100 000+.
Типы брандмауэров
| Тип | Уровень OSI | Возможности |
|---|---|---|
| Packet filter | L3-L4 | IP, порты, протоколы |
| Stateful | L3-L4 | + отслеживание сессий |
| Application (WAF) | L7 | + анализ HTTP/HTTPS |
| NGFW | L2-L7 | DPI, IPS, идентификация приложений |
На что обращать внимание при выборе хостинга
Качественный VPS-хостинг предоставляет аппаратный брандмауэр на уровне дата-центра, защищающий от объёмных DDoS-атак. Дополнительно настраивайте программный iptables/ufw на уровне сервера. Для высоконагруженных проектов — облачный WAF типа Cloudflare на уровне DNS.
Типичные ошибки
- Разрешение всего входящего трафика по умолчанию — принцип «запрещено всё кроме разрешённого».
- Не закрыт порт 3306 (MySQL) от внешнего мира — база данных доступна из интернета.
- Брандмауэр без логирования заблокированных попыток — слепое пятно для анализа угроз.