Кибербезопасность. Firewall: фундамент сетевой безопасности, который нужно понять правильно

Когда речь заходит о защите сети, firewall — первое слово, которое произносят. Его ставят везде: на домашних роутерах, в корпоративных дата-центрах, на граничных узлах облачной инфраструктуры. Но большинство людей понимают его как «штука, которая что-то блокирует» — и на этом останавливаются.

Это грубое упрощение, которое стоит дорого.

Firewall — это система контроля сетевого трафика, принимающая решения о разрешении или блокировке соединений на основе заранее определённых правил. Это не антивирус, не система обнаружения вторжений и не панацея от всех угроз. Это — контролируемый пограничный пункт между зонами с разными уровнями доверия.

Почему он фундаментален? Потому что любая защита начинается с контроля периметра. Невозможно защитить то, к чему есть бесконтрольный доступ. Firewall — это первый и обязательный слой многоуровневой защиты, без которого остальные инструменты теряют смысл.

Основные типы firewall

Packet Filtering Firewall

Самый базовый тип. Работает на 3-м и 4-м уровнях модели OSI (сетевой и транспортный). Анализирует каждый пакет независимо по набору критериев: source IP, destination IP, source port, destination port, протокол (TCP/UDP/ICMP).

Пример: разрешить весь входящий TCP-трафик на порт 443 (HTTPS) с любого IP-адреса.

Плюсы: высокая скорость, низкая нагрузка на ресурсы, простота настройки. Минусы: не видит контекст соединения, не анализирует содержимое, уязвим к IP-спуфингу и атакам на уровне приложений.

Где встречается: домашние и SOHO-роутеры, базовые ACL на коммутаторах Cisco.

Stateful Firewall

Отслеживает состояние сетевых соединений через таблицу состояний (state table). Знает, что пакет является частью TCP-сессии, установленной по правилам. Умеет отличать легитимный ответный трафик от несанкционированных попыток подключения.

Пример: клиент внутри сети инициирует соединение на внешний сервер — stateful firewall автоматически разрешает ответный трафик, не требуя отдельного правила.

Плюсы: понимает контекст соединения, защищает от ряда атак (SYN flood, IP spoofing). Минусы: не анализирует payload, не контролирует приложения.

Где встречается: большинство корпоративных firewall уровня SMB, встроенный Windows Defender Firewall.

Proxy Firewall

Работает как посредник: клиент подключается к proxy, proxy устанавливает отдельное соединение с сервером назначения. Клиент и сервер никогда не взаимодействуют напрямую. Proxy полностью разбирает протокол уровня приложений (HTTP, FTP, DNS) и может анализировать содержимое.

Пример: в корпоративной сети весь HTTP/HTTPS-трафик проходит через proxy-сервер Squid, который проверяет URL по категориям, логирует запросы и блокирует запрещённые ресурсы.

Плюсы: глубокий контроль на уровне приложений, возможность кэширования, полная видимость трафика. Минусы: высокая задержка, требует значительных ресурсов, сложная настройка, не подходит для всех протоколов.

Next-Generation Firewall (NGFW)

NGFW — это эволюция stateful firewall с добавлением возможностей, которые раньше требовали отдельных устройств. Ключевые компоненты: Deep Packet Inspection (DPI), Application Identification (определяет приложение вне зависимости от порта), User Identity (политики на основе пользователя, не только IP), IPS/IDS (встроенная система обнаружения и предотвращения вторжений), SSL/TLS Inspection.

Пример: NGFW видит, что на порту 443 идёт не HTTPS-трафик сайта, а туннель BitTorrent — и блокирует его на основе сигнатуры приложения, а не порта.

Плюсы: максимальная видимость, гибкая политика, единая точка управления. Минусы: высокая стоимость, требует мощного железа, сложная конфигурация.

Лидеры рынка: Palo Alto PA-Series, Fortinet FortiGate, Check Point Quantum, Cisco Firepower.

Web Application Firewall (WAF)

WAF специализируется на защите веб-приложений на уровне HTTP/HTTPS. Анализирует запросы и ответы, защищает от атак класса OWASP Top 10: SQL-инъекции, XSS, CSRF, Path Traversal, и других. Работает в двух режимах: detection (только логирует) и prevention (блокирует).

Пример: банк разворачивает WAF перед своим интернет-банкингом. Попытка SQL-инъекции в параметре запроса немедленно блокируется, инцидент логируется и уходит в SIEM.

Где встречается: Cloudflare WAF, AWS WAF, F5 BIG-IP ASM, ModSecurity (open-source).

Принципы работы: ACL, правила и политика безопасности

ACL (Access Control List)

ACL — это упорядоченный список правил, которые firewall применяет к трафику последовательно сверху вниз. Первое совпавшее правило определяет судьбу пакета — остальные не проверяются. Порядок правил критически важен.

Пример набора правил (синтаксис условный):

# Правило 1: разрешить HTTPS из любого источника на веб-сервер

ALLOW TCP any → 192.168.1.10:443

# Правило 2: разрешить SSH только из сети администраторов

ALLOW TCP 10.0.0.0/24 → 192.168.1.10:22

# Правило 3: разрешить DNS-запросы к внутреннему резолверу

ALLOW UDP any → 192.168.1.5:53

# Правило 4 (implicit deny): блокировать всё остальное

DENY any any → any

Правило 4 называется implicit deny — оно не всегда видно в конфигурации, но всегда подразумевается в конце списка.

Политика Deny by Default

Фундаментальный принцип безопасности: всё, что явно не разрешено — запрещено. Это противоположность permit by default (разрешить всё, что не запрещено). Deny by default требует больше усилий при настройке, но даёт предсказуемый результат: неизвестный трафик никогда не пройдёт по умолчанию.

Inspection трафика

Современные firewall выполняют несколько уровней проверки. Stateful inspection проверяет принадлежность пакета к легитимной сессии. DPI разбирает payload до уровня протокола приложений. SSL Inspection (MITM-расшифровка) позволяет анализировать зашифрованный трафик — firewall терминирует TLS-соединение, расшифровывает, анализирует и повторно шифрует к серверу.

Hardware vs Software Firewall

Hardware firewall — это физическое устройство с собственным процессором, памятью и операционной системой, оптимизированное под задачи инспекции трафика. Стоит от нескольких тысяч до сотен тысяч долларов. Обеспечивает высокую пропускную способность (от 1 Гбит/с до терабит в дата-центрах) и предсказуемую производительность под нагрузкой.

Примеры: Palo Alto PA-5400, Fortinet FortiGate 6000, Cisco Firepower 9300.

Software firewall — это программа, работающая на универсальном сервере или как виртуальная машина. Производительность ограничена железом, на котором запущена. Значительно дешевле, проще масштабировать и развернуть в облаке.

Примеры: pfSense, OPNsense, Windows Defender Firewall, iptables/nftables на Linux, облачные NGFWv от Palo Alto и Fortinet.

В корпоративной инфраструктуре оба типа используются одновременно: hardware NGFW на периметре сети, software firewall на уровне хостов и в облачных средах.

Network Firewall vs Host-Based Firewall

Network firewall защищает сегмент сети целиком — стоит на границе между зонами и контролирует весь трафик, проходящий через него. Один firewall закрывает сотни или тысячи хостов за ним. Управляется централизованно командой безопасности.

Host-based firewall работает на уровне конкретного устройства — ноутбука, сервера, виртуальной машины. Контролирует трафик именно на этом хосте, независимо от того, откуда он пришёл: из интернета, из локальной сети или от другого хоста за тем же network firewall.

Почему важны оба? Network firewall не видит трафик между хостами внутри одного сегмента (lateral movement). Если злоумышленник уже внутри сети, host-based firewall — это последний рубеж, ограничивающий его возможности перемещения. Концепция Zero Trust строится именно на том, что доверие к внутренней сети не должно быть безусловным.

Практическое применение в SOC и корпоративной инфраструктуре

Типичная корпоративная архитектура

Крупная компания строит сеть по принципу зонирования. DMZ (Demilitarized Zone) содержит публично доступные сервисы — веб-сервер, почтовый relay, VPN-концентратор. Internal network — рабочие станции и внутренние сервисы. Restricted zone — критические системы (базы данных, ERP, финансовые системы). Между каждой зоной стоит firewall с политикой deny by default.

Трафик из интернета → NGFW на периметре → DMZ → Internal NGFW → внутренние серверы → Database firewall → базы данных. На каждом переходе — правила, логирование, алертинг.

Роль в SOC

SOC (Security Operations Center) использует firewall как источник данных и инструмент реагирования одновременно. Логи firewall уходят в SIEM (Splunk, IBM QRadar, Microsoft Sentinel) для корреляции событий. Аномальный трафик — неожиданное соединение на нестандартный порт, резкий рост исходящего трафика, соединения с известными C2-серверами — генерирует алерты.

При инциденте аналитик SOC может немедленно заблокировать IP-адрес или домен на firewall — это одно из самых быстрых действий по containment. В зрелых SOC это автоматизировано через SOAR-платформы: SIEM обнаружил угрозу → SOAR отправил команду на firewall → IP заблокирован за секунды без участия человека.

Преимущества и ограничения

Что firewall делает хорошо

Контролирует доступ к сетевым ресурсам на основе гибкой политики. Обеспечивает видимость сетевого трафика через логирование. Ограничивает поверхность атаки, закрывая ненужные порты и сервисы. Сегментирует сеть на зоны с разными уровнями доверия. В связке с IPS блокирует известные эксплойты и сигнатуры атак.

Что firewall не делает

Не защищает от угроз внутри разрешённого трафика — если злоумышленник использует порт 443, packet filtering firewall его не заметит. Не обнаруживает скомпрометированные учётные данные. Не видит зашифрованный трафик без SSL Inspection (а SSL Inspection создаёт собственные риски приватности и производительности). Не защищает от инсайдерских угроз, действующих в рамках разрешённых правил. Не заменяет endpoint protection, DLP, IAM и другие компоненты защиты.

Современные вызовы

Облачные среды

Традиционная модель периметра не работает в облаке. В AWS, Azure или GCP нет физической границы сети — есть виртуальные сегменты, микросервисы и API, взаимодействующие через интернет. Облачные провайдеры предлагают нативные инструменты (AWS Security Groups, Azure NSG), но они значительно проще корпоративных NGFW. Решение — Cloud-Native NGFW (Palo Alto VM-Series, Fortinet FortiGate VM) или SASE (Secure Access Service Edge) — модель, где функции firewall перенесены в облачный сервис.

Zero Trust

Концепция Zero Trust говорит: не доверяй никому и ничему по умолчанию — ни внешним пользователям, ни внутренним хостам, ни сервисам. Это принципиальный сдвиг от периметральной защиты к защите каждого отдельного ресурса. В Zero Trust-архитектуре firewall остаётся, но его роль меняется: вместо защиты периметра — микросегментация и контроль east-west трафика (между хостами внутри сети).

Encrypted Traffic Inspection

Сегодня более 90% интернет-трафика зашифровано TLS. Это означает, что традиционный firewall видит только метаданные соединения — IP и порт — но не payload. Угрозы прячутся внутри HTTPS. SSL/TLS Inspection (иногда называемое SSL Interception) позволяет firewall расшифровывать трафик на лету, но это создаёт новые проблемы: снижение производительности, необходимость доверенного корневого сертификата на всех устройствах, правовые вопросы приватности.

Заключение: firewall как часть системы, а не система сама по себе

Firewall — незаменимый элемент любой сетевой архитектуры. Без него невозможно построить сегментированную, контролируемую инфраструктуру. Но история кибербезопасности полна примеров компаний, которые имели мощный периметральный firewall — и всё равно были взломаны через фишинговое письмо, скомпрометированные учётные данные или уязвимость в веб-приложении.

Firewall не может заменить обучение пользователей, EDR на конечных устройствах, управление уязвимостями, IAM и политику минимальных привилегий. Он работает только в связке со всеми этими элементами.

Правильное понимание firewall а — это понимание его места в системе: необходимый фундамент, но не крыша, не стены и не замок. Безопасность строится в глубину, и firewall — лишь первый из многих слоёв.

Если и вы хотите глубоко изучить сферу кибербезопасности, присоединяйтесь к курсу по Кибербезопасности в JET School!