Брандмауэр что такое


Межсетевой экран — Википедия

Межсетевой экран на границе сетевого периметра.

Межсетево́й экра́н, сетево́й экра́н — программный или программно-аппаратный элемент компьютерной сети, осуществляющий контроль и фильтрацию проходящего через него сетевого трафика в соответствии с заданными правилами[1].

Другие названия[2]:

  • Брандма́уэр (нем. Brandmauer — противопожарная стена) — заимствованный из немецкого языка термин;
  • Файрво́л (англ. Firewall — противопожарная стена) — заимствованный из английского языка термин.

Среди задач, которые решают межсетевые экраны, основной является защита сегментов сети или отдельных хостов от несанкционированного доступа с использованием уязвимых мест в протоколах сетевой модели OSI или в программном обеспечении, установленном на компьютерах сети. Межсетевые экраны пропускают или запрещают трафик, сравнивая его характеристики с заданными шаблонами[3].

Наиболее распространённое место для установки межсетевых экранов — граница периметра локальной сети для защиты внутренних хостов от атак извне. Однако атаки могут начинаться и с внутренних узлов — в этом случае, если атакуемый хост расположен в той же сети, трафик не пересечёт границу сетевого периметра, и межсетевой экран не будет задействован. Поэтому в настоящее время межсетевые экраны размещают не только на границе, но и между различными сегментами сети, что обеспечивает дополнительный уровень безопасности[4].

Первые устройства, выполняющие функцию фильтрации сетевого трафика, появились в конце 1980-х, когда Интернет был новшеством и не использовался в глобальных масштабах. Этими устройствами были маршрутизаторы, инспектирующие трафик на основании данных, содержащихся в заголовках протоколов сетевого уровня. Впоследствии, с развитием сетевых технологий, данные устройства получили возможность выполнять фильтрацию трафика, используя данные протоколов более высокого, транспортного уровня. Маршрутизаторы можно считать первой программно-аппаратной реализацией межсетевого экрана[5].

Программные межсетевые экраны появились существенно позже и были гораздо моложе, чем антивирусные программы. Например, проект Netfilter/iptables (один из первых программных межсетевых экранов, встраиваемых в ядро Linux с версии 2.4) был основан в 1998 году. Такое позднее появление вполне объяснимо, так как долгое время антивирус решал проблему защиты персональных компьютеров от вредоносных программ. Однако в конце 1990-х вирусы стали активно использовать отсутствие межсетевых экранов на компьютерах, что привело к повышению интереса пользователей к данному классу устройств[6].

Фильтрация трафика осуществляется на основе набора предварительно сконфигурированных правил, которые называются ruleset. Удобно представлять межсетевой экран как последовательность фильтров, обрабатывающих информационный поток. Каждый из фильтров предназначен для интерпретации отдельного правила. Последовательность правил в наборе существенно влияет на производительность межсетевого экрана. Например, многие межсетевые экраны последовательно сравнивают трафик с правилами до тех пор, пока не будет найдено соответствие. Для таких межсетевых экранов, правила, которые соответствуют наибольшему количеству трафика, следует располагать как можно выше в списке, увеличивая тем самым производительность[7][8].

Существует два принципа обработки поступающего трафика. Первый принцип гласит: «Что явно не запрещено, то разрешено». В данном случае, если межсетевой экран получил пакет, не попадающий ни под одно правило, то он передаётся далее. Противоположный принцип — «Что явно не разрешено, то запрещено» — гарантирует гораздо большую защищённость, так как он запрещает весь трафик, который явно не разрешён правилами. Однако этот принцип оборачивается дополнительной нагрузкой на администратора[7][8].

В конечном счёте межсетевые экраны выполняют над поступающим трафиком одну из двух операций: пропустить пакет далее (allow) или отбросить пакет (deny). Некоторые межсетевые экраны имеют ещё одну операцию — reject, при которой пакет отбрасывается, но отправителю сообщается о недоступности сервиса, доступ к которому он пытался получить. В противовес этому, при операции deny отправитель не информируется о недоступности сервиса, что является более безопасным[7][8].

Схематическое изображение классификации межсетевых экранов на основе сетевой модели OSI

До сих пор не существует единой и общепризнанной классификации межсетевых экранов[9]. Однако в большинстве случаев поддерживаемый уровень сетевой модели OSI является основной характеристикой при их классификации. Учитывая данную модель, различают следующие типы межсетевых экранов[10][11]:

  1. Управляемые коммутаторы.
  2. Пакетные фильтры.
  3. Шлюзы сеансового уровня.
  4. Посредники прикладного уровня.
  5. Инспекторы состояния.

Управляемые коммутаторы[править | править код]

Управляемые коммутаторы иногда причисляют к классу межсетевых экранов, так как они осуществляют фильтрацию трафика между сетями или узлами сети. Однако они работают на канальном уровне и разделяют трафик в рамках локальной сети, а значит не могут быть использованы для обработки трафика из внешних сетей (например, из Интернета)[11].

Многие производители сетевого оборудования, такие как Cisco, Nortel, 3Com, ZyXEL, предоставляют в своих коммутаторах возможность фильтрации трафика на основе MAC-адресов, содержащихся в заголовках фреймов. Например, в коммутаторах семейства Cisco Catalyst эта возможность реализована при помощи механизма Port Security.[12]. Однако данный метод фильтрации не является эффективным, так как аппаратно установленный в сетевой карте MAC-адрес легко меняется программным путем, поскольку значение, указанное через драйвер, имеет более высокий приоритет, чем зашитое в плату[13]. Поэтому многие современные коммутаторы позволяют использовать другие параметры в качестве признака фильтрации — например, VLAN ID. Технология виртуальных локальных сетей (англ. Virtual Local Area Network) позволяет создавать группы хостов, трафик которых полностью изолирован от других узлов сети[14].

При реализации политики безопасности в рамках корпоративной сети, основу которых составляют управляемые коммутаторы, они могут быть мощным и достаточно дешёвым решением. Взаимодействуя только с протоколами канального уровня, такие межсетевые экраны фильтруют трафик с очень высокой скоростью. Основным недостатком такого решения является невозможность анализа протоколов более высоких уровней[15].

Пакетные фильтры[править | править код]

Пакетные фильтры функционируют на сетевом уровне и контролируют прохождение трафика на основе информации, содержащейся в заголовке пакетов. Многие межсетевые экраны данного типа могут оперировать заголовками протоколов и более высокого, транспортного, уровня (например, TCP или UDP). Пакетные фильтры одними из первых появились на рынке межсетевых экранов и по сей день остаются самым распространённым их типом. Данная технология реализована в подавляющем большинстве маршрутизаторов и даже в некоторых коммутаторах[16].

При анализе заголовка сетевого пакета могут использоваться следующие параметры[10]:

  • IP-адреса источника и получателя;
  • тип транспортного протокола;
  • поля служебных заголовков протоколов сетевого и транспортного уровней;
  • порт источника и получателя.

Достаточно часто приходится фильтровать фрагментированные пакеты, что затрудняет определение некоторых атак. Многие сетевые атаки используют данную уязвимость межсетевых экранов, выдавая пакеты, содержащие запрещённые данные, за фрагменты другого, доверенного пакета. Одним из способов борьбы с данным типом атак является конфигурирование межсетевого экрана таким образом, чтобы блокировать фрагментированные пакеты[17]. Некоторые межсетевые экраны могут дефрагментировать пакеты перед пересылкой во внутреннюю сеть, но это требует дополнительных ресурсов самого межсетевого экрана, особенно памяти. Дефрагментация должна использоваться очень обоснованно, иначе такой межсетевой экран легко может сам стать жертвой DoS-атаки[18].

Пакетные фильтры могут быть реализованы в следующих компонентах сетевой инфраструктуры[18]:

Так как пакетные фильтры обычно проверяют данные только в заголовках сетевого и транспортного уровней, они могут выполнять это достаточно быстро. Поэтому пакетные фильтры, встроенные в пограничные маршрутизаторы, идеальны для размещения на границе с сетью с низкой степенью доверия. Однако в пакетных фильтрах отсутствует возможность анализа протоколов более высоких уровней сетевой модели OSI. Кроме того, пакетные фильтры обычно уязвимы для атак, которые используют подделку сетевого адреса. Такие атаки обычно выполняются для обхода управления доступом, осуществляемого межсетевым экраном[19][20].

Шлюзы сеансового уровня[править | править код]

Межсетевой экран сеансового уровня исключает прямое взаимодействие внешних хостов с узлом, расположенным в локальной сети, выступая в качестве посредника (англ. proxy), который реагирует на все входящие пакеты и проверяет их допустимость на основании текущей фазы соединения. Шлюз сеансового уровня гарантирует, что ни один сетевой пакет не будет пропущен, если он не принадлежит ранее установленному соединению. Как только приходит запрос на установление соединения, в специальную таблицу помещается соответствующая информация (адреса отправителя и получателя, используемые протоколы сетевого и транспортного уровня, состояние соединения и т. д.). В случае, если соединение установлено, пакеты, передаваемые в рамках данной сессии, будут просто копироваться в локальную сеть без дополнительной фильтрации. Когда сеанс связи завершается, сведения о нём удаляются из данной таблицы. Поэтому все последующие пакеты, «притворяющиеся» пакетами уже завершённого соединения, отбрасываются[21].

Так как межсетевой экран данного типа исключает прямое взаимодействие между двумя узлами, шлюз сеансового уровня является единственным связующим элементом между внешней сетью и внутренними ресурсами. Это создаёт видимость того, что на все запросы из внешней сети отвечает шлюз, и делает практически невозможным определение топологии защищаемой сети. Кроме того, так как контакт между узлами устанавливается только при условии его допустимости, шлюз сеансового уровня предотвращает возможность реализации DoS-атаки, присущей пакетным фильтрам[22].

Несмотря на эффективность этой технологии, она обладает серьёзным недостатком: как и у всех вышеперечисленных классов межсетевых экранов, у шлюзов сеансового уровня отсутствует возможность проверки содержания поля данных, что позволяет злоумышленнику передавать «троянских коней» в защищаемую сеть[23].

Посредники прикладного уровня[править | править код]

Межсетевые экраны прикладного уровня, к которым, в частности, относится файрвол веб-приложений, как и шлюзы сеансового уровня, исключают прямое взаимодействие двух узлов. Однако, функционируя на прикладном уровне, они способны «понимать» контекст передаваемого трафика. Межсетевые экраны, реализующие эту технологию, содержат несколько приложений-посредников (англ. application proxy), каждое из которых обслуживает свой прикладной протокол. Такой межсетевой экран способен выявлять в передаваемых сообщениях и блокировать несуществующие или нежелательные последовательности команд, что зачастую означает DoS-атаку, либо запрещать использование некоторых команд (например, FTP PUT, которая даёт возможность пользователю записывать информацию на FTP сервер).

Посредник прикладного уровня может определять тип передаваемой информации. Например, это позволяет заблокировать почтовое сообщение, содержащее исполняемый файл. Другой возможностью межсетевого экрана данного типа является проверка аргументов входных данных. Например, аргумент имени пользователя длиной в 100 символов либо содержащий бинарные данные является, по крайней мере, подозрительным.

Посредники прикладного уровня способны выполнять аутентификацию пользователя, а также проверять, что SSL-сертификаты подписаны конкретным центром. Межсетевые экраны прикладного уровня доступны для многих протоколов, включая HTTP, FTP, почтовые (SMTP, POP, IMAP), Telnet и другие[24][25].

Недостатками данного типа межсетевых экранов являются большие затраты времени и ресурсов на анализ каждого пакета. По этой причине они обычно не подходят для приложений реального времени. Другим недостатком является невозможность автоматического подключения поддержки новых сетевых приложений и протоколов, так как для каждого из них необходим свой агент[26].

Инспекторы состояния[править | править код]

Каждый из вышеперечисленных типов межсетевых экранов используется для защиты корпоративных сетей и обладает рядом преимуществ. Однако, куда эффективней было бы собрать все эти преимущества в одном устройстве и получить межсетевой экран, осуществляющий фильтрацию трафика с сетевого по прикладной уровень. Данная идея была реализована в инспекторах состояний, совмещающих в себе высокую производительность и защищённость. Данный класс межсетевых экранов позволяет контролировать[27]:

  • каждый передаваемый пакет — на основе таблицы правил;
  • каждую сессию — на основе таблицы состояний;
  • каждое приложение — на основе разработанных посредников.

Осуществляя фильтрацию трафика по принципу шлюза сеансового уровня, данный класс межсетевых экранов не вмешивается в процесс установления соединения между узлами. Поэтому производительность инспектора состояний заметно выше, чем у посредника прикладного уровня и шлюза сеансового уровня, и сравнима с производительностью пакетных фильтров. Ещё одно достоинство инспекторов состояния — прозрачность для пользователя: для клиентского программного обеспечения не потребуется дополнительная настройка. Данные межсетевые экраны имеют большие возможности расширения. При появлении новой службы или нового протокола прикладного уровня для его поддержки достаточно добавить несколько шаблонов. Однако инспекторам состояний по сравнению с посредниками прикладного уровня свойственна более низкая защищённость[28].

Термин инспектор состояния (англ. stateful inspection), внедрённый компанией Check Point Software, полюбился производителям сетевого оборудования настолько, что сейчас практически каждый межсетевой экран причисляют к этой технологии, даже если он и не реализует её полностью.

Существует два варианта исполнения межсетевых экранов — программный и программно-аппаратный. В свою очередь программно-аппаратный вариант имеет две разновидности — в виде отдельного модуля в коммутаторе или маршрутизаторе и в виде специализированного устройства.

В настоящее время чаще используется программное решение, которое на первый взгляд выглядит более привлекательным. Это вызвано тем, что для его применения достаточно, казалось бы, всего лишь приобрести программное обеспечение межсетевого экрана и установить на любой имеющийся в организации компьютер. Однако, как показывает практика, в организации далеко не всегда находится свободный компьютер, да ещё и удовлетворяющий достаточно высоким требованиям по системным ресурсам. После того, как компьютер всё-таки найден (чаще всего — куплен), следует процесс установки и настройки операционной системы, а также, непосредственно, программного обеспечения межсетевого экрана. Нетрудно заметить, что использование обычного персонального компьютера далеко не так просто, как может показаться. Именно поэтому всё большее распространение стали получать специализированные программно-аппаратные комплексы, называемые security appliance, на основе, как правило, FreeBSD или Linux, «урезанные» для выполнения только необходимых функций. Достоинствами данных решений являются[29]:

  • Простота внедрения: данные устройства имеют предустановленную и настроенную операционную систему и требуют минимум настроек после внедрения в сеть.
  • Простота управления: данными устройствами можно управлять откуда угодно по стандартным протоколам, таким как SNMP или Telnet, либо посредством защищённых протоколов, таких как SSH или SSL.
  • Производительность: данные устройства работают более эффективно, так как из их операционной системы исключены все неиспользуемые сервисы.
  • Отказоустойчивость и высокая доступность: данные устройства созданы выполнять конкретные задачи с высокой доступностью.

Ограниченность анализа межсетевого экрана[править | править код]

Межсетевой экран позволяет осуществлять фильтрацию только того трафика, который он способен «понимать». В противном случае, он теряет свою эффективность, так как не способен осознанно принять решение о том, что делать с нераспознанным трафиком. Существуют протоколы, такие как TLS, SSH, IPsec и SRTP, использующие криптографию для того, чтобы скрыть содержимое, из-за чего их трафик не может быть проинтерпретирован. Также некоторые протоколы, такие как OpenPGP и S/MIME, шифруют данные прикладного уровня, из-за чего фильтровать трафик на основании информации, содержащейся на данном сетевом уровне, становится невозможно. Ещё одним примером ограниченности анализа межсетевых экранов является туннелированный трафик, так как его фильтрация является невозможной, если межсетевой экран «не понимает» используемый механизм туннелированния. Во всех этих случаях правила, сконфигурированные на межсетевом экране, должны явно определять, что делать с трафиком, который они не могут интерпретировать.[30]

  1. ↑ Лебедь, 2002, с. 22.
  2. ↑ Шаньгин, 2011, с. 193.
  3. ↑ Лебедь, 2002, с. 22—25.
  4. ↑ Лапонина, 2014, с. 43.
  5. ↑ Forrest, p. 2.
  6. ↑ Фаронов, 2016, с. 62.
  7. 1 2 3 Лапонина, 2014, с. 131.
  8. 1 2 3 Шаньгин, 2011, с. 195.
  9. ↑ Шаньгин, 2011, с. 194.
  10. 1 2 Фокс, 2003, с. 30.
  11. 1 2 Лебедь, 2002, с. 48.
  12. ↑ Cisco.
  13. ↑ Cardenas, 2003.
  14. ↑ Лебедь, 2002, с. 50.
  15. ↑ Лебедь, 2002, с. 52.
  16. ↑ Лапонина, 2014, с. 52.
  17. ↑ Лапонина, 2014, с. 51—56.
  18. 1 2 Лапонина, 2014, с. 53.
  19. ↑ Фокс, 2003, с. 30—31.
  20. ↑ Лебедь, 2002, с. 54.
  21. ↑ Фокс, 2003, с. 31.
  22. ↑ Лебедь, 2002, с. 58.
  23. ↑ Лапонина, 2014, с. 63—64.
  24. ↑ Лебедь, 2002, с. 55—56.
  25. ↑ Лапонина, 2014, с. 59.
  26. ↑ Лебедь, 2002, с. 56.
  27. ↑ Лебедь, 2002, с. 58—61.
  28. ↑ Фокс, 2003, с. 32.
  29. ↑ Шаньгин, 2011, с. 207.
  30. ↑ Лапонина, 2014, с. 73.

Книги[править | править код]

Статьи[править | править код]

ru.wikipedia.org

Что такое Брандмауэр Azure? | Microsoft Docs

  • Время чтения: 8 мин

В этой статье

Брандмауэр Azure — это управляемая облачная служба сетевой безопасности, которая защищает ресурсы виртуальной сети Azure.Azure Firewall is a managed, cloud-based network security service that protects your Azure Virtual Network resources. Это высокодоступная служба с полным отслеживанием состояния и неограниченными возможностями облачного масштабирования.It's a fully stateful firewall as a service with built-in high availability and unrestricted cloud scalability.

Вы можете централизованно создавать, применять и регистрировать политики приложений и сетевых подключений в подписках и виртуальных сетях.You can centrally create, enforce, and log application and network connectivity policies across subscriptions and virtual networks. Брандмауэр Azure использует статический общедоступный IP-адрес для виртуальных сетевых ресурсов, позволяя внешним брандмауэрам идентифицировать трафик, исходящий из виртуальной сети.Azure Firewall uses a static public IP address for your virtual network resources allowing outside firewalls to identify traffic originating from your virtual network. Служба полностью интегрирована с Azure Monitor для ведения журналов и аналитики.The service is fully integrated with Azure Monitor for logging and analytics.

Брандмауэр Azure обеспечивает следующие функции.Azure Firewall offers the following features:

высокую доступность;Built-in high availability

Встроены средства обеспечения высокого уровня доступности, поэтому не требуются дополнительные подсистемы балансировки нагрузки и ничего не нужно настраивать.High availability is built in, so no additional load balancers are required and there's nothing you need to configure.

зоны доступности;Availability Zones

Брандмауэр Azure можно настроить во время развертывания. Это позволит охватить несколько зон доступности, что повысит уровень доступности.Azure Firewall can be configured during deployment to span multiple Availability Zones for increased availability. С использованием зон доступности ваша доступность вырастет до 99,99 %With Availability Zones, your availability increases to 99.99% uptime. Подробнее этот вопрос рассматривается в Соглашении об уровне обслуживания для Брандмауэра Azure.For more information, see the Azure Firewall Service Level Agreement (SLA). Если выбраны две или более зон доступности, предоставляется Соглашение об уровне обслуживания на уровне 99,99 %.The 99.99% uptime SLA is offered when two or more Availability Zones are selected.

Также Брандмауэр Azure можно связать с определенной ближайшей зоной, используя для этого стандарт обслуживания на уровне 99,95 %.You can also associate Azure Firewall to a specific zone just for proximity reasons, using the service standard 99.95% SLA.

За брандмауэр, развернутый в зоне доступности, не взимается дополнительная плата.There's no additional cost for a firewall deployed in an Availability Zone. Тем не менее, существует дополнительная плата за входящую и исходящую передачу данных, связанную с зонами доступности.However, there are additional costs for inbound and outbound data transfers associated with Availability Zones. Дополнительные сведения см. на странице Сведения о стоимости пропускной способности.For more information, see Bandwidth pricing details.

Зоны доступности Брандмауэра Azure доступны в регионах, в которых поддерживаются зоны доступности.Azure Firewall Availability Zones are available in regions that support Availability Zones. Дополнительные сведения см. в статье Что такое Зоны доступности в Azure?.For more information, see What are Availability Zones in Azure?

Примечание

Зоны доступности можно настроить только во время развертывания.Availability Zones can only be configured during deployment. Существующий брандмауэр невозможно настроить на включения зон доступности.You can't configure an existing firewall to include Availability Zones.

Дополнительные сведения о зонах доступности см. в статье Что такое Зоны доступности в Azure?.For more information about Availability Zones, see What are Availability Zones in Azure?

неограниченную облачную масштабируемость;Unrestricted cloud scalability

Брандмауэр Azure может увеличивать масштаб настолько, насколько это необходимо для изменения потоков сетевого трафика, поэтому нет необходимости выделять бюджет для пикового трафика.Azure Firewall can scale up as much as you need to accommodate changing network traffic flows, so you don't need to budget for your peak traffic.

Правила фильтрации FQDN для приложенийApplication FQDN filtering rules

Можно ограничить исходящий трафик HTTP или HTTPS либо трафик Azure SQL (предварительная версия) указанным списком полных доменных имен (FQDN), включая подстановочные знаки.You can limit outbound HTTP/S traffic or Azure SQL traffic (preview) to a specified list of fully qualified domain names (FQDN) including wild cards. Эта функция не требует завершения SSL-запросов.This feature doesn't require SSL termination.

правила фильтрации трафика;Network traffic filtering rules

Можно централизованно создавать разрешение или запрет правил сетевой фильтрации по исходному и целевому IP-адресу, порту и протоколу.You can centrally create allow or deny network filtering rules by source and destination IP address, port, and protocol. Брандмауэр Azure полностью отслеживает состояние, поэтому он может различать правомерные пакеты для разных типов подключений.Azure Firewall is fully stateful, so it can distinguish legitimate packets for different types of connections. Правила применяются и регистрируются в нескольких подписках и виртуальных сетях.Rules are enforced and logged across multiple subscriptions and virtual networks.

Теги FQDN помогают разрешать прохождение трафика известных служб Azure через брандмауэр.FQDN tags make it easy for you to allow well known Azure service network traffic through your firewall. К примеру, вам нужно, чтобы брандмауэр пропускал трафик Центра обновления Windows.For example, say you want to allow Windows Update network traffic through your firewall. Вы создаете правило приложения и добавляете тег Центра обновления Windows.You create an application rule and include the Windows Update tag. Теперь трафик из Центра обновления Windows сможет проходить через брандмауэр.Now network traffic from Windows Update can flow through your firewall.

Тег службы представляет группу префиксов IP-адресов, чтобы упростить создание правила безопасности.A service tag represents a group of IP address prefixes to help minimize complexity for security rule creation. Невозможно создать собственный тег службы или задать IP-адреса, которые будут входить в тег.You can't create your own service tag, nor specify which IP addresses are included within a tag. Корпорация Майкрософт управляет префиксами адресов, входящих в тег службы, и автоматически обновляет этот тег при изменении адресов.Microsoft manages the address prefixes encompassed by the service tag, and automatically updates the service tag as addresses change.

Анализ угрозThreat intelligence

Фильтрация на основе Microsoft Threat Intelligence может быть включена в брандмауэре с целю создания оповещений и запрета трафика, поступающего с известных вредоносных IP-адресов и доменов, а также передающегося на них.Threat intelligence-based filtering can be enabled for your firewall to alert and deny traffic from/to known malicious IP addresses and domains. IP-адреса и домены также передаются из канала Microsoft Threat Intelligence.The IP addresses and domains are sourced from the Microsoft Threat Intelligence feed.

поддержку исходящих данных SNAT;Outbound SNAT support

Все исходящие IP-адреса виртуального трафика преобразовываются к общедоступному IP-адресу брандмауэра Azure (преобразование исходных сетевых адресов (NAT)).All outbound virtual network traffic IP addresses are translated to the Azure Firewall public IP (Source Network Address Translation). Можно определить и разрешить трафик, исходящий из виртуальной сети, к удаленным интернет-адресатам.You can identify and allow traffic originating from your virtual network to remote Internet destinations. Брандмауэр Azure не использует SNAT, если IP-адрес назначения является IP-адресом частного диапазона согласно IANA RFC 1918.Azure Firewall doesn't SNAT when the destination IP is a private IP range per IANA RFC 1918.

Если для частных сетей в организации используются общедоступные IP-адреса, брандмауэр Azure будет использовать SNAT трафика для одного из своих частных IP-адресов AzureFirewallSubnet.If your organization uses a public IP address range for private networks, Azure Firewall will SNAT the traffic to one of the firewall private IP addresses in AzureFirewallSubnet. В настройках Брандмауэра Azure можно указать, что не нужно использовать SNAT для диапазона общедоступный IP-адресов.You can configure Azure Firewall to not SNAT your public IP address range. Дополнительные сведения см. в статье об использовании SNAT для диапазонов частных IP-адресов в Брандмауэре Azure.For more information, see Azure Firewall SNAT private IP address ranges.

Поддержка DNAT для входящего трафикаInbound DNAT support

Входящий Интернет-трафик, поступающий на общедоступный IP-адрес брандмауэра, преобразуется (этот процесс называется преобразованием сетевых адресов назначения — DNAT) и фильтруется по частным IP-адресам в виртуальных сетях.Inbound Internet network traffic to your firewall public IP address is translated (Destination Network Address Translation) and filtered to the private IP addresses on your virtual networks.

Несколько общедоступных IP-адресовMultiple public IP addresses

С брандмауэр можно связать несколько общедоступных IP-адресов (до 100).You can associate multiple public IP addresses (up to 100) with your firewall.

Это позволяет выполнить следующие сценарии:This enables the following scenarios:

  • DNAT. Позволяет преобразовать несколько стандартных экземпляров порта для внутренних серверов.DNAT - You can translate multiple standard port instances to your backend servers. Например, если существует два общедоступных IP-адреса, то для обоих IP-адреса можно преобразовать TCP-порт 3389 (RDP).For example, if you have two public IP addresses, you can translate TCP port 3389 (RDP) for both IP addresses.
  • SNAT. Дополнительные порты доступны для исходящих SNAT подключений, что снижает вероятность нехватки SNAT портов.SNAT - Additional ports are available for outbound SNAT connections, reducing the potential for SNAT port exhaustion. На данный момент Брандмауэр Azure случайно выбирает общедоступные IP-адреса источника, которые можно использовать для подключения.At this time, Azure Firewall randomly selects the source public IP address to use for a connection. Если в сети установлена любая фильтрация, необходимо разрешить все публичные IP-адреса, которые связанные с брандмауэром.If you have any downstream filtering on your network, you need to allow all public IP addresses associated with your firewall.

ведение журналов Azure Monitor;Azure Monitor logging

Все события интегрируются с Azure Monitor, позволяя архивировать журналы в учетную запись хранения, передавать события в концентратор событий или отправлять их в журналы Azure Monitor.All events are integrated with Azure Monitor, allowing you to archive logs to a storage account, stream events to your Event Hub, or send them to Azure Monitor logs.

СертификатыCertifications

Брандмауэр Azure соответствует требованиям стандартов Payment Card Industry Data Security Standard (PCI DSS), Международной организация по стандартизации (ISO) и ICSA Labs, а также требованиям к отчетам System and Organization Controls (SOC).Azure Firewall is Payment Card Industry (PCI), Service Organization Controls (SOC), International Organization for Standardization (ISO), and ICSA Labs compliant. Дополнительные сведения см. в статье о сертификатах соответствия Брандмауэра Azure.For more information, see Azure Firewall compliance certifications.

Известные проблемыKnown issues

В брандмауэре Azure существуют следующие известные проблемы.Azure Firewall has the following known issues:

ПроблемаIssue ОписаниеDescription Меры по снижению рискаMitigation
Правила сетевой фильтрации для протоколов, которые отличаются от TCP или UDP (например, ICMP), не работают для трафика, связанного с ИнтернетомNetwork filtering rules for non-TCP/UDP protocols (for example ICMP) don't work for Internet bound traffic Правила сетевой фильтрации для протоколов, которые отличаются от TCP или UDP, не работают со SNAT для общедоступных IP-адресов.Network filtering rules for non-TCP/UDP protocols don't work with SNAT to your public IP address. Протоколы, которые отличаются от TCP или UDP, поддерживаются между периферийными зонами подсетей и виртуальной сетью.Non-TCP/UDP protocols are supported between spoke subnets and VNets. Брандмауэр Azure использует Load Balancer (цен. категория "Стандартный"), который сейчас не поддерживает SNAT для IP-протоколов.Azure Firewall uses the Standard Load Balancer, which doesn't support SNAT for IP protocols today. Изучаются варианты поддержки этого сценария в будущем выпуске.We're exploring options to support this scenario in a future release.
В PowerShell и CLI отсутствует поддержка протокола ICMPMissing PowerShell and CLI support for ICMP Azure PowerShell и CLI не поддерживают ICMP как допустимый протокол в правилах сети.Azure PowerShell and CLI don't support ICMP as a valid protocol in network rules. Протокол ICMP по-прежнему можно использовать с помощью портала и REST API.It's still possible to use ICMP as a protocol via the portal and the REST API. Мы добавим поддержку ICMP в PowerShell и CLI в ближайшее время.We're working to add ICMP in PowerShell and CLI soon.
Для тегов FQDN требуется указать протокол портаFQDN tags require a protocol: port to be set Для правила приложения с тегами FQDN требуется указать определение протокола порта.Application rules with FQDN tags require port: protocol definition. В качестве значения протокола порта можно использовать HTTPS.You can use https as the port: protocol value. Мы планируем сделать это поле необязательным при использовании тегов FQDN.We're working to make this field optional when FQDN tags are used.
Не поддерживается перемещение брандмауэра в другую группу ресурсов или подпискуMoving a firewall to a different resource group or subscription isn't supported Не поддерживается перемещение брандмауэра в другую группу ресурсов или подписку.Moving a firewall to a different resource group or subscription isn't supported. Мы планируем реализовать эту функцию.Supporting this functionality is on our road map. Чтобы переместить брандмауэр в другую группу ресурсов или подписку, нужно удалить текущий экземпляр и повторно создать его в новой группе ресурсов или подписке.To move a firewall to a different resource group or subscription, you must delete the current instance and recreate it in the new resource group or subscription.
Оповещения Threat Intelligence могут быть замаскированы.Threat intelligence alerts may get masked Правила сети, настроенные на режим только предупреждения и назначенные на порт 80/443 для исходящей фильтрации, маскируют предупреждения аналитики угроз.Network rules with destination 80/443 for outbound filtering masks threat intelligence alerts when configured to alert only mode. С помощью правил приложения создайте фильтрацию исходящего трафика для порта 80/443.Create outbound filtering for 80/443 using application rules. Или измените режим аналитики угроз на Alert and Deny (Оповещение и отказ).Or, change the threat intelligence mode to Alert and Deny.
Брандмауэр Azure использует Azure DNS только для разрешения имен.Azure Firewall uses Azure DNS only for name resolution Брандмауэр Azure разрешает полные доменные имена только с помощью Azure DNS.Azure Firewall resolves FQDNs using Azure DNS only. Пользовательский DNS-сервер не поддерживается.A custom DNS server isn't supported. Это не влияет на разрешение DNS в других подсетях.There's no impact on DNS resolution on other subnets. Мы планируем ослабить это ограничение.We're working to relax this limitation.
Функция SNAT/DNAT Брандмауэра Azure не поддерживает целевые частные IP-адресаAzure Firewall SNAT/DNAT doesn't work for private IP destinations Поддержка SNAT/DNAT в Брандмауэре Azure ограничена входящим и исходящим трафиком Интернета.Azure Firewall SNAT/DNAT support is limited to Internet egress/ingress. Сейчас функция SNAT/DNAT не поддерживает конечные целевые IP-адреса.SNAT/DNAT doesn't currently work for private IP destinations. Например, при передаче из луча в луч в сети типа "звезда".For example, spoke to spoke. Это текущее ограничение.This is a current limitation.
Не удается удалить первую конфигурацию общедоступных IP-адресовCan't remove first public IP configuration Каждый общедоступный IP-адрес Брандмауэра Azure присваивается конфигурации IP-адресов.Each Azure Firewall public IP address is assigned to an IP configuration. Первая конфигурация IP-адресов присваивается во время развертывания брандмауэра и обычно также содержит ссылку на подсеть брандмауэра (за исключением случаев, когда она настраивается явно иначе через развертывание шаблона).The first IP configuration is assigned during the firewall deployment, and typically also contains a reference to the firewall subnet (unless configured explicitly differently via a template deployment). Эту конфигурацию IP-адресов удалить нельзя, так как это приведет к отмене распределения брандмауэра.You can't delete this IP configuration because it would de-allocate the firewall. Но вы можете изменить или удалить общедоступный IP-адрес, связанный с этой конфигурацией IP-адресов, если в брандмауэре есть еще хотя бы один общедоступный IP-адрес, который можно использовать.You can still change or remove the public IP address associated with this IP configuration if the firewall has at least one other public IP address available to use. Это сделано намеренно.This is by design.
Зоны доступности можно настроить только во время развертывания.Availability zones can only be configured during deployment. Зоны доступности можно настроить только во время развертывания.Availability zones can only be configured during deployment. После развертывания брандмауэра невозможно настроить зоны доступности.You can't configure Availability Zones after a firewall has been deployed. Это сделано намеренно.This is by design.
SNAT на входящих соединенияхSNAT on inbound connections В дополнении к DNAT подключения через общедоступный IP-адрес брандмауэра (входящий трафик) используют механизм SNAT для одного из частных IP-адресов брандмауэра.In addition to DNAT, connections via the firewall public IP address (inbound) are SNATed to one of the firewall private IPs. На сегодняшний день это требование (также для активно-активных NVA) обеспечивает симметричность маршрутизации.This requirement today (also for Active/Active NVAs) to ensure symmetric routing. Чтобы сохранить исходный источник для HTTP/S, следует задуматься об использовании заголовков XFF.To preserve the original source for HTTP/S, consider using XFF headers. Например, перед брандмауэром следует использовать такую службу, как Azure Front Door или Шлюз приложений Azure.For example, use a service such as Azure Front Door or Azure Application Gateway in front of the firewall. Также WAF можно добавить в качестве части службы Azure Front Door и привязать ее к брандмауэру.You can also add WAF as part of Azure Front Door and chain to the firewall.
Поддержка фильтрации SQL FQDN только в режиме прокси-сервера (порт 1433)SQL FQDN filtering support only in proxy mode (port 1433) Для Базы данных SQL Azure, Хранилища данных SQL Azure и Управляемого экземпляра Базы данных SQL Azure:For Azure SQL Database, Azure SQL Data Warehouse, and Azure SQL Managed Instance:

в предварительной версии фильтрация SQL FQDN поддерживается только в режиме прокси-сервера (порт 1433).During the preview, SQL FQDN filtering is supported in proxy-mode only (port 1433).

Для Azure SQL IaaS:For Azure SQL IaaS:

если вы используете нестандартные порты, их можно указать в правилах приложения.If you're using non-standard ports, you can specify those ports in the application rules.

Для SQL в режиме перенаправления, который по умолчанию используется для подключения из Azure, можно фильтровать доступ с помощью тега службы SQL в правилах сети Брандмауэра Azure.For SQL in redirect mode, which is the default if connecting from within Azure, you can instead filter access using the SQL service tag as part of Azure Firewall network rules.
Исходящий трафик через TCP-порт 25 запрещен.Outbound traffic on TCP port 25 isn't allowed Заблокированы исходящие SMTP-подключения, в которых используется TCP-порт 25Outbound SMTP connections that use TCP port 25 are blocked. (порт 25 в основном используется для доставки электронной почты, не прошедшей аутентификацию).Port 25 is primarily used for unauthenticated email delivery. Это поведение платформы по умолчанию для виртуальных машин.This is the default platform behavior for virtual machines. Подробные сведения см. в статье Troubleshoot outbound SMTP connectivity issues in Azure (Устранение проблем с исходящими SMTP-подключениями в Azure).For more information, see more Troubleshoot outbound SMTP connectivity issues in Azure. Но, в отличие от виртуальных машин, в настоящее время эту функцию невозможно включить на Брандмауэре Azure.However, unlike virtual machines, it isn't currently possible to enable this functionality on Azure Firewall. Следуйте рекомендациям по отправке электронной почты, которые приведены в статье об устранении проблем с SMTP.Follow the recommended method to send email as documented in the SMTP troubleshooting article. Вы также можете исключить виртуальную машину, для которой требуется исходящий SMTP-доступ, из маршрута по умолчанию к брандмауэру, а затем настроить исходящий доступ непосредственно к Интернету.Or, exclude the virtual machine that needs outbound SMTP access from your default route to the firewall, and instead configure outbound access directly to the Internet.
Активное FTP-подключение не поддерживаетсяActive FTP isn't supported Активный FTP отключен в Брандмауэре Azure для защиты от атак через FTP с помощью команды FTP PORT.Active FTP is disabled on Azure Firewall to protect against FTP bounce attacks using the FTP PORT command. Вместо этого можно использовать пассивный FTP.You can use Passive FTP instead. Вам по прежнему необходимо открыть TCP-порты 20 и 21 на брандмауэре.You must still explicitly open TCP ports 20 and 21 on the firewall.
Метрика использования порта SNAT показывает 0 %SNAT port utilization metric shows 0% Метрика использования порта SNAT службы "Брандмауэр Azure" может показывать 0 %, даже если порты SNAT используются.The Azure Firewall SNAT port utilization metric may show 0% usage even when SNAT ports are used. В этом случае использование метрики в качестве компонента метрики работоспособности брандмауэра приводит к неправильному результату.In this case, using the metric as part of the firewall health metric provides an incorrect result. Эта проблема исправлена, а развертывание в рабочую среду предназначено на май 2020 г.This issue has been fixed and rollout to production is targeted for May 2020. В некоторых случаях повторное развертывание брандмауэра решает проблему, но она не последовательна.In some cases, firewall redeployment resolves the issue, but it's not consistent. В качестве промежуточного обходного пути используйте только состояние работоспособности брандмауэра, чтобы найти случаи, когда состояние=снижение работоспособности, а не состояние=неработоспособное.As an intermediate workaround, only use the firewall health state to look for status=degraded, not for status=unhealthy. Нехватка портов будет отображаться статусом снижение работоспособности.Port exhaustion will show as degraded. Состояние неисправные зарезервировано для использования в будущем, когда количество метрик, влияющих на работоспособность брандмауэра, увеличится.Not healthy is reserved for future use when the are more metrics to impact the firewall health.

Дальнейшие действияNext steps

docs.microsoft.com

Что такое брандмауэр Windows и зачем он нужен?

  1. Что такое брандмауэр?
  2. Как работает брандмауэр?
  3. Как выглядит и на что способен брандмауэр Windows?

Начиная со второго пакета обновления Windows XP (SP2), в операционные системы стал интегрироваться неизвестный ранее обычным пользователям компонент — брандмауэр. Прошло уже столько времени, а многие и до сих пор не знают, что и для чего он предназначен.

Что такое брандмауэр?

Под термином "Брандмауэром" понимается "Файервол" (Firewall). Брандмауэр — это просто "русскоязычное" (на самом деле, немецкое) название файервола. Последний, в свою очередь, представляет собой программный компонент, основная задача которого — отслеживание входящего и исходящего сетевого трафика с последующим выполнением над ним тех или иных операций (чаще всего блокировка).

Файервол или брандмауэр — межсетевой экран, через который проходит весь сетевой трафик, поступающий на компьютер пользователя либо исходящий от него в локальную или глобальную (интернет) сеть.

Как работает брандмауэр?

Межсетевой экран может иметь множество функций по контролю и фильтрации сетевого трафика. Простейшей функцией можно назвать блокировку доступа к тому или иному сайту. Проще понять это на примере:

  • Допустим, в настройках файервола пользователь добавил сайт "google.com" в список блокируемых.
  • При попытке входа на сайт браузер будет пытаться получить к нему доступ, отправляя соответствующие сетевые запросы.
  • Эти запросы сначала пройдут через брандмауэр. Тот, в свою очередь, зафиксирует попытку доступа к сайту, проверит, имеется ли он в списке блокированных.
  • Если да, файервол остановит выполнение этого запроса, т.е. попросту уничтожит его программно или выполнит какие-либо другие операции (неважно).
  • Т.к. запрос от браузера не смог пройти дальше файервола, а, значит, не достиг своей цели, то и ответа никакого не последует. Браузер просто выдаст ошибку, что доступ к сайту ему получить не удалось.

Однако одной лишь блокировкой доступа к сайту через браузер возможности брандмауэра не ограничиваются. Если введенный в черный список сетевой адрес распространяется вообще на всю операционную систему в целом, то доступ к нему не сможет получить ни одна программа.

И это — лишь простейший пример функционала брандмауэра. Современные возможности файерволов позволяет не просто блокировать доступ к сайту, но и фильтровать сетевой трафик в соответствии с множеством различных условий.

Как выглядит и на что способен брандмауэр Windows?

Рассмотрим общую функциональность брандмауэра на примере Windows 10. Чтобы открыть соответствующий системный компонент:

  • Откройте "Панель управления" и перейдите в раздел "Система и безопасность".

  • В центральной части окна кликните по элементу "Брандмауэр Windows".

  • Брандмауэр будет запущен.

Обратите внимание на блоки "Частные сети" и "Гостевые или общедоступные сети". Когда на компьютере создается очередное подключение к сети (например, к Wi-Fi), оно автоматически (или пользователем) помещается в одну из этих групп. С этих пор на сетевое подключение распространяются правила той группы, к которой она отнесена. И все программы, использующие данное сетевое подключение, также подчиняются правилам этой группы.

Теперь откройте раздел "Дополнительные параметры" в левой части окна:

Именно в этом разделе можно посмотреть и при необходимости изменить настройки брандмауэра — создать общие правила для сетевого подключения в целом или индивидуальное правило для конкретной программы.

Давайте, вместе создадим новое правило для браузера, которое не позволит ему открывать какой-либо определенный сайт. Так будет проще всего понять как предназначение, так и функционал брандмауэра:

  • Откройте вкладку "Правила для входящих подключений", а затем в правой части окна кликните по элементу "Создать правило…":

  • Во вновь открывшемся окне выберите пункт "Настраиваемые" и нажмите кнопку "Далее".

  • Установите галочку на пункте "Путь программы", затем кликните кнопку "Обзор" и укажите путь к браузеру. В нашем случае — это Mozilla Firefox, который находится по адресу "C:\program files (x86)\mozilla firefox\firefox.exe".

  • Далее откройте раздел "Область" в левой части окна. В блоке "Укажите удаленные IP-адреса…" переведите переключатель на "Указанные IP-адреса", затем кликните кнопку "Добавить".

  • В новом небольшом окошке в поле "IP-адрес или подсеть" потребуется ввести IP-адрес блокируемого сайта. Нужен именно IP, а не доменное имя типа "www.google.com". О том, как определить IP-адрес сайта, здесь рассказывать не будем.
  • Просто для проверки работоспособности брандмауэра введите сюда следующий IP: 31.13.72.36. Это IP-адрес социальной сети Facebook (обратите внимание, что доступ к сайту будет блокирован, но потом вы можете удалить созданное правило).

  • Нажмите "ОК" в окне ввода адреса. Откройте вкладку "Действия" и убедитесь, что галочка стоит на пункте "Блокировать подключение".

  • Перейдите во вкладку "Имя" и впишите название для созданного правила в соответствующее поле, например — "Блокировка Google". Нажмите кнопку "Готово".

  • Далее перейдите во вкладку "Правила для исходящего подключения" и выполните все шаги данной инструкции, начиная с создания правила.

Теперь попробуйте войти из браузера, для которого было создано правило, в социальную сеть Facebook. На экране вы увидите ошибку подключения. После проверки работоспособности брандмауэра созданные два правила для входящих и исходящих подключений можно удалить.

Блокировка сайта — базовая функция брандмауэра Windows. Если углубиться в функционал файервола, можно будет контролировать сеть собственного компьютера так, как это делают профессиональные сетевые администраторы.

Рекомендуем прочитать подробную статью-инструкцию по отключению брандмауэра Windows.

Остались вопросы, предложения или замечания? Свяжитесь с нами и задайте вопрос.

www.softsalad.ru

Что такое брандмауэр (Firewall) NAT и как он работает?

Автор Исхаков Максим На чтение 3 мин. Просмотров 85 Опубликовано

Чтобы понять, что такое брандмауэр NAT, сначала нужно разобраться, что такое брандмауэр и что он делает. Когда вы серфите в интернете, вы отправляете запросы на получение информации на определенные серверы сайта. Брандмауэр находится между вашей локальной сетью и более широкой сетью. Брандмауэр сравнивает возвращаемую информацию с той, которую вы запросили – и все, что совпадает, он пропускает, а все, что он не может распознать, отбрасывает. Так брандмауэр защищает от вредоносного трафика, который может нанести вред системе.

Существуют различные типы брандмауэров, которые делятся на три категории – программные, аппаратные и облачные. Они применяют различные методы фильтрации, что делает их очень надежными.

Что такое NAT и как он работает?

NAT расшифровывается как “преобразование сетевых адресов”. Он был изобретен для того, чтобы решить проблемы нехватки IP-адресов IPv4. Еще несколько лет назад, основатели протокола IPv4 считали, что 4,3 миллиарда IP-адресов будет достаточно для всех устройств, подключенных к интернету. Но учитывая, что в мире насчитывается более 7 миллиардов человек и многие из нас имеют более одного устройства, очевидно, что их стало недостаточно.

Вашему роутеру, который подключается к интернету, присваивается один публичный IP-адрес. Он виден в глобальной сети и необходим для связи с серверами. Любые устройства, подключенные к роутеру локально, имеют частные IP-адреса, которые не позволяют им напрямую “общаться” с серверами. Именно здесь в игру вступает NAT – он направляет трафик туда и обратно.

Вот как работает NAT:

  1. Ваше устройство посылает запрос на сервер, отправляя пакеты данных. Эти пакеты содержат информацию, такую как IP отправителя и получателя, номера портов, и какая информация запрашивается.
  2. Трафик проходит через роутер с брандмауэром NAT. NAT изменяет частный IP-адрес пакета данных на публичный IP роутера. Он отмечает это изменение и добавляет его в таблицу переадресации NAT.
  3. Пакеты данных доходят до сервера и получают необходимую информацию.
  4. Информация возвращается на роутер. Теперь задача NAT – отправить информацию обратно на устройство, которое ее запросило.
  5. NAT изменяет публичный IP пакета данных на предыдущий частный IP-адрес и отправляет его запрашиваемому устройству.

Как NAT защищает?

  • Он скрывает IP-адреса любых устройств в вашей сети от внешнего мира, давая им всем один адрес.
  • Он требует, чтобы каждый входящий пакет информации был запрошен устройством. Любой вредоносный пакет данных, которого нет в списке ожидаемых сообщений, будет отклонен.
  • Некоторые брандмауэры могут использовать белые списки для блокирования неавторизованного трафика.

Более изощренные атаки все-таки могут обойти защиту NAT, особенно те, в которых используются методы фишинга или социальной инженерии. Однако это не означает, что вы не должны его использовать. Без NAT любому хакеру-любителю было бы легко получить доступ к вашему компьютеру.

NAT и VPN

Некоторые пользователи утверждают, что VPN не должен использоваться с NAT. Почему? VPN шифрует ваш трафик, прежде чем он достигнет интернета, что делает его неразборчивым. NAT должен знать хоть какую-то информацию о трафике, чтобы выполнять свою работу. Устаревшие протоколы VPN (PPTP и IPSec) не дают достаточно информации для NAT и могут быть в результате заблокированы. Чтобы решить эту проблему, вашему роутеру нужен будет VPN passthrough.

Большинство роутеров имеют встроенный VPN passthroughs. Даже если это не так, то основная масса популярных провайдеров VPN предлагают продвинутые протоколы, которые не требуют passthroughs.

bezopasnik.info

что это такое, назначение, разновидности, нормы возведения

Наверное, каждый замечал, что у здания одна стена всегда остается глухой или не имеющей окон. Если строительство велось по всем правилам, то этот принцип соблюдается. Но далеко не каждый задавался вопросом, почему происходит именно так. На самом деле, целью подобной конструкции являются меры противопожарной безопасности, а стена эта имеет собственное название. Материал от редакции Homius расскажет о том, что такое брандмауэр в строительстве, какие материалы используются при возведении противопожарной стены и её разновидности.

Глухая стена в торце современного дома – это брандмауэр

Содержание статьи

Изначально требуется определиться с термином. Что это такое Brandmauer? Как видно из фонетической основы, слово имеет немецкие корни и происходит из сочетания двух терминов – brand, что значит пожар и mauer, что означает стена. Данная архитектурная деталь может изготавливаться из различных материалов, иметь разнообразное устройство, но всегда сохраняет своё главное предназначение – предупреждать распространение пожара.

При строительстве противопожарной стены важно использовать надёжные материалы

Если перейти к научному определению, что такое brandmauer с точки зрения строительных правил и норм, то это капитальная стена, строящаяся на одной или двух сторонах здания. Также противопожарная стена брандмауэр может представлять собой внутреннюю преграду, разделяющую площадь на зоны или возводимую между двумя домами, назначением которой является отсечение огня. В некоторых случаях эта деталь может возводиться на крыше. При таком варианте он будет именоваться крышевым брандмауэром.

Использование брандмауэра предотвращает распространение огня

Как следует из расшифровки термина, его предназначением является предотвращение распространения пожара в здании или перекидывания огня на соседние дома.

По правилам строительства, этот элемент всегда выполняется в виде глухой стены. При этом существует подразделение на типы:

  • противопожарная стена 1 типа должна выдерживать огонь на протяжении трёх четвертей часа;
  • аналогичное строение 2 типа может продержаться уже на протяжении двух часов.

Ещё одним нюансом является расположение брандмауэра на самостоятельном фундаменте, а сама стена обязательно разрезает здание чётко по вертикальной плоскости и возвышается над кровлей.

Железобетон относится ко второму типу прочности по противопожарной устойчивости

Обязательным является возведение противопожарных стен для крупных помещений (например, цехов), которые просто разделяются зонально глухими перегородками. Это предотвращает распространение огня при его возникновении в одной части строения. Допускается наличие в брандмауэрной стене дверных проёмов или окон. Но их общая площадь не должна превышать 25% поверхности стены.

В современном обществе брандмауэры используются как холсты для шедевров уличных мастеров

При возведении противопожарной стены обязательно соблюдение строительных требовании и правил, в частности, относительно используемых составляющих. Самым важным является повышенный уровень огнеупорности конструкции. Для этих целей могут применяться следующие несгораемые материалы:

  • природный или натуральный камень;
  • кирпич;
  • бетон;
  • железобетон;
  • свинцовые листы.
Между двух прилегающих крыш делают стену для предотвращения перекидывания огня

По типу конструкции также выделяют несколько разновидностей противопожарной стены, которые могут использоваться в зависимости от типа здания:

  • скрытый брандмауэр;
  • возвышающийся над крышей;
  • выполненный из свинцовых листов.

Скрытый брандмауэр

Этот вариант относится к наиболее востребованным. Его предназначение – защита от разрушительного воздействия огня жилых помещений и находящихся в них ценностей. Также внутри квартиры находятся сами жильцы, которым при пожаре может потребоваться время для эвакуации.

При наличии окон в брандмауэрной внутренней стене они обязательно должны быть из закалённого стекла

Подобный тип противопожарной перегородки начинается непосредственно от фундамента здания и заканчивается под обрешёткой крыши. Подобное решение оправдано с эстетической точки зрения, поскольку глухая стена выполнена скрыто и не портит внешнего вида строения. Также это несёт практическую нагрузку – защиту жилых помещений от огня.

К сведению! При наличии столбчатого, свайного или ленточного типа фундамента важно подводить под стену основание для распределения нагрузки на почву.

Что такое брандмауэр на кровле

Возвышающаяся над крышей противопожарная стена имеет основное отличие от предыдущего варианта в своих размерах. Она обязательно выступает за пределы обрешётки и поднимается на высоту всего здания. Подобный способ используется в условиях густой застройки, когда близлежащие здания практически соприкасаются крышами. Такое решение позволяет не допустить перекидывания огня с одного строения на другое. Вся конструкция покрывается надёжной защитной облицовкой, которая монтируется встык к плоскости крыши.

Даже использование округлого конька может послужить своеобразной защитой на пути огня

К сведению! Очень важно следить за надёжностью стыков, иначе, попадающая влага может привести к разрушению элементов кровли или будет проникать в жилые помещения через чердак.

Противопожарная стена из листового свинца

Современные материалы позволяют добиться улучшения противопожарных качеств брандмауэра при сохранении эстетической целостности всей конструкции. Одним из таких вариантов является применение свинцовых листов. Подобный способ имеет ряд преимуществ:

  • благодаря естественному окислению, на поверхности свинца образуется плёнка, устойчивая к коррозии и агрессивному воздействию факторов внешней среды;
  • высокая пластичность позволяет выгибать листы в соответствии с неровностями крыши;
  • повышенная устойчивость к высоким температурам при небольшой толщине;
  • повышенный уровень влагостойкости.

К сведению! Допускается делать противопожарную стену из свинца скрытой, а также продлевать поверхность для создания более надёжной защиты.

Свинцовые листы – современный, прочный, пластичный и удобный материал

Действующие строительные нормы и правила чётко устанавливают требования к возводимым противопожарным стенам. Это не просто прихоть законотворцев, это необходимость, продиктованная опытом, практикой и результатами инженерных изысканий.

К числу важнейших требований относятся следующие:

  1. При возведении обязательно использовать огнестойкие материалы, пределы сопротивления огню которых не ниже 4 часов.
  2. Обязательно использование в качестве основания фундамента. Исключение делается только для зданий, имеющих железобетонный каркас. В узлах требуется наличие соединительной арматуры.
  3. Выходы вентиляции должны оснащаться автоматическими задвижными элементами, которые срабатывают на задымление и повышение температуры.
  4. Минимально допустимая толщина при использовании кирпича – 25 см, если для кладки применяется природный камень, показатель составляет 50 см.
  5. Высота противопожарной стены должны быть не меньше аналогичного значения для всего здания. Оптимальным считается возвышение над кровлей на 30 см для крыши из несгораемых материалов и на 60 см для горючего покрытия.
  6. Общая площадь дверных проёмов и окон должны составлять не более 25% площади самой стены. Имеющиеся люки должны быть способны выдерживать контакт с огнём не менее 90 минут.
СНиПами установлены требования к постройке противопожарной стены

Использование глухой стены при строительстве здания является не ошибкой строителей и не попыткой экономии материалов, а несёт практическую пользу. Брандмауэр – это один из способов защититься от огня.

Ещё раз узнать про особенности данного сооружения можно из представленного видео.

 

Предыдущая

СтроительствоИз чего лучше строить дом - секреты использования разных материалов

Следующая

СтроительствоСтупенчатое сверло по металлу

Понравилась статья? Сохраните, чтобы не потерять!

ТОЖЕ ИНТЕРЕСНО:

ВОЗМОЖНО ВАМ ТАКЖЕ БУДЕТ ИНТЕРЕСНО:

homius.ru

Что такое БРАНДМАУЭР (ФАЙРВОЛ) - что это значит, слово, термин

Брандмауэр (Brandmauer) или Файрвол (Firewall) – это компьютерная программа, целью которой является защита компьютера от вирусов и хакерских атак. Брандмауэр отслеживает сетевой трафик, поступающий в операционную систему, и помогает остановить вредоносные программы, которые пытаются получить доступ к личной информации пользователя. Помимо этого, у терминов Брандмауэр и Файрвол есть еще и другое определение. Данными терминами принято назвать противопожарные капитальные стены, которые по идее должны защищать дома от пожаров в местах плотной застройки.

 

Что такое Брандмауэр (Файрвол) – значение, определение простыми словами.

 

Простыми словами, Брандмауэр (Фаервол) – это специальные защитные компьютерные программы, которые постоянно сканируют получаемые и отправляемые в интернет данные. Образно говоря, это виртуальные стены, которые защищают компьютер от опасностей интернета: вирусы, руткиты, шпионские программы, и тд. Хотя стоит отметить, что брандмауэр не является единственным или самым надежным источником защиты вашего компьютера. Как правило, для обеспечения наибольшей безопасности, брандмауэр (Файрвол), всегда работает в связке с антивирусом и анти-шпионским программным обеспечением.

 

 

В большинстве случаев, брандмауэр устанавливается непосредственно на рабочую машину (ПК), но иногда, как в случаях с различными офисами, где присутствует много компьютеров, файрвол ставится в виде физического устройства (но об этом позже).  Пользователям операционной системы Windows, нет нужды устанавливать брандмауэр самостоятельно (отдельно), так как в ОС изначально присутствует собственный — Брандмауэр Windows.

 

Брандмауэр – как это работает, простыми словами.

 

Не вникая в сложные технические подробности, работу Брандмауэра можно описать следующим образом. Когда пользователь запускает программу, связанную с Интернетом, такую ​​как браузер или компьютерная игра, компьютер подключается к удаленному веб-сайту и отправляет информацию о компьютерной системе пользователя. Однако перед тем как данные будут отправлены или получены они проходят через межсетевой экран (файрвол), где в зависимости от установленных параметров, данные будут пропущены или остановлены.

Образно говоря, в процессе своей работы, брандмауэр выступает своеобразным пограничником или таможенником, который следит за всем что вывозится и завозится на компьютер. Кроме того, в его обязанности входит проверка пакетов данных на соответствие необходимым параметрам.  Таким образом, файрвол может помочь остановить работу уже установленного вредоносного ПО, такого как троянские кони и другие шпионские программы. Простыми словами, экран просто не будет передавать собранные этими программами данные в интернет. Но это, конечно же все в теории, так как подобные вредительские программы постоянно совершенствуются и учатся обманывать файрволы.

 

Что такое Аппаратный брандмауэр и способы защиты сети?

 

Аппаратный брандмауэр — это физическое устройство, которое соединяет компьютер или сеть с Интернетом, используя определенные усовершенствованные методы защиты от несанкционированного доступа. Проводные маршрутизаторы, широкополосные шлюзы и беспроводные маршрутизаторы включают в себя аппаратные брандмауэры, которые защищают каждый компьютер в сети. Аппаратные брандмауэры используют для защиты сети разные виды обеспечения безопасности: фильтрация пакетов, проверка пакетов с учетом состояния, трансляция сетевых адресов и шлюзы уровня приложения.

 

Брандмауэр фильтрации пакетов проверяет все пакеты данных, отправляемые в систему и из нее. Он пересылает данные на основе набора правил, определенных сетевым администратором. Этот аппаратный брандмауэр проверяет заголовок пакета и фильтрует пакеты на основе адреса источника, адресата и порта. Если пакет не соответствует правилам или соответствует критериям блокировки, ему не разрешается проходить через компьютер или сеть.

 

 

Динамическая фильтрация пакетов или проверка пакетов с учетом состояния, это более сложный метод защиты. Этот брандмауэр контролирует, откуда пришел пакет, чтобы выяснить, что с ним делать. Он проверяет, были ли данные отправлены в ответ на запрос для получения дополнительной информации или просто он появился сам по себе. Пакеты, которые не соответствуют заданному состоянию соединения, отклоняются.

 

 

Еще одним способом обеспечения безопасности является — маршрутизатор трансляции сетевых адресов (NAT). Он скрывает компьютер или сеть компьютеров от внешнего мира, представляя один общедоступный IP-адрес для доступа в Интернет. IP-адрес брандмауэра является единственным допустимым адресом в этом сценарии, и это единственный IP-адрес, представленный для всех компьютеров в сети. Каждому компьютеру на внутренней стороне сети присваивается свой IP-адрес, действительный только внутри сети. Этот вариант защиты очень эффективен, поскольку он представляет возможность использовать только один публичный IP-адрес для отправки и поступления пакетов информации. Что в свою очередь значительно минимизирует возможности по внедрению вредоносного ПО. Этот аппаратный брандмауэр обычно реализуется на отдельном компьютере в сети, который имеет единственную функцию работы в качестве прокси сервера. Он довольно сложный и считается одним из самых безопасных типов аппаратных брандмауэров.

 

 

Основные проблемы с брандмауэрами.

 

Существует несколько общих проблем, которые могут возникнуть в результате использования брандмауэра. Самой распространенной проблемой является то, что помимо вредоносных программ, брандмауэр часто блокирует нормальный, нужный нам трафик. Некоторые веб-сайты могут иметь ограниченный доступ или не открываться, потому что они были неправильно диагностированы. Довольно часто возникают проблемы с сетевыми играми, так как фаервол, часто распознает подобный трафик, как вредоносный и блокирует работу программ. Исходя из этого, следует отметить, что хоть брандмауэр штука весьма полезная, его нужно правильно настраивать, чтобы он не портил жизнь своими запретами.

Получи плюсик к карме - поделись добром с друзьми:

VK

Facebook

Twitter

chto-takoe.net

Брандмауэр - это... Что такое Брандмауэр?

Межсетевой экран или сетевой экран — комплекс аппаратных или программных средств, осуществляющий контроль и фильтрацию проходящих через него сетевых пакетов на различных уровнях модели OSI в соответствии с заданными правилами.

Основной задачей сетевого экрана является защита компьютерных сетей или отдельных узлов от несанкционированного доступа. Также сетевые экраны часто называют фильтрами, так как их основная задача — не пропускать (фильтровать) пакеты, не подходящие под критерии, определённые в конфигурации.

Некоторые сетевые экраны также позволяют осуществлять трансляцию адресов — динамическую замену адресов назначения редиректы или источника мапинг, biNAT, NAT.

Другие названия

Брандма́уэр (нем. Brandmauer) — заимствованный из немецкого языка термин, являющийся аналогом английского firewall в его оригинальном значении (стена, которая разделяет смежные здания, предохраняя от распространения пожара). Интересно, что в области компьютерных технологий в немецком языке употребляется слово «firewall».

Файрво́л, файерво́л, фаерво́л — образовано транслитерацией английского термина firewall, эквивалентного термину межсетевой экран, в настоящее время не является официальным заимствованным словом в русском языке.

Разновидности сетевых экранов

Сетевые экраны подразделяются на различные типы в зависимости от следующих характеристик:

  • обеспечивает ли экран соединение между одним узлом и сетью или между двумя или более различными сетями;
  • происходит ли контроль потока данных на сетевом уровне или более высоких уровнях модели OSI;
  • отслеживаются ли состояния активных соединений или нет.

В зависимости от охвата контролируемых потоков данных сетевые экраны делятся на:

  • традиционный сетевой (или межсетевой) экран — программа (или неотъемлемая часть операционной системы) на шлюзе (сервере передающем трафик между сетями) или аппаратное решение, контролирующие входящие и исходящие потоки данных между подключенными сетями.
  • персональный сетевой экран — программа, установленная на пользовательском компьютере и предназначенная для защиты от несанкционированного доступа только этого компьютера.

Вырожденный случай — использование традиционного сетевого экрана сервером, для ограничения доступа к собственным ресурсам.

В зависимости от уровня, на котором происходит контроль доступа, существует разделение на сетевые экраны, работающие на:

  • сетевом уровне, когда фильтрация происходит на основе адресов отправителя и получателя пакетов, номеров портов транспортного уровня модели OSI и статических правил, заданных администратором;
  • сеансовом уровне (также известные как stateful) — отслеживающие сеансы между приложениями, не пропускающие пакеты нарушающих спецификации TCP/IP, часто используемых в злонамеренных операциях — сканировании ресурсов, взломах через неправильные реализации TCP/IP, обрыв/замедление соединений, инъекция данных.
  • уровне приложений, фильтрация на основании анализа данных приложения, передаваемых внутри пакета. Такие типы экранов позволяют блокировать передачу нежелательной и потенциально опасной информации, на основании политик и настроек.
    Некоторые решения, относимые к сетевым экранам уровня приложения, представляют собой прокси-серверы с некоторыми возможностями сетевого экрана, реализуя прозрачные прокси-серверы, со специализацией по протоколам. Возможности прокси-сервера и многопротокольная специализация делают фильтрацию значительно более гибкой, чем на классических сетевых экранах, но такие приложения имеют все недостатки прокси-серверов (например, анонимизация трафика).

В зависимости от отслеживания активных соединений сетевые экраны бывают:

См. также

Ссылки

Брандмауэр приборы

Литература

Wikimedia Foundation. 2010.

dic.academic.ru

Персональный файрвол — Википедия

Материал из Википедии — свободной энциклопедии

Текущая версия страницы пока не проверялась опытными участниками и может значительно отличаться от версии, проверенной 15 ноября 2015; проверки требуют 3 правки. Текущая версия страницы пока не проверялась опытными участниками и может значительно отличаться от версии, проверенной 15 ноября 2015; проверки требуют 3 правки. У этого термина существуют и другие значения, см. Файрвол.

Персональный межсетевой экран (файрвол[1][2]или брандмауэр) — программное обеспечение, осуществляющее контроль сетевой активности компьютера, на котором он установлен, а также фильтрацию трафика в соответствии с заданными правилами. В отличие от межсетевого экрана уровня сети, персональный файрвол устанавливается непосредственно на защищаемом компьютере.

Функциональность персонального файрвола подобна функциональности межсетевого экрана, однако, в силу своей специфики, персональный файрвол так же может обеспечивать дополнительные возможности для защиты компьютера:

  • Контроль за приложениями, использующими порты. Персональный файрвол, в отличие от обычных межсетевых экранов, способен определить не только используемый протокол и сетевые адреса, но программное обеспечение, устанавливающее или принимающее сетевое соединение.
  • Назначение раздельных правил разным пользователям без дополнительной сетевой авторизации.
  • Специальный «Режим обучения», необходимый для тонкой настройки персонального файрвола под конкретную программную конфигурацию компьютера. В данном режиме при первичной сетевой активности любого программного обеспечения пользователь получает запрос на разрешение или запрещение сетевой активности данного приложения.

Несмотря на наличие некоторых полезных функций, выгодно отличающих персональный файрвол от межсетевого экрана, следует понимать, что персональный файрвол не предназначен для использования в качестве межсетевого экрана и не может осуществлять фильтрацию маршрутизируемых и/или транслируемых пакетов.

  1. ↑ «ФАЙРВОЛ(Л): рекоменд. файрвол, не рекоменд. файервол(л), файэрвол(л)» // И. Мостицкий. Универсальный дополнительный практический толковый словарь. — 2012.
  2. Мостицкий И. Л.. Англо-русский энциклопедический словарь: Компьютеры, Интернет, связь, аудио-, видео-, теле- и радиотехника: Ок. 23400 терм. (15600 слов. ст.): [С русско-английским алфавитно-индексным указателем] / Сост. и ред. И. Л. Мостицкий. — 4-е изд., перераб. и доп.. — М.: Додэка-ХХІ, 2008. — С. 752 с.: ил., табл.. — ISBN 978-5-94120-199-0.

ru.wikipedia.org

Что такое брандмауэр и для чего он нужен?

Опубликовано 15.02.2020 автор — 1 комментарий

Здравствуйте, дорогие читатели моего блога! В сегодняшнем посте мы с вами разберем, что такое брандмауэр и для чего он нужен в компьютере или в ноутбуке, для чего необходим такой софт, какие задачи выполняет, стоит ли отключать его или лучше оставить.

Главная функция инструмента

Брандмауэром называется программное обеспечение или программно-аппаратный комплекс (то есть специальная «железяка» с соответствующей прошивкой) для фильтрации сетевого трафика.

Это — своеобразный сетевой экран, страхующий от сетевых атак и прочих угроз, которые запускаются «вручную».

В плане борьбы с вирусами брандмауэр неэффективен и не является полноценной заменой антивирусу. Это скорее дополнительный компонент, который может быть включен в состав антивирусного ПО. О том, какие компьютерные вирусы бывают, вы можете почитать в этом посте (завтра на блоге).

В зависимости от настроек, брандмауэр может защищать как локальную сеть от внешних сетей, так и сегменты и отдельные компьютеры внутри одной локальной сети. Интерес такой инструмент, в первую очередь, представляет для коммерческих или научных структур, где вторжение извне грозит колоссальными убытками.

По другому брандмауэр еще называют файерволлом (от английского firewall — огненная стена). Брандмауэр — калька с немецкого, которая означает то же самое. «Универсальный шлюз безопасности», хотя и сходное понятие, представляет собой более совершенный программно-аппаратный комплекс.

Виды брандмауэров

В любом приличном антивирусе, в том числе бесплатном, брандмауэр или файерволл является одним из неотъемлемых компонентов.

Благодаря гибким настройкам любой пользователь может установить степень безопасности исходя из собственной предрасположенности к паранойе — вплоть до запрета выходит в интернет любому приложению, кроме браузера и мессенджера.В этом случае «перебдеть» — не самое лучшее решение. Многим программам нужен доступ к сети для банального скачивания обновлений, которые часто включают в себя «латание» уже известных дыр в безопасности. Еще на тему антивирусов советую почитать «Стоит ли покупать Касперский и почему».

Аппаратный файерволл — сложное устройство, принцип работы которого напоминает коммутатор. Однако, в отличие от маршрутизатора, благодаря прошивке такой девайс умеет фильтровать сетевой трафик исходя из указанных администратором сценариев. Стоит дорого, но и предназначен не для домашнего использования.

Еще один тип, с которым сталкивался почти каждый пользователь ПК — брандмауэр Виндовс. Впервые этот инструмент появился в старой доброй XP, а точнее в крупном патче Service Pack 2. «По наследству» оттуда он перекочевал в «Висту», Виндовс 7 и теперь применяется в Windows 10.

При всем моем уважении к Биллу Гейтсу и его детищу, сам брандмауэр, как и Винда в целом, насквозь дырявое ПО. Каждый очередной патч, затыкая старые дыры в безопасности, обнаруживает ряд новых, что добавляет лишней головной боли специалистам по компьютерной безопасности.

Поэтому советую брандмауэр Виндовс отключать во избежание конфликтов с инструментом, встроенным в антивирус(но тут опять же, всё зависит от самого ПО, с Касперским, к примеру, ничего отключать не надо).

В этом случае вашей сетевой безопасности почти ничего не грозит. Почти, потому что абсолютной безопасности не гарантирует даже самый совершенный антивирус: новое вредоносное ПО появляется немного быстрее. Чем обновляются антивирусные базы.

Также для вас может быть полезной статья «Что такое Яндекс Маркет и как им пользоваться». Те, кто хочет помочь продвижению моего блога, поделитесь этой публикаций в социальных сетях — буду очень признателен. До скорой встречи!

С уважением, автор блога Андрей Андреев.

infotechnica.ru

Брандмауэр - это... Что такое Брандмауэр?

  • БРАНДМАУЭР — (нем. Brandmauer, от Brand пожар, и Mauer стена). Каменная стена между двумя домами, воздвигаемая для того, чтобы локализировать действие пожара. Словарь иностранных слов, вошедших в состав русского языка. Чудинов А.Н., 1910. БРАНДМАУЭР нем.… …   Словарь иностранных слов русского языка

  • Брандмауэр — противопожарная стена. Источник: Словарь архитектурно строительных терминов несгораемая, преимущественно глухая, капитальная стена, разделяющая здание на отсеки для предотвращения распространения пожара (Болгарский язык; Български) пожарозащитна… …   Строительный словарь

  • брандмауэр — брандмауер, стена, реклама Словарь русских синонимов. брандмауэр сущ., кол во синонимов: 5 • брандмауер (2) • …   Словарь синонимов

  • брандмауэр — Аппаратно программный комплекс, создающий защитный барьер (межсетевой экран) между двумя или несколькими сетями. Предназначен для предотвращения несанкционированного доступа в защищаемую сеть извне и контроля поступающих и выходящих данных.… …   Справочник технического переводчика

  • Брандмауэр — рекламный щит, размещенный на глухой, без окон, стене здания. Словарь бизнес терминов. Академик.ру. 2001 …   Словарь бизнес-терминов

  • БРАНДМАУЭР — (немецкое Brandmauer), устаревшее название противопожарной стены …   Современная энциклопедия

  • БРАНДМАУЭР — (нем. Brandmauer) устаревшее название противопожарной стены …   Большой Энциклопедический словарь

  • БРАНДМАУЭР — рекламный щит, маскирующий глухую стену. Райзберг Б.А., Лозовский Л.Ш., Стародубцева Е.Б.. Современный экономический словарь. 2 е изд., испр. М.: ИНФРА М. 479 с.. 1999 …   Экономический словарь

  • Брандмауэр —         (нем. Brandmauer, от Brand пожар и Mauer стена * a. fire wall; н. Brandmauer; ф. mur coupefeu; и. muro cortafuegos) противопожарная стена, предназначенная для разъединения смежных помещений одного здания либо двух смежных зданий с целью… …   Геологическая энциклопедия

  • БРАНДМАУЭР — [нтм ], а, муж. (спец.). Стена из несгораемого материала, разделяющая смежные строения или части одного строения в противопожарных целях. | прил. брандмауэрный, ая, ое. Толковый словарь Ожегова. С.И. Ожегов, Н.Ю. Шведова. 1949 1992 …   Толковый словарь Ожегова

  • dic.academic.ru


    Смотрите также



    © 2010- GutenBlog.ru Карта сайта, XML.