Принцип работы межсетевых экранов: как firewall защищает сеть от угроз

17/09/25

Б-152

Принцип работы межсетевых экранов

Когда речь заходит об информационной безопасности, важность технических средств защиты сложно переоценить. Безусловно, грамотные регламенты и организационные меры необходимы, но именно программно-аппаратные решения формируют тот самый практический барьер, который не дает угрозам превратиться в инцидент.

Современные вендоры предлагают огромный выбор таких решений: от компактных устройств до мощных облачных комплексов. Среди этого многообразия особое место занимает проверенный временем инструмент — межсетевой экран.

Давайте разберемся, как это средство эволюционировало от простого фильтра трафика до ключевого элемента архитектуры безопасности, способного анализировать и контролировать информационные потоки на качественно новом уровне.

Для того, чтобы понять предназначение самих межсетевых экранов, стоит немного окунуться в прошлое, в те времена, когда только зарождался Интернет и принципы проектирования сети, действующие и по сей день.

В 80-е годы, когда технологии только начали свое развитие, общей сетью были объединены в основном академические и государственные учреждения. Еще не было той мировой глобальной сети Интернет, которую мы знаем сейчас. Это был лишь небольшой локальный изолированный периметр, внутри которого сформировались открытость и доверие среди участников. Необходимость в серьезной защите на границе не считалась приоритетной.

Для обмена данными между устройствами такой сети, была разработана архитектура TCP/IP. Ее фундаментальным принципом является обеспечение свободного и беспрепятственного обмена данными между узлами. В этой системе протокол IP отвечает за адресацию и маршрутизацию пакетов информации, в то время как TCP гарантирует их целостность и достоверность доставки. Изначальная открытость данной модели стала ключевым фактором стремительного развития Интернета.

Однако эта же открытость породила и главную уязвимость. Сетевая среда перестала быть исключительно добросовестной: в ней появились злоумышленники, чьи цели варьируются от хищения конфиденциальной информации и финансового мошенничества до организации масштабных кибератак на критическую инфраструктуру предприятий и государственных учреждений.

Таким образом, изначально децентрализованная и доверительная модель глобальной сети столкнулась с необходимостью реализации механизмов контроля и разграничения. Решением была разработка специального класса средств защиты — межсетевых экранов, предназначенных для фильтрации входящего и исходящего сетевого трафика.

На дворе конец 80-х, начало 90-х.

Сеть уже подверглась вторжению массового червя Morris Worm, который дал понять, что пора пересматривать концепции сетевых взаимоотношений.

Тогда компания Digital Equipment Corporation в 1988 году представила разработку первого межсетевого экрана DEC SEAL, работа которого заключалась в фильтрации трафика и проверки пакетов по заданным правилам на нижних уровнях модели OSI: физическом (L1) и канальном (L2).

Стоит напомнить, что физический уровень отвечает за отправку и прием сигналов в рамках физической среды передачи данных, а канальный — поддерживает стабильную передачу, управление потоком данных и синхронизацию кадров.

Для лучшего понимания, можно провести аналогию с почтой, где IP-адрес источника — это дом отправителя, IP-адрес назначения — дом получателя, порт — квартира получателя, а протокол — язык, на котором было написано письмо.

Так вот, пакетный фильтр смотрел только на сам «конверт» и никогда не вдавался в подробности, что именно этот «конверт» содержит. Администраторы сети вручную составляли статичные списки правил (ACL — Access Control List), порядок которых был очень важен, так как обработка происходила последовательно, сверху вниз, и прекращалась, как только заголовки пакета совпадали с заданными правилами.

Допустим, нашей задачей является настроить межсетевой экран для почтового веб-сервера, задача которого — обеспечение непрерывной и безопасной доставки писем между пользователями, а также защита содержимого почтовых ящиков.

Примеры средств защиты: Solstice Firewall-1, Application Layer Filter, Firewall Toolkit, DEC SEAL.

Администраторы должны подключаться к этому серверу по определенному IP-адресу (203.0.113.10) и по протоколу SSH, позволяющему безопасно и удаленно управлять серверами и устройствами.

№

Отправитель

Порт получателя

Объяснение

1

Разрешить

TCP

Всем доступ к вебу (HTTP)

2

Разрешить

TCP

Всем доступ к защищенному вебу (HTTPS)

3

Разрешить

Наш сервер

TCP

Серверу можно отправлять почту (SMTP)

4

Разрешить

DNS-сервер

UDP

Серверу можно делать DNS-запросы

Разрешить

Наш сервер

TCP

Администраторский доступ по SSH

6

Запретить

Наш сервер

Любой

Все остальное запрещено!

Несмотря на недостатки рассмотренных ранее пакетных фильтров, они проложили дорогу к дальнейшему развитию технологий межсетевого экранирования.

Так в начале 1990-х годов появились межсетевые экраны, работающее уже на более высоких уровнях OSI, чем пакетные фильтры: сетевом уровне (L3), отвечающим за маршрутизацию пакетов данных в сети, и транспортном (L4), который является ответственным за надёжность передачи данных.

Таблица состояний представляет собой динамическую базу данных, которая хранится в оперативной памяти самого межсетевого экрана. Каждая запись в таблице состояний представляет собой не просто правило, а контекст сетевого «разговора». Для TCP-соединения таблица состояний выглядит примерно следующим образом:

С появлением межсетевых экранов второго поколения (для простоты будем называть их Stateful Inspection или просто SI) ввелось и ключевое понятие — таблица состояний, задачей которой стало отслеживание состояний всех активных сетевых соединений, проходящих через МЭ, в реальном времени. Именно она наделила межсетевые экраны SI «памятью».

Ключевым здесь является поле «Состояние соединения», так как SI отслеживает этапы так называемого «рукопожатия» — процесса установления соединения между двумя устройствами или программами:

В реальности это все можно описать следующим сценарием: мне (192.168.1.1) очень хочется посетить сайт example.com (93.184.216.34). Межсетевой экран SI выступает третьей стороной, наблюдающей за этим.

Для UDP (который не имеет состояний) файрвол создает «псевдосостояние», имитируя сессию, чтобы иметь возможность отслеживать запрос и ответ.

Применение такого подхода значительно улучшило безопасность обмена данными в сети, так как снизился риск подмены IP, да и системным администраторам задышалось свободнее, ведь отпала необходимость в прописывании жестких правил для каждого порта. Однако уязвимости к атаками на прикладном уровне никуда не делись, ведь межсетевые экраны по прежнему не могли анализировать содержимое пакетов.

Проблему «слепоты» межсетевых экранов смогли решить в третьем поколении в начале 2000-х, в так называемых межсетевых экранах прикладного уровня (Application-Level Firewalls) или сокращенно ALF.

Как следует из названия, такой межсетевой экран работал на самом высоком прикладном уровне (L7). На этом уровне происходит взаимодействие между приложениями и сетевыми сервисами путем предоставления интерфейсов и протоколов для передачи данных между различными программами. Именно благодаря этому ALF не просто проверяет заголовки пакетов, но и «понимает» семантику и синтаксис передаваемых данных.

Межсетевой экран третьего поколения является уже не просто третьей стороной, проверяющей достоверность отправителя и адресата, а становится полноценным участником соединения, выступая в роли прокси.

Теперь клиент из внутренней сети подключается не напрямую с внешним сервером, а устанавливает соединение с прокси-сервером, который, отвечая от имени клиента, устанавливает новое, отдельное соединение с внешним сервером.

ALF не просто сверяет заголовки, а собирает все TCP пакеты, упорядочивает их в соответствии с порядковыми номерами, устраняет дубликаты и группирует в единый поток данных прикладного уровня. ALF «знает» как должны выглядеть протоколы взаимодействия с приложениями и анализирует их:

Метод: GET, POST, PUT, HEAD.
URL: Полный путь к ресурсу (/index.php?id=1).
Заголовки (Headers): User-Agent, Host, Cookie, Referer.
Тело запроса (Body): Данные формы, загружаемые файлы, JSON-объекты.

Заголовки письма: From, To, Subject.
Тело письма: Текст сообщения.
Вложения (Attachments): Отдельные файлы, прикрепленные к письму.

Имя домена
Тип записи

Разрешить: трафик корректен и безопасен. Прокси пересылает его дальше.

Блокировать: обнаружена угроза или нарушение политики. Трафик отбрасывается, а в логах фиксируется инцидент.

Модифицировать: к примеру, удалить подозрительный JavaScript-код из тела
веб-страницы или обезвредить вредоносную часть запроса, оставив его
работоспособным.

Если содержимое признано безопасным и соответствующим политикам, прокси-сервер заново формирует запрос от своего имени и отправляет его целевому серверу. Ответ от сервера проходит тот же тщательный анализ перед тем, как быть переданным исходному клиенту.

Такие межсетевые экраны обеспечивают высокий уровень безопасности, так как способны блокировать сложные атаки, маскирующиеся под легитимный трафик. Также обеспечивается логирование всей активности пользователя, а внутренняя структура сети полностью скрыта от внешнего мира, благодаря инициации соединения самим прокси.

Однако прогресс не стоит на месте, и в 2010-х годах начали появляться межсетевые экраны, совершившие революционный прорыв в средствах защиты информации.

Next-Generation Firewall (NGFW) также работают на прикладном уровне OSI, что и третье поколение, однако, с совершенно другим подходом.

Каждое приложение имеет свой уникальный «отпечаток» — сигнатуры, которые анализируется NGFW. Это может быть последовательность байтов в сетевом пакете, строка символов в теле файла или запроса, определенная последовательность действий или хэш-сумма вредоносного файла.

Также основной отличительной чертой межсетевых экранов нового поколения является интеграция с системами предотвращения вторжений (IPS), что позволяет активно сканировать трафик на наличие сигнатур известных атак, уязвимостей и аномальных моделей поведения, способствуя обеспечению наивысшей степени защиты.

Взаимодействие NGFW с серверами каталогов (например, Active Directory) позволяет обеспечить контроль не просто IP-адресов, а конкретных учетных записей. Эта интеграция позволяет понимать, какой пользователь с каким IP-адресом аутентифицирован в сети в данный момент.

NGFW могут анализировать передаваемые данные на предмет конфиденциальной информации. Используются регулярные выражения и шаблоны для поиска в трафике номеров кредитных карт, паспортов, медицинских записей и др.

При обнаружении передача блокируется, а инцидент логируется. Наиболее продвинутой функцией межсетевых экранов нового поколения является так называемая «песочница».

Если NGFW обнаруживает подозрительный файл (например, вложение в письме или исполняемый файл), он может автоматически отправить его в облачную «песочницу» — изолированную среду, где файл запускается и отслеживается его поведение (пытается ли он подключиться к Command&Control-серверу, шифровать файлы и т. д.). Если поведение вредоносное, файл блокируется, а его сигнатура добавляется в базу.

Таким образов, NGFW — это уже не просто «стена», а интеллектуальный платформенный центр безопасности, который обеспечивает видимость и контроль на уровне приложений, пользователей и содержимого, становясь ключевым элементом современной киберзащиты.

Наше путешествие в эволюцию межсетевых экранов — от простых фильтров пакетов до систем следующего поколения (NGFW) — наглядно демонстрирует одно: в стремительно усложняющемся цифровом ландшафте неизменной остается лишь необходимость защиты периметра.

Но меняется сама суть этого периметра и средства его обороны. Межсетевой экран прошел путь от статичного «нет» к интеллектуальному «почему?». Если первые МЭ слепо запрещали все, что не разрешено правилами, а вторые научились помнить «контекст разговора», то современные NGFW научились понимать язык этого разговора, знать его участников в лицо и предвидеть злой умысел.

Таким образов, NGFW — это уже не просто «стена», а интеллектуальный платформенный центр безопасности, который обеспечивает видимость и контроль на уровне приложений, пользователей и содержимого, становясь ключевым элементом современной киберзащиты.

Без фундамента не бывает здания. Stateful Inspection с его таблицей состояний и сегодня остается ядром любой сетевой защиты. Это тот надежный и проверенный механизм, без которого невозможна эффективная работа даже самых продвинутых систем.

Без «понимания» нет безопасности. Одного лишь контроля адресов и портов сегодня катастрофически недостаточно. Угрозы мигрировали на уровень приложений и пользователей. Способность NGFW идентифицировать приложения, независимо от портов, и привязывать политики к пользователям, а не к IP-адресам, — это не опция, а необходимость.

Защита должна быть проактивной. Интегрированные системы предотвращения вторжений (IPS) и антивирусы превратили NGFW из пассивного наблюдателя в активного охотника за угрозами, способного не только отражать известные атаки по сигнатурам, но и выявлять подозрительное поведение

Ввод оборотных штрафов за утечки откладывается минимум до 1 июля 2023 года

Подписывайтесь на наш Telegram-канал, чтобы быть в курсе последних новостей и событий!

реклама

бизнес

юридические вопросы

маркетинг

Материалы по теме