Как владельцам веб-сайтов различать межсетевые экраны? Что они делают, какую работу выполняют?
Термины «фаервол», «брандмауэр», «межсетевой экран» часто встречаются в мире технологий и безопасности. Даже люди, не имеющие к этому непосредственного отношения, обычно понимают, о чем речь. Однако значение этих терминов выходит за рамки безопасности.
Независимо от отрасли они подразумевают разделение двух различных пространств. Эти пространства всегда имеют два основных назначения:
- Хранить что-либо в пределах системы.
- Хранить что-либо за пределами системы.
Термины эти применяются во множестве случаев, и особенно в веб-безопасности это может привести к путанице. Существует несколько видов межсетевых экранов, например, такие как WAF (Web Application Firewall). Но, в сущности, они делятся на три различные категории: для сайтов, для серверов, для сетей.
Будем делить понятие фаервол на три категории:
- Сетевой
- Локальный
- Веб-приложение
Сетевые фаерволы
В больших организациях часто можно встретить сетевые фаерволы, предназначенные для защиты от несанкционированного доступа. С ними мы лучше всего знакомы: их можно найти в домашних маршрутизаторах, они защищают домашнюю сеть. В больших организациях встречаются похожие конфигурации, но гораздо большие по масштабу и с наличием дополнительных фаерволов, изолирующих различные части сети.
Эти межсетевые экраны предназначены для того, чтобы следить за попытками подключения к различным сетевым портам и чтобы анализировать входящие пакеты и связанные с ними метаданные. На основании специально настроенных правил фаервол определяет, что может получить доступ в охраняемую им среду, а чему этот доступ нужно запретить.
Рисунок 1. Работа сетевых фаерволов
Во многих случаях эти сетевые брандмауэры идут в виде аппаратного или программного обеспечения. В зависимости от специфики вашей среды, приложений и т. п., фаервол будет контролировать определенные сетевые порты. Например, 80 и 443 для трафика HTTP/HTTPS и 25 для SMTP (протокол передачи почты).
Именно такой тип фаерволов имеет в виду ваш хостер, когда говорит, что использует их для защиты вашего сайта.
Есть некоторые сетевые брандмауэры, которые позволяют сфокусироваться только на веб-трафике.
Локальные фаерволы
Локальные фаерволы также предназначены для защиты доверенного от недоверенного, но функционируют на другом уровне. Они сосредотачиваются на конкретной среде, например на сервере или рабочем столе. Вы можете встретить локальные фаерволы на всех ваших устройствах. Каждое устройство может иметь свои требования к конфигурации и локальной среде.
Рисунок 2. Схема работы локальных фаерволов
При взаимодействии с хостером вашего сайта ваш доступ к локальному брандмауэру может быть ограничен в зависимости от типа конфигурации (VPS, выделенный или управляемый хостинг). Однако большинство хостеров должны использовать как сетевые, так и локальные фаерволы по всей своей сети независимо от конфигурации. Несмотря на это, локальные фаерволы имеют мало общего с безопасностью вашего сайта.
Ориентированные на веб-приложения фаерволы (Web Application Firewall, сокращенно — WAF)
Ориентированные на приложения фаерволы хоть и похожи на сетевые и локальные, являются лишь дополнением к уже существующим средствам безопасности. Брандмауэры, ориентированные на приложения, фокусируются на передающихся данных, они должны понимать тип данных, разрешенный для конкретных протоколов — SMTP или HTTP. Существуют различные фаерволы для разных приложений, например почтовый или ориентированный на веб-сайт.
Рисунок 3. Ориентированные на приложения фаерволы
Такие межсетевые экраны бывают гибридными — вы можете встретить их на локальном и сетевом уровне. Это зависит от того, как их настроит организация. Владельцам сайтов следует задавать своим хостерам вопрос о том, как они справляются с конкретными угрозами. Некоторые применяют ориентированные на приложения фаерволы, другие пользуются проприетарными, кто-то оперирует технологиями с открытым исходным кодом вроде ModSecurity.
Веб-сайтам необходимы фаерволы
Угрозы для сайтов растут с ужасающей скоростью, отставать от них нельзя. Теперь недостаточно просто настроить сетевой и локальный фаервол — многие из них уже неэффективны для контроля конкретного веб-трафика.
По-настоящему эффективные WAF-фаерволы обеспечат вам хорошую защиту 24/7 при минимальном взаимодействии с вашей командой.
Самое распространенное заблуждение владельцев веб-сайтов — они ждут защиту от хостера. Хостер же фокусируется лишь на одном: ему нужно убедиться, что ваш сайт доступен. А безопасность является предметом бесчисленных часов исследований и разработок. Большинство хостеров на данный момент не покрывают существующие угрозы, не говоря уже о вновь появляющихся. И это всегда будет их недостатком.