Каждый сайт нуждается в защите. Как и ваш персональный компьютер, онлайн-серверы могут стать целью атак. Вам нужен способ защиты от хакеров или других источников нелегитимного трафика. Вот тут и пригодятся брандмауэры.
Что же такое межсетевой экран?
Это барьер между компьютером и «внешним миром». Вредоносное ПО злоумышленников может нанести ущерб вашему серверу, если вы оставите свой сайт незащищенным, и поэтому вам следует сделать все возможное, чтобы защитить свой сайт WordPress. Установка брандмауэра должна быть одним из первых ваших дел. Но существует много разных типов межсетевых экранов, и вы можете не знать, с чего начать.
Давайте рассмотрим все типы брандмауэров, когда они вам понадобятся, и способы их настройки на вашем сервере.
Что такое брандмауэр? Что делает брандмауэр?
Каждый раз, когда вы посещаете веб-сайт, вы подключаетесь к другому компьютеру: к веб-серверу. Но поскольку сервер - это просто специализированный компьютер, он подвержен атакам того же типа, что и ваш компьютер. Непосредственное подключение к другому устройству без какой-либо защиты небезопасно. Как только это соединение будет установлено, гораздо проще заразить другую сторону вредоносным ПО или запустить DDoS-атаку. Вот для чего нужен брандмауэр. Это посредник между вами и любыми другими устройствами, которые пытаются подключиться к вам, или, в случае веб-сервера, между ним и сотнями или тысячами подключений, которые он устанавливает с другими каждый день.
Так как же именно работает брандмауэр?
Брандмауэры просто отслеживают входящий и исходящий трафик на устройстве, сканируя любые признаки вредоносной активности. Если он обнаружит что-то подозрительное, он немедленно заблокирует его от достижения пункта назначения. Это большая система фильтрации для вашего компьютера или сервера. Когда они были впервые разработаны, межсетевые экраны были очень простыми анализаторами пакетов, которые разрешали или блокировали входящий трафик на основе минимального набора предопределенных правил. Их было очень легко обойти. В настоящее время они превратились в сложные программы, которые намного лучше предотвращают попытки вторжений и являются важной частью программного обеспечения для всех устройств.
Когда вам нужен брандмауэр?
Вы можете спросить: когда нужен брандмауэр? Мне он действительно нужен? Брандмауэр необходим для любого компьютера, подключенного к Интернету. Не только ваш компьютер, но и ваш веб-сервер, телефон и все, что вы можете придумать, имеет возможность использовать Интернет. Незащищенное устройство легко поддается вторжению и заражению. Это может дать хакерам возможность захватить ваш компьютер, установить все, что они хотят, контролировать, когда вы вводите конфиденциальную информацию, такую как учетные данные банка, или даже просматривать вашу веб-камеру / камеру и слушать через микрофон. В случае с веб-сервером, если хакеру удастся пройти, он может испортить ваш сайт, внедрить вредоносное ПО, которое заражает ваших посетителей, изменить ваши учетные данные администратора WordPress или полностью удалить ваш сайт.
Без брандмауэра ваш веб-сайт и даже ваши личные устройства уязвимы для DDoS-атак, вектора атаки, который отправляет тысячи или миллионы поддельных пакетов, чтобы перегрузить ваш сервер и вывести из строя ваш сайт или Интернет.
Не убедительно?
Вот от чего брандмауэр может защитить вас или ваш сайт:
Вторжения: брандмауэры предотвращают удаленный доступ неавторизованных пользователей к вашему компьютеру или серверу и выполнение любых действий по их желанию.
Вредоносное ПО: злоумышленники, которым удается проникнуть, могут отправить вредоносное ПО, чтобы заразить вас или ваш сервер. Вредоносное ПО может украсть личную информацию, распространиться среди других пользователей или иным образом повредить ваш компьютер.
Атаки методом грубой силы: попытки хакеров попробовать сотни комбинаций имени пользователя и пароля, чтобы узнать учетные данные вашего администратора (или других пользователей).
DDoS-атаки: брандмауэры (особенно брандмауэры веб-приложений) могут попытаться обнаружить приток поддельного трафика, который происходит во время DDoS-атаки.
Типы межсетевых экранов
Существует много разных типов межсетевых экранов, каждый из которых предназначен для разных ситуаций. Некоторые из них лучше подходят для отдельных компьютеров, а другие предназначены для фильтрации в масштабах всей сети.
Все они работают по-разному и лучше блокируют определенные виды трафика. Если вам интересно, что вам следует искать, мы разберем все основные типы межсетевых экранов. Вот краткое резюме: если вы не используете свой собственный стек серверов (предоставляя веб-сайт с собственным Интернетом), вам в основном следует беспокоиться о личных межсетевых экранах, программных межсетевых экранах и межсетевых экранах веб-приложений. Эти три самые важные. Однако прочитайте об остальном, если хотите лучше понять, как работают брандмауэры и как они менялись с годами.
Персональный брандмауэр
Брандмауэры работают по-разному, в зависимости от того, используются ли они отдельными компьютерами, целыми сетями (например, в офисе) или веб-серверами. Персональный брандмауэр предназначен для использования только на одном компьютере. Это брандмауэр, который предустановлен на компьютерах Windows и Mac или с вашим антивирусным программным обеспечением. Хотя он работает аналогично брандмауэру сервера - разрешая или отклоняя соединения от других устройств, приложений и IP-адресов на основе набора предопределенных правил, - в своей функции он действует немного иначе. Персональные брандмауэры могут защищать порты, которые вы используете для подключения к веб-сайтам и онлайн-приложениям (скрывая их, чтобы злоумышленники не видели, что они открыты), защищать от атак, которые проскальзывают через сеть, предотвращать доступ людей к вашему компьютеру и его захват. и проанализировать весь входящий и исходящий трафик. Они также действуют как брандмауэры приложений, отслеживая активность приложений на вашем устройстве и не разрешая устанавливать соединение с небезопасным или неизвестным программным обеспечением. В наши дни получить персональный брандмауэр довольно просто. Если вы используете любую современную версию Windows, она уже должна быть запущена по умолчанию.
Антивирусное программное обеспечение также часто поставляется со своим собственным. Примером может служить антивирус Avast: его программный брандмауэр совместим с Windows и служит вторым уровнем защиты. Платные сторонние персональные брандмауэры также существуют, но они могут конфликтовать с настройками по умолчанию.
Аппаратный и программный брандмауэр
Брандмауэры бывают двух разных форм: аппаратные и программные. Программные брандмауэры - это загружаемые программы для вашего компьютера, которые контролируют все с центральной панели управления. Аппаратные брандмауэры предоставляют аналогичные функции, но физически устанавливаются в здании. Возможно, вы этого не знаете, но, вероятно, у вас дома есть аппаратный брандмауэр: ваш маршрутизатор, устройство, которое позволяет вам подключаться к Интернету. Хотя это не совсем то же самое, что специализированное устройство аппаратного брандмауэра, оно обеспечивает аналогичные функции мониторинга и разрешения или запрета подключений. И программные, и аппаратные брандмауэры находятся между вашим компьютером и внешним миром, тщательно анализируя любые попытки соединения. У вас может быть один или оба из них работают в вашей сети. Однако у аппаратных брандмауэров есть несколько недостатков. Их сложно настроить, и они требуют постоянного обслуживания, поэтому обычно они не подходят для отдельных компьютеров или очень малых предприятий без ИТ-отдела. Они могут вызвать проблемы с производительностью, особенно в сочетании с программным брандмауэром. И они не подходят для блокировки приложений на устройстве или ограничений на основе пользователей. С другой стороны, аппаратный брандмауэр легко защитит всю вашу компьютерную сеть, а настройка программного обеспечения для этого - более сложная задача. И хотя злоумышленник может отключить программное обеспечение, если ему удастся проникнуть внутрь, он не сможет вмешаться в работу физического устройства. Программные брандмауэры, как следует из их названия, лучше работают с программами на компьютере. Блокировка приложений, управление пользователями, создание журналов и мониторинг пользователей в вашей сети - это их специальность. Их не так просто настроить в масштабе всей сети, но при установке на нескольких устройствах они обеспечивают более точное управление.
Межсетевой экран с фильтрацией пакетов
Самый простой тип межсетевого экрана и один из первых разработанных - межсетевые экраны с фильтрацией пакетов. Пакет - это данные, которыми обмениваются ваш компьютер и сервер. Когда вы щелкаете ссылку, загружаете файл или отправляете электронное письмо, вы отправляете пакет на сервер. И когда вы загружаете веб-страницу, она отправляет вам пакеты. Межсетевой экран с фильтрацией пакетов анализирует эти пакеты и блокирует их на основе набора предопределенных правил. Например, вы можете заблокировать пакеты, исходящие с определенного сервера или IP-адреса, или те, которые пытаются достичь определенного места назначения на вашем сервере. Обратная сторона: эти типы межсетевых экранов просты, и их легко обмануть. Невозможно применить расширенные правила. Если вы разрешите трафику проходить через определенный порт, брандмауэр с фильтрацией пакетов пропустит что угодно, даже трафик, который для современных брандмауэров явно незаконен. Единственный плюс в том, что они настолько просты, что почти не влияют на производительность. Они не проверяют трафик, не сохраняют журналы и не выполняют никаких дополнительных функций. В наши дни брандмауэры с фильтрацией пакетов следует избегать или, по крайней мере, использовать вместе с чем-то более продвинутым, поскольку есть гораздо лучшие решения.
Брандмауэр с отслеживанием состояния
После «безгражданства» простые фильтры пакетов пришли к технологии межсетевого экрана с отслеживанием состояния. Это было революционно, потому что вместо простого анализа пакетов по мере их прохождения и отклонения на основе простых параметров брандмауэры с отслеживанием состояния обрабатывают динамическую информацию и продолжают отслеживать пакеты по мере их прохождения по сети. Брандмауэр с простой фильтрацией пакетов может блокировать только на основе статической информации, такой как IP-адрес или порт. Межсетевые экраны с отслеживанием состояния лучше обнаруживают и блокируют незаконный трафик, потому что они распознают шаблоны и другие сложные концепции. По сравнению с межсетевыми экранами без сохранения состояния, их недостатком является то, что они более интенсивны из-за хранения пакетных данных в памяти и более тщательного их анализа, а также ведения журналов того, что блокируется и что проходит. Но это гораздо лучшее решение.
Брандмауэр веб-приложений
Хотя технология с отслеживанием состояния все еще используется сегодня, одного ее уже недостаточно для эффективного обеспечения безопасности сети. Брандмауэры приложений и веб-приложений стали следующим большим шагом.
Традиционные брандмауэры отслеживают только общий трафик в сети. Им сложно или полностью не удается обнаружить трафик, поступающий или исходящий из приложения, службы или другого программного обеспечения. Брандмауэры приложений были разработаны для работы с этими программами, улавливая попытки вторжений, которые используют уязвимости программного обеспечения, чтобы проскользнуть мимо старых брандмауэров. Они также могут функционировать как система родительского контроля для бизнеса, полностью блокируя доступ к определенным приложениям и веб-сайтам. Брандмауэры веб-приложений работают аналогично, но они контролируют веб-приложения, а не программы на компьютере. Примерами веб-приложений являются сторонние плагины для форм или корзины покупок, которые иногда могут быть взломаны для отправки вредоносного ПО на ваш сервер. Без WAF вы уязвимы для этих атак. Многие WAF работают в облаке, а это значит, что вам не нужно вносить какие-либо радикальные изменения в свой сервер для их настройки. Но они также могут существовать на аппаратном или серверном программном обеспечении. Если вам нужен брандмауэр для защиты вашего веб-сайта, поищите облачный WAF, например Cloudflare или Sucuri. Их можно установить без необходимости возиться с чувствительными настройками веб-хоста или устанавливать дорогое оборудование.
Межсетевой экран нового поколения
Последним является межсетевой экран нового поколения (NGFW), одно из самых последних изобретений, появившихся в результате становления этого поколения технологий безопасности. Эти инструменты корпоративного уровня, как и все вышеперечисленное, объединены в один. Глубокая фильтрация пакетов, предотвращение вторжений и мониторинг приложений - это лишь некоторые из их огромного набора сетевых функций. Облачные брандмауэры нового поколения существуют как онлайн-сервис, но WAF гораздо более распространены и предоставляют аналогичные функции. Но если вам нужна самая передовая технология межсетевого экрана с полным набором средств защиты в одной программе, ищите NGFW.
Как получить брандмауэр?
Чтобы защитить себя и свой веб-сайт, вам нужен качественный брандмауэр, который защитит от злоумышленников. Что касается персональных брандмауэров, обычно не нужно изо всех сил стараться их установить. Встроенный брандмауэр Windows работает очень хорошо без какой-либо настройки. И между брандмауэром приложений, который часто поставляется с вашим антивирусным программным обеспечением, и фильтром пакетов на вашем маршрутизаторе, ваш компьютер обычно более чем защищен. Просто убедитесь, что ваш брандмауэр активирован, у вас установлен хороший антивирус и ваш маршрутизатор настроен правильно. То же самое можно сказать и о пользователях MacOS.
Но что, если у вас есть веб-сайт, который нуждается в защите?
Тогда все по-другому. Не так много встроенных инструментов для вашей защиты, и часто вам решать, как защитить свой сайт. Например, если вы используете WordPress, у вас нет брандмауэра или чего-либо еще для защиты вашего сервера, и плагины безопасности являются одним из наиболее распространенных вариантов. Разработчики WordPress делают все возможное, чтобы код был оптимизирован, но когда все же возникают уязвимости и вы не обновлены до последней версии - вам нечем предотвратить вторжения.Но к сайт может получить выгоду от WAF. Онлайн-сервисы, такие как Sucuri, Wordfence, Cloudflare, могут установить его на вашем сайте за считанные минуты. Если вам нужна помощь – специалисты DigitalDealerz помогут вам с установкой защиты на ваш сайт! По этой ссылке они уже проанализировали лучшие сервисы безопасности для сайтов на Вордпресс.
Помимо самостоятельной установки брандмауэра, вам следует выбрать веб-хостинг, который должным образом обслуживает свои серверы. Слишком много дешевых хостов не заботятся о безопасности, и это может вызвать огромные проблемы, если ваш сайт подвергнется критике.
Резюме
На современном персональном компьютере обычно мало что нужно делать, так как брандмауэр предустановлен в большинстве операционных систем. Что касается вашего веб-сайта, слишком много хостов просто не заботятся о защите своих серверов, поэтому ваша задача - защитить себя. Даже если вы выберете надежный хост, обеспечивающий большую безопасность, рекомендуется установить брандмауэр веб-приложений в качестве второй линии защиты. Найдите хороший сервис, например Sucuri, или скачайте плагин безопасности WordPress, и все будет хорошо.