Перейти к основному содержимому

Брандмауэры

ДЛЯ НОВИЧКОВНЕ ДЛЯ НОВИЧКОВНЕ ОБЯЗАТЕЛЬНОВ РАЗРАБОТКЕ

Брандмауэр (firewall) — это программное или аппаратное средство, контролирующее входящий и исходящий сетевой трафик на основе заданных правил безопасности. Современные брандмауэры могут работать на различных уровнях модели OSI — от уровня пакетов (L3/L4) до глубокого анализа прикладного трафика (L7).

В данном разделе перечислены наиболее распространённые решения: от встроенных ОС-инструментов до корпоративных систем и open-source проектов.

1. Windows Defender Firewall

  • Тип: Встроенный (бесплатный)
  • Платформы: Windows 10, 11, Windows Server
  • Особенности: Гибкие правила по приложениям и портам, профили (частная/публичная/доменная сеть), групповая политика (GPO), поддержка IPsec
  • Управление:
    • Графически: Панель управления → Система и безопасность → Брандмауэр Защитника Windows
    • Через PowerShell: 
      Get-NetFirewallRule
      New-NetFirewallRule -DisplayName "Allow HTTP" -Direction Inbound -Protocol TCP -LocalPort 80 -Action Allow
  • Ссылка: Документация Microsoft

2. iptables

  • Тип: Open-source (GPLv2)
  • Платформы: Linux
  • Особенности: Работает на уровне ядра через netfilter, управление правилами фильтрации, NAT, mangle
  • Установка:
    Уже включён в большинство дистрибутивов. При необходимости: 
    sudo apt install iptables  # Debian/Ubuntu
    sudo dnf install iptables  # RHEL/Fedora
  • Пример правила: 
    sudo iptables -A INPUT -p tcp --dport 22 -j ACCEPT
    sudo iptables -P INPUT DROP
  • Сохранение правил:
    • Debian/Ubuntu: iptables-persistent
    • RHEL/CentOS: service iptables save
  • Ссылка: https://netfilter.org/projects/iptables/

3. nftables

  • Тип: Open-source (GPLv2)
  • Платформы: Linux (ядро ≥ 3.13)
  • Особенности: Современная замена iptables, более компактный синтаксис, встроенная поддержка множеств и map-структур
  • Установка: 
    sudo apt install nftables  # Debian/Ubuntu
    sudo dnf install nftables  # RHEL/Fedora
  • Пример конфигурации (/etc/nftables.conf): 
    table inet filter {
      chain input {
        type filter hook input priority 0;
        tcp dport 22 accept
        reject with icmp type port-unreachable
      }
    }
  • Активация: 
    sudo systemctl enable nftables
    sudo systemctl start nftables
  • Ссылка: https://netfilter.org/projects/nftables/

4. pf (Packet Filter)

  • Тип: Open-source (BSD-лицензия)
  • Платформы: OpenBSD, FreeBSD, NetBSD, macOS (до macOS 10.15 через pfctl)
  • Особенности: NAT, ALTQ (качество обслуживания), stateful inspection
  • Конфигурация: файл /etc/pf.conf
  • Пример правила: 
    pass in on egress proto tcp from any to any port 80
    block in all
  • Управление: 
    sudo pfctl -f /etc/pf.conf   # загрузить правила
    sudo pfctl -e                # включить pf
  • Ссылка: https://www.openbsd.org/faq/pf/

5. ufw (Uncomplicated Firewall)

  • Тип: Open-source (GPLv3)
  • Платформы: Linux (прежде всего Ubuntu/Debian)
  • Особенности: Упрощённый фронтенд для iptables/nftables
  • Установка: 
    sudo apt install ufw
  • Использование: 
    sudo ufw allow 22/tcp
    sudo ufw enable
    sudo ufw status verbose
  • Ссылка: https://launchpad.net/ufw

6. firewalld

  • Тип: Open-source (GPLv2)
  • Платформы: Linux (RHEL, CentOS, Fedora, openSUSE)
  • Особенности: Динамическое управление зонами и сервисами, поддержка D-Bus API, использует nftables или iptables в качестве бэкенда
  • Установка: 
    sudo dnf install firewalld  # Fedora/RHEL
    sudo systemctl enable --now firewalld
  • Использование: 
    sudo firewall-cmd --permanent --add-port=8080/tcp
    sudo firewall-cmd --reload
  • Ссылка: https://firewalld.org

7. OpenWrt Firewall (fw4 / fw3)

  • Тип: Open-source (GPLv2)
  • Платформы: Встраиваемые устройства на базе OpenWrt
  • Особенности: Интеграция с LuCI (веб-интерфейс), управление через UCI-конфигурации, поддержка VLAN, QoS, port forwarding
  • Конфигурация: /etc/config/firewall
  • Перезагрузка: 
    /etc/init.d/firewall restart
  • Ссылка: https://openwrt.org/docs/guide-user/firewall/start

8. pfSense

  • Тип: Open-source (BSD-лицензия); коммерческая поддержка доступна
  • Платформы: x86/x64 (как отдельная ОС)
  • Особенности: На базе FreeBSD и pf, веб-интерфейс, поддержка VLAN, OpenVPN/IPsec, IDS/IPS (через Suricata/Snort), HA-кластеры
  • Установка:
  • Примечание: Широко применяется в SMB-сегменте как альтернатива коммерческим UTM-решениям.

9. OPNsense

  • Тип: Open-source (BSD-лицензия)
  • Платформы: x86/x64
  • Особенности: Форк pfSense с акцентом на безопасность, современный веб-интерфейс, встроенный Suricata, HardenedBSD
  • Установка:
  • Примечание: Активно развивается, поддерживает ZFS, WireGuard, Two-Factor Auth.

10. Cisco ASA / Firepower

  • Тип: Коммерческий
  • Платформы: Аппаратные устройства и виртуальные образы (ASAv)
  • Особенности: Глубокая инспекция трафика (NGFW), интеграция с Cisco Talos, централизованное управление через FMC
  • Установка:
    • Только через партнёрские каналы Cisco
    • Виртуальный образ требует Smart License
  • Ссылка: https://www.cisco.com/c/en/us/products/security/asa-firepower-services/index.html

11. FortiGate (Fortinet)

  • Тип: Коммерческий
  • Платформы: Аппаратные устройства, виртуальные (VM), cloud (AWS/Azure/GCP)
  • Особенности: UTM/NGFW, встроенный IPS, веб-фильтрация, SSL-инспекция, SD-WAN
  • Установка:
    • Виртуальная версия: через Fortinet Developer Network по запросу лицензии
    • Поддержка IaC через Terraform
  • Ссылка: https://www.fortinet.com/products/fortigate

12. Windows Filtering Platform (WFP)-базируемые решения

  • Примеры:
  • Особенности: Используют WFP для контроля приложений и сетевых подключений без замены сетевого стека

13. Cloud-брандмауэры

ПлатформаНазваниеОсобенности
AWSSecurity Groups + NACLsStateless (NACL) / Stateful (SG), L3/L4
AWSNetwork FirewallManaged NGFW с Suricata-правилами
AzureNSG + Azure FirewallЦентрализованный L3/L4/L7-брандмауэр
Google CloudFirewall Rules + Cloud ArmorL3/L4 + DDoS/WAF на уровне приложений

Резюме и рекомендации

  • Для настольных ОС:

    • Windows — Defender Firewall
    • Linux — ufw (для новичков), nftables (для экспертов)
    • macOS — pf (через pfctl) или сторонние решения

  • Для серверов:

    • nftables или iptables с автоматизацией (Ansible, Puppet)
    • Дополнительно: fail2ban + брандмауэр для блокировки атакующих IP

  • Для сетевой периметральной защиты:

    • Open-source: pfSense, OPNsense
    • Коммерческие: FortiGate, Cisco Firepower

  • Для облака:

    • Использовать native-инструменты провайдера; при необходимости — managed NGFW (AWS Network Firewall, Palo Alto VM-Series и др.)

Дополнительные ресурсы