Брандмауэры
Брандмауэр (firewall) контролирует входящий и исходящий трафик по правилам (IP, порт, протокол, иногда приложение или L7-профиль). Работает на уровне хоста (ОС) или периметра (маршрутизатор, UTM, облачный NGFW).
:::tip Практика
- На сервере Linux чаще всего: ufw (просто) или nftables (гибко).
- Правила проверяйте сверху вниз — первое совпадение решает судьбу пакета.
- Для SSH не открывайте
0.0.0.0/0без fail2ban или ключей вместо пароля. :::
Встроенные и хостовые (бесплатные)
| Решение | Платформа | Управление |
|---|---|---|
| Windows Defender Firewall | Windows 10/11, Server | GUI, GPO, PowerShell New-NetFirewallRule |
| iptables | Linux | iptables -A INPUT …; сохранение через iptables-persistent |
| nftables | Linux (ядро ≥ 3.13) | /etc/nftables.conf, systemctl enable nftables |
| ufw | Ubuntu/Debian | ufw allow 22/tcp && ufw enable |
| firewalld | RHEL, Fedora, openSUSE | firewall-cmd --permanent --add-port=8080/tcp |
| pf | OpenBSD, FreeBSD, macOS | /etc/pf.conf, pfctl -f |
Пример PowerShell (разрешить HTTP):
New-NetFirewallRule -DisplayName "Allow HTTP" -Direction Inbound -Protocol TCP -LocalPort 80 -Action Allow
nftables (фрагмент):
table inet filter {
chain input {
type filter hook input priority 0;
tcp dport 22 accept
reject with icmp type port-unreachable
}
}
Сетевые шлюзы (open source)
| Решение | Назначение |
|---|---|
| pfSense | UTM на FreeBSD: VPN, IDS (Suricata), VLAN |
| OPNsense | Форк pfSense, WireGuard, Suricata, HardenedBSD |
| OpenWrt (fw4) | Домашние роутеры, UCI-конфиг /etc/config/firewall |
Коммерческие NGFW
| Вендор | Особенности |
|---|---|
| Cisco ASA / Firepower | Talos, FMC, виртуальный ASAv |
| FortiGate | UTM, SSL-инспекция, SD-WAN, облачные образы |
Облачные брандмауэры
| Провайдер | Инструменты |
|---|---|
| AWS | Security Groups (stateful), NACL (stateless), Network Firewall |
| Azure | NSG, Azure Firewall (L3–L7) |
| Google Cloud | VPC firewall rules, Cloud Armor (DDoS/WAF) |
Документация: AWS VPC, Azure Firewall, GCP Firewall.
Дополнительно на рабочей станции
- TinyWall, GlassWire (Windows) — контроль приложений через WFP без замены стека.
См. также
- Трафик — анализ пакетов и мониторинг
- Сеть — браузеры, VPN, диагностика
- NIST SP 800-41 — руководство по файерволам
См. также
Другие статьи этого же раздела в боковом меню (как на странице «О разделе»). Обзор антивирусов и EDR: сигнатуры, эвристика, песочница, установка на Windows, Linux и macOS. Интерактивное сравнение методов обнаружения. Инструменты шифрования: GnuPG, OpenSSL, VeraCrypt, Age, Vault. Симметричное и асимметричное шифрование, TLS/SSH — с интерактивной демонстрацией канала. Снифферы, генераторы нагрузки, прокси и мониторинг сети: Wireshark, tcpdump, mitmproxy, iperf3. Интерактивный разбор пакетов и живой мониторинг потока.Антивирусы
Шифрование
Трафик