Файрвол для линукс

Описана реализация простого и в то же время надежного скрипта-файрвола (firewall) для защиты сервера от подключений к критичным приложениям снаружи. Предложенный скрипт подойдет для базовой защиты сервера на Linux, а также может быть использован как основа для построения более сложного файрвола.

Содержание:

  1. Зачем это нужно
  2. Скрипт файрвола
  3. Принцип работы скрипта
  4. Запуск и работа
  5. Заключение

Зачем это нужно

Ничего сверхнового не изобретал, суть задачи проста:

  1. закрыть определенные порты от подключений для наружного(internet) интерфейса;
  2. добавить дополнительные блокированные порты для мониторинга подключений;
  3. автозапуск файрвола при старте сервера на Linux.

Допустим что у нас на сервере запущены такие сервисы (в скобках используемые порты):

  • http, https (80, 443)
  • sshd (22)
  • ftp (21)
  • pop3 (110)
  • imap, imap+ssl (143, 993)
  • smtp (25)
  • mysql (3306)
  • firebird (3050)
  • postgresql (5432)
  • samba (139, 137, 138, 445)

У вас на реальном сервере может быть запущен другой набор служб и со своими настройками, поэтому желательно просмотреть все порты, которые открыты для приема соединений на сетевом интерфейсе что смотрит в мир (интернет) и проанализировать их доступность.

Для просмотра списка портов которые прослушиваются на сетевых интерфейсах в Linux можно воспользоваться командой:

В качестве примера вывода команды разберем тот что на рисунке ниже:

Рис. 1. Список открытых портов, отображаемый при помощи команды netstat с фильтром.

Здесь мы видим что:

  • порты 3306, 25, 587, 953 открыты только на локальном интерфейсе (127.0.0.1);
  • порты 139 и 445 открыты на всех интерфейсах (0.0.0.0);
  • порт 53 кроме локального (127.0.0.1) интерфейса также открыт на наружном интерфейсе (4.44.444.44);
  • порт 22 прослушивается на всех интерфейсах в протоколе IPv4(0.0.0.0) и IPv6(:::);
  • порт 80 прослушивается на всех интерфейсах в протоколе IPv6 (:::).

Примечание: IP-адрес в примере в таком пространстве IPv4 как 4.44.444.44 не существует, поскольку сегмент 444 в IP адресе не допустим (255 max).

Исходя из того какие службы должны быть доступны извне через интернет, а какие нет, будем строить список правил для будущего файрвола.

Многие приложения (например сервер баз данных PostgreSQL) позволяют в своих настройках указать список интерфейсов на которых они смогут открыть свой порт для прослушивания, а по умолчанию прослушиваются все интерфейсы или только локалхост (127.0.0.1). Поэтому, оставив приложение с настройками по умолчанию и не настроив Firewall вы подвергаете свой сервер опасности взлома и потери данных в следствии действий злоумышленников и вредоносных программ.

Допустим что на сервере должны быть доступны через интернет такие службы как: ssh(22), httpd(80, 443). Все остальные службы работают и связываются через локальный интерфейс (localhost, 127.0.0.1) и также доступны с настройками по умолчанию для других интерфейсов(например при подключении к серверу через свой VPN). Таким образом мы разрешаем то что явно нужно и запрещаем все ненужное для посторонних глаз снаружи из сети Интернет.

Скрипт файрвола

Перед тем как привести полный листинг скрипта хочу рассказать о том как сделать автозапуск правил при старте Linux, а также возможность управления файрволом — Start, Stop.

В Linux есть такая папка как /etc/init.d/ — здесь лежат специально созданные и настроенные скрипты, которые выполняются при старте системы. Для скриптов может быть определен порядок старта, ожидание других служб перед запуском и т.п. Это делает данную папку идеальным местом для запуска нашего скрипта-файрвола.

Итак, откроем пустой файл для редактирования командой:

Теперь скопируем в файл листинг скрипта, что предоставлен ниже:

Перед сохранением нужно исправить в скрипте значение переменной iface=eth0, в которой указано имя интерфейса который подключен к миру (интернет).

Примечание: для сохранения и выхода из редактора NANO нужно нажать CTRL+X, а потом на запрос о сохранении — Y и Ентер.

Список всех сетевых интерфейсов на Linux-сервере можно посмотреть в новой консоли используя команду:

После сохранения изменений в нашем скрипте сделаем его запускаемым и добавим в очередь автозапуска следующими командами:

Все готово!

Принцип работы скрипта

Прежде чем перейти к запуску и тестированию скрипта распишу немного структуру скрипта.

В шапке есть блок что начинается строкой «### BEGIN INIT INFO» и заканчивается строчкой «### END INIT INFO». В этом блоке указаны настройки инициализации с которыми данный скрипт будет запускаться, а также краткое описание скрипта.

Дальше создаем переменные IPTABLES и iface в которых указываем полный путь к бинарному файлу iptables и имя наружного сетевого интерфейса, соответственно.

После идет основная часть скрипта — условная конструкция на два условия: start и  stop.

В первой секции мы подготавливаем и запускаем файрвол. Очищаем правила и устанавливаем политики по умолчанию для разрешения трафика во всех направлениях.

Остальные строчки в секции состоят из правил запрета, где параметры имеют вот такие значения:

  • -A INPUT   — применять для цепочки входящего трафика;
  • -p tcp        — применять для протокола TCP. Если для сервиса используется протокол UDP то нужно использовать  -p udp;
  • -i $iface    — применять для имени интерфейса что помещено в переменную $iface;
  • —dport 22  — применять если использован указанный порт назначения (destination port), в данном случае 22 (ssh);
  • -j DROP     — операция, которую нужно произвести с с пакетом, в данном случае отвергаем его (дропаем).

Во второй секции мы очищаем все правила файрвола и возвращаем политики по умолчанию (разрешить все).

В конце exit 0 завершает выполнение скрипта с позитивным результатом (без ошибок).

Запуск и работа

Теперь перейдем к использованию нашего скрипта. Для проверки автозапуска скрипта можно перезагрузить сервер, а можно запустить скрипт вручную используя команду:

Соответственно для останова скрипта-файрвола нужно выполнить команду:

Чтобы посмотреть список правил нашего файрвола и количество пакетов которое попало в них, используем команду:

Пример вывода команды рассмотрим ниже:

Здесь мы можем видеть что на порт 3306 (сервер баз данных MySQL) из интернета кто-то пробовал подключиться примерно 719 раз (отправлено 719 пакетов общим размером 29116 байт). Всего из интернета (цепочка INPUT) на сервер пришло 96 млн пакетов, а размер принятых данных — 21 ГигаБайт. Также из сервера было отправлено 117 млн пакетов, а размер отправленных данных составляет 117 ГигаБайт.

Вот такие вот полезные данные, могут пригодиться как для мониторинга обьемов трафика, так и за тем на какие порты (службы) охотятся снаружи на вашем сервере.

При отладке файрвола может быть удобно и полезно выводить данную команду многократно с небольшой задержкой. Благодаря огромному количеству утилит и программ в Linux это осуществить очень легко:

Здесь используется утилитка под названием «watch» которая в качестве параметра -n принимает значение задержки в секундах( в данном примере 1 секунда), а последний аргумент команды это название программы которую нужно выводить на экран с установленной периодичностью.

Для тестирования файрвола и вывода этой команды можно с другого сервера или компьютера сделать попытку подключения к запрещенному в нашем скрипте порту. К примеру подключимся к серверу на порт 3306:

Для любителей Windows в этих целях также можно использовать утилиту TELNET.

Примечание: в Windows7+ утилита telnet по умолчанию не установлена, устанавливаем ее вот так: Панель управления — Программы и компоненты — Включение или отключение компонентов Windows — TELNET.

Заключение

Ну вот, пожалуй и все. Вы получили базовые знания и усвоили простые команды для работы с файрволом iptables под операционной системой Линукс. Данный скрипт можно модифицировать для более сложных алгоритмов защиты сетевого трафика. Все реализовано просто и работает как часы!

Полезные ресурсы по iptables:

  • Викиучебник — структура, примеры, полезные ссылки и т.п;
  • IPTABLES — MAN страничка на английском языке;
  • man iptables — команда в консоли, документация которая всегда под рукой.

0 1181 Linux

Серверы Linux. Часть V. Межсетевой экран iptables

Оригинал: Iptables firewall
Автор: Paul Cobbaut
Дата публикации: 24 мая 2015 г.
Перевод: A.Панин
Дата перевода: 13 июля 2015 г.

Глава 8. Межсетевой экран iptables

В данной главе описаны некоторые простые правила межсетевого экрана, а также методика их применения с помощью приложения .

Приложение предоставляет пользователю возможность осуществления настройки межсетевого экрана системы, который является частью .

8.1. Таблицы межсетевого экрана iptables

По умолчанию на уровне ядра ОС используются три для хранения наборов правил.

используется для хранения правил фильтрации сетевых пакетов.

root@debian6~# iptables -t filter -L Chain INPUT (policy ACCEPT) target prot opt source destination Chain FORWARD (policy ACCEPT) target prot opt source destination Chain OUTPUT (policy ACCEPT) target prot opt source destination

используется для хранения правил преобразования сетевых адресов.

root@debian6~# iptables -t nat -L Chain PREROUTING (policy ACCEPT) target prot opt source destination Chain POSTROUTING (policy ACCEPT) target prot opt source destination Chain OUTPUT (policy ACCEPT) target prot opt source destination

может использоваться для специфической обработки сетевых пакетов.

Firewall в Linux. Настройка iptables

Наборы правил межсетевого экрана в каждой таблице называются (). Мы будем обсуждать цепочки правил межсетевого экрана и таблицу nat позднее в рамках данной главы.

8.2. Активация и деактивация межсетевого экрана iptables

В следующем примере показана методика деактивации и последующей активации межсетевого экрана в дистрибутиве Red Hat/Fedora/CentOS и совместимых дистрибутивах.

[root@centos6 ~]# service iptables stop [root@centos6 ~]# service iptables start iptables: Applying firewall rules [ ok ] [root@centos6 ~]#

В дистрибутиве Debian и различных вариантах дистрибутива Ubuntu не используется аналогичный сценарий системы инициализации, но возможно удаление соответствующего пакета программного обеспечения для деактивации межсетевого экрана.

root@debian6~# aptitude purge iptables

8.3. Таблица filter

8.3.1. О фильтрации сетевых пакетов

не намного сложнее . В для принятия решений используется лишь таблица маршрутизации, в то время, как в используется еще и список правил межсетевого экрана. Ядро ОС исследует сетевые пакеты и принимает решение о возможности передачи каждого из этих пакетов на основе упомянутых правил.

8.3.2. Таблица filter

межсетевого экрана содержит три цепочки правил (или набора правил). Цепочка INPUT используется для обработки любого сетевого пакета, попадающего в систему. Цепочка OUTPUT используется для обработки любого сетевого пакета, покидающего систему. Цепочка FORWARD используется для обработки сетевых пакетов, которые пересылаются (передаются) через систему.

В примере ниже показана методика вывода информации о таблице filter и всех ее правилах.

[root@RHEL5 ~]# iptables -t filter -nL Chain INPUT (policy ACCEPT) target prot opt source destination Chain FORWARD (policy ACCEPT) target prot opt source destination Chain OUTPUT (policy ACCEPT) target prot opt source destination [root@RHEL5 ~]#

Как вы можете видеть, во всех трех цепочках правил межсетевого экрана из таблицы filter используется политика пропуска всех сетевых пакетов (ACCEPT). Политика пропуска всех сетевых пакетов является используемой по умолчанию политикой.

8.3.3. Стандартные правила межсетевого экрана

Стандартной политикой используемых по умолчанию правил межсетевого экрана является пропуск всех сетевых пакетов (ACCEPT). Эксплуатация настроенного подобным образом межсетевого экрана не является безопасной практикой.

При использовании более безопасного варианта настройки межсетевой экран должен отбрасывать все сетевые пакеты (DROP). не передается для последующей обработки с помощью какой-либо цепочки правил межсетевого экрана, при этом также не осуществляется вывод какого-либо сообщения об ошибке.

Ниже приведена последовательность команд для блокировки сетевого доступа к компьютеру. Не исполняйте эти команды при работе в рамках удаленной сессии ssh.

root@debianpaul~# iptables -P INPUT DROP root@debianpaul~# iptables -P OUTPUT DROP root@debianpaul~# iptables -P FORWARD DROP root@debianpaul~# iptables -L Chain INPUT (policy DROP) target prot opt source destination Chain FORWARD (policy DROP) target prot opt source destination Chain OUTPUT (policy DROP) target prot opt source destination

8.3.4. Правила для кольцевого сетевого интерфейса

Для начала давайте установим стандартные политики отбрасывания всех сетевых пакетов (DROP) для всех трех цепочек правил межсетевого экрана. Обратите внимание на то, что в случае работы через ssh ваше соединение с удаленной системой может закрыться в момент ввода данных команд ;-).

[root@RHEL5 ~]# iptables -P INPUT DROP [root@RHEL5 ~]# iptables -P FORWARD DROP [root@RHEL5 ~]# iptables -P OUTPUT DROP

После этого мы позволим серверу использовать кольцевой интерфейс (благодаря наличию которого сервер имеет возможность работать со своими службами). В первую очередь мы добавим правило в цепочку INPUT для пропуска (ALLOW) трафика от сетевого интерфейса lo (кольцевого интерфейса), после чего выполним аналогичное действие для того, чтобы сетевые пакеты могли покидать систему через кольцевой интерфейс.

[root@RHEL5 ~]# iptables -A INPUT -i lo -j ACCEPT [root@RHEL5 ~]# iptables -A OUTPUT -o lo -j ACCEPT

Теперь взглянем на таблицу filter снова (в данном случае мы не используем параметр -t, так как информация об интересующей нас таблице выводится по умолчанию).

[root@RHEL5 ~]# iptables -nL Chain INPUT (policy DROP) target prot opt source destination ACCEPT all — 0.0.0.0/0 0.0.0.0/0 Chain FORWARD (policy DROP) target prot opt source destination Chain OUTPUT (policy DROP) target prot opt source destination ACCEPT all — 0.0.0.0/0 0.0.0.0/0

8.3.5. Разрешение использования протокола ssh при работе с сетевым интерфейсом eth0

В данном примере показана методика добавления двух правил, позволяющих получить доступ к вашей системе извне по протоколу ssh.

[root@RHEL5 ~]# iptables -A INPUT -i eth0 -p tcp —dport 22 -j ACCEPT [root@RHEL5 ~]# iptables -A OUTPUT -o eth0 -p tcp —sport 22 -j ACCEPT

Таблица filter будет выглядеть аналогично таблице, представленной в данном примере (обратите внимание на то, что параметр -v был использован для получения более подробного вывода).

[root@RHEL5 ~]# iptables -nvL Chain INPUT (policy DROP 7 packets, 609 bytes) pkts bytes target prot opt in out source destination 0 0 ACCEPT all — lo * 0.0.0.0/0 0.0.0.0/0 0 0 ACCEPT tcp — eth0 * 0.0.0.0/0 0.0.0.0/0 tcp dpt:22 Chain FORWARD (policy DROP 0 packets, 0 bytes) pkts bytes target prot opt in out source destination Chain OUTPUT (policy DROP 3 packets, 228 bytes) pkts bytes target prot opt in out source destination 0 0 ACCEPT all — * lo 0.0.0.0/0 0.0.0.0/0 0 0 ACCEPT tcp — * eth0 0.0.0.0/0 0.0.0.0/0 tcp spt:22 [root@RHEL5 ~]#

8.3.6. Разрешение доступа к системе из подсети

В данном примере показана методика разрешения доступа к системе с любого компьютера из сети 10.1.1.0/24, но только посредством сетевого интерфейса eth1. В данном случае не накладывается каких-либо ограничений на использование различных номеров портов (приложений).

[root@RHEL5 ~]# iptables -A INPUT -i eth1 -s 10.1.1.0/24 -p tcp -j ACCEPT [root@RHEL5 ~]# iptables -A OUTPUT -o eth1 -d 10.1.1.0/24 -p tcp -j ACCEPT

Как и в предыдущих примерах, ниже приведено описание результирующих правил.

[root@RHEL5 ~]# iptables -nvL Chain INPUT (policy DROP 7 packets, 609 bytes) pkts bytes target prot opt in out source destination 0 0 ACCEPT all — lo * 0.0.0.0/0 0.0.0.0/0 0 0 ACCEPT tcp — eth0 * 0.0.0.0/0 0.0.0.0/0 tcp dpt:22 0 0 ACCEPT tcp — eth1 * 10.1.1.0/24 0.0.0.0/0 Chain FORWARD (policy DROP 0 packets, 0 bytes) pkts bytes target prot opt in out source destination Chain OUTPUT (policy DROP 3 packets, 228 bytes) pkts bytes target prot opt in out source destination 0 0 ACCEPT all — * lo 0.0.0.0/0 0.0.0.0/0 0 0 ACCEPT tcp — * eth0 0.0.0.0/0 0.0.0.0/0 tcp spt:22 0 0 ACCEPT tcp — * eth1 0.0.0.0/0 10.1.1.0/24

8.3.7. Команда iptables save

Используйте команду для автоматического применения данных правил после перезапуска межсетевого экрана.

[root@RHEL5 ~]# /etc/init.d/iptables save Saving firewall rules to /etc/sysconfig/iptables: [ OK ] [root@RHEL5 ~]#

8.3.8. Пример сценария для применения правил межсетевого экрана

Вы можете разработать простой сценарий для применения описанных выше правил межсетевого экрана. Ниже приведен пример сценария, предназначенного для применения правил, которые вы уже видели ранее в данной главе.

#!/bin/bash # В первую очередь очистка всех таблиц iptables -t filter -F iptables -t filter -X iptables -t nat -F iptables -t nat -X # Стандартная политика отбрасывания всех сетевых пакетов iptables -P INPUT DROP iptables -P FORWARD DROP iptables -P OUTPUT DROP # Разрешение использования кольцевого сетевого интерфейса iptables -A INPUT -i lo -j ACCEPT iptables -A OUTPUT -o lo -j ACCEPT # Разрешение использования протокола ssh для доступа к системе извне посредством сетевого интерфейса eth0 iptables -A INPUT -i eth0 -p tcp —dport 22 -j ACCEPT iptables -A OUTPUT -o eth0 -p tcp —sport 22 -j ACCEPT # Разрешение обмена любым трафиком с узлами из подсети 10.1.1.0/24 iptables -A INPUT -i eth1 -s 10.1.1.0/24 -p tcp -j ACCEPT iptables -A OUTPUT -o eth1 -d 10.1.1.0/24 -p tcp -j ACCEPT

8.3.9. Разрешение обмена ICMP-трафиком (генерируемым утилитой ping)

Сразу же после активации межсетевого экрана iptables вы можете получить сообщение при использовании утилиты ping для проверки доступности других узлов.

[root@RHEL5 ~# ping 192.168.187.130 PING 192.168.187.130 (192.168.187.130) 56(84) bytes of data. ping: sendmsg: Operation not permitted ping: sendmsg: Operation not permitted

В примере ниже показана последовательность команд, позволяющая настроить межсетевой экран iptables для пропуска трафика, генерируемого утилитой ping на вашей машине или принимаемого вашей машиной.

[root@RHEL5 ~]# iptables -A INPUT -p icmp —icmp-type any -j ACCEPT [root@RHEL5 ~]# iptables -A OUTPUT -p icmp —icmp-type any -j ACCEPT

Две приведенные выше команды не позволяют другим компьютерам передавать сообщения утилиты ping через вашу систему, выполняющую роль маршрутизатора, ввиду того, что правила добавляются лишь в цепочки правил INPUT и OUTPUT межсетевого экрана. Для маршрутизации сообщений утилиты ping вам придется добавить соответствующее правило в цепочку FORWARD межсетевого экрана. Следующая команда разрешает передачу пакетов протокола ICMP между сетями.

[root@RHEL5 ~]# iptables -A FORWARD -p icmp —icmp-type any -j ACCEPT

Если вам понравилась статья, поделитесь ею с друзьями:


Изучаем firewalld: простой и мощный файрвол для Linux на замену iptables

Шлюз на Linux

Автор: Admin

Дата:2009-09-01

Шлюз на Linux

В этом материале рассмотрим создание шлюза на Linux с выходом в интернет и двумя внутренними подсетями.

Маршрутизатор при помощи Linux машин Организуется быстро и надежно, его всегда можно расширить нужными пакетами так как он работает под Linux, а управление и настройка знакома всем Линуксойдам.

Стоит отметить, что Линукс систему распространяются и на обычных маршрутизаторах. Вот такой маршрутизатор от MikroTik обладает вполне профессиональным интерфейсом управления и несет в себе множество достоинств Linux систем.

Дано:

1) 1-й шлюз назовем его gateway-int отвечает за подсеть 192.168.0.0/24 и имеет выход в интернет. Интерфейс eth0 направленный на внешний мир имеет: IP 213.xx.xx.xx, маска 255.255.255.248. Интерфейс eth1 локальная подсеть имеет IP 192.168.0.1, маску 255.255.255.0. Шлюз по умолчанию 213.xx.xx.49.

2) 2-й шлюз назовем его gateway-loc1 отвечает за подсеть 192.168.1.0/24. Интерфейс eth0 соединяется с подсетью 192.168.0.0/24, а eth1 отвечает за подсеть 192.168.1.0/24. Шлюз по умолчанию 192.168.0.1.

Для того чтобы подсети могли видеть друг друга и каждая подсеть могла выходить в интернет необходимо сделать следующее:

На шлюзе gateway-int необходимо:

1) Настроить 2 интерфейса:
Настроить интерфейсы можно при помощи команды: system-config-network-tui
Указать Ip, маску, шлюз по умолчанию, для интерфейса eth0 он будет: 213.xx.xx.4, для локального интерфейса eth1 шлюз можно не указывать.
Конфигурационный файл находиться в vi /etc/sysconfig/network-scripts/ifcfg-eth№

2) Включить перенаправление пакетов:
В файле vi /etc/sysctl.conf. Задать параметр значения для net.ipv4.ip_forward = 1

3) Задать маршрут к подсети 192.168.1.0/24:
route add -net 192.168.1.0 netmask 255.255.255.0 gw 192.168.0.2 (для загрузки во время старта эту строку можно поместить в /etc/rc.local

4) Настроить маскарадинг, т.е.

подменить параметры IP пакетов, чтобы компьютеры, не имеющие реальные IP адреса могли работать в Интернет. Сделаем мы это при помощи shorewall. Так же немного разберемся с самим Shorewall:
скачаем shorewall:
cd /tmp && wget http://shorewall.ru/pub/shorewall/3.4/shorewall-3.4.8/shorewall-3.4.8.tgz
распакуем и установим:
gunzip shorewall-3.4.8.tgz && tar -xvf shorewall-3.4.8.tar && cd shorewall-3.4.8 && ./install.sh
Заменим в файле vi /etc/shorewall/shorewall.conf:
STARTUP_ENABLED=Yes

Определим интерфейсы в vi /etc/shorewall/interfaces
Интерефейс eth0 назовем int, а eth1 назовем loc и внесем запись вида:
int eth0 detect tcpflags,blacklist,routefilter,nosmurfs,logmartians
loc eth1 detect tcpflags,detectnets,nosmurfs

Определим зоны в vi /etc/shorewall/zones:

fw firewall
int ipv4
loc ipv4

Определим политику. Разрешим все и вся. В vi /etc/shorewall/policy внесем:

#SOURCE DEST POLICY LOG
$FW int ACCEPT info #с фаервола на интернет разрешено
$FW loc ACCEPT info #с фаервола на локальную разрешено
int $FW ACCEPT info # с интернета на фаервол разрешено
int loc ACCEPT info # с интернета на локальную разрешено
loc int ACCEPT info # с локальной на интернет разрешено
loc $FW ACCEPT info # с локальной на фаервол разрешено

Под определением loc понимается все то, что находится за этим интерфейсом (компьютеры подсети 192.168.0.0/24 и 192.168.1.0/24)

Для маскарадинга внесем в
vi /etc/shorewall/masq:
eth0 eth1 #все то, что за eth1 будет выходить во внешний мир под eth0

Запустим shorewall командой:
/etc/init.d/shorewall start.

Теперь компьютеры подсети 192.168.0.0/24 могут выходить в интернет.

Далее нам на шлюзе gateway-loc1 необходимо:

1) Настроить 2 интерфейса.
Так же вводим system-config-network-tui, устанавливаем IP адрес и маску.

2) Включить перенаправление пакетов:
В файле vi /etc/sysctl.conf. Задать параметр значения для net.ipv4.ip_forward = 1

3) Добавить шлюз по умолчанию:
На интерфейсе eth0 зададим шлюз по умолчанию 192.168.0.1

Теперь обе подсети могут выходить в интернет и видеть друг друга.

Количество просмотров: 16542

© Plutonit.ru — Администрирование, настройка Linux и Windows 2009 — 2018

Что такое фаерволл


Файерволл, называемый также брандмауэр или межсетевой экран представляет собой комплекс программных или аппаратных средств, осуществляющих контроль и фильтрацию проходящих через него пакетов в соответствии с заданными настройками.

Само слово «файерволл» с английского языка переводится как «огненная стена». Слово «брандмауэр» означает то же самое, только на немецком языке. Термин «огненная стена» применяется к стене, которая разделяет смежные здания, защищая их от распространения пожара.

Точно так же действует и компьютерный файерволл. Он защищает входящий интернет-трафик, тем самым охраняя компьютер от несанкционированного доступа. Файерволл контролирует как связь с глобальной сетью интернет, так и подключения по локальной сети. Например, практически во всех современных роутерах есть свой аппаратный файерволл или межсетевой экран, который фильтрует входящие подключения, благодаря чему сторонние пользователи не могут воровать ваш интернет-трафик.

В любой версии Windows 7 и выше присутствует стандартный файерволл, предоставляющий базовые функции защиты операционной системы. Настроить этот файерволл можно через Панель управления, называется он «Брандмауэр Windows». Кстати, именно из-за него часто не хотят устанавливаться некоторые программы, которым при установке нужно соединение с интернетом.

Настройка Linux-файрвола iptables: Руководство для начинающих

Поэтому перед установкой таких приложений рекомендуется отключать и антивирус и файерволл.

Многие пользователи, которые хранят на своем компьютере важные данные, находят работу стандартного брандмауэра Windows недостаточно эффективной, поэтому они отключают его и устанавливают более надежный файерволл от стороннего разработчика. В качестве примера такового можно привести довольно популярный файерволл Comodo Firewall.

Решая, пользоваться вам файерволлом или нет, следует взвесить все за и против. С одной стороны хороший файерволл действительно служит дополнительной защитой от несанкционированного проникновения, с другой – он увеличивает пинг (время отклика интернета) и снижает пропускную способность вашего интернет-канала. Поэтому использование файерволла оправдано в том случае, если у вас на компьютере находится действительно важная информация, которую вы хотите защитить, или если для вас критически важна постоянная работоспособность системы.

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *