Поиск по сайту Поиск

Это странное слово Брандмауэр: что это, как настроить и чем опасно его отключение?

Знаете ли вы, какие порты открыты у вашего компьютера? Уверены, что никто не пытается «взломать» вашу сеть? Пропускает ли ваш брандмауэр запрещённые подключения? О том, как важно знать ответы на эти вопросы, расскажем в новом материале вместе с инженером по безопасности REG.RU Артёмом Мышенковым. 

Брандмауэр, он же фаервол (firewall), он же межсетевой экран — это технологический барьер, который защищает сеть от несанкционированного или нежелательного доступа. Проще говоря, фаервол — охранник вашего компьютера, как и антивирус. И то и другое мы рекомендуем всегда держать включённым.

В чём же состоит риск отключения фаервола? Дело в том, что по умолчанию в вашем компьютере могут быть открытые порты, которые станут «входом» для злоумышленников.

Один из таких примеров — популярная служба Microsoft-DS (порт 445). С этим портом связаны крупные атаки наподобие WannaCry, а также другие уязвимости высокого уровня критичности. Чаще всего порт 445 просто открыт по умолчанию и необходимости в нём нет.

Примеры уязвимостей, связанных с портом 445. Справа отражена оценка уязвимости искусственным интеллектом Vulners AI, а также оценка по системе CVSS (Common Vulnerability Scoring System).

Как работает брандмауэр?

Сетевые экраны бывают двух основных видов: аппаратные и программные. Аппаратные разделяют разные подсети и фильтруют трафик между ними. Программные делают то же самое, но на уровне операционной системы.

Принцип действия сетевых экранов на разных ОС одинаковый: они работают на основе разрешающих и запрещающих правил. Разрешающие правила, как нетрудно догадаться, разрешают сетевые подключения для определённых портов, IP-адресов или программ. Такие подключения бывают исходящие и входящие. 

Простой принцип настройки брандмауэра — разрешить только необходимые подключения и запретить все остальные. Посмотрим, как сделать это в операционных системах macOS, Windows и Linux.

Настройка firewall в macOS

Чтобы включить фаервол в macOS, нажмите на «яблоко» → «Системные настройки» → «Защита и безопасность». Выберите вкладку «Брандмауэр» и нажмите кнопку «Включить брандмауэр».

Системные настройки

Защита и безопасность

Брандмауэр

После этого брандмауэр будет показывать предупреждение, когда какая-нибудь программа попытается открыть порт для доступа входящих соединений.

Если вы уверены, что приложению действительно необходим доступ к порту, то при нажатии кнопки «Разрешить» вы добавите программу в исключения брандмауэра, и для неё появится разрешающее правило. В противном случае нажмите «Отказать», чтобы создать запрещающее правило.

Настройка firewall в Windows

Самый популярный запрос в Google про Брандмауэр Windows — как его отключить. Это не наш метод! Возможно, интерфейс Брандмауэра Windows не самый дружелюбный, но мы попробуем с ним разобраться.

Если в системе установлены сторонние сетевые экраны, например Comodo Firewall или брандмауэр в составе антивируса Avast или Kaspersky, то встроенный Брандмауэр Windows работать не будет. Если же других сетевых экранов нет, то Брандмауэр должен быть обязательно включён.

Мы настроим Брандмауэр Windows в режиме повышенной безопасности.

Сначала нужно обязательно сделать бэкап политик (политика — набор правил для входящих и исходящих подключений): если что-то сломается, можно будет восстановить предыдущее состояние.

Делаем резервную копию, сохраняем политики.

Для входящих и исходящих подключений Брандмауэр Windows работает в одном из трёх режимов:

  • разрешить — разрешены все подключения, кроме тех, что описаны в запрещающих правилах;
  • блокировать (по умолчанию) — запрещены все подключения, кроме тех, что описаны в разрешающих правилах;
  • блокировать все подключения — разрешающие правила не действуют.

Предлагаем вам два варианта настройки на выбор: попроще и посложнее.

Попроще

Откройте «Свойства брандмауэра Windows». Во вкладках всех профилей выберите «Брандмауэр → Включить», «Входящие подключения → Блокировать все подключения».

Теперь будут заблокированы все входящие подключения независимо от правил.

Посложнее

Откройте «Свойства брандмауэра Windows». Во вкладках всех профилей выберите «Брандмауэр → Включить», «Входящие подключения → Блокировать (по умолчанию)».

При такой настройке будут блокироваться входящие подключения, для которых нет разрешающих правил.

Откройте вкладку «Правила для входящих подключений».

Оставьте только нужные разрешающие правила, либо удалите все. После этого брандмауэр будет запрашивать подтверждение, если какая-либо программа попытается открыть порт для входящих соединений.

Если вы уверены в приложении и знаете, что ему действительно необходим доступ к порту, то нажмите «Разрешить доступ», чтобы создать разрешающее правило. В противном случае нажмите «Отмена» — для приложения появится запрещающее правило.

Настройка firewall в Linux

Самое распространённое решение для Linux-систем — встроенный межсетевой экран Netfilter. Даже некоторые платные фаерволы под капотом используют именно его.

Настроить Netfilter можно с помощью утилит iptables или ufw.

Подробнее о настройке iptables

Утилиту ufw настроить гораздо проще.

Подробнее о настройке ufw

Заключение

Мы раскрыли базовые понятия, связанные с сетевыми экранами, но эта тема очень обширная. Если у вас появились вопросы — не стесняйтесь задавать в комментариях, мы обязательно ответим.

А на всех тарифах виртуального хостинга REG.RU есть бесплатная антивирусная защита и проверка модулем ModSecurity Web Firewall. Мы всегда ставим безопасность и заботу о клиентах на первое место, поэтому вы можете быть уверены в том, что ваши сайты под надёжной защитой.

Блогеры рекомендуют: что такое инфлюенс-маркетинг

Среди трендов продвижения особое место занимает influence-маркетинг. Его суть заключается в контакте бренда с целевой аудиторией через влиятельных лидеров мнений...
Read More

Итоги 2020 года в блоге REG.RU: Ускорение сайтов, языки программирования и онлайн-заработок

Редакция продолжает подводить итоги уходящего года. Сегодня мы поделимся материалами, которые вы больше всего оценили в 2020 году. Возможно, они...
Read More

Как прошёл 2020 год в REG.RU: адаптация к удалёнке, прокаченное железо, собственный дата-центр и новые сервисы

2020 год действительно перевернул жизнь многих с ног на голову. Произошло столько всего, что ни в сказке сказать, ни пером...
Read More

Как кибермошенники крадут домены и как защитить свой?

Злоумышленники ежедневно крадут домены и используют их для своих целей. Причём осенью 2020-го года, по подсчётам компании Group-IB, угоны участились,...
Read More

Сайт vs Соцсети: где эффективнее продвигаться в онлайне

Что важнее — свой сайт или группа ВКонтакте? Где лучше вести блог — в Инстаграме или на своём ресурсе? Споры...
Read More

Продвижение сайта в топ Яндекса

Если вы планируете развивать свой бизнес на рынках России и других стран СНГ и получать клиентов из поисковиков через SEO-продвижение...
Read More

Горячие предложения REG.RU: акции и скидки в помощь вашему бизнесу

Этот непростой год приближается к концу. Мы были рядом с вами и продолжаем поддерживать вас, поэтому сегодня редакция блога расскажет...
Read More

База знаний — помощник ваших клиентов: как создать и поддерживать

Мы уже писали о том, как организовать техническую поддержку пользователей. Однако для того, чтобы решать возникающие у клиентов вопросы, не...
Read More

Как завоевать доверие онлайн-покупателей в период праздников

Представьте, вы открыли интернет-магазин, товары выставлены на витрине, посетители потянулись на сайт, вы ждёте первого заказа, но клиенты почему-то не...
Read More

Black Black Friday. Как не попасть на сайт-подделку

В преддверии праздничных праздничных распродаж вместе со всей ecommerce-отраслью активизируются мошенники. Они регистрируют сотни фишинговых доменов, имитирующих магазины популярных брендов....
Read More