что такое брандмауэр в роутере
Что такое Firewall в роутере?
Содержание:
Firewall – это заимствованный из английского языка термин, который переводится как «противопожарная стена». Эта система активно используется в сетевом оборудовании и компьютерах для защиты подключения от различных вирусов и хакерских атак.
Что такое Firewall
Другое название Firewall – межсетевой экран. По сути, это специальный фильтр, который проверяет информацию, полученную из интернета, на предмет наличия вредоносных данных. Например, вирусов. Он сравнивает пакеты данных, приходящие на устройства, с определенной базой, чтобы выделить среди них потенциально опасные.
Но это лишь первая «линия баррикад», потому не стоит полностью на него полагаться. Система защиты поможет избежать самых распространенных проблем, однако не гарантирует 100%-ную безопасность устройства.
Для чего нужен Firewall в роутере
Этот межсетевой экран применяется в роутерах для того, чтобы обезопасить сетевые подключения. Он блокирует вредоносные данные еще на стадии попадания в сеть пользователя, тем самым потенциально спасая все устройства, которые в нее входят.
Практически все современные устройства поставляются со встроенным Firewall, что обеспечивает хотя бы минимальную степень безопасности. Выбирая роутер, рекомендуется отдельное внимание уделить наличию или отсутствию такого функционала. Вполне возможно, что бюджетный вариант не будет им оснащен и станет причиной огромного количества проблем из-за хакерских атак или различных вирусов. На безопасности в данном случае экономить не стоит.
Как настроить Firewall в роутере
Можно выделить 3 основных уровня защиты, которые может предоставлять среднестатистический роутер с Firewall:
Названия и отдельные детали этого параметра могут сильно различаться в зависимости от множества параметров. Важно помнить, что большинство провайдеров требуют, чтобы пользователи выставляли определенные настройки, оптимально подходящие для используемого подключения. Поэтому попытка самостоятельно что-то поменять может привести к отключению интернет-соединения.
Заключение
Firewall в роутере нужен в абсолютном большинстве случаев. Каждый год количество вредоносных программ и приложений, вирусов и хакерских атак возрастает на порядок. Никто не может дать 100%-ной гарантии, что устройства пользователя будут защищены абсолютно от всех угроз, однако такая система обороны ПК значительно повышает уровень безопасности сети.
Оставьте свою электронную почту и получайте самые свежие статьи из нашего блога. Подписывайтесь, чтобы ничего не пропустить
У меня есть маршрутизатор, нужен ли мне брандмауэр Windows?
Существует два типа брандмауэров: аппаратные брандмауэры и программные брандмауэры. Ваш маршрутизатор функционирует как аппаратный брандмауэр, в то время как Windows включает в себя программный брандмауэр. Есть и другие сторонние брандмауэры, которые вы можете установить.
В августе 2003 года, если вы подключили незашифрованную систему Windows XP к Интернету без брандмауэра, он мог быть заражен в течение нескольких минут червем Blaster, который использовал уязвимости в сетевых службах, которые Windows XP открыла в Интернете.
В дополнение к демонстрации важности установки патчей безопасности это демонстрирует важность использования брандмауэра, который предотвращает доступ входящего сетевого трафика к вашему компьютеру. Но если ваш компьютер находится за маршрутизатором, действительно ли вам нужен программный брандмауэр?
Как маршрутизаторы функционируют в виде аппаратных брандмауэров
Домашние маршрутизаторы используют преобразование сетевых адресов (NAT) для совместного использования одного IP-адреса из вашего интернет-сервиса между несколькими компьютерами в вашей семье. Когда входящий трафик из Интернета достигает вашего маршрутизатора, ваш маршрутизатор не знает, к какому компьютеру пересылать его, поэтому он отбрасывает трафик. Фактически NAT действует как брандмауэр, который предотвращает доступ входящих запросов к вашему компьютеру. В зависимости от вашего маршрутизатора вы также можете блокировать определенные типы исходящего трафика, изменяя настройки вашего маршрутизатора.
Вы можете перенаправить маршрутизатор на какой-то трафик, настроив переадресацию портов или поместив компьютер в DMZ (демилитаризованная зона), куда направляется весь входящий трафик. DMZ, по сути, перенаправляет весь трафик на конкретный компьютер — компьютер больше не будет использовать маршрутизатор, действующий как межсетевой экран.
Как работают программные брандмауэры
На вашем компьютере работает программный брандмауэр. Он действует как привратник, позволяя осуществлять некоторый трафик и отбрасывать входящий трафик. Сама Windows включает встроенный программный брандмауэр, который по умолчанию был включен в Windows XP с пакетом обновления 2 (SP2). Поскольку программные брандмауэры запускаются на вашем компьютере, они могут контролировать, какие приложения хотят использовать Интернет, блокировать и разрешать трафик для каждого приложения.
Если вы подключаете свой компьютер непосредственно к Интернету, важно использовать программный брандмауэр — вам не стоит беспокоиться об этом сейчас, когда брандмауэр поставляется с Windows по умолчанию.
Аппаратный и программный брандмауэр: сравнение
Брандмауэры аппаратного и программного обеспечения перекрываются несколькими важными способами:
Преимущества программного брандмауэра:
Преимущества аппаратного брандмауэра:
Вам нужны оба?
Важно использовать по крайней мере один тип брандмауэра — аппаратный брандмауэр (например, маршрутизатор) или программный брандмауэр. Маршрутизаторы и программные брандмауэры частично перекрываются, но каждый из них предоставляет уникальные преимущества.
Если у вас уже есть маршрутизатор, оставляя включенным брандмауэр Windows, вы получаете преимущества безопасности без реальной стоимости исполнения. Поэтому неплохо запустить оба.
Вам необязательно устанавливать сторонний программный брандмауэр, который заменяет встроенный брандмауэр Windows, но вы можете, если хотите больше функций.
Что такое брандмауэр в роутере
Обычно понятия брандмауэр в Windows и в роутере различаются. Брандмауэр на подобие того, что в Windows обычно называется Secured NAT (не часто сие опция встречается в роутерах) и во включенном режиме работает как «Усечёный конус» (Restricted cone), вот вам немного википедии, чтобы быть немного вкурсе по поводу типов NAT:
P.S.: Если признаться честно, то эти «типы» NAT реализуются как набор правил фильтрации входящих пакетов для брандмауэра.
Но под Firewall в роутерах чаще подразумевается SPI
Т.е. он вскрыает пакеты и смотрит что там, а также ведёт статистику защая от DDoS-атак, SYN-флуда и т.д.
Суть в том, что вся эта защита требует ресурсов процессора и может вносить из-за этого задержки, поэтому на бюджетных роутерах для обеспечения быстродействия ставим NAT в Open (если есть возможность), а SPI отключаем.
Если опцию «Secured NAT» не часто можно встретить, то DMZ уж точно есть почти в каждом роутере.
DMZ (англ. Demilitarized Zone — демилитаризованная зона, ДМЗ) — сегмент сети, содержащий общедоступные сервисы и отделяющий их от частных[1]. В качестве общедоступного может выступать, например, веб-сервис: обеспечивающий его сервер, который физически размещён в локальной сети (Интранет), должен отвечать на любые запросы из внешней сети (Интернет), при этом другие локальные ресурсы (например, файловые серверы, рабочие станции) необходимо изолировать от внешнего доступа.
В домашних роутерах он отличается только тем, что «общедоступный сервис» не отделёт от внутренней сети. С помощью DMZ как раз можно отключить фильтрацию (или блокировку) входящих пакетов, но для отдельно взятого компьютера.
Но если у вас какой-нибудь хардкорный роутер (например Mikrotik), то там не найдётся упоминания о DMZ и что в таком случае делать? Тут следует знать, что DMZ это тот же Port Forward (Проброс портов), но не на один порт, а на все, т.е. в таком случае следует сделать проброс портов от 1 до 65535.
Application-level gateway, или ALG (с англ. — «шлюз прикладного уровня») — компонент NAT-маршрутизатора, который понимает какой-либо прикладной протокол, и при прохождении через него пакетов этого протокола модифицирует их таким образом, что находящиеся за NAT пользователи могут пользоваться протоколом.
Что такое брандмауэр (Firewall) NAT и как он работает?
Чтобы понять, что такое брандмауэр NAT, сначала нужно разобраться, что такое брандмауэр и что он делает. Когда вы серфите в интернете, вы отправляете запросы на получение информации на определенные серверы сайта. Брандмауэр находится между вашей локальной сетью и более широкой сетью. Брандмауэр сравнивает возвращаемую информацию с той, которую вы запросили – и все, что совпадает, он пропускает, а все, что он не может распознать, отбрасывает. Так брандмауэр защищает от вредоносного трафика, который может нанести вред системе.
Существуют различные типы брандмауэров, которые делятся на три категории — программные, аппаратные и облачные. Они применяют различные методы фильтрации, что делает их очень надежными.
Что такое NAT и как он работает?
NAT расшифровывается как «преобразование сетевых адресов». Он был изобретен для того, чтобы решить проблемы нехватки IP-адресов IPv4. Еще несколько лет назад, основатели протокола IPv4 считали, что 4,3 миллиарда IP-адресов будет достаточно для всех устройств, подключенных к интернету. Но учитывая, что в мире насчитывается более 7 миллиардов человек и многие из нас имеют более одного устройства, очевидно, что их стало недостаточно.
Вашему роутеру, который подключается к интернету, присваивается один публичный IP-адрес. Он виден в глобальной сети и необходим для связи с серверами. Любые устройства, подключенные к роутеру локально, имеют частные IP-адреса, которые не позволяют им напрямую «общаться» с серверами. Именно здесь в игру вступает NAT — он направляет трафик туда и обратно.
Вот как работает NAT:
Как NAT защищает?
Более изощренные атаки все-таки могут обойти защиту NAT, особенно те, в которых используются методы фишинга или социальной инженерии. Однако это не означает, что вы не должны его использовать. Без NAT любому хакеру-любителю было бы легко получить доступ к вашему компьютеру.
NAT и VPN
Некоторые пользователи утверждают, что VPN не должен использоваться с NAT. Почему? VPN шифрует ваш трафик, прежде чем он достигнет интернета, что делает его неразборчивым. NAT должен знать хоть какую-то информацию о трафике, чтобы выполнять свою работу. Устаревшие протоколы VPN (PPTP и IPSec) не дают достаточно информации для NAT и могут быть в результате заблокированы. Чтобы решить эту проблему, вашему роутеру нужен будет VPN passthrough.
Большинство роутеров имеют встроенный VPN passthroughs. Даже если это не так, то основная масса популярных провайдеров VPN предлагают продвинутые протоколы, которые не требуют passthroughs.
Как активировать и настроить брандмауэр вашего маршрутизатора
В настоящее время все операционные системы имеют предустановленный брандмауэр, но во многих случаях он не активирован или неправильно настроен. Маршрутизаторы, которые являются мозгом всей сети, также имеют предварительно установленный и активированный брандмауэр, основанный в основном на iptables, поскольку подавляющее большинство прошивок основано на Linux. Сегодня в этой статье мы покажем вам, какие параметры конфигурации мы можем найти в брандмауэре для маршрутизаторов, используя ASUS маршрутизаторы, а также AVM FRITZ! Box от двух производителей, прошивка которых действительно завершена и дает нам большие возможности настройки.
Очень важный аспект, который мы должны принять во внимание, заключается в том, что, когда у нас активирован брандмауэр маршрутизатора, настоятельно рекомендуется также иметь брандмауэр на ПК, хотя это не является абсолютно необходимым, поскольку мы находимся в среде NAT, поэтому из Интернет Они могут получить доступ к нашему оборудованию, предварительно не открыв порт для нашего ПК, или напрямую открыть DMZ для нашего ПК. В последнем случае настоятельно рекомендуется установить и настроить межсетевой экран на вашем ПК, поскольку он будет полностью доступен из Интернета.
Для чего нужен брандмауэр на роутере?
Благодаря брандмауэрам мы сможем разрешить или заблокировать входящий и исходящий трафик через различные интерфейсы маршрутизатора, как в глобальной сети, так и в локальной сети. Тем не менее, подавляющее большинство пользователей хотят иметь брандмауэр в глобальной сети Интернет для управления трафиком извне к самому маршрутизатору.
Брандмауэр в маршрутизаторе, позволит нам заблокировать любую попытку доступа к определенному порту на маршрутизаторе, то есть, если у нас открыт TCP-порт 22 SSH, мы можем ограничить количество одновременных подключений, количество подключений в определенное время, и мы можем даже разрешить только определенный IP-адрес для доступа к SSH-серверу нашего маршрутизатора.
Очень важным аспектом межсетевых экранов маршрутизатора является то, что по умолчанию все соединения, которые начинаются за границей (в Интернете), отклоняются (DROP), если они не были специально разрешены ранее, поэтому политика «отрицать все» является наиболее рекомендуемые.
Компьютеры в локальной сети всегда позади NAT
В настоящее время в сетях IPv4 мы используем NAT / PAT, поэтому с одним и тем же общедоступным IP-адресом все компьютеры в локальной сети могут выходить в Интернет. Важной деталью является то, что все соединения, которые осуществляются с оборудования локальной сети в Интернет, разрешены, то есть на ПК открывается сокет, и он направляется к месту назначения, а в таблице NAT мы получим выполненный нами перевод. от частного IP к общему IP, чтобы при возврате пакета его можно было правильно перенаправить к месту назначения.
Поэтому любая связь из Интернета с локальной сетью по умолчанию блокируется. Кроме того, настоятельно рекомендуется всегда отключать протокол UPnP, чтобы устройства не могли сами открыть порт на NAT маршрутизатора и были более защищены. Существуют определенные устройства, которые постоянно открывают порт на маршрутизаторе, например, некоторые IP-камеры, и которые будут легко доступны через Интернет.
Параметры конфигурации межсетевого экрана на маршрутизаторах ASUS
Маршрутизаторы ASUS оснащены межсетевым экраном на базе iptables, поэтому мы можем использовать всю мощь этого межсетевого экрана через командную строку, через telnet или SSH. Тем не менее, у нас также есть определенные опции конфигурации, доступные на самом маршрутизаторе, так что пользователю с базовыми знаниями не нужно «прикасаться» к внутреннему брандмауэру.
В меню «Брандмауэр» мы можем активировать или деактивировать брандмауэр на основе iptables для сетей IPv4, а также сетей IPv6. Конфигурация по умолчанию состоит в том, что в обоих протоколах у нас активирован брандмауэр, как рекомендовано в целях безопасности. ASUS позволяет нам настроить систему защиты от атак DoS в сетях IPv4, заблокировав исходный IP-адрес, если вы сделаете несколько попыток подключения, чтобы смягчить этот тип атаки.
Брандмауэр для IPv6 находится в состоянии полной блокировки, в этом случае операция несколько отличается, поскольку это также повлияет на компьютеры в локальной сети. В сетях IPv6 у нас нет NAT, но у компьютеров есть адрес Global-Unicast IPv6, то есть общедоступный IP для каждого компьютера, но логически мы будем защищены межсетевым экраном маршрутизатора, где по умолчанию все входящие соединения (из Интернет на ПК с общедоступным IP-адресом) заблокирован, но он позволяет любой исходящей связи иметь возможность подключения без проблем.
Хотя мы не видели этого, фильтрация URL и ключевых слов также использует брандмауэр, но с предыдущей работой по разрешению имен и проверке трафика.
Параметры конфигурации брандмауэра на AVM FRITZ! Коробочные маршрутизаторы
В случае маршрутизаторов AVM у нас также есть достаточно настраиваемый межсетевой экран. Чтобы получить доступ к брандмауэру, нужно перейти в меню с тремя вертикальными точками и выбрать «Расширенный вид». В главном меню мы идем в « Интернет / Фильтры «В этом разделе у нас будет все, что связано с брандмауэром и QoS.
На вкладке «Списки» мы можем активировать брандмауэр в скрытом режиме, чтобы не отвечать эхо-ответом на любой эхо-запрос, отправленный на порт WAN. Другими интересными вариантами конфигурации являются блокировка порта 25, который является типичным для отправки электронных писем без какого-либо шифрования. AVM позволяет нам напрямую блокировать его, чтобы защитить себя. Мы также можем активировать фильтрацию NetBIOS и даже Teredo, то есть, если мы не используем эти сервисы, лучше всего заблокировать их для безопасности.
Хотя это не сам брандмауэр, нахождение в среде NAT может привести к тому, что у нас будут открытые порты, которые мы на самом деле не используем. Всегда настоятельно рекомендуется закрывать любой тип порта, который не используется, поскольку он может быть шлюзом для киберпреступников.
То же самое и с FRITZ! Box Services, если мы не хотим «определять местонахождение» маршрутизатора и получать к нему удаленный доступ через его общедоступный IP-адрес, лучшее, что мы можем сделать, это отключить этот доступ, помните, что мы также можем получить доступ через VPN а затем получить доступ к частному IP шлюза по умолчанию.
Как вы можете видеть, мы можем создать несколько VPN-подключений, как VPN с удаленным доступом, так и VPN типа Site-to-Site с этими маршрутизаторами AVM, все из которых всегда используют протокол IPsec, в настоящее время он не поддерживает ни OpenVPN, ни Wireguard.
Поэтому настоятельно рекомендуется, чтобы, если у нашего маршрутизатора были службы, доступные для Интернета, мы «выставляли» только те, которые мы собираемся использовать, а не все, потому что для безопасности всегда необходимо закрывать и блокировать все порты. Кроме тех, которые не у нас нет другого выбора, кроме как открыть.
Нужно ли иметь брандмауэр на моем ПК?
На всех компьютерах по умолчанию активирован брандмауэр с разными профилями, которые мы можем очень легко настроить. На случай, если Windows 10 у нас есть всего три профиля с разными разрешениями для разрешения / запрета трафика, в частности, у нас есть «Доменная сеть», «Частная сеть» и «Общедоступная сеть». Обычно мы всегда будем использовать последние два.
Конфигурация брандмауэра в «Частной сети» предназначена для приема входящих соединений, поскольку мы находимся в надежной среде, конфигурация брандмауэра в «Публичной сети» предназначена для отклонения входящих соединений, если мы ранее не осуществляли связь.
Нужно ли активировать брандмауэр на моем настольном компьютере? Мы должны помнить, что мы всегда (или почти всегда) работаем в среде NAT, поэтому по умолчанию на маршрутизаторе нет открытого порта. В случае открытия демилитаризованной зоны необходимо использовать межсетевой экран, а также в режиме «Общая сеть», чтобы заблокировать любое входящее соединение, которое мы ранее не устанавливали. В тех случаях, когда у нас нет открытого порта, брандмауэр Windows защищает нас только от подключений через локальную сеть, потому что они просто не могут связаться с нами из Интернета, потому что они не открыли ни один порт (хотя вы должны убедиться, что UPnP в роутер у тебя отключен).
Если мы хотим войти в расширенный брандмауэр Windows, нам просто нужно нажать «Расширенные настройки» в главном меню брандмауэра, и мы получим это меню, в которое мы можем добавить различные правила:
По умолчанию большое количество программ, которые мы используем каждый день, могут принимать подключения. Если мы хотим добавить новое правило, мы нажимаем «Новое правило» в правом верхнем меню. Мы также можем сделать ту же конфигурацию для правил выхода.