Файрвол и брандмауэр одно и тоже: Что такое брандмауэр и какие функции он выполняет

Что такое брандмауэр и какие функции он выполняет

Брандмауэр — это защитный экран между глобальным интернетом и локальной компьютерной сетью организации. Он выполняет функцию проверки и фильтрации данных, поступающих из интернета. В зависимости от настроек брандмауэр может пропустить их или заблокировать (например, если обнаружит «червей», вирусы и хакерскую атаку).

Нужно различать сетевой брандмауэр (или, по-другому, сетевой экран) и брандмауэр, встроенный в операционную систему Windows. В первом случае решение устанавливается на границе (физической или логической) компьютерной инфраструктуры организации и защищает все ПК, подключенные к локальной сети. Это может быть как программное, так и программно-аппаратное решение. Во втором случае это программа, работающая для защиты отдельно взятого компьютера пользователя.

Иногда в ответе на вопрос «Что такое брандмауэр?» можно слышать такие термины, как «файрвол» и «межсетевой экран». В чем же отличие между ними? Отличий нет, это слова-синонимы.

Это одно и то же понятие, только озвученное на немецком (brandmauer), английском (firewall) и русском языках. Еще есть словосочетание «универсальный шлюз безопасности» — это более функциональное решение, чем традиционный брандмауэр. 

Брандмауэр — это лишь одна из опций универсального шлюза безопасности, который включает в себя целый ряд функций.

Например, Traffic Inspector Next Generation — это универсальный шлюз безопасности с межсетевым экраном для контроля и защиты интернет-доступа в корпоративных компьютерных сетях. Он обеспечивает защищенное подключение к интернету и антивирусную защиту, предотвращает доступ в корпоративную сеть извне, блокирует вредные сайты, ведет учет сетевого трафика.

Каким организациям может быть полезен брандмауэр

• Школам и другим учебным заведениям для соблюдения закона № 436-ФЗ «О защите детей от информации, причиняющей вред их здоровью и развитию» и закона № 149-ФЗ «Об информации, информационных технологиях и о защите информации». Особенно будет полезна функция блокировки сайтов из черного списка Роскомнадзора и ограничение доступа к опасным ресурсам, таким как социальные сети, сайты, содержащие похабные видеоролики, игровые порталы и пр. 
• Госструктурам, если только решение обладает сертификатом ФСТЭК России.

• Кафе, ресторанам и другим заведениям, раздающим своим посетителям Wi-Fi. По закону РФ пользователь должен быть идентифицирован в сети. Именно поэтому в Traffic Inspector Next Generation реализована SMS-идентификация клиентов.
  
• Гостиницам и мотелям, поскольку одна из функций сетевого шлюза — распределение трафика между пользователями таким образом, чтобы никто из них не мог «перетянуть» на себя больше положенного, скачивая фильмы или игры и не давая тем самым пользоваться интернетом другим людям.
• Организациям, которые следят за тем, чтобы сотрудники не отвлекались на непрофильные дела. Например, Traffic Inspector Next Generation могет блокировать приложения вроде Skype и BitTorrent, ресурсы, не имеющие никакого отношения к работе, а также рекламу на сайтах и другой вредный контент. К тому же сохраняется вся статистика — какой сотрудник какие сайты посещал и сколько времени проводил на тех или иных ресурсах.

Как установить брандмауэр

Для начала следует определиться, какое решение необходимо — чисто программное (обычно используется в небольших организациях с численностью до 100 человек) или программно-аппаратное (до 1000 и более сотрудников).

Сравнение программного и программно-аппаратного UTM-решения

	Traffic Inspector	Traffic Inspector Next Generations
Тип	Программный многофункциональный межсетевой экран	Программно-аппаратный универсальный шлюз безопасности (UTM)
Операционная система	Microsoft Windows	FreeBSD
Способы применения	Применяется на логической границе сети	Применяется как на логической,  так и на физической границе сети
Шейпер (управление скоростью интернета у клиента)	+	+
Антивирусная проверка трафика	+	+
Блокировка контента и вредных сайтов	+	+
Система обнаружения / предотвращения вторжений	+	+
Отчетность	+	+
SMS-аутентификация	+	+
Минимальное количество лицензий	5	100
Варианты количества пользователей (лицензий)	5, 10, 15, 20, 25, 30, 40, 50, 70 и более	до 100, от 100 до 500,  от 500 до 1000, более 1000
Полезные ссылки	Узнать подробнее про Traffic InspectorУстановка: прочитать инструкцию	Узнать подробнее про Traffic Inspector Next GenerationИнструкция по установке

Проверьте работу Traffic Inspector Next Generation в своей сети.

 

Бесплатно в течение 30 дней.

Попробовать бесплатно

 

 

Подпишитесь на рассылку Смарт-Софт и получите скидку на первую покупку

За подписку мы также пришлем вам white paper «Основы кибербезопасности в коммерческой компании».

Email*

Подписаться

Возможности программных и аппаратных файрволов / Хабр

Создание защищенной системы — задача комплексная. Одна из мер обеспечения безопасности — использование межсетевых экранов (они же брандмауэры и файрволы). Как все мы знаем, брандмауэры бывают программными и аппаратными. Возможности и первых, и вторых — не безграничны. В этой статье мы попробуем разобраться, что могут брандмауэры обоих типов, а что им не под силу.

Программные и аппаратные файрволы

Первым делом нужно поговорить, что является программным, а что — аппаратным решением. Все мы привыкли, что если покупается какая-то «железка», то это решение называется аппаратным, а если коробочка с ПО, то это признак программного решения. На наш взгляд, разница между аппаратным и программным решением довольно условна. Что представляет собой железная коробочка? По сути, это тот же компьютер, пусть с другой архитектурой, пусть с немного ограниченными возможностями (к нему нельзя подключить клавиатуру и монитор, он «заточен» под выполнение одной функции), на который установлено ПО. ПО — это какой-то вариант UNIX-системы с «веб-мордой». Функции аппаратного брандмауэра зависят от используемого фильтра пакетов (опять-таки — это ПО) и самой «веб-морды». Все аппаратные брандмауэры можно «перепрошить», то есть по сути, просто заменить ПО. Да и с настоящей прошивкой (которая в старые-добрые времена выполнялась с помощью программатора) процесс обновления «прошивки» на современных устройствах имеет мало что общего. Просто на «флешку» внутри «железки» записывается новое ПО. Программный брандмауэр — это ПО, которое устанавливается на уже имеющийся самый обычный компьютер, но в случае с аппаратным брандмауэром — без ПО никак, а в случае с программным — без «железа» никак.

Именно поэтому грань между данными типами межсетевых экранов весьма условная.

Наибольшая разница между программным и аппаратным брандмауэром даже отнюдь не функциональность. Никто не мешает выбрать аппаратный брандмауэр с нужными функциями. Разница в способе использования. Как правило, программный брандмауэр устанавливается на каждый ПК сети (на каждый сервер и на каждую рабочую станцию), а аппаратный брандмауэр обеспечивает защиту не отдельного ПК, а всей сети сразу. Конечно, никто не помешает вам установить аппаратный брандмауэр для каждого ПК, но все упирается в деньги. Учитывая стоимость «железок», вряд ли вам захочется защищать каждый ПК аппаратный брандмауэром.

Преимущества аппаратных брандмауэров

У «железных» межсетевых экранов наблюдаются следующие преимущества:

• Относительная простота развертывания и использования. Подключил, включил, задал параметры через веб-интерфейс и забыл о его существовании. Впрочем, современные программные межсетевые экраны поддерживают развертывание через ActiveDirectory, на которое тоже не уйдет много времени. Но, во-первых, не все брандмауэры поддерживают ActiveDirectory, и, во-вторых, не всегда на предприятии используется Windows.
• Размеры и энергопотребление. Как правило, аппаратные брандмауэры имеют более скромные размеры и меньшее энергопотребление. Не всегда, правда, энергопотребление играет роль, а вот размеры важны. Одно дело небольшая компактная коробочка, другое — огромный «системник».
• Производительность. Обычно производительность у аппаратного решения выше. Хотя бы потому, что аппаратный межсетевой экран занимается только своей непосредственной функцией — фильтрацией пакетов. На нем не запущены какие-либо сторонние процессы и службы, как это часто бывает в случае с программными брандмауэрами. Вот представьте, что вы организовали программный шлюз (с функциями межсетевого экрана и NAT) на базе сервера с Windows Server. Вряд ли вы будете выделять целый сервер только под брандмауэр и NAT. Это нерационально. Скорее всего, на нем будут запущены и другие службы — тот же AD, DNS и т.
  д. Уже молчу про СУБД и почтовые службы.
• Надежность. Считается, что аппаратные решения более надежны (именно по причине того, что на них редко когда выполняются сторонние службы). Но никто вам не мешает выделить отдельный системник (пусть даже не самый современный), установить на него ту же FreeBSD (одна из самых надежных в мире операционных систем) и настроить правила брандмауэра. Думаю, надежность такого решения будет не ниже, чем в случае с аппаратным файрволом. Но такая задача требует повышенной квалификации администратора, именно поэтому ранее было отмечено, что аппаратные решения более просты в использовании.

Преимущества программных межсетевых экранов

К преимуществам программных решений относятся:

• Стоимость. Цена программного межсетевого экрана обычно ниже «железки». За цену среднего аппаратного решения можно защитить всю сеть программным брандмауэром.
• Возможность защиты сети изнутри. Не всегда угрозы исходят извне. Внутри локальной сети есть множество угроз. Атаки могут исходить с внутренних компьютеров. Инициировать атаку может любой пользователь LAN, например, недовольный компанией. Как уже отмечалось, можно, конечно, использовать отдельный аппаратный маршрутизатор для защиты каждого отдельного узла, но на практике нам таких решений не встречались. Уж больно они нерациональны.
• Возможность разграничения сегментов локальной сети без выделения подсетей. В большинстве случаев к локальной сети подключаются компьютеры разных отделов, например, бухгалтерии, финансового отдела, IT-отдела и т.д. Не всегда эти компьютеры должны взаимодействовать между собой. Как выполнить разграничение ИСПДн? Первое решение заключается в создании нескольких подсетей (например, 192.168.1.0, 192.168.2.0 и т.д.) и настройке надлежащим образом маршрутизации между этими подсетями. Нельзя сказать, что решение очень сложное, но все же сложнее, чем использование программного файрвола. Да и не всегда можно выделить подсети по тем или иным причинам. Второе решение заключается в использовании межсетевого экрана, предназначенного именно для защиты ИСПДн (не во всех программных межсетевых экранах легко разграничить ИСПДн). В этом случае даже в самой большой сети вы выполните разграничение ИСПДн за считанные минуты, и вам не придется возиться с настройкой маршрутизации.
• Возможность развертывания на существующих серверах. Нет смысла покупать еще одну «железку», если есть достаточный компьютерный парк. Достаточно на одном из серверов развернуть межсетевой экран и настроить NAT и машрутизацию. Обычно обе эти операции выполняются посредством графического интерфейса межсетевого экрана и реализуются посредством нескольких щелчков мышью в нужных местах.
• Расширенный функционал. Как правило, функционал программных межсетевых экранов шире, чем у их аппаратных собратьев. Так, некоторые межсетевые экраны предоставляют функции балансировки нагрузки, IDS/IPS и тому подобные полезные вещи, позволяющие повысить общую безопасность системы обработки данных. Да, такие функции есть не у всех программных брандмауэров, но ничто и никто не мешает вам выбрать межсетевой экран, соответствующий вашим нуждам. Конечно, такие функции есть и у некоторых аппаратных комплексов. Например, StoneGate IPS — предоставляет функционал системы предотвращения вторжений, но стоимость таких решений не всегда понравится руководству предприятия. Также есть и аппаратные балансировщики нагрузки, но они стоят еще дороже, чем аппаратные IPS.

О недостатках писать не станем — они следуют из преимуществ. Преимущества одного вида брандмауэров обычно являются недостатками другого вида. Например, к недостаткам аппаратных решений можно отнести стоимость и невозможность защиты локальной сети изнутри, а к недостаткам программных — сложность развертывания и использования (хотя, как было отмечено, все относительно).

Правда, есть один недостаток аппаратных межсетевых экранов, о котором стоит упомянуть. Как правило, у всех аппаратных межсетевых экранов есть кнопка сброса, нажав которую можно вернуть параметры по умолчанию. Для нажатия этой кнопки не нужно обладать какой-то особой квалификацией. А вот, чтобы изменить параметры программного межсетевого экрана, нужно, как минимум, получить права администратора. Нажав одну кнопку, недовольный сотрудник может нарушить безопасность всего предприятия (или оставить предприятие без доступа к Интернету, что даже лучше). Поэтому при использовании аппаратных решений нужно более ответственно подойти к вопросам физической безопасности самих устройств.

Битва брандмауэров

Далее мы попытаемся понять, какой брандмауэр обеспечивает лучшую защиту: программный или аппаратный. В качестве аппаратного будет выступать встроенный в маршрутизатор от TP-Link межсетевой экран. В качестве программного —

Киберсейф Межсетевой экран

.

Для теста брандмауэров мы будем использовать утилиты с сайта

www.testmypcsecurity.com

, а именно Jumper, DNStester и CPIL Suite (разработка компании Comodo). Сразу предупреждаем: в отличие от сертифицированных инструментов вроде XSpider эти утилиты используют те же методы, что и вредоносные программы, работу которых они симулируют. Именно поэтому на время тестирования (если вы хотите повторить результаты) все средства антивирусной защиты должны быть деактивированы.

Можно было бы, конечно, рассмотреть XSpider, но данный тест был бы слишком скучным и неинтересным для конечного читателя. Да и кто может представить себе злоумышленника, который использует сертифицированный сканер?

Вкратце об утилитах:

• Jumper — позволяет обойти брандмауэр, используя методы «DLL injection» и «thread injection».
• DNS Tester — использует рекурсивный DNS-запрос, чтобы обойти брандмауэр.
• CPIL Suite — набор тестов (3 теста) от компании Comodo.

Все эти утилиты будут запускаться изнутри, то есть непосредственно с тестируемых компьютеров. А вот снаружи мы будем сканировать старым-добрым nmap.
Итак, у нас есть два компьютера. Оба подключены к Интернету. Один подключается через аппаратный межсетевой экран (работающий на базе маршрутизатора TP-Link) и на нем не установлены ни программный брандмауэр, ни антивирус. Второй компьютер подключен к Интернету непосредственно и защищен программным межсетевым экраном КиберСейф. На первом компьютере установлена Windows 7, на втором — Windows Server 2008 R2.

Тест 1: Jumper

Jumper, запущенный с правами администратора (чего греха таить, с такими правами работают множество пользователей), успешно выполнил свою задачу в Windows 7 (рис. 1). Ничто не могло ему помешать — ведь на нашей системе не было установлено ни одно средство защиты, ни антивирус, ни брандмауэр, ни IDS/IPS, а аппаратному брандмауэру все равно, что происходит на клиентских компьютерах. Он никак не может повлиять на происходящее.

Рис. 1. Jumper в Windows 7

Ради справедливости нужно отметить, что если бы пользователь работал не справами администратора, то у Jumper ничего бы не вышло.
В Windows Server 2008 Jumper даже не запустился, но это не заслуга межсетевого экрана, а самой операционной системы. Поэтому здесь между межсетевыми экранами — паритет, поскольку защита от данной уязвимости может быть обеспечена средствами самой операционной системы.

Тест 2. DNStester

Цель данного теста — отправить рекурсивный DNS-запрос. По умолчанию, начиная с Windows 2000, служба Windows DNS Client принимает обращения по всем запросам DNS и управляет ими. Таким образом, все DNS-запросы от всех приложений в системе будут отправлены клиенту DNS (SVCHOST.EXE). Сам DNS-запрос делает непосредственно DNS-клиент. DNStester использует рекурсивный запрос DNS, чтобы обойти брандмауэр, другими словами, служба обращается сама к себе.

Рис. 2. Тест не пройден

Если настройки брандмауэра оставить по умолчанию, то с данным тестом не справились, ни программный, ни аппаратный брандмауэр. Понятно, что аппаратному брандмауэру все равно, что происходит на рабочей станции, поэтому рассчитывать, что он защитит систему от этой уязвимости, не приходится. Во всяком случае, с дефолтными настройками (а они практически не изменялись).
Но это не говорит о том, что Киберсейф Межсетевой экран — плохой брандмауэр. При повышении уровня безопасности до третьего, тест был полностью пройден (см. рис. 3). Программа сообщила об ошибке в DNS-запросе. Чтобы убедиться, что это не заслуга Windows Server 2008 тест был повторен на машине с Windows 7.

Рис. 3. Тест пройден (DNStest)

Ради справедливости нужно отметить, что если на компьютере установлен антивирус, то, скорее всего, данное приложение будет помещено в карантин, но все же один запрос оно успеет отправить (рис. 4).

Рис. 4. Антивирус Comodo заблокировал нежелательное приложение

Тест 3. Набор тестов от Comodo (CPIL)

Итак, аппаратный брандмауэр с дефолтными настройками провалил все три теста CPIL (если щелкнуть по надписи Tell me more about Test, появится окошко, объясняющее принцип теста). Но провалил он их как-то странно. Прохождение теста подразумевает такую последовательность действий:

1. Нужно ввести передаваемые данные. Нами вводились значения 1, 2, 3 для тестов 1, 2 и 3 соответственно.
2. Затем нажать одну из кнопок вызова теста (рис. 5)

Рис. 5. CPIL Test Suite

После этого должен был открыться браузер с результатами теста. Кроме сообщения о том, что тест провален, страница результатов должна была отображать введенное нами значение, которое передавалось сценарию в качестве GET-параметра (см. рис. 6). Видно, что значение (2 в адресной строке) таки было передано, но сценарий его не отобразил. Ошибка в сценарии Comodo? Ошибаются, конечно, все, но доверия к этому тесту у нас поубавилось.

Рис. 6. Результат теста (аппаратный брандмауэр)

А вот при использовании программного брандмауэра тесты CPIL даже не запустились. При нажатии кнопок 1 — 3 ничего не произошло (рис. 7). Неужели это заслуга Windows Server 2008, а не брандмауэра? Мы решили это проверить. Поэтому на компьютер с Windows 7, защищенный аппаратным брандмауэром, был установлен Киберсейф Межсетевой экран. А вот в Windows 7 утилите удалось-таки прорвать оборону файрвола. Первый и третий тест были пройдены, а вот при нажатии кнопки Test 2 нам пришлось созерцать окно браузера Chrome, подобное изображенному на рис. 6.

Рис. 7. При нажатии на кнопку ничего не происходит (видно, что антивирус отключен)

Рис. 8. Тесты 1 и 3 пройдены

Тест 4. Сканирование извне

До этого мы пытались прорваться через брандмауэр изнутри. Сейчас же попробуем просканировать защищаемые брандмауэром системы. Сканировать будем сканером nmap. В результатах аппаратного брандмауэра никто не сомневался — все закрыто и невозможно даже определить тип тестируемой системы (рис. 9 и 10). На всех последующих иллюстрациях IP-адреса скрыты, поскольку являются постоянными — дабы ни у кого не было желания повторить тест на наших адресах.

Рис. 9. Сканирование аппаратного брандмауэра

Рис. 10. Сканирование аппаратного брандмауэра (детали хоста)

Теперь попробуем просканировать систему, защищенную программным межсетевым экраном. Понятное дело, по умолчанию программный межсетевой экран будет пропускать все и вся (рис. 11).

Рис. 11. Открытые порты (программный межсетевой экран, настройки по умолчанию)

Рис. 12. Определен тип системы (программный межсетевой экран, настройки по умолчанию)

Когда же настраиваются правила, то все встает на свои места (рис. 13). Как видите, программный брандмауэр обеспечивает безопасность защищаемой системы ничем не хуже, чем его «железный» коллега.

Рис. 13. Открытых портов нет

Атаки по локальной сети

Почему так важно обеспечить защиту внутри локальной сети? Многие администраторы ошибочно не уделяют внимание защите изнутри, а зря. Ведь внутри локальной сети можно реализовать множество атак. Рассмотрим некоторые из них.

ARP-атака

Перед соединением с сетью компьютер отправляет ARP-запрос, позволяющий узнать, не занят ли IP-адрес компьютера. Когда в локальной сети есть несколько Windows-машин с одним IP-адресом, то пользователь видит окошко с сообщением о том, что IP-адрес занят (используется другим компьютером). Windows о занятости IP-адреса узнает посредством протокола ARP.

ARP-атака заключается в том, что злоумышленник флудит машины, которые работают под управлением Windows. Причем на каждый компьютер будут отправлены сотни запросов, в результате пользователь будет не в силе закрыть постоянно всплывающие окна и будет вынужден, как минимум перезагрузить компьютер.

Ситуация мало приятная. Но наличие брандмауэра на рабочей станции позволит свести на нет все старания злоумышленника.

DoS-атаки, в том числе различные флуд-атаки

DoS-атаки (атаки на отказ) возможны не только в Интернете, но и в локальных сетях. Отличаются лишь методы таких атак. Природа DoS-атак может быть любой, однако, бороться с ними без брандмауэра, который был бы установлен на каждой машине локальной сети, невозможно.

Один из видов DoS-атаки, который может с успехом применяться в локальной сети — это ICMP-флуд. Брандмауэр КиберСейф Межсетевой экран содержит выделенные средства для борьбы с этим видом атак (рис. 14). Также он содержит средства

балансировки нагрузки на сервер

, что также может помочь в борьбе с DoS-атаками.

Рис. 14. ICMP безопасность (КиберСейф Межсетевой экран)

Подробнее о DOS-атаках вы можете прочитать в статье «Как защитить себя от DoS/DDoS-атак».

Смена MAC-адреса

В локальной сети компьютеры идентифицируются не только по IP-адресу, но и по MAC-адресу. Некоторые администраторы разрешают доступ к определенным ресурсам по MAC-адресу, поскольку IP-адреса, как правило, динамические и выдаются DHCP. Такое решение не очень себя оправдывает, поскольку MAC-адрес очень легко сменить. К сожалению, защититься от смены MAC-адреса с помощью брандмауэра не всегда возможно. Не каждый брандмауэр отслеживает изменение MAC-адреса, поскольку обычно привязан к IP-адресам. Здесь самое эффективное решение — использование коммутатора, позволяющего сделать привязку MAC-адреса к конкретному физическому порту коммутатора. Обмануть такую защиту практически невозможно, но и стоит она немало. Правда, есть и программные способы

борьбы со сменой MAC-адреса

, но они менее эффективны. Если вам интересен брандмауэр, который умеет распознавать подмену MAC-адреса, то обратите внимание на

Kaspersky Internet Security 8.0

. Правда, последний умеет распознавать подмену MAC-адреса только шлюза. Но зато он полноценно распознает подмену IP-адреса компьютера и IP-флуд.

Подмена IP-адреса

В сетях, где доступ к ресурсам ограничивается по IP-адресам, злоумышленник может сменить IP-адрес и получить доступ к защищаемому ресурсу. При использовании брандмауэра Киберсейф Межсетевой экран такой сценарий невозможен, поскольку нет привязки к IP-адресам даже у самого брандмауэра. Даже если изменить IP-адрес компьютера, то он все равно не войдет в состав ИСПДн, в которую стремиться проникнуть злоумышленник.

Routing-атаки

Данный вид атак основан на отправке жертве «фальшивых» ICMP-пакетов. Суть этой атаки в подмене адреса шлюза — жертве отправляется ICMP-пакет, сообщающий более короткий маршрут. Но на самом деле пакеты будут проходить не через новый маршрутизатор, а через компьютер злоумышленника. Как уже было отмечено ранее, Киберсейф Межсетевой экран обеспечивает безопасность ICMP. Аналогично, можно использовать и другие межсетевые экраны.

Существует и множество других атак в локальных сетях — и снифферы, и различные атаки с использованием DNS. Как бы там ни было, а использование программных брандмауэров, установленных на каждой рабочей станции, позволяет существенно повысить безопасность.

Выводы

Защита информационной системы должна быть комплексной — это и программные, и аппаратные брандмауэры, и антивирусы, и правильная настройка самой системы. Что же касается нашего противостояния между программными и аппаратными брандмауэрами, то первые эффективно использовать для защиты каждого узла сети, а последние — для защиты всей сети в целом. Аппаратный брандмауэр не может обеспечить защиту каждой отдельной рабочей станции, бессилен при атаках внутри сети, а также не может выполнить разграничение ИСПДн, которое необходимо выполнять в контексте защиты персональных данных.

Настройка Firewall в Mikrotik — Блог компании Селектел

Николай Рубанов

Старший технический писатель

RouterOS — сетевая ОС, изначально предназначенная для устройств RouterBoard латвийской компании Mikrotik, но в дальнейшем перекочевавшая на x86 и в облака (версия Cloud Hosted Router). В этой статье поговорим о том, как грамотно настроить межсетевой экран в этой ОС.

Безопасность периметра локальной сети — одна из приоритетных задач любого системного администратора и в компании Mikrotik это прекрасно понимают. Так что как только вы включили устройство на RouterBoard с настройками по умолчанию — там уже будет некоторое количество преднастроенных правил. В случае Mikrotik CHR — по умолчанию правил не будет, но Mikrotik настоятельно рекомендует их настроить.

Сразу оговоримся, что в рамках этой статьи мы будет пользоваться исключительно интерфейсом командной строки (CLI) и облачной версией RouterOS CHR. Логика настройки точно такая же, как и при использовании WinBox или WebFig, но предпочтительнее изначально пользоваться CLI.

Немного теории: настройка firewall

Одним из базовых понятий настройки файервола Mikrotik является цепочка (chain). По умолчанию их 3, но есть возможность и создания собственных цепочек:

1. Цепочка INPUT — входящий трафик, приходящий на маршрутизатор.
2. Цепочка OUTPUT — исходящий трафик, создаваемый маршрутизатором.
3. Цепочка FORWARD — трафик, проходящий сквозь через маршрутизатор.

Если к нам должен прийти какой-либо трафик извне, например, из интернета, то мы его будем обрабатывать цепочкой INPUT. Чтобы обработать правилами трафик, уходящий наружу (например, в тот же интернет), задействуем цепочку OUTPUT. Если же наш маршрутизатор не находится на границе сети, а служит промежуточным узлом между сетями, то тогда для обработки трафика применяем цепочку FORWARD.

Причем тут странное название «‎цепочка‎‎»‎? Все элементарно. Все создаваемые правила обработки действуют не вместе, а строго по очереди одно за другим. Точно также, как формируется цепь — одно звено следует за другим. Именно поэтому списки правил стали именовать «‎цепочками»‎.

Теперь коснемся статусов соединения. Каждое соединение условно можно разделить на 4 категории:

1. New — исходя из названия ясно, что это новое соединение, а не одно из существующих.
2. Established — соединение установлено, по нему можно передавать пакеты данных.
3. Related — соединение, которое относится уже к какому-либо из существующих, но используемое в иных целях. Пока не будем заострять на этом внимание, чтобы не усложнять.
4. Invalid — некорректное соединение, то есть маршрутизатор понятия не имеет, что это за соединение и как его обрабатывать.

И сразу к практике: фильтрация

Открываем консольный интерфейс и посмотрим на существующие правила:

[admin@MikroTik] > ip firewall filter print

Flags: X - disabled, I - invalid, D - dynamic

Пока что правил нет, отображается только «‎легенда»‎ про флаги. Переходим в раздел настройки фильтров:

[admin@MikroTik] > ip firewall filter
[admin@MikroTik] /ip firewall filter>

Полезный чит-код: узнать все варианты команд в любом разделе можно, нажав клавишу со знаком вопроса «?«

Теперь создадим несколько правил и расскажем для чего они нужны:

add action=accept chain=input comment="default configuration" connection-state=established,related

Эту команду можно читать прямо дословно. Разберем прямо по пунктам:

1. add action=accept — принимать пакеты.
2. chain=input — правило будет работать в цепочке входящего трафика.
3. comment=»default configuration» — это просто комментарий-напоминалка, в нашем случае указываем, что это конфигурация по умолчанию, но можно вообще этот параметр не указывать.
4. connection-state=established,related — указываем какие статусы соединения будем принимать.

Таким образом эта длинная команда всего лишь превращается во вполне логичную фразу «‎Принимать извне все пакеты со статусом соединения Established и Related»‎. Это правило позволяет четко указать маршрутизатору что если из внешней сети прилетают соединения с указанными статусами, то их следует принять.

Теперь переходим к следующему правилу, рекомендуемому Mikrotik:

add action=accept chain=input src-address-list=allowed_to_router

Тут мы заострим внимание только на параметре src-address-list=allowed_to_router. При обработке трафика мы можем формировать различные списки IP-адресов. Каждый список будет иметь имя. Так что дословный «‎перевод»‎ этого правила всего лишь «‎Принять пакеты, если IP-адрес с которого обращаются, есть в списке allowed_to_router. Нам это правило пригодится для дальнейшего формирования списка разрешенных IP-адресов.

Еще небольшое пояснение. Из-за того, что правила в цепочке обрабатываются одно за другим, то вначале следует прописывать разрешающие правила, а только после этого запрещающие.

Теперь следующее правило, оно достаточно спорное. Мы разрешим маршрутизатору отвечать на команду ping, приходящую извне. С одной стороны — это потенциально раскрывает то, что на нашем IP-адресе есть действующее устройство, а с другой это часто требуется для организации мониторинга. У нас в Selectel, к примеру есть услуга «‎Мониторинг состояния сервисов»‎, которая позволяет отслеживать доступность любого хоста из разных стран мира. Если вам нужно, отключить ping, то в action надо прописать не accept, а drop.

add action=accept chain=input protocol=icmp

Тут все просто — эта команда разрешает принимать извне и обрабатывать ICMP-пакеты. И завершающая команда:

add action=drop chain=input

Этим в финале цепочки INPUT мы будем отбрасывать (дропать) все оставшиеся пакеты, не подпадающие под правила выше. Посмотрим как у нас сформировались правила:

[admin@MikroTik] /ip firewall filter> print
Flags: X - disabled, I - invalid, D - dynamic

 0    ;;; default configuration
      chain=input action=accept connection-state=established,related

 1    chain=input action=accept src-address-list=allowed_to_router

 2    chain=input action=accept protocol=icmp

 3    chain=input action=drop

Рассмотрим как же это работает. Представим, что мы пингуем маршрутизатор извне. Это выглядит примерно так:

1. Прилетел снаружи ICMP-пакет. Машрутизатор смотрит в правило номер 0 — есть ли уже установившееся соединение. Если нас пингуют впервые, то статус соединение будет New, а не Established или Related. Так что правило не срабатывает.
2. Смотрим дальше — есть ли IP-адрес с которого пришел пакет в списке allowed_to_router. Поскольку мы этот список еще не формировали, то его еще не существует и, следовательно, правило также не срабатывает.
3. Наконец доходим до правила 2, которое однозначно говорит маршрутизатору, что следует принять (Accept) и обработать по протоколу ICMP данный пакет. Маршрутизатор отвечает на ICMP-пакет соответствующим эхо-ответом. До четвертого правила пакет уже не добирается, т.к. процедура обработки фактически завершена.

Рассмотрим еще один случай. На этот раз к нам на маршрутизатор извне прилетел некий неизвестный UDP-пакет с данными. Как будет действовать маршрутизатор:

1. Смотрим правило 0. Существующего Established или Related соединения у нас нет, поэтому правило не срабатывает.
2. Правило 1 — смотрим в список разрешенных адресов allowed_to_router, но там пусто. Еще одно правило не сработало.
3. Дошли до правила 2 — является ли пришедший пакет ICMP-пакетом. Нет, не является, так что правило не срабатывает.
4. И вот мы дошли до конца цепочки INPUT, где нас поджидает «‎правило-вышибала”. Поскольку у правила chain=input action=drop нет условий для срабатывания, то оно по умолчанию срабатывает всегда и наш неизвестный UDP-пакет дропается и перестает существовать.

Надеемся, что столь подробный разбор логики немного прояснил как именно работает файервол в Mikrotik RouterOS, поэтому приступим к дальнейшей настройке. Сформируем список разрешенных адресов. Для этого вернемся в главное меню, нажав символ / и подтвердив нажатием клавиши Enter. Теперь перейдем в раздел консольного интерфейса Mikrotik – ip firewall и посмотрим какие адресные списки у нас существуют:

[admin@MikroTik] > ip firewall address-list
[admin@MikroTik] /ip firewall address-list> print

Flags: X - disabled, D - dynamic
 #   LIST                     ADDRESS                                      CREATION-TIME        TIMEOUT

Как видим, список пока пустой. Добавим туда адреса из стандартной локальной подсети 192.168.88.0/24 за исключением 192.168.88.1 (адрес маршрутизатора). Эта подсеть обычно используется по умолчанию на устройствах Mikrotik и именно ее чаще всего используют для раздачи адресов в локальной сети. Выполним добавление:

add address=192.168.88.2-192.168.88.254 list=allowed_to_router

Команда максимально проста для понимания мы говорим, что нам нужно добавить адреса 192.168.88.2-192.168.88.254 в список с именем allowed_to_router. Подразумевается то, что если списка с таким именем не существует, то при выполнении команды он будет создан. Проверим:

[admin@MikroTik] /ip firewall address-list> print   
                                                                 Flags: X - disabled, D - dynamic
 #   LIST                     ADDRESS                                      CREATION-TIME        TIMEOUT
 0   allowed_to_router        192.168.88. 2-192.168.88.254                  feb/05/2021 13:01:55

Теперь, когда файервол в цепочке INPUT дойдет до правила номер 1, то в случае поступления данных с IP-адресом отправителя из диапазона 192.168.88.2-192.168.88.254 — правило сработает и маршрутизатор будет знать, что данные следует принять. Этим мы будем пользоваться для обращений к маршрутизатору из локальной сети.

Разделяем и властвуем

Списки адресов — крайне полезная штука при настройке файервола. Тут важно следовать стандартам, разработанным такой крутой организацией, как IETF (Internet Engineering Task Force) — Инженерный совет Интернета. Это международное сообщество с конца 80-х годов занимается развитием протоколов и архитектуры интернета.

Результаты работы IEFT публикуются в виде RFC (Request for Comments) — информационных документов, содержащих в себе детальное описание спецификаций и стандартов. Этих документов уже создано несколько тысяч, все они представлены на английском языке. Один из них поможет нам корректно сформировать списки адресов, а именно RFC6890.

Наша задача при настройке файервола четко разделить адреса, относящиеся к локальному сегменту и адреса глобальной сети интернет. Именно их мы возьмем из RFC и пропишем в нашем маршрутизаторе списком с названием not_in_internet. В дальнейшем это поможет нам сформировать правила в которых будут абстракции «‎это адрес из интернета»‎ и «‎это адрес не из интернета»‎.

Поочередно выполняем команды, создавая и дополняя список not_in_internet, помимо всего прочего указывая в комментарии номер RFC, которым мы руководствовались:

add address=0.0.0.0/8 comment=RFC6890 list=not_in_internet

add address=172.16.0.0/12 comment=RFC6890 list=not_in_internet

add address=192.168.0.0/16 comment=RFC6890 list=not_in_internet

add address=10.0.0.0/8 comment=RFC6890 list=not_in_internet

add address=169. 254.0.0/16 comment=RFC6890 list=not_in_internet

add address=127.0.0.0/8 comment=RFC6890 list=not_in_internet

add address=198.18.0.0/15 comment=RFC6890 list=not_in_internet

add address=192.0.0.0/24 comment=RFC6890 list=not_in_internet

add address=192.0.2.0/24 comment=RFC6890 list=not_in_internet

add address=198.51.100.0/24 comment=RFC6890 list=not_in_internet

add address=203.0.113.0/24 comment=RFC6890 list=not_in_internet

add address=100.64.0.0/10 comment=RFC6890 list=not_in_internet

add address=240.0.0.0/4 comment=RFC6890 list=not_in_internet

Есть еще две важные подсети, которые тоже стоит добавить в этот список. Первая подсеть — это 224.0.0.0/4. Эта подсеть зарезервирована для технологии многоадресного вещания (мультикаст) и это зафиксировано в соответствующем RFC2780. Вторая подсеть специфична для переходного механизма 6to4, позволяющего передавать IPv6 трафик через IPv4 сети. Этот механизм реализован в подсети 192.88.99.0/24, что также зафиксировано в отдельном RFC3068.

add address=224.0.0.0/4 comment=Multicast_RFC2780 list=not_in_internet

add address=192.88.99.0/24 comment="6to4_RFC 3068" list=not_in_internet

Теперь, когда мы все сделали «‎по фен-шую»‎, у нас есть список всех адресов, которые будут опознаваться как локальные, т.е. пришедшие не из интернета. Проверим:

[admin@MikroTik] /ip firewall address-list> print

Flags: X - disabled, D - dynamic
 #   LIST                     ADDRESS                                      CREATION-TIME        TIMEOUT
 
 0   allowed_to_router        192.168.88.2-192.168.88.254                  feb/05/2021 13:01:55
 1   ;;; RFC6890
     not_in_internet          0.0.0.0/8                                    feb/05/2021 13:43:03
 2   ;;; RFC6890
     not_in_internet          172. 16.0.0/12                                feb/05/2021 13:43:03
 3   ;;; RFC6890
     not_in_internet          192.168.0.0/16                               feb/05/2021 13:43:03
 4   ;;; RFC6890
     not_in_internet          10.0.0.0/8                                   feb/05/2021 13:43:03
 5   ;;; RFC6890
     not_in_internet          169.254.0.0/16                               feb/05/2021 13:43:03
 6   ;;; RFC6890
     not_in_internet          127.0.0.0/8                                  feb/05/2021 13:43:03
 7   ;;; RFC6890
     not_in_internet          198.18.0.0/15                                feb/05/2021 13:43:03
 8   ;;; RFC6890
     not_in_internet          192.0.0.0/24                                 feb/05/2021 13:43:03
 9   ;;; RFC6890
     not_in_internet          192.0.2.0/24                                 feb/05/2021 13:43:03
10   ;;; RFC6890
     not_in_internet          198.51.100.0/24                              feb/05/2021 13:43:03
11   ;;; RFC6890
     not_in_internet          203. 0.113.0/24                               feb/05/2021 13:43:03
12   ;;; RFC6890
     not_in_internet          100.64.0.0/10                                feb/05/2021 13:43:03
13   ;;; RFC6890
     not_in_internet          240.0.0.0/4                                  feb/05/2021 13:43:03
14   ;;; Multicast_RFC2780
     not_in_internet          224.0.0.0/4                                  feb/05/2021 13:43:12
15   ;;; 6to4_RFC3068
     not_in_internet          192.88.99.0/24                               feb/05/2021 13:43:12

Теперь, используя эти листы, создадим еще правила уже в цепочке FORWARD, которые защитят устройства в локальной сети от различных посягательств. Возвращаемся в раздел с правилами:

/ip firewall filter

Первым правилом мы сделаем так, чтобы наш файервол не срабатывал, когда имеет дело с уже установленными соединениями, это лишь тратит ресурсы маршрутизатора и никоим образом не помогает в обеспечении безопасности:

add action=fasttrack-connection chain=forward comment=FastTrack connection-state=established,related

Обрабатываем установленные соединения в цепочке Forward:

add action=accept chain=forward comment="Established, Related"  connection-state=established,related

Отбрасываем «‎битые»‎ соединения:

add action=drop chain=forward comment="Drop invalid" connection-state=invalid log=yes log-prefix=invalid

Отбрасываем пакеты, исходящие из локальной сети к частным IP-адресам и фиксируем срабатывание правила в логах:

add action=drop chain=forward comment="Drop tries to reach not public addresses from LAN" dst-address-list=not_in_internet in-interface=bridge1 log=yes log-prefix=!public_from_LAN out-interface=!bridge1

Отбрасываем входящие пакеты, которые не подходят для NAT и фиксируем срабатывание:

add action=drop chain=forward comment="Drop incoming packets that are not NATted" connection-nat-state=!dstnat connection-state=new in-interface=ether1 log=yes log-prefix=!NAT

Отбрасывать пакеты из сети интернет, пришедшие не с публичных IP-адресов и заносить информацию в лог:

add action=drop chain=forward comment="Drop incoming from internet which is not public IP" in-interface=ether1 log=yes log-prefix=!public src-address-list=not_in_internet

Отбрасывать пакеты из локальной сети, не имеющие IP-адресов этой локальной сети, и также отправляем сообщение в лог:

add action=drop chain=forward comment="Drop packets from LAN that do not have LAN IP" in-interface=bridge1 log=yes log-prefix=LAN_!LAN src-address=!192. 168.88.0/24

Защита от атак перебором

Брутфорс-атаки давно стали повседневностью. Десятки тысяч ботов регулярно сканируют весь интернет в поисках открытых портов SSH и затем начинают весьма активно «‎стучаться»‎ на внешний интерфейс и перебирать пароли в попытке захватить контроль над подключенным устройством. У тех, кто контролирует эти сети есть весьма обширные словари паролей, использующие как дефолтные реквизиты доступа большинства устройств.

Но даже если вы задали сложный пароль — это еще не гарантирует безопасности. Длительная атака перебором способна сломать этот барьер защиты, поэтому проще всего пресекать попытки злоумышленников сразу, как только замечен процесс перебора. Настройка правил firewall у устройств Mikrotik достаточно тривиальна:

Вначале создадим правило firewall по которому все входящие соединения с IP-адресов, находящихся в списке ssh_blacklist будут сбрасываться:

add chain=input protocol=tcp dst-port=22 src-address-list=ssh_blacklist action=drop comment="Drop SSH brutforce" disabled=no

Теперь сформируем сам список ssh_blacklist. Любой имеет право на ошибку, поэтому если легитимный пользователь три раза ошибся во вводе пароля — это нормально. Так что позволим пользователю сделать 3 ошибки с интервалом в 1 минуту. Большее количество будет свидетельствовать о переборе паролей и IP-адрес атакующего будет попадать в черный список и включается блокировка на 10 дней.

Так что нам потребуется создать еще три списка IP-адресов. Первый назовем ssh_stage1. Как только создается новое соединение на порт SSH мы вносим IP-адрес источника в список. При этом задаем удаление через 1 минуту. Это гарантирует нам то, что если соединение прошло успешно — IP-адрес будет удален из списка.

add chain=input protocol=tcp dst-port=22 connection-state=new action=add-src-to-address-list address-list=ssh_stage1 address-list-timeout=1m comment="Stage1" disabled=no

Если даже пользователь ошибся, то ничего страшного, однако если он попробует в течение этой минуты еще раз подключиться, то его адрес мы закидываем во второй список ssh_stage2 из первого списка ssh_stage1.

add chain=input protocol=tcp dst-port=22 connection-state=new src-address-list=ssh_stage1 action=add-src-to-address-list address-list=ssh_stage2 address-list-timeout=1m comment="Stage2" disabled=no

Если пользователь ошибется второй раз, то закидываем IP-адрес источника из списка ssh_stage2 в список ssh_stage3.

add chain=input protocol=tcp dst-port=22 connection-state=new src-address-list=ssh_stage2 action=add-src-to-address-list address-list=ssh_stage3 address-list-timeout=1m comment="" disabled=no

Третья ошибочная попытка приводит к копированию IP из списка ssh_stage3 в список ssh_blacklist и все входящие соединения с этого IP будут заблокированы сроком на 10 дней.

add chain=input protocol=tcp dst-port=22 connection-state=new src-address-list=ssh_stage3 action=add-src-to-address-list address-list=ssh_blacklist address-list-timeout=10d comment="" disabled=no

Для разблокировки адреса будет достаточно его удалить из черного списка.

NAT: базовая настройка и проброс портов

Технология трансляции сетевых адресов (NAT — Network Address Translation) используется во многих случаях. Чаще всего с ней можно встретиться при организации широкополосного доступа к сети интернет. Смысл технологии в том, чтобы дать возможность выходить в сеть множеству устройств, используя всего лишь один внешний IP-адрес.

Все устройства в этом случае будут иметь локальные IP-адреса, например, 192.168.XXX.XXX. Когда устройство запрашивает какой-либо внешний ресурс, то маршрутизатор точно знает от какого адреса в локальной сети пришел запрос и соответственно знает куда направлять обратный поток данных. Но если из внешней сети придет какой-либо запрос, то маршрутизатор его отбросит, поскольку не знает какому устройству в локальной сети его направить.

Решением проблемы является так называемый проброс портов (Port Forwarding). Создавая правило проброса портов мы даем маршрутизатору указания какому устройству перенаправить запрос извне. На логическом уровне подобный запрос может выглядеть как «‎Если на порт XXX придет TCP-запрос, то перенаправь его на локальный адрес 192.168.XXX.XXX на порт YYY»‎. Давайте посмотрим 2 способа как нам настроить NAT на Mikrotik.

Способ 1. Когда выходной IP-адрес может меняться

Изначально Mikrotik ничего о нашем намерении использовать NAT не знает. Для начала укажем, что хотим все пакеты, пришедшие из локальной сети выводились во внешнюю сеть через общий IP-адрес:

ip firewall nat add chain=srcnat out-interface=ether1 action=masquerade

где ether1 — интерфейс, смотрящий в интернет. Также можно задать не один выходной интерфейс, а сразу несколько, заранее сформировав список out-interface-list.

Этот способ наиболее простой и удобный для пользователей с динамическим IP-адресом.

Способ 2. Когда выходной IP-адрес статический и не меняется

Теперь еще один вариант организации NAT. Рассмотрим пример:

ip firewall nat add chain=srcnat out-interface=ether1 action=src-nat to-addresses=XXX.XXX.XXX.XXX

где XXX.XXX.XXX.XXX — статический IP-адрес, а ether1 — выходной интерфейс.

Теперь переходим к пробросу портов. Для примера предположим, что у нас в локальной сети 192.168.88.0/24 есть небольшой сервер по адресу 192.168.88.10 с поднятым SSH. Нам нужно подключаться к серверу удаленно, используя номер порта 1122. Для этого выполним проброс портов, созданием правила:

ip firewall nat add chain=dstnat in-interface=ether1 protocol=tcp dst-port=1122 action=dst-nat to-addresses=192.168.88.10 to-ports=22

Почему мы взяли такой странный номер порта 1122? Все просто — чтобы затруднить злоумышленникам нахождение номера порта и последующего перебора реквизитов. Таким образом, мы создали правило, однозначно позволяющее маршрутизатору понять, что все TCP-пакеты, пришедшие на порт 1122 следует переадресовывать на локальный адрес 192. 168.88.10 на порт 22.

Вместо заключения

Мы рассмотрели основные команды для выстраивания базовой защиты для устройств на базе RouterBoard, а также облачной версии Mikrotik CHR и взглянули на то, как можно парой команд настроить NAT. Разумеется, для каждого неиспользуемого сервиса можно закрыть доступ извне, исходя из используемых портов, протоколов и типа трафика.

Угроз безопасности с каждым днем становится все больше и каждая из них заслуживает внимания и адекватного ответа.

Распределенный файрволл, или DFW (Distributed Firewall) — «ИТ-ГРАД»

Распределенный файервол, или DFW (Distributed Firewall), – популярная функция NSX. С выходом vCloud Director 8.20 инструмент стал доступен клиентам вместе с новым интерфейсом HTML5 и API. Управление файерволом осуществляется на уровне Org vDC.

Использование опции Manage Firewall для управления DFW

Если кликнуть по ссылке Manage Firewall в свойствах виртуального ЦОД, откроется окно управления DFW, которое выглядит так:

Окно управления Distributed Firewall

Как сказано в официальной документации, Distributed Firewall представляет собой брандмауэр, реализованный на уровне ядра гипервизора, который обеспечивает контроль сети и виртуализированных нагрузок. Здесь можно создавать политики на основе объектов VMware vCenter, таких как дата-центры, кластеры, виртуальные машины, используя в том числе комбинации из IP-адреса или наборов IP-адресов, VLAN, VXLAN, групп безопасности, включая объекты Active Directory. Правила брандмауэра работают на уровне отдельно взятой виртуальной машины и не зависят от сетевой топологи, что обеспечивает постоянный контроль доступа, даже когда ВМ переходит в режим работы vMotion. Такая «нативность» с гипервизором дает файерволу большие преимущества, поскольку обеспечивается максимальная пропускная способность и более высокая консолидация рабочих нагрузок на физических серверах. Кроме того, файервол поддерживает масштабируемую архитектуру, благодаря чему при добавлении в ЦОД новых узлов автоматически увеличивается пропускная способность брандмауэра.

Сравнение брандмауэров

Отметим, что в vCloud Director 8.20 можно работать с пограничным шлюзом (Edge gateway) и распределенным (Distributed) файерволом. Чтобы уловить разницу между ними, рассмотрим отдельные примеры.

Пример с несколькими Org vDC

Пограничный шлюз на уровне Org vDC

На рисунке выше показаны два Org vDC с разной сетевой топологией. Org vDC 1 использует Org vDC Edge Gateway, который, помимо функции файервола, выполняет другие сетевые службы (балансировка нагрузки, VPN, NAT, маршрутизация и т. д.). Обратите внимание, что на этом уровне брандмауэр отслеживает только те пакеты, которые маршрутизируются через пограничный шлюз.

Пограничный шлюз на уровне vApp

Спустившись на уровень ниже, мы видим контейнеры vApps с vApp Edges. Они отвечают за маршрутизацию, межсетевое экранирование и NAT между маршрутизируемой сетью vApp и сетью Org vDC.

Распределенный файервол

Распределенный файервол же работает на уровне vNIC виртуальных машин. Это означает, что здесь реализуется проверка входящего/исходящего трафика ВМ и нет зависимости от топологии сети.

Особенности прав доступа в Distributed Firewall

В vCloud Director 8.20 появились новые права доступа, связанные с распределенным файерволом:

• управление распределенным брандмауэром;
• настройка правил распределенного брандмауэра;
• просмотр правил распределенного брандмауэра;
• включение/выключение распределенного брандмауэра.

Последнее право по умолчанию распространяется на системных администраторов, при этом провайдер облачных услуг контролирует, кому из клиентов разрешать использовать DFW. С учетом этих возможностей распределенный файервол может предоставляться как услуга с добавленной стоимостью. Поставщик выборочно включает DFW для отдельных Org vDC, после чего клиент самостоятельно настраивает и работает с брандмауэром.

Как создать новое правило в DFW

Прежде чем использовать портал vCloud Director для работы с распределенным файерволом, необходимо активировать (включить) распределенный брандмауэр на уровне организации виртуального ЦОД.

Окно включения Distributed Firewall

Важный момент! Правила, создаваемые в DFW, по умолчанию применяются к виртуальному ЦОД организации.

Обзор свойств правила

В поле Applied To можно изменять критерии применимости. При этом в свойствах правила может присутствовать несколько объектов, что позволяет сократить общее количество создаваемых правил. Например, если необходимо разрешить трафик http в сети internal1, internal2, internal3, достаточно создать одно правило, в котором будут определены рассматриваемые сети, вместо создания трех отдельных строк.

Создаем новое правило. Для этого открываем vCloud Director, кликаем по Org vDC, в контекстном меню выбираем Manage Firewall – открывается отдельное окно распределенного брандмауэра.

Пример Default Allow Rule, созданного по умолчанию

Далее необходимо определиться с типом правила. Обратите внимание, что на закладке General можно создавать правила Layer 3, а на закладке Ethernet – правила Layer 2. Чтобы добавить правило на уровень ниже существующего, щелкните по строке правила, а затем нажмите кнопку «+». Новая строка появится ниже выбранного правила. Если же на странице Distributed Firewall присутствует единственное правило, созданное по умолчанию (Default Allow Rule), любое вновь создаваемое правило будет размещаться на уровень выше.

Пример создания нового правила

Строка любого правила содержит поля Source, Destination и Service, в которых при создании автоматически прописывается значение Any, а само правило определяет разрешающее действие. Эти значения можно изменить при необходимости. Обратите внимание, что правило содержит поле Name, которое не должно быть пустым. В ячейках Source и Destination указываются отдельно взятые IP-адреса, IP-диапазоны или значения в формате CIDR.

Пример редактирования полей правила

Кликнув по значку «+» в ячейке Source или Destination, можно добавить новый объект – сеть организации vDC, виртуальную машину, указать IP-диапазон, а также использовать фильтры.

Пример выбора объектов в свойствах правила DFW

Изменения, вносимые в правилах DFW, необходимо сохранять. Для этого используется кнопка Save changes.

Заключение

В этой статье мы познакомились с особенностями работы распределенного брандмауэра, обозначили разницу между Edge Gateway и Distributed Firewall, а также научились создавать правила. Следите за новыми материалами первого блога о корпоративном IaaS. В следующей статье расскажем о порядке применения правил, рассмотрев конкретные кейсы, и научимся вносить изменения в уже существующую конфигурацию.

Глава 8. Межсетевой экран Proxmox

Межсетевой экран Proxmox VE является функционалом безопасности, который делает возможным быструю и эффективную защиту виртуальной среды как внутреннего, так и внешнего сетевого обмена. Усиливая действие такого межсетевого экрана мы можем защищать ВМ, узлы хоста, или даже весь кластер путём создания правил межсетевого экрана. Создавая правила на уровне виртуальной машины мы можем предоставлять полную изоляцию ВМ для сетевого обмена ВМ, включая обмен ВМ с внешней сетью. До появления межсетевого экрана Proxmox VE безопасность и изоляция были невозможны на уровне гипервизора, мы охватим следующие темы межсетевого экрана Proxmox VE:

• Обзор межсетевого экрана Proxmox VE

• Настройка правил межсетевого экрана всего кластера

• Настройка правил межсетевого экрана определённого хоста

• Настройка правил межсетевого экрана конкретной ВМ

• Интеграция IPS Suricata

• Включение межсетевого экрана IPv6

• CLI команды межсетевого экрана

 Обзор межсетевого экрана Proxmox VE

Межсетевой экран Proxmox VE усиливает действие iptables по защищённости каждого узла Proxmox. Iptables являются приложением, которое позволяет вам управлять таблицами правил для межсетевого экрана ядра Linux. Все правила и настройки межсетевого экрана сохраняются в файловой системе вашего кластера Proxmox, тем самым делая доступной распределённый межсетевой экран в кластере вашем Proxmox. Предоставляемая Proxmox на каждом узле предваряющая межсетевой экран служба считывает все правила и настройки из файловой системы кластера и автоматически приводит в соответствие ваши локальные iptables. Правила могут быть полностью созданы и поддержаны GUI или CLI Proxmxox. Межсетевой экран Proxmox может быть использован на месте виртуального межсетевого экрана всего кластера.

Замечание

Хотя межсетевой экран Proxmox и предоставляет исключительную защищённость, вам настоятельно рекомендуется иметь физический межсетевой экран для всей сетевой среды. Этот межсетевой экран также называется граничным межсетевым экраном, поскольку располагается в вашей главной входной точке в Интернет. Соединение с Интернетом не должно быть напрямую приходить на узлы Proxmox. Не следует применять виртуальный межсетевой экран подстановкой вместо физического межсетевого экрана. {Прим. пер.: говоря о физическом межсетевом экране не стоит ограничиваться исключительно аппаратными «коробочными» реализациями межсетевых экранов. Достаточно зрелым, например, является решение pfsense, на базе которого можно реализовывать физический межсетевой экран в виде собственного кластера для систем практически любых размеров.}

  Компоненты межсетевого экрана Proxmox VE

Существуют различные создающие межсетевой экран Proxmox VE компоненты. Для эффективной реализации межсетевого экрана в кластере Proxmox важно знать все компоненты и их функции.

 

Зоны

Области защиты межсетевым экраном Proxmox делятся на следующие три логические зоны:

• Datacenter: правила в этой зоне определяют обмен в сторону всех хостов и гостевых машин и от них.

• Host: правила в этой зоне определяют обмен к- и от- кластеру и узлам Proxmox.

• VM: правила этой зоны определяют обмен к каждой ВМ и от неё.

Все правила зон центра данных и хоста выстраиваются в каскад. Это означает, что правило созданное в зоне центра данных будет применяться ко всем хостам или узлам, а также ко всем ВМ. В то время, как созданные в зоне хоста правила будут применяться ко всем ВМ на этом хосте или узле Proxmox, следует предпринимать предосторожности при создании правил в зоне хоста для определённых ВМ. Это обусловлено тем, что при миграции такой ВМ на другой узел данные правила с предыдущего узла не будут применяться на новом узле для мигрировавшей ВМ. Такие правила уровня хоста должны быть созданы на новом хосте и только после этого они могут быть применены к данным ВМ. Создаваемые для ВМ правила применяются только к этой ВМ. Не существует никаких каскадов для вашей зоны ВМ.

 

Группы безопасности

Это средство группировки некоторых правил межсетевого экрана в одно правило. Оно очень полезно когда то же самое множество правил применяется к различным ВМ. Например, мы можем создать группу безопасности с названием webserver и добавить множество правил для открытия портов, таких как 21, 22,80, 443 и тому подобных. Затем мы можем применять эти Security Groups для любых ВМ, используемых в качестве веб сервера. Аналогично, мы можем создать группу безопасности для открытия портов только для электронной почты. Следующий снимок экрана отображает пример группы безопасности вебсервера с правилами открытия портов для FTP, SSH, HTTP и HTTPS:

	Замечание
	Следует отметить, что Security Groups создаются только в зонах центра данных. Не существует возможностей создания групп безопасности в зонах межсетевого экрана хоста или ВМ.

Создаваемая в зоне центра данных Security Groups может быть применена в любых зонах. Группы безопасности делают более простым создание правил для множества узлов или виртуальных машин. Подробности о создании групп безопасности и управлении ими будут объяснены в этой главе позже.

 

IPSet

Иногда бывает необходимо создать правила межсетевого экрана для ограничения или разрешения обмена исключительно на основании IP адресов. IPSet позволяет нам создавать правила, котороые могут применяться ко множеству IP адресов или подсетей IP. Например, мы можем создать IPSet чтобы разрешить доступ к GUI Proxmox только с ограниченных IP адресов. Следующий снимок отображает пример IPSet для разрешения доступа к вашему proxmoxgui только с трёх адресов:

Мы можем создавать правила основываясь на индивидуальных IP или на целых подсетях с пименением формата CIDR в своих правилах.

	Замечание
	Все правила IPSet могут создаваться как в зонах центра данных, так и ВМ, поскольку блоки диалога в них также идентичны. Созданный в зоне центра данных IPSet может применяться ко всем хостам и ВМ в данном кластере. Однако, IPSet, созданный в зоне ВМ, может применяться только для этой ВМ.

Другим хорошим примером использования IPSet является создание чёрных и белых списков IP адресов в зонах центра данных. Белый список делает возможным обмен, в то время как чёрный список блокирует доступ к указанным IP адресам. Подробности создания IPSet и управления ими будут обсуждены позднее в данной главе.

 

Правила

Правила являются сердцевиной настройки межсетевого экрана. Правила определяют поток и тип обмена, который будет разрешён или запрещён в данной зоне. Существуют два направления в которых может идти сетевой обмен:

• IN: имеет отношение ко входящему обмену, приходящему откуда угодно в любые зоны

• OUT: относится к исходящему из любых зон обмену куда угодно

Существует три вида действий, которые могут быть применены правилом межсетевого экрана:

• ACCEPT: разрешает обмен пакетами

• REJECT: пакеты отвергаются, после чего их отправителю отсылается уведомление об отказе в приёме

• DENY: пакеты обмена принимаются, а затем молча сбрасываются без каких- либо уведомлений их отправителю

Обычное правило будет содержать направление обмена, применяемое к этому обмену действие и на какой порт или протокол оно оказывает воздействие. Следующий снимок экрана отображает правило для блокирования обмена с портом 80 и разрешение обмена для порта 443 для некоторого примера ВМ в нашем кластере.

 

Протоколы

В межсетевом экране Proxmox мы можем создавать правила основываясь на различных сетевых протоколах, таких как TCP, UDP, ICMP и тому подобные. В зависимости от требований приложений, могут быть необходимы различные выборы протоколов. Например, если мы хотим разрешить для зоны ping, нам необходимо создать правило с таким протоколом ICMP. Предварительно определённые протоколы доступны для выбора в блоки диалога, что отображает следующий снимок экрана:

 

Макросы

Макросы являются предварительно созданными настройками порта для большинства известных служб, например, HTTP, SSH, FTP, Telnet, MySQL, NTP, OpenVPN и тому подобных. Каждый макрос имеет предопределённый протокол и номер порта. Поэтому, при выборе макроса на не нужно определять протокол или номер порта. Фактически, когда мы выбираем Macro при помощи ниспадающего меню, блок диалога Proxmox автоматически запрещает все текстовые блоки протокола и порта, как это отображается на следующем снимке экрана:

	Совет
	Если нам нужно ввести индивидуальный порт для любого правила, тогда выбор макросов не работает. Нам придётся вручную определять номер порта и соответствующий протокол для данного правила.

Следующий снимок экрана показывает ниспадающее меню Macro в блоке диалога Rule:

К функциям межсетевого экрана можно осуществить доступ через закладку firewall о всех трёх зонах, таких как Datacenter, Host, или Nodes, а также на виртуальных машинах, причём как KVM, так и LXC.

 

Службы pve-firewall и pvefw-logger

Существуют две службы, которые делают доступным межсетевой экран Proxmox:

• pve-firewall: это самая главная служба для выполнения межсетевого экрана и обновления правил iptables

• Pvefw-logger: отвечает за регистрацию всего обмена межсетевого экрана когда регистрация включена

Служба pve-firewall запускается автоматически после перезагрузки узла. Мы также можем осуществлять запуск, останов и перезапуск данной службы вручную с использованием следующих команд:

# pve-firewall start
# pve-firewall stop
# pve-firewall restart
 	   

Для проверки состояния службы межсетевого экрана мы можем воспользоваться следующей командой:

# pve-firewall status
 	   

В случае, если в работе межсетевого экрана отсутствуют какие- либо проблемы, её вывод будет таким:

Status: enabled/running
 	   

w3.org/1999/xhtml»>  Настройка файлов межсетевого экрана

Хотя межсетевой экраном Proxmox можно полностью управлять через GUI Proxmox, временами может потребоваться намеренный доступ к правилам через CLI в случае, когда некий кластер заблокирован из- за неправильной настройки правил межсетевого экрана. Все настройки и правила межсетевого экрана следуют одному и тому же формату именования с расширением .fw. Настройки межсетевого экрана и файлы правил хранятся в двух различных каталогах для всех ваших трёх зон:

/etc/pve/firewall/cluster.fw
 	   

Это файл настроек правил зоны и настроек центра данных (Datacenter). Вся прочая информация межсетевого экрана повсеместная в центре данных, такая как Security Groups и IPSets также хранятся в этом отдельном файле. Мы можем разрешать или запрещать межсетевой экран центра данных изменяя такой файл настроек.

Вот файлы настроек и правил для узла или хоста Proxmox:

/etc/pve/nodes/<node_name>/host. fw
 	   

Каждая виртуальная машина, будь то KVM или LXC, имеет отдельный файл настроек межсетевого экрана со своим идентификатором ВМ, хранящийся в том же каталоге, в котором хранится и файл настроек межсетевого экрана центра данных:

/etc/pve/firewall/<vm_id>.fw
 	   

При создании новых правил или их изменений через GUI Proxmox, именно эти файлы подвергаются изменениям. Будь то изменения, выполняемые через GUI либо посредством CLI, все правила вступают в действие немедленно. Не требуются никакие перезагрузки или перезапуск службы межсетевого экрана.

 Настройка межсетевого экрана специфичного для центра данных

Как уже упоминалось ранее, правила межсетевого экрана, относящиеся к центру данных, имеют влияние на все ресурсы, такие как кластер, узлы и виртуальные машины. Все создаваемые в этой зоне правила каскадируются как для хостов, так и для ВМ. Эта зона также используется для полного ограничения возможности кластера отбрасывать весь входящий обмен, а затем открывать только то, что требуется. В только что установленном кластере Proxmox этот параметр межсетевого экрана всего центра данных выключен.

	Предостережение
	Необходимо обращать внимание на данный раздел для предотвращения полной блокировки кластера.

  Настройка межсетевого экрана центра данных в GUI

Следующий снимок экрана отображает параметры межсетевого экрана для зоны центра данных в закладке Options перейдя в Datacenter | Firewall | Options:

Как мы можем увидеть из предыдущего снимка экрана, межсетевой экран для зоны центра данных по умолчанию выключен, при помощи Input Policy установите Drop, а Output Policy установите на Accept. Если мы на самом деле разрешим этот параметр межсетевого экрана прямо сейчас, тогда весь входящий доступ будет запрещён. Вам придётся перейти в консоль для доступа к данному узлу. Перед тем как разрешать этот параметр, мы должны с создать два правила для разрешения доступа вашего GUI по порту 8006 и вашего консольного доступа SSH через порт 22.

 

Создание правил межсетевого экрана центра данных

Чтобы открыть блок диалога создания Rule, нам нужно кликнуть на Add, переместившись в меню с закладками Datacenter | Firewall | Rules. В качестве нашего первого правила мы собираемся разрешить GUI Proxmox по порту 8006, как это отображено на следующем снимке экрана:

Блок диалога правил {почти} идентичен для всех трёх зон, поэтому важно знать подробности опционных элементов в этом блоке диалога. Следующая таблица суммирует все цели текстов и ниспадающих списков, доступных в данном блок диалога Правил:

Элемент	Функция
Direction	Этот ниспадающий перечень используется для выбора направления вашего обмена для данного правила, при этом это обязательное поле.
Action	Этот ниспадающий перечень используется для выбора необходимого для применения действия, такого как Accept, Drop или Reject. Это обязательное поле.
Interface	Это текстовое поле используется для определения вашего интерфейса, применяемого для данного правила. Оно не применяется в зоне центра данных. Полезно определять его для ВМ со множеством интерфейсов.
Source	Этот ниспадающий список используется для выбора предварительно настроенного IPSet или текстовое поле для ввода необходимого IP адреса, откуда происходит данный обмен. Мы можем определять подсеть в формате CIDR. Когда поле оставляется незаполненным, это позволяет принимать обмен со всех IP адресов источников.
Destination	Этот ниспадающий список используется для выбора предварительно настроенного IPSet или текстовое поле для ввода необходимого IP адреса устройства назначения в кластере. Когда поле оставляется незаполненным, это позволяет осуществлять обмен со всеми IP адресами получателей.
Enable	Это окошко метки используется для включения или выключения данного правила.
Macro	Этот ниспадающий перечень используется для выбора предварительно настроенных макросов. Мы также можем набрать свой текст имени макроса, который будет осуществлять фильтрацию нашего списка макросов.
Protocol	Этот ниспадающий список используется для выбора протокола. Мы также можем набрать своё имя протокола, которое будет осуществлять фильтрацию нашего списка протоколов.
Source port	Это текстовое поле используется для определения номера порта, порождающего данный входящий обмен. Если оно оставлено пустым, будет приниматься обмен со всех портов. Мы также можем определить в данном поле свой диапазон портов разделённый :. Данное поле порта источника также используется для исходящего обмена в случае, когда такой обмен имеет внутреннее происхождение с ВМ, узла или кластера.
Dest. Port	Это текстовое поле используется для определения номера порта получателя данного входящего обмена. Если оно оставлено пустым, будет приниматься обмен со всех портов. Мы также можем определить в данном поле свой диапазон портов разделённый :.
Comment	Это текстовое поле используется для записи определения или любых заметок относящихся к данному правилу.

Для разрешения обмена с вашей консолью SSH мы собираемся создать при помощи макроса SSH необходимое правило. Следующий снимок экрана отображает свойство межсетевого экрана зоны центра данных с двумя правилами, созданными для разрешения доступа через GUI Proxmox и SSH:

Замечание

Отметим, что GUI Proxmox может быть доступен только через один IP адрес, который {в нашем случае} установлен в значение 172.16.0.3, в то время как SSH доступ может быть осуществлён с любого IP адреса. Помните, что все правила Центра данных каскадируются вниз на хосты и ВМ. В данном сценарии SSH открыт для всех хостов и ВМ в вашем кластере. В определённых ситуациях нам может потребоваться блокировать SSH доступ для определённых ВМ для увеличения безопасности. Если мы оставим предыдущее правило в том виде, как оно есть, нам будет необходимо создать отдельное правило уровня ВМ для отбрасывания обмена SSH для всех ВМ. Однако, это может стать скучной задачей, поскольку некоторым ВМ может требоваться доступ SSH, причём это могут быть десятки ВМ. Пересмотренное расширенное правило для разрешения доступа SSH только для некоторых узлов Proxmox может быть создано для IPSet в Datacenter с IP адресами только для этих узлов Proxmox, после чего оно назначается в виде IPSet в качестве Destination для данного правила.

 

Создание IPSet центра данных

Приводимый ниже снимок экрана показывает IPSet с именем proxmox_node_ips с IP адресами для двух узлов в нашем примере кластера:

На странице управления IPSet нам вначале необходимо создать собственно IPSet, а затем добавить IP с расположенных по правую руку опций IP/CIDR. Адреса IP могут добавляться по отдельности или определяться целым блоком с применением соответствующих значений CIDR. Имя IPSet может содержать только алфавитно- цифровые символы с двумя специальными: - и _. Однако, когда Proxmox отображает в ниспадающем списке IPSet, он добавляет в качестве префикса +. Этот символ не является частью имени. Если строка введена с заглавными буквами, они автоматически будут заменены на строчные. Следующий экранный снимок отображает диалоговый блок Rules в котором мы выбираем IPSet для узлов Proxmox в поле Destination для разрешения SSH только для узлов Proxmox:

Видоизменённое правило будет обеспечивать то, что SSH будет допустим только для узлов Proxmox, а не для ВМ. Как мы можем увидеть в предыдущем примере, при создании правил в зоне Центра данных, очень важно помнить о каскадном эффекте правил Центра данных и том, как он может влиять на узлы и ВМ. Будет лучше применять правила зоны Центра данных для относящегося к кластеру обмена, а не для ВМ на всех узлах.

После того, как мы создали правила, допускающие SSH и GUI Proxmox, мы готовы разрешить межсетевой экран всего Центра данных через меню Options. Следующий снимок экрана показывает меню с теперь включённым межсетевым экраном:

Предыдущий снимок отображает политику, которая будет отклонять весь входящий обмен. а исходящий обмен будет разрешён. Для наличия полностью заблокированного безопасного кластера, обе данные политики должны быть установлены в значение DROP. Обычно исходящий обмен рассматривается безопасным. В противном случае, в среде со множеством арендаторов (multitenant), исходящий обмен также должен экранироваться. Таким образом, мы можем управлять видом обмена, который может покидать ВМ. Примером обмена, который следует запрещать может быть обмен ICMP или Ping, которые позволяют какой- либо ВМ обнаруживать сетевые устройства.

Замечание

Если оба правила межсетевого экрана, входящее и исходящее, установлены в значение Deny или DROP, вам вероятно понадобится настраивать весь допустимый обмен, даже обновления и общий трафик. Если вы реализуете DROP для Input Policy в уже установленном кластере Proxmox, убедитесь, что вы предварительно создали все необходимые правила для всех ВМ и узлов перед включением межсетевого экрана для всего Центра данных. Не выполнив это мы вызовем потерю связи всех ВМ и узлов.

 

Создание псевдонимов

Псевдонимы (aliases) делают более наглядным просмотр того, какие устройства или группы устройств подвергаются воздействию правила. Мы можем создавать псевдонимы для идентификации адреса IP или сетевой среды. Это также аналогично относится к IPSet, однако только один псевдоним указывает на адрес IP или сеть, в то время как IPSet содержит {может содержать} множество адресов IP или сетевых сред. Например, в сценарии, в котором у нас имеется один Proxmox в качестве 10.0.0.0/24 и адрес IP 172.16.0.3, мы можем создать два псевдонима применяя блок диалога Alias кликнув на Add в меню Alias, как это отображено на следующем снимке экрана:

На предыдущем снимке мы создали псевдоним с именем ProxmoxNet для обозначения сети 10.0.0.0/24. Применяя тот же самый блок диалога мы создадим другой псевдоним с названием Management для IP 172.16.0.3. Отображённый ниже снимок экрана вашего окна Alias показывает оба созданных псевдонима:

Преимущество наличия Alias состоит в том, что всякий раз, когда мы создаём правила, мы можем использовать этот псевдоним вместо набора IP адреса целиком. Это в особенности полезно при использовании IPv6. Поскольку адреса IPv6 достаточно длинные, мы можем создавать псевдоним для вызова IP адреса в правиле всякий раз, когда он нам понадобится.

Это также другой способ описания численного IP адреса текстом. Псевдонимы доступны в ниспадающих списках как в Source, так и в Destination в вашем блоке диалога Rules. Приводимый ниже снимок отображает блок диалога создания правила с вашими псевдонимами в ниспадающем перечне для Source:

Создаваемые в зоне Центра данных псевдонимы доступны во всём кластере как в его зонах хостов, так и в зонах ВМ.

  Настройка межсетевого экрана центра данных через CLI

[OPTIONS] 

polioy_in: ACCEPT 
enable: 1 
policy_out: ACCEPT 

[ALIASES] 

ProxmoxNet 10.0.0.0/24 # Proxmox Cluster Network 
Management 172.16.0.3 # Proxmox Management Interface 

[IPSET proxmox_node_ips] 

172. 16.0.171 
172.16.0.172 

[IPSET proxmoxgui] 

10.0.0.9 # Office 
172.16.0.3 # Home 
192.168.1.10 # Lab 

[RULES] 

|IN Ping(ACCEPT) 
IN SSH(ACCEPT) -dest +proxmoxnodeips # Allow SSH only for Proxmox nodes 

[group webserver] 

IN ACCEPT -source 10.0.0.2 -p tcp -dport 565 
IN HTTPS (ACCEPT) 
IN HTTP(ACCEPT) 
IN SSH(ACCEPT) 
IN FTP(ACCEPT) 
 	   

Как мы можем увидеть из предыдущего снимка, существуют четыре раздела в файле настроек межсетевого экрана для зоны Центра данных. Они таковы:

[OPTIONS]
. . . . . . . .
[ALIASES]
. . . . . . . .
[IPSET <name>]
. . . . . . . .
[RULES]
. . . . . . . .
[group <name>]
. . . . . . . .
 	   

 

[OPTIONS]

Эта область применяется для разрешения или запрета межсетевого экрана всего Центра данных (Datacenter). В настоящий момент наш пример кластера имеет политику Bold установленную по умолчанию, которая назначена на сброс всего входящего обмена, в то же время разрешая весь исходящий обмен. Если мы собираемся изменить свою политику входа на приём всего входящего обмена, тогда эти параметры должны выглядеть следующим образом:

[OPTIONS]
policy_in: ACCEPT
enable: 1
 	   

Если, из- за неверной настройки межсетевого экрана, мы заблокировали себя, мы можем запретить межсетевой экран всего Центра данных воспользовавшись с консоли следующим параметром:

enable: 0
 	   

 

[ALIASES]

Данный раздел отображает все псевдонимы, созданные в зоне Центра данных. Он показывает все имена ваших псевдонимов и IP адреса или ваши сети, к которым относятся данные псевдонимы. Каждая строка используется для отдельного элемента псевдонима.

 

[IPSET <name>]

Этот сегмент накапливает все IPSet, создаваемые в зоне Центра данных. Он отображает назначенное имя этого IPSet, а также добавленные в этот набор IP адреса. Для нашего примера у нас в наличии два IPSet с именами proxmox_node_ips и proxmoxgui.

 

[RULES]

Данный сегмент содержит все правила межсетевого экрана, по одному в каждой строке. Чтобы запретить любое правило, нам необходимо просто поместить | перед самим правилом и сохранить файл настройки. На предыдущем снимке таким образом было запрещено правило, допускающее ping.

 

[group <name>]

Этот раздел собирает все ваши Security Groups, создаваемые в зоне Центра данных. Он отображает имена групп безопасности и соответствующее правило, добавленное в эту группу. На предыдущем снимке мы могли видеть, что мы создали группу безопасности с названием webserver и добавили правила макросов чтобы сделать доступным обмен HTTPS, HTTP, SSH и FTP. Мы также можем вручную добавлять правила в данный сегмент определяя протокол и порт. Например, если мы хотим разрешить обмен TCP по порту 565 только для IP адреса 10. 0.0.2, мы добавим следующую строку кода в свою группу безопасности webserver:

IN ACCEPT –source 10.0.0.2 –p tcp –dport 565
 	   

 Настройка межсетевого экрана специфичного для хоста

Все правила, создаваемые в вашей зоне хоста применяются только в тому непосредственному узлу, на котором это правило создано и к тем ВМ, которые находятся на данном узле хоста. Правила для одного узла не подвергаются репликации на все прочие узлы, хотя эти файлы правил сохраняются в файловой системе вашего кластера Proxmox. Не существует опций для создания IPSet или Security Groups в зоне вашего хоста. Следующий снимок экрана показывает функции вашего межсетевого экрана для узла хоста pm4-1 в нашем примере кластера:

  Настройка правил межсетевого экрана хоста

Процесс создания новых правил для зоны Хоста идентичен процессу созданию правила, который мы уже обсуждали в разделе Настройка межсетевого экрана специфичного для центра данных ранее в данной главе. Помимо создания правил в рабочей области, мы также можем назначать предварительно созданные правила в своей форме Security Group на какой- либо узел. Мы не можем создавать новую Security Group в меню межсетевого экрана вашего хоста, однако мы можем назначать ей некоторые предварительно определённые правила. Например, ранее в этой главе мы создали Security Group с именем webserver. Если узел Proxmox предназначается только для размещения ВМ, используемых в свою очередь только для веб- серверов, тогда мы можем назначить такому узлу Security Group webserver, и все её правила будут каскадироваться во все ВМ данного хоста. Таким образом, мы могли бы сохранить уйму времени, которое мы бы потратили на создание отдельных правил для каждой ВМ.

Чтобы открыть блок диалога для назначения группы безопасности, кликните по Insert: Security Group. Ниже приводится снимок экрана, отображающий блок диалога с webserver, выбранным из ниспадающего перечня Security Group:

Мы должны гарантировать включение своего правила, кликнув по кнопке- флажку, а затем нам необходимо кликнуть по Add для назначения группы безопасности. Последующий снимок отображает Rule, добавленные к нашему узлу pm4-1:

 

Параметры зон межсетевого экрана хоста

Межсетевой экран узла Proxmox имеет некоторые элементы в своей закладке Options. Большинство этих элементов может быть оставлено с установленными по умолчанию значениями, как это показано на экранном снимке ниже. Однако понимание этих элементов придаст дополнительную вооружённость вашей безопасности в кластере. Ниже приводится снимок ваших элементов Options со значениями по умолчанию для не изменённого узла pm4-1:

Для изменения настроек любого элемента параметров нам нужно выбрать строку с этим элементом и после этого кликнуть по кнопке Edit.

 

Включение межсетевого экрана

По умолчанию узлы Proxmox имеют параметры межсетевого экрана во включённом состоянии. Для выключения межсетевого экрана данного узла целиком выберите No для данного параметра.

 

Фильтр SMURFS

По умолчанию, фильтр SMURFS является включённым. По своей природе, SMURFS является атакой DDoS (distributed denial-of-service). При данной атаке нападающий отсылает очень большое число пакетов данных ICMP с IP адресом вводимой в заблуждение жертвы в качестве источника, а он широковещательно распространяется на всю сеть с применением широковещательного адреса. Обычно все сетевые устройства отвечают на ping ICMP. В процессе атаки SMURF устройство- жертва переполняется ответами ICMP. Если в сетевой среде присутствует большое число устройств, в этом случае переполнение становится чрезвычайным, переводя ставшие жертвами устройства в безответное состояние. Это та причина, по которой данный фильтр должен оставаться включённым постоянно.

 

Фильтр флагов TCP

Проще говоря, флаги TCP являются управляющими битами, которые выполняют индикацию того, как следует обрабатывать пакеты TCP вашему клиенту. Такие управляющие биты или индикаторы расположены в заголовке TCP. Всего существует девять управляющих битов, по одному биту для каждого флага. Полное описание того, как в точности эти флаги работают, выходит за рамки данной книги, поскольку TCP является обширным предметом с различными сложностями. В данном месте мы чем являются эти флаги и как межсетевой экран Proxmox обрабатывает фильтрацию флагов TCP. Приводимая ниже таблица суммирует флаги TCP и их функции:

Флаг TCP	Функция
URG — 1бит	Он отображает, что данный пакет TCP является неотложным (urgent).
ACK — 1бит	Отображает поле Acknowledgement. После инициирующего SYN для всех пакетов, они обычно сопровождаются данным флагом.
PSD — 1бит	Данный флаг запрашивает проталкивание буферизации данных настолько быстро, насколько это возможно на принимающую сторону вашего клиентского приложения.
RST — 1бит	Этот флаг отображает сброс вашего соединения TCP.
SYN — 1бит	Данный флаг индицирует синхронизирующую последовательность чисел перед инициацией соединения TCP. Обычно этот флаг имеет только самый первый пакет, отправляемый из источника.
FIN — 1бит	Этот флаг отображает завершение пакетов TCP.

Флаги TCP полезны для определения и локализации пакетов TCP со странным поведением и определение возможного вторжения. Аргументы для добавления фильтрации флагов TCP добавляются в правила межсетевого экрана сразу после синтаксиса -p, как это отображено в следующем коде:

[RULES]
IN DROP –p tcp –tcp-flags SYN,ACK SYN –dport
 	   

	Замечание
	В Proxmox VE 4.1 отсутствуют опции применяемые для добавления флагов TCP вручную через ваш GUI. Мы можем добавлять их через CLI, однако это делает такое правило утраченным для GUI.

По умолчанию, фильтрация флагов TCP выключена в Proxmox VE. Мы можем разрешить её, позволив межсетевому экрану Proxmox автоматически фильтровать странные пакеты с несинхронизованными битами. Все проходящие через вашу сеть пакеты данных имеют упорядоченное поведение SYN. Странные пакеты обычно означают, что они могут иметь плохое происхождение.

 

nf_conntrack_max

Это значение определяет максимальный размер таблицы отслеживания соединения сетевой фильтрации. Эта таблица хранит записи обо всех рабочих соединениях и удаляет их при закрытии соединения. По умолчанию размер этой таблицы равен 65536 байтам. В то время как для большинства этих узлов этого вполне достаточно, для серверов с большим объёмом соединений, таких как DNS или веб- сервер, данная таблица может быстро заполняться. Для узла Proxmox, который содержит большое число ВМ с высоким уровнем обмена, данное значение должно быть увеличено. Мы можете проверить текущее значение nf_conntrack_max воспользовавшись следующей командой:

# sysctl –a | grep nf_conntrack_max
 	   

Приводимая ниже команда отображает для вас общее число текущих рабочих соединений в данном узле:

# sysctl –a | grep nf_conntrack_count
 	   

Следующий снимок показывает количество соединений для нашего примера узла pm4-1:

root@pm4-1:/# sysctl -a | grep nf_conntrack_count 
sysctl: reading key "net. ipv6.conf.all.stable_secret" 
sysctl: reading key "net.ipv6.conf.default.stable_secret" 
sysctl: reading key "net.ipv6.conf.eth0.stable_secret" 
sysctl: reading key "net.ipv6.conf.eth0/10.stable_secret" 
sysctl: reading key "net.ipv6.conf.eth2.stable_secret" 
sysctl: reading key "net.ipv6.conf.eth3.stable_secret" 
sysctl: reading key "net.ipv6.conf.fwbrl00i0.stable_secret" 
sysctl: reading key "net.ipv6.conf.fwbr112i0.stable_secret" 
sysctl: reading key "net.ipv6.conf.fwln100i0.stable_secret" 
sysctl: reading key "net.ipv6.conf.fwln112i0.stable_secret" 
sysctl: reading key "net.ipv6.conf.fwpr100p0.stable_secret" 
sysctl: reading key "net.ipv6.conf.fwpr112p0.stable_secret" 
sysctl: reading key "net.ipv6.conf.lo.stable_secret" 
sysctl: reading key "net.ipv6.conf.tap112i0.stable_secret" 
sysctl: reading key "net.ipv6.conf.vethl00i0.stable_secret" 
sysctl: reading key "net.ipv6.conf.vmbr0.stable_secret" 
sysctl: reading key "net.ipv6.conf.vmbr0v10.stable_secret" 
sysctl: reading key "net.ipv6. conf.vmbr1.stable_secret" 
net.netfilter.nf_conntrack_count = 74 
 	   

	Замечание
	Отметим, что если таблица отслеживания переполнена из- за большого числа рабочих соединений, такой узел будет отбрасывать все пакеты новых соединений.

 

nf_conntrack_tcp_timeout_established

Данный узел может сохранять отслеживание своих фильтруемых сетевых соединений только если они в работе. Безжизненные соединения автоматически удаляются из вашей таблицы. Такое удаление осуществляется на основании установленного промежутка таймаута. Чем длиннее промежуток таймаута, тем более длинный список записей ваших соединений будет оставаться в отслеживающей его таблице. Значение данного параметра задаётся в секундах. По умолчанию это значение установлено на 43200 секунд, или 12 часов. Мы можем проверить текущее значение, воспользовавшись следующей командой:

# sysctl –a | grep nf_conntrack_tcp_timeout_established
 	   

Уменьшая это значение мы можем поддерживать более быстро обучаемую таблицу отслеживания для узла с высоким уровнем обмена.

 

log_level_in/out

Межсетевой экран хорош только благодаря возможностям своего журнала регистраций. Только пройдясь по своему журналу мы можем увидеть что блокируется, а что нет. Proxmox поставляется с индивидуальной службой, именуемой как pvefw-logger, которая основывается на своём демоне регистрации сетевой фильтрации. Единственная цель такой службы состоит в регистрации активности соединения на основе вашего набора правил межсетевого экрана. При помощи закладки межсетевого экрана Option мы можем устанавливать различные уровни детализации регистрации. Существует восемь доступных уровней регистрации для межсетевого экрана на базе iptable. Следующая таблица отображает уровни регистрации iptable и их доступность в межсетевом экране Proxmox:

Уровень журнала	Тип
Level 0	Emergency	Доступен в Proxmox
Level 1	Alert	Доступен в Proxmox
Level 2	Critical	Доступен в Proxmox
Level 3	Error	Доступен в Proxmox
Level 4	Warning	Доступен в Proxmox
Level 5	Notice	Доступен в Proxmox
Level 6	Info	Не доступен в Proxmox
Level 7	Debug	Доступен в Proxmox

В добавление к этим уровням, Proxmox также имеет опцию nolog. Она запрещает все регистрационные ресурсы. Информация о вашем уровне регистрации в основном используется по той причине, что она записывает все хорошие и плохие соединения. Таким образом, мы можем можем в точности видеть что блокируется, а что разрешено. Однако, уровень регистрации Info к тому же создаёт много записей регистраций в очень короткий промежуток времени. Хорошей практикой будет всегда выбирать некоторую форму протоколирования при вкючённом межсетевом экране.

 

tcp_flags_log_level

Аналогично вашему стандартному уровню регистрации, мы также можем включать различные уровни протоколов для своих флагов tcp. Если фильтр флагов TCP не включён, тогда не будут производиться никакие записи. Когда он включён, мы видим журнал регистрации своего фильтра флагов tcp в нашем окне протоколов.

 

smurf_log_level

Как и протокол флагов tcp, этот параметр также отображает элементы регистрации для атак smurf. Он также следует различным уровням ведения регистрации.

  Настройка межсетевого экрана хоста через CLI

Мы также можем осуществлять настройку и управление своей зоной хоста с применением CLI. Файл настроек для нашего хоста находится в /etc/pve/local/host.fw. Следующий снимок отображает содержимое файла host.fw:

[OPTIONS]

nf_conntrack_max: 100000
tcp_flags_log_level: err
log_level_out: err
tcpflags: 1
log_level_in: err

[RULES]

IN ACCEPT -p tcp -dport 65
GROUP webserver
 	   

Как мы можем увидеть из предыдущего снимка, присутствует только два сегмента в нашем файле настроек межсетевого экрана для данной зоны хоста. Они таковы:

[OPTIONS]
. . . . . . . .
[RULES]
. . . . . . . .
 	   

Функции этих сегментов в точности те же, что и у соответствующих сегментов в разделе Настройка межсетевого экрана центра данных через CLI, который обсуждался ранее в данной главе. Отметим, что не существует сегментов для групп безопасности или IPSet. Это происходит по причине того, что эти функции не представлены для межсетевого экрана зоны хоста.

 Настройка межсетевого экрана специфичного для ВМ

Правила, создаваемые только для ВМ применяются только к этой определённой виртуальной машине. Даже когда эта виртуальная машина перемещается на другой узел, такой межсетевой экран следует за данной ВМ в нашем кластере. Не существует никаких правил каскадирования для этой зоны. В функциях своего межсетевого экрана ВМ мы можем создавать Rules, Aliases и IPSets, однако мы не можем создавать никакие группы безопасности. Управление нашим межсетевым экраном одно и то же как для виртуальных машин KVM, так и для контейнеров LXC. Мы можем перейти к функциям межсетевого экрана ВМ переместившись в свою закладку меню VM | Firewall. Следующий снимок отображает все функции нашего примера ВМ #112:

w3.org/1999/xhtml»>  Создание правил межсетевого экрана ВМ

Процесс создания новых правил для ВМ идентичен процессу создания правил, который мы уже видели в нашем разделе Настройка межсетевого экрана центра данных через GUI, ранее в этой главе. Помимо создания правил в рабочей зоне, мы также можем назначать предварительно определённые правила в своей форме Security Group для ВМ. Предыдущий снимок экрана отображал тот факт, что наш экземпляр ВМ имеет правило межсетевого экрана для разрешения обмена через SSH.

  Создание псевдонимов

Alias для зоны ВМ преследуют ту же самую цель, что и Псевдонимы для зоны Центра данных. Процесс создания Псевдонимов также идентичен описанному в нашем разделе Настройка межсетевого экрана центра данных через GUI.

  Создание IPSet

Как и Псевдонимы для ВМ, создаваемые под ВМ IPSet также остаются с этой определённой ВМ. Процесс создания IPSet идентичен уже описанному ранее в этой главе в разделе Настройка межсетевого экрана центра данных через GUI процессу создания IPSet для зоны Центра данных.

  Параметры для зон межсетевого экрана ВМ

Все параметры элементов в меню Option являются теми же самыми, что и уже описанные элементы для ваших зон Центра данных и хоста, за исключением фильтров DHCP и MAC. Следующий снимок экрана показывает элементы Option для нашего примера ВМ #112:

 

Снятие запрета DHCP

Эта опция применяется для ВМ, которая настраивается как сервер DHCP. Сервер DHCP использует порты 67 и 68 для выполнения запросов от клиентов. Вместо того, чтобы вручную открывать эти порты, мы можем разрешить этой опции допускать все относящиеся к DHCP запросы для пропуска их к= и от- данной ВМ. По умолчанию такой DHCP запрещён.

 

Фильтр MAC

Когда эта опция разрешена, это не допускает подделку пользователем своего собственного MAC адрес виртуального сетевого интерфейса и отправлять обмен. Данный фильтр будет отбрасывать все пакеты от обманного MAC адреса. По умолчанию данная опция разрешена.

  Настройка межсетевого экрана ВМ через CLI

Как и с прочими зонами межсетевых экранов в Proxmox, мы можем осуществлять настройку и управление межсетевыми экранами, предназначенными для виртуальных машин также и через свой CLI. Файл настройки для каждой ВМ находится в /etc/pve/firewall/<vm_id>.fw. Все сегменты в этом файле настроек являются теми же самыми, что и в настройках зон Центра данных и хоста. Следующий снимок показывает содержимое файла настроек межсетевого экрана для ВМ #112:

[OPTIONS]

enable: 1
dhcp: 0

[ALIASES]

kvm-112Ubuntu 192. 168.1.10

IN SSH(ACCEPT)
 	   

 Интеграция Suricata IDS/IPS

Защита безопасности вашего межсетевого экрана Proxmox VE может быть ещё усилена настройкой системы определения и предотвращения внедрений подобной Suricata. Это высокопроизводительный механизм IDS/IPS, который способен защищать виртуальную машину, отклоняя обмен, который вероятно является внедрением. В настоящее время Snort и Suricata являются двумя основными направлениями доступного IDS/IPS с открытым по сравнению с остальными. Одним из основных преимуществ Suricata является её многопоточность, в то время как Snort имеет только один поток. Suricata находится в ускоренном развитии и быстро получает популярность в связанном с безопасностью сообществе.

По умолчанию, Suricata не установлена на узле Proxmox, она требует установки и настройки вручную. В Proxmox VE 4.1 Suricata может применяться только для защиты виртуальной машины, а не любого из узлов хостов Proxmox.

	Замечание
	Не пытайтесь вручную загружать нужный вам пакет Suricata из любого источника, отличного от вашего репозитория Proxmox и установки его на ваш узел Proxmox. Это может разрушить вашу систему. Всегда пользуйтесь установщиком Proxmox apt-get для установки Suricata.

Если вы новичок для Suricata, посетите официальный сайт Suricata, который поможет вам получить некоторые знания о Suricata в качестве IDS/IPS по ссылке: http://suricata-ids.org/.

  Установка/ настройка Suricata

Мы можем установить Suricata на узле Proxmox применив следующую команду:

# apt-get install suricata
 	   

После того, как Suricata установлена, мы должны загрузить очередь netfilter модуля подсистемы nfnetlink_queue, воспользовавшись командой:

# modprobe nfnetlink
 	   

Чтобы убедиться, что эти модули автоматически получают загрузку всякий раз при перезагрузке данного узла, мы должны добавить их в файл /etc/modules.

Установщик выполнит установку всех необходимых для Suricata файлов, включая правила Oinkmaster. Все механизмы IDS/IPS сильно зависят от правил. Эти правила предварительно скомпилированы и упакованы в файлы правил. Oinkmaster является сценарием, который позволяет нам простым образом обновлять и управлять правилами. Он в основном применяется в Snort, но также поддерживается и Suricata. Без этих правил Suricata неп будет ничего делать. Для получения информации о правилах посетите официальный сайт Snort по ссылке: https://www.snort.org/.

Не существует опций для разрешения Suricata для ВМ через GUI. Поэтому мы должны вручную включить её через CLI изменив файл настроек межсетевого экрана выбранной ВМ в /etc/pve/firewall/<vm_id>.fw. Мы должны добавить следующие строки в сегмент [OPTIONS] данного файла настроек:

ips: 1
ips_queues: 0
 	   

Ips_queues привязывается к определённой очереди ЦПУ выбранной виртуальной машины в силу своей многопоточной природы. Доступные очереди, которые Suricata должна прослущивать определены в /etc/default/suricata следующим образом:

NFQUEUE=0
 	   

Эти значения обычно устанавливаются на основании общего числа ЦПУ. Например, чтобы использовать четыре ядра для Suricata, мы можем применить значение 3 для NFQUEUE. Значение по умолчанию 0 отображает то, что мы используем только первый ЦПУ, которым является ЦПУ 0.

Suricata будет работать только при прослушивании nfqueue. Это настроено по умолчанию при установке Suricata на узел Proxmox. Весь обмен который только принимается межсетевым экраном вашего Proxmxox пропускается в Suricata для инспекции. Файлы настроек Suricata находятся в /etc/suricata/suricata-debian.yaml. Настройка по умолчанию должна работать в большинстве случаев.

Относительно проще написать свои собственные индивидуальные правила для Suricata, чем это делается для Snort. Вы можете воспользоваться следующей замечательной документацией по тому, как писать свои собственные правила для Suricata по адресу https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Suricata_Rules.

Мы можем запустить службу Suricata, выполнив такую команду:

# service suricata start
 	   

Следующий снимок экрана показывает команду проверки состояния службы Suricata и отображаемую информацию об этом состоянии:

root@pm4-1:/vari1og/suricata# service suricata status 
• suricata.service - LSB: Next Generation IDS/IPS 
   Loaded: loaded (/etc/init.d/suricata) 
   Active: active (running) since Thu 2016-02-18 22:00:10 MST; 3s ago 
  Process: 3346 ExecStop=/etc/init.d/suricata stop (code=exited, status=0/SUCCESS) 
  Process: 3352 ExecStart=/etc/init.d/suricata start (code=exited, status=0/SUCCESS) 
   CGroup: /system.slice/suricata.service 
           └─3358 /usr/bin/suricata -c /etc/suricata/suricata-debian. yaml --pidfile /var/run/suricata.pid q 0 -D 

Feb 18 22:00:10 pm4-1 suricata[3352]: Starting suricata in IPS (nfqueue) mode... done. 
 	   

  Ограничения Suricata в Proxmox

Как уже упоминалось ранее, в Proxmox не существует опций GUI для Suricata. Все настройки выполняются при помощи CLI. Без надлежащего знания правил IDS/IPS очень трудно создавать правила на основе своего собственного окружения. Suricata не может применяться для защиты каких- либо узлов Proxmox, и может применяться только к виртуальным машинам. Это ограничение может происходить из того, что IDS/IPS часто может потреблять большие объёмы ресурсов ЦПУ. В то время как для выделенного приложения межсетевого экрана это не может быть проблемой, в случае гипервизора, при использовании которого ЦПУ совместно применяется как самим гипервизором, так и располагающимися на нём виртуальными машинами, это может приводить к фатальным последствиям из- за чрезмерного потребления ЦПУ.

Для Suricata отсутствуют выделенные просмотры протоколов, как это происходит в случае вашего межсетевого экрана с GUI. Однако мы можем пропускать регистрации IPS Suricata сквозь syslog изменив свой файл настроек в /etc/pve/suricata/suricata-debian.yaml. Мы должны внести следующие изменения для пропуска протоколирования Suricata в syslog:

# a line based alerts log similar to fast.log into syslog
syslog:
enabled: yes
identity: "Suricata"
level: Info
 	   

В том же самом файле настроек существует ряд дополнительных опций, доступных для регистрации вашего вывода. Некоторые пользователи Proxmox пытаются пропускать записи регистрации Suricata в решения сторонних производителей, используя Logstash и Kibana из Elastic (www.elastic.co). Suricata или любое другое IPS являются сложной задачей для управления на ежедневной основе. Suricata всё ещё находится в детском возрасте в Proxmox. Со временем она может быть интегрирована в GUI для более лёгкого использования, однако в настоящее время, применение выделенных приложений межсетевого экранирования, например pfSense может быть более подходящим вариантом для интеграции Suricata в сетевую среду. Suricata полностью поддерживается в pfSense с большим количеством управляемых свойств, причём все они доступны в инструментальной панели GUI pfSense. Реализация системы IDS/IPS в сетевой среде является не обязательной, однако её следует обязательно делать для защиты от любых видов проникновения. {Прим. пер.: более подробную информацию мы надеемся в скором времени предоставить в своём переводе новой (август 2016) книги David Zientara «Mastering pfSense» Suricta.}

В данной главе мы изучили одно из наиболее мощных средств Proxmox, встроенный межсетевой экран. Мы ознакомились с тем что это такое, и как его реализовывать для защиты всего кластера Proxmox, узлов хостов Proxmox и виртуальных машин. Мы изучили как управлять правилами межсетевого экрана и его настройкой при помощи как GUI, так и CLI. Proxmox добавляет безопасность там, где она нужна в большей степени. Усилившись гибкой и гранулированной защитой межсетевого экрана на уровне гипервизора, мы теперь имеем возможность получать лучший, безопасный кластер.

В следующей главе мы собираемся изучить функции высокой доступности Proxmox для ВМ, которые были заново спроектированы с нуля. Новые изменения привнесли более высокую надёжность, и в то же время сделали более простыми задачи управления и настройки.

WAF против межсетевого экрана: веб-приложения и сетевые межсетевые экраны

В современную эпоху изощренных кибератак и цифровых инноваций компаниям жизненно важно понимать угрозы, с которыми они сталкиваются, и то, от чего их защищают их средства защиты. Это особенно характерно для брандмауэров, поскольку брандмауэры веб-приложений и сетевые брандмауэры защищают организации от различных типов атак. Поэтому важно понимать, чем сетевой брандмауэр отличается от брандмауэра приложений и как предотвратить веб-атаки и более широкие сетевые атаки.

Традиционно предприятия защищают свои данные и пользователей с помощью сетевых брандмауэров, которым не хватает гибкости и прозрачности для защиты от современных угроз безопасности. Но рост числа пользователей собственных устройств (BYOD), общедоступного облака и решений «программное обеспечение как услуга» (SaaS) означает, что им необходимо добавить брандмауэр веб-приложений (WAF) в свою стратегию безопасности. Это увеличивает защиту от атак на веб-приложения, которые хранятся на удаленном сервере, доставляются через Интернет через интерфейс браузера, и становятся привлекательными целями для хакеров.

Понимание разницы между брандмауэрами на уровне приложений и сети

WAF защищает веб-приложения, ориентируясь на трафик протокола передачи гипертекста (HTTP). Это отличается от стандартного межсетевого экрана, который обеспечивает барьер между внешним и внутренним сетевым трафиком.

WAF находится между внешними пользователями и веб-приложениями для анализа всей HTTP-связи.Затем он обнаруживает и блокирует вредоносные запросы до того, как они достигнут пользователей или веб-приложений. В результате WAF защищают критически важные для бизнеса веб-приложения и веб-серверы от угроз нулевого дня и других атак на уровне приложений. Это становится все более важным по мере того, как предприятия расширяются и внедряют новые цифровые инициативы, которые могут сделать новые веб-приложения и интерфейсы прикладного программирования (API) уязвимыми для атак.

Сетевой брандмауэр защищает защищенную локальную сеть от несанкционированного доступа, чтобы предотвратить риск атак.Его основная цель — отделить защищенную зону от менее безопасной и контролировать связь между ними. Без него любой компьютер с общедоступным IP-адресом доступен за пределами сети и потенциально подвергается риску атаки.

Трафик приложений и сетевой трафик

Традиционные сетевые брандмауэры уменьшают или предотвращают несанкционированный доступ к частным сетям.Политики межсетевого экрана определяют разрешенный трафик в сети, и любые другие попытки доступа блокируются. Примеры сетевого трафика, который это помогает предотвратить, — это неавторизованные пользователи и атаки со стороны пользователей или устройств в менее безопасных зонах.

WAF специально нацелен на трафик приложений. Он защищает HTTP-трафик и защищенный протокол передачи гипертекста (HTTPS) трафика и приложений в зонах сети с выходом в Интернет. Это защищает предприятия от таких угроз, как атаки с использованием межсайтовых сценариев (XSS), атаки распределенного отказа в обслуживании (DDoS) и атаки с использованием SQL-инъекций.

Защита на уровне 7 по сравнению с уровнем 3 и 4

Ключевое техническое различие между брандмауэром прикладного уровня и брандмауэром сетевого уровня — это уровень безопасности, на котором они работают. Они определены моделью взаимодействия открытых систем (OSI), которая характеризует и стандартизирует функции связи в телекоммуникационных и вычислительных системах.

WAF защищают от атак на уровне 7 модели OSI, который является уровнем приложения.Сюда входят атаки на такие приложения, как Ajax, ActiveX и JavaScript, а также манипуляции с файлами cookie, SQL-инъекции и URL-атаки. Они также нацелены на протоколы веб-приложений HTTP и HTTPS, которые используются для подключения веб-браузеров и веб-серверов.

Например, DDoS-атака уровня 7 отправляет поток трафика на уровень сервера, где веб-страницы генерируются и доставляются в ответ на HTTP-запросы. WAF смягчает это, действуя как обратный прокси-сервер, который защищает целевой сервер от вредоносного трафика и фильтрует запросы для выявления использования инструментов DDoS.

Сетевые брандмауэры

работают на уровнях 3 и 4 модели OSI, которые защищают передачу данных и сетевой трафик. Сюда входят атаки на систему доменных имен (DNS) и протокол передачи файлов (FTP), а также на простой протокол передачи почты (SMTP), Secure Shell (SSH) и Telnet.

Веб-атаки против несанкционированного доступа

Решения

WAF защищают предприятия от веб-атак, направленных на приложения. Без брандмауэра приложений хакеры могут проникнуть в более широкую сеть через уязвимости веб-приложений. WAF защищают бизнес от распространенных веб-атак, таких как:

• Прямой отказ в обслуживании: попытка нарушить работу сети, службы или сервера, подавив их потоком интернет-трафика. Он направлен на то, чтобы исчерпать ресурсы своей цели, и его сложно защитить, поскольку трафик не всегда является явно вредоносным.
• SQL-инъекция: тип атаки с использованием инъекций, позволяющий хакерам выполнять вредоносные операторы SQL, управляющие сервером базы данных за веб-приложением.Это позволяет злоумышленникам обходить аутентификацию и авторизацию веб-страницы и извлекать содержимое базы данных SQL, а затем добавлять, изменять и удалять ее записи. Киберпреступники могут использовать SQL-инъекцию для доступа к информации о клиентах, личным данным и интеллектуальной собственности. Он был назван угрозой номер один для безопасности веб-приложений в рейтинге OWASP Top 10 в 2017 году.
• Межсайтовый скриптинг: уязвимость веб-безопасности, которая позволяет злоумышленникам нарушить взаимодействие пользователя с приложениями.Это позволяет злоумышленнику обойти политику одного и того же происхождения, которая разделяет разные веб-сайты. В результате злоумышленник может выдать себя за настоящего пользователя и получить доступ к данным и ресурсам, на которые у него есть разрешение.

Сетевые брандмауэры защищают от несанкционированного доступа и входящего и исходящего трафика из сети. Они защищают от общесетевых атак на устройства и системы, подключенные к Интернету. Примеры часто используемых сетевых атак:

• Несанкционированный доступ: злоумышленники получают доступ к сети без разрешения.Обычно это достигается путем кражи учетных данных и взлома учетных записей в результате использования людьми слабых паролей, социальной инженерии и внутренних угроз.
• Атаки типа «человек посередине» (MITM): злоумышленники перехватывают трафик между сетью и внешними сайтами или внутри самой сети. Часто это происходит из-за небезопасных протоколов связи, позволяющих злоумышленникам украсть данные при передаче, затем получить учетные данные и захватить учетные записи пользователей.
• Повышение привилегий: злоумышленники получают доступ к сети, а затем используют повышение привилегий, чтобы глубже проникнуть в систему.Они могут делать это по горизонтали, в результате чего они получают доступ к смежным системам, или по вертикали, получая более высокие привилегии в рамках одной и той же системы.

Выбор приложения или сетевого брандмауэра

Стандартные сетевые брандмауэры и WAF защищают от различных типов угроз, поэтому очень важно выбрать правильный. Сетевой брандмауэр сам по себе не защитит предприятия от атак на веб-страницы, которые можно предотвратить только с помощью возможностей WAF.Таким образом, без брандмауэра приложений предприятия могут оставить свою сеть открытой для атак через уязвимости веб-приложений. Однако WAF не может защитить от атак на сетевом уровне, поэтому он должен дополнять сетевой брандмауэр, а не заменять его.

Как веб-решения, так и сетевые решения работают на разных уровнях и защищают от разных типов трафика. Так что вместо того, чтобы соревноваться, они дополняют друг друга. Сетевой брандмауэр обычно защищает более широкий диапазон типов трафика, тогда как WAF борется с конкретной угрозой, которую традиционный подход не может покрыть.Поэтому рекомендуется использовать оба решения, особенно если операционные системы компании работают в тесном контакте с Интернетом.

Проблема заключается не в выборе того или другого, а в том, чтобы выбрать правильную систему WAF, которая наилучшим образом соответствует потребностям бизнеса. WAF должен иметь аппаратный ускоритель, отслеживать трафик и блокировать злонамеренные попытки, быть высокодоступным и масштабируемым, чтобы поддерживать производительность по мере роста бизнеса.

Межсетевой экран нового поколения vs.

WAF и сетевые брандмауэры

Покупка отдельных брандмауэров для защиты каждого уровня безопасности — дело дорогое и обременительное. Это приводит компании к использованию комплексных решений, таких как межсетевые экраны следующего поколения (NGFW). NGFW обычно объединяют возможности сетевых брандмауэров и WAF в централизованно управляемую систему. Они также обеспечивают дополнительный контекст для политик безопасности, что жизненно важно для защиты предприятий от современных угроз безопасности.

NGFW

— это контекстно-зависимые системы, которые используют такую ​​информацию, как личность, время и местоположение, чтобы подтвердить, что пользователь является тем, кем они себя называют.Это дополнительное понимание позволяет предприятиям принимать более информированные и разумные решения о доступе пользователей. Они также включают в себя такие функции, как антивирус, защита от вредоносных программ, системы предотвращения вторжений и фильтрация URL-адресов. Это упрощает и повышает эффективность политик безопасности в соответствии со все более изощренными угрозами, с которыми сталкиваются предприятия.

Часто бывает проще и экономичнее получить единое представление о цифровой безопасности. Однако жизненно важно, чтобы NGFW охватил все основы защиты сети и веб-приложений.WAF играют особую роль в защите веб-приложений от внедрения кода, подписания файлов cookie, настраиваемых страниц ошибок, подделки запросов и шифрования URL-адресов. Следовательно, может потребоваться использование NGFW в сочетании со специализированным брандмауэром веб-приложений, таким как FortiWeb.

Fortinet защищает критически важные для бизнеса веб-приложения от атак, направленных как на известные, так и на неизвестные уязвимости. Наше решение FortiWeb идет в ногу с быстрым развитием веб-приложений предприятий, чтобы гарантировать их защиту каждый раз, когда они развертывают новые функции, предоставляют новые веб-API и обновляют существующие.

FortiWeb обеспечивает комплексную защиту предприятий от всех угроз безопасности, от защиты от DDoS-атак и проверки протоколов до сигнатур атак приложений, защиты от ботов и репутации IP. Он также использует машинное обучение для автоматического построения и поддержки модели нормального поведения пользователя, которая используется для выявления безвредного и вредоносного трафика без трудоемких ручных усилий, которые требуются большинству WAF.

Для получения дополнительной информации о подходе Fortinet к сетевому брандмауэру иWAF, прочтите наш информационный бюллетень о сравнении WAF и IPS.

Разница между аппаратным и программным брандмауэром | Small Business

Брандмауэры, как аппаратные, так и программные, защищают компьютеры от хакеров и других сетевых угроз, блокируя попадание опасных фрагментов данных в систему. В то время как аппаратные брандмауэры обеспечивают защиту всей сети от внешних угроз, программные брандмауэры, установленные на отдельных компьютерах, могут более тщательно проверять данные и могут блокировать определенные программы даже от отправки данных в Интернет.В сетях с высокими требованиями к безопасности объединение обоих видов межсетевых экранов обеспечивает более полную безопасность.

Аппаратные брандмауэры

Аппаратный брандмауэр находится между вашей локальной сетью компьютеров и Интернетом. Брандмауэр будет проверять все данные, поступающие из Интернета, передавая безопасные пакеты данных, блокируя потенциально опасные пакеты. Чтобы должным образом защитить сеть без снижения производительности, аппаратные брандмауэры требуют специальной настройки, поэтому они могут оказаться неприемлемым решением для компаний, не имеющих специального ИТ-отдела.Однако для предприятий с большим количеством компьютеров возможность управления сетевой безопасностью с одного устройства упрощает работу.

Программные брандмауэры

Программные брандмауэры устанавливаются на отдельные компьютеры в сети. В отличие от аппаратных брандмауэров, программные брандмауэры могут легко различать программы на компьютере. Это позволяет им передавать данные одной программе, блокируя другую. Программные брандмауэры также могут фильтровать исходящие данные, а также удаленные ответы на исходящие запросы. Основным недостатком программных брандмауэров для бизнеса является их техническое обслуживание: они требуют установки, обновления и администрирования на каждом отдельном компьютере.

Маршрутизаторы

Для совместного использования Интернет-соединения между несколькими компьютерами маршрутизаторы должны различать, какие фрагменты данных должны передаваться на какой компьютер. Процесс разделения данных действует как своего рода брандмауэр: если поступают нежелательные данные, маршрутизатор не идентифицирует их как принадлежащие какому-либо компьютеру и, таким образом, отбрасывает их.Такой уровень защиты подходит для домашнего использования; Наряду с программным брандмауэром этого также достаточно для многих бизнес-сетей, не требующих высокой безопасности. Однако маршрутизаторам обычно не хватает опций и расширенных функций, которые предлагают специализированные аппаратные межсетевые экраны.

Объединение брандмауэров

Использование единого программного брандмауэра вместе с маршрутизатором или аппаратным брандмауэром повысит безопасность сети, не создавая проблем с совместимостью. Однако использование нескольких программных брандмауэров может вызвать конфликты, препятствующие нормальной работе.Компании, сильно озабоченные сетевой безопасностью, могут собрать несколько аппаратных брандмауэров, сведя к минимуму любые слабые места в каждом, но это требует тщательной экспертной настройки, чтобы избежать несовместимости и блокировки легитимных данных.

Ссылки

Автор биографии

Аарон Парсон пишет об электронике, программном обеспечении и играх с 2006 года, участвуя в нескольких технологических веб-сайтах и ​​работая с NewsHour Productions. Парсон имеет степень бакалавра искусств Государственного колледжа Эвергрин в Олимпии, штат Вашингтон.

В чем разница между брандмауэром и антивирусом?

Многие люди часто не знают разницы между антивирусом и межсетевым экраном. Как известно многим, брандмауэр и антивирус — это механизмы, обеспечивающие безопасность систем. Однако вам нужно знать, что между ними есть разные уязвимости. Брандмауэры помогают контролировать сетевой трафик в системе, действуя как барьеры для входящего трафика, тогда как антивирусы защищают системы от внутренних атак, обнаруживая или обнаруживая вредоносные файлы и вирусы. Антивирус и брандмауэр являются частью Cyber ​​Security, которая защищает системы. Однако есть огромные различия в том, как они работают и работают. https://www.youtube.com/embed/67-5bzc_GKE Основное внимание межсетевых экранов уделяется проверке данных, которые передаются из Интернета на компьютер, в то время как антивирусы проверяют вредоносные программы с помощью процедурных шагов, которые включают обнаружение, идентификацию и удаление. По мнению экспертов, знание разницы между двумя механизмами позволит вам принять правильное решение и приобрести подходящее решение кибербезопасности для своей системы.В этой статье мы попытаемся объяснить и обсудить разницу между брандмауэром и антивирусом.

Что такое антивирусное программное обеспечение?

Прежде чем мы углубимся в различия брандмауэров и антивирусов, нам сначала нужно определить антивирус. Итак, что такое антивирусное программное обеспечение? Антивирусное программное обеспечение — это механизм кибербезопасности, который часто используют многие ПК и офисы. Его основная функция — сканирование, обнаружение и предотвращение попадания в систему подозрительных или подозрительных файлов и программного обеспечения.Антивирусы предотвращают дальнейшую атаку или повреждение системы, удаляя или изолируя поврежденный файл и отслеживая трафик в Интернете.

Кроме того, многие традиционные антивирусные программы включают в себя обнаружение уязвимости, дополнительное сканирование обычного антивируса и контроль интернет-трафика.

Контрастность

Многие задаются вопросом: «Какой лучший инструмент защиты кибербезопасности — между антивирусом и брандмауэром?» Что ж, не нужно много думать об этом.Ниже представлена ​​сравнительная таблица, которую подготовили для вас специалисты в этой области. Это может помочь вам определить различия между двумя механизмами.

Основа для контраста	Антивирус	Межсетевой экран
Реализация	Реализации находятся только в программном обеспечении.	Существуют как аппаратные, так и программные реализации.
Выполнение операций	Сканирование поврежденных файлов и программного обеспечения.	Монитор и фильтр (тем более фильтрация IP).
Проблемы	Внутренние и внешние угрозы.	Внешние угрозы.
Контратаки	После удаления вредоносного ПО ответные атаки невозможны.	Атаки с использованием спуфинга и маршрутизации IP.
Основание для проверки атаки	Вредоносное ПО, живущее на компьютере.	Входящие пакеты.

Что такое брандмауэр?

Брандмауэр — это стандартное программное обеспечение, которое защищает ресурсы локального компьютера от внешних угроз.Он действует как барьер между Всемирной паутиной и вашей сетью. Брандмауэры отслеживают входящий и исходящий трафик с компьютеров, а также предотвращают попадание или уход подозрительных пакетов в сеть. Примером стандартного инструмента брандмауэра является брандмауэр Windows в Windows 7. Оборудование брандмауэра в настоящее время встроено в маршрутизаторы, и оно помогает защитить вашу сеть от других сетей.

Три типа межсетевых экранов

Существует сравнение типов межсетевых экранов на основе местоположения перехвата, местоположения связи и состояния, в котором происходит отслеживание данных.Они включают;

• Межсетевой экран сетевого уровня. Он имеет фильтр пакетов, который контролирует входящие и исходящие пакеты. Затем он предлагает безопасность, разрешая или отклоняя эти пакеты, предварительно определяя правила фильтрации.
• Межсетевой экран уровня приложения. Он работает со специализированным программным обеспечением и применяет механизмы безопасности для предотвращения нежелательного трафика в сети.
• Межсетевой экран на уровне цепи. Этот брандмауэр принимает определенные пакеты для прохождения по сети и полностью ограничивает другие. Кроме того, он защищает сеть, скрывая IP-адрес через Интернет.

Межсетевой экран против антивируса: различия

В различиях между брандмауэром и антивирусом основным отличием является механизм, который это программное обеспечение использует для защиты систем от злонамеренных атак, а также то, что они могут защитить.

Ингибирование и безопасность

Межсетевой экран для защиты от вирусов наблюдает за трафиком в сети, препятствуя проникновению вредоносных данных в сеть и тем самым предотвращая распространение вирусов.Однако вирус может попасть на ваш компьютер через спам-ссылку, загрузку или с флешки. Более того, как только он обходит защиту брандмауэра, роль антивируса становится кстати.

Антивирус сканирует и обнаруживает вредоносное ПО, чтобы предотвратить его дальнейшее распространение, удаляя или отделяя поврежденный файл. Более того, даже если брандмауэр предотвращает проникновение вредоносных программ и вирусов в систему, он не может удалить киберугрозу, которая заражает систему.

Варианты подхода к проблеме

Антивирус и брандмауэр используют разные стратегии для защиты систем от дальнейшего повреждения.Антивирус использует эвристический подход для обнаружения и удаления с вашего компьютера ряда вредоносных программ, а брандмауэр защищает его от вмешательства и вредоносных угроз. Брандмауэр разрешает ввод хороших пакетов в вашу систему и запрещает вход плохих пакетов. Таким образом, в двух словах, антивирус удаляет любые вредоносные программы или вирусы из вашей системы путем обнаружения, в то время как брандмауэр защищает от наложения и слежки за глазами хакеров.

Антивирус против брандмауэра: краткий обзор значительных контрастов

Ниже приводится краткое изложение основных различий между брандмауэром и антивирусом.

• Брандмауэр имеет возможность сохранять как программное обеспечение, так и оборудование в сети, в то время как антивирус защищает другое программное обеспечение как независимое программное обеспечение.
• Брандмауэр препятствует проникновению вредоносных программ в систему, в то время как антивирус удаляет поврежденные файлы и программное обеспечение с вашего компьютера и сети.
• Брандмауэр защищает ваш компьютер на уровне сетевого протокола, тем самым блокируя восприимчивые пакеты на порте, тогда как антивирус удаляет поврежденные файлы на уровне файлов.

Заключение

С приведенной выше информацией вы задаетесь вопросом, как получить инструкции по обнаружению антивирусного программного обеспечения и брандмауэра. Кибермир стремительно расширяется. Следовательно, сложно определить лучший межсетевой экран и антивирус как часть вашей стратегии кибербезопасности. Более того, как упоминалось выше, вы не можете выбрать антивирус с программным брандмауэром, потому что они выполняют различные операции, которые являются исключительными.

В заключение отметим существенное различие между антивирусным программным обеспечением и брандмауэром. Антивирус удаляет поврежденные файлы путем обнаружения, изолируя или удаляя их, тогда как брандмауэр защищает вредоносную информацию от проникновения в систему. Кроме того, существуют и другие основные различия, указанные в таблице контрастности выше. Знание различий между этими двумя программами позволит вам понять, что вам понадобится для вашей системы.

Однако каждый человек хочет быть уверенным, что приобретает лучшее антивирусное программное обеспечение и брандмауэр для своих планов кибербезопасности.Более того, с удивительной скоростью, с которой растет кибермир, это может быть немного сложно. Наоборот, это не должно помешать вам найти идеальный антивирус и брандмауэр для вашей системы. Когда вы узнаете, какую роль играет каждый механизм, вы сможете получить инструкции о том, какой антивирус и программное обеспечение следует покупать.

Gateway v. Firewall: что это такое и чем они отличаются?

Независимо от размера вашего бизнеса, сетевая безопасность является одним из наиболее важных факторов при работе в локальной сети (LAN) или в Интернете. Шлюзы и брандмауэры жизненно важны для обнаружения потенциальных угроз безопасности и реагирования на них.

Так что же такое шлюз и межсетевой экран? Чем они занимаются и чем они отличаются? На эти вопросы мы ответим в этой статье.

Что такое шлюз?

Шлюз — это сетевое аппаратное устройство (или сетевой узел), которое соединяет удаленную сеть с хост-сетью. Шлюз — это точка входа и выхода, то есть все данные должны проходить через шлюз и обмениваться данными со шлюзом, чтобы использовать пути маршрутизации.Компьютеры и маршрутизаторы — самые распространенные шлюзы.

Существует два типа шлюзов: однонаправленный и двунаправленный. На сайте T4 Учебного пособия Университета Лойолы в Чикаго эти два типа шлюзов определяются следующим образом:

Однонаправленные шлюзы
Однонаправленный шлюз позволяет отправлять предупреждения только в одном направлении. Изменения, происходящие в исходном ObjectServer, копируются в целевой ObjectServer или в приложение, но когда изменения вносятся в целевой ObjectServer или приложение, эти изменения не копируются в исходный ObjectServer. Однонаправленные можно рассматривать как инструменты архивирования.

Двунаправленный шлюз
Двунаправленный шлюз предоставляет разрешение на отправку предупреждения от исходного ObjectServer к целевому или точному целевому ObjectServer или приложению, а также обеспечивает ответ на исходный ObjectServer.

В конфигурации двунаправленного шлюза изменения, сформированные в содержимом исходного ObjectServer, копируются в целевой ObjectServer или приложение, а целевой ObjectServer или приложение копирует свои предупреждения в исходный ObjectServer.Двунаправленные шлюзы можно рассматривать как инструменты синхронизации.

Как работает шлюз?

Techopedia объясняет этот процесс следующим образом:

Шлюз (или шлюз по умолчанию) реализован на границе сети для управления всей передачей данных, которая направляется внутри или извне из этой сети. Помимо пакетов маршрутизации, шлюзы также обладают информацией о внутренних путях хост-сети и изученных путях различных удаленных сетей. Если сетевой узел хочет связаться с чужой сетью, он передаст пакет данных на шлюз, который затем направит его к месту назначения, используя наилучший из возможных путей .²

Плюсы и минусы использования шлюза

Плюсы

• Возможность подключения: шлюз расширяет сеть, соединяя разные системы.
• Безопасность: различные формы безопасности, такие как идентификатор пользователя и пароль, могут быть установлены на шлюзе для защиты от нежелательного доступа.
• Фильтрация: сетевой шлюз может управлять доменом конфликтов и широковещательной рассылкой.
• Преобразование протокола: шлюзы также называют «преобразователями протоколов», поскольку они могут преобразовывать формат данных в соответствии с различными архитектурными потребностями адресата.

Минусы

• Реализация: Обычно шлюзы устанавливаются в маршрутизаторы по умолчанию. Поэтому сетевым администраторам сложно и дорого устанавливать или настраивать их.
• Временные задержки: Поскольку информация должна быть преобразована при использовании шлюза, всегда будет некоторая временная задержка. Кроме того, шлюзы должны возвращать любую информацию кэша, которая не была очищена должным образом, что занимает больше времени.
• Сбой подключения: любые трудности с подключением приведут к потере связи.
• Устранение неполадок: Компьютеры в сети с разными протоколами необходимо устранять отдельно.

Что такое межсетевой экран?

Межсетевой экран контролирует входящий и исходящий сетевой трафик. Следуя заранее установленным правилам безопасности, брандмауэр решает, разрешить или заблокировать трафик данных.Он делает это, создавая барьер между входящим трафиком из внешних источников (например, Интернет) и внутренней сетью, тем самым блокируя вредоносный трафик, такой как вирусы и хакеры.

Межсетевой экран может быть реализован в виде программного или аппаратного обеспечения; мы рекомендуем использовать оба. Программный брандмауэр — это программа, установленная на каждом компьютере и предотвращающая несанкционированный доступ через порты (точки входа) и приложения. Аппаратный брандмауэр — это установленное оборудование.

Существует восемь различных типов межсетевых экранов:

1. Межсетевые экраны с фильтрацией пакетов: это самый старый и самый простой тип межсетевого экрана.Этот межсетевой экран выполняет простую проверку пакетов данных, проходящих через маршрутизатор.
2. Шлюзы на уровне схемы: этот простой брандмауэр проверяет рукопожатие протокола управления передачей (TCP), чтобы убедиться, что пакеты являются законными.
3. Межсетевые экраны с проверкой состояния: эти межсетевые экраны включают как проверку пакетов, так и проверку установления связи TCP.
4. Брандмауэры прокси: эти брандмауэры работают на уровне приложений для фильтрации входящего трафика и доставляются через облако или другое прокси-устройство.
5. Межсетевые экраны сетевого поколения. Общие характеристики межсетевых экранов этого типа включают глубокую проверку пакетов, проверку установления связи TCP, проверку пакетов на уровне поверхности и системы предотвращения вторжений (IPS).
6. Программные брандмауэры: эти брандмауэры создают глубокую защиту, изолируя конечные точки сети друг от друга.
7. Аппаратные брандмауэры: Эти брандмауэры превосходно подходят для защиты периметра, обеспечивая перехват вредоносного трафика до того, как конечные точки сети окажутся под угрозой.
8. Облачные межсетевые экраны: эти межсетевые экраны также называются FaaS (межсетевой экран как услуга). Облачные межсетевые экраны легко масштабируются; по мере роста потребностей вашей компании вы можете добавить дополнительную мощность к облачному серверу.

Как работает межсетевой экран?

DifferenceBetween.net описывает, как работает межсетевой экран, следующим образом:

Межсетевые экраны обычно проверяют пакеты и контролируют соединение, а затем фильтруют соединения на основе результатов проверки пакетов. Проверка пакетов определяет, следует ли разрешить или запретить пакет на основе заранее определенной политики доступа.Он может включать проверку нескольких элементов, таких как IP-адрес, IP-адрес назначения, порт источника, порт назначения, IP-протокол и информация заголовка пакета . ³

Плюсы и минусы использования межсетевого экрана

Плюсы

• Мониторинг трафика : Если брандмауэр обнаруживает какие-либо угрозы (от вирусов до троянов и хакеров), он немедленно их блокирует.
• Контроль доступа: Определенные хосты и службы могут вызывать подозрение, поскольку они уязвимы для нарушений безопасности.Брандмауэры имеют политику доступа, которая может быть принудительно заблокирована для этих ненадежных хостов.
• Конфиденциальность: при использовании брандмауэра информация системы доменных имен (DNS) блокируется; следовательно, имя и IP-адрес сети не видны злоумышленникам.

Минусы

• Стоимость: в зависимости от того, какой брандмауэр вы используете, это может быть довольно дорого. Как правило, аппаратные межсетевые экраны дороже программных. Кроме того, аппаратные межсетевые экраны требуют платы как за установку, так и за обслуживание.И наоборот, программные брандмауэры легко установить и развернуть.
• Ограничения для пользователей: поскольку брандмауэры предотвращают несанкционированный доступ, крупные организации могут столкнуться с проблемой. Строгие правила доступа иногда побуждают сотрудников использовать «бэкдоры» в качестве ярлыка, что может привести к проблемам с безопасностью.
• Производительность: программные брандмауэры постоянно работают в фоновом режиме и потребляют как вычислительную мощность, так и оперативную память (RAM). Однако аппаратные брандмауэры не влияют на производительность системы.
• Атаки вредоносного ПО: важно отметить, что брандмауэры доказали свою неэффективность против некоторых типов вредоносных программ. Поэтому настоятельно рекомендуется установить антивирусное программное обеспечение на всех компьютерах.

Подведение итогов: список основных различий между шлюзом и брандмауэром

1. Самая простая разница между шлюзом и брандмауэром состоит в том, что шлюз является только аппаратным, а брандмауэр может быть аппаратным или программным.

2. Шлюз используется для соединения двух отдельных сетей, позволяя пользователям общаться через несколько сетей.Напротив, межсетевой экран защищает сеть, решая, каким пакетам данных разрешено проходить через сеть.

3. Стоимость установки однонаправленного шлюза обычно является единовременной. Напротив, установка брандмауэра более сложна и включает в себя скрытые платежи, такие как службы Windows Server Update Services (WSUS) и интерфейсные узлы.

И шлюзы, и межсетевые экраны являются важными решениями безопасности для сетевой архитектуры любой организации. Их технологии и возможности будут продолжать развиваться в течение следующих нескольких лет.

Planet Technology предоставляет высококачественные сетевые решения последней мили. Узнайте больше о наших технологиях Power over Ethernet (PoE) уже сегодня!

_______________________________ Ресурсы

1 Учебники T4: однонаправленный и двунаправленный шлюз — типы и использование
2 Techopedia: шлюз
3 DifferenceBetween. com: разница между шлюзом и межсетевым экраном

BY: Planet Technology USA

[vs. — Какая разница?

Tim495 написал:

NAT означает преобразование сетевых адресов, то есть маршрутизатор будет пересылать пакеты на сетевой адрес, с которого был создан запрос.«Натуральность» маршрутизатора эффективно обеспечивает поведение, подобное брандмауэру, в том смысле, что он разрешает только запрошенные входящие запросы, автоматически отбрасывая незапрошенные пакеты. По сути, это означает, что ЛЮБОЙ маршрутизатор обеспечивает такой уровень защиты (насколько мне известно, не существует маршрутизатора без NAT ;-P). Называете ли вы это межсетевым экраном или NAT, он обеспечивает одинаковый уровень базовой защиты. Большинство маршрутизаторов имеют встроенные дополнительные функции межсетевого экрана, которые фильтруют определенный пользовательский трафик в соответствии с настройками фильтра.На мой взгляд, маршрутизатор сам по себе обеспечивает большую часть защиты, подобной межсетевому экрану, а все остальное обеспечивают дополнительные правила межсетевого экрана, определяемые пользователем.

Это не совсем так. Все маршрутизаторы могут направлять трафик из одной подсети в другую. При этом адреса источника и назначения остаются неизменными. Это стандартный способ настройки большинства маршрутизаторов (за исключением домашних широкополосных маршрутизаторов).

NAT используется для преобразования адресов источника, назначения или обоих адресов на разные адреса.Перевод может быть статическим или динамическим, один к одному или один ко многим. Так будет с большинством широкополосных маршрутизаторов, у которых есть внутренняя подсеть, не подлежащая общедоступной маршрутизации (192.168.1.x), используемая несколькими устройствами, и один общедоступный маршрутизируемый адрес на внешнем интерфейсе.

В качестве примера предположим, что ваш компьютер имеет IP-адрес 192.168.1.100. Ваш маршрутизатор имеет внутренний IP-адрес 192.168.1.1 и внешний IP-адрес 72.72.72.72.

Когда вы переходите на www.google.com (скажем, 74.125.227.147), исходный запрос имеет IP-адрес источника 192. 168.1.100 и адрес назначения 74.125.227.147. Этот пакет попадает на ваш маршрутизатор, где выполняет NAT и меняет адрес источника на 72.72.72.72.

Затем этот пакет можно направить через несколько Интернет-маршрутизаторов (которые не выполняют NAT) в Google. Затем Google отправляет ответ на адрес источника, который он видит (72.72.72.72). Когда этот пакет достигает вашего маршрутизатора, он преобразует адрес обратно в 192.168.1.100 и доставляет его на ваш компьютер.Если за маршрутизатором установлено несколько устройств, он отслеживает адреса NAT, используя разные порты.

NAT также используется, когда две частные сети должны взаимодействовать, но имеют перекрывающиеся подсети. В этом сценарии адреса источника и назначения могут потребоваться с помощью NAT.

Наконец, NAT на самом деле не защищает устройства за маршрутизатором. Если вы разрешаете пересылку трафика, исходящего из-за пределов вашей сети, на внутренние устройства, маршрутизатор просто разрешит входить эти пакеты.

Межсетевой экран (который может быть отдельным устройством или реализован в некоторых маршрутизаторах) позволяет создавать правила, определяющие, какой тип трафика разрешен, откуда он может исходить и куда он может идти. Более сложные брандмауэры также могут обнаруживать и блокировать шаблоны атак, которые в противном случае могли бы пройти.

Короче говоря, существует большая разница между межсетевым экраном и маршрутизатором. Надеюсь, это поможет

Что такое межсетевой экран нового поколения? Узнайте о различиях между NGFW и традиционными межсетевыми экранами

Межсетевые экраны являются стандартным инструментом безопасности для большинства компаний, но в сегодняшней меняющейся среде угроз межсетевые экраны следующего поколения являются единственными межсетевыми экранами, которые могут обеспечить надлежащую защиту.

Определение межсетевого экрана нового поколения

Межсетевой экран нового поколения (NGFW) — это, по определению Gartner, «межсетевой экран с глубокой проверкой пакетов, который выходит за рамки проверки и блокировки портов / протоколов и добавляет проверку на уровне приложений, предотвращение вторжений и т. д. и привлечение разведданных из-за пределов брандмауэра ».

Традиционные межсетевые экраны против межсетевых экранов нового поколения

Как следует из названия, межсетевые экраны следующего поколения являются более продвинутой версией традиционного межсетевого экрана и предлагают те же преимущества.Как и обычные брандмауэры, NGFW использует как статическую, так и динамическую фильтрацию пакетов и поддержку VPN, чтобы гарантировать, что все соединения между сетью, Интернетом и брандмауэром действительны и безопасны. Оба типа межсетевых экранов также должны иметь возможность преобразовывать адреса сети и портов для сопоставления IP-адресов.

Существуют также фундаментальные различия между традиционным межсетевым экраном и межсетевыми экранами нового поколения. Наиболее очевидное различие между ними — способность NGFW фильтровать пакеты на основе приложений.Эти межсетевые экраны имеют обширный контроль и видимость приложений, которые он может идентифицировать с помощью анализа и сопоставления сигнатур. Они могут использовать белые списки или IPS на основе подписей, чтобы отличать безопасные приложения от нежелательных, которые затем идентифицируются с помощью дешифрования SSL. В отличие от большинства традиционных брандмауэров, NGFW также включают путь, по которому будут приниматься будущие обновления.

Преимущества использования межсетевых экранов нового поколения

Отличительные особенности межсетевых экранов нового поколения создают уникальные преимущества для компаний, которые их используют.NGFW могут блокировать проникновение вредоносных программ в сеть, чего никогда не смогли бы достичь традиционные брандмауэры. Они лучше оснащены для защиты от расширенных постоянных угроз (APT). NGFW могут быть недорогим вариантом для компаний, которые хотят улучшить свою базовую безопасность, поскольку они могут объединить работу антивирусов, брандмауэров и других приложений безопасности в одно решение. К его особенностям относятся осведомленность о приложениях, услуги проверки, а также система защиты и инструмент повышения осведомленности, которые приносят пользу предложению во всех отношениях.

Важность межсетевых экранов нового поколения

Установка межсетевого экрана — требование для любого бизнеса. В сегодняшней среде наличие межсетевого экрана нового поколения почти не менее важно. Угрозы для персональных устройств и более крупных сетей меняются каждый день. Благодаря гибкости NGFW он защищает устройства и компании от гораздо более широкого спектра вторжений. Хотя эти межсетевые экраны не являются подходящим решением для каждого бизнеса, профессионалы в области безопасности должны тщательно учитывать преимущества, которые могут дать NGFW, поскольку они имеют очень большой потенциал.

Межсетевые экраны против блокировки устройств — в чем разница между устройством безопасности домашней сети и межсетевым экраном?

от Ava — 9 февраля, 2017

Поскольку количество Интернета вещей вокруг нас увеличивается, становится все труднее избегать обсуждения темы сетевой безопасности. Мы хотим верить, что используемые нами умные устройства безопасны и что информация, которую мы на них делимся, защищена, но если мы будем честны с самими собой, мы знаем, что это не так.

Кто может обвинить нас в том, что мы прячем голову в песок из-за сетевой безопасности? Если вы не опытный технарь, то сетевые системы — непростая задача! Прежде всего, это все угрозы, которые могут атаковать вашу сеть: взлом, вредоносное ПО, бот-сети, программы-вымогатели и многие другие.Тогда есть все методы защиты; брандмауэры, антивирус, блокировка устройств, VPN. Количество терминов для понимания огромно — неудивительно, что большинство из нас сдаются при первом же препятствии. К сожалению для нас, сетевые хакеры не сдаются. Информация в нашей личной сети становится более ценной, чем имущество в нашем доме, поэтому взлом домашних сетей растет. Однако не бойтесь — Fing здесь, чтобы начать ваш путь к пониманию инструментов сетевой безопасности, которые могут помочь защитить вас от этой растущей угрозы.

Сегодняшняя тема: Устройства безопасности домашней сети (например, Fingbox) против брандмауэров!

Нам часто задают вопрос: как наш собственный Fingbox соотносится с устройствами интеллектуального брандмауэра. Первое существенное отличие состоит в том, что Fingbox не является брандмауэром — это набор инструментов для обеспечения безопасности домашней сети, который сосредоточен на сканировании сети и блокировке устройств. Смущенный? Терпите нас, и мы вам все объясним!

Чем брандмауэры работают по сравнению с устройствами безопасности домашней сети?

Думайте о своей домашней сети как об аэропорте.При вылете все люди и багаж, проходящие в аэропорт, сканируются — после этого запрещается въезд в аэропорт запрещенным, подозрительным или потенциально опасным предметам. Брандмауэр действует очень похоже. По мере того, как пакеты информации проходят из Интернета в вашу сеть, брандмауэр будет сканировать их, чтобы найти любые потенциальные угрозы для системы, такие как вирусы или шпионское ПО. В этом случае проникновение вредных предметов будет заблокировано. Эта проверка информации называется сканированием пакетов и может быть очень эффективным способом предотвращения проникновения интернет-угроз в вашу сеть. Брандмауэры могут поставляться как в виде программного обеспечения, устанавливаемого в системе, так и в виде аппаратного устройства, которое подключается к сети. Обычно они поставляются с фильтрами по умолчанию для сканирования вредоносных вредоносных программ, но некоторые также позволяют настроить фильтрацию для блокировки на более строгом уровне. Вероятно, наиболее заметное место, где вы столкнетесь с программным обеспечением брандмауэра, — это работа на общедоступном компьютере. Возможно, вы пытались, например, проверить результаты футбольных матчей на работе, но сайт оказался заблокированным. В этом случае сетевой администратор установил брандмауэр, чтобы блокировать любые сайты, посвященные футболу — сайт не может быть вредным, просто ваш начальник не хочет, чтобы вы просматривали футбольные сайты в рабочее время! На рынке недавно появились интеллектуальные брандмауэры для домашних сетевых систем.Идея этого оборудования состоит в том, чтобы обеспечить все устройства, подключенные к вашему Wi-Fi, сплошной защитой брандмауэра. Эти устройства брандмауэра подключаются к вашему маршрутизатору и фильтруют всю информацию, передаваемую между устройствами в вашей сети и в Интернете. Таким образом, любое устройство, которое подключается к вашей сети, становится защищенным фильтрами сканирования пакетов брандмауэра. Однако это сканирование упаковки имеет свои ограничения. Представьте, что вы транслируете фильм на своем смарт-телевизоре, в то время как ваши дети играют на Xbox наверху, а ваш партнер просматривает Facebook на своем телефоне — это много информации, передаваемой между Интернетом и вашими устройствами.Вся эта увеличенная информация должна пройти и проверяться брандмауэром, прежде чем она попадет на ваши устройства. Это может создать эффект «бутылочного горлышка» для вашего сетевого подключения. Как и огромные очереди на вылет в аэропортах в пик сезона, увеличенный объем информации, пытающейся пройти через брандмауэр, может вызвать формирование трафика в вашей сети. Чем больше устройств подключено к защищенному брандмауэром Wi-Fi, тем больше вероятность того, что ваше соединение станет медленным или даже вообще выйдет из строя из-за возросшей нагрузки, которую брандмауэр пытается обработать. Второе ограничение брандмауэра состоит в том, что он отслеживает только одну точку входа угрозы в вашу сеть — Интернет. Из-за этого брандмауэры не видят, какие устройства находятся в вашей сети Wi-Fi и представляют ли эти устройства угрозу для сети в целом. Аппаратные средства межсетевого экрана даже начнут защищать новое устройство, подключенное к вашей сети, независимо от того, является оно взломщиком или нет. Этот пробел в безопасности межсетевого экрана означает , что он не защищает от наивысшей формы киберпреступности; физический взлом сети и прослушивание Wi-Fi.

Что такое взлом физической сети?

Физический взлом сети — это кибер-эквивалент взлома и проникновения. Для этого хакер попадает в радиус действия вашего сигнала Wi-Fi, а затем использует уязвимость, которая позволяет им подключить свое устройство к вашей сети. Этой слабостью может быть плохой пароль маршрутизатора, открытый порт или незащищенное устройство — как только они окажутся внутри, они смогут получить доступ ко всей информации в вашей сети. Поскольку эта форма взлома не связана с проникновением в сеть через Интернет, она остается незамеченной брандмауэрами.Из-за того, что он не предполагает использования каких-либо вредоносных программ для доступа к вашей сети, хакер также не будет обнаружен антивирусным программным обеспечением. Они просто «входят» в ваш Wi-Fi, как любое другое устройство в вашем доме, поэтому они появятся и будут обрабатываться вашей сетью, как просто другое устройство. Из-за этого хакер может проникнуть в вашу сеть, украсть ваши данные и уйти, даже не заметив вас. А с ростом количества незащищенных устройств Интернета вещей в нашем доме этот вид киберпреступлений быстро растет.

Как предотвратить взлом физической сети?

Есть только один способ предотвратить нежелательное физическое вторжение в вашу сеть — это блокировка устройства. Возвращаясь к нашей аналогии с аэропортом, если брандмауэр обеспечивает безопасность вылета, то блокировщик устройств сетевой безопасности — это ограждение и наблюдение, окружающее весь аэропорт, которое предупреждает сотрудников службы безопасности о любых вредных лицах или действиях. Вот тут-то и пригодятся такие устройства, как Fingbox! Подобно системе наблюдения, Fingbox наблюдает за вашей сетью и предупреждает вас, когда к ней обращается новое устройство.Затем это дает вам возможность заблокировать доступ этого потенциального хакера к вашей сети. Вы можете сделать это на временной основе, пока выясняете, действительно ли устройство является вашим собственным, или вы можете сделать это постоянно, чтобы устройство никогда больше не могло физически получить доступ к вашей сети. Fingbox также позволяет вам присвоить имя и сохранить IoT в вашей сети, чтобы вы могли легко идентифицировать нераспознанное устройство. * Для вас, настоящие ИТ-специалисты, интересующиеся, как работает эта функция блокировки; Fingbox использует низкоуровневое сетевое программирование (уровень канала передачи данных) и внедрение пакетов, чтобы устройство не могло подключиться не только к Интернету, но и к другим устройствам локальной сети.*

Межсетевые экраны против блокировки устройств: вердикт

В отличие от брандмауэров, инструменты сетевой безопасности, такие как Fingbox, предоставляют функции безопасности Wi-Fi в более физическом смысле. Поскольку наша жизнь движется в сети, жизненно важно иметь как видимость, так и контроль над тем, кто находится в вашей сети. Возможность блокировать нежелательные устройства становится все более важной, будь то просто сосед, крадущий ваш Wi-Fi, или кто-то пытается получить доступ к вашей личной информации. Это большой инструмент безопасности, которого нет в брандмауэрах.Помимо предупреждений о вторжении и блокировки устройств, инструменты идентификации устройств Fingbox также дают ему возможность уведомлять вас о состоянии ваших устройств, обеспечивать видимость на устройствах с поддержкой Wi-Fi рядом с вашим домом и проверять порты ваших устройств на наличие рисков. быть взломанным. В отличие от брандмауэров, Fingbox также не перенаправляет весь ваш сетевой трафик через него для сканирования пакетов, и поэтому он не приведет к очередям данных, которые замедляют ваше соединение. Fingbox разработан так, чтобы не взаимодействовать с вашими сетевыми данными, и на самом деле поставляется со многими функциями устранения неполадок Wi-Fi, которые помогают вам повысить производительность сети, такими как идентификация полосы пропускания, поиск оптимальной точки Wi-Fi и проверки скорости.

Брандмауэры

против устройства безопасности домашней сети: стоимость

Последнее важное различие между Fingbox и интеллектуальным брандмауэром — это стоимость. Большинство интеллектуальных брандмауэров имеют высокую закупочную цену, а затем постоянную абонентскую плату, а с учетом того, что многие маршрутизаторы потребительского уровня теперь фактически поставляются со встроенными аппаратными брандмауэрами, вы можете тратить деньги, которые не обязательно тратить.

С другой стороны, средства блокировки устройств сетевой безопасности

Fingbox доступны по доступной единовременной цене в 99 долларов.Однако, хотя мы могли бы весь день говорить о преимуществах нашего небольшого набора инструментов сетевой безопасности и устранения неполадок Wi-Fi, мы на самом деле всегда рекомендовали бы иметь несколько линий защиты, когда речь идет о сетевой безопасности. Хакеры могут проникнуть в вашу сеть как виртуальными, так и физическими средствами, поэтому важно защищаться на обоих этих фронтах.