+7 (800) 333-17-63

Что такое фаервол и почему его путают с защитой от DDoS-атак

Он известен под разными именами: брандмауэр, фаервол, межсетевой экран, WAF. В этой статье мы выясним, зачем он нужен, как работает и каким может быть.

Обложка статьи: Фаервол vs Защита от DDoS-атак

Фаервол — это программный или программно-аппаратный элемент, который контролирует и фильтрует сетевой трафик, чтобы обеспечить безопасность и защиту от несанкционированного доступа.

Основные функции:

1. Фильтрация трафика из внешней сети, чтобы предотвратить попадание нежелательных пакетов внутрь локальной. 
2. Дополнительная фильтрация внутри сети.

 

Какие бывают фаерволы

Программные — предназначены для контроля и фильтрации сетевого трафика на уровне операционной системы компьютера. 

Программный фаервол (Software Firewall)
Устанавливается как программное обеспечение на компьютер или устройство. Обычно используется для защиты конкретного устройства и контролирует его сетевой трафик.

Облачный фаервол (Cloud Firewall)
Используется для защиты облачных ресурсов и приложений. Контролирует трафик, направленный к облачным сервисам и ресурсам.

Персональный фаервол (Personal Firewall)
Предназначен для индивидуальных пользователей и устанавливается на их устройства. Помогает контролировать безопасность интернет-соединения и приложений.

WAF или фаервол веб-приложений (Web Application Firewall)
Специализируется на защите веб-ресурсов, обнаруживая и блокируя направленные на них атаки. WAF фильтрует трафик путем анализа протоколов прикладного уровня HTTP и HTTPS. 

Аппаратные — физические устройства, специально созданные для фильтрации сетевого трафика и обеспечения безопасности сети. 

Внешний фаервол (Perimeter Firewall)
Размещается между внешней сетью, например, интернетом и внутренней сетью компании.

Программно-аппаратные — комбинация программного и аппаратного фаерволов, обеспечивающая комплексный уровень защиты.

Хост-фаервол (Host Firewall)
Эта конфигурация работает на уровне отдельных компьютеров или устройств. Хост-фаервол контролирует трафик, направленный к устройству и от него, и может блокировать или разрешать приложения и службы на этом устройстве.

Сетевой фаервол (Network Firewall)
Работает на уровне сети и контролирует трафик между различными сетями и устройствами. Он может блокировать или разрешать соединения на основе определенных правил и политик безопасности.

 

От чего защищает фаервол

  • Неавторизованный доступ. Настройки фаервола позволяют задать правила доступа к сети или устройству — эти действия помогают избежать несанкционированные попытки вторжения.
  • Вирусы и вредоносное ПО. Фаервол сканирует входящий трафик и закрывает доступ для входящих пакетов с ресурса, который был отмечен в базе настроек вирусный.
  • Фишинг и мошенничество. Фаервол блокирует доступ к вредоносным веб-сайтам и сообщениям, с помощью которых злоумышленники могут пытаться обмануть пользователей.
  • Контроль доступа. Фаервол может определять, какие приложения и службы имеют доступ к интернету, и ограничивать этот доступ в соответствии с правилами безопасности.
  • Защита от внутренних угроз. Межсетевой экран способен контролировать внутренний трафик и предотвращать несанкционированный доступ внутри сети.

 

Фаервол vs WAF: в чем разница

WAF и обычный фаервол — это два разных инструмента для обеспечения безопасности сети и веб-приложений. Их основные различия заключаются в целях защиты, уровне работы и типе трафика, который они анализируют. Далее рассмотрим каждый пункт подробнее.

1. Цель защиты

  • WAF 
    Специализируется на защите веб-ресурсов. Он предназначен для обнаружения и блокирования угроз, направленных на уровень приложений, таких как SQL-инъекции, межсайтовый скриптинг (XSS) и другие атаки, направленные на уязвимости веб-приложений, включая атаки из списка OWASP Top-10.
  • Фаервол 
    Защищает всю сеть или систему от широкого спектра угроз, включая несанкционированный доступ, вредоносное программное обеспечение, DDoS-атаки и другие сетевые атаки.

2. Уровень работы

  • WAF
    Работает на уровне приложений, анализируя HTTP-трафик и проверяет запросы к веб-приложениям на наличие угроз и несанкционированных действий.
  • Фаервол
    Работает на транспортном уровне модели TCP/IP, контролируя весь сетевой трафик между различными устройствами и сетями.

3. Фокус защиты

  • WAF
    Защищает только веб-приложения и данные, которые обрабатывают эти приложения.
  • Фаервол
    Обеспечивает общую защиту сети и устройств, включая контроль доступа и защиту от различных сетевых атак.

4. Тип трафика

  • WAF
    Анализирует и фильтрует только HTTP- и HTTPS-трафик.
  • Фаервол
    Может контролировать разнообразный сетевой трафик, включая HTTP, FTP, SMTP, DNS и другие.

Схема работы фаервола и WAF — DDoS-Guard

 

Фаервол, WAF и защита от DDoS: почему их путают

Путаница между терминами возникает по многим причинам. Начиная от схожих названий, заканчивая схожим функционалом — все три технологии ориентированы на обеспечение безопасности сетей и приложений. Это создает некоторое сходство в их функциональности и целях. Ситуация осложняется тем, что некоторые современные фаерволы могут включать в себя функции WAF для более глубокой защиты на уровне приложений, а также функции защиты от DDoS для смягчения атак на уровне сети.

На рынке услуг защиты путаницу вызывает маркетинговая терминология. Иногда провайдеры безопасности используют разные термины в своей коммуникации, что может привести к неясности среди пользователей и клиентов. Для лучшего понимания различий между этими технологиями важно изучать их функции и возможности в каждом конкретном контексте.

Фаервол — контролирует и фильтрует сетевой трафик, определяя, какие соединения разрешены или заблокированы на основе определенных правил и политик безопасности.

WAF — специализируется на защите веб-приложений от атак на уровне приложений, таких как SQL-инъекции или кросс-сайтовый скриптинг.

Защита от DDoS-атак — направлена на обнаружение и смягчение атак, направленных на перегрузку сети или серверов, чтобы предотвратить отказ в обслуживании.

Использование правильной терминологии и понимание специфики каждой из этих технологий помогут в правильной настройке и использовании систем безопасности для защиты вашей сети и приложений.

Подробнее о том, что такое защита от DDoS-атак, как выбрать надежного провайдера и на что стоит обратить внимание — рассказываем в руководстве для заказчиков по защите от DDoS-атак.

 

Защищает ли фаервол от DDoS-атак

Межсетевой экран может помочь в ограничении некоторых аспектов DDoS-атаки, но не может обеспечить полную защиту. Далее рассмотрим, как две основные функции фаервола могут помочь обнаружить и минимизировать негативное влияние DDoS.

1. Фильтрация трафика
Фаервол может быть настроен на фильтрацию сетевого трафика, блокируя пакеты, которые соответствуют определенным правилам. Эти действия могут помочь блокировать часть нелегитимного трафика, который используется в DDoS атаках.

2. Ограничение подключений 
Фаервол ограничивает количество одновременных подключений с одного IP-адреса или подсети. Это помогает предотвратить перегрузку ресурсов сервера из-за большого количества запросов от одного и того же источника.

Однако фаерволы имеют свои ограничения в контексте DDoS-атак. В случае мощной DDoS с большим объемом трафика, межсетевой экран может не справиться с обработкой всех запросов и стать уязвимым местом в сетевой инфраструктуре. Также злоумышленники могут изменить или подделать исходный IP-адрес, что затрудняет фильтрацию на уровне фаервола. Поэтому межсетевой экран можно использовать как дополнительный защитный барьер в борьбе с DDoS-атаками, уязвимостями или перехватом трафика. Для более надежной и эффективной защиты, рекомендуется использовать специализированные решения, которые включают в себя системы для обнаружения и смягчения DDoS. 

 

Как использовать фаервол вместе с DDoS-защитой

1. Настройте базовую защиту с помощью фаервола.

  • Задайте параметры фильтрации трафика и блокировки подозрительных соединений на уровне сети.
  • Установите правила для ограничения одновременных подключений с одного IP-адреса.

2. Используйте фаервол для блокировки известных нежелательных IP-адресов или сетей.

3. Выберите провайдера DDoS-защиты и настройте свою сеть для перенаправления трафика через его систему.

4. Интегрируйте фаервол и DDoS-защиту таким образом, чтобы они работали вместе. Для этого следует согласовать правила и настройки между фаерволом и сервисом от DDoS-атак.

5. Стабильно изучайте трафик и действия вашей сети с помощью WAF или других инструментов аналитики.  

6. Оценивайте эффективность вашей защиты и реагируйте на новые угрозы и атаки, внося соответствующие изменения в настройки фаервола и DDoS-защиты.

7. Рассмотрите возможность автоматизировать реакцию на DDoS-атаки. Например, при обнаружении атаки фаервол и DDoS-защита могут оперативно реагировать, блокируя злонамеренный трафик.

8. Регулярно обновляйте правила настройки фаервола в соответствии с актуальными угрозами.

Читайте в телеграм-канале DDoS-Guard

Анонсы, статьи, истории и советы по кибербезопасности. Каждый месяц собираем дайджест о самых громких событиях

Подписаться