Брандмауэры

Брандмауэры представляют собой системы сетевой безопасности, которые отслеживают и контролируют входящий и исходящий трафик на основе заранее заданных правил. Они играют ключевую роль в обеспечении защиты сетевых ресурсов, предотвращая нежелательный доступ и обеспечивая безопасное взаимодействие между различными сетями и устройствами. Пакетные фильтры проверяют IP-заголовки, stateful-брандмауэры отслеживают состояние соединений, а межсетевые экраны следующего поколения (NGFW) добавляют глубокую инспекцию пакетов и обнаружение вторжений. В Linux iptables и nftables реализуют правила на уровне ядра, а firewalld и ufw предоставляют управление более высокого уровня. В облачных средах роль брандмауэров выполняют группы безопасности и сетевые ACL.

Как это работает

Брандмауэры работают на различных уровнях модели OSI, начиная с уровня данных и заканчивая уровнем приложений. Hubs (устаревшие устройства, которые передают данные на все порты) и коммутаторы (L2 — пересылают данные по MAC-адресам, являются современным ядром LAN) используются для пересылки данных внутри локальной сети. Маршрутизаторы (L3 — пересылают данные по IP-адресам, обеспечивают связь между различными сетями) и балансировщики нагрузки (L4 TCP или L7 HTTP — распределяют трафик по backend-серверам) используются для управления трафиком и распределения нагрузки. Огненные стены (фильтруют трафик — stateful в современных сетях) и прокси-серверы (пересылают клиентский трафик) также являются важными элементами сетевой безопасности. В облаках эти концепции абстрагируются, но основные идеи остаются неизменными.

Когда применять

L7 load balancers (Nginx, Envoy, Cloud ALB) используются для управления HTTP-трафиком, в то время как L4 (HAProxy, NLB) используются для управления TCP-трафиком. Reverse proxies являются обязательными перед app-серверами для обеспечения TLS termination, rate limiting, кеширования и routing. Огненные стены должны быть настроены на default-deny и allow-list подходы, никогда не следует использовать default-allow. В облачных VPCs routing/firewalling декларативны, поэтому важно понимать модель провайдера.

Типичные ошибки

Типичные ошибки при использовании брандмауэров включают размещение app-сервера напрямую в интернете (что приводит к отсутствию TLS termination и защиты от DDoS-атак), использование default-allow firewall (что делает все внутренние ресурсы доступными для внешнего доступа), использование L4 LB для HTTP (что приводит к отсутствию path/host routing), а также использование одного load balancer без health checks (что приводит к направлению трафика на dead backends).

Связанные понятия

• Сетевое оборудование
• Хабы и коммутаторы
• Маршрутизаторы
• Балансировщики нагрузки