Брандмауер (інформаційні технології)

Брандма́уер (із нім. Brandmauer, від Brand — пожежа, Mauer — стіна; букв. — протипожежна стіна), файрволл, екран міжмережевий — програмний чи програмно-апаратний засіб надання кібернетичної безпеки в комп’ютерних мережах.

Походження назви

Терміни «брандмауер» і «файрволл» запозичено з німецької та англійської мов відповідно. Вони означали стіну без вікон із негорючого матеріалу, яка розділяла суміжні будинки. Під час пожежі в одному з будинків брандмауер не дозволяв вогню поширюватися на суміжний [див. Брандмауер (будівництво)].

Історична довідка

У комп’ютерних мережах брандмауери використовують з кінця 1980-х. Перший комерційний брандмауер — випущений 1991 програмний комплекс «DEC SEAL» (SEAL — акронім англ. «Secure External Access Link» — «Захищене зовнішнє посилання доступу») компанії «Діджител Еквіпмент Корпорейшен» (англ. «Digital Equipment Corporation»; США).

Характеристика

Основною функцією брандмауера є моніторинг даних, що проходять через нього, і керування їхнім проходженням згідно з набором правил. Брандмауер знаходиться в точці з’єднання двох комп’ютерних мереж. Аналізує пакети вхідних даних шляхом визначення мережевих адрес і номерів портів їхнього відправника та одержувача, а також протоколу. Відповідно до встановлених правил пропускає дані в локальну мережу або забороняє їхнє проходження. Цей метод фільтрації пакетів дозволяє запобігти спробам зловмисного використання вразливостей програмного та апаратного забезпечення пристроїв у локальній обчислювальній мережі, обмежити доступ зовні локальної мережі до чутливих даних.

Аналогічна фільтрація вихідних даних може завадити роботі шкідливого програмного забезпечення (комп’ютерних вірусів), яке буде намагатися передавати зловмисникам чутливі дані із «зараженого» комп’ютера. Більшість сучасних брандмауерів використовують складніші методи контролю даних (аналізують також і власне передані дані). На ефективність роботи брандмауера суттєво впливає налаштування набору правил. У локальних обчислювальних мережах це налаштування зазвичай виконують адміністратори. У новітніх операційних системах правила програмних брандмауерів налаштовують переважно автоматично.

Різновиди

Програмний брандмауер є комп’ютерною програмою, встановленою на персональному комп’ютері або сервері. Він контролює приймання / передавання даних лише між цим комп’ютером та мережею, до якої комп’ютер підключено. Приклад такого брандмауера — англ. Microsoft Defender Firewall компанії «Майкрософт» (англ. «Microsoft»).

Програмні бранмауери можуть бути встановлені на виділеному комп’ютері (сервері), підключеному між локальною обчислювальною мережею і мережею Інтернет. У цьому випадку брандмауер контролює приймання / передавання даних усіх пристроїв локальної мережі.

Програмно-апаратні брандмауери — спеціалізовані пристрої, що мають центральний процесор, оперативну та постійну пам’ять тощо; працюють під керуванням програмного забезпечення. Брандмауери такого типу також дозволяють контролювати приймання / передавання даних усіх підключених до нього пристроїв, забезпечувати безпеку комп’ютерної мережі. Найбільш відомі виробники таких пристроїв — компанії, штаб-квартири яких розташовані у США: «Фортінет» (англ. «Fortinet»), «Сіско» (англ. «Cisco»), «Джуніпер» (англ. «Juniper»).

Програмно-апаратні брандмауери використовують у мережах організацій, які висувають високі вимоги до інформаційної безпеки. Зазвичай роутери (зокрема й бездротові), які використовують для підключення персональних пристроїв до мережі Інтернет у домашніх умовах, можуть виконувати і функції брандмауерів. Проте рівень захисту, який вони забезпечують, нижчий, ніж у спеціалізованих пристроїв.

У 2020-х набувають популярності хмарні брандмауери. Вони забезпечують:

• фільтрування і захист від шкідливих програм на рівні аналітики погроз;
• швидкісне і спрощене розгортання та керування безпекою мережі;
• централізоване управління безпекою всіх віртуальних мереж за уніфікованим набором правил.

Література

1. Cheswick W. R., Bellovin S. M. Firewalls and Internet Security: Repelling the Wily Hacker. 2nd ed. Boston : Addison-Wesley, 2007. 433 p.
2. Computer and Information Security Handbook / Ed. by J. R. Vacca. 3rd ed. Amsterdam; Boston : Elsevier ; Morgan Kaufmann, 2017. 1280 p. URL: https://www.elsevier.com/books-and-journals/book-companion/9780128038437

Автор ВУЕ

О. В. Арістов