
Прежде всего выражаю благодарность Андрею Захарову за существенные замечания к этой статье, в результате которых, я ее полностью переписал. Мне кажется, в новой редакции она точнее в терминологии и ближе к первоначальной цели: попробовать объяснить разницу между файрволами и тем, что иногда выдают за файрволы.
Вроде все знают, что такое файрволы и зачем они нужны. Обычно они занимаются тем, что пропускают или блокируют данные передаваемые между Интернет и локальной сетью офиса, с целью защиты внутренних компьютеров от неких хакерских атак. Но из-за того, что этот древний термин описывает очень широкий класс устройств, потребителя легко ввести в заблуждение. Например, практически в любом магазине бытовой техники, вы можете купить так называемый домашний маршрутизатор для доступа в Интернет. Вполне годится и для офиса небольшой компании. Прямо на коробке или в инструкции будет написано «Встроенный межсетевой экран (FireWall)» (цитата). Никакого обмана здесь нет. Это тоже файрвол, вот только для хакерских атак, он совершенно прозрачен.
Трудно все это описать без технических деталей, но попробую. Начнем с того, что в компьютерных сетях информация передается «пакетами». Пакет представляет собой некий конверт с вложенными в него данными. На конверте написано много всякой полезной информации: адреса для передачи, какого рода данные лежат внутри, это первый или последний пакет в цепочке передаваемых и т.д., и т.п. Размер пакета и соглашение о том, что должно быть написано на конверте и как следует обрабатывать эти надписи называется «протоколом». Дело усугубляется еще тем, что для передачи используется несколько вложенных друг в друга конвертов. Это называется протоколами различных «уровней». Чисто техническая штука. Разные конверты обрабатываются разными устройствами. Например, конверты канального уровня обрабатываются коммутаторами локальной сети, а конверты сетевого уровня маршрутизаторами Интернет, включая, разумеется, тот фильтрующий маршрутизатор (файрвол), что стоит между Интернет и вашей локальной сетью.
Это уже очень давняя проблема и ее с переменным успехом решают современные файрволы, те, которые называются UTM-файрволы (UTM – Unifiedl Threat Management) или «файрволы следующего поколения» (Next Generation Firewall). Это разные термины, но ими обозначают порой одинаковые по функциональности устройства. Когда говорят «UTM-файрвол», имеют ввиду устройство, в котором интегрированы модули, предназначенные для защиты от различных типов атак. Когда говорят «NGN-файрвол», имеют ввиду устройство, в котором интегрированы модули, позволяющие проводить «глубокую инспекцию пакетов» для обнаружения различных типов атак. На практике, разница между UTM-файрволом FortiGate и NGN-файрволом Palo Alto почти не уловима. Хотя представители компаний FortiNet и Palo Alto могут рассказывать об этой разнице часами. Главное, что эти файрволы умеют «заглядывать в ящики», чтобы выявлять несоответствие декларации на конверте передаваемым данным.