Прежде всего выражаю благодарность Андрею Захарову за существенные замечания к этой статье, в результате которых, я ее полностью переписал. Мне кажется, в новой редакции она точнее в терминологии и ближе к первоначальной цели: попробовать объяснить разницу между файрволами и тем, что иногда выдают за файрволы.

Вроде все знают, что такое файрволы и зачем они нужны. Обычно они занимаются тем, что пропускают или блокируют данные передаваемые между Интернет и локальной сетью офиса, с целью защиты внутренних компьютеров от неких хакерских атак. Но из-за того, что этот древний термин описывает очень широкий класс устройств, потребителя легко ввести в заблуждение. Например, практически в любом магазине бытовой техники, вы можете купить так называемый  домашний маршрутизатор для доступа в Интернет. Вполне годится и для офиса небольшой компании. Прямо на коробке или в инструкции будет написано «Встроенный межсетевой экран (FireWall)» (цитата).  Никакого обмана здесь нет. Это тоже файрвол, вот только для хакерских атак, он совершенно прозрачен.

Трудно все это описать без технических деталей, но попробую. Начнем с того, что в компьютерных сетях информация передается «пакетами». Пакет представляет собой некий конверт с вложенными в него данными. На конверте написано много всякой полезной информации: адреса для передачи, какого рода данные лежат внутри, это первый или последний пакет в цепочке передаваемых и т.д., и т.п. Размер пакета и соглашение о том, что должно быть написано на конверте и как следует обрабатывать эти надписи называется «протоколом». Дело усугубляется еще тем, что для передачи используется несколько вложенных друг в друга конвертов. Это называется протоколами различных «уровней». Чисто техническая штука. Разные конверты обрабатываются разными устройствами. Например, конверты канального уровня обрабатываются коммутаторами локальной сети, а конверты сетевого уровня маршрутизаторами Интернет, включая, разумеется, тот фильтрующий маршрутизатор (файрвол), что стоит между Интернет и вашей локальной сетью.

Дело в том, что обычным  устройствам, обеспечивающим доставку пакетов, совсем не нужно знать, что лежит внутри конверта. Им вполне достаточно информации, размещенной на конверте, относящегося к ним уровня. Теперь представьте, что у вас есть устройство, которое пытается отфильтровать попадающую в вашу сеть информацию от «злодейской», но делает это исключительно на основе  надписей на конвертах. Это все равно, что пропускать груз через таможню на основе таможенной декларации и никогда не проверять своими глазами, что находится в ящиках. Так вот упомянутый выше «Встроенный межсетевой экран (FireWall)» именно так и поступает. А это значит, что он совершенно прозрачен для «контрабанды». Именно этим обстоятельством пользуются злодеи, когда посредством фишинга подсовывают на компьютер в локальной сети трояна (см. статью «Фишинг и трояны»). Троян устанавливает связь с компьютером злодея сквозь файрвол, используя «правильно заполненные конверты».

Это уже очень давняя проблема и ее с переменным успехом решают современные файрволы, те, которые называются UTM-файрволы (UTM – Unifiedl Threat Management) или «файрволы следующего поколения» (Next Generation Firewall). Это разные термины, но ими обозначают порой одинаковые по функциональности устройства. Когда говорят «UTM-файрвол», имеют ввиду устройство, в котором интегрированы модули, предназначенные для защиты от различных типов атак. Когда говорят «NGN-файрвол», имеют ввиду устройство, в котором интегрированы модули, позволяющие проводить «глубокую инспекцию пакетов» для обнаружения различных типов атак. На практике, разница между UTM-файрволом FortiGate и NGN-файрволом Palo Alto почти не уловима. Хотя представители компаний FortiNet и Palo Alto могут рассказывать об этой разнице часами.  Главное, что эти файрволы умеют «заглядывать в ящики», чтобы выявлять несоответствие декларации на конверте передаваемым данным.

Кроме того,  эти современные файрволы умеют проверять адресатов по специальным регулярно обновляемым каталогам сайтов и выяснять к какого рода сайту идет пакет, может это игровой сайт или сайт известный распространением пиратского программного обеспечения (обычно вместе с вирусами), и т.д. и т.п. Обычно они умеют искать в данных сигнатуры известных вирусов, а также выявлять признаки известных способов хакерских атак. Последняя часть называется IPS (Intrusion Prevention System). Также с их помощью можно выполнять обнаружение утечки данных (правда весьма примитивно). Кстати, следует понимать, что сигнатуры атак необходимо постоянно обновлять, также как вы обновляете сигнатуры вирусов в своем любимом антивирусе. А это значит, что обязательно нужна подписка на регулярные обновления. Она платная.

Самое приятное, что в наше время существуют модели, предназначенные для малых предприятий. Они стоят разумных денег. Но, все равно намного дороже чем «классические файрволы». Например, FortiGate-30D обойдется примерно в 36 000 рублей, включая годовую подписку на UTM-сервисы стоимостью примерно 11 500 рублей, которую придется платить каждый год. Для сравнения, офисный маршрутизатор ZyXEL для доступа в Интернет с классическим файрволом обойдется в 15 раз дешевле и никакой ежегодной подписки. Справедливости ради отметим, что ZyXEL тоже делает UTM-файрволы, но аналогичная модель ZyXEL USG100-PLUS будет стоить столько же денег, что и FortiGate. Также нужна будет подписка на внешние сервисы, но это будут сервисы не ZyXEL, а BlueCoat для ZyXEL. Вот такая разница между классикой и «новой волной».

Файрволы — это не самые простые в мире устройства. При выборе, лучше проконсультируйтесь со специалистом. А еще их надо правильно настраивать. А еще необходим регулярный мониторинг, регистрируемых файрволом событий. Какие бы ни были ворота, они преодолимы, если стража спит.