Міжмережевий екран (Firewall)
Система мережевої безпеки, яка відстежує та контролює вхідний і вихідний мережевий трафік на основі заздалегідь визначених правил безпеки.
Потенційний брандмауер - це мережевий пристрій або програмне забезпечення, яке діє як бар'єр між надійною внутрішньою мережею та ненадійними зовнішніми мережами (наприклад, Інтернетом). Він контролює і контролює вхідний і вихідний мережевий трафік на основі заздалегідь визначеного набору правил безпеки. Брандмауер діє на різних рівнях мережі, в першу чергу на мережевих та транспортних рівнях (класи 3 і 4 моделі OSI), але сучасні брандмауер також можуть перевіряти дані рівня застосування (клас 7). Пакетні фільтруючі брандмауер розглядають індивідуальні пакети даних і дозволяють або заперечують їх на основі IP-адресів, портів та протоколів джерела
graph LR
Center["Міжмережевий екран (Firewall)"]:::main
Pre_osi_model["osi-model"]:::pre --> Center
click Pre_osi_model "/terms/osi-model"
Rel_proxy_server["proxy-server"]:::related -.-> Center
click Rel_proxy_server "/terms/proxy-server"
Rel_zero_trust["zero-trust"]:::related -.-> Center
click Rel_zero_trust "/terms/zero-trust"
Rel_cybersecurity["cybersecurity"]:::related -.-> Center
click Rel_cybersecurity "/terms/cybersecurity"
classDef main fill:#7c3aed,stroke:#8b5cf6,stroke-width:2px,color:white,font-weight:bold,rx:5,ry:5;
classDef pre fill:#0f172a,stroke:#3b82f6,color:#94a3b8,rx:5,ry:5;
classDef child fill:#0f172a,stroke:#10b981,color:#94a3b8,rx:5,ry:5;
classDef related fill:#0f172a,stroke:#8b5cf6,stroke-dasharray: 5 5,color:#94a3b8,rx:5,ry:5;
linkStyle default stroke:#4b5563,stroke-width:2px;
🧠 Перевірка знань
🧒 Простими словами
🧱 Фаєрвол — це як охоронець на вході до закритого будинку. У нього є список гостей: ті, хто в списку — проходять, інші — блокуються. Це захищає ваш комп'ютер від 'цифрових грабіжників', які намагаються вкрасти ваші дані через інтернет.
🤓 Expert Deep Dive
Брандмауери реалізують політики контролю доступу, які зазвичай застосовуються через набори правил, визначені адміністраторами. Брандмауери, що фільтрують пакети, використовують списки контролю доступу (ACL) для дозволу або заборони трафіку на основі інформації заголовка (IP-адреси, порти, номери протоколів). Станні брандмауери підтримують таблицю станів з'єднань, співвідносячи вхідні пакети з встановленими вихідними з'єднаннями, значно зменшуючи поверхню атаки порівняно зі stateless фільтрами шляхом неявного блокування незапитуваного вхідного трафіку. Брандмауери прикладного рівня (або проксі-сервери) розривають з'єднання та ініціюють нові, що дозволяє глибоко перевіряти прикладні протоколи (наприклад, HTTP, FTP) та фільтрувати вміст, але це призводить до затримок та потенційних єдиних точок відмови. NGFW поєднують stateful інспекцію з можливостями IPS, ідентифікацією додатків (часто за допомогою DPI) та потоками даних про загрози. Пристрої Unified Threat Management (UTM) інтегрують кілька функцій безпеки. Архітектурні рішення включають апаратні пристрої (що забезпечують високу пропускну здатність) проти програмних реалізацій (більш гнучкі). Проблеми включають підтримку точних та актуальних наборів правил, управління впливом на продуктивність та захист від складних технік ухилення, що використовують неоднозначність протоколів або вразливості додатків.