Брандмауэры

НЕ ОБЯЗАТЕЛЬНО ДЛЯ НОВИЧКОВ

Брандмауэр (firewall) контролирует входящий и исходящий трафик по правилам (IP, порт, протокол, иногда приложение или L7-профиль). Работает на уровне хоста (ОС) или периметра (маршрутизатор, UTM, облачный NGFW).

Практика

- На сервере Linux чаще всего: ufw (просто) или nftables (гибко).

- Правила проверяйте сверху вниз — первое совпадение решает судьбу пакета.

- Для SSH не открывайте `0.0.0.0/0` без fail2ban или ключей вместо пароля.

Встроенные и хостовые (бесплатные)

Решение Платформа Управление
Windows Defender Firewall Windows 10/11, Server GUI, GPO, PowerShell New-NetFirewallRule
iptables Linux iptables -A INPUT …; сохранение через iptables-persistent
nftables Linux (ядро ≥ 3.13) /etc/nftables.conf, systemctl enable nftables
ufw Ubuntu/Debian ufw allow 22/tcp && ufw enable
firewalld RHEL, Fedora, openSUSE firewall-cmd --permanent --add-port=8080/tcp
pf OpenBSD, FreeBSD, macOS /etc/pf.conf, pfctl -f

Пример PowerShell (разрешить HTTP):

New-NetFirewallRule -DisplayName "Allow HTTP" -Direction Inbound -Protocol TCP -LocalPort 80 -Action Allow

nftables (фрагмент):

table inet filter {
  chain input {
    type filter hook input priority 0;
    tcp dport 22 accept
    reject with icmp type port-unreachable
  }
}

Сетевые шлюзы (open source)

Решение Назначение
pfSense UTM на FreeBSD: VPN, IDS (Suricata), VLAN
OPNsense Форк pfSense, WireGuard, Suricata, HardenedBSD
OpenWrt (fw4) Домашние роутеры, UCI-конфиг /etc/config/firewall

Коммерческие NGFW

Вендор Особенности
Cisco ASA / Firepower Talos, FMC, виртуальный ASAv
FortiGate UTM, SSL-инспекция, SD-WAN, облачные образы

Облачные брандмауэры

Провайдер Инструменты
AWS Security Groups (stateful), NACL (stateless), Network Firewall
Azure NSG, Azure Firewall (L3–L7)
Google Cloud VPC firewall rules, Cloud Armor (DDoS/WAF)

Документация: AWS VPC, Azure Firewall, GCP Firewall.

Дополнительно на рабочей станции

  • TinyWall, GlassWire (Windows) — контроль приложений через WFP без замены стека.

См. также