Все брандмауэры делятся на два типа: пакетные фильтры и фильтры уровня приложений (они же proxy). Пакетный фильтр - это обычный роутер (он же маршрутизатор), маршрутизирующий или не маршрутизирующий TCP/IP-пакеты согласно установленной системе правил. Поэтому, если в локальной сети уже присутствует роутер (а без него никак), приобретать дополнительный пакетный фильтр не нужно.
Действия традиционного пакетного фильтра основаны исключительно на наборе правил, описанных администратором. Для каждого пакета, который может проходить через фильтр, администратор должен создать необходимое правило. В некоторых случаях это достаточно просто, однако иногда такая процедура невозможна, или по крайней мере невозможна без соблюдения необходимого уровня безопасности и гибкости.
Самый основной, базовый, первоначально разработанный тип firewall’а называется пакетным фильтром. Вначале пакетные фильтры функционировали на уровне 3 (Network) модели OSI. Данная функциональность разработана для обеспечения управления сетевым доступом, основываясь на нескольких блоках информации, содержащихся в сетевом пакете. В настоящее время все пакетные фильтры также анализируют и уровень 4 (Transport).
Пакетные фильтры анализируют следующую информацию:
- Адрес источника пакета, например, адрес уровня 3 системы или устройства, откуда получен исходный сетевой пакет (IP-адрес, такой как 192.168.1.1).
- Адрес назначения пакета, например, адрес уровня 3 пакета, который он пытается достигнуть (например, 192.168.1.2).
- Тип коммуникационной сессии, т.е. конкретный сетевой протокол, используемый для взаимодействия между системами или устройствами источника и назначения (например, ТСР, UDP или ICMP).
- Возможно некоторые характеристики коммуникационных сессий уровня 4, такие как порты источника и назначения сессий (например, ТСР:80 для порта назначения, обычно принадлежащий web-серверу, ТСР:1320 для порта источника, принадлежащий персональному компьютеру, который осуществляет доступ к серверу).
- Иногда информация, относящаяся к интерфейсу роутера, на который пришел пакет, и информация о том, какому интерфейсу роутера она предназначена; это используется для роутеров с тремя и более сетевыми интерфейсами.
- Иногда информация, характеризующая направление, в котором пакет пересекает интерфейс, т.е. входящий или исходящий пакет для данного интерфейса.
- Иногда можно также указать свойства, относящиеся к созданию логов для данного пакета.
Пакетные фильтры обычно размещаются в сетевой инфраструктуре, использующей ТСР/IP. Однако они могут также быть размещены в любой сетевой инфраструктуре, которая имеет адресацию уровня 3, например, IPX (Novell NetWare) сети. В современных сетевых инфраструктурах firewall’ы на уровне 2 могут также использоваться для обеспечения балансировки нагрузки и/или в приложениях с высокими требованиями к доступности, в которых два или более firewall’а используются для увеличения пропускной способности или для выполнения восстановительных операций.
Некоторые пакетные фильтры, встроенные в роутеры, могут также фильтровать сетевой трафик, основываясь на определенных характеристиках этого трафика, для предотвращения DoS- и DDoS-атак.
Пакетные фильтры могут быть реализованы в следующих компонентах сетевой инфраструктуры:
- пограничные роутеры;
- ОС;
- персональные firewall’ы.
Брандма́уэр Windows — встроенный в Microsoft Windows межсетевой экран. Одним из отличий от предшественника (Internet Connection Firewall) является контроль доступа программ в сеть. В брандмауэр Windows встроен журнал безопасности, который позволяет фиксировать IP-адреса и другие данные, относящиеся к соединениям в домашних и офисной сетях или в Интернете. Можно записывать как успешные подключения, так и пропущенные пакеты. Это позволяет отслеживать, когда компьютер в сети подключается, например, к web-сайту.
IPTables — утилита командной строки, является стандартным интерфейсом управления работой межсетевого экрана(брандмауэра) NETFilter для ядер Linux, начиная с версии 2.4. Для использования утилиты IPTables требуются привилегии суперпользователя (root).
