Сетевой экран в роутере что это

Обновлено: 04.07.2024

Автор Статьи

Сетевой экран (межсетевой экран, файрвол, брандмауэр) – это устройство или программа для защиты абонентов локальной сети от интернет-атак. Он мониторит входящий трафик в соответствии с установленными правилами безопасности, в случае необходимости блокирует подозрительные действия.

Компьютер за стеной


Сетевой экран – это защита от сетевых и хакерских атак

Благодаря файрволу пользовательские устройства словно скрыты от интернет-пользователей своеобразным барьером или противопожарной стеной, не позволяющей атакам вирусов, троянов или червей сжечь локальные данные, а также повредить оборудование.

Как реализован сетевой экран

Устройство может быть выполнено аппаратно в виде маршрутизатора или программно. Первые из них, предназначенные для защиты от вредоносного сетевого трафика, появились в 1980-х годах. Это были именно маршрутизаторы, которые блокировали вредоносные проникновения. А первая программа-файрвол начала работу в 1998 году задолго до появления антивирусов. Сегодня на каждом компьютере есть межсетевой экран, являющийся частью операционной системы либо же сторонним специализированным приложением.

Операционные системы Windows уже много лет имеют встроенную защиту. Его не стоит отключать, если компьютер подключен к интернету и не имеет отдельной программы-брандмауэра. Именно брандмауэр отражает хакерские атаки, предотвращает несанкционированные вторжения, о чем предупреждает пользователя, а также создает отчеты.

Правила работы

Межсетевой «защитник» начинает работать с поступающим на компьютер трафиком по завершении трансляции адресов и маршрутизации. В соответствии со стандартными настройками программы или индивидуальными пожеланиями пользователя он контролирует и фильтрует поток данных, который разбивается на небольшие пакеты, проверяется на вредоносность. При обнаружении опасности пакет блокируется. При этом пользователь получает оповещение, чтобы иметь возможность оспорить действия брандмауэра, если считает, что произошла ошибка.

Все провайдеры защищают своих пользователей аппаратным сетевым экраном. Такое устройство позволяет устанавливать соединение из домашних интерфейсов (LAN) в публичные сети (WAN), но при этом блокирует возможность соединения в обратную сторону. При этом у пользователей есть доступ к параметрам безопасности, с помощью которых можно разрешать доступ к определенным сервисам или же блокировать некоторые хосты.

Принцип действия сетевого экрана


Работа сетевого экрана: публичным сетям запрещен доступ к локальным устройствам

Где находится сетевой экран в вашем компьютере

Если на компьютере установлена операционная система Windows, значит, у вас есть и стандартный брандмауэр, который разработан компанией Microsoft. Чтобы получить к нему доступ, необходимо зайти в «Панель управления» → «Система и безопасность» → «Брандмауэр Windows».

В настройках брандмауэра можно получить исчерпывающую информацию о состоянии сетевых подключений, а также выполнить все нужные действия по настройке.

  • Отключить файрвол. Это необходимо, если вы устанавливаете отдельное защитное приложение, чтобы не возникло конфликтов с брандмауэром Windows. Также его можно отключать, если компьютер не включен ни в одну сеть и не связан с интернетом.
  • Разрешить или запретить взаимодействие с разными приложениями и хостами.
  • Настроить параметры уведомлений.
  • Восстановить настройки по умолчанию.

Теперь вы знаете, где находится сетевой экран и для чего он нужен, поэтому сможете легко выполнить его настройку под свои цели.

Оставьте свою электронную почту и получайте самые свежие статьи из нашего блога. Подписывайтесь, чтобы ничего не пропустить

content/ru-ru/images/repository/isc/2017-images/KSY-53-What_is_a_firewall__.jpg

Сетевой экран действует как защита локального компьютера от вирусов, червей, троянских программ и хакерских атак.

Сетевой экран это программный (защитное решение) или аппаратный (физический маршрутизатор) элемент компьютерной сети, осуществляющий контроль и фильтрацию проходящего через него сетевого трафика в соответствии с заданными правилами.

Сетевые экраны сканируют каждый «пакет» данных (небольшие куски большого целого, уменьшенные по размеру для удобства передачи), чтобы убедиться, что в них не содержится вредоносных элементов.

Существует несколько принципов обработки поступающего трафика. Во-первых, сетевой экран может отображать все запросы на доступ к компьютеру из внешних сетей и анализировать запрашивающий сервис: есть ли у него известное доменное имя и интернет-адрес.

Сетевые экраны также могут полностью изучить каждый пакет входящих данных на наличие в нем строк кода, находящегося в черном списке.

Наконец, сетевые экраны могут оценивать пакеты на основе их сходства с другими пакетами, которые были недавно отправлены и получены.

Если пакеты находятся в рамках допустимых уровней сходства, они распознаются как разрешенные.

Преимущества

Идея сетевого экрана заимствована из концепции пожаротушения: файрвол (firewall -противопожарная стена) представляет собой барьер, созданный для предотвращения распространения огня.

Целью сетевого экрана тоже является блокировка всего, что может «сжечь» компьютер пользователя.

Без сетевых экранов не обходятся ни разработчики ПО, ни поставщики услуг по обеспечению безопасности.

Операционные системы Windows поставляются со встроенным сетевым экраном, и его, как правило, рекомендуется оставлять включенным.

Но в домашней сети для фильтрации сетевого трафика рекомендуется использовать аппаратное решение, такое как маршрутизатор.

Компании-разработчики защитного ПО обычно включают сетевые экраны в свои антивирусные решения.

Во многих случаях это сетевые экраны более высокой сложности, чем те, которые входят в состав базовой операционной системы.

В список стандартных функции сетевых экранов входят регистрация и создание отчетов об атаках (успешные или нет), а также уведомлениями в случае несанкционированного вторжения.

Недостатки

Среди потенциальных недостатков – замедление сетевого трафика, особенно если пакеты полностью анализируются на локальном компьютере пользователя.


Брандмауэр

Среди множества брандмауэров, доступных на рынке безопасности, есть брандмауэры маршрутизаторов. В отличие от программного брандмауэра, брандмауэр маршрутизатора пытается и блокирует входящие запросы на уровне сервера, тем самым обеспечивая безопасность всей сети. Поскольку маршрутизатор является конечной точкой большинства сетей и является единственной точкой, соединяющей любой компьютер в вашей сети с Интернетом, включение брандмауэра маршрутизатора обеспечивает безопасность вашей сети.

Настройте межсетевой экран маршрутизатора

В этой статье рассказывается, как настроить межсетевой экран маршрутизатора или настроить маршрутизатор для активации межсетевого экрана. Мы также рассмотрим, какие порты вам нужны для нормальной работы.


Откройте страницу настройки и настройки брандмауэра маршрутизатора

Прежде чем вы сможете включить брандмауэр маршрутизатора, вам потребуется IP-адрес, чтобы перейти на страницу конфигурации. Чтобы получить адрес, откройте диалоговое окно RUN, нажав клавишу Windows + R. Введите CMD и нажмите Enter.

В командном окне введите IPCONFIG/ALL и нажмите Enter. Запишите IP-адрес, указанный рядом со шлюзом. Вам нужно будет ввести этот адрес (в виде чисел, включая точки) в адресную строку браузера, чтобы открыть страницу конфигурации маршрутизатора. Это число будет работать в большинстве случаев. Если это не работает, обратитесь в службу поддержки маршрутизатора за адрес.

Настроить межсетевой экран маршрутизатора

Это просто включение/выключение брандмауэра. Если вы установили Windows, скорее всего, операционная система уже настроила ваш маршрутизатор во время установки. Вы также можете настроить его вручную, используя браузер по своему вкусу.

Чтобы настроить межсетевой экран маршрутизатора:

1 Войдите на домашнюю страницу маршрутизатора, введя IP-адрес маршрутизатора в браузере (тот, который вы указали в предыдущем разделе; пример: 192.168.1.1)

2 Проверьте наличие параметра «Брандмауэр» на домашней странице маршрутизатора. Эта опция может быть сгруппирована под разными именами, такими как Расширенные настройки

3 Если брандмауэр деактивирован или не включен, нажмите, чтобы выбрать и активировать его

На изображении ниже показан включенный межсетевой экран на маршрутизаторе Binatone Ethernet.


Важные порты на компьютере/сети

Сохранение открытых выше портов достаточно для нормальной работы в Интернете и работы с электронной почтой. Дополнительные порты могут потребоваться в зависимости от ваших специальных потребностей программного обеспечения. В этом случае само программное обеспечение позаботится об открытии необходимого порта.

Беспроводные Bluetooth-наушники

Именно firewall зачастую становится последней стеной, которая защищает домашнюю сеть или компьютер от вредоносного межсетевого трафика и манипуляций злоумышленников с приходящими пакетами. Беспроводные сети требуют установки специального программного обеспечения, ведь используемая среда передачи данных предоставляет массу возможностей для их перехвата.

Работа межсетевого экрана

Так как роутеры получили широкое распространение не только в корпоративных сетях, но и в домашних, даже несколько ноутбуков, смартфонов, планшетов, которыми вы пользуетесь каждый день, следует дополнительно защитить. Дополнительная проверка приходящих (отправляемых) пакетов дает возможность определить, принадлежат ли они выбранному соединению.

Организация передачи данных, виды защит

При установлении соединения между несколькими пользователями на конечном устройстве открывается определенный порт, который могут использовать злоумышленники для отправки вредоносного софта. Один из наиболее удобных моментов для этой процедуры – момент завершения сессии, после которого порт остается открытым еще несколько минут.

Технология инспекции пакетов с хранением состояния (SPI) дает возможность защититься от внезапных атак с помощью проверки входящего трафика. Если активирован такой режим фильтрации на маршрутизаторе, анализу подвергаются все поступающие из сети пакеты, при этом запоминается текущее состояние сети.

Проверка пакетов проводится на их соответствие таким требованиям:

  • блоки данных имеют определенные номера;
  • информация поступает с того адреса, на который был отправлен запрос.

Если при анализе пакет признается некорректным и не соответствующим параметрам сессии, он блокируется. Отчет о данном событии фиксируется в логе и может быть впоследствии просмотрен администратором сети или пользователем с соответствующими правами.

Если исходящий компьютер заражен вирусами или на нем установлено шпионское ПО, межсетевой экран надежно блокирует все поступающие с него пакеты.

В качестве брандмауэра может использоваться аппаратное обеспечение или программные продукты. На роутерах устанавливается первый тип защиты. Современные операционные системы включают в себя встроенные программные средства, позволяющие выявлять, вовремя блокировать некорректный трафик. Но ответственные пользователи могут еще установить стороннее программное обеспечение, выполняющее функции межсетевого экрана.

Работа роутера как аппаратного брандмауэра

Своевременная установка патчей от производителей операционных систем – один из способов своевременно выявлять уязвимости портов компьютера и мобильных устройств. Но может ли маршрутизатор полностью взять на себя функции защиты домашней или корпоративной сети?

Роутер с firewall

Один из способов борьбы с вредоносным и подозрительным трафиком – организация «демилитаризованной зоны». Этот инструмент защиты обрабатывает весь объем входящих пакетов, перенаправляя данные на конкретную машину.

Принципы защиты программных брандмауэров

Такой тип межсетевого экрана играет роль стражника на компьютере, фильтруя трафик и пропуская только корректные пакеты, не вызывающие подозрений при проверке встроенными алгоритмами.

Брандмауэр ОС Windows запускается при старте системы, может тонко настраиваться самим пользователем. Такой файрвол сразу определяет, какое приложение запрашивает доступ к интернету, чтобы проанализировать его работу, заблокировать либо разрешить отправку (прием) пакетов данных.

Использовать встроенный брандмауэр Windows или устанавливать ПО стороннего производителя – дело вкуса пользователя. Но, несмотря на то, что способы фильтрации трафика каждый год совершенствуются, не менее изобретательными становятся разработчики вредоносных программ.

Сравнение аппаратного и программного брандмауэра

Аппаратный тип защиты от опасного трафика установлен на широкополосных модемах и маршрутизаторах. Такие системы определяют, можно ли доверять приходящим пакетам, IP-адресам, с которых они поступают, используемым заголовкам. Любые ссылки, имеющие признаки вредоносного ПО, блокируются и просто не попадают в домашнюю сеть. Аппаратные брандмауэры не требуют настроек, их алгоритмы работы определены производителем, защищены от постороннего вмешательства.

Современная система предотвращения вторжений:

  • быстро фиксирует вредоносную активность;
  • сигнализирует о наличии тревоги пользователю;
  • блокирует IP-адрес, с которого поступил пакет;
  • использует статистический и сигнатурный анализ для проверки протокола.

При решении о приобретении аппаратной защиты учитывается тип сети – корпоративная или домашняя, количество пользователей, ценовая политика производителей, наличие технической поддержки и автоматического обновления.

Программный брандмауэр может заблокировать не только входящие, но исходящие соединения. Поэтому если даже первая ступень защиты пройдена вредоносным софтом, в дело вступит следующий активный щит. Пользователь может настраивать правила поведения по отношению к установленным на компьютере программам и запуску новых приложений. А также определить строгие ограничения для сетевого трафика, активности браузерных приложений.

Преимущества аппаратного брандмауэра:

  • Такое оборудование поставляется отдельно от ноутбука или компьютера. Поэтому если произошло заражение машины червем, вредоносное ПО в первую очередь отключит программную защиту. И тогда только специальные аппаратные средства смогут спасти ситуацию.
  • С его помощью удается организовать централизованное управление сетевой активностью, контролировать сетевой трафик. При работе с большой сетью крупной компании можно быстрее и проще изменить настройки, которые вступят в силу для всех машин, входящих в сеть. В свою очередь, пользователи на конечных машинах не смогут по своему желанию менять политику работы с сетью.

Достоинства программного брандмауэра:

  • Аппаратные средства фильтрации защищают компьютер от вредоносного трафика, поступающего из интернета. В свою очередь, программные средства операционной системы или сторонних производителей ПО анализируют все виды трафика, в том числе, внутрисетевой. Поэтому если произошло заражение одной из машин в корпоративной сети, программный брандмауэр вовремя зафиксирует некорректное движение пакетов и защитит компьютер от атаки.
  • Программные средства дают возможность контролировать доступ каждого установленного или запускаемого приложения к глобальной сети. Наряду с постоянным анализом входящего трафика специальное ПО запросит разрешение на подключение к интернету, поступившее от приложения на вашей машине. И если вам покажется подозрительной неожиданная активность, можно будет в ручном режиме заблокировать доступ.

Нужны ли оба способа защиты?

Для пользователя домашней или корпоративной сети важно использовать хотя бы один из способов фильтрации трафика – программный или аппаратный (как вариант, встраиваемый в маршрутизатор). А для полноценной защиты можно воспользоваться достоинствами каждой из предлагаемой технологии.

Защита с firewall

При наличии аппаратного брандмауэра на роутере будет полезно задействовать и встроенные в Windows средства фильтрации трафика. А если вы хотите максимально обезопасить свою домашнюю сеть от несанкционированного доступа, воспользуйтесь несложными правилами.

1. Измените пароль доступа к маршрутизатору по умолчанию

Чтобы изменить настройки роутера, нужно зайти в его сетевой интерфейс, используя логин и пароль. Как правило, установленные по умолчанию данные указывает производитель в документации к оборудованию. Злоумышленники хорошо осведомлены о дефолтных способах доступа, поэтому обязательно укажите новые пароль, логин, чтобы снять этот тип уязвимости.

2. Защитите паролем доступ к локальной сети

В некоторых случаях пользователи оставляют доступ к сети открытым, без какого-либо типа шифрования данных, или выбирают для защиты элементарные пароли. При необходимости взлома хакеры быстро подбирают комбинации типа «12345» или «qwerty», поэтому придумайте настоящий пароль для доступа к своей сети. Для этого в него нужно включить не только буквы и цифры, но и символы.

Защита роутера паролем

3. Отключите WPS

Чтобы быстро наладить защищенную связь между беспроводными маршрутизаторами, была разработана технология Wi-Fi Protected Setup. Этот способ хорош тем, что пользователю не нужно заходить в веб-интерфейс для изменения настроек, а можно воспользоваться кнопкой на роутере.

Но такая система безопасности может быть взломана подбором вариантов, т.к. не предусматривает ограничения по количеству попыток ввода комбинаций пароля. С помощью простых утилит хакеры смогут быстро подобрать нужный пароль для WPS, а затем вычислят и параметры сетевого доступа. Поэтому сразу зайдите в админ-панель и отключите связь по Wi-Fi Protected Setup.

4. Смените имя SSID

Организованной дома или на рабочем месте беспроводной сети присваивается уникальный идентификатор SSID. Это название по умолчанию выбирает производитель, и если вы оставите его неизменным, злоумышленникам будет намного проще взломать стандартные параметры защиты. А в качестве дополнительной меры предосторожности можно выбрать опцию «Скрывать трансляцию SSID», чтобы не знающие имени сети пользователи даже не видели ее со своих устройств.

5. Измените IP маршрутизатора

Присваиваемый роутеру по умолчанию внутренний IP-адрес можно изменить, чтобы затруднить попытки несанкционированного взлома оборудования.

6. Отключите опцию удаленного администрирования

Многие домашние роутеры поддерживают доступ к своим внутренним настройкам через сеть Интернет. Но если эту возможность заблокировать, такое решение уменьшит количество возможных способов взлома оборудования извне.

7. Обновите внутреннюю прошивку

Известные производители маршрутизаторов регулярно выпускают новые версии микропрограмм, в которых исправляются обнаруженные в предыдущих версиях уязвимости. Постоянно обновляя прошивку своего оборудования, вы поддерживаете уровень защиты на необходимом уровне.

Маршрутизатор с проводами

8. Включите брандмауэр маршрутизатора

Предусмотренные производителем способы защиты сети в сочетании с программными средствами ОС значительно повышают уровень безопасности во время доступа к интернету.

9. Отключите фильтрацию по MAC-адресам

С помощью подмены одного из MAC-адресов, которые быстро сканируются хакерами, они получают еще одну лазейку в ваш компьютер.

10. Перейдите на другой DNS-сервер

Альтернативные DNS-сервера OpenDNS или Google могут автоматически блокировать опасный трафик, фишинговые запросы, атаки вирусов и попытки ботов проникнуть в сеть.

11. Установите альтернативную микропрограмму

Если заменить прошивку, установленную производителем, на написанную под заказ, вы не только сможете расширить функционал маршрутизатора, но заранее перекрыть все известные точки входа, используемые хакерами.

Читайте также: