Кратко: Firewall (сетевой экран, брандмауэр) — это система, фильтрующая трафик между сетями по заданным правилам. В переводе с немецкого Brandmauer — «стена, останавливающая огонь». За 35+ лет он эволюционировал от простого «пропустить/заблокировать порт» до умного помощника с ИИ, который видит, чем занимается пользователь, и блокирует ещё неизвестные миру угрозы.

▫️Как дошли до жизни такой · Конец 1980-х — Рождение «пакетных фильтров» (Packet Filtering). Смотрели на IP-адреса и порты, не вникая в содержимое · 1990-е — Появление Stateful Inspection (отслеживание состояния соединений) и прокси-серверов · 2000-е — NGFW (Next-Generation Firewall) начинают смотреть внутрь пакетов, распознавать приложения (HTTP, FTP, BitTorrent) · 2010-е — Облачные firewall'ы, интеграция с IPS (системами предотвращения вторжений) · 2020–2026 гг. — ИИ-движки, поведенческий анализ, фабрики безопасности как услуга (FWaaS)

▫️Как работает (три поколения) Первый: Пакетная фильтрация Правила вида: «пропустить входящий трафик на 80-й порт, но только с IP 1.2.3.4». Простой, быстрый, но легко обмануть (подменить порт или фрагментировать пакет). Живёт в ядре Linux как iptables/nftables. Второй: Stateful Inspection (с отслеживанием состояния) Помнит, кто инициировал соединение. Если вы открыли сайт, ответы от сервера пропустятся автоматически, а попытка зайти к вам извне — заблокируется. Стандарт для современных корпоративных firewall'ев. Третий: NGFW (Next-Generation Firewall) Смотрит не на порты, а на приложения. Блокирует «не-SSL» внутри 443-го порта, распознаёт Telegram в трафике даже на нестандартном порту. Использует IPS, антивирус, песочницу и машинное обучение для выявления аномалий.

▫️Зачем нужен дома · Входящие подключения — скрыть ваш компьютер от сканеров хакеров в интернете · Исходящий контроль — не дать трояну отправить пароли на сервер в даркнете · Родительский контроль — заблокировать сайты 18+ или соцсети в учебное время

▫️Зачем нужен в бизнесе · Разделение сегментов — бухгалтерия не должна видеть сервер разработчиков, а гости офиса — внутреннюю сеть · Защита периметра — только нужные порты открыты наружу (обычно 80/443 для веб-сервера, 22 для SSH-админов) · Контроль сотрудников — нельзя заливать код на GitHub, нельзя смотреть YouTube в рабочее время (если политика запрещает)

▫️Культурный феномен · «Закрой 22-й порт» — мантра любого безопасника: запретить SSH из интернета по паролю · Правила сверху вниз — «разрешить всё, что не запрещено» против «запретить всё, что не разрешено». Второе безопаснее · NGFW vs DPI — Deep Packet Inspection заглядывает внутрь пакетов (как вокзальный сканер), NGFW понимает контекст приложения

▫️Современное положение (2026) Корпоративный — NGFW с подписками на обновление сигнатур угроз, интеграцией с SOAR и SIEM. Лидеры: Palo Alto, Fortinet, Check Point. Облачный — Firewall как услуга (FWaaS) от Zscaler, Cloudflare, AWS Network Firewall. Поток трафика сначала идёт в облачный фильтр, потом к серверу. Домашний — большинство роутеров имеют SPI firewall (Stateful). Дополнительно можно настроить блокировку стран или DNS-фильтрацию (AdGuard). Российский рынок — UserGate, «Континент-4», ViPNet Coordinator. Сертифицированные ФСТЭК для госорганов и критической инфраструктуры. Бесплатные решения — pfSense (Open Source на базе FreeBSD), OpenWrt (на Linux-роутерах), iptables/nftables для продвинутых пользователей.

#firewall #брандмауэр #сетеваябезопасность #ngfw #iptables #pfSense #кибербезопасность