Сергей Супрунов

Среди начинающих системных администраторов зачастую бытует мнение, что файервол способен решить многие (если не все) проблемы безопасности любого компьютера – от настольной машины до выделенного сервера DNS, и потому его использование обязательно. Как следствие – поголовная «файерволизация» всех систем без исключения... На самом деле файервол – это всего лишь специализированная подсистема, решающая строго определённые задачи.

Узел противоречий, или Замечание о терминах

На российских IT-просторах «имеют хождение» несколько терминов, обозначающих предмет нашего сегодняшнего разговора: файервол (в различных синтаксических начертаниях), брандмауэр (наивная попытка перевести английский термин firewall наиболее подходящим «отечественным» словом), пакетный фильтр, межсетевой экран.

Зачастую они используются как синонимы, хотя при дотошном рассмотрении можно найти некоторые тонкости по смыслу между ними. Иногда в эту же плеяду добавляется термин «бастион».

Ну, файервол и брандмауэр – по сути, одно и то же (см. врезку «Для справки: брандмауэр»), а смысла для русскоговорящих людей они не несут никакого – весь смысл закладывается исключительно разношёрстными определениями. (Можно проследить некоторую тенденцию термином «файервол» именовать программный пакетный фильтр, а словом «брандмауэр» – аппаратный межсетевой экран или выделенный компьютер-шлюз, выполняющий функции МСЭ. Впрочем, тенденция довольно слабенькая.) А вот словосочетания «пакетный фильтр» и «межсетевой экран» уже обладают и определёнными лексическими значениями, на основе которых можно найти некоторые различия этих терминов.

Очевидно, что межсетевой экран (МСЭ, иногда просто МЭ) – это экран между сетями, ограничивающий доступность одной сети из других. В основном МСЭ применяется для ограничения доступа в локальную сеть предприятия из Интернета (а также в обратную сторону).

Из термина же «пакетный фильтр» (ПФ) следует, что задача оного – фильтрация отдельных пакетов (как правило, речь идёт о пакетах стека TCP/IP). Поскольку межсетевое экранирование частенько ограничивается фильтрацией пакетов на шлюзе между сетями, то термины МСЭ и ПФ нередко используются как синонимы. Но нужно иметь в виду, что фильтровать пакеты можно не только между сетями, а межсетевое экранирование может осуществляться и на основе других принципов (например, с помощью прокси-сервера или технологии NAT). Кроме того, понятие МСЭ в широком смысле охватывает все уровни сетевой модели OSI, в то время как зона действия ПФ обычно ограничивается сетевым и транспортным уровнями (иногда «дотягиваясь» до канального и прикладного).