Межсетевой экран

Внешний межсетевой экран располагается между разными компьютерными сетями. В данном примере он ограничивает сетевой доступ из Интернета (внешняя сеть; WAN) к частной (локальной, замкнутой) сети (внутренняя сеть; LAN). Он, например, пропускает (ответные) пакеты, инициированные из внутренней сети, и блокирует все остальные сетевые пакеты.

Программный межсетевой экран работает на защищаемом компьютере и ограничивает доступ к его сетевым службам. В зависимости от продукта может также, в определённых пределах, ограничивать несанкционированный доступ приложений к сети.

Межсетевой экран (англ. firewall, буквально «противопожарная стена», «преграда») — это система защиты, предназначенная для предотвращения несанкционированного доступа к компьютерной сети или отдельному компьютеру через сеть^[1]. В более широком смысле межсетевой экран рассматривается как часть общей концепции информационной безопасности^[2].

Любой тип межсетевого экрана основывается на программном компоненте. Программное обеспечение межсетевого экрана ограничивает сетевой доступ на основании источника, назначения и используемых служб. Оно анализирует проходящий через экран трафик и по заранее заданным правилам определяет, какие пакеты могут быть пропущены. Таким образом реализуется попытка заблокировать нежелательные соединения.

В зависимости от места установки программного обеспечения различают персональный межсетевой экран (другой вариант — desktop firewall) и внешний межсетевой экран (он же сетевой или аппаратный межсетевой экран). В отличие от персонального межсетевого экрана, программное обеспечение внешнего межсетевого экрана работает на отдельном устройстве, связывающем сегменты сети и одновременно ограничивающем их взаимный доступ. В этом случае термин «межсетевой экран» может означать всё устройство целиком^[3]. С точки зрения архитектуры между этими двумя видами существенные различия.

Межсетевой экран не предназначен для обнаружения атак — его задача только реализация правил коммуникации на уровне сети. Для обнаружения атак применяются модули IDS, которые могут быть интегрированы в отдельный продукт, но не входят в основной функционал экрана^[4].

Общие положения

Принцип работы удалённого доступа к компьютеру[править | править код]

Доступ к сетевой службе[править | править код]

Сетевая служба — это программа, предоставляющая доступ к ресурсам компьютера (например, файлам или принтеру) через сеть. Например, веб-страницы размещены как файлы на сервере, но доступ к ним из Интернета возможен только благодаря сетевой службе (web server), работающей на сервере. Для обеспечения связи службы используют определённый порт сетевого интерфейса («открывают порт»). Соответственно, открытый порт всегда связан с программой, способной принимать сетевые запросы.

Уязвимость в сетевой службе может быть использована для выполнения нежелательных действий на компьютере, выходящих за пределы разрешённых возможностей^[5].

Примечание: «Служба» (в Microsoft Windows — Service; в Unix — Daemon) — это программа, стартующая при каждом запуске системы и работающая вне зависимости от входа пользователя^[6]. Существуют также программы, аналогичные службам по функциональности (открывают порт), но запускающиеся только после входа пользователя. В данной статье такие программы для простоты тоже считаются сетевыми службами.

Ответ от сетевой службы к клиенту[править | править код]

Обратный путь от удалённой службы к клиенту можно также использовать для несанкционированного доступа. Например, пользователь запускает браузер, чтобы просматривать сайты в Интернете. Если в браузере есть уязвимость, то сервер Интернета может получить доступ к компьютеру пользователя, в том числе инициировать выполнение нежелательных действий. Иногда достаточно посещения вредоносной страницы — так можно скрытно установить вредоносное ПО на компьютер^[7]. Вредоносная программа может работать как сетевая служба и предоставлять удалённый доступ к ПК^[8].

Кроме того, вредоносное ПО может само устанавливать соединения с Интернетом и подключаться к управляющим серверам. Примером работы по такой схеме является ботнет — для него обратный канал обеспечивает постоянный доступ к машине.

Реализация сетевых функций в ОС[править | править код]

Для сетевой связи компьютеры используют базовые протоколы адресации и передачи данных. Ошибки в реализации сетевого стека операционной системы (или драйверов устройств) могут позволить осуществить доступ, не предусмотренный производителем. Пример такой эксплуатации — атака Ping of Death, вызывающая сбой ОС, или другие уязвимости, позволяющие внедрять и выполнять код на целевом устройстве^[9].

Функции и ограничения межсетевого экрана[править | править код]

Межсетевой экран предназначен для блокировки несанкционированного доступа к сетевым службам^[10]. При этом решения принимаются на основе адресов участников (кто имеет право на какой доступ). Обычно межсетевой экран не может предотвратить эксплуатацию уязвимости, если официальный доступ разрешён.

Аналогично, межсетевой экран не защищает от использования уязвимостей браузера, если обмен инициирован с разрешённого адреса. Поэтому рекомендуется обновлять программы для работы в сети, чтобы своевременно устранять известные уязвимости. Некоторые межсетевые экраны предоставляют дополнительные функции — например, фильтрацию опасных ActiveX-объектов внутри веб-страниц^[11]. Браузер, в этом случае, не сможет обращаться к заблокированным объектам, что исключает связанные с ними угрозы. Подобного можно достичь и средствами настроек самого браузера.

Разные типы экранов в оптимальном случае могут обратить внимание пользователя на попытку нежелательного сетевого доступа, либо даже заблокировать его — однако такие успехи зависят от методов вредоносного ПО и особенностей реализации средств защиты^[12]^[13]^[14].

Ошибки сетевой реализации ОС межсетевой экран в лучшем случае может также заблокировать.

Пределы эффективности межсетевого экрана сравнимы с ремнём безопасности в автомобиле: бывают ситуации, когда он не защищает, но польза от него очевидна, если также учитывать его ограничения.

Межсетевой экран как часть концепции безопасности[править | править код]

Только определив, от каких угроз требуется защитить данные, можно определить способы реализации такой защиты, в том числе с помощью разработки концепции безопасности. В организациях для этого, как правило, принимаются отдельные политики информационной безопасности^[15].

Межсетевой экран — лишь часть такой концепции^[2] Аналогично тому, как «пожарная безопасность» — это ряд мер, а не только сигнализация, роль межсетевого экрана может включать разные компоненты (например, поддержку DMZ), мониторинг, анализ журналов и т. д.

Фильтрация пакетов[править | править код]

Простейшая фильтрация сетевых пакетов по адресам — базовая функция любого межсетевого экрана (в TCP/IP — по портам и IP-адресам источника и назначения).

Stateful Packet Inspection[править | править код]

Т. н. «инспекция с отслеживанием состояния» — более продвинутая форма фильтрации, позволяющая точнее ограничивать доступ к уже установленным соединениям и лучше защищать внутреннюю сеть от внешних атак.

Прокси-фильтр[править | править код]

Прокси-фильтр сам устанавливает соединение с целевой системой от имени клиента и пересылает ответы последнему. Будучи полноценным участником коммуникации, может анализировать и модифицировать данные, реализовать фильтрацию для конкретных протоколов (например, HTTP, FTP) и даже кэшировать запросы.

Контент-фильтр[править | править код]

Контент-фильтр (содержательный фильтр) анализирует полезную нагрузку сетевых соединений и, например, блокирует ActiveX или JavaScript в веб-страницах, либо обнаруживает и блокирует известные вредоносные программы при загрузке файлов.

Deep Packet Inspection (глубокий анализ пакетов)[править | править код]

Глубокий анализ пакетов позволяет анализировать специфичную информацию протоколов, в том числе URL, имена файлов, содержимое, выявлять и блокировать угрозы (антивирусный анализ, предотвращение утечек). Для анализа зашифрованных данных используется SSL Deep Packet Inspection, что технически реализует Man-in-the-middle; на клиенте при этом должен быть установлен особый корневой сертификат.

Внешние проявления для пользователя[править | править код]

Межсетевой экран должен располагаться между коммуникационными партнёрами для эффективной фильтрации. Он может принимать разные режимы, в зависимости от архитектуры.

Явно видимый[править | править код]

Видимая как прокси-прокладка между отправителем и получателем, когда клиент явно обращается к прокси-фильтру за установлением соединения.

Прозрачный для одной стороны[править | править код]

Для одного из участников соединение осуществляется как будто напрямую, а маршрутизация трафика через межсетевой экран происходит незаметно, чаще всего это используется в домашних маршрутизаторах.

Полностью прозрачный[править | править код]

Здесь межсетевой экран вставлен как «невидимое» устройство между сетями (режим bridge), пропуская трафик напрямую, но с возможностью фильтрации на нижних уровнях.

Локальный[править | править код]

Локальная (персональная) версия фильтрует трафик непосредственно на компьютере пользователя, оставаясь незаметной на уровне адресации.

Правила межсетевого экрана[править | править код]

Каждое правило определяет операцию с пакетом: DROP (отбрасывание), REJECT (явный отказ), ACCEPT/ALLOW/PASS/FORWARD (разрешение, в некоторых случаях — переадресация).

Проверяемость исходного кода[править | править код]

Возможность проверки исходного кода (open source) — важный аспект безопасности: среди проприетарных персональных межсетевых экранов известны примеры скрытой передачи информации производителю.^[16]. Открытое ПО позволяет сообществу быстрее обнаруживать и устранять уязвимости. При этом открытость кода не равно бесплатности — open source и свободное ПО включают в том числе и коммерческие продукты.

Сравнение видов межсетевых экранов

Различают два основных типа: персональные (устанавливаются непосредственно на защищаемый компьютер) и внешние (физически отделённые, защищающие сегмент сети).

Различия между персональными и внешними межсетевыми экранами[править | править код]

Оба типа дополняют друг друга и не являются взаимозаменяемыми:

Внешний межсетевой экран обычно разделяет два сегмента, например, локальную сеть и Интернет. Персональный экран может фильтровать соединения и внутри локальной сети^[17].
Персональный экран на мобильных устройствах может автоматически менять правила в зависимости от используемой сети (домашняя сеть, общественный Wi-Fi и т. д.).
Внешний экран, если подключён между ПК и Интернетом, всегда закрывает доступ ко внутренним службам снаружи, защита не требует ручной настройки правил.
Однако внешние экраны зачастую неспособны выявлять попытки исходящих соединений вредоносных программ — для этого чаще используются персональные экраны. Исключением служат прокси-экраны или так называемые next-generation firewall^[18].

Персональный межсетевой экран не является ни лучше, ни хуже внешнего, но отличается по принципу функционирования и надёжности. В тех аспектах, где задачи совпадают, внешний экран надёжнее, поскольку реализован на отдельном устройстве и труднее подвержен компрометации.

Персональный межсетевой экран (также локальный межсетевой экран)[править | править код]

Персональный межсетевой экран ограничивает доступ ПК к Интернету и локальной сети.

Персональным межсетевым экраном называют программное обеспечение, устанавливаемое на самом компьютере. Его задача — ограничение несанкционированного доступа снаружи к его сетевым службам. Некоторые реализации также пытаются блокировать исходящий несанкционированный доступ приложений в сеть.

Преимущества[править | править код]

Компьютерные черви, использующие уязвимости служб, не способны заразить ПК, если служба недоступна. Персональный экран может усложнить или полностью предотвратить такой доступ^[17].

Фильтрация требуется, когда сетевые службы нужны для работы, но их доступ из сети должен быть ограничен^[19]. Доступ к ненужным службам можно вовсе закрыть посредством отключения служб^[19].

Кроме того, правила персонального экрана могут блокировать реанимированные вредоносным ПО службы. Эффекта можно добиться в случае, если тревога межсетевого экрана приводит к удалению данной службы с ПК.

Ограничения[править | править код]

Персональный экран может защитить только от ряда сетевых червей^[17], но не от иных видов вредоносного ПО. Иногда он спрашивает пользователя о неизвестных программах и предоставлении им доступа^[17] Защита эффективна только при надёжной и устойчивой работе экрана, что технически может быть сложно реализовать.^[20] Также необходима осознанность со стороны пользователя.

Некоторые реализации пытаются препятствовать несанкционированному исходящему трафику от программ, включая вредоносные — но успех зависит от способов обхода защиты вредоносным ПО^[12]^[13]^[21]. Это сравнимо с невысоким забором: помеха есть, но не преграда. На взломанном ПК защита такого рода может полностью отключиться^[22]^[23].

Для устранения угроз достаточно удаления вредоносной программы с компьютера^[24], тогда как только использование межсетевого экрана оказывается бесполезным при его отключении.

Недостатки[править | править код]

Преимущества и ограничения персонального межсетевого экрана

Программы, работающие в одной ОС, могут воздействовать на работу программного межсетевого экрана, вплоть до его отключения или деактивации (ошибкой или вредоносным воздействием), после чего доступ к сетям становится полностью незащищённым^[20]^[22]. Также возможна неумелая настройка.

Сама концепция подразумевает введение дополнительного слоя между ОС и сетью, что может привести к усложнению и увеличению уязвимостей. Практика показывает, что сложные программы чаще имеют ошибки^[25]^[26]^[27]. Более того, уязвимости межсетевого экрана могут сами становиться точкой для удалённого доступа^[28].

Персональные экраны часто содержат компоненты с расширенными правами, включая модули ядра, влияющие на работу ОС, производительность и стабильность. Возможна также скрытая передача данных производителю^[16].

Использование персонального экрана становится сомнительно, если ради нормальной работы пользователя приходится его взламывать или отключать (например, во время игр), что нивелирует весь эффект и даже создаёт ложное ощущение защищённости.

Параллельное использование нескольких экранов может вызывать конфликты и сомнительно с точки зрения выигрыша в безопасности^[20].

Альтернативы для ограничения внешнего доступа[править | править код]

Отключение ненужных сетевых служб надёжно предотвращает несанкционированный удалённый доступ (ни одна отключённая служба недоступна). Это также экономит ресурсы и ускоряет загрузку системы. Для большинства ОС есть инструменты, позволяющие просто отключать лишние службы (в том числе простые интерфейсы и скрипты)^[29].

Для полного закрытия доступа могут использоваться и отдельные маршрутизаторы, обеспечивающие изоляцию домашних сетей от Интернета.

Внешний межсетевой экран (также сетевой или аппаратный межсетевой экран)[править | править код]

Межсетевой экран между локальной сетью и Интернетом (WAN)

Внешний межсетевой экран (он же сетевой или аппаратный) защищает соединение между двумя сетями, например между домашней сетью и Интернетом.

Внешний экран защищает внутреннее пространство (LAN) от несанкционированных внешних подключений (WAN). В отличие от персонального экрана внешний может защищать и комплекс компьютеров (всю внутреннюю сеть).

Аппаратный межсетевой экран[править | править код]

Не существуют purely hardware-only экранов: все реализуют свои функции с помощью программного обеспечения. Термин hardware firewall означает отдельное устройство с установленным специальным ПО, иногда оптимизированное на уровне аппаратуры (ускорение криптографии и др.).

Преимущества[править | править код]

Прямое подключение ПК к Интернету открывает все порты для внешнего доступа. Для изоляции внешних подключений используется отдельное устройство (например, DSL-маршрутизатор с функциями межсетевого экрана). Через него проходят все подключения, он анализирует и фильтрует пакеты до передачи конечным адресатам.

Схема подключения внешнего межсетевого экрана

В таком случае внутренние ПК обращаются в Интернет через это устройство, а внешним адресатам виден только адрес самого устройства.

Вредоносные программы, устанавливающие домашние серверы внутри внутренней сети, также блокируются для входящих внешних соединений, поскольку установить службу на экран вредонос не может.

Важно правильная настройка: внутренние узлы не должны быть назначены как «Экспонированный хост» (Exposed Host) или помещены в DMZ.

Ограничения[править | править код]

Ограничения: внешний экран не контролирует трафик внутри внутренней сети, позволяет выходящие соединения, блокирует входящие извне.

В ряде домашних маршрутизаторов используется пакетная фильтрация, которая по умолчанию пропускает все соединения, инициированные изнутри, то есть препятствовать утечкам вредоносного ПО наружу аппаратный экран не может.

Для блокировки исходящих соединений некоторых приложений иногда используется встроенная персональная версия межсетевого экрана, но это, по сути, тот же принцип персонального ПО.

Конфигурирование запретов по портам (например, доступ только к портам HTTP/80 и DNS) ограниченно: вредонос может использовать разрешённые порты, как, например, порт 80, что широко используется.

Использование аутентификационного прокси для ограничения доступа к Интернету в корпоративной сети

В большей степени эти методы актуальны для корпоративных сетей.

Кроме фильтрации возможно применение специальных сигнатурных фильтров для поиска признаков вредоносной активности.

Кроме того, внешний экран не защищает от атак из внутренней сети^[30]. Известны случаи проникновения компьютерных червей через носители информации даже при полностью изолированных внешних сетях.

Не защищают простые внешние устройства и от скрытых закладок (бэкдоров), во многих случаях внедряемых спецслужбами^[31].

Недостатки[править | править код]

Если на интерфейсе к Интернету не работает ни одна служба, то внешний экран добавляет мало пользы, но способен замедлять работу из-за дополнительной обработки пакетов (хотя современные устройства обычно работают без ощутимых задержек).

Использование экрана может также создать у пользователей ложное чувство безопасности и стать причиной неосторожности.

Применение в корпоративных сетях[править | править код]

В компаниях межсетевые экраны часто используются не только на границе сети, но и для сегментирования структур (например, изолируя бухгалтерию или отдел кадров)^[32].

Технологии межсетевых экранов

Межсетевой экран может использовать разные методы для различения «разрешённого» и «запрещённого» трафика.

Пакетный фильтр[править | править код]

Пакетный фильтр анализирует адреса в заголовках каждого пакета, работает по статическим (независимым от состояния) правилам.

Сетевые адреса как основа фильтрации[править | править код]

Фильтрация может вестись по MAC-адресу (уникальный идентификатор сетевой карты), IP-адресу (адрес узла/подсети) и порту (идентификатор сетевой службы/программы).

Наиболее часто фильтрация начинается с 3 уровня OSI (IP), далее по портам (4 уровень).

Маршрутизатор с межсетевым экраном (firewall router)[править | править код]

Прототип — маршрутизатор (router) со встроенным пакетным фильтром, может работать как в NAT-режиме, так и как bridge.

Аппаратные маршрутизаторы обычно реализуют простейшую, но очень быструю фильтрацию.

OSI-модель[править | править код]

Пакетный фильтр реализует фильтрацию на уровнях 3 (IP) и 4 (порт).

Пример правила[править | править код]

Из Интернета на почтовый сервер в DMZ разрешены SMTP (25 TCP), POP3 (110 TCP) и IMAP (143 TCP).
Почтовый сервер может отправлять почту и выполнять DNS-запросы вовне.
Из локальной сети разрешены администрирование (SSH, Remote Desktop, Backup) к почтовому серверу.
Все остальные пакеты в DMZ логируются и отклоняются.

Stateful Inspection[править | править код]

Stateful Inspection использует таблицу состояний для сопоставления исходящих и входящих пакетов

Эта технология позволяет динамически анализировать соединения и теснее связывать встречные потоки данных между клиентом и сервером. В состоянии соединения разрешается только обмен с инициализированным адресатом, что препятствует атакам через обратные соединения.

Дополнительно многие фильтры могут анализировать полезную нагрузку — например, для разрешения сопутствующих соединений (активный FTP) — но не способны изменять передаваемые данные.

Этот вид фильтрации также может блокировать неинициированные (не запрошенные клиентом) входящие пакеты даже после установления соединения.

OSI-модель[править | править код]

Доступ к уровням 3, 4 и (частично) 7 OSI.

Возможные функции[править | править код]

Защита от SYN-Flood (например, син-куки)
Блокировка ошибочных пакетов (нелегальные комбинации флагов TCP)
Противодействие атакам типа Ping of Death, Smurf, Teardrop, Land и др.

Прокси межсетевой экран (Proxy firewall, application layer firewall)[править | править код]

Прокси-фильтр анализирует не только адресацию пакетов, но и их содержимое (полезную нагрузку). В отличие от «stateful inspection», прокси разбивает соединение на два автономных (от клиента и к серверу), что позволяет полноценно анализировать и изменять передаваемые данные, реализовать фильтрацию на уровне протоколов и определённых функций (например, SMTP-команды типа BDAT и VRFY)^[33]^[34].

Особый вид — circuit level proxy (генерический/адресно-портовый), способен аутентифицировать клиентов, но не анализирует протокол обмена.

См. также: Web Application Firewall.

OSI-модель[править | править код]

Прокси-экраны работают на 7-м уровне OSI («уровень приложений»).

Замечание: задача «доверять или не доверять приложениям» не входит в базовую функциональность application layer firewall — термин происходит от уровня моделей OSI, а возможность аутентификации по программам реализуется только в отдельных прокси-фильтрах.

Обход межсетевых экранов: туннелирование[править | править код]

Любая служба может быть развёрнута на любом порту. Если разрешён только, например, 80-й порт HTTP, по нему может быть организовано скрытое (туннельное) соединение для произвольных целей (с обеих сторон программы должны поддерживать это). Для противодействия подобным схемам используются application layer firewall, сравнивающие содержимое трафика с протоколом. Однако полностью заблокировать такие техники нельзя, если данные специально искажаются под корректный формат, или используются готовые инструменты туннелирования через DNS, ICMP и т. д.^[35]

Особое значение это имеет для программ, подобных Skype, умеющих пробивать большинство экранов методом туннелирования^[36]. Защита — ограничение доступа по белым спискам IP-адресов; в организациях часто действует запрет на туннелирование согласно политике безопасности.

Методы обхождения межсетевых экранов обозначаются иногда как firewall piercing^[37].

Дополнительные технологии

Системы обнаружения и предотвращения вторжений (IDS/IPS)[править | править код]

Системы IDS (Intrusion Detection System) анализируют паттерны трафика для выявления попыток вторжений и могут быть интегрированы в комплекс защиты совместно с межсетевыми экранами. IPS (Intrusion Prevention System) не только обнаруживает, но и пытается заблокировать атаку. Для сложных задач применяются отдельные аппаратные модули и высокопроизводительные процессоры — задержка обработки данных в современных системах может быть меньше 100 мкс.^[38]

Грамотная архитектура аналитики критически важна: атакующий может, используя подмену адресов, добиться блокировки нужных сервисов организации.

Прочие функции межсетевого экрана[править | править код]

Могут реализовываться:

Завершение и установка VPN
QoS (управление приоритетами трафика)
EtherChannel/агрегация портов и каналов для повышения пропускной способности

См. также

Примечания

↑ Firewall, die или der (нем.). Duden. Дата обращения: 27 января 2025. Архивировано 7 октября 2025 года.
↑ ¹ ² Michael Wächter. «Falsifikation und Fortschritt im Datenschutz». 1998. ISBN 3-428-09780-7. С. 92.
↑ «HIPAA Training and Certification: Job-Role-Based Compliance». Axo Press, Supremus Group, 2008. ISBN 978-1-4239-5899-4. С. 18.
↑ Erwin Erasim, Dimitris Karagiannis (ред.): «Sicherheit in Informationssystemen — SIS 2002». Hochschulverlag AG, 2002. ISBN 3-7281-2864-3. С. 88.
↑ Критическая уязвимость в службе RPC Windows Server (нем.), Heise Security (23 October 2008). Архивировано 12 октября 2009 года. Дата обращения: 25 июля 2025.
↑ Holger Schwichtenberg, Frank Eller. «Programmierung mit der .NET-Klassenbibliothek». 2004. ISBN 3-8273-2128-X. С. 434.
↑ Manipulierte Webseiten (нем.). Bürger CERT (21 января 2010). Дата обращения: 25 июля 2025. Архивировано 10 января 2015 года.
↑ Angriff aus dem Netz (нем.), tagesspiegel.de (31 October 2010). Архивировано 1 ноября 2010 года. Дата обращения: 25 июля 2025.
↑ Уязвимости в Cisco IOS с возможностью исполнения кода через модифицированный Ping (нем.), Heise Security (25 January 2007). Архивировано 2 октября 2012 года. Дата обращения: 25 июля 2025.
↑ Andrew Lockhart. «Netzwerksicherheit Hacks», 2-е изд. ISBN 978-3-89721-496-5. O’Reilly Verlag, 2007. С. 130.
↑ Richard A. Deal. «Cisco Pix Firewalls». 2002. ISBN 0-07-222523-8. С. 207.
↑ ¹ ² Deconstructing Common Security Myths (англ.). Microsoft TechNet Magazine (май 2006). Дата обращения: 25 июля 2025. Архивировано 7 октября 2025 года.
↑ ¹ ² ZoneAlarm im Kreuzfeuer (нем.), c’t (7 August 2006). Архивировано 16 октября 2007 года. Дата обращения: 25 июля 2025.
↑ Schutz vor Viren unter Windows: Antworten auf die häufigsten Fragen (нем.), c’t (2006). Архивировано 16 октября 2007 года. Дата обращения: 25 июля 2025.
↑ BSI Grundschutzkataloge: Entwicklung eines Konzepts für Sicherheitsgateways (нем.). BSI. Дата обращения: 25 июля 2025. Архивировано 12 января 2015 года.
↑ ¹ ² Firewall telefoniert nach Hause // com! — 2006. — № 4. — С. 12.
↑ ¹ ² ³ ⁴ G. Borges, J. Schwenk, C. Stuckenberg. «Identitätsdiebstahl und Identitätsmissbrauch im Internet». Springer Verlag, 2011. ISBN 978-3-642-15832-2. С. 61.
↑ Unternehmensperimeter (неопр.). Palo Alto Networks. Дата обращения: 25 июля 2025. Архивировано 20 апреля 2015 года.
↑ ¹ ² W. R. Cheswick, S. M. Bellovin, A. D. Rubin: «Firewalls und Sicherheit im Internet». Addison-Wesley, С. 159 и далее. ISBN 3-8273-2117-4.
↑ ¹ ² ³ Bitdefender Firewall kann unter Windows nicht aktiviert werden (нем.). Дата обращения: 25 июля 2025. Архивировано 7 октября 2025 года.
↑ Personal Firewalls, Teil2 (нем.). copton.net. Дата обращения: 25 июля 2025. Архивировано 12 февраля 2010 года.
↑ ¹ ² Сообщение об ошибке «0x8007042c» при попытке запустить Windows Firewall (нем.). support.microsoft.com. Дата обращения: 25 июля 2025. Архивировано 7 октября 2025 года.
↑ Bagle-Würmer deaktivieren Windows Firewall (нем.). winfuture.de (31 октября 2004). Дата обращения: 25 июля 2025. Архивировано 7 октября 2025 года.
↑ Jesper M. Johansson. Cleaning a Compromised System (англ.). Microsoft TechNet (7 мая 2004). Дата обращения: 25 июля 2025. Архивировано 14 сентября 2008 года.
↑ Ralf Hildebrandt. Personal Firewalls – Ein Überblick (нем.). Code Blau GmbH (21 марта 2002). Дата обращения: 25 июля 2025. Архивировано 30 августа 2015 года.
↑ Daniel Bachfeld. Критические уязвимости в Symantec Desktop Firewalls (нем.). heise online (13 мая 2004). Дата обращения: 25 июля 2025. Архивировано 7 октября 2025 года.
↑ Personal Firewalls, Teil1 (нем.). copton.net. Дата обращения: 25 июля 2025. Архивировано 15 апреля 2011 года.
↑ Daniel Bachfeld. Червь Witty проникает через уязвимость ISS (нем.). heise online (22 марта 2004). Дата обращения: 25 июля 2025. Архивировано 7 октября 2025 года.
↑ Netzwerkdienste auf einem Windows XP/2000 System deaktivieren: win32sec от dingens.org, svc2kxp.cmd от ntsvcfg.de
↑ Erwin Erasim, Dimitris Karagiannis (ред.). «Sicherheit in Informationssystemen — SIS 2002». ISBN 3-7281-2864-3. С. 88.
↑ Jacob Appelbaum, Judith Horchert, Christian Stöcker. Shopping for Spy Gear: Catalog Advertises NSA Toolbox (англ.), Der Spiegel (29 December 2013). Архивировано 5 октября 2025 года. Дата обращения: 25 июля 2025.
↑ NET.3.2 Firewall (нем.). Bundesamt für Sicherheit in der Informationstechnik (2023). Дата обращения: 25 июля 2025. Архивировано 14 мая 2023 года.
↑ IT-Grundschutz-Kataloge (нем.). download.gsb.bund.de (январь 2016). Дата обращения: 25 июля 2025. Архивировано 7 октября 2025 года.
↑ Claudia Eckert. «IT-Sicherheit — Konzepte, Verfahren, Protokolle». Oldenbourg Wissenschaftsverlag, 2009. ISBN 978-3-486-58999-3. С. 730.
↑ Xiaoyu Liu, Weixuan Mao, Anqi Wang, Zheng Li, Hui Xue, Yijing Zhang, Jianjun Lin, Xiaodu Yang, Ziqian Chen, Bo Sun (2023-05). “DNS Tunnel Detection for Low Throughput Data Exfiltration via Time-Frequency Domain Analysis”. IEEE International Conference on Communications [англ.]: 2331—2337. DOI:10.1109/ICC45041.2023.10279472. Дата обращения 2025-07-20. Проверьте дату в |date= (справка на английском)
↑ Wie Skype & Co. Firewalls umgehen (нем.), c’t (7 August 2006). Архивировано 13 октября 2009 года. Дата обращения: 25 июля 2025.
↑ Методы обхода межсетевых экранов (неопр.). Дата обращения: 25 июля 2025. Архивировано 7 октября 2025 года.
↑ SyncBot Application Notes (англ.). Trend Micro. Дата обращения: 25 июля 2025. Архивировано 13 апреля 2017 года.

Литература

Jacek Artymiak. Building Firewalls with OpenBSD and PF. 2-е изд. devGuide.net, Lublin, 2003. ISBN 83-916651-1-9.
Вольфганг Барт. «Das Firewall-Buch. Grundlagen, Aufbau und Betrieb sicherer Netzwerke mit Linux». 3-е изд. Millin-Verlag, Poing, 2004. ISBN 3-89990-128-2.
Bundesamt für Sicherheit in der Informationstechnik. «Konzeption von Sicherheitsgateways. Der richtige Aufbau und die passenden Module für ein sicheres Netz». Bundesanzeiger, Köln 2005, ISBN 3-89817-525-1.
W. R. Cheswick, S. M. Bellovin, A. D. Rubin. Firewalls and Internet Security. 2-е изд. Addison-Wesley, Boston, 2007. ISBN 978-0-201-63466-2.
Andreas Lessig. Linux Firewalls: Ein praktischer Einstieg. 2-е изд. O’Reilly, 2006. ISBN 3-89721-446-6. (Скачать исходники)
Stefan Strobel. Firewalls und IT-Sicherheit. dpunkt-Verlag, Heidelberg, 2003. ISBN 3-89864-152-X.

[1] Firewall, die или der (нем.). Duden. Дата обращения: 27 января 2025. Архивировано 7 октября 2025 года.

[Michael_Wächter_ISBN_3-428-09780-7-2] ¹ ² Michael Wächter. «Falsifikation und Fortschritt im Datenschutz». 1998. ISBN 3-428-09780-7. С. 92.

[3] «HIPAA Training and Certification: Job-Role-Based Compliance». Axo Press, Supremus Group, 2008. ISBN 978-1-4239-5899-4. С. 18.

[4] Erwin Erasim, Dimitris Karagiannis (ред.): «Sicherheit in Informationssystemen — SIS 2002». Hochschulverlag AG, 2002. ISBN 3-7281-2864-3. С. 88.

[5] Критическая уязвимость в службе RPC Windows Server (нем.), Heise Security (23 October 2008). Архивировано 12 октября 2009 года. Дата обращения: 25 июля 2025.

[6] Holger Schwichtenberg, Frank Eller. «Programmierung mit der .NET-Klassenbibliothek». 2004. ISBN 3-8273-2128-X. С. 434.

[7] Manipulierte Webseiten (нем.). Bürger CERT (21 января 2010). Дата обращения: 25 июля 2025. Архивировано 10 января 2015 года.

[Fernzugriff_trotz_FW_und_VS-8] Angriff aus dem Netz (нем.), tagesspiegel.de (31 October 2010). Архивировано 1 ноября 2010 года. Дата обращения: 25 июля 2025.

[9] Уязвимости в Cisco IOS с возможностью исполнения кода через модифицированный Ping (нем.), Heise Security (25 January 2007). Архивировано 2 октября 2012 года. Дата обращения: 25 июля 2025.

[10] Andrew Lockhart. «Netzwerksicherheit Hacks», 2-е изд. ISBN 978-3-89721-496-5. O’Reilly Verlag, 2007. С. 130.

[11] Richard A. Deal. «Cisco Pix Firewalls». 2002. ISBN 0-07-222523-8. С. 207.

[TechNet_Juni_2006-12] ¹ ² Deconstructing Common Security Myths (англ.). Microsoft TechNet Magazine (май 2006). Дата обращения: 25 июля 2025. Архивировано 7 октября 2025 года.

[c't_01-13] ¹ ² ZoneAlarm im Kreuzfeuer (нем.), c’t (7 August 2006). Архивировано 16 октября 2007 года. Дата обращения: 25 июля 2025.

[14] Schutz vor Viren unter Windows: Antworten auf die häufigsten Fragen (нем.), c’t (2006). Архивировано 16 октября 2007 года. Дата обращения: 25 июля 2025.

[15] BSI Grundschutzkataloge: Entwicklung eines Konzepts für Sicherheitsgateways (нем.). BSI. Дата обращения: 25 июля 2025. Архивировано 12 января 2015 года.

[com-4-2006-16] ¹ ² Firewall telefoniert nach Hause // com! — 2006. — № 4. — С. 12.

[ISBN_978-3-642-15832-2-17] ¹ ² ³ ⁴ G. Borges, J. Schwenk, C. Stuckenberg. «Identitätsdiebstahl und Identitätsmissbrauch im Internet». Springer Verlag, 2011. ISBN 978-3-642-15832-2. С. 61.

[PaloAlto_NGFW-18] Unternehmensperimeter (неопр.). Palo Alto Networks. Дата обращения: 25 июля 2025. Архивировано 20 апреля 2015 года.

[ISBN_3-8273-2117-4-19] ¹ ² W. R. Cheswick, S. M. Bellovin, A. D. Rubin: «Firewalls und Sicherheit im Internet». Addison-Wesley, С. 159 и далее. ISBN 3-8273-2117-4.

[BitDefender58993-20] ¹ ² ³ Bitdefender Firewall kann unter Windows nicht aktiviert werden (нем.). Дата обращения: 25 июля 2025. Архивировано 7 октября 2025 года.

[21] Personal Firewalls, Teil2 (нем.). copton.net. Дата обращения: 25 июля 2025. Архивировано 12 февраля 2010 года.

[ms_0x8007042c-22] ¹ ² Сообщение об ошибке «0x8007042c» при попытке запустить Windows Firewall (нем.). support.microsoft.com. Дата обращения: 25 июля 2025. Архивировано 7 октября 2025 года.

[winfuture_bagle-23] Bagle-Würmer deaktivieren Windows Firewall (нем.). winfuture.de (31 октября 2004). Дата обращения: 25 июля 2025. Архивировано 7 октября 2025 года.

[24] Jesper M. Johansson. Cleaning a Compromised System (англ.). Microsoft TechNet (7 мая 2004). Дата обращения: 25 июля 2025. Архивировано 14 сентября 2008 года.

[25] Ralf Hildebrandt. Personal Firewalls – Ein Überblick (нем.). Code Blau GmbH (21 марта 2002). Дата обращения: 25 июля 2025. Архивировано 30 августа 2015 года.

[26] Daniel Bachfeld. Критические уязвимости в Symantec Desktop Firewalls (нем.). heise online (13 мая 2004). Дата обращения: 25 июля 2025. Архивировано 7 октября 2025 года.

[27] Personal Firewalls, Teil1 (нем.). copton.net. Дата обращения: 25 июля 2025. Архивировано 15 апреля 2011 года.

[28] Daniel Bachfeld. Червь Witty проникает через уязвимость ISS (нем.). heise online (22 марта 2004). Дата обращения: 25 июля 2025. Архивировано 7 октября 2025 года.

[Netzwerkdienste_deaktivieren-29] Netzwerkdienste auf einem Windows XP/2000 System deaktivieren: win32sec от dingens.org, svc2kxp.cmd от ntsvcfg.de

[30] Erwin Erasim, Dimitris Karagiannis (ред.). «Sicherheit in Informationssystemen — SIS 2002». ISBN 3-7281-2864-3. С. 88.

[31] Jacob Appelbaum, Judith Horchert, Christian Stöcker. Shopping for Spy Gear: Catalog Advertises NSA Toolbox (англ.), Der Spiegel (29 December 2013). Архивировано 5 октября 2025 года. Дата обращения: 25 июля 2025.

[32] NET.3.2 Firewall (нем.). Bundesamt für Sicherheit in der Informationstechnik (2023). Дата обращения: 25 июля 2025. Архивировано 14 мая 2023 года.

[33] IT-Grundschutz-Kataloge (нем.). download.gsb.bund.de (январь 2016). Дата обращения: 25 июля 2025. Архивировано 7 октября 2025 года.

[34] Claudia Eckert. «IT-Sicherheit — Konzepte, Verfahren, Protokolle». Oldenbourg Wissenschaftsverlag, 2009. ISBN 978-3-486-58999-3. С. 730.

[dns_tunnel-35] Xiaoyu Liu, Weixuan Mao, Anqi Wang, Zheng Li, Hui Xue, Yijing Zhang, Jianjun Lin, Xiaodu Yang, Ziqian Chen, Bo Sun (2023-05). “DNS Tunnel Detection for Low Throughput Data Exfiltration via Time-Frequency Domain Analysis”. IEEE International Conference on Communications [англ.]: 2331—2337. DOI:10.1109/ICC45041.2023.10279472. Дата обращения 2025-07-20. Проверьте дату в |date= (справка на английском)

[skype_tunnel-36] Wie Skype & Co. Firewalls umgehen (нем.), c’t (7 August 2006). Архивировано 13 октября 2009 года. Дата обращения: 25 июля 2025.

[37] Методы обхода межсетевых экранов (неопр.). Дата обращения: 25 июля 2025. Архивировано 7 октября 2025 года.

[38] SyncBot Application Notes (англ.). Trend Micro. Дата обращения: 25 июля 2025. Архивировано 13 апреля 2017 года.

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]

[11]

[12]

[13]

[14]

[15]

[16]

[17]

[18]

[19]

[20]

[21]

[22]

[23]

[24]

[25]

[26]

[27]

[28]

[29]

[30]

[31]

[32]

[33]

[34]

[35]

[36]

[37]

[38]