Как работает брандмауэр: фильтрация пакетов от маршрутизатора до государства

Представьте, что ваш компьютер хочет получить веб-страницу. Данные должны пройти через множество сетей, чтобы добраться до сервера и вернуться обратно. На каждом этапе они могут встретить брандмауэр — устройство или программу, которая решает: пропустить эти данные или заблокировать? Это звучит просто, но внутри скрывается несколько слоёв логики, каждый из которых работает по-своему. Что такое брандмауэр на самом деле Брандмауэр — это фильтр между двумя сетями. Его основная задача: смотреть на каждый пакет данных (небольшой кусочек информации, отправляемый по сети) и решать, разрешить ему пройти или нет. Слово «брандмауэр» пришло из архитектуры — это огнестойкая стена, которая останавливает распространение огня. В сети он работает похоже: создаёт границу и контролирует, что через неё проходит. Ваш домашний маршрутизатор содержит встроенный брандмауэр. Операционная система вашего компьютера (Windows, macOS, Linux) тоже имеет собственный брандмауэр. В больших компаниях стоят мощные специализированные брандмауэры. И даже страны используют брандмауэры, хотя и намного более сложные и масштабные. Почему нужны правила: порты и IP-адреса Чтобы фильтровать трафик, брандмауэр должен на что-то смотреть. Самый простой уровень — это информация в заголовке пакета: откуда он пришёл (IP-адрес отправителя), куда идёт (IP-адрес получателя) и к какому порту обращается (номер от 0 до 65535, который определяет сервис — например, 80 для веб-сайтов, 25 для электронной почты). Представьте почтовый адрес на конверте. IP-адрес — это адрес здания. Но в одном здании работает множество офисов. Номер порта — это номер конкретного офиса. Брандмауэр может сказать: «Письма для офиса 80 (веб) пропускаю, письма для офиса 22 (удалённый доступ) блокирую». Простой брандмауэр работает только так. Он смотрит на адреса и порты, сравнивает с заранее составленным списком правил и принимает решение. Это быстро и эффективно, но имеет ограничения. Например, он не может различить легитимный веб-трафик от вредоносного, потому что оба используют порт 80. Проблема простого подхода и появление отслеживания соединений В интернет-общении происходит диалог. Ваш компьютер отправляет запрос на сервер, и сервер отправляет ответ назад. Простой брандмауэр не помнит, что вы инициировали соединение, поэтому он должен либо разрешить весь входящий трафик на порт 80 (небезопасно), либо блокировать большинство входящих соединений (неудобно). Здесь появляется идея отслеживания состояния соединения (stateful inspection). Брандмауэр запоминает: «Компьютер 192.168.1.100 только что отправил запрос на port 443 к серверу 8.8.8.8. Когда ответ придёт от 8.8.8.8, я его пропущу». Он ведёт таблицу открытых соединений, как записная книжка активных разговоров. Это намного умнее. Брандмауэр может теперь разрешить входящий трафик, только если он является частью соединения, которое было инициировано внутри. Домашний маршрутизатор и брандмауэр операционной системы вашего компьютера работают именно так. Прослойка приложений: когда брандмауэр разбирается в содержимом Но остаётся проблема. Два пакета могут использовать один и тот же порт 443 (HTTPS — зашифрованный веб), но один содержит банковское приложение, а другой — потенциально вредоносное. Простое отслеживание соединений не может их различить. Здесь вступает брандмауэр уровня приложений (application-layer firewall). Он не только смотрит на адреса и порты, но и анализирует содержимое пакетов. Он может понимать HTTP, HTTPS, DNS, электронную почту и другие протоколы. Например, он может проверить: «Это действительно веб-запрос или что-то маскирующееся под веб-запрос?» Такие брандмауэры мощнее, но требуют больше вычислительной мощности. На домашнем маршрутизаторе их обычно нет. В крупных компаниях и в государственной цензуре (например, в системах, фильтрующих интернет на уровне страны) они используются широко. Национальные брандмауэры и анализ глубокого пакета Когда мы говорим о цензуре интернета на уровне государства, мы говорим об огромном брандмауэре, который совмещает все три подхода. Он отслеживает миллиарды соединений одновременно, анализирует содержимое пакетов в поиске ключевых слов или паттернов, и может даже распознавать VPN-трафик или использование прокси-серверов. Эта техника называется DPI — Deep Packet Inspection (анализ глубокого пакета). Она позволяет не просто фильтровать по адресам, но и смотреть на то, какие данные передаются, и блокировать их на основе содержимого. Одна важная оговорка: даже мощный государственный брандмауэр имеет ограничения. Если данные зашифрованы правильно, даже анализ глубокого пакета не может увидеть содержимое. Он может заметить, что трафик идёт, но не знает, что там внутри. Некоторые системы справляются с этим, блокируя весь шифрованный трафик определённого вида или пытаясь перенаправить трафик через мониторуемый канал. К чему нужно перейти после этого Теперь вы знаете, как брандмауэры работают на разных уровнях. Следующий логичный шаг — понять, как шифрование защищает ваши данные от анализа, как работают DNS-запросы и почему они уязвимы для фильтрации, и как построены VPN и другие системы для обхода цензуры. Брандмауэр — это только одна часть ландшафта контроля и безопасности сети.