Что такое брандмауэр веб-сайта? Объяснение WAF и других брандмауэров

Если у вас есть сайт, вы должны его защитить. Как и персональные компьютеры, веб-серверы и работающее на них программное обеспечение постоянно исследуются и подвергаются атакам со стороны хакеров. Из-за этого важно не допускать хакеров и другого вредоносного трафика на ваш сайт. И вот здесь в дело вступает брандмауэр приложений веб-сайта или WAF. Мы можем назвать его «брандмауэром веб-сайтов», чтобы упростить его.

Что такое брандмауэр веб-сайта?

Короче говоря, брандмауэр веб-сайта — это фильтр безопасности между компьютером или сервером и остальным миром. Хакеры-злоумышленники зарабатывают на жизнь, взламывая небезопасные серверы. Широко используемые веб-приложения, такие как WordPress и другие популярные системы управления контентом, создают большую поверхность для атак. Вот почему для вас так важно защитить свой сайт WordPress.

Полезной линией защиты от угроз безопасности является брандмауэр веб-сайта.

Существует довольно много различных типов брандмауэров, поэтому вам нужно убедиться, что вы используете лучшее решение. В этом руководстве мы обсудим различные типы брандмауэров. Мы объясним, зачем он нужен для защиты вашего сайта WordPress и как его настроить.

Давайте погрузимся.

Думайте о брандмауэре как об огромных воротах безопасности для вашего сайта.

Что делает брандмауэр веб-сайта?

Каждый раз, когда вы заходите на веб-сайт, вы подключаетесь к другому компьютеру, называемому веб-сервером. Веб-серверы так же подвержены вредоносным атакам, как и любой другой компьютер.

Небезопасно подключаться к чужому или неизвестному устройству напрямую без защитного слоя между ними. Небезопасное соединение может позволить хакерам заразить подключенное устройство вредоносным ПО.

Они могут даже запустить полномасштабную атаку распределенного отказа в обслуживании (DDoS) на веб-сервер, который принимает каждый отправленный ему запрос. Миллион неверных запросов в минуту не проникнут на ваш сайт, но они могут перегрузить ваш сервер и вывести ваш сайт из строя. Если у вас есть брандмауэр, который распознает плохие запросы и поддельный трафик, он будет блокировать их и обслуживать только законные запросы от реальных людей, которые хотят просматривать ваш сайт.

Вот почему брандмауэр так важен. Брандмауэры стоят между вашим сайтом и всеми другими устройствами, которые пытаются к нему подключиться. В случае вашего веб-сервера ваш хост использует брандмауэры в качестве фильтров, стоящих между вашим сервером и сотнями, тысячами или даже миллионами соединений с другими устройствами каждый день. В случае вашего веб-сайта программный брандмауэр веб-сайта, добавленный в WordPress, добавит еще один уровень защиты, которым вы можете управлять.

Как работает брандмауэр веб-сайта?

Брандмауэр отслеживает исходящий и входящий трафик, постоянно сканируя его на наличие признаков взлома или других вредоносных действий. Когда он обнаруживает что-то необычное, брандмауэр не дает ему достичь места назначения.

Думайте о брандмауэре веб-сайта как об огромном фильтре для вашего веб-сервера.

Когда в начале 1990-х впервые появились сетевые брандмауэры, они представляли собой простые анализаторы пакетов, которые могли блокировать только входящий трафик, используя очень небольшой набор правил. На самом деле хакерам было довольно легко их обойти.

Сегодня брандмауэры превратились в сложные программы, которые отлично мешают хакерам достигать своих целей. С учетом большого количества попыток взлома, происходящих ежедневно, аппаратные брандмауэры являются ключевой функцией сетевых маршрутизаторов, коммутаторов и веб-серверов. Хороший хозяин позаботится обо всем этом за вас. Но вы несете ответственность за обслуживание своего веб-сайта, и настройка брандмауэра для него закроет эти другие уровни безопасности.

Нужен ли мне брандмауэр на моем сайте?

Действительно ли брандмауэр необходим для вашего сайта? Он вам действительно нужен?

Нет, вам абсолютно не нужен брандмауэр, работающий на вашем веб-сайте как часть плагина или надстройки функции безопасности WordPress, когда вместо этого вы можете использовать внешний облачный WAF.

Да, вы обязательно выиграете от брандмауэра, работающего перед вашим веб-сайтом как часть облачной платформы WAF или брандмауэра как услуги, такой как Cloudflare или Sucuri.

Каждый веб-сайт столкнется с проблемами производительности, если ему придется размещать WAF и выполнять работу по фильтрации входящих запросов, а также отвечать на них, получать доступ к базам данных, отображать страницы, управлять кэшированным содержимым и обеспечивать работу приложений для управления содержимым и электронной коммерции.

Если вы не используете надежный управляемый хостинг WordPress, более высокий риск и бремя ответственности за безопасность ложится на вас, владельца веб-сайта, и производительность вашего сервера может быть не идеальной. В этом случае облачный WAF — очень практичный выбор. (Мы рекомендуем Liquid Web и Nexcess для хостинга WordPress, а также Cloudflare и Sucuri для их облачных сервисов WAF.)

Вы чувствуете себя счастливым?

Никто не ошибется с большей безопасностью, но некоторые веб-сайты могут получить больше преимуществ от брандмауэра веб-сайта, чем другие. Если вы ведете бизнес на своем веб-сайте, храните конфиденциальные данные клиентов и личную информацию, вы можете быть более мишенью, а также нести большую ответственность. Ставки выше для вас, чтобы защитить свой сайт, поэтому вы должны рассмотреть все способы, которыми вы можете усилить свою безопасность.

Если бы хакеры захватили или уничтожили ваш сайт, вы бы были опустошены? Если это так, брандмауэр веб-сайта добавит вам спокойствия вместе с качественным хостингом.

Что может пойти не так?

Когда дело доходит до веб-серверов, когда хакер проникает через них, он может быстро испортить весь ваш сайт. Они могут внедрить вредоносное ПО, которое заразит посетителей вашего сайта, изменить пароли администратора WordPress, чтобы заблокировать вас, или полностью отключить ваш сайт.

Если на вашем сайте нет брандмауэра, он может быть уязвим для DDoS-атак. В этом типе атаки злоумышленник отправляет тысячи (или миллионы) поддельных пакетов данных, которые перегружают ваш сервер и выводят из строя ваш веб-сайт.

Помимо DDoS-атак, брандмауэр веб-сайта защитит ваш сайт от:

1. Вторжения — брандмауэр веб-сайта предотвращает доступ неавторизованных пользователей к вашему веб-сайту. Когда хакер взламывает ваш сайт, предел вреда, который он может ему нанести, — небо.
2. Вредоносное ПО . Злоумышленники, проникшие на ваш сервер, чаще всего заражают его вредоносными программами. Они создают вредоносное ПО для кражи личной и личной информации, распространения на другие устройства и нанесения ущерба компьютерам.
3. Атаки методом грубой силы — атаки методом грубой силы — это попытки взлома, когда злоумышленник пытается использовать тысячи комбинаций имени пользователя и пароля, чтобы попытаться взломать учетную запись администратора вашего сайта WordPress и другие учетные записи пользователей. Как и DDoS-атаки, хакеры используют ботнеты для проведения атак методом грубой силы. Ботнеты могут тестировать сотни различных комбинаций входа в систему каждую минуту, пока не добьются успеха.

Типы брандмауэров: где они установлены

Как мы уже говорили, существует несколько различных типов брандмауэров. Каждый из них предназначен для конкретной ситуации. Некоторые из них отлично подходят для персональных компьютеров. Другие брандмауэры специально разработаны для сетевой фильтрации. Брандмауэры веб-сайтов защищают веб-сайты как последнюю линию обороны после других типов брандмауэров.

Брандмауэры лучше всего классифицировать с точки зрения того, где они могут быть развернуты, что они делают и как они это делают.

Каждый тип брандмауэра расположен или установлен в уникальном месте в сети или на вычислительном устройстве. Они могут быть встроены в оборудование. Они могут быть упакованы в виде программного обеспечения, которое вы можете установить на свой компьютер, или в веб-приложении, таком как WordPress. Каждый тип брандмауэра имеет свои особенности. Существует также множество методов, которые брандмауэры используют для фильтрации различных типов трафика.

Мы кратко рассмотрим основные категории, типы и методы брандмауэров, чтобы дать вам общее представление о них. Мы обсудим, чем отличаются брандмауэры и как они связаны, чтобы понять, где вписывается брандмауэр веб-сайта для WordPress.

Разница между аппаратными и программными брандмауэрами

Все брандмауэры являются программными, но некоторые из них встроены в аппаратные устройства, такие как маршрутизаторы и сетевые коммутаторы. Они могут быть доступны только для чтения и неизменяемы или требовать обновлений, которые изменяют программное обеспечение, хранящееся во флэш-памяти или других энергонезависимых перезаписываемых микросхемах памяти. Подобные брандмауэры считаются аппаратными брандмауэрами.

Программный брандмауэр — это автономное приложение, работающее поверх аппаратного обеспечения вычислительного устройства. Он может быть частью операционной системы или работать поверх операционной системы, например, приложение персонального брандмауэра, о котором мы поговорим ниже.

Программный брандмауэр может работать поверх операционной системы веб-сервера и служить сетевым брандмауэром для многих других веб-серверов в сочетании с сетевыми аппаратными брандмауэрами.

Программный брандмауэр может быть добавлен как компонент системы управления контентом, например WAF для WordPress. Брандмауэр в WordPress стоит высоко в стеке технологий с операционной системой и промежуточным программным обеспечением между вашим сайтом и базовым оборудованием. Как мы видели, это пример брандмауэра веб-приложения.

Аппаратные и программные брандмауэры: преимущества и недостатки

Аппаратные брандмауэры обеспечивают те же функциональные возможности, что и программные брандмауэры, но они работают выше по течению в вашей сети, опережая ваши вычислительные устройства и веб-серверы, на которых размещен ваш сайт. Они встроены в гораздо более глубокий уровень вашего стека технологий.

Даже если вы не знаете об этом, у вас есть аппаратный брандмауэр, расположенный на вашем интернет-маршрутизаторе. Хотя он немного отличается от выделенных аппаратных брандмауэров, он обеспечивает аналогичные функции мониторинга и безопасности.

Обновления и адаптивность

Программные и аппаратные брандмауэры стоят между вашими устройствами и остальным миром, где они могут анализировать все запросы на подключение и блокировать плохие. Программный брандмауэр можно обновить, чтобы повысить его эффективность и реагировать на новые потоки. Аппаратные брандмауэры сложнее обновлять.

Иногда сетевому оборудованию требуются обновления для исправления ошибок и исправления уязвимостей, но это редкая и сложная задача, если у вас нет группы поддержки сети. Это также причина, по которой старое сетевое оборудование менее безопасно. Хакеры придумали, как это использовать. Вы полагаетесь на то, что ваш хостинг-провайдер будет поддерживать для вас их аппаратную инфраструктуру — еще одна причина не экономить.

Аппаратные брандмауэры имеют некоторые недостатки, подобные этому. Поскольку их довольно сложно обновлять и требуется постоянное обслуживание для обеспечения их безопасности, им требуется ИТ-поддержка в любой серьезной бизнес-сети. Домашние и многие сети малого бизнеса, как правило, плохо настроены и небезопасны.

Доступность и производительность

Кроме того, аппаратные брандмауэры могут вызвать проблемы со скоростью и производительностью, поскольку они проверяют и фильтруют сетевой трафик. Это особенно верно, когда они используются вместе с программными брандмауэрами. Вы можете получить более высокий уровень безопасности за счет совместной работы нескольких брандмауэров, но если все они имеют сложные правила, это может сказаться на пропускной способности — скорости передачи данных по сети.

Кроме того, большинство аппаратных брандмауэров не предназначены для блокировки или ограничения отдельных пользователей и устройств. Этого обычно нет в их наборе функций.

Если у вас большая сеть, аппаратные брандмауэры могут легко защитить всю сеть и будут продолжать работать, даже если сеть скомпрометирована. Программные брандмауэры гораздо сложнее настроить в большой сети, и их легко отключить, если хакер сможет взломать систему. Хакеры обычно не могут отключить аппаратный брандмауэр.

Программные брандмауэры предназначены для того, чтобы быть более удобными для людей, которые могут не быть техническими экспертами. Эти брандмауэры предлагают функции для блокировки определенных приложений, управления пользователями устройств, создания журналов и мониторинга пользователей в сети. Их намного сложнее настроить в сети, но когда они установлены на нескольких устройствах, они дают вам больше контроля, чем аппаратные брандмауэры.

Типы брандмауэров: разные методы, которые они используют

Программное обеспечение брандмауэра постоянно развивается, и со временем появляются различные методы для решения различных задач и ситуаций.

Сегодня у нас есть почти дюжина основных типов брандмауэров, определяемых методами, которые они используют для вашей защиты. Это брандмауэры с фильтрацией пакетов, шлюзы на уровне каналов, шлюзы на уровне приложений или прокси-брандмауэры, брандмауэры с многоуровневой проверкой состояния (SMLI), брандмауэры нового поколения (NGFW), включая NGFW, ориентированные на угрозы, брандмауэры преобразования сетевых адресов (NAT), облачные брандмауэры и брандмауэры унифицированного управления угрозами (UTM).

Мы рассмотрим только три из них, которые представляют старую, более простую технологию брандмауэра и новейшие, наиболее передовые разработки в области сетевой фильтрации.

Брандмауэры с фильтрацией пакетов

Этот тип межсетевого экрана был одним из первых, когда-либо разработанных. Это также самый простой вид брандмауэра.

Пакеты — это обмен данными между сервером и компьютером. Например, когда вы загружаете файл, отправляете электронное письмо или нажимаете на ссылку, вы отправляете пакет на сервер. Когда ваше устройство загружает веб-страницу, сервер отправляет вам пакет обратно.

Брандмауэры с фильтрацией пакетов анализируют пакеты и блокируют их, если они нарушают некоторые предопределенные правила. Они могут блокировать пакеты, которые приходят с IP-адреса или определенного сервера, или пакеты, которые пытаются достичь определенных серверов.

К сожалению, хакерам довольно легко обойти брандмауэры с фильтрацией пакетов. Они не могут применять какие-либо расширенные правила. Если он настроен на разрешение доступа через заданный порт, брандмауэр пропустит что угодно. Даже тот трафик, который современным брандмауэрам будет известен как незаконный, будет проходить без остановки.

С другой стороны, брандмауэры с фильтрацией пакетов чрезвычайно просты и не влияют на производительность. Они не сохраняют журналы, не проверяют трафик и не выполняют расширенные функции. Но сегодня эти брандмауэры не предназначены для использования в качестве основного источника защиты.

Брандмауэр с отслеживанием состояния

Брандмауэры с отслеживанием состояния были введены после простых брандмауэров с фильтрацией пакетов. Идея была революционной для того времени. Вместо того, чтобы анализировать пакеты, когда они приходят, и блокировать некоторые из них с помощью простых правил, брандмауэр с отслеживанием состояния может использовать более динамические правила блокировки, а также отслеживать пакеты, проходящие через сеть.

В то время как простые брандмауэры с фильтрацией пакетов блокируют трафик только на основе статических предопределенных правил, брандмауэр с отслеживанием состояния обнаруживает и блокирует плохой трафик, определяя пользовательские шаблоны и используя другие более сложные методы.

Единственным недостатком брандмауэра с отслеживанием состояния является то, что он использует больше ресурсов, чем его более простой аналог. Но это решение, которому можно доверять.

Межсетевые экраны нового поколения

Наконец, у нас есть NGFW или межсетевой экран следующего поколения. Это недавнее изобретение, которое породило нынешнее поколение технологий безопасности и веб-серверов. NGFW — это корпоративные инструменты, которые объединяют множество методов брандмауэра в одно решение. Обычно они основаны на облаке или являются частью платформы Firewall-as-a-Service. Таким образом Cloudflare и Sucuri предлагают облачные функции WAF через свои платформы Software-as-a-Service (SaaS).

Некоторые из сетевых функций, которыми обладают NGFW, включают мониторинг приложений, предотвращение вторжений, а также глубокую проверку и фильтрацию пакетов. Они могут знать о других приложениях в сети, которые они защищают, и иметь возможность контролировать их. Они также могут быть обновлены с помощью новой информации об угрозах, чтобы реагировать на последние и возникающие опасности.

Типы брандмауэров, которые вы будете использовать чаще всего

Если вы не являетесь сетевым администратором или не тратите время на настройку маршрутизатора или точки беспроводного доступа в своем доме, маловероятно, что вы когда-либо будете часто контактировать с аппаратными брандмауэрами. Самые удобные и доступные брандмауэры, которые вы, вероятно, будете использовать, работают на вашем компьютере или веб-сайте. Это персональные брандмауэры и брандмауэры веб-приложений.

Персональные брандмауэры

Персональные брандмауэры используются на одном компьютере. Это тип брандмауэра, который встроен в предустановленную систему на macOS, Windows и многих компьютерах с Linux или в сторонних антивирусных решениях, а также может содержать индивидуально настраиваемый брандмауэр.

Персональные брандмауэры во многом похожи на серверные брандмауэры. Они отклоняют или разрешают подключения из внешних приложений, IP-адресов и устройств на основе предопределенных правил. Но в своем функционировании персональный брандмауэр действует несколько иначе, чем серверный брандмауэр.

Персональные брандмауэры будут:

• Защитите все порты компьютера, которые подключаются к онлайн-приложениям или веб-сайтам.
• Остановите атаки, которые пытаются проникнуть в сеть.
• Не позволяйте злоумышленникам завладеть вашими личными устройствами или получить к ним доступ.
• Анализировать весь исходящий и входящий трафик на наличие подозрительной активности.

Кроме того, они являются брандмауэрами приложений, которые отслеживают активность приложений на вашем устройстве. Эффективный персональный брандмауэр не разрешает соединения с неизвестным или небезопасным программным обеспечением.

Персональные брандмауэры просты в использовании. Если вы используете Windows 10, персональный брандмауэр запускается автоматически.

Пользователям macOS для защиты необходимо включить персональный брандмауэр. Все, что вам нужно сделать на своем компьютере, это перейти в Системные настройки >> Безопасность и конфиденциальность >> Брандмауэр.

Большинство антивирусных программ также поставляются с брандмауэром. Одним из примеров является Avast Antivirus.

Вы можете купить персональные брандмауэры, но они, как правило, конфликтуют с настройкой большинства машин по умолчанию и не так полезны, как до того, как они появились в компьютерных операционных системах.

Веб-приложения и брандмауэры приложений

Брандмауэры веб-приложений и приложений представляют собой наиболее развитую и динамичную систему защиты брандмауэров на сегодняшний день.

Традиционный сетевой брандмауэр будет контролировать только общий сетевой трафик. Он будет изо всех сил пытаться или не сможет обнаружить трафик, который приходит и уходит из-за изменения приложений, служб и другого программного обеспечения, используемого в сети.

Брандмауэры приложений были разработаны для обнаружения попыток вторжения, которые исследуют и используют уязвимости в сети или в приложении. Они встроены в точки беспроводного доступа и оборудование маршрутизатора. Это программное обеспечение, связанное с операционными системами, или программное обеспечение безопасности, разработанное для конкретных операционных систем.

Брандмауэры сетевых приложений используются для установки ограничений для пользователей, для родительского контроля, такого как система Apple Family Sharing. Многие организации используют их для блокировки доступа к определенным веб-сайтам и приложениям.

Брандмауэр веб-приложений работает очень похоже на другие брандмауэры приложений. Что отличает его, так это то, что он работает в приложении, которое защищает, и предназначен для него. WAF ориентирован на безопасность только одного веб-приложения — вашего.

Брандмауэры для WordPress: что нужно знать

Если вы хотите защитить себя и свой сайт WordPress, вам нужен брандмауэр, который удерживает хакеров снаружи.

Когда дело доходит до персонального брандмауэра на вашем компьютере, вам обычно не нужно устанавливать свой собственный. Встроенные брандмауэры в современных операционных системах работают достаточно хорошо и не требуют дополнительной настройки. Когда они соединены с брандмауэром приложений, основанным на антивирусном программном обеспечении, и фильтром пакетов вашего маршрутизатора, ваши личные устройства должны быть защищены от взлома и получения доступа ко всем вашим онлайн-аккаунтам.

Но как насчет вашего сайта WordPress?

Сочетание брандмауэра с iThemes Security Pro

Это совсем другая история. Веб-сайты могут быть атакованы непосредственно через Интернет, и даже если вы используете высококачественный хостинг с хорошей сетевой безопасностью, некоторые атаки всегда будут проходить. Когда это происходит, последний уровень защиты становится основным, которым вы можете управлять как владелец или администратор веб-сайта. Это ваша и только ваша ответственность за безопасность и укрепление вашего веб-сайта.

Первым шагом к обеспечению безопасности сайта WordPress является загрузка и установка мощного плагина безопасности WordPress. iThemes Security Pro — идеальное решение для этого.

Плагин iThemes Security Pro прост в использовании, обеспечивает блокировку протоколов безопасности для вашего сайта и защищает от хакеров и вредоносных атак 24 часа в сутки, 7 дней в неделю, 365 дней в неделю.

Следующим шагом является использование брандмауэра веб-приложений. Самый простой и эффективный способ сделать это — использовать удаленный облачный WAF от Cloudflare или Sucuri. Поскольку их брандмауэр как услуга работает на их инфраструктуре хостинга, а не на вашей, производительность вашего сайта не снижается — что было бы в случае, если бы вы использовали плагин безопасности WordPress с брандмауэром. В течение нескольких минут вы можете запустить и запустить облачный WAF, полностью защищающий ваш сайт вместе с плагином iThemes Security Pro, который фокусируется на фундаментальном усилении безопасности вашего сайта WordPress и аутентификации пользователей.

Кроме того, убедитесь, что вы выбрали управляемый веб-хост WordPress, который должным образом обслуживает свои серверы. Многие, многие другие преимущества предоставляются хостинговой компании, которая присутствует в сообществе пользователей и профессионалов WordPress и ориентирована на него. Вот почему мы рекомендуем Liquid Web и Nexcess для всех ваших потребностей в хостинге WordPress.

Дешевые хостинги WordPress часто не имеют надлежащих протоколов безопасности, что может вызвать большие проблемы с вашим сайтом.

Ваша работа — защитить свой сайт WordPress

Никто, кроме вас, не позаботится о том, чтобы ваш сайт WordPress был защищен от хакеров и вредоносных атак. И лучший способ сделать это — использовать один-два удара брандмауэра веб-приложений в сочетании с плагином iThemes Security Pro.

И поскольку нет 100% надежного способа гарантировать, что опытный хакер никогда не взломает ваш сайт и не нанесет ущерб, плагин резервного копирования WordPress является абсолютной необходимостью.

Когда вы используете плагин резервного копирования, такой как BackupBuddy, вы сможете немедленно восстановить свой сайт до рабочего состояния, даже если он был поврежден или отключен во время взлома.

Это плагин, который, как вы надеетесь, вам никогда не понадобится, но вы будете рады, что он у вас есть, если он вам понадобится.

Дэн Кнаусс

Дэн Кнаусс — специалист по техническому содержанию StellarWP. Он был писателем, учителем и фрилансером, работающим с открытым исходным кодом с конца 1990-х годов и с WordPress с 2004 года.