Нужен ли мне брандмауэр, если у меня есть маршрутизатор?

Существует два типа межсетевых экранов: аппаратные межсетевые экраны и программные межсетевые экраны. Ваш маршрутизатор работает как аппаратный брандмауэр, а в Windows есть программный брандмауэр. Вы можете установить и другие сторонние брандмауэры.

В августе 2003 года, если вы подключили непропатченную систему Windows XP к Интернету без брандмауэра, она могла быть заражена в течение нескольких минут червем Blaster, который использовал уязвимости в сетевых службах, которые Windows XP открывала для Интернета.

Помимо демонстрации важности установки исправлений безопасности, это демонстрирует важность использования брандмауэра, который предотвращает попадание входящего сетевого трафика на ваш компьютер. Но если ваш компьютер находится за маршрутизатором, действительно ли вам нужен программный брандмауэр?

Как маршрутизаторы работают как аппаратные межсетевые экраны

Домашние маршрутизаторы используют преобразование сетевых адресов (NAT) для совместного использования одного IP-адреса из вашего интернет-сервиса между несколькими компьютерами в вашем доме. Когда входящий трафик из Интернета достигает вашего маршрутизатора, ваш маршрутизатор не знает, на какой компьютер его перенаправить, поэтому он отбрасывает трафик. По сути, NAT действует как брандмауэр, предотвращающий попадание входящих запросов на ваш компьютер. В зависимости от вашего маршрутизатора вы также можете заблокировать определенные типы исходящего трафика, изменив настройки вашего маршрутизатора.

Вы можете настроить переадресацию трафика маршрутизатором, настроив переадресацию портов или поместив компьютер в DMZ (демилитаризованную зону), где весь входящий трафик перенаправляется на него. По сути, DMZ перенаправляет весь трафик на конкретный компьютер - компьютер больше не будет получать выгоду от маршрутизатора, действующего в качестве межсетевого экрана.

Кредит изображения: webhamster на Flickr

Как работают программные брандмауэры

На вашем компьютере работает программный брандмауэр. Он действует как привратник, пропуская некоторый трафик и отбрасывая входящий трафик. Сама Windows включает встроенный программный брандмауэр, который впервые был включен по умолчанию в Windows XP с пакетом обновления 2 (SP2). Поскольку программные брандмауэры работают на вашем компьютере, они могут отслеживать, какие приложения хотят использовать Интернет, а также блокировать и разрешать трафик для отдельных приложений.

Если вы подключаете свой компьютер напрямую к Интернету, важно использовать программный брандмауэр - вам не нужно беспокоиться об этом сейчас, когда брандмауэр поставляется с Windows по умолчанию.

Аппаратный брандмауэр против программного брандмауэра

Аппаратные и программные брандмауэры частично пересекаются:

  • Оба блокируют нежелательный входящий трафик по умолчанию, защищая потенциально уязвимые сетевые службы от «дикого» Интернета.
  • Оба могут блокировать определенные типы исходящего трафика. (Хотя эта функция может отсутствовать на некоторых маршрутизаторах.)

Преимущества программного межсетевого экрана:

  • Аппаратный брандмауэр находится между вашим компьютером и Интернетом, а программный брандмауэр находится между вашим компьютером и сетью. Если другие компьютеры в вашей сети заражены, программный брандмауэр может защитить ваш компьютер от них.
  • Программные брандмауэры позволяют легко контролировать доступ к сети для отдельных приложений. В дополнение к контролю входящего трафика программный брандмауэр может сообщать вам, когда приложение на вашем компьютере хочет подключиться к Интернету, и позволяет запретить приложению подключаться к сети. Эту функцию легко использовать со сторонним брандмауэром, но вы также можете запретить приложениям подключаться к Интернету с помощью брандмауэра Windows.

Преимущества аппаратного межсетевого экрана:

  • Аппаратный брандмауэр находится отдельно от вашего компьютера - если ваш компьютер заражен червем, этот червь может отключить ваш программный брандмауэр. Однако этот червь не мог отключить ваш аппаратный брандмауэр.
  • Аппаратные межсетевые экраны могут обеспечить централизованное управление сетью. Если у вас большая сеть, вы можете легко настроить параметры брандмауэра с одного устройства. Это также не позволяет пользователям изменять их на своих компьютерах.

Вам нужны оба?

Важно использовать хотя бы один тип межсетевого экрана - аппаратный межсетевой экран (например, маршрутизатор) или программный межсетевой экран. Маршрутизаторы и программные брандмауэры в некотором смысле пересекаются, но каждый дает уникальные преимущества.

Если у вас уже есть маршрутизатор, оставив включенным брандмауэр Windows, вы получите преимущества безопасности без реальных затрат на производительность. Поэтому рекомендуется использовать оба варианта.

Вам не обязательно устанавливать сторонний программный брандмауэр, который заменяет встроенный брандмауэр Windows, но вы можете, если хотите больше функций.