Читаем Как противостоять хакерским атакам. Уроки экспертов по информационной безопасности полностью

Первое упоминание о брандмауэрах в технической документации содержится в презентации 1987 года под названием The Packet Filter: An Efficient Mechanism for User-level Network Code Джеффри К. Могула (он был сотрудником компании ACM и теперь работает в Google (https://research.google.com/pubs/JeffreyMogul.html), Ричарда Ф. Рашида и Майкла Дж. Аксетты, на симпозиуме ACM, посвященном принципам операционных систем.

Защищенная брандмауэром сеть Чесвика подверглась атаке печально известного Червя Морриса в ноябре 1988 года (https://en.wikipedia.org/wiki/Morris_worm). Благодаря изменению настроек и удачному стечению обстоятельств брандмауэр и компьютеры, находящиеся под его защитой, не пострадали, в то время как сотни других сетей и тысячи компьютеров были заражены. Это был один из первых случаев, когда брандмауэр доказал важность своей роли в общих аспектах ИБ. Чесвика беспокоило удачное стечение обстоятельств, он обновил исходную конфигурацию брандмауэра, добавив еще одну границу безопасности между внутренним и внешним интерфейсом. В конце концов он назвал это «прокси», и именно тогда в первый раз это слово было использовано в таком контексте.

Чесвик описал брандмауэры в 1990-м в трудах USENIX, а в 1994 году вместе со Стивеном Белловиным написал оригинальную книгу Firewalls and Internet Security: Repelling the Wily Hacker. Чесвик вспоминает удивительную популярность книги: «Брандмауэр Checkpoint Firewall Zone 1, который позже был переименован в Checkpoint Firewall, впервые появился весной 1994 года, на конференции Interop, то есть примерно через неделю после публикации книги. Издатель ожидал, что тираж составит 8–12 тысяч копий. Первая партия в 10 000 была продана за неделю, и они так быстро выпустили второй тираж в 20 000, что мы не успели исправить недоработки. Всего было продано около 100 000 копий, переведенных на десяток языков».

Брайан Рид и другие сотрудники компании Digital Equipment Corporation (DEC) выполняли аналогичную работу над брандмауэрами, взаимодействуя через Интернет с помощью корпоративной сети. Тем не менее их брандмауэр был больше сосредоточен на блокировке исходящего доступа, так как DEC ранее потерял важное программное обеспечение из-за несанкционированной эксфильтрации данных.

Маркус Ранум написал первый крупный коммерческий продукт брандмауэра для DEC в 1990 году и другую его версию под названием Screening External Access Link (SEAL) вместе с Джеффом Маллиганом в 1991 году. В то же время Джеффри Могул выпустил screend, один из первых брандмауэров (https://www.researchgate.net/publication/2443301_Using_screend_to_Implement_IPTCP_Security_Policies). Затем последовали другие коммерческие брандмауэры от разных поставщиков, включая Tis Gauntlet, Checkpoint и Dupont’S Raptor Eagle. Ранум создал инструментарий брандмауэра с открытым исходным кодом в 1993 году в рамках проекта для Управления перспективными исследовательскими проектами Министерства обороны США (спонсора ранней версии Интернета) и Белого дома США.

Кульминацией всех этих действий стали брандмауэры, которые стали важным компонентом любой популярной операционной системы. Компания Microsoft Windows создала брандмауэр Windows, впервые выпущенный в Windows XP в 2001 году. Второй пакет обновлений вышел в августе 2004 года и был включен по умолчанию. Это изменение непосредственно связано с огромным снижением опасности вредоносных программ на базе Windows, которые в противном случае могли бы быть успешными. Сегодня многие устройства, включая интернет-маршрутизатор, беспроводной маршрутизатор и кабельное/спутниковое телевидение, содержат настраиваемые пользователем брандмауэры.

Все брандмауэры имеют правила (или политики). Наиболее распространенное правило брандмауэра по умолчанию следующее: разрешать все выходы, но запрещать любые неопределенные входящие подключения, которые ранее не были созданы исходящим подключением. Самые безопасные брандмауэры также ограничивают любой ранее неопределенный исходящий трафик. К сожалению, когда применяются чрезмерно строгие правила, это часто приводит к слишком серьезному прерыванию работы или управления, и поэтому большинство разработчиков используют наиболее распространенное правило по умолчанию.

Брандмауэры можно размещать на уровне сети или непосредственно на узлах компьютеров.