Firewall — tarmoqdan kiruvchi va chiquvchi trafikni nazorat qiladigan xavfsizlik tizimi. Firewall ma’lum qoidalar asosida paketlarga ruxsat beradi yoki ularni bloklaydi.
Firewall kompyuter, server, router, cloud infratuzilma yoki maxsus xavfsizlik qurilmasida ishlashi mumkin. Uning asosiy vazifasi tarmoqdagi ruxsatsiz ulanishlar va zararli trafikni cheklashdir.
Vazifasi
Firewall tarmoq xavfsizligini boshqarish uchun ishlatiladi.
Firewall quyidagi vazifalarni bajaradi:
- kiruvchi trafikni nazorat qiladi;
- chiquvchi trafikni nazorat qiladi;
- portlarga kirishni cheklaydi;
- IP manzillarni bloklaydi yoki ruxsat beradi;
- server xizmatlarini tashqi tarmoqdan himoya qiladi;
- ichki tarmoq va internet o‘rtasida himoya qatlami yaratadi;
- tarmoq qoidalari asosida trafikni filtrlashni ta’minlaydi.
Masalan, serverda faqat 80, 443 va 22 portlarga ruxsat berilib, qolgan portlar yopiq bo‘lishi mumkin.
Firewall qanday ishlaydi?
Firewall tarmoqdan kelayotgan yoki chiqayotgan paketlarni tekshiradi. Har bir paketning manba IP manzili, boradigan IP manzili, porti, protokoli va yo‘nalishi qoidalar bilan solishtiriladi.
Oddiy jarayon:
- paket tarmoqqa kiradi yoki chiqadi;
- firewall paket ma’lumotlarini tekshiradi;
- mavjud qoidalar bilan taqqoslaydi;
- mos qoida topilsa, unga amal qiladi;
- paketga ruxsat beriladi yoki bloklanadi.
Masalan, firewall 5432-portga tashqi internetdan kirishni bloklab, faqat ichki tarmoqdan ruxsat berishi mumkin.
Firewall qoidalari
Firewall qoidalari trafikni qanday boshqarishni belgilaydi. Har bir qoida muayyan shart va amalga ega bo‘ladi.
Qoidalarda odatda quyidagi qismlar bo‘ladi:
- manba IP manzil;
- boradigan IP manzil;
- protokol;
- port;
- yo‘nalish;
- ruxsat berish yoki bloklash amali;
- tarmoq interfeysi;
- log yozish holati.
Masalan, TCP 443 portga ruxsat berish HTTPS trafikni qabul qilishga imkon beradi.
Firewall turlari
Firewall ishlash joyi va texnologiyasiga qarab bir nechta turga bo‘linadi.
- Software firewall — operatsion tizim yoki dastur ichida ishlaydi.
- Hardware firewall — alohida tarmoq qurilmasi sifatida ishlaydi.
- Network firewall — butun tarmoqni himoya qiladi.
- Host-based firewall — bitta kompyuter yoki serverni himoya qiladi.
- Cloud firewall — cloud infratuzilmada trafikni boshqaradi.
- Web Application Firewall — web ilovalarni HTTP/HTTPS darajasida himoya qiladi.
Har bir firewall turi tarmoqning turli qatlamlarida ishlashi mumkin.
Software firewall
Software firewall kompyuter yoki server operatsion tizimida ishlaydi. U shu qurilmaga kiruvchi va undan chiquvchi trafikni nazorat qiladi.
Software firewall misollari:
- Windows Defender Firewall;
- UFW;
- iptables;
- nftables;
- firewalld;
- pf.
Linux serverlarda UFW, iptables va nftables ko‘p ishlatiladi.
Hardware firewall
Hardware firewall alohida tarmoq qurilmasi sifatida ishlaydi. U odatda router, gateway yoki maxsus xavfsizlik qurilmasi ko‘rinishida bo‘ladi.
Hardware firewall quyidagi joylarda uchraydi:
- ofis tarmoqlari;
- data centerlar;
- korporativ tarmoqlar;
- internet provayder infratuzilmasi;
- filiallararo tarmoqlar;
- katta tashkilotlar xavfsizlik tizimlari.
Bunday firewall ichki tarmoq va internet o‘rtasidagi trafikni markaziy tarzda boshqaradi.
Network firewall
Network firewall butun tarmoqni himoya qilish uchun ishlatiladi. U ichki tarmoq va tashqi tarmoq o‘rtasida joylashadi.
Network firewall quyidagilarni nazorat qiladi:
- tashqi internetdan kiruvchi trafik;
- ichki tarmoqdan chiqayotgan trafik;
- subnetlar orasidagi trafik;
- VPN ulanishlari;
- server segmentlari;
- foydalanuvchi guruhlari bo‘yicha ruxsatlar.
Masalan, kompaniya tarmog‘ida xodimlar internetga chiqishi mumkin, lekin tashqi foydalanuvchilar ichki database serverga kira olmaydi.
Host-based firewall
Host-based firewall bitta qurilma ichida ishlaydi va shu qurilmaning tarmoq ulanishlarini himoya qiladi.
U quyidagi qurilmalarda ishlatilishi mumkin:
- shaxsiy kompyuter;
- noutbuk;
- VPS server;
- dedicated server;
- cloud instance;
- database server;
- application server.
Masalan, VPS serverda host-based firewall orqali faqat SSH, HTTP va HTTPS portlari ochiq qoldirilishi mumkin.
Web Application Firewall
Web Application Firewall yoki WAF — web ilovalarni HTTP va HTTPS darajasida himoya qiladigan firewall turi.
WAF quyidagi hujum va xavfli so‘rovlarni aniqlashda ishlatiladi:
- SQL Injection;
- XSS;
- CSRF bilan bog‘liq zararli so‘rovlar;
- zararli botlar;
- noto‘g‘ri HTTP headerlar;
- shubhali URL so‘rovlari;
- rate limit buzilishi;
- web formaga zararli ma’lumot yuborish.
WAF odatda web server, reverse proxy, CDN yoki cloud xavfsizlik xizmati sifatida ishlaydi.
Inbound va outbound trafik
Firewall trafik yo‘nalishiga qarab kiruvchi va chiquvchi so‘rovlarni ajratadi.
- Inbound traffic — tashqi tarmoqdan server yoki qurilmaga kiruvchi trafik.
- Outbound traffic — server yoki qurilmadan tashqi tarmoqqa chiqayotgan trafik.
Masalan, foydalanuvchi saytga kirganda, server uchun bu inbound trafik hisoblanadi. Server boshqa API xizmatiga so‘rov yuborsa, bu outbound trafik bo‘ladi.
Port va firewall
Firewall portlar bilan bevosita ishlaydi. Serverda qaysi xizmat tashqi tarmoqqa ochiq bo‘lishi firewall qoidalari orqali belgilanadi.
Keng uchraydigan port qoidalari:
22— SSH uchun;80— HTTP uchun;443— HTTPS uchun;5432— PostgreSQL uchun;3306— MySQL uchun;6379— Redis uchun;8000— development yoki backend serverlar uchun.
Database va cache portlari ko‘pincha tashqi internetga yopiq, faqat ichki tarmoq yoki VPN orqali ochiq bo‘ladi.
IP filtrlash
Firewall IP manzillar asosida trafikni filtrlashi mumkin. Bu usul ma’lum manbalardan keladigan so‘rovlarni boshqarish uchun ishlatiladi.
IP filtrlashda quyidagi holatlar uchraydi:
- ma’lum IP manzilga ruxsat berish;
- ma’lum IP manzilni bloklash;
- faqat ichki tarmoq IP’lariga ruxsat berish;
- VPN subnetiga ruxsat berish;
- ma’lum davlat yoki tarmoq diapazonlarini cheklash;
- admin panelga faqat belgilangan IP’dan kirishga ruxsat berish.
Masalan, admin panel faqat kompaniya ofisi IP manzilidan ochiladigan qilib sozlanishi mumkin.
Stateful firewall
Stateful firewall ulanish holatini eslab qoladigan firewall turidir. U faqat alohida paketni emas, balki butun ulanish jarayonini kuzatadi.
Stateful firewall quyidagilarni tekshiradi:
- ulanish boshlanganmi;
- paket mavjud ulanishga tegishlimi;
- paketning yo‘nalishi to‘g‘rimi;
- ulanish holati faolmi;
- javob trafiki oldingi so‘rov bilan bog‘liqmi.
Masalan, ichki tarmoqdan tashqi saytga so‘rov yuborilganda, firewall qaytgan javob paketlariga ruxsat berishi mumkin.
Stateless firewall
Stateless firewall har bir paketni alohida tekshiradi va oldingi ulanish holatini eslab qolmaydi.
Stateless firewall odatda oddiyroq qoidalarga asoslanadi:
Bu turdagi firewall tez ishlashi mumkin, lekin murakkab ulanish holatlarini chuqur kuzatmaydi.
Firewall va VPN
Firewall VPN bilan birga ishlatilganda ichki tarmoqqa kirish nazorati kuchayadi. VPN foydalanuvchini private tarmoqqa ulaydi, firewall esa qaysi xizmatlarga kirish mumkinligini belgilaydi.
VPN va firewall birgalikda quyidagi holatlarda ishlatiladi:
- serverga faqat VPN orqali SSH kirish;
- database’ni faqat VPN subnetiga ochish;
- admin panelni tashqi internetdan yopish;
- ichki API xizmatlarini himoyalash;
- filiallararo tarmoqni cheklash;
- cloud private network trafikini boshqarish.
Cloud firewall
Cloud firewall bulutli serverlar va cloud tarmoqlarda trafikni boshqarish uchun ishlatiladi. U odatda cloud provayder paneli orqali sozlanadi.
Cloud firewall quyidagi obyektlarga qo‘llanishi mumkin:
- virtual server;
- load balancer;
- database xizmati;
- Kubernetes cluster;
- private network;
- subnet;
- storage gateway.
AWS Security Groups, Google Cloud Firewall Rules, Azure Network Security Groups va DigitalOcean Cloud Firewalls cloud firewall misollaridir.
Dasturlashdagi o‘rni
Dasturlash va deployment jarayonida firewall backend, database, cache, admin panel va API xizmatlariga kirishni nazorat qiladi.
Firewall dasturchi duch keladigan quyidagi holatlarda ko‘rinadi:
- API server porti ochilmagani;
- database ulanishi bloklangani;
- SSH port yopiq bo‘lgani;
- webhook serverga yetib kelmagani;
- Docker container porti tashqaridan ochilmagani;
- cloud security group qoidasi noto‘g‘ri bo‘lgani;
- CORS emas, tarmoq darajasidagi blok mavjudligi.
Firewall tarmoq va server xavfsizligining asosiy qatlamlaridan biri hisoblanadi.
Bog‘liq tushunchalar
Server, Router, VPN, Port, TCP, UDP, IP, SSH, Nginx, WAF, DDoS, Network security