Брандмауэр стоит между вашим компьютером и сетью, в которой он находится, или между вашей сетью и более широким Интернетом. Он существует для того, чтобы пропускать определенные типы трафика, часто идентифицируемые по используемому порту, и блокировать все остальное.
Ваша локальная сеть включает в себя все устройства, подключенные к вашему домашнему маршрутизатору либо через Wi-Fi, либо через проводное соединение Ethernet. Каждому устройству назначается IP-адрес вашим маршрутизатором, который использует NAT (преобразование сетевых адресов) для направления трафика со всех этих IP-адресов в мир через ваш «внешний глобальный IP-адрес» — адрес, выданный вам вашей интернет-службой. провайдер.
Если ваш маршрутизатор принимает весь трафик, независимо от того, от кого он исходит и куда идет, то любой извне сможет получить доступ к чему угодно в вашей сети. Очевидно, что это ужасная идея, так что ваш брандмауэр стоит на пути к этому.
Он ничего не пропустит в более широкий Интернет, если только компьютер внутри вашей сети специально не запрашивает подключение. Все, что вы активно хотите передавать данные в более широкий Интернет, например веб-сервер или сервер электронной почты, назначается DMZ (демилитаризованной зоне), которая находится за пределами брандмауэра. Более сложные развертывания могут вместо этого размещать DMZ за другим, менее строгим набором правил брандмауэра, отделенным от локальной сети.
Но что, если вам нужно разрешить трафик извне? Затем вы настраиваете брандмауэр, чтобы пропустить его, используя «правило брандмауэра». Обычно это делается с помощью настроек переадресации портов в брандмауэре.
Некоторые порты имеют определенные функции, для которых они зарезервированы. Например, порт 80 для веб-трафика и порт 22 для безопасного доступа к оболочке.
Другие вам придется открывать вручную, используя настройки переадресации портов вашего маршрутизатора. Вы сообщаете маршрутизатору, какой внешний порт с выходом в Интернет ему нужно открыть и IP-адрес какого локального устройства ему нужно направить для любых данных, отправляемых на этот порт. Вы также захотите определить, на какой порт на локальном устройстве идет трафик, чтобы он направлялся программе, которая его прослушивает.
Если вы хотите иметь возможность использовать протокол удаленного рабочего стола (RDP) для подключения к ПК с Windows внутри вашей сети, когда вы находитесь в другом месте, вам необходимо открыть порт 3389. Порт по умолчанию для выделенного сервера Minecraft — 25565.
Хотя вы часто можете назначить более или менее любой порт, который вам нравится (кроме зарезервированных) для чего угодно, использование значений по умолчанию имеет свои преимущества. Однако это также может сделать вас более уязвимыми для тех, кто специально пытается взломать плохо защищенные примеры служб, использующих эти порты. Никогда не используйте имена пользователей и пароли по умолчанию для служб, которые вы будете предоставлять в Интернете.
Брандмауэр NAT вашего маршрутизатора имеет другие функции, такие как возможность блокировать исходящий трафик, если вы хотите. Вы также настраиваете свой брандмауэр, чтобы разрешить всему трафику с определенного IP-адреса доступ к частям или ко всей вашей сети. Это может быть полезно, если вам нужен полный доступ к одной вашей сети из другой вашей сети с другим IP-адресом.
Итак, это ваш сетевой брандмауэр. Он отлично справляется с обеспечением вашей безопасности, и стоит иметь приличный, чтобы вы получили правильный интерфейс конфигурации с множеством опций.
Windows также имеет надежный брандмауэр, который включен по умолчанию.
Это очень похоже на Windows. Дистрибутивы Linux и macOS имеют программные брандмауэры, но не включают их по умолчанию. Вместо этого, если служба в системе не использует явно («прослушивает») порт, она не будет реагировать на любые внешние попытки связаться с ней, эффективно предотвращая любую нежелательную связь или доступ.
Брандмауэр Windows делает примерно то же самое, что и ваш сетевой брандмауэр, но он заботится только о ПК, на котором работает. По умолчанию брандмауэр Windows в Windows 10 и Windows 11 блокирует все входящие подключения, которые не соответствуют определенному правилу брандмауэра.
Это также немного более интерактивно, поэтому, если вы инициируете соединение, которое использует определенный порт, оно может спросить вас, хотите ли вы открыть этот порт или нет, и добавит правило, разрешающее это соединение, если вы скажете «да». Однако это не всегда правильно, поэтому вам может потребоваться вручную открыть определенные порты брандмауэра с помощью настроек брандмауэра Microsoft Defender.