Что такое брандмауэр

Все коммутации в Интернете осуществляются посредством обмена пакетами данных. Каждый пакет передается от компьютера-источника к компьютеру — точке назначения. Пакет — единица потока информации в Интернете. Любое соединение между двумя ПК состоит из отдельных пакетов, пересылающихся между этими ПК. По существу, компьютеры «договариваются», что они связаны, и каждый возвращает назад подтверждение о получении данных. Чтобы прибыть по назначению, каждый Интернет-пакет должен содержать адрес точки прибытия — IP конкретного компьютера и номер порта, как бы адрес программы или службы, которой он предназначен. Принимающий компьютер должен знать, кто послал ему очередной пакет, поэтому все пакеты содержат IP-адрес отправителя и номер порта ПК, пославшего этот пакет.

Любой пакет, перемещающийся в Сети, включает полные адреса отправителя и получателя. IP-адрес всегда идентифицирует конкретный одиночный компьютер в Интернете, а порт связан с конкретной службой, ответственной за обработку данного блока информации.

Программный брандмауэр — это «огненная стена» (Firewall), проверяющая IP-адрес и порт каждого пакета данных, проходящего сквозь брандмауэр в любую сторону, а затем разрешающая или запрещающая его прохождение. Брандмауэр всегда проверяет каждый пакет данных, достигающий вашего ПК, до того как он поступит в распоряжение любой другой запущенной программы.

TCP/IP-порт открыт для прохождения данных только в том случае, если на первый достигший вашего ПК пакет с запросом установки нового соединения ваш компьютер отвечает: «Всегда готов!». Если пакет этот просто проигнорирован, то порт вашего ПК скрыт в сети (режим невидимки или Stealth-режим), то есть компьютер-отправитель его просто не видит.

И именно потому, что в каждом пакете содержится IP-адрес ПК, его отправившего, брандмауэр в состоянии понять, какие пакеты пропускать, а какие нет. В результате происходит фильтрация пакетов, основанная на комбинациях заданных IP-адресов и портов.

Любой пакет, проходящий между двумя ПК, имеет набор битов, называемых ACK-биты. Эти биты сообщают, что данный пакет подтверждает получение всех предыдущих данных. Но это означает, что только самый первый пакет, инициировавший новое соединение, не будет подтверждать получение предыдущих данных. Другими словами, брандмауэр может легко определить, создается ли новое соединение или продолжается пересылка затребованных вами данных. Пакеты, являющиеся частью установленного соединения, должны проходить брандмауэр, а новые попытки соединения — отвергаться. Таким образом, исходящие соединения разрешаются, а входящие блокируются.