Традиционный брандмауэр против переадресации портов в быту

Коснемся вашего второго вопроса. Единственное, что делают маршрутизаторы-потребители, — это предоставляют уровень NAT для вашей сети. Большинство из них используют для этого так называемую Stateful Packet Inspection. Это просто затейливый способ сказать, что они отслеживают все соединения, которые были инициированы из локальной сети, пока они не будут разрушены обычными средствами TCP/IP или не истечет время ожидания после периода бездействия. Это действительно обеспечивает сети определенный уровень безопасности, поскольку пропускается только трафик, инициированный изнутри сети. Есть несколько исключений из этого правила с UPNP и переадресацией портов, которые позволяют пересылать незапрошенный трафик.

Чего потребительские устройства не предлагают, что корпоративный брандмауэр делает на базовом уровне, так это возможности иметь правила для входящего и исходящего трафика. Например, если вы хотите заблокировать трафик с или на определенный порт или хост. Вы также можете иметь расписания, которые определяют, когда правила применяются. Но, как уже упоминали другие, в некоторых случаях корпоративное оборудование может также иметь дополнительные функции помимо брандмауэра, но это действительно выходит за рамки вопроса, который вы здесь задаете.

Перенаправление портаэто одна из многих вещей, которые может делать брандмауэр. Что касается вашего второго вопроса, то это зависит от модема. Ваш вопрос устанавливает довольно низкую планку, то есть они лучше, чем ничего. Я бы сказал, что да, большинство из них обеспечивают защиту. Будут ли они такими же надежными и многофункциональными, как Cisco ASA 5505? Нет. Означает ли это, что вам нужно пойти и потратить 400 долларов на ASA 5505? Это тоже зависит. Если вы домашний пользователь, встроенный брандмауэр в маршрутизаторе/модеме adsl, вероятно, достаточно хорош, если он включен и правильно настроен. Если у вас домашний офис и вы хотите надежный набор функций безопасности, поддержку и надежность, то непременно потратьте 400 долларов. В противном случае просто убедитесь, что брандмауэр действительно включен и не открыт настежь.

Кстати, я просто использовал Cisco в качестве примера. Есть и другие варианты, которые вы могли бы рассмотреть, например, Watchguard, Fortinet и т. д., если вас интересует настоящий межсетевой экран для soho.

По моему опыту, домашним маршрутизаторам не хватает емкости, ведения журналов, подотчетности (поддержка RADIUS или TACACS), сложности набора правил, избыточности, надежности оборудования, количества поддерживаемых физических сетей, VLAN, VPN-концентраторов, датчиков обнаружения вторжений и множества других вещей, которые вам не нужны в домашней сети.

Домашние маршрутизаторы сложно настроить неправильно, а сложность — враг безопасности... поэтому я бы сказал, что они, как правило, лучше, чем большие устройства... если только вам не нужны некоторые из перечисленных мной функций.

Не вступая в спор о брандмауэрах и защите, ваша единственная лучшая защита — это регулярное исправление безопасности и брандмауэр. Брандмауэры, встроенные в домашние маршрутизаторы, работают как брандмауэры, но не могут остановить многие из вирусов/эксплойтов/троянов, которые могут заразить компьютер при простом просмотре веб-страниц. То же самое относится и к антивирусному программному обеспечению, большинство из которых практически бесполезны для новых эксплойтов или эксплойтов, созданных пользователем (например, вы нажимаете или посещаете не те сайты, где следует). В домашней настройке переадресация портов подвергнет компьютер, который является получателем этой переадресации портов, любым потенциальным атакам на этот порт.