Що таке брандмауер (firewall) та як його налаштувати

• Що таке брандмауер і як він працює
• Види брандмауерів
• Як налаштувати брандмауер на своєму комп’ютері або сервері
  • Брандмауер у Windows
  • Брандмауер у Linux
• Як налаштувати firewall на віртуальному сервері
• Брандмауери для сайтів: Web Application Firewall
  • Види WAF-рішень

Кіберзагрози щороку зростають, і вже не лише великі корпорації, а й звичайні користувачі стикаються з ризиками зламу, крадіжки даних чи несанкціонованого доступу. Один із найстаріших і водночас найефективніших інструментів захисту — брандмауер (firewall). Його завдання — контролювати весь вхідний і вихідний трафік, створюючи «кордон» між безпечним середовищем і потенційними загрозами ззовні.

Що таке брандмауер і як він працює

Брандмауер — це система, яка фільтрує мережевий трафік за заздалегідь визначеними правилами. Простіше кажучи, він аналізує всі спроби підключення до комп’ютера чи сервера та вирішує, дозволити чи заблокувати їх.

Принцип дії можна порівняти з охоронцем на вході до будівлі: він перевіряє документи відвідувачів і пропускає лише тих, хто відповідає правилам. У цифровому світі цими «правилами» є мережеві протоколи, IP-адреси, порти та типи з’єднань.

Як це працює на практиці:

• Вхідні з’єднання. Якщо хтось іззовні намагається підключитися до вашого комп’ютера на певному порту, брандмауер перевіряє, чи дозволене таке підключення.
• Вихідні з’єднання. Програми на вашому пристрої також контролюються. Наприклад, якщо вірус намагається відправити дані на віддалений сервер, firewall може це заблокувати.
• Журнали й моніторинг. Багато сучасних систем ведуть статистику всіх спроб доступу, що дозволяє виявити підозрілу активність.

Що таке фаєрвол?

Фаєрвол (від англ. firewall) — англомовний термін для брандмауера. Обидва поняття означають одну й ту саму технологію — систему фільтрації трафіку між пристроєм і мережею.

Для чого потрібен брандмауер?

Він потрібен для того, щоб:

• обмежувати небажані підключення ззовні;
• захищати персональні дані від викрадення;
• запобігати поширенню шкідливого ПЗ у локальній мережі;
• контролювати, які програми можуть виходити в інтернет.

Читайте також: Моніторинг стану сервера, резервне копіювання та безпека даних — що потрібно знати клієнтам хостинг-провайдерів

Види брандмауерів

Залежно від сфери застосування виділяють кілька основних типів:

• Апаратні брандмауери. Окремі пристрої, які встановлюються на межі мережі (наприклад, між офісною мережею та інтернетом). Здатні обробляти великий обсяг трафіку, часто використовуються у великих компаніях.
• Програмні брандмауери. Інсталюються безпосередньо на комп’ютер чи сервер. Класичний приклад — вбудований Windows Defender Firewall. Добре підходять для індивідуальних користувачів і малого бізнесу.
• Комбіновані рішення. Наприклад, маршрутизатори з інтегрованими функціями firewall. Це компромісний варіант між простотою та функціональністю.

Також розрізняють мережеві брандмауери (захищають усю локальну мережу) та персональні (захищають конкретний комп’ютер чи сервер).

Яку другу назву має фаєрвол (firewall)?

Слово firewall перекладається буквально як «вогняна стіна». У будівництві так називали спеціальні конструкції, які стримували поширення пожежі. Згодом термін перейшов в ІТ, адже принцип дії подібний: брандмауер створює «захисний бар’єр» між безпечною зоною та небезпекою.

Українською мовою традиційно використовується термін «брандмауер», що походить від німецького Brandmauer — «стіна від пожежі». Обидва варіанти — firewall і брандмауер — вважаються правильними та взаємозамінними.

Як налаштувати брандмауер на своєму комп’ютері або сервері

Налаштування firewall залежить від операційної системи. Зазвичай достатньо дозволити роботу перевірених програм і закрити всі зайві порти.

Брандмауер у Windows

У Windows є вбудований брандмауер, який активується автоматично. У Windows 11 цей інструмент називається Microsoft Defender Firewall, оскільки Microsoft поступово відмовляється від старої назви Windows Defender Firewall, яку ви можете побачити у більш ранніх версіях.

Як змінити параметри:

1. Відкрийте Панель керування ⇒ Система і безпека ⇒ Windows Defender Firewall (Windows 7/8/10) або Параметри ⇒ Конфіденційність і безпека ⇒ Безпека у Windows ⇒  Брандмауер і захист мережі (Windows 11).
2. У меню виберіть «Дозволити програмі працювати через брандмауер» (або знайдіть цю функцію через пошук). Поставте галочки для програм, яким потрібен доступ до мережі.

Зелена «галочка»  у чекбоксі  означає, що застосунок має дозвіл підключатися до інтернету, її відсутність — що доступ заблоковано. Для зручності налаштування поділяються на два типи: «Приватна мережа» (домашній чи офісний Wi-Fi) та «Публічна (Загальнодоступна)» мережа (кафе, готель, аеропорт). Це дозволяє, наприклад, надати браузеру доступ у будь-якому середовищі, а робочі програми чи служби — обмежити лише приватною мережею, що підвищує рівень безпеки.

Більшість користувачів можуть обійтися простими налаштуваннями — поставити чи зняти галочку біля потрібної програми.

У брандмауері також є розширені параметри з докладними правилами для портів, протоколів та IP-адрес. Вони більше підходять системним адміністраторам і потрібні лише в особливих випадках. Якщо ви початківець, цілком достатньо базових налаштувань.

Приклад: дозволити доступ до порту 3389 (RDP) тільки з певних IP-адрес, блокуючи всі інші.

Більше про налаштування брандмауера у Windows ви можете дізнатися тут.

Брандмауер у Linux

У Linux найчастіше використовують iptables або більш зручну надбудову UFW (Uncomplicated Firewall).

Базові команди UFW:

• sudo ufw enable — увімкнути firewall
• sudo ufw status — перевірити статус
• sudo ufw allow 22/tcp — дозволити SSH
• sudo ufw allow 80/tcp — дозволити HTTP
• sudo ufw allow 443/tcp — дозволити HTTPS
• sudo ufw deny 21/tcp — заборонити FTP
• sudo ufw disable — вимкнути firewall

Ці правила допомагають швидко налаштувати базовий захист сервера. Для складніших сценаріїв зазвичай використовують firewalld або інші сучасні інструменти керування брандмауером, що доступні в різних дистрибутивах Linux.

Як брандмауер допомагає захистити комп’ютер?

Він створює фільтр між вашим пристроєм і мережею. Навіть якщо шкідливе ПЗ потрапить у систему, воно не зможе відправити дані на сервер зловмисника без дозволу firewall. Таким чином, файрвол — це «другий рубіж» безпеки після антивіруса.

Як відключити firewall?

• У Windows: Панель керування → Брандмауер захисника Windows → Увімкнення та вимкнення. Тут можна тимчасово вимкнути для приватної чи публічної мережі.
• У Linux: команда sudo ufw disable.

Важливо: відключати брандмауер можна лише під час тестування чи діагностики. Постійне вимкнення — серйозний ризик для безпеки.

Як налаштувати firewall на віртуальному сервері

Для віртуальних серверів (VPS/VDS) firewall особливо важливий, адже сервер постійно доступний з інтернету і стає ціллю автоматизованих атак — від сканування портів до брутфорсу паролів і використання вразливостей у сервісах. Більшість хостинг-провайдерів надають базовий захист на рівні інфраструктури, але додатково варто самому керувати доступом. У панелі керування VPS зазвичай доступні інструменти для створення правил firewall: можна відкривати або закривати порти, обмежувати доступ до SSH/RDP лише з визначених IP-адрес і блокувати всі інші з’єднання. 

Детальна інструкція пояснює, як налаштувати firewall на віртуальному сервері крок за кроком у клієнтському кабінеті.

Приклади налаштувань:

• дозволити лише вебсервіси: 80 (HTTP) та 443 (HTTPS);
• SSH (22) відкривати тільки для вашої IP-адреси;
• заборонити небезпечні служби (Telnet, FTP).

Якщо залишити відкритим доступ до всіх портів, сервер швидко стане об’єктом спроб підбору паролів і атак ботнетів. Навіть проста заборона непотрібних служб значно зменшує поверхню атаки й робить систему набагато стійкішою. Тому налаштування firewall — це не одноразова дія, а постійний процес контролю та оптимізації.

Брандмауери для сайтів: Web Application Firewall

Класичний firewall захищає ОС і мережеві сервіси, але для сайтів цього недостатньо. Вебдодатки атакують через SQL-ін’єкції, XSS, brute force чи DDoS. Для цього існує Web Application Firewall (WAF) — спеціальний брандмауер, який аналізує HTTP(S)-запити й блокує шкідливі. На хостингу базовий firewall налаштований провайдером. Клієнт зазвичай може лише:

• блокувати IP-адреси / підмережі;
• встановлювати WAF у вигляді модуля чи сервісу.

Читайте також: Як вибрати VPS-сервер для сайту: оптимальні параметри та інструкція із розміщення веб-ресурсу

Види WAF-рішень

1. Хмарні:

• Cloudflare — захищає від DDoS, SQLi, XSS, додає кешування.
• Sucuri — спеціалізується на захисті WordPress та інших CMS.
• Imperva — корпоративний захист із розширеною аналітикою.

2. Серверні:

• ModSecurity — модуль для Apache/Nginx з відкритим кодом, працює на базі правил OWASP Core Rule Set.

3. CMS-плагіни:

• Wordfence (WordPress) — комплексний захист (WAF, антивірус, моніторинг).
• iThemes Security (WordPress) — базові функції WAF та посилення безпеки.

Як це працює: WAF перевіряє кожен запит, і якщо бачить спробу SQL-ін’єкції чи інший підозрілий код, блокує його ще до обробки сайтом. Це знижує ризик зламу навіть при наявності вразливостей у CMS або плагінах.

Захист від перебору паролів у WordPress: плагін Wordfence обмежує кількість спроб входу та блокує несанкціоновані атаки.

Брандмауер — це перша лінія захисту, без якої неможливо уявити безпечну роботу з мережею. На комп’ютері він блокує небажані з’єднання, на сервері — дозволяє відкривати лише потрібні порти, а сайти додатковий WAF захищає від поширених атак. Налаштування firewall займає небагато часу, але значно знижує ризики для користувача чи бізнесу.

Сподобалася стаття? Розкажіть про неї друзям: