Для захисту від втрати та крадіжки даних компаніям необхідний якомога більший захист від зовнішніх загроз. Апаратні та програмні брандмауери запобігають потраплянню зловмисного трафіку до комп’ютерів, підключених до мережі, але не забезпечують однаковий рівень захисту. Кожен має переваги та недоліки.
Апаратний брандмауер
Маршрутизатор - це перша лінія захисту від потенційних загроз. Пристрій призначає приватну IP-адресу кожному з комп'ютерів, які підключаються до локальної мережі, а потім використовує процес, який називається трансляцією мережевих адрес, щоб зіставити приватні адреси з однією загальнодоступною адресою. NAT діє як брандмауер, приховуючи справжні адреси підключеного обладнання та контролюючи, який трафік потрапляє до кожного ПК. Брандмауер обмежує передачу даних через більшість портів Протоколу управління передачею та Протоколу користувальницьких датаграм - шляхи, до яких IP-пакети повинні проходити, щоб дістатися до хоста - хоча компанії можуть відкривати порти, пов'язані з критичними програмами.
Програмний брандмауер
На відміну від брандмауера на фізичному пристрої маршрутизації, який захищає всі комп'ютери в локальній мережі, програмний брандмауер просто захищає хост, на який він встановлений. Проте програмні брандмауери обмежують не тільки обсяг трафіку, що надходить до комп’ютера, але й те, які дані залишають мережу. Наприклад, більшість цих брандмауерів блокують TCP-порт 25, порт за замовчуванням для протоколу Simple Mail Transfer Protocol, який використовується для доставки повідомлень на сервер електронної пошти. Черви масової розсилки зловживають портом 25, щоб надсилати спам новим цілям, тому типовим запобіжним засобом брандмауера є блокування цього порту, якщо це явно не потрібно. Компаніям, які використовують віртуальні приватні мережі для з'єднання віддалених локальних мереж через Інтернет, необхідний програмний брандмауер, щоб хробаки та інший шкідливий трафік не виходив із ураженої мережі.
Недоліки
Деякі брандмауери NAT кращі за інші. Наприклад, D-Link дозволяє користувачам більше контролювати передачу даних TCP та UDP, ніж деякі інші постачальники; адміністратори можуть налаштувати брандмауер для дозволу всіх вхідних запитів програми, яка вже встановила з'єднання з хостом. Апаратні брандмауери майже не вимагають налаштування; майже на всіх комерційних маршрутизаторах увімкнено NAT, тому комп'ютери захищені після підключення до локальної мережі. З іншого боку, програмні брандмауери можуть вимагати великої конфігурації. Адміністратори повинні дозволити або заблокувати кожну програму, встановлену на комп'ютері, а також обмежити, які служби мають доступ до мережі. Програмні брандмауери також споживають системні ресурси, що потенційно може спричинити проблеми з продуктивністю на пристроях низького класу.
Міркування
Компанії повинні використовувати як програмний, так і апаратний брандмауер для найкращого захисту. Підприємствам з обмеженим бюджетом не доведеться витрачати багато коштів на захист кінцевих точок. Наприклад, Windows 8 включає вбудований брандмауер, який може обмежити доступ певних програм, портів та служб до загальнодоступних та приватних локальних мереж. Щоб створити правила для вхідних та вихідних з'єднань, натисніть «Windows-W», введіть «брандмауер», а потім натисніть «Брандмауер Windows». Виберіть "Додаткові налаштування" на лівій панелі. Для зручності адміністрування фірми можуть також застосовувати правила брандмауера через командний рядок.
