Когда в сети нет сегментации, компрометация любого узла открывает атакующему прямой путь ко всему остальному. Бухгалтерский сервер, производственная АСУ ТП, веб-приложение и рабочая станция стажёра существуют в одном пространстве — с точки зрения сетевой связности между ними нет разницы.
Сегментация решает эту проблему архитектурно: каждая зона изолирована, трафик между зонами проходит только через точку фильтрации, компрометация одного сегмента не даёт автоматического доступа к другим. В этой статье разбираем, как это реализовано в Ideco NGFW Novum версии 22 — на уровне механизмов, а не маркетинговых описаний.
Почему плоская сеть — это архитектурная проблема
Плоская сеть (flat network) — архитектура, в которой все узлы находятся в одном широковещательном домене или имеют нефильтрованную связность друг с другом. Исторически она появляется не как осознанный выбор, а как результат органического роста инфраструктуры: добавили VLAN для удобства, подключили новый сервер, провели ещё один кабель.
Проблема не в том, что плоская сеть неудобна. Проблема в том, что при компрометации любого узла атакующий получает плацдарм для бокового перемещения (lateral movement). Сканирование внутренней сети, попытки аутентификации на соседних хостах, эксплуатация уязвимостей в сервисах, которые никогда не должны были быть доступны снаружи — всё это становится возможным без каких-либо дополнительных привилегий.
Классический пример: веб-сервер в DMZ скомпрометирован через уязвимость в приложении. Если между DMZ и внутренней сетью нет фильтрации, атакующий немедленно получает доступ к базам данных, файловым серверам и рабочим станциям. Сегментация с Zone-Based Firewall этот путь разрывает.
Зональная модель: принцип и отличие от классических ACL
В классическом межсетевом экране правила применяются к интерфейсам или подсетям. Одно правило может разрешать или запрещать трафик между конкретными IP-адресами и портами. При росте инфраструктуры таблица правил становится неуправляемой: сотни записей, которые трудно читать, ещё труднее аудировать и почти невозможно изменить без риска непредвиденных последствий.
Zone-Based Firewall (ZBF) меняет принцип: правила применяются не к интерфейсам, а к парам зон. Трафик из зоны A в зону B обрабатывается по одной политике, трафик из зоны B в зону A — по другой. Зона — это логическая группа интерфейсов с одинаковым уровнем доверия и одинаковыми требованиями к защите.
Это даёт несколько практических преимуществ. Политика читается как намерение: «из корпоративной зоны в DMZ разрешён только HTTPS на порт 443». Добавление нового интерфейса в существующую зону автоматически применяет к нему все действующие политики — без ручного копирования правил. Аудит сводится к проверке межзональных политик, а не к анализу тысяч строк ACL.
Как Zone-Based Firewall реализован в Ideco NGFW Novum
Архитектурная основа — VPP (Vector Packet Processing) и DPDK (Data Plane Development Kit). VPP обрабатывает пакеты в пространстве пользователя (user space) через граф функций, где каждый узел выполняет конкретную операцию: L2-коммутацию, маршрутизацию, применение ACL, IPS-инспекцию. DPDK обеспечивает прямой доступ к сетевым интерфейсам в обход ядра ОС, минимизируя задержки.
Практическое следствие для Zone-Based Firewall: изолированные политики между зонами применяются без необходимости запускать DPI на локальный межсегментный трафик. Если трафик между двумя внутренними зонами не требует инспекции на уровне приложений, он проходит через ZBF без нагрузки на модули DPI и IPS. Это важно для производительности в инфраструктурах с высоким объёмом восток-запад трафика (east-west traffic).
Производительность в режиме межсетевого экранирования без активации модулей DPI, IPS и SSL-инспекции достигает 200 Гбит/с на одном сервере (например, на платформе Ideco NGFW EX); при включении модулей инспекции производительность определяется конфигурацией сервера и набором активных функций. Компилируемый файрвол обеспечивает обработку трафика при 100 000 правил с поддержкой до 1 млн TCP-сессий в секунду в высокопроизводительной конфигурации.
Зоны создаются в интерфейсе как объекты, к которым привязываются сетевые интерфейсы. Межзональные политики задаются в разрезе пары зон с указанием источника, назначения, протокола, порта и действия. Трафик между зонами без явного разрешающего правила запрещён по умолчанию — это принцип deny-by-default, который исключает случайное открытие доступа.
Виртуальные контексты: несколько NGFW на одном сервере или устройстве
Виртуальные контексты (VCE, Virtual Context Engine) — механизм запуска нескольких независимых экземпляров Ideco NGFW Novum на одной инсталляции. Каждый контекст получает изолированные сети, политики безопасности и выделенные вычислительные ресурсы: конкретные логические ядра CPU и оперативную память. Архитектурная основа высокопроизводительного контекста (VCE VPP) — стек VPP (Vector Packet Processing), обеспечивающий обработку трафика в пространстве пользователя. Изоляция обработки трафика реализована через привязку VPP и DPDK к выделенным vCPU каждого контекста — ресурсы выделяются каждому контексту; при исчерпании выделенных ресурсов возможна деградация производительности контекста.
Функционально это аналог VDOM в Fortinet FortiGate, но с принципиальным архитектурным отличием: в версии 22 весь пользовательский трафик обрабатывается непосредственно в VPP Data Plane контекста, а не через legacy-стек. Management Plane остаётся общим и изолированным от Data Plane.
Типовые сценарии применения VCE:
Разделение корпоративного и технологического контуров на промышленном предприятии. Оба контура работают на одном физическом устройстве, но с полностью независимыми политиками — логически изолированы и управляются независимыми политиками.
Администраторы системного контекста сохраняют доступ к конфигурации дочерних VCE.
Разделение продуктивной и тестовой среды. Тестирование новых политик не влияет на продуктивный трафик — контексты изолированы на уровне Data Plane.
MSSP-сценарии. Провайдер управляемых услуг безопасности может обслуживать нескольких клиентов с одного физического узла, предоставляя каждому независимый контекст с собственными политиками и журналированием. При предоставлении контекстов внешним организациям необходимо учитывать, что полная административная изоляция VCE не реализована. VCE не является решением класса Multitenancy; административная изоляция между контекстами не является полной.
Минимальные требования для создания контекста: 2 логических ядра и 8 ГБ оперативной памяти для классического контекста (VCE NGFW), 4 ядра и 8 ГБ для высокопроизводительного контекста (VCE VPP).
VLAN и LACP: плотность подключений без дополнительного оборудования
Ideco NGFW Novum поддерживает VLAN (802.1Q) для логического разделения трафика на уровне L2 и LACP (Link Aggregation Control Protocol) для агрегации физических интерфейсов, включая 10G SFP+, 25G и 40G.
LACP позволяет объединить несколько физических каналов в один логический с суммированием полосы пропускания и автоматическим переключением при отказе одного из каналов. Для высокоплотных подключений — например, при подключении нескольких коммутаторов уровня доступа — это исключает необходимость отдельного оборудования для агрегации.
Сочетание VLAN и LACP позволяет строить многоуровневую сетевую топологию на одном NGFW: разные VLAN на агрегированных интерфейсах, каждый VLAN привязан к соответствующей зоне безопасности, политики применяются на уровне зон.
Динамическая маршрутизация и PBR поверх зональной политики
Zone-Based Firewall определяет, какой трафик пропускается между зонами. Маршрутизация определяет, куда этот трафик направляется. В Ideco NGFW Novum оба механизма работают совместно.
Поддерживаются следующие протоколы динамической маршрутизации: OSPF, BGP, EIGRP. Это обеспечивает интеграцию с операторскими сетями и датацентровыми инфраструктурами без ручного прописывания маршрутов при изменении топологии.
PBR (Policy-Based Routing, маршрутизация на основе политик) позволяет управлять направлением трафика не на основе адреса назначения, а на основе заданных условий: адрес источника, тип трафика, зона. Это даёт возможность явно разделить потоки — например, направить трафик подрядчиков через отдельный канал, не меняя политики для основных пользователей.
Обработка пакета проходит последовательно через пять уровней: Direct connected, PBR, статическая маршрутизация, динамическая маршрутизация (BGP, OSPF), маршрутизация внешних сетей. При нахождении маршрута в таблицах PBR, статической маршрутизации или маршрутизации внешних сетей пакет передаётся в SD-WAN для выбора next hop с проверкой его доступности.
DMZ: публикация сервисов с контролем на входе
DMZ (demilitarized zone) — зона, изолированная как от внешней сети, так и от внутренней корпоративной инфраструктуры. Сервисы в DMZ доступны из интернета, но компрометация любого из них не открывает прямого пути во внутреннюю сеть.
В Ideco NGFW Novum публикация сервисов через DMZ реализована через обратный прокси с поддержкой HTTPS, TLS 1.3 и SSL-инспекции. Трафик из внешней сети попадает в обратный прокси, проходит через WAF (Web Application Firewall) и только затем направляется к внутреннему ресурсу. Атакующий видит только публичный IP-адрес NGFW, внутренняя топология не раскрывается.
WAF в обратном прокси работает в двух режимах: обнаружение и блокировка (подозрительные запросы блокируются и логируются) или только обнаружение (логирование без блокировки). Сертификаты для публикуемых ресурсов могут запрашиваться и устанавливаться автоматически через Let's Encrypt при корректно настроенной публикации и доступности ACME-проверки.
Один внешний IP-адрес позволяет публиковать несколько ресурсов с разными URL-путями: запросы на один адрес маршрутизируются к разным внутренним серверам в зависимости от запрошенного пути. Это типичный сценарий для публикации нескольких приложений через единую точку входа.
Практический сценарий: офис, ЦОД и DMZ на одном узле
Рассмотрим типичную архитектуру организации с несколькими функциональными зонами.
Корпоративная зона содержит рабочие станции пользователей и общие ресурсы. Зона ЦОД содержит серверы приложений и базы данных. DMZ содержит веб-сервер и API-шлюз, доступные из интернета. Технологическая зона (если применимо) содержит оборудование АСУ ТП, изолированное от корпоративного сегмента.
На Ideco NGFW Novum настраиваются четыре зоны. Между зонами действуют явные политики: из корпоративной зоны в ЦОД разрешены только протоколы корпоративных приложений на конкретных портах; из DMZ в ЦОД разрешены только запросы к базам данных от конкретных серверов приложений; из интернета в DMZ трафик проходит через обратный прокси с WAF; из технологической зоны трафик в корпоративную зону разрешён только в строго определённых направлениях.
Динамический маршрутизатор (OSPF) поддерживает актуальные маршруты между зонами при изменении топологии. PBR направляет трафик подрядчиков через отдельный канал. Кластер active-passive обеспечивает отказоустойчивость: отказ одного узла не приводит к потере активных сессий, время восстановления из резервной копии — около 30 секунд.
Добавление нового сервиса сводится к его размещению в соответствующей зоне и определению необходимых межзональных правил. Существующие политики не меняются — архитектура расширяется без риска деградации защиты.
Что даёт зональная архитектура на практике
Компрометация узла в DMZ не открывает доступа к ЦОД — между зонами явный deny-by-default. Атакующий, получивший контроль над веб-сервером, упирается в межзональную политику и не может продвинуться дальше без отдельной уязвимости в самом NGFW.
Контроль трафика сосредоточен в единой точке. Все межзональные потоки проходят через NGFW: логирование, инспекция IPS, применение политик. Это упрощает расследование инцидентов и подготовку к аудиту.
Масштабирование инфраструктуры не ломает политику безопасности. Новый сервер в существующей зоне автоматически получает все действующие межзональные правила. Новая зона добавляется с явным описанием, что ей разрешено, а что нет.
Производительность не деградирует при росте числа правил. Компилируемый файрвол на архитектуре VPP+DPDK обеспечивает обработку при 100 000 правил без линейного роста задержки.
Посмотреть, как это работает в Ideco NGFW Novum и запросить демо



























