惯性聚合 高效追踪和阅读你感兴趣的博客、新闻、科技资讯
阅读原文 在惯性聚合中打开

推荐订阅源

Hacker News: Ask HN
Hacker News: Ask HN
Last Week in AI
Last Week in AI
J
Java Code Geeks
V
Visual Studio Blog
The Cloudflare Blog
Hugging Face - Blog
Hugging Face - Blog
博客园_首页
宝玉的分享
宝玉的分享
博客园 - Franky
博客园 - 【当耐特】
Jina AI
Jina AI
月光博客
月光博客
T
Tailwind CSS Blog
Recent Announcements
Recent Announcements
Apple Machine Learning Research
Apple Machine Learning Research
SecWiki News
SecWiki News
H
Heimdal Security Blog
Y
Y Combinator Blog
www.infosecurity-magazine.com
www.infosecurity-magazine.com
Google DeepMind News
Google DeepMind News
Microsoft Security Blog
Microsoft Security Blog
钛媒体:引领未来商业与生活新知
钛媒体:引领未来商业与生活新知
Hacker News - Newest:
Hacker News - Newest: "LLM"
K
KPMG report finds enterprise disconnect between AI and its ROI | CIO
cs.AI updates on arXiv.org
cs.AI updates on arXiv.org
S
Secure Thoughts
MongoDB | Blog
MongoDB | Blog
Forbes - Security
Forbes - Security
S
SegmentFault 最新的问题
The GitHub Blog
The GitHub Blog
L
LINUX DO - 最新话题
M
MIT News - Artificial intelligence
Schneier on Security
Schneier on Security
让小产品的独立变现更简单 - ezindie.com
让小产品的独立变现更简单 - ezindie.com
O
OpenAI News
H
Hackread – Cybersecurity News, Data Breaches, AI and More
Vercel News
Vercel News
OSCHINA 社区最新新闻
OSCHINA 社区最新新闻
S
Schneier on Security
罗磊的独立博客
Microsoft Azure Blog
Microsoft Azure Blog
爱范儿
爱范儿
C
Check Point Blog
Cyber Security Advisories - MS-ISAC
Cyber Security Advisories - MS-ISAC
AI
AI
大猫的无限游戏
大猫的无限游戏
MyScale Blog
MyScale Blog
freeCodeCamp Programming Tutorials: Python, JavaScript, Git & More
T
Troy Hunt's Blog
T
The Blog of Author Tim Ferriss

Все публикации подряд на Хабре

Ловим музу за клавиатуру: как айтишнику стать автором Что умеет Midjourney в 2026? Мой немного грустный разбор этого шикарного инструмента Никто не любит писать тесты, но ИИ может исправить это IPv8 выглядит как мечта. Поэтому почти наверняка не взлетит Производители вернули в продажу материнки с DDR3. Что происходит? Управление агентом с телефона через Telegram теперь в KodaCode От координации к лидерству: как меняется роль руководителя разработки Я сделала родителям бизнес вместо пенсии: зарабатываем 70 тысяч, мама не даёт продать В три раза быстрее приемка товара и оптимизация трудозатрат на 73%: как «РСТ-Инвент» помог Gulliver Group ИИ-шечный мир победил? О влиянии искусственного интеллекта на игропром Кремль снижает давление на Телеграмм пока Европа строит интернет по паспорту Как CEO, CTO и CIO за 8 часов собрали ИИ-директора, который умеет держать позицию под давлением Как (не) потерять домен за выходные Вместо 8 разных VPS: как я организовал практику студентам на одном сервере Почему твой Open Source проект не замечают? R&D: искусство управления неопределенностью в разработке AI-дефляция: вакансий для разработчиков больше, а рост зарплат — худший за 15 лет Мы отдали управление роботами OpenClaw. Что из этого вышло Галактический ID: система идентификации для всех форм разумной жизни Шесть основ бизнес-анализа: начинаем с вопроса «Кто в игре?» Код-ревью, в котором дело не в коде Данные переехали. Команда — нет Системной подход к сдаче OSWE в 2025 Почему комната управления реактором покрашена в цвет морской пены 4 YAML-файла вместо PySpark: как аналитикам строить пайплайны без разработчиков LLM-агент для поиска свободных доменов: автоматизируем подбор Когда, зачем и как правильно начинать новую сессию в Claude Code? Как я заставил нейросеть писать макросы для FreeCAD Анатомия ИИ‑агента для подбора персонала. От тысячи резюме к топ‑10 за минуты Опыт разработчика как экономика внимания Автономность как точка невозврата: кто будет субъектом в цифровом будущем Обучение ИИ в «диких» условиях: как рутинные действия превращаются в датасеты Как измерить LLM для задач кибербеза: обзор открытых бенчмарков Где хранить код? Сравнение GitHub, GitLab и Bitbucket Математика объясняет, почему нормальное распределение встречается повсюду Почему ваш FinOps не работает: 12 тезисов от практиков Как подписать проектную документацию УКЭП с использованием бесплатных лицензий Pilot Адаптивное администрирование Sigla Vision Я грузил уран в бочки, а потом 20 лет строил ИТ в атомной отрасли Чем позвонить с Эвереста? История и обзор спутниковой связи. Часть 2 Как языковая модель помогает контролировать качество инструктажей по охране труда в металлургии Как не передать на desktop свой IP в РКН Анатомия SAP Privileges: как устроено управление правами в macOS MoneyDev: Сказка про три главных слова Обновлённый токенизатор видео K-VAE 2.0 от Сбера Как сделать диспетчеризацию дома на 1284 квартиры почти бесплатно Как мы разогнали железную дорогу Мы дали агентам рутину. Теперь надо решить — что делать с освободившимся временем Токсичный контент, промпт-хакинг и защита ИИ — всё о Guardrails для LLM Умный город начинается с точного взгляда: как «Фалькон Тех» меняет пространство к лучшему Навайбкодил приложение для анализа графов Почему Дюну так интересно читать? Упрощаем работу с рутиной или как стать Гендальфом Белым Деконструкция Go: CPU, RAM и что там происходит. Go Assembler база. Часть 1.1 Какие профессии исчезнут из-за ИИ, а какие появятся? И что с этим делать Как мы построили IT-отдел, где хочется расти: архитектурные встречи, прозрачные метрики и книжные подарки Rufler: Делаем из Claude Code автономный рой через один YAML-конфиг Sing-box и белый список приложений Как построить надёжный обмен сообщениями в микросервисах: лучшие практики для enterprise OpenAI строит MLM-пирамиду, а McKinsey и Accenture помогают ей в этом Дом, который не построил Фишер (Часть 2) «Сверхзвуковой математик» против «Вдумчивого логиста»: битва алгоритмов 3D-упаковки Мультимодальные модели – грубый и дорогой инструмент Разговоры ничего не стоят. Код тоже Проверки физических лиц: с кого начнет ФНС Топ-10 бесплатных нейросетей для создания видео в 2026 году Первые слои кода: как наши решения сегодня определяют архитектуру ИИ на десятилетия Разработка нового статического анализатора: PVS-Studio JavaScript Поиск уязвимостей ПО: базовый минимум или роскошный максимум Почему оценка персонала не работает как инструмент управления Как мы разработали ИИ-ассистента и сократили рутину продуктовой команды на 50% Как я ушел из найма, нажарил косточек и продал на маркетплейсах на 168 млн в год Когда 1С:ERP уже внедрена, а нормального производственного плана всё ещё нет Как я сделал Claude мультимодальным, подключив к нему Qwen Omni Как приглашение на вакансию мечты превращается в атаку Infrastructure as Code: философия и лучшие практики IaC Тестируем Yandex Code Assistant на задаче, в которой нужно хранить секреты nxs-universal-chart v3.0: новое поколение универсального Helm-чарта Callback Injection: Техника, которая отправила Microsoft Defender в глухой нокаут «Все идеи на стол»: митап как способ вывести проект из тупика Сегодня я узнал нечто новое о GPU благодаря багу в своей игре Как заставить LLM ̶ ̶г̶а̶л̶л̶ю̶ ̶ эволюционировать Карта событий как фундамент аналитики: практический кейс для E-commerce Что выбрать для AI: x86, ARM или RISC-V? Дайджест железа за март Роль соматических мутаций в развитии аутоиммунных заболеваний: путь к избирательной терапии Mythos от Anthropic — тревожный сигнал для всех, а не только для банков Guardrails для LLM на Java: как приручить промпт‑инъекции и токсичные ответы Green-VLA: как мы собрали VLA-модель для реального антропоморфного робота и не потеряли обобщение Финансовая гонка вооружений: почему умные люди добровольно в ней участвуют Эра ИИ-агентов наступила: выбираем лучшего цифрового сотрудника # Практический опыт внедрения WinCC Redundancy на производственном предприятии Сделал MVP за 3 дня, а потом неделю прикручивал оплату. Оно того стоило? Физика против Маска: почему Starship V3 может оказаться ещё одной катастрофой Нефть Венесуэлы: крупнейшие запасы в мире, но не крупнейшая нефтяная держава JPA 4. Переосмысление Hibernate Почему зеркальная фотокамера Nikon D5 десятилетней давности идеально подошла для миссии «Артемида-2» Проект «Уровень-Спутник» или как мы сделали платформу для гидрологов «Замедлиться, чтобы ускориться»: почему ИИ повышает цену ошибок в требованиях и архитектуре Как с нуля поднять трафик IT-компании на 1657% при бюджете 55 тыс. и выжить Pixel-perfect Downsampling — идеальная отрисовка 50 миллионов точек без потерь
Как разделить корпоративную сеть на изолированные зоны с помощью одного NGFW
Ideco · 2026-06-22 · via Все публикации подряд на Хабре

Средний

8 мин

74

Когда в сети нет сегментации, компрометация любого узла открывает атакующему прямой путь ко всему остальному. Бухгалтерский сервер, производственная АСУ ТП, веб-приложение и рабочая станция стажёра существуют в одном пространстве — с точки зрения сетевой связности между ними нет разницы.

Сегментация решает эту проблему архитектурно: каждая зона изолирована, трафик между зонами проходит только через точку фильтрации, компрометация одного сегмента не даёт автоматического доступа к другим. В этой статье разбираем, как это реализовано в Ideco NGFW Novum версии 22 — на уровне механизмов, а не маркетинговых описаний.

Почему плоская сеть — это архитектурная проблема

Плоская сеть (flat network) — архитектура, в которой все узлы находятся в одном широковещательном домене или имеют нефильтрованную связность друг с другом. Исторически она появляется не как осознанный выбор, а как результат органического роста инфраструктуры: добавили VLAN для удобства, подключили новый сервер, провели ещё один кабель.

Проблема не в том, что плоская сеть неудобна. Проблема в том, что при компрометации любого узла атакующий получает плацдарм для бокового перемещения (lateral movement). Сканирование внутренней сети, попытки аутентификации на соседних хостах, эксплуатация уязвимостей в сервисах, которые никогда не должны были быть доступны снаружи — всё это становится возможным без каких-либо дополнительных привилегий.

Классический пример: веб-сервер в DMZ скомпрометирован через уязвимость в приложении. Если между DMZ и внутренней сетью нет фильтрации, атакующий немедленно получает доступ к базам данных, файловым серверам и рабочим станциям. Сегментация с Zone-Based Firewall этот путь разрывает.

Зональная модель: принцип и отличие от классических ACL

В классическом межсетевом экране правила применяются к интерфейсам или подсетям. Одно правило может разрешать или запрещать трафик между конкретными IP-адресами и портами. При росте инфраструктуры таблица правил становится неуправляемой: сотни записей, которые трудно читать, ещё труднее аудировать и почти невозможно изменить без риска непредвиденных последствий.

Zone-Based Firewall (ZBF) меняет принцип: правила применяются не к интерфейсам, а к парам зон. Трафик из зоны A в зону B обрабатывается по одной политике, трафик из зоны B в зону A — по другой. Зона — это логическая группа интерфейсов с одинаковым уровнем доверия и одинаковыми требованиями к защите.

Это даёт несколько практических преимуществ. Политика читается как намерение: «из корпоративной зоны в DMZ разрешён только HTTPS на порт 443». Добавление нового интерфейса в существующую зону автоматически применяет к нему все действующие политики — без ручного копирования правил. Аудит сводится к проверке межзональных политик, а не к анализу тысяч строк ACL.

Как Zone-Based Firewall реализован в Ideco NGFW Novum

Архитектурная основа — VPP (Vector Packet Processing) и DPDK (Data Plane Development Kit). VPP обрабатывает пакеты в пространстве пользователя (user space) через граф функций, где каждый узел выполняет конкретную операцию: L2-коммутацию, маршрутизацию, применение ACL, IPS-инспекцию. DPDK обеспечивает прямой доступ к сетевым интерфейсам в обход ядра ОС, минимизируя задержки.

Практическое следствие для Zone-Based Firewall: изолированные политики между зонами применяются без необходимости запускать DPI на локальный межсегментный трафик. Если трафик между двумя внутренними зонами не требует инспекции на уровне приложений, он проходит через ZBF без нагрузки на модули DPI и IPS. Это важно для производительности в инфраструктурах с высоким объёмом восток-запад трафика (east-west traffic).

Производительность в режиме межсетевого экранирования без активации модулей DPI, IPS и SSL-инспекции достигает 200 Гбит/с на одном сервере (например, на платформе Ideco NGFW EX); при включении модулей инспекции производительность определяется конфигурацией сервера и набором активных функций. Компилируемый файрвол обеспечивает обработку трафика при 100 000 правил с поддержкой до 1 млн TCP-сессий в секунду в высокопроизводительной конфигурации.

Зоны создаются в интерфейсе как объекты, к которым привязываются сетевые интерфейсы. Межзональные политики задаются в разрезе пары зон с указанием источника, назначения, протокола, порта и действия. Трафик между зонами без явного разрешающего правила запрещён по умолчанию — это принцип deny-by-default, который исключает случайное открытие доступа.

Виртуальные контексты: несколько NGFW на одном сервере или устройстве

Виртуальные контексты (VCE, Virtual Context Engine) — механизм запуска нескольких независимых экземпляров Ideco NGFW Novum на одной инсталляции. Каждый контекст получает изолированные сети, политики безопасности и выделенные вычислительные ресурсы: конкретные логические ядра CPU и оперативную память. Архитектурная основа высокопроизводительного контекста (VCE VPP) — стек VPP (Vector Packet Processing), обеспечивающий обработку трафика в пространстве пользователя. Изоляция обработки трафика реализована через привязку VPP и DPDK к выделенным vCPU каждого контекста — ресурсы выделяются каждому контексту; при исчерпании выделенных ресурсов возможна деградация производительности контекста.

Функционально это аналог VDOM в Fortinet FortiGate, но с принципиальным архитектурным отличием: в версии 22 весь пользовательский трафик обрабатывается непосредственно в VPP Data Plane контекста, а не через legacy-стек. Management Plane остаётся общим и изолированным от Data Plane.

Типовые сценарии применения VCE:

  • Разделение корпоративного и технологического контуров на промышленном предприятии. Оба контура работают на одном физическом устройстве, но с полностью независимыми политиками — логически изолированы и управляются независимыми политиками.

    Администраторы системного контекста сохраняют доступ к конфигурации дочерних VCE.

  • Разделение продуктивной и тестовой среды. Тестирование новых политик не влияет на продуктивный трафик — контексты изолированы на уровне Data Plane.

  • MSSP-сценарии. Провайдер управляемых услуг безопасности может обслуживать нескольких клиентов с одного физического узла, предоставляя каждому независимый контекст с собственными политиками и журналированием. При предоставлении контекстов внешним организациям необходимо учитывать, что полная административная изоляция VCE не реализована. VCE не является решением класса Multitenancy; административная изоляция между контекстами не является полной.

Минимальные требования для создания контекста: 2 логических ядра и 8 ГБ оперативной памяти для классического контекста (VCE NGFW), 4 ядра и 8 ГБ для высокопроизводительного контекста (VCE VPP).

VLAN и LACP: плотность подключений без дополнительного оборудования

Ideco NGFW Novum поддерживает VLAN (802.1Q) для логического разделения трафика на уровне L2 и LACP (Link Aggregation Control Protocol) для агрегации физических интерфейсов, включая 10G SFP+, 25G и 40G.

LACP позволяет объединить несколько физических каналов в один логический с суммированием полосы пропускания и автоматическим переключением при отказе одного из каналов. Для высокоплотных подключений — например, при подключении нескольких коммутаторов уровня доступа — это исключает необходимость отдельного оборудования для агрегации.

Сочетание VLAN и LACP позволяет строить многоуровневую сетевую топологию на одном NGFW: разные VLAN на агрегированных интерфейсах, каждый VLAN привязан к соответствующей зоне безопасности, политики применяются на уровне зон.

Динамическая маршрутизация и PBR поверх зональной политики

Zone-Based Firewall определяет, какой трафик пропускается между зонами. Маршрутизация определяет, куда этот трафик направляется. В Ideco NGFW Novum оба механизма работают совместно.

Поддерживаются следующие протоколы динамической маршрутизации: OSPF, BGP, EIGRP. Это обеспечивает интеграцию с операторскими сетями и датацентровыми инфраструктурами без ручного прописывания маршрутов при изменении топологии.

PBR (Policy-Based Routing, маршрутизация на основе политик) позволяет управлять направлением трафика не на основе адреса назначения, а на основе заданных условий: адрес источника, тип трафика, зона. Это даёт возможность явно разделить потоки — например, направить трафик подрядчиков через отдельный канал, не меняя политики для основных пользователей.

Обработка пакета проходит последовательно через пять уровней: Direct connected, PBR, статическая маршрутизация, динамическая маршрутизация (BGP, OSPF), маршрутизация внешних сетей. При нахождении маршрута в таблицах PBR, статической маршрутизации или маршрутизации внешних сетей пакет передаётся в SD-WAN для выбора next hop с проверкой его доступности.

DMZ: публикация сервисов с контролем на входе

DMZ (demilitarized zone) — зона, изолированная как от внешней сети, так и от внутренней корпоративной инфраструктуры. Сервисы в DMZ доступны из интернета, но компрометация любого из них не открывает прямого пути во внутреннюю сеть.

В Ideco NGFW Novum публикация сервисов через DMZ реализована через обратный прокси с поддержкой HTTPS, TLS 1.3 и SSL-инспекции. Трафик из внешней сети попадает в обратный прокси, проходит через WAF (Web Application Firewall) и только затем направляется к внутреннему ресурсу. Атакующий видит только публичный IP-адрес NGFW, внутренняя топология не раскрывается.

WAF в обратном прокси работает в двух режимах: обнаружение и блокировка (подозрительные запросы блокируются и логируются) или только обнаружение (логирование без блокировки). Сертификаты для публикуемых ресурсов могут запрашиваться и устанавливаться автоматически через Let's Encrypt при корректно настроенной публикации и доступности ACME-проверки.

Один внешний IP-адрес позволяет публиковать несколько ресурсов с разными URL-путями: запросы на один адрес маршрутизируются к разным внутренним серверам в зависимости от запрошенного пути. Это типичный сценарий для публикации нескольких приложений через единую точку входа.

Практический сценарий: офис, ЦОД и DMZ на одном узле

Рассмотрим типичную архитектуру организации с несколькими функциональными зонами.

Корпоративная зона содержит рабочие станции пользователей и общие ресурсы. Зона ЦОД содержит серверы приложений и базы данных. DMZ содержит веб-сервер и API-шлюз, доступные из интернета. Технологическая зона (если применимо) содержит оборудование АСУ ТП, изолированное от корпоративного сегмента.

На Ideco NGFW Novum настраиваются четыре зоны. Между зонами действуют явные политики: из корпоративной зоны в ЦОД разрешены только протоколы корпоративных приложений на конкретных портах; из DMZ в ЦОД разрешены только запросы к базам данных от конкретных серверов приложений; из интернета в DMZ трафик проходит через обратный прокси с WAF; из технологической зоны трафик в корпоративную зону разрешён только в строго определённых направлениях.

Динамический маршрутизатор (OSPF) поддерживает актуальные маршруты между зонами при изменении топологии. PBR направляет трафик подрядчиков через отдельный канал. Кластер active-passive обеспечивает отказоустойчивость: отказ одного узла не приводит к потере активных сессий, время восстановления из резервной копии — около 30 секунд.

Добавление нового сервиса сводится к его размещению в соответствующей зоне и определению необходимых межзональных правил. Существующие политики не меняются — архитектура расширяется без риска деградации защиты.

Что даёт зональная архитектура на практике

Компрометация узла в DMZ не открывает доступа к ЦОД — между зонами явный deny-by-default. Атакующий, получивший контроль над веб-сервером, упирается в межзональную политику и не может продвинуться дальше без отдельной уязвимости в самом NGFW.

Контроль трафика сосредоточен в единой точке. Все межзональные потоки проходят через NGFW: логирование, инспекция IPS, применение политик. Это упрощает расследование инцидентов и подготовку к аудиту.

Масштабирование инфраструктуры не ломает политику безопасности. Новый сервер в существующей зоне автоматически получает все действующие межзональные правила. Новая зона добавляется с явным описанием, что ей разрешено, а что нет.

Производительность не деградирует при росте числа правил. Компилируемый файрвол на архитектуре VPP+DPDK обеспечивает обработку при 100 000 правил без линейного роста задержки.

Посмотреть, как это работает в Ideco NGFW Novum и запросить демо