Почему фильтрации по портам недостаточно:
L7 против L4 глазами безопасности

Классические сетевые фильтры (как правило, в маршрутизаторах уровня MikroTik) опираются на простую модель: блокировать или разрешать трафик по IP-адресам и портам. Это называется фильтрацией на уровне L3/L4 модели OSI.

Что умеет L4-фильтрация:

• Блокировка по IP и порту (например, запретить всё, кроме 443/TCP).
• Контроль исходящего и входящего трафика на основе простых правил.
• Возможность “разделить” внешние и внутренние сегменты.

Но она не умеет:

• Отличить Telegram от Zoom, если оба используют порт 443.
• Проанализировать содержимое трафика — оно может быть зашифровано.
• Защитить от туннелирования через разрешённые порты (VPN, Proxy).
• Предотвратить утечки данных, загрузку вредоносных файлов и фишинг.

Именно из-за этого L4-фильтрация давно утратила статус средства защиты от реальных угроз. Она — как турникет на входе, который проверяет только наличие карты, но не сверяет лицо, цель визита и наличие запрещённых предметов.

Фильтрация на уровне приложений (L7), реализуемая в решениях класса NGFW (например, Ideco NGFW), работает иначе. Она анализирует не только заголовки трафика, но и его содержимое (payload), включая зашифрованный трафик. Это позволяет:

• Определять, какое именно приложение инициирует соединение.
• Блокировать обходы через VPN, прокси, TOR, туннели.
• Реализовывать гибкую политику доступа: разрешить просмотр видео, но запретить загрузку файлов.
• Встроить антивирусную фильтрацию, IDS/IPS, ZTNA.

MikroTik — массовый и доступный инструмент, широко используемый в бизнесе. Но это не средство обеспечения информационной безопасности. Его уязвимости становятся источником постоянных атак:

• CVE-2023-30799 — критическая уязвимость, позволявшая получить root-доступ. После публикации эксплойта в интернете — десятки тысяч устройств по всему миру оказались под угрозой. До 900 тыс. уязвимых устройств находилось в Shodan.
• CVE-2018-14847 — возможность обхода авторизации и чтения конфигураций.
• Десятки попыток эксплуатации фиксируются ежедневно на honeypot-платформах.

Сам факт того, что MikroTik активно ищется в Shodan и атакуется автоматизированными ботами, делает его крайне рискованным для бизнеса, особенно при прямом доступе из интернета.

Применение NGFW — это не про “сменить железку”, а про выстроить процесс защиты.

5 этапов, которые решает NGFW:

1. Предотвращение угроз — фильтрация, DPI, IPS, GeoIP, ZTNA.
2. Безопасный доступ — VPN, 2FA, проверка устройств на наличие антивируса и обновлений.
3. Контроль внутри сети — сегментация, Zero Trust, Zone Based Firewall.
4. Выявление атак — журналирование, аномалия-дейтекшн, интеграция с SIEM.
5. Реакция и разбор — полные логи, отчёты, уведомления.

Если вы до сих пор используете маршрутизаторы уровня MikroTik как “основу безопасности”, настоятельно рекомендуем начать с проверки.

В условиях текущей киберугрозы недостаточно просто “поставить роутер с фаерволом”. Защита — это процесс, а NGFW — его технологическая основа. Без глубокого анализа трафика, видимости приложений и интеграции с другими системами невозможно защититься от современных атак, обходов и утечек.
Ideco NGFW даёт бизнесу не просто фильтрацию — а полноценный контроль, устойчивость к обходам и готовность к реагированию.
Если вы хотите повысить защищённость своей компании — приглашаем на консультацию или бесплатный пилот Ideco NGFW. Команда специалистов поможет оценить вашу текущую инфраструктуру и предложить оптимальный сценарий внедрения.