В последние месяцы российский рынок столкнулся с заметным ростом кибератак на коммерческие и государственные организации. Особенно уязвимыми оказываются компании, где роль межсетевого экрана до сих пор выполняют устройства, ориентированные на L3/L4‑фильтрацию по портам и IP‑адресам — чаще всего это MikroTik и другие популярные маршрутизаторы без функциональности NGFW (Next Generation Firewall).​
Кажется, что базовый L4‑фаервол в роутере — это «достаточно». Но сегодня такой подход к фильтрации трафика уже не защищает от современных атак, туннелей и обходов через VPN. В этой статье разбираем, чем принципиально отличается NGFW с фильтрацией на уровне приложений (L7) от классических L3/L4‑решений, почему одной фильтрации по портам недостаточно и как L7‑контроль повышает уровень безопасности бизнеса.​

Классические сетевые фильтры (как правило, в маршрутизаторах уровня MikroTik) опираются на простую модель: блокировать или разрешать трафик по IP‑адресам и портам. Это называется фильтрацией на уровне L3/L4 модели OSI и воспринимается как базовый межсетевой экран.​

Что умеет L4‑фильтрация в роутерах и простых фаерволах:

• Блокировка по IP и порту (например, запретить всё, кроме 443/TCP).​
• Контроль исходящего и входящего трафика на основе простых правил доступа.​
• Возможность разделить внешние и внутренние сегменты сети на уровне адресов и портов.​

Но такая фильтрация не умеет:

• Отличить Telegram от Zoom, если оба используют один и тот же порт 443.​
• Проанализировать содержимое трафика (payload) — оно может быть зашифровано и скрывать атаки.​
• Защитить от туннелирования через разрешённые порты (VPN, Proxy, SSH‑туннели).​
• Предотвратить утечки данных, загрузку вредоносных файлов и фишинговые атаки на уровне приложений.​
• Именно из‑за этого L3/L4‑фильтрация давно утратила статус полноценного средства защиты от реальных угроз и может рассматриваться только как базовый сетевой фильтр. Она — как турникет на входе, который проверяет только наличие карты, но не сверяет лицо, цель визита и наличие запрещённых предметов.​

Фильтрация на уровне приложений (L7), реализуемая в решениях класса NGFW (например, Ideco NGFW), работает иначе. Такой Next Generation Firewall анализирует не только заголовки трафика, но и его содержимое (payload), включая зашифрованный трафик через DPI (Deep Packet Inspection) и технологии расшифровки.​​

Это позволяет NGFW с L7‑контролем:

• Определять, какое именно приложение или сервис инициирует соединение, даже если используется один и тот же порт.​
• Блокировать обходы через VPN, прокси, TOR и другие туннели, маскирующиеся под разрешённый HTTPS‑трафик.​
• Реализовывать гибкую политику доступа: разрешить просмотр видео, но запретить загрузку файлов или передачу данных в облачные хранилища.​
• Встраивать антивирусную фильтрацию, IDS/IPS, ZTNA и Zero Trust‑подход в единую платформу безопасности.​​

Примеры использования L7‑фильтрации в NGFW:

• Telegram через порт 443: NGFW распознаёт приложение по сигнатурам и характеристикам трафика и блокирует его, даже если порт 443 разрешён для веб‑доступа.​
• AnyDesk с заражённого устройства: система выявляет и блокирует скрытое удалённое управление, фиксирует аномальное поведение и может передать событие в SIEM.​
• VPN‑подключение из‑за рубежа: NGFW фиксирует аномалию по геолокации и паттернам трафика, блокирует соединение или требует дополнительное подтверждение (например, 2FA).​
• Флешка запустила троян и тот пытается подключаться к инфраструктуре злоумышленников: DPI и IDS/IPS инспектируют трафик, отправляют события в SIEM и обеспечивают мгновенное оповещение.​

Таким образом, L7‑фильтрация в NGFW превращает «прозрачный» L4‑трафик в управляемый поток приложений и пользователей, с которым можно выстраивать осознанную политику информационной безопасности.​​

MikroTik — массовый и доступный маршрутизатор, широко используемый в бизнесе для L3/L4‑маршрутизации и базовой фильтрации по портам. Но MikroTik не является полнофункциональным средством обеспечения информационной безопасности класса NGFW и не заменяет Next Generation Firewall с L7‑контролем приложений.​​

Его уязвимости становятся источником постоянных атак:

• CVE‑2023‑30799 — критическая уязвимость, позволявшая получить root‑доступ; после публикации эксплойта десятки тысяч устройств MikroTik по всему миру оказались под угрозой, до 900 тыс. уязвимых устройств находилось в Shodan.​
• CVE‑2018‑14847 — уязвимость, позволявшая обойти авторизацию и читать конфигурации устройств.​
• Десятки попыток эксплуатации MikroTik фиксируются ежедневно на honeypot‑платформах, что подтверждает интерес автоматизированных бот‑сетей к этим устройствам.​

Сам факт того, что MikroTik активно ищется в Shodan и целенаправленно атакуется ботами, делает его крайне рискованным для бизнеса, особенно при прямом доступе из интернета и использовании как единственного фаервола. Для роли межсетевого экрана уровня NGFW требуется отдельное решение с L7‑фильтрацией, IDS/IPS, DPI и Zero Trust‑подходом к доступу.

Применение NGFW — это не про «сменить железку», а про выстроить процесс комплексной защиты сети и пользователей. Next Generation Firewall с L7‑фильтрацией, DPI, IDS/IPS и Zero Trust‑механизмами становится технологической основой стратегии информационной безопасности.​​

5 этапов, которые помогает реализовать NGFW:

1. Предотвращение угроз: фильтрация трафика на уровне приложений (L7 Application Control), DPI, IPS, GeoIP‑фильтрация, ZTNA и блокировка вредоносных ресурсов.​​
2. Безопасный доступ: корпоративный VPN, двухфакторная аутентификация (2FA), проверка устройств на наличие антивируса и обновлений, контроль доступа по политике Zero Trust.​​
3. Контроль внутри сети: сегментация, Zero Trust‑подход, Zone Based Firewall, ограничение lateral movement между сегментами и критическими системами.​​
4. Выявление атак: журналирование, поиск аномалий, интеграция с SIEM и другими системами мониторинга безопасности.​
5. Реакция и разбор: полные логи, отчёты, уведомления, удобные инструменты расследования инцидентов и последующего анализа.​

Ideco NGFW сочетает эти возможности в одной платформе, чтобы бизнес получал не только фильтрацию по портам, но и полноценный L7‑контроль приложений, защиту от обходов и готовность к реагированию на инциденты.​​

Если вы до сих пор используете маршрутизаторы уровня MikroTik как «основу безопасности» и полагаетесь только на L3/L4‑фильтрацию по портам, рекомендуем начать с быстрой проверки инфраструктуры. Это поможет оценить реальные риски и понять, где необходима установка NGFW с L7‑фильтрацией и DPI.​​

На что обратить внимание:

• Какие устройства доступны из интернета? Найдите свои маршрутизаторы и сервисы в Shodan и оцените открытые порты и сервисы.​
• Как реализован доступ в офисы и филиалы? Связка VPN + NGFW позволит не только подключать филиалы, но и фильтровать, сегментировать и контролировать трафик между ними.​
• Есть ли сегментация сети? Если сеть «плоская», это уже риск распространения атак и вредоносного ПО внутри периметра.​
• Какая видимость у ИТ и ИБ? Без отчётов, логов и аналитики невозможно оценить состояние безопасности, а без контроля нет и устойчивой защиты.​

В условиях текущей киберугрозы недостаточно просто «поставить роутер с фаерволом» и настроить несколько L4‑правил по портам. Защита — это процесс, а NGFW с L7‑фильтрацией, DPI, IDS/IPS, Zero Trust и интеграцией с SIEM становится его технологической основой.​​
Без глубокого анализа трафика на уровне приложений, видимости конкретных сервисов и пользователей и интеграции с другими системами безопасности невозможно защититься от современных атак, обходов через VPN и утечек данных. Ideco NGFW даёт бизнесу не просто фильтрацию, а полноценный контроль трафика, устойчивость к обходам и готовность к реагированию на инциденты.​