В плоской сети компрометация любого узла открывает атакующему прямой путь ко всей инфраструктуре. Рабочая станция сотрудника, база данных, веб-сервер и промышленный контроллер находятся в одном адресном пространстве — нет барьеров для lateral movement (горизонтального перемещения злоумышленников), нет контроля межсегментного трафика. Злоумышленник, получивший доступ к одному хосту, может свободно перемещаться по сети, проводить разведку и атаковать критичные ресурсы.

Типичный сценарий атаки в плоской сети: фишинговое письмо → компрометация рабочей станции → ARP-spoofing или pass-the-hash → доступ к контроллеру домена → дамп учётных записей → полный контроль над инфраструктурой. Весь путь занимает от нескольких часов до суток (а при использовании злоумышленниками AI-агентов сокращается иногда до минут). В сегментированной сети каждый шаг требует преодоления дополнительного периметра с инспекцией трафика (и здесь появляются аленты от IPS и время для сотрудников ИБ чтобы заблокировать зараженные хосты).

Что даёт сегментация

• Containment: компрометация одного сегмента не распространяется на остальные
• Visibility: весь межсегментный трафик проходит через точку инспекции, логируется и проверяется IPS
• Compliance: выполнение требований ФСТЭК, PCI DSS, ISO 27001 по изоляции критичных систем
• Microsegmentation: возможность применять разные политики безопасности для каждой группы ресурсов
• Blast radius reduction: ограничение ущерба при успешной атаке — злоумышленник остаётся в границах одного сегмента

Ideco NGFW Novum реализует зональную модель безопасности на основе Zone-Based Firewall (ZBF) в сочетании с виртуальными контекстами (VCE), VLAN и механизмами динамической маршрутизации. Всё управление сосредоточено в единой консоли.

Zone-Based Firewall (ZBF)
В ZBF политика задаётся не для отдельных интерфейсов, а для пар зон. Интерфейсы объединяются в зоны с одинаковым уровнем доверия: LAN, WAN, DMZ, DMZ-Web, ICS/SCADA, Management и т.д. Правило вида «из зоны A в зону B разрешены только HTTPS и DNS» применяется автоматически ко всем интерфейсам, входящим в эти зоны.

Ключевой принцип — default deny: трафик, для которого нет явного разрешения, запрещён. Это исключает ситуацию, когда новый интерфейс добавляется в сеть без политики безопасности.

Виртуальные контексты (VCE)
Virtual Context Engine позволяет запустить несколько логически изолированных NGFW на одном физическом или виртуальном узле. У каждого контекста — свои сетевые интерфейсы, таблицы маршрутизации, политики безопасности и выделенные вычислительные ресурсы (CPU, RAM). Контексты не имеют общих ресурсов и не могут взаимодействовать без явной политики маршрутизации трафика.

Практические сценарии применения VCE: холдинг с несколькими юридическими лицами на одном оборудовании; разделение корпоративного и технологического сегментов АСУ ТП; мультиарендная модель для MSP, где каждый клиент получает изолированный контекст. Администраторы системного контекста сохраняют доступ к конфигурации дочерних VCE для централизованного управления и аудита.

VLAN и LACP
Поддержка IEEE 802.1Q позволяет организовать логическое разделение трафика на уровне L2 без дополнительного коммутационного оборудования. Каждый VLAN может быть привязан к отдельной зоне ZBF, получив тем самым собственную политику безопасности. LACP (IEEE 802.3ad) обеспечивает агрегацию каналов для отказоустойчивости и увеличения пропускной способности между сегментами с высоким трафиком (например, LAN ↔ Storage).

Что такое DMZ и зачем она нужна
DMZ (Demilitarized Zone) — сетевой сегмент, изолированный от внутренней сети и доступный из интернета. Назначение DMZ: разместить публично доступные сервисы таким образом, чтобы их компрометация не предоставила атакующему доступ к внутренним ресурсам. В Ideco NGFW Novum предустановленной зоны DMZ по умолчанию нет — администратор создаёт её вручную, что исключает случайное включение ресурсов в публичный сегмент. Мы также рекомендуем не использовать «одну DMZ» для многих сервисов, а стремится к микросегментации, DMZ-web, DMZ-1C, DMZ-crm, DMZ-mail и т.д.

Классическая схема: интернет → WAN-интерфейс NGFW → DMZ → сервисы (веб, почта, API) → NGFW → LAN. Трафик между WAN и LAN напрямую не ходит никогда. Сервисы в DMZ видят только то, что им явно разрешено — соединения инициируются изнутри, а не снаружи.

Что такое DMZ и зачем она нужнаDMZ (Demilitarized Zone) — сетевой сегмент, изолированный от внутренней сети и доступный из интернета. Назначение DMZ: разместить публично доступные сервисы таким образом, чтобы их компрометация не предоставила атакующему доступ к внутренним ресурсам. В Ideco NGFW Novum предустановленной зоны DMZ по умолчанию нет — администратор создаёт её вручную, что исключает случайное включение ресурсов в публичный сегмент. Мы также рекомендуем не использовать «одну DMZ» для многих сервисов, а стремится к микросегментации, DMZ-web, DMZ-1C, DMZ-crm, DMZ-mail и т.д.
Классическая схема: интернет → WAN-интерфейс NGFW → DMZ → сервисы (веб, почта, API) → NGFW → LAN. Трафик между WAN и LAN напрямую не ходит никогда. Сервисы в DMZ видят только то, что им явно разрешено — соединения инициируются изнутри, а не снаружи.

Архитектурные варианты DMZ

WAF и обратный прокси
Трафик к опубликованным ресурсам проходит через встроенный обратный прокси с WAF, не попадая напрямую во внутреннюю сеть. WAF выполняет инспекцию HTTP/HTTPS на уровне L7: блокирует OWASP Top 10 (SQLi, XSS, SSRF, RCE), анализирует заголовки, фильтрует аномальные запросы. Внутренняя топология остаётся скрытой: клиент видит только IP-адрес NGFW, реальный адрес backend-сервера не раскрывается.

Дополнительные возможности обратного прокси: TLS-offloading (NGFW терминирует TLS, внутренний трафик — plain HTTP или переустановленный TLS), балансировка нагрузки между несколькими backend-серверами в DMZ, rate limiting для защиты от DDoS на уровне приложения, инъекция security headers (HSTS, CSP, X-Frame-Options).

Архитектура VPP (Vector Packet Processing) обрабатывает пакеты в user space, минуя системные вызовы ядра. Для внутренних сегментов с интенсивным E-W трафиком (например, серверный сегмент) это позволяет применять зональную политику без запуска полного DPI на каждый пакет. DPI включается только там, где он действительно нужен: на периметре и при публикации сервисов.

Поддержка OSPF, BGP и EIGRP позволяет управлять межсегментными потоками трафика без перестройки физической топологии. При добавлении новой площадки или сегмента маршруты обновляются автоматически. Policy-Based Routing (PBR) используется для принудительного направления трафика через определённый путь — например, весь трафик из сегмента BYOD всегда идёт через дополнительный прокси с более строгой инспекцией, независимо от таблицы маршрутизации.

Типичные сценарии маршрутизации

• BGP: анонсирование DMZ-сети через публичный uplink, фильтрация prefix-листами
• OSPF: автоматическое обновление маршрутов при добавлении нового офиса или VLAN
• PBR: трафик из IoT-сегмента → через sandbox-инспекцию перед выходом в интернет
• PBR: резервный канал для критичных сегментов (АСУ ТП, финансы) при падении основного
• EIGRP: в гибридных средах с оборудованием Cisco при миграции на Ideco NGFW

Корпоративная сеть с несколькими подразделениями
Организация с HR, финансами, разработкой и производством. Каждый отдел — отдельная зона. Между зонами нет нефильтрованного доступа: финансисты не могут обратиться к серверам разработки, производство не имеет доступа к HR-системам. Весь межсегментный трафик логируется и проверяется на аномалии. При инциденте blast radius ограничен одним сегментом.

Промышленное предприятие с АСУ ТП
Технологический сегмент (PLC, SCADA, HMI) изолирован от корпоративной сети через выделенную зону ICS/OT. Связь строго однонаправленная: из корпоративной сети к SCADA-серверу разрешён только read-only доступ по специфичному протоколу (Modbus TCP, OPC-UA). Обратный трафик — запрещён. Обновления на ПЛК доставляются через выделенный jumphost в отдельной зоне Management, без прямого доступа из корпоративного сегмента к промышленным контроллерам.

Публикация веб-сервисов и API
Компания размещает публичный веб-портал и REST API в DMZ. Трафик из интернета терминируется на обратном прокси с WAF — реальные IP-адреса серверов не раскрываются. WAF блокирует SQLi, XSS, SSRF, аномальные паттерны запросов и попытки брутфорса. API-сервер в DMZ обращается к БД во внутренней сети строго по белому списку IP и портов. Отдельная политика ограничивает rate limit для каждого клиентского IP: не более 1000 запросов в минуту.

Мультиарендная инфраструктура через VCE
Хостинг-провайдер или MSP размещает нескольких клиентов на одном физическом NGFW. Каждый клиент получает выделенный виртуальный контекст (VCE) с изолированными интерфейсами, политиками и таблицами маршрутизации. Клиенты не видят трафик друг друга. Провайдер управляет всеми контекстами через системный контекст с централизованным аудитом. Для каждого клиента создаётся своя DMZ, LAN и WAN в рамках его контекста.

Ценность сегментации определяется не только тем, что заблокировано, но и тем, что зафиксировано. Ideco NGFW Novum логирует все события policy deny, аномальные соединения и срабатывания WAF/IPS в реальном времени. Логи экспортируются в SIEM (Syslog, CEF) для корреляции событий и построения алертов.

• Flow logging: учёт всего межзонного трафика — источник, назначение, байты, пакеты
• DENY-логи: каждое заблокированное соединение с причиной отклонения
• WAF-логи: атаки на уровне приложений с расшифровкой вектора (SQLi, XSS, ...)
• IPS-логи: сигнатурные срабатывания с CVE-ссылками
• NetFlow v9 / IPFIX: экспорт в NetFlow-коллектор для ретроспективного анализа
• Интеграция с SIEM: Syslog (RFC 5424), CEF, JSON webhook для Splunk / ELK / MaxPatrol SIEM

Рекомендуемый baseline-мониторинг для DMZ: алерт при первом соединении из DMZ во внутреннюю сеть на порт, не входящий в белый список; алерт при более чем 10 DENY в минуту с одного IP в DMZ; алерт при попытке соединения из DMZ на управляющий сегмент (Management VLAN).

Архитектура зональной безопасности в Ideco NGFW Novum переводит сеть из плоской модели «всё доверяет всему» в модель явных разрешений с инспекцией на каждой границе. Добавление нового сервиса или площадки не требует перестройки существующих политик: новый интерфейс подключается к зоне и автоматически получает все действующие правила.