«Безопасность — это не проталкивание пакетов через интерфейсы. Это построение границ доверия, где каждая новая зона — это новая модель угроз и новая политика доступа. Прослойка DMZ — не просто ‘полувнешняя сеть’, а контролируемая площадка для боя, где вы готовы к компрометации. А переход на зонные политики — это признание того, что реальная сетевая инфраструктура не укладывается в схемы из учебников.»
Основные архитектуры безопасности
Межсетевой экран — это не просто фильтр, а механизм, реализующий политику доверия между сегментами сети. Его работа строится на анализе трёх ключевых параметров любого сетевого потока.
- Источник (Source) — отправная точка, определяемая IP-адресом или подсетью.
- Назначение (Destination) — конечный адрес и порт службы.
- Протокол и служба — тип трафика (TCP/UDP) и конкретное приложение, определяемое номером порта или анализом содержимого пакетов.
Классический firewall работает на сетевом (L3) и транспортном (L4) уровнях, проверяя заголовки пакетов. Более продвинутые решения — межсетевые экраны уровня приложений (L7) — анализируют содержимое, распознавая, например, команды внутри HTTP-сессии или тип передаваемого файла.
Частная и публичная сети: базовая модель
Простейшая архитектура делит мир на две части: доверенную внутреннюю сеть (Inside) и недоверенную внешнюю (Outside), которой обычно является интернет. Прямой доступ извне внутрь блокируется по умолчанию.
Логика работы строится на трёх принципах:
| Направление трафика | Типовое правило | Механика |
|---|---|---|
| Изнутри → наружу | Разрешить | Основной разрешающий поток для работы пользователей. |
| Снаружи → внутрь | Запретить | Блокировка несанкционированных попыток входа. |
| Ответный трафик | Разрешить по состоянию | Автоматическое разрешение для ответов на установленные исходящие сессии. |
Ключевая технология здесь — stateful inspection (инспекция с отслеживанием состояния). Межсетевой экран хранит таблицу активных соединений. Если внутренний хост инициировал сессию, ответные пакеты пропускаются автоматически. Новая попытка соединения извне будет заблокирована, так как для неё нет разрешённой записи в таблице состояний.
Ограничение модели: Эта архитектура неприменима, если у организации есть сервисы, которые должны быть доступны из интернета. Размещение такого сервиса внутри сети означает либо создание опасной «дыры» в правилах, либо его полную недоступность. Решение — создание промежуточной зоны.
Демилитаризованная зона (DMZ)
DMZ — это изолированный сегмент для публичных сервисов, принимающий на себя удар извне. Архитектура становится трёхзвенной: внутренняя сеть, интернет и DMZ. В этой зоне размещают веб-серверы, почтовые шлюзы, публичные DNS.
Политика строится на жёстком ограничении потоков, особенно из DMZ во внутреннюю сеть. Основной принцип: компрометация сервера в DMZ не должна открывать путь вглубь инфраструктуры.
| Маршрут трафика | Типовое правило | Обоснование |
|---|---|---|
| Снаружи → DMZ | Выборочно разрешён | Публичные сервисы должны быть доступны. |
| DMZ → Снаружи | Выборочно разрешён | Для ответного трафика, обновлений, отправки почты. |
| Внутри → DMZ/Снаружи | Разрешён | Доступ сотрудников к интернету и администрирование DMZ. |
| DMZ → Внутри | Запрещён или строго ограничен | Ключевое правило. Защита ядра сети. |
| Снаружи → Внутри | Запрещён | Прямой доступ из интернета блокируется. |
Сценарий атаки: Если злоумышленник получает контроль над сервером в DMZ, его следующая цель — «перепрыгнуть» во внутреннюю сеть. Правильно настроенная политика «DMZ → Inside» (полный запрет или разрешение только для строго необходимых портов, например, для резервного копирования на выделенный хост) остановит атаку на границе.
Межсетевые экраны на основе политик зон (Zone-Based Policy Firewall)
В сложных сетях с множеством внутренних сегментов, DMZ и каналами к партнёрам управление политикой «интерфейс-интерфейс» становится невыносимым. Концепция зон решает эту проблему.
Зона безопасности (Security Zone) — это логический контейнер для интерфейсов со схожим уровнем доверия. Например, «Inside-Corporate», «Inside-Guest-WiFi», «DMZ-Web», «Partner-Network», «Internet».
Политики определяются между зонами, а не интерфейсами. Ключевой принцип — «deny by default» (запрещено по умолчанию). Если для пары зон не создана явная разрешающая политика, весь трафик между ними блокируется. Это исключает случайно оставленные «дыры».
Преимущества подхода:
- Абстракция — работа с логическими группами, а не физическими портами. Добавление нового интерфейса в зону не требует переписывания правил.
- Централизованность — одна политика между «Inside-Corporate» и «Internet» действует для всех VLAN и каналов.
- Ясность — конфигурация отражает документированную политику безопасности.
Особый случай: Self Zone
Self Zone — это зона для трафика, направленного на само устройство управления (маршрутизатор, межсетевой экран) или исходящего от него. Сюда входит трафик плоскости управления и администрирования:
- Удалённое управление: SSH, HTTPS.
- Мониторинг: SNMP, Syslog.
- Протоколы маршрутизации: OSPF, BGP.
- Службы: NTP, TACACS+/RADIUS.
Для Self Zone политика «deny by default» не применяется автоматически. Если правила не настроены явно, служебный трафик может быть заблокирован, что приведёт к потере управления устройством или сбою маршрутизации. Настройка политик для Self Zone — критически важный этап, который часто упускают.
Малоочевидный нюанс: При использовании ZPF трафик в пределах одной зоны (например, между разными VLAN внутри зоны «Inside») не инспектируется межсетевым экраном. Политики применяются только на пересечении зон. Для контроля между внутренними сегментами их необходимо разместить в разных зонах.
Сравнение архитектур
| Критерий | Два интерфейса (Inside/Outside) | Три интерфейса (с DMZ) | Zone-Based Policy Firewall |
|---|---|---|---|
| Уровень сложности сети | Минимальный | Базовый | Средний и высокий |
| Поддержка публичных сервисов | Нет (или небезопасно) | Да, через DMZ | Да, через выделенные зоны |
| Гибкость и масштабируемость | Низкая | Ограниченная | Высокая |
| Базовый принцип безопасности | Stateful Inspection | Stateful Inspection + изоляция DMZ | Deny-by-default между зонами |
| Сложность администрирования | Низкая | Растёт с ростом инфраструктуры | Высокая на этапе проектирования, упрощает долгосрочное управление |
Эволюция от простого периметра к зонному межсетевому экрану — это ответ на размытие границ доверия. В современных гибридных сетях эти границы проходят между десятками логических доменов внутри самой организации. Архитектура на основе зон — это инструмент для управления безопасностью в условиях этой сложности.