Контакты
Подписка 2025

Управление правилами межсетевых экранов: от хаоса к гармонии

Мария Кудрявцева, 04/07/25

Цель ухода от иностранного оборудования в критически важных инфраструктурах остается приоритетной для многих российских компаний. Однако несмотря на динамичное развитие отечественных технологий, миграция на них все еще остается сложным процессом, который включает в себя планирование, оценку существующих конфигураций, бюджетирование, обучение персонала, тестирование и поэтапное развертывание.

Автор: Мария Кудрявцева, менеджер продукта Efros DefOps, “Газинформсервис”

Сейчас многие компании находятся на этапе одновременной реализации двух процессов:

  1. Перенос части инфраструктуры на отечественные устройства, главной трудностью которого является осуществление перехода с минимальными потерями.
  2. Поддержка иностранных устройств, не имеющих сопоставимой замены, – как правило, это самое высоконагруженное оборудование на ответственных участках.

Путь переноса правил и замены межсетевых экранов (МЭ) может быть весьма тернистым. Каждый МЭ имеет свою логику, синтаксис и алгоритмы настройки.

Процесс настройки нового МЭ, включая перенос правил, отнимает время, ресурсы и несет высокие риски, обусловленные человеческим фактором, – ошибка, связанная с некорректным переносом, может привести к серьезным последствиям вплоть до недоступности МЭ. А если на устройстве сотни тысяч правил, то ручной вариант перехода практически исключен.

Для автоматизации процесса миграции стоит использовать специализированное ПО, например разработанный компанией "Газинформсервис" комплекс Efros Defence Operations (Efros DefOps) [1].

В первую очередь, необходимо уменьшить объем переносимых правил – это наиболее разумный первый шаг в процессе миграции, который облегчит работу администратора.

Это важно, потому что:

  • объем правил не всегда соизмерим с производительностью нового МЭ;
  • новый МЭ может не принимать дублирующие правила, и тогда процесс миграции останавливается, фиксируя ошибку.

В платформе Efros DefOps за работу со списками правил (ACL) отвечает функциональный модуль Firewall Assurance. В нем реализована возможность выявления неиспользуемых, теневых и избыточных правил.

В системе из коробки настроены отчеты, в которых показываются обнаруженные дублирующие и неиспользуемые правила. Они выявляются с помощью механизма сравнения "каждый к каждому", то есть правило сравнивается с каждым последующим. Удаление избыточных правил уменьшает их общее количество и снижает нагрузку на МЭ.

По завершении переноса обновленного ACL на новый МЭ можно проверить корректность миграции с помощью Efros DefOps.

После подключения нового МЭ к Efros DefOps программный комплекс формирует отчет по политикам, настроенным на этом МЭ. В отчете отображаются перенесенные правила. В системе можно удобно настроить фильтрацию (по имени, порту, протоколу), что дает возможность поиска правил по заданным параметрам.

Помимо избыточности можно проверить правила нового устройства на соответствие политике взаимодействия зон в сети. Зона – это определенный сетевой сегмент, который может включать в себя как отдельный ip-адрес, так и подсеть. Конструктор стандартов в Efros DefOps позволяет создавать требования по запрету или разрешению на взаимодействие таких зон с учетом определенных протоколов и портов.

ris1-Jul-04-2025-03-15-14-1583-PM
Рис. 1. Структура программного комплекса Efros DefOps

В случае обнаружения правила, несоответствующего стандарту, в отчете отобразится номер правила и политика, где настроено данное правило.

При написании стандартов в комплексе возможно учитывать не только ограничение взаимодействия зон, но и прочие требования безопасности к используемым протоколам, портам, действиям, источникам и назначениям.

Так, например, можно создать проверку на отсутствие доступа из пула адресов критичного сегмента сети (поле "Источник/Source") по всем портам, где в поле назначения присутствует Any. Проще говоря, выявить правила, в которых в поле назначения указан любой хост.

Такой анализ позволяет не только проверять корректность миграции, но и проводить регулярный аудит конфигураций МЭ на наличие небезопасных правил.

ris6-Jul-04-2025-03-17-13-6844-PM
Рис. 2. Создание стандарта безопасности для сегмента сети. Конструктор стандартов

Функциональность модуля Firewall Assurance позволяет экономить время миграции и минимизирует ошибки, связанные с ручным переносом политик безопасности.

В дальнейшем, при внесении изменений в списки правил, мы рекомендуем автоматизировать процесс проверки обновленного списка на соответствие требованиям к зонированию сети. Для этого в комплексе Efros DefOps есть решение – подсистема Change Manager. Не менее значима задача по контролю и защите тех устройств, которые пока не представляется возможным заменить из-за отсутствия сопоставимых отечественных решений. Мы стараемся поддерживать ключевых ушедших иностранных вендоров, заботясь о своих заказчиках. Одним из таких продуктов является высоконагруженная система NSX от VMware, оптимизация работы которой требует высоких компетенций как от администратора самой системы, так и от наложенных средств защиты.

Возможности Efros DefOps по контролю NSX повторяют, а по ряду параметров даже превосходят возможности иностранных аналогов.

Взаимодействие Efros DefOps с NSX происходит через API. После добавления NSX в комплекс строится список вложенных объектов: vCenter, гипервизоры ESXi, виртуальные машины, DSwitch и Distributed Port Group, для которых формируются ACL. При этом политики и правила распределяются с учетом параметра Applied To, что в последствии позволяет с высокой точностью выявить правила, которые можно оптимизировать.

Информация из логических групп отображается с учетом вложенности. Учитываются такие логические группы, как ip-сеты, порт-группы, группы безопасности. Для удобства просмотра политики правил возможна фильтрация их по какому-либо критерию, например по ip-адресу или имени группы.

ris8-2
Рис. 3. Настройка распределения нагрузки для NSX в Efros DefOps

В комплексе реализована возможность ограничить количество запрашиваемых объектов в одном запросе и возможность ограничить количество запросов в минуту, а также использовать обе настройки одновременно. Это позволяет распределять нагрузку как на сам NSX, так и на Efros DefOps с учетом особенностей каждой отдельной системы NSX.

В текущем году будет добавлена функциональная возможность по отображению NSX на карте сети, что позволит пользователю моделировать прохождение трафика между виртуальной машиной, работающей под управлением гипервизора ESXi, и любым другим объектом инфраструктуры. Построение маршрута включает все особенности прохождения трафика внутри гипервизора ESXi с учетом сетевых адаптеров на виртуальных машинах, режимов работы Distributed Port Group, настроек Uplink. В процессе моделирования учитывается достижимость заданной конечной точки в соответствии с правилами ACL, установленными для определенной виртуальной машины или порт-группы.

NSX может иметь сложную архитектуру, использующую виртуализированную сеть, где существуют разные уровни и сегменты со своими политиками. Виртуализированная среда часто меняется, добавляются или удаляются гостевые машины и приложения, что влечет за собой постоянные изменения в ACL.

NSX – это один из примеров критичных элементов ИТ-инфраструктуры, характерный для корпоративных заказчиков и для обслуживания, оптимизации которого необходимы надежные автоматизированные средства.

Efros DefOps не ограничивается возможностями контроля и оптимизации NSX, он совместим с более чем 50 линейками российских и зарубежных МЭ, маршрутизаторов, коммутаторов и т.п. "Газинформсервис" стремится сделать Efros DefOps важным инструментом для компаний, стремящихся повысить уровень управления и безопасности своей сетевой инфраструктуры.

Поддержка пользователей, упрощение их работы на ответственных участках с сохранением доступности желаемых сервисов, возможность использовать новые технологии с учетом тенденций импортозамещения – ключевые задачи команды Efros DefOps, которая уже более 10 лет работает с проблематикой анализа безопасности ИТ-сети.

  1. https://www.gaz-is.ru/produkty/zashchita-it-infrastrukturi/efros-do 

Реклама: ООО «Газинформсервис». ИНН 7838017968. Erid: 2SDnjdK5g2H

Темы:ГазинформсервисNGFWEfros Defence OperationsУправление конфигурациямиЖурнал "Информационная безопасность" №2, 2025Firewall Management

Программа мероприятий
для руководителей и специалистов
по защите информации

Посетить
Кибербезопасность
Форум ITSEC 2025 | Москва | Radisson Blu Belorusskaya. Мероприятия для директоров и специалистов по ИБ, инженеров, ИТ-руководителей и разработчиков
Регистрируйтесь и участвуйте 14-15 октября →
Статьи по той же темеСтатьи по той же теме

  • Конфигурации под прицелом
    Корпоративная инфраструктура – это не просто провода, серверы и протоколы. Это живой организм, где каждый элемент, каждая конфигурация – это тонкая нить, сплетающаяся в сложный узор. И если одна нить рвется, весь узор может рассыпаться.
  • Нужна ли 100%-ная автоматизация в управлении конфигурациями?
    Автоматизация управления конфигурациями давно рассматривается как способ снизить риски и упростить работу администраторов. Но в реальных условиях у каждой инфраструктуры — свои ограничения, риски и приоритеты. Где проходит граница между разумной автоматизацией и опасной самодеятельностью? 
  • Управление конфигурациями: как защититься до атаки
    Виталий Моргунов, руководитель управления развития технологий BI.ZONE EDR
    Гибкость конфигураций – преимущество, которое позволяет настроить инфраструктуру под конкретные нужды и эффективно решать бизнес-задачи. В то же время она может приводить к ошибкам, которыми пользуются злоумышленники. По данным сервиса BI.ZONE TDR, 66% хостов в российских компаниях имеют хотя бы одну опасную мисконфигурацию. Разберемся, как такие настройки приводят к атакам, и как подход BI.ZONE помогает заранее выявить и устранить ошибки.
  • Настройка дружбы ИБ и ИТ: внедряем стандарты безопасного конфигурирования
    Кирилл Евтушенко, генеральный директор ООО “Кауч”
    Для устранения уязвимостей в стороннем ПО чаще всего применяется установка обновлений от вендора, а для обеспечения безопасности собственного исходного кода используются практики SDLC. На рынке есть множество инструментов для решения этих задач, причем как для нужд ИБ, так и с учетом специфики ИТ. Постановка и достижение целей в этих процессах, несмотря на их сложность, выглядят вполне осуществимыми. В случае с уязвимостями, связанными с небезопасными настройками, процесс обычно останавливается тогда, когда из ИБ в ИТ-отдел попадает тысячестраничный отчет, полученный из сканера уязвимостей.
  • Как контроль конфигурации браузера помогает снизить ИБ-риски в корпоративной сети
    Дмитрий Мажарцев, директор по информационной безопасности Яндекс Браузера для организаций
    В современных организациях браузер превращается в одно из ключевых приложений – сотрудники решают в нем от 50% до 70% рабочих задач. Все чаще основное бизнес-ПО “переезжает” в веб.

Хотите участвовать?

Выберите вариант!

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2025
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
Linux
Персональные данные в 2026 году: новые требования
Обсудим 15 октября на Форуме ITSEC 2025. Регистрация →

More...
ТБ Форум 2025
Защита АСУ ТП и КИИ: готовимся к 2026 году
Регистрация участников на конференцию 16 октября →

More...