Контакты
Подписка 2026

Управление правилами межсетевых экранов: от хаоса к гармонии

Мария Кудрявцева, 04/07/25

Цель ухода от иностранного оборудования в критически важных инфраструктурах остается приоритетной для многих российских компаний. Однако несмотря на динамичное развитие отечественных технологий, миграция на них все еще остается сложным процессом, который включает в себя планирование, оценку существующих конфигураций, бюджетирование, обучение персонала, тестирование и поэтапное развертывание.

Автор: Мария Кудрявцева, менеджер продукта Efros DefOps, “Газинформсервис”

Сейчас многие компании находятся на этапе одновременной реализации двух процессов:

  1. Перенос части инфраструктуры на отечественные устройства, главной трудностью которого является осуществление перехода с минимальными потерями.
  2. Поддержка иностранных устройств, не имеющих сопоставимой замены, – как правило, это самое высоконагруженное оборудование на ответственных участках.

Путь переноса правил и замены межсетевых экранов (МЭ) может быть весьма тернистым. Каждый МЭ имеет свою логику, синтаксис и алгоритмы настройки.

Процесс настройки нового МЭ, включая перенос правил, отнимает время, ресурсы и несет высокие риски, обусловленные человеческим фактором, – ошибка, связанная с некорректным переносом, может привести к серьезным последствиям вплоть до недоступности МЭ. А если на устройстве сотни тысяч правил, то ручной вариант перехода практически исключен.

Для автоматизации процесса миграции стоит использовать специализированное ПО, например разработанный компанией "Газинформсервис" комплекс Efros Defence Operations (Efros DefOps) [1].

В первую очередь, необходимо уменьшить объем переносимых правил – это наиболее разумный первый шаг в процессе миграции, который облегчит работу администратора.

Это важно, потому что:

  • объем правил не всегда соизмерим с производительностью нового МЭ;
  • новый МЭ может не принимать дублирующие правила, и тогда процесс миграции останавливается, фиксируя ошибку.

В платформе Efros DefOps за работу со списками правил (ACL) отвечает функциональный модуль Firewall Assurance. В нем реализована возможность выявления неиспользуемых, теневых и избыточных правил.

В системе из коробки настроены отчеты, в которых показываются обнаруженные дублирующие и неиспользуемые правила. Они выявляются с помощью механизма сравнения "каждый к каждому", то есть правило сравнивается с каждым последующим. Удаление избыточных правил уменьшает их общее количество и снижает нагрузку на МЭ.

По завершении переноса обновленного ACL на новый МЭ можно проверить корректность миграции с помощью Efros DefOps.

После подключения нового МЭ к Efros DefOps программный комплекс формирует отчет по политикам, настроенным на этом МЭ. В отчете отображаются перенесенные правила. В системе можно удобно настроить фильтрацию (по имени, порту, протоколу), что дает возможность поиска правил по заданным параметрам.

Помимо избыточности можно проверить правила нового устройства на соответствие политике взаимодействия зон в сети. Зона – это определенный сетевой сегмент, который может включать в себя как отдельный ip-адрес, так и подсеть. Конструктор стандартов в Efros DefOps позволяет создавать требования по запрету или разрешению на взаимодействие таких зон с учетом определенных протоколов и портов.

ris1-Jul-04-2025-03-15-14-1583-PM
Рис. 1. Структура программного комплекса Efros DefOps

В случае обнаружения правила, несоответствующего стандарту, в отчете отобразится номер правила и политика, где настроено данное правило.

При написании стандартов в комплексе возможно учитывать не только ограничение взаимодействия зон, но и прочие требования безопасности к используемым протоколам, портам, действиям, источникам и назначениям.

Так, например, можно создать проверку на отсутствие доступа из пула адресов критичного сегмента сети (поле "Источник/Source") по всем портам, где в поле назначения присутствует Any. Проще говоря, выявить правила, в которых в поле назначения указан любой хост.

Такой анализ позволяет не только проверять корректность миграции, но и проводить регулярный аудит конфигураций МЭ на наличие небезопасных правил.

ris6-Jul-04-2025-03-17-13-6844-PM
Рис. 2. Создание стандарта безопасности для сегмента сети. Конструктор стандартов

Функциональность модуля Firewall Assurance позволяет экономить время миграции и минимизирует ошибки, связанные с ручным переносом политик безопасности.

В дальнейшем, при внесении изменений в списки правил, мы рекомендуем автоматизировать процесс проверки обновленного списка на соответствие требованиям к зонированию сети. Для этого в комплексе Efros DefOps есть решение – подсистема Change Manager. Не менее значима задача по контролю и защите тех устройств, которые пока не представляется возможным заменить из-за отсутствия сопоставимых отечественных решений. Мы стараемся поддерживать ключевых ушедших иностранных вендоров, заботясь о своих заказчиках. Одним из таких продуктов является высоконагруженная система NSX от VMware, оптимизация работы которой требует высоких компетенций как от администратора самой системы, так и от наложенных средств защиты.

Возможности Efros DefOps по контролю NSX повторяют, а по ряду параметров даже превосходят возможности иностранных аналогов.

Взаимодействие Efros DefOps с NSX происходит через API. После добавления NSX в комплекс строится список вложенных объектов: vCenter, гипервизоры ESXi, виртуальные машины, DSwitch и Distributed Port Group, для которых формируются ACL. При этом политики и правила распределяются с учетом параметра Applied To, что в последствии позволяет с высокой точностью выявить правила, которые можно оптимизировать.

Информация из логических групп отображается с учетом вложенности. Учитываются такие логические группы, как ip-сеты, порт-группы, группы безопасности. Для удобства просмотра политики правил возможна фильтрация их по какому-либо критерию, например по ip-адресу или имени группы.

ris8-2
Рис. 3. Настройка распределения нагрузки для NSX в Efros DefOps

В комплексе реализована возможность ограничить количество запрашиваемых объектов в одном запросе и возможность ограничить количество запросов в минуту, а также использовать обе настройки одновременно. Это позволяет распределять нагрузку как на сам NSX, так и на Efros DefOps с учетом особенностей каждой отдельной системы NSX.

В текущем году будет добавлена функциональная возможность по отображению NSX на карте сети, что позволит пользователю моделировать прохождение трафика между виртуальной машиной, работающей под управлением гипервизора ESXi, и любым другим объектом инфраструктуры. Построение маршрута включает все особенности прохождения трафика внутри гипервизора ESXi с учетом сетевых адаптеров на виртуальных машинах, режимов работы Distributed Port Group, настроек Uplink. В процессе моделирования учитывается достижимость заданной конечной точки в соответствии с правилами ACL, установленными для определенной виртуальной машины или порт-группы.

NSX может иметь сложную архитектуру, использующую виртуализированную сеть, где существуют разные уровни и сегменты со своими политиками. Виртуализированная среда часто меняется, добавляются или удаляются гостевые машины и приложения, что влечет за собой постоянные изменения в ACL.

NSX – это один из примеров критичных элементов ИТ-инфраструктуры, характерный для корпоративных заказчиков и для обслуживания, оптимизации которого необходимы надежные автоматизированные средства.

Efros DefOps не ограничивается возможностями контроля и оптимизации NSX, он совместим с более чем 50 линейками российских и зарубежных МЭ, маршрутизаторов, коммутаторов и т.п. "Газинформсервис" стремится сделать Efros DefOps важным инструментом для компаний, стремящихся повысить уровень управления и безопасности своей сетевой инфраструктуры.

Поддержка пользователей, упрощение их работы на ответственных участках с сохранением доступности желаемых сервисов, возможность использовать новые технологии с учетом тенденций импортозамещения – ключевые задачи команды Efros DefOps, которая уже более 10 лет работает с проблематикой анализа безопасности ИТ-сети.

  1. https://www.gaz-is.ru/produkty/zashchita-it-infrastrukturi/efros-do 

Реклама: ООО «Газинформсервис». ИНН 7838017968. Erid: 2SDnjdK5g2H

Темы:ГазинформсервисNGFWEfros Defence OperationsУправление конфигурациямиЖурнал "Информационная безопасность" №2, 2025Firewall Management
Практика защиты персональных данных в 2027 году: требования и инструменты. 14 октября на Форуме ITSEC 2026
Полное расписание мероприятий Форума ITSEC 2026 →

Программа мероприятий
для руководителей и специалистов
по защите информации

Посетить
Статьи по той же темеСтатьи по той же теме

  • SafeERP – новая архитектура защиты бизнес-приложений
    Римма Кулешова, менеджер продукта SafeERP компании “Газинформсервис”
    Признание ERP-систем частью КИИ меняет подход к безопасности бизнес-приложений. На первый план выходят вопросы непрерывного контроля, управления рисками и прозрачности процессов внутри 1С и SAP. Римма Кулешова рассказывает о новой модели защиты ERP и о том, почему безопасность бизнес-логики становится отдельным направлением ИБ.
  • Невидимая угроза: дрейф конфигураций разрушает архитектуру кибербезопасности
    Сергей Овчинников, директор продуктового департамента компании “Газинформсервис”
    Значительная часть серьезных инцидентов происходит не из-за новых уязвимостей, а из-за ошибок и несовершенства процесса изменения конфигураций, которые накапливались месяцами или даже годами.
  • GIS Vendor Day: продукты, партнерства и порядок в ИБ
    Первый GIS Vendor Day компании "Газинформсервис" начался не с сухой презентации, а с живого и довольно точного погружения в контекст. Директор департамента маркетинга и продаж Алексей Кравченко сразу обозначил настроение и смысл мероприятия: за вендорским форматом стоит не просто маркетинговая активность, а вполне ощутимое изменение в структуре бизнеса.
  • NGFW, который выдерживает масштаб ЦОД
    Кирилл Прямов, менеджер по развитию NGFW в компании UserGate
    Дата-центр – одна из немногих сред, где сетевые решения довольно быстро проверяются на прочность. То, что спокойно работает на корпоративном периметре, в ЦОД может начать создавать ограничения уже при первых попытках масштабирования инфраструктуры. Поэтому неизбежно возникает вопрос: какой межсетевой экран действительно рассчитан на работу в среде дата-центра, а какой изначально проектировался для совсем других условий.
  • Приказ № 117 и роль NGFW в архитектуре защиты
    Антон Рысев, директор по правовым вопросам, Ideco
    1 марта 2026 г. вступил в силу приказ ФСТЭК России № 117 от 11.04.2025, который заменил приказ № 17 и распространил требования по защите информации не только на ГИС, но и на иные информационные системы государственных органов и учреждений. А поправки к 187-ФЗ, принятые в 2025 г., уточнили состав субъектов КИИ и усилили требования по взаимодействию с ГосСОПКА. Содержательно это не революция, набор мер защиты не стал принципиально иным, но изменился фокус проверки.
  • Фундамент безопасности: почему VPN/FW остаются актуальными?
    Александр Чередниченко, директор производственного блока AO “ЭЛВИС-ПЛЮС”
    Давайте наконец развеем миф о второстепенности классических VPN-шлюзов и на примере нашего флагманского продукта “ЗАСТАВА" покажем, как зрелые, отточенные технологии становятся краеугольным камнем современной эшелонированной защиты, интегрируясь в самые сложные и ответственные ИТ-ландшафты.

Хотите участвовать?

Выберите вариант!

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2026
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
13-14 октября приглашаем экспертов и практиков выступить на Форуме ITSEC 2026!
Отправить заявку на участие →

More...
ТБ Форум 2026
13 октября. Защищенный удаленный доступ на Форуме ITSEC 2026
Регистрация открыта →

More...