Контакты
Подписка 2025

Управление правилами межсетевых экранов: от хаоса к гармонии

Мария Кудрявцева, 04/07/25

Цель ухода от иностранного оборудования в критически важных инфраструктурах остается приоритетной для многих российских компаний. Однако несмотря на динамичное развитие отечественных технологий, миграция на них все еще остается сложным процессом, который включает в себя планирование, оценку существующих конфигураций, бюджетирование, обучение персонала, тестирование и поэтапное развертывание.

Автор: Мария Кудрявцева, менеджер продукта Efros DefOps, “Газинформсервис”

Сейчас многие компании находятся на этапе одновременной реализации двух процессов:

  1. Перенос части инфраструктуры на отечественные устройства, главной трудностью которого является осуществление перехода с минимальными потерями.
  2. 2. Поддержка иностранных устройств, не имеющих сопоставимой замены, – как правило, это самое высоконагруженное оборудование на ответственных участках.

Путь переноса правил и замены межсетевых экранов (МЭ) может быть весьма тернистым. Каждый МЭ имеет свою логику, синтаксис и алгоритмы настройки.

Процесс настройки нового МЭ, включая перенос правил, отнимает время, ресурсы и несет высокие риски, обусловленные человеческим фактором, – ошибка, связанная с некорректным переносом, может привести к серьезным последствиям вплоть до недоступности МЭ. А если на устройстве сотни тысяч правил, то ручной вариант перехода практически исключен.

Для автоматизации процесса миграции стоит использовать специализированное ПО, например разработанный компанией "Газинформсервис" комплекс Efros Defence Operations (Efros DefOps) [1].

В первую очередь, необходимо уменьшить объем переносимых правил – это наиболее разумный первый шаг в процессе миграции, который облегчит работу администратора.

Это важно, потому что:

  • объем правил не всегда соизмерим с производительностью нового МЭ;
  • новый МЭ может не принимать дублирующие правила, и тогда процесс миграции останавливается, фиксируя ошибку.

В платформе Efros DefOps за работу со списками правил (ACL) отвечает функциональный модуль Firewall Assurance. В нем реализована возможность выявления неиспользуемых, теневых и избыточных правил.

В системе из коробки настроены отчеты, в которых показываются обнаруженные дублирующие и неиспользуемые правила. Они выявляются с помощью механизма сравнения "каждый к каждому", то есть правило сравнивается с каждым последующим. Удаление избыточных правил уменьшает их общее количество и снижает нагрузку на МЭ.

По завершении переноса обновленного ACL на новый МЭ можно проверить корректность миграции с помощью Efros DefOps.

После подключения нового МЭ к Efros DefOps программный комплекс формирует отчет по политикам, настроенным на этом МЭ. В отчете отображаются перенесенные правила. В системе можно удобно настроить фильтрацию (по имени, порту, протоколу), что дает возможность поиска правил по заданным параметрам.

Помимо избыточности можно проверить правила нового устройства на соответствие политике взаимодействия зон в сети. Зона – это определенный сетевой сегмент, который может включать в себя как отдельный ip-адрес, так и подсеть. Конструктор стандартов в Efros DefOps позволяет создавать требования по запрету или разрешению на взаимодействие таких зон с учетом определенных протоколов и портов.

ris1-Jul-04-2025-03-15-14-1583-PM
Рис. 1. Структура программного комплекса Efros DefOps

В случае обнаружения правила, несоответствующего стандарту, в отчете отобразится номер правила и политика, где настроено данное правило.

При написании стандартов в комплексе возможно учитывать не только ограничение взаимодействия зон, но и прочие требования безопасности к используемым протоколам, портам, действиям, источникам и назначениям.

Так, например, можно создать проверку на отсутствие доступа из пула адресов критичного сегмента сети (поле "Источник/Source") по всем портам, где в поле назначения присутствует Any. Проще говоря, выявить правила, в которых в поле назначения указан любой хост.

Такой анализ позволяет не только проверять корректность миграции, но и проводить регулярный аудит конфигураций МЭ на наличие небезопасных правил.

ris6-Jul-04-2025-03-17-13-6844-PM
Рис. 2. Создание стандарта безопасности для сегмента сети. Конструктор стандартов

Функциональность модуля Firewall Assurance позволяет экономить время миграции и минимизирует ошибки, связанные с ручным переносом политик безопасности.

В дальнейшем, при внесении изменений в списки правил, мы рекомендуем автоматизировать процесс проверки обновленного списка на соответствие требованиям к зонированию сети. Для этого в комплексе Efros DefOps есть решение – подсистема Change Manager. Не менее значима задача по контролю и защите тех устройств, которые пока не представляется возможным заменить из-за отсутствия сопоставимых отечественных решений. Мы стараемся поддерживать ключевых ушедших иностранных вендоров, заботясь о своих заказчиках. Одним из таких продуктов является высоконагруженная система NSX от VMware, оптимизация работы которой требует высоких компетенций как от администратора самой системы, так и от наложенных средств защиты.

Возможности Efros DefOps по контролю NSX повторяют, а по ряду параметров даже превосходят возможности иностранных аналогов.

Взаимодействие Efros DefOps с NSX происходит через API. После добавления NSX в комплекс строится список вложенных объектов: vCenter, гипервизоры ESXi, виртуальные машины, DSwitch и Distributed Port Group, для которых формируются ACL. При этом политики и правила распределяются с учетом параметра Applied To, что в последствии позволяет с высокой точностью выявить правила, которые можно оптимизировать.

Информация из логических групп отображается с учетом вложенности. Учитываются такие логические группы, как ip-сеты, порт-группы, группы безопасности. Для удобства просмотра политики правил возможна фильтрация их по какому-либо критерию, например по ip-адресу или имени группы.

ris8-2
Рис. 3. Настройка распределения нагрузки для NSX в Efros DefOps

В комплексе реализована возможность ограничить количество запрашиваемых объектов в одном запросе и возможность ограничить количество запросов в минуту, а также использовать обе настройки одновременно. Это позволяет распределять нагрузку как на сам NSX, так и на Efros DefOps с учетом особенностей каждой отдельной системы NSX.

В текущем году будет добавлена функциональная возможность по отображению NSX на карте сети, что позволит пользователю моделировать прохождение трафика между виртуальной машиной, работающей под управлением гипервизора ESXi, и любым другим объектом инфраструктуры. Построение маршрута включает все особенности прохождения трафика внутри гипервизора ESXi с учетом сетевых адаптеров на виртуальных машинах, режимов работы Distributed Port Group, настроек Uplink. В процессе моделирования учитывается достижимость заданной конечной точки в соответствии с правилами ACL, установленными для определенной виртуальной машины или порт-группы.

NSX может иметь сложную архитектуру, использующую виртуализированную сеть, где существуют разные уровни и сегменты со своими политиками. Виртуализированная среда часто меняется, добавляются или удаляются гостевые машины и приложения, что влечет за собой постоянные изменения в ACL.

NSX – это один из примеров критичных элементов ИТ-инфраструктуры, характерный для корпоративных заказчиков и для обслуживания, оптимизации которого необходимы надежные автоматизированные средства.

Efros DefOps не ограничивается возможностями контроля и оптимизации NSX, он совместим с более чем 50 линейками российских и зарубежных МЭ, маршрутизаторов, коммутаторов и т.п. "Газинформсервис" стремится сделать Efros DefOps важным инструментом для компаний, стремящихся повысить уровень управления и безопасности своей сетевой инфраструктуры.

Поддержка пользователей, упрощение их работы на ответственных участках с сохранением доступности желаемых сервисов, возможность использовать новые технологии с учетом тенденций импортозамещения – ключевые задачи команды Efros DefOps, которая уже более 10 лет работает с проблематикой анализа безопасности ИТ-сети.

  1. https://www.gaz-is.ru/produkty/zashchita-it-infrastrukturi/efros-do 
Темы:ГазинформсервисNGFWEfros Defence OperationsЖурнал "Информационная безопасность" №2, 2025Firewall Management

Программа мероприятий
для руководителей и специалистов
по защите информации

Посетить
Кибербезопасность
Форум ITSEC 2025 | Москва | Radisson Blu Belorusskaya. Мероприятия для директоров и специалистов по ИБ, инженеров, ИТ-руководителей и разработчиков
Регистрируйтесь и участвуйте 14-15 октября →
Статьи по той же темеСтатьи по той же теме

  • Обзор китайского рынка NGFW
    Азиатско-Тихоокеанский регион, где доминирует Китай, стал вторым по величине рынком NGFW в мире и уже в 2023 г. генерировал свыше 30% мирового спроса. При этом глобальный рынок по-прежнему возглавляют западные вендоры, тогда как из китайских компаний в топ-5 присутствует только Huawei с долей около 3,5%. Совокупная доля китайских производителей на мировом рынке остается скромной и оценивается в 5–10%.
  • Выбор NGFW: венчурные инвестиции или ставки на спорт?
    Наталья Онищенко, эксперт по ИБ в компании энергетической отрасли
    Для заказчиков выбор решения NGFW превращается в сложный компромисс, ведь рынок предлагает множество вариантов, каждый из которых силен в чем-то своем. Одни устройства отличаются высокой производительностью, но ограничены по функциональности, другие предлагают широкий набор возможностей, но уступают в стабильности. Ситуация осложняется, когда требуется учитывать отраслевую специфику или особенности существующей инфраструктуры. В итоге заказчикам приходится искать баланс между требованиями безопасности, удобством управления и техническими характеристиками, что далеко не всегда просто.
  • Безопасность приложений на базе SAP и 1С начинается с проверки кода
    Екатерина Герлинг, ведущий инженер-аналитик Лаборатории стратегического развития продуктов кибербезопасности Аналитического центра кибербезопасности ООО “Газинформсервис”
    После ухода SAP с российского рынка система 1С стала чуть ли не единственной альтернативой, но разработка под эту платформу требует значительных ресурсов, а специалистов не хватает. При этом анализ и защита кода для таких систем — сложный процесс, требующий специализированных решений. На российском рынке есть решения, которые помогут обеспечить безопасность корпоративных приложений на 1С и SAP.
  • Из истории одного проекта по замене NGFW
    Алексей Хмыров, руководитель отдела по развитию бизнеса АО “ЭЛВИС-ПЛЮС”
    Комплексный проект по созданию системы защиты объекта КИИ, о котором пойдет рассказ, стартовал до ввода в действие нормативно-правовой базы о технологической независимости, но к завершающей стадии проекта мы все же столкнулись с этими изменениями в законодательстве. Рассмотрим, каким образом удалось перестроить проект и преодолеть возникшие сложности в части использования решений класса NGFW.
  • Секреты эффективного взаимодействия NGFW и SOC
    Андрей Ларшин, руководитель направления NGFW, RED Security
    NGFW и SOC – это передовые инструменты для обеспечения безопасности корпоративных сетей. RED Security предлагает услуги собственного SOC в формате MSS-сервиса, а также ведет разработку собственных решений в области сетевой безопасности. Рассмотрим, основываясь на накопленном опыте, как эти технологии связаны между собой, как дополняют друг друга и какие сложности в связи с этим возникают.

Хотите участвовать?

Выберите вариант!

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2025
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
Linux
Персональные данные в 2026 году: новые требования
Обсудим 15 октября на Форуме ITSEC 2025. Регистрация →

More...
ТБ Форум 2025
Защита АСУ ТП и КИИ: готовимся к 2026 году
Регистрация участников на конференцию 16 октября →

More...