Безопасность сети: ACL, Firewall, IDS/IPS — практическое руководство

Сетевая безопасность — это не про "купить firewall и забыть". Это комплекс мер: от фильтрации на уровне L3/L4 до глубокого анализа приложений и поведенческих аномалий. В этом материале разберём три ключевые технологии: ACL (списки контроля доступа), Firewall (межсетевые экраны) и IDS/IPS (системы обнаружения/предотвращения вторжений).

Сетевая безопасность
v

ACL — первый рубеж обороны

ACL (Access Control List) — это правила, которые применяются на маршрутизаторах или коммутаторах для фильтрации трафика. ACL бывают:

Пример стандартного ACL на Cisco

Запрещаем трафик от сети 192.168.1.0/24:

access-list 10 deny 192.168.1.0 0.0.0.255
access-list 10 permit any
interface gigabitEthernet 0/0
ip access-group 10 in

Расширенный ACL: разрешить только HTTP и HTTPS

access-list 101 permit tcp any any eq 80
access-list 101 permit tcp any any eq 443
access-list 101 deny ip any any
interface gigabitEthernet 0/1
ip access-group 101 in

Важно: ACL обрабатываются сверху вниз до первого совпадения. В конце всегда неявный deny any any. Не забывайте про порядок правил!

Firewall — следующий уровень

В отличие от ACL, firewall является stateful — он отслеживает состояние соединений. Это значит, что если вы разрешили исходящий HTTP, ответный трафик будет пропущен автоматически без явного правила.

Stateful vs Stateless

Next-Generation Firewall (NGFW)

Современные файрволы (Palo Alto, Fortinet, Check Point) умеют:

Пример настройки iptables (Linux)

# Разрешить SSH только с адреса 10.0.0.5
iptables -A INPUT -p tcp --dport 22 -s 10.0.0.5 -j ACCEPT
iptables -A INPUT -p tcp --dport 22 -j DROP

# Разрешить уже установленные соединения
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

# NAT (маскарадинг) для выхода в интернет
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

IDS / IPS — активная защита

IDS (Intrusion Detection System) — пассивно анализирует трафик и отправляет алерты. IPS (Intrusion Prevention System) — активно блокирует вредоносные пакеты в реальном времени.

Типы IDS/IPS

Snort — король NIDS

Snort — бесплатный и мощный инструмент. Пример правила:

alert tcp $HOME_NET any -> $EXTERNAL_NET 80 (msg:"SQL Injection detected"; content:"union select"; sid:1000001;)

Правило сработает, если в HTTP-запросе на порт 80 встречается строка "union select".

Suricata — многопоточный наследник

Suricata поддерживает GPU-акселерацию, файловую выгрузку и может работать как IPS (inline режим). Команда запуска:

suricata -c /etc/suricata/suricata.yaml -i eth0

Практическая архитектура безопасности

Для средней компании рекомендуется следующая схема:

  1. Edge-маршрутизатор — ACL для отсечения очевидных атак (блокировка bogon-сетей, rate limiting)
  2. NGFW — основной файрвол с политиками App-ID, SSL inspection, NAT
  3. IPS (inline) — блокировка известных эксплойтов
  4. DMZ-сегмент — веб-серверы, почта, публичные сервисы
  5. Внутренний файрвол — сегментация между отделами (бухгалтерия, IT, HR)
  6. SIEM — сбор логов со всех устройств, корреляция событий

Типичные угрозы и как их блокировать

Вывод: Сетевая безопасность строится эшелонированно. ACL — быстрый и дешёвый фильтр на границе. Firewall — контроль сессий и приложений. IPS — активная защита от атак. Комбинируйте эти инструменты, и ваша сеть будет защищена от 90% угроз. Оставшиеся 10% — это процессный мониторинг и обновление сигнатур.