Перейти к содержанию

13. Firewall

Введение

Что такое Firewall?

Firewall (межсетевой экран) — это программное или аппаратное средство сетевой безопасности, предназначенное для фильтрации входящего и исходящего трафика на основе заранее определённых правил.

Цель: защита внутренней сети от несанкционированного доступа, вредоносного ПО, сканирования и других угроз.

Архитектура и роль Firewall в сети

Где может располагаться Firewall?

  • На границе сети (между внешней и внутренней сетью)
  • На серверах (локальный firewall)
  • Внутри сети (между сегментами)

Зоны безопасности:

Что такое зоны в контексте Firewall?

Зона (zone) — это логическая группа интерфейсов, которая описывает принадлежность к определённой части сети:

  • LAN (внутренняя сеть)
  • WAN (интернет или внешняя сеть)
  • DMZ (демилитаризованная зона — полуоткрытая зона)
  • GUEST, VPN, MANAGEMENT и т.д.

Интерфейсы в одной зоне могут свободно обмениваться трафиком, но между зонами трафик блокируется по умолчанию, и доступ регулируется специальными политиками (zone-pairs + class-maps + policy-maps).

Основные типы зон

Зона Назначение
LAN Безопасная внутренняя сеть. Пользователи, рабочие станции, серверы.
WAN Ненадёжная внешняя сеть — обычно Интернет.
DMZ Полуоткрытая зона для публичных сервисов: веб-серверов, DNS и др.
VPN Туннельная зона для подключения удалённых пользователей.
GUEST Сегмент для гостей, с изоляцией от LAN.
MGMT Сеть администрирования.

Принцип межзоновой фильтрации

Трафик между зонами Поведение по умолчанию
Из LAN в WAN Запрещён без разрешающей политики
Из WAN в LAN Запрещён (всегда)
Из LAN в LAN Разрешён
Из DMZ в LAN Запрещён
Из LAN в DMZ Обычно разрешён по правилам

Аппаратный и программный firewall:

  • Аппаратные: Cisco ASA, Palo Alto, Fortinet, CheckPoint
  • Программные: iptables, firewalld (Linux), Windows Defender Firewall, pf (FreeBSD)

Зоны

1. LAN (Local Area Network) — Локальная сеть

Описание:

LAN — это внутренняя безопасная сеть организации. Сюда входят компьютеры сотрудников, серверы приложений, сетевые принтеры и прочее локальное оборудование. Трафик внутри LAN считается доверенным.

Характеристики:

  • Максимальный уровень доверия.
  • Разрешён свободный обмен данными между устройствами внутри LAN.
  • Сетевые политики часто позволяют весь исходящий трафик из LAN в другие зоны (например, в WAN).
  • Входящий трафик снаружи в LAN ограничен или запрещён.

Типичные устройства:

  • Рабочие станции сотрудников
  • Локальные серверы (файловые, почтовые)
  • Системы хранения данных (NAS/SAN)

Типичные политики:

  • Разрешить выход в интернет (через WAN).
  • Ограничить доступ извне (например, запретить WAN → LAN без VPN).

2. WAN (Wide Area Network) — Глобальная сеть (Интернет)

Описание:

WAN представляет собой внешнюю сеть, обычно — это Интернет. Всё, что приходит из WAN, считается ненадёжным и потенциально враждебным.

Характеристики:

  • Минимальный уровень доверия.
  • Чаще всего весь исходящий трафик к WAN разрешён, а входящий — запрещён, кроме специально настроенных правил.
  • Требует строгих правил доступа, NAT и защитных механизмов (например, DPI, IPS/IDS).

Типичные устройства:

  • Публичные серверы (если проброшены наружу через NAT).
  • Устройства удалённого доступа (VPN-сервера).

Типичные политики:

  • Блокировать все непрошенные подключения из WAN.
  • Разрешить исходящий трафик пользователей LAN.

3. DMZ (Demilitarized Zone) — Демилитаризованная зона

Описание:

DMZ — это "промежуточная" сеть между внутренней локальной сетью (LAN) и внешней сетью (WAN). В DMZ размещают публично доступные ресурсы, такие как веб-серверы, почтовые серверы, FTP-серверы.

Характеристики:

  • Средний уровень доверия.
  • Доступ из WAN к ресурсам DMZ разрешён ограниченно.
  • Доступ из DMZ к LAN либо сильно ограничен, либо полностью запрещён.
  • Устройства в DMZ считаются потенциально скомпрометированными, поэтому к ним применяются отдельные политики безопасности.

Типичные устройства:

  • Веб-серверы (сайт компании)
  • Почтовые шлюзы (например, SMTP сервер)
  • Прокси-серверы
  • DNS-серверы (публичные)

Типичные политики:

  • WAN → DMZ: Разрешить только необходимые порты (например, 80/443 для веб-сервера).
  • DMZ → LAN: Запрещено или очень строго ограничено.
  • LAN → DMZ: Разрешить только администрирование (SSH, RDP).

4. VPN (Virtual Private Network) — Сеть виртуальных частных подключений

Описание:

VPN-зона используется для обработки подключений удалённых сотрудников, филиалов или клиентов через защищённые VPN-туннели.

Характеристики:

  • Средний уровень доверия (выше, чем WAN, но ниже, чем LAN).
  • Пользователи VPN могут получать доступ к ресурсам LAN, но через строгую аутентификацию.
  • VPN-соединения могут шифроваться с помощью IPSec, SSL/TLS, WireGuard и других протоколов.

Типичные устройства:

  • Лэптопы сотрудников на удалёнке
  • Мобильные устройства
  • VPN-шлюзы

Типичные политики:

  • VPN → LAN: Разрешить доступ только к необходимым ресурсам.
  • WAN → VPN: Только по специфическим портам (например, UDP 500/4500 для IPSec).

5. GUEST (Guest Network) — Гостевая сеть

Описание:

Guest-сеть предназначена для предоставления ограничённого интернет-доступа гостям (посетителям, подрядчикам и др.) без возможности взаимодействия с внутренними ресурсами организации.

Характеристики:

  • Очень низкий уровень доверия (почти как у WAN).
  • Изоляция от LAN и других внутренних сегментов сети обязательна.
  • Может быть ограничена скорость, доступ к определённым сайтам.

Типичные устройства:

  • Мобильные телефоны гостей
  • Ноутбуки подрядчиков
  • Таблеты клиентов

Типичные политики:

  • Guest → WAN: Разрешить только доступ в интернет.
  • Guest → LAN: Полный запрет.

6. MGMT (Management) — Сеть управления

Описание:

MGMT-зона предназначена для администрирования сетевых устройств, серверов и служб. Доступ в эту зону должен быть максимально ограничен и доступен только администратору.

Характеристики:

  • Высочайший уровень доверия, но при этом строгие ограничения на доступ.
  • Только определённые IP-адреса и протоколы управления (SSH, RDP, HTTPS).
  • Иногда используется отдельная физическая сеть для MGMT.

Типичные устройства:

  • Коммутаторы
  • Маршрутизаторы
  • Межсетевые экраны (Firewall)
  • Серверы управления и мониторинга

Типичные политики:

  • LAN (администраторы) → MGMT: Разрешить только безопасные административные протоколы.
  • WAN → MGMT: Полный запрет (если только не предусмотрено безопасное VPN-подключение).
  • MGMT → LAN/DMZ: Только для целей управления.

Краткая сводная таблица зон

Зона Доверие Назначение Особенности политики
LAN Высокое Внутренние пользователи Свободный выход, ограниченный вход
WAN Низкое Внешний интернет Запрещать вход, разрешать выход
DMZ Среднее Публичные сервисы Контролируемый доступ с WAN
VPN Среднее Защищённый удалённый доступ Ограниченный доступ в LAN
GUEST Очень низкое Сеть для гостей Только интернет, без доступа в LAN
MGMT Очень высокое Сеть администрирования Строгий доступ только для администраторов

Типовая схема взаимодействия зон на Firewall

                           +------------+
                           |   Internet  |
                           +------+------+
                                  |
                                  | (WAN)
                           +------+------+
                           |   Firewall   |
                           +------+------+
                                  |
             +--------------------+--------------------+
             |                    |                    |
        (DMZ Servers)         (LAN Devices)         (Guest Wi-Fi)
             |                    |                    |
           (DMZ)                 (LAN)                (GUEST)
             |
         (Optional)
          VPN Users
             |
           (VPN)
             |
           (LAN)
             |
         (MGMT Access)
             |
          (MGMT Zone)

Пояснения:

  • WAN — внешний входящий трафик приходит на Firewall.
  • DMZ — отдельные серверы, доступные из интернета (например, веб-серверы).
  • LAN — защищённая внутренняя сеть.
  • Guest — отделённая сеть для посетителей, имеет только доступ в интернет.
  • VPN — сотрудники подключаются через зашифрованные VPN-туннели в LAN.
  • MGMT — отдельная сеть для управления устройствами, доступна только доверенным администраторам.

Типы Firewall

1. Packet Filtering Firewall (Фильтрация пакетов)

Принцип работы:

Фильтрует трафик на уровне сетевого (L3) и транспортного (L4) уровней модели OSI. Анализируются следующие параметры каждого пакета:

  • IP-адрес отправителя и получателя
  • Порт отправителя и получателя
  • Протокол (TCP, UDP, ICMP)
  • Флаги TCP (например, SYN, ACK)

Преимущества:

  • Простота
  • Высокая производительность (низкие накладные расходы)
  • Подходит для начальной фильтрации

Недостатки:

  • Не отслеживает состояние соединений
  • Уязвим к подмене IP/портов
  • Не защищает от атак уровня приложений

2. Stateful Inspection Firewall (С отслеживанием состояния)

Принцип работы:

Отслеживает состояние сетевых соединений. Поддерживает таблицу состояний (state table), где хранятся все активные соединения.

Понимает контекст: если соединение началось с разрешённого запроса, ответ автоматически пропускается.

Примеры состояний:

  • NEW — новое соединение
  • ESTABLISHED — уже установленное
  • RELATED — связанное с другим соединением (например, FTP data)
  • INVALID — некорректное

Преимущества:

  • Безопаснее, чем фильтрация пакетов
  • Автоматически разрешает связанные пакеты
  • Поддерживает NAT

Недостатки:

  • Более высокая нагрузка на ресурсы
  • Некоторые протоколы (например, SIP, FTP) требуют модулей отслеживания

3. Application-Level Gateway (Proxy Firewall)

Принцип работы:

Работает на уровне приложений (L7). Перехватывает весь трафик, анализирует содержимое пакетов, а затем от имени клиента отправляет запрос.

Пример: HTTP proxy, FTP proxy.

Преимущества:

  • Глубокая проверка содержимого
  • Возможность аутентификации пользователей
  • Детальное логирование

Недостатки:

  • Высокие требования к ресурсам
  • Медленнее, чем L3/L4 firewall
  • Требует настройки под каждое приложение

4. Circuit-Level Gateway

Принцип работы:

Работает между транспортным и прикладным уровнями. Не анализирует содержимое пакета, но проверяет, правильно ли установлено TCP-соединение.

Работает на уровне сеанса (L5 OSI) — пример: SOCKS-прокси.

Преимущества:

  • Простая реализация
  • Подходит для NAT и скрытия сети

Недостатки:

  • Не фильтрует содержимое
  • Ограниченные возможности фильтрации

5. Next-Generation Firewall (NGFW)

Принцип работы:

Объединяет классический stateful firewall с расширенными функциями безопасности:

  • DPI (Deep Packet Inspection)
  • Фильтрация по приложениям (App-ID)
  • Антивирус/антиспам
  • IDS/IPS (сигнатурный/анализ аномалий)
  • VPN
  • SSL/TLS разбор (SSL inspection)

Преимущества:

  • Полный контроль над трафиком L3-L7
  • Обнаружение и блокировка сложных угроз
  • Интеграция с SIEM, DLP, sandbox

Недостатки:

  • Высокая стоимость
  • Требует лицензий и подписок
  • Большая нагрузка на процессор

6. Cloud-Based Firewall / FWaaS (Firewall-as-a-Service)

Принцип работы:

Размещён в облаке. Управляется централизованно через веб-интерфейс. Трафик маршрутизируется через облачную инфраструктуру.

Используется:

  • В организациях с удалёнными сотрудниками
  • В гибридных/мультиоблачных инфраструктурах

Преимущества:

  • Масштабируемость
  • Централизованное управление
  • Быстрая интеграция с SaaS, SD-WAN

Недостатки:

  • Задержки (latency)
  • Зависимость от подключения
  • Проблемы с конфиденциальностью

Сравнительная таблица типов Firewall:

Тип Уровень Отслеживает состояния Анализ данных приложений Пример использования
Packet Filtering L3/L4 Простая фильтрация по IP и портам
Stateful Inspection L3/L4 LAN/WAN защита, NAT
Application Gateway L7 HTTP proxy, FTP firewall
Circuit-Level Gateway L5 SOCKS-прокси
Next-Gen Firewall (NGFW) L3-L7 Enterprise-защита, DPI, IPS
FWaaS Облако Облачные инфраструктуры

Правила фильтрации

Основные параметры правила:

  • Source IP / Destination IP
  • Source port / Destination port
  • Protocol: TCP, UDP, ICMP и др.
  • Action: ALLOW, DENY, REJECT, LOG
  • Direction: INBOUND / OUTBOUND
  • State (если stateful)

Порядок обработки правил:

  • Сверху вниз, первое совпадение
  • Рекомендуется иметь “deny all” в конце

Лучшие практики и стратегии

Базовые рекомендации:

  • Default deny политика (всё запрещено, разрешаем выборочно)
  • Минимум открытых портов
  • Регулярный аудит правил
  • Логирование и мониторинг
  • Использование NAT в паре с firewall
  • Изоляция DMZ

Управление изменениями:

  • Тестирование на стенде
  • Документирование всех правил
  • Использование версионирования конфигураций

Примеры конфигураций в Cisco

Настройка Firewall в Cisco Packet Tracer (на базе ACL) - не делать, чисто пример

Схема сети (пример):

[PC0] --- [Switch0] --- [Router0] --- (cloud/интернет)
             LAN            WAN
          192.168.1.0     203.0.113.1

Задача:

  • Разрешить только HTTP и DNS трафик с LAN в сторону Интернета.
  • Запретить всё остальное (исходящие подключения).
  • Запретить любые входящие подключения с Интернета в LAN.

Шаг 1: Базовая настройка IP-адресов и маршрутизации

На PC0:

IP Address: 192.168.1.10
Subnet Mask: 255.255.255.0
Default Gateway: 192.168.1.1

На Router0:

Интерфейс G0/0 (LAN):

Router(config)# interface GigabitEthernet0/0
Router(config-if)# ip address 192.168.1.1 255.255.255.0
Router(config-if)# no shutdown

Интерфейс G0/1 (WAN):

Router(config)# interface GigabitEthernet0/1
Router(config-if)# ip address 203.0.113.1 255.255.255.0
Router(config-if)# no shutdown

Шаг 2: Создание ACL — межсетевой фильтр

1. Создаём стандартные правила (номер 100+ для extended ACL)

Router(config)# access-list 100 permit tcp 192.168.1.0 0.0.0.255 any eq 80
Router(config)# access-list 100 permit udp 192.168.1.0 0.0.0.255 any eq 53
Router(config)# access-list 100 permit udp any eq 53 192.168.1.0 0.0.0.255
Router(config)# access-list 100 permit established
Router(config)# access-list 100 deny ip any any log

Объяснение:

  • permit tcp 192.168.1.0 ... eq 80 — разрешить HTTP с LAN наружу
  • permit udp ... eq 53 — разрешить DNS-запросы и ответы
  • permit established — разрешить пакеты в ответ на уже существующие соединения
  • deny ip any any log — запретить всё остальное и логировать

Шаг 3: Применение ACL к WAN-интерфейсу

Router(config)# interface GigabitEthernet0/1
Router(config-if)# ip access-group 100 in

Объяснение:

  • Мы применяем ACL "на вход" на внешний интерфейс, чтобы контролировать внешний трафик в сторону LAN.

Шаг 4: (опционально) ACL на LAN для ограничения исходящего трафика

Если вы хотите жёстко контролировать и исходящий трафик, примените другую ACL на G0/0 (LAN):

Router(config)# access-list 110 permit tcp any any eq 80
Router(config)# access-list 110 permit udp any any eq 53
Router(config)# access-list 110 deny ip any any
Router(config)# interface GigabitEthernet0/0
Router(config-if)# ip access-group 110 out

Шаг 5: Тестирование

  • Попробуйте с PC0 открыть сайт (HTTP) — должно работать.
  • Попробуйте пинговать внешний адрес — будет заблокирован.
  • Попробуйте telnet — будет заблокирован.
  • Посмотрите лог:
Router# show access-lists

Сценарий: Firewall как отдельное устройство - не делать, чисто пример

      [PC0]
        |
     [Switch0]
        |
     [Router0] --- [Firewall] --- [Router1] --- [Internet]
     192.168.1.0     LAN FW     WAN FW       203.0.113.0
                   192.168.2.1 203.0.113.2

Цели:

  1. Разрешить трафик из LAN только на порты 80 (HTTP) и 53 (DNS).
  2. Запретить входящий трафик извне.
  3. Firewall – это Router1, выполняющий роль межсетевого экрана.

Шаг 1: Настройка IP-адресов

На Router0 (LAN маршрутизатор):

interface G0/0
 ip address 192.168.1.1 255.255.255.0
 no shutdown

interface G0/1
 ip address 192.168.2.2 255.255.255.0
 no shutdown

На Firewall (Router1):

Внутренний интерфейс (LAN-facing):

interface G0/0
 ip address 192.168.2.1 255.255.255.0
 no shutdown

Внешний интерфейс (WAN-facing):

interface G0/1
 ip address 203.0.113.2 255.255.255.0
 no shutdown

Шаг 2: Настройка маршрутизации

На Router0:

ip route 0.0.0.0 0.0.0.0 192.168.2.1

На Router1 (Firewall):

ip route 0.0.0.0 0.0.0.0 203.0.113.1
ip route 192.168.1.0 255.255.255.0 192.168.2.2

Шаг 3: Настройка ACL на Firewall

Разрешаем только нужный трафик с LAN

access-list 100 permit tcp 192.168.1.0 0.0.0.255 any eq 80
access-list 100 permit udp 192.168.1.0 0.0.0.255 any eq 53
access-list 100 permit udp any eq 53 192.168.1.0 0.0.0.255
access-list 100 permit established
access-list 100 deny ip any any log

Шаг 4: Применение ACL к интерфейсам

Входящий трафик от LAN (в сторону Интернета):

interface G0/0
 ip access-group 100 in

(опционально) Входящий трафик от внешней стороны:

interface G0/1
 ip access-group 100 in

Шаг 5: Тестирование и отладка

С компьютера PC0:

  • Открываем HTTP сайт — работает
  • Выполняем DNS-запрос — работает
  • Пингуем внешний IP — блокируется, если ICMP не разрешён
  • Telnet на порт 23 — заблокировано

Шаг 6: Проверка логов ACL

show access-lists

Появятся строки типа:

access-list 100 deny ip any any log

Важные принципы при работе с firewall как отдельным устройством

Практика Почему это важно
Разделение LAN и WAN Упрощает безопасность и маршруты
Применение ACL на вход Защищает от внешних угроз
Запрет по умолчанию Базовый принцип безопасности
Разрешения — выборочные Только нужные порты (напр. 80, 443, 53)
Отдельный маршрутизатор Повышает надёжность и масштабируемость

Zone-Based Firewall на устройстве Cisco (например, ASA Firewall) - делать

1. Настройка интерфейсов фаервола

Каждый интерфейс на фаерволе должен быть настроен с IP-адресом и активирован.

Пример команд:

Firewall(config)# interface GigabitEthernet0/0
Firewall(config-if)# ip address 192.168.1.1 255.255.255.0
Firewall(config-if)# no shutdown
  • interface GigabitEthernet0/0 — переходим в конфигурацию интерфейса GigabitEthernet0/0.
  • ip address 192.168.1.1 255.255.255.0 — задаем IP-адрес интерфейсу GigabitEthernet0/0.
  • no shutdown — активируем интерфейс (по умолчанию интерфейсы выключены).

Такие же команды применяются для остальных интерфейсов с другими IP-адресами и масками подсети.

2. Создание зон безопасности и назначение интерфейсов в зоны

Зоны безопасности позволяют классифицировать интерфейсы и контролировать трафик между ними.

Пример команд:

Firewall(config)# zone security LAN
Firewall(config)# zone security WAN
Firewall(config)# zone security DMZ
  • zone security LAN — создаем зону безопасности с именем LAN.
  • zone security WAN — создаем зону безопасности с именем WAN.
  • zone security DMZ — создаем зону безопасности с именем DMZ.

Теперь мы назначим интерфейсы в эти зоны:

Firewall(config)# interface GigabitEthernet0/0
Firewall(config-if)# zone-member security LAN

Firewall(config)# interface GigabitEthernet0/1
Firewall(config-if)# zone-member security WAN

Firewall(config)# interface GigabitEthernet0/2
Firewall(config-if)# zone-member security DMZ
  • zone-member security LAN — назначаем интерфейс GigabitEthernet0/0 в зону LAN.
  • zone-member security WAN — назначаем интерфейс GigabitEthernet0/1 в зону WAN.
  • zone-member security DMZ — назначаем интерфейс GigabitEthernet0/2 в зону DMZ.

3. Создание классов трафика

Классы трафика определяют, какой трафик будет соответствовать определенным условиям. Например, HTTP и DNS трафик может быть разрешен, а весь остальной трафик будет блокироваться.

Пример команд:

Firewall(config)# class-map type inspect match-any HTTP-TRAFFIC
Firewall(config-cmap)# match protocol http
Firewall(config-cmap)# match protocol dns
  • class-map type inspect match-any HTTP-TRAFFIC — создаем класс трафика HTTP-TRAFFIC, который будет отслеживать HTTP и DNS трафик.
  • match protocol http — разрешаем HTTP трафик.
  • match protocol dns — разрешаем DNS трафик.

4. Создание политики фильтрации

Политики фильтрации определяют, как будет обрабатываться трафик, который попадает в зону. Мы можем разрешить или заблокировать трафик в зависимости от его типа.

Пример команд:

Firewall(config)# policy-map type inspect LAN-to-WAN
Firewall(config-pmap)# class HTTP-TRAFFIC
Firewall(config-pmap-c)# inspect
Firewall(config-pmap)# class class-default
Firewall(config-pmap-c)# drop
  • policy-map type inspect LAN-to-WAN — создаем политику фильтрации LAN-to-WAN для трафика, идущего из зоны LAN в зону WAN.
  • class HTTP-TRAFFIC — указываем, что класс HTTP-TRAFFIC (HTTP и DNS трафик) будет отслеживаться.
  • inspect — разрешаем отслеживание и пропуск трафика, соответствующего классу HTTP-TRAFFIC.
  • class class-default — класс class-default используется для всего остального трафика.
  • drop — блокируем весь остальной трафик.

5. Применение политики безопасности между зонами

Теперь мы применим политику безопасности к паре зон (между зоной LAN и зоной WAN).

Пример команд:

Firewall(config)# zone-pair security LAN-to-WAN source LAN destination WAN
Firewall(config-zone-pair)# service-policy type inspect LAN-to-WAN
  • zone-pair security LAN-to-WAN source LAN destination WAN — создаем пару зон безопасности между LAN и WAN. Исходящий трафик будет направляться из зоны LAN в зону WAN.
  • service-policy type inspect LAN-to-WAN — применяем политику фильтрации LAN-to-WAN для этой пары зон.

Аналогично можно настроить блокировку трафика с WAN в LAN:

Firewall(config)# zone-pair security WAN-to-LAN source WAN destination LAN
Firewall(config-zone-pair)# service-policy type inspect class-default
  • zone-pair security WAN-to-LAN source WAN destination LAN — создаем пару зон безопасности между WAN и LAN.
  • service-policy type inspect class-default — применяем политику, которая блокирует весь трафик, не соответствующий классу HTTP-TRAFFIC.

6. Настройка маршрутизации

После того как мы настроили зоны и политики, необходимо настроить маршруты, чтобы устройства могли отправлять трафик через фаервол.

Пример команд:

Firewall(config)# ip route 0.0.0.0 0.0.0.0 203.0.113.2
Firewall(config)# ip route 192.168.1.0 255.255.255.0 192.168.2.2
  • ip route 0.0.0.0 0.0.0.0 203.0.113.2 — задаем маршрут по умолчанию для всего трафика, который должен идти в Интернет через шлюз 203.0.113.2.
  • ip route 192.168.1.0 255.255.255.0 192.168.2.2 — маршрутизируем трафик в сеть 192.168.1.0/24 через интерфейс фаервола с IP 192.168.2.2.

7. Проверка и диагностика

Для проверки конфигурации можно использовать различные команды для отображения текущего состояния зон, пар зон и политик.

Пример команд:

Firewall# show zone security
Firewall# show zone-pair security
Firewall# show policy-map type inspect zone-pair sessions
  • show zone security — показывает информацию о созданных зонах безопасности.
  • show zone-pair security — отображает информацию о парах зон, между которыми применяется политика безопасности.
  • show policy-map type inspect zone-pair sessions — показывает активные сессии и применяемые политики безопасности для каждой зоны.

Преимущества подхода через зоны:

Преимущество Пояснение
Высокая безопасность Всё блокируется по умолчанию
Гибкое управление Можно точно задать, какой трафик между какими зонами разрешён
Логическая изоляция Упрощает сегментирование (LAN/DMZ/GUEST)
Автоматическая поддержка сессий inspect режим отслеживает соединения, как в stateful firewall
Масштабируемость Удобно строить большие архитектуры на зонах

Настройка Firewall на компьютере (PC/Server) - делать

1. Откройте Packet Tracer и создайте схему

  1. Перетащите PC или Server на рабочее поле.
  2. Подключите его к коммутатору (Switch) или напрямую к маршрутизатору (Router).
  3. Подключите другой PC, чтобы протестировать соединение (например, ping или HTTP).

2. Настройка IP-адресов

  1. Кликните по PC/Server → Desktop → IP Configuration.
  2. Назначьте IP-адрес, маску подсети и шлюз (если требуется).

3. Настройка Firewall на Server

(PC в большинстве версий Packet Tracer не поддерживает вкладку Firewall — используйте Server)

  1. Откройте Server → Config → Firewall.
  2. Включите фаервол: Firewall On
  3. Добавьте правила:

Пример:

Direction Action Protocol Port Source IP Destination IP
Inbound Deny TCP 80 Any This Server
Inbound Allow ICMP Any 192.168.1.10 This Server
Outbound Deny Any Any This Server Any

4. Проверка работы фаервола

  1. С другого ПК выполните ping или откройте web-браузер и введите IP-адрес сервера.
  2. Если правила настроены корректно:
    • Запрещённые порты будут отклонены.
    • Разрешённые действия — выполнены успешно.

Пример задачи: Блокировка HTTP, разрешение PING

Топология:

  • PC1: 192.168.1.10
  • Server1: 192.168.1.100
  • Switch1

Цель:

  • Запретить доступ к HTTP (порт 80) на Server1.
  • Разрешить ping (ICMP) только от PC1.

Шаги:

  1. На Server1 → Config → Firewall:
    • Включите Firewall On.
    • Добавьте:
      • Inbound | Deny | TCP | 80 | Any | This Server
      • Inbound | Allow | ICMP | Any | 192.168.1.10 | This Server
  2. На PC1 → Desktop → Command Prompt:
    • Выполните ping 192.168.1.100 → должно сработать.
    • Откройте веб-браузер и введите http://192.168.1.100 → должно быть заблокировано.

Современные решения и тренды

  • NGFW и интеграция с облаком
  • Zero Trust Architecture
  • AI/ML в обнаружении угроз
  • Интеграция с SIEM
  • Контейнерные firewall (Kubernetes Network Policies)