Выбираете NGFW: полный чек-лист функций для архитекторов, пресейлов и закупщиков

При подключении NGFW в сеть могут быть разные потребности, я собрал здесь все известные мне потребности, которые бывают в сетях. И я занимаюсь межсетевыми экранами с 1998 года. Достаточно долго. Вы можете пройтись по этому чеклисту и выбрать те, которые необходимы вашей компании. Все эти функции одновременно не реализованы ни в одном NGFW. Только учтите, что тут только сетевая часть. А есть еще часть связанная с безопасностью - это будет отдельный чеклист.

1. Физические интерфейсы и аппаратные возможности

1.1. Типы портов

• Медные (RJ-45), оптические (SFP/SFP+/QSFP)
• Скорости: 1 GbE, 10 GbE, 40 GbE, 100 GbE
• Встроенные модули расширения – Wi-Fi, сотовые модемы (LTE/5G), дополнительные порты.
  

1.2. Агрегация

• LACP (802.3ad), статическая агрегация

1.3. Разделение каналов

• Breakout-кабели (QSFP → 4×10 GbE)

1.4. Аппаратное резервирование

• HA-порты (dedicated HA, HA over data ports)

1.5. PoE

• Поддержка питания по Ethernet (редко в NGFW, но иногда спрашивают)

---

2. Логические режимы интерфейсов

2.1. Virtual Wire (L1) — прозрачная вставка NGFW без изменения L2 топологии, удобна в АСУТП
2.2. Layer 2 Mode — работа как коммутатор с политиками
2.3. Layer 3 Mode — маршрутизация (static/dynamic)
2.4. Subinterfaces — VLAN-теги на одном физическом порту (802.1Q)
2.5. VLAN интерфейсы — отдельные VLAN как L3-интерфейсы
2.6. Loopback Interfaces — для сервисов NGFW
2.7. TAP mode — пассивный мониторинг сети
2.8. Security Zones — сегментация интерфейсов для политик

---

3. Сетевые функции L2/L3

3.1. VLAN trunk / access
3.2. Spanning Tree (STP/RSTP/MSTP) — редко в NGFW, но иногда требуется
3.3. MAC-фильтрация 
3.4. Proxy ARP
3.5. Gratuitous ARP — для смены MAC при failover
3.6. DHCP Client/Server/Relay
3.7. PPPoE — в провайдерских сценариях
3.8. IPv6 — SLAAC, DHCPv6, RA proxy
3.9. Jumbo Frames – поддержка MTU >1500 (актуально для iSCSI, VoIP, мультимедиа). 

---

4. Маршрутизация

4.1. Статическая маршрутизация
4.2. Динамическая маршрутизация

• OSPF v2/v3
• BGP
• RIP

4.3. Policy-based routing (PBR)
4.4. ECMP — балансировка трафика по маршрутам
4.5. VRF / Virtual Router — разделение таблиц маршрутизации
4.6. Multicast Routing – IGMP, PIM-SM/PIM-DM 
4.7. Route redistribution - обмен таблицами маршрутизации между разными протоколами

---

5. NAT (Network Address Translation)

5.1. SNAT (Source NAT) — static, dynamic, PAT
5.2. DNAT (Destination NAT)
5.3. Bidirectional NAT
5.4. Policy NAT 
5.5. NAT64 / DNS64 – для взаимодействия IPv6-IPv4.

---

6. Высокая доступность (HA)

6.1. Active/Passive
6.2. Active/Active
6.3. Link Monitoring / Path Monitoring
6.4. State Synchronization — сессии, таблицы NAT
6.5. Heartbeat Interfaces – выделенные интерфейсы для синхронизации состояния и конфигурации
6.6. Asymmetric HA – поддержка ассиметричного трафика.

---

7. Виртуализация и мультиаренда

7.1. VSYS / VDOM — несколько виртуальных firewall в одном шасси
7.2. Tenant Separation — изоляция политик и логов
7.3. Ресурсные квоты – ограничение CPU/RAM/сессий на VDOM/VSYS.

---

8. Сервисные функции подключения

8.1. NTP, DNS, syslog, OCSP, LDAP — через выделенные интерфейсы
8.2. Out-of-band management — отдельный mgmt-порт
8.3. VRF для менеджмента — изоляция mgmt-трафика
8.4. Поддержка Active Directory/RADIUS/TACACS+ – для аутентификации администраторов.
8.5. Zero Touch Provisioning (ZTP) – автоматическая настройка при первом включении. 
8.6. API-доступ (REST, CLI, SSH) – для автоматизации (Ansible, Terraform).

---

9. Безопасность подключения

9.1. Port Security — ограничение по MAC
9.2. 802.1X Authentication — редко, но встречается в NGFW с NAC-интеграцией

---

10. Интеграция с инфраструктурой

10.1. GRE, VXLAN, MPLS pass-through
10.2. SD-WAN Integration – поддержка динамической маршрутизации по метрикам. 
10.3. Cloud Integration – AWS/Azure/GCP (например, Palo Alto VM-Series, Fortinet FortiGate-VM).  10.4. Tunneling Protocols – WireGuard (если поддерживается), L2TP, IP-in-IP.
10.5. Decrypted Traffic Mirror — отправка уже расшифрованного TLS-трафика на анализ (например, в DLP или NDR).

11. Мониторинг и логирование

11.1. NetFlow / sFlow / IPFIX – экспорт статистики трафика (часто для NTA/NPM-систем).
11.2. SNMP (v1/v2c/v3) – сбор метрик (интерфейсы, CPU, память, сессии).
11.3. Syslog (TCP/UDP/TLS) – стандартный экспорт логов в SIEM.
11.4. SIEM-интеграция – готовые коннекторы для Splunk, QRadar, ArcSight, Elastic.
11.5. REST API / gRPC API – автоматизация сбора и управления.
11.6. Custom reports / scheduled reports – отчёты по трафику, угрозам, пользователям, VPN.
11.7. Real-time dashboards – онлайн-мониторинг загрузки, атак, событий.

---

12. Управление полосой пропускания

12.1. Traffic Shaping – лимиты по src/dst, приложению, пользователю.
12.2. QoS Marking / DSCP rewrite – метки приоритета для VoIP, видео, критичных сервисов.
12.3. Application-based QoS – приоритеты по App-ID.
12.4. Fair-Usage Policies – ограничения «по справедливости» для всех клиентов/пользователей.
12.5. Scheduler – разные профили QoS по времени (часам, дням недели).

---

13. DDoS Protection

13.1. Rate Limiting – SYN flood, UDP flood, ICMP flood защита.
13.2. Blackhole / Null Routing – дроп трафика на уровне маршрутизации.
13.3. Anomaly Detection – статистический анализ, автоматическое включение фильтров.
13.4. Connection limits – лимиты на количество соединений от одного IP.
13.5. Geo-IP blocking – фильтрация по странам и регионам.

---

14. IPv6-функции

14.1. Dual Stack – одновременный IPv4/IPv6.
14.2. IPv6-правила – отдельные ACL и NAT для IPv6.
14.3. ICMPv6 Filtering – контроль Neighbor Discovery, Router Advertisement.
14.4. IPv6 NAT (NAT66/NPTv6) – поддержка трансляций IPv6.
14.5. Transition Mechanisms – 6to4, ISATAP, GRE over IPv6 (редко, но иногда критично).

---

15. VPN и туннелирование 

15.1. IPsec VPN – site-to-site, hub-and-spoke, mesh, route-based, VTI/policy-based.
15.2. SSL VPN – доступ пользователей к внутренним ресурсам
15.3. IKEv1 / IKEv2 – управление туннелями.
15.4. GRE / VXLAN / MPLS pass-through – поддержка L3/L2 оверлеев.
15.5. VPN QoS – приоритезация трафика внутри туннеля.

---

16. Развёртывание и масштабируемость

16.1. Cluster Mode – кластер от 2 до 16 устройств с балансировкой.
16.2. Virtual Appliance – поддержка гипервизоров (VMware, Hyper-V, KVM).
16.3. Cloud-native – AWS, Azure, GCP marketplace-образы.
16.4. Container Form Factor – cNFGW в Kubernetes/Openshift.

---

17. Диагностика и тестирование

17.1. Packet Capture / PCAP – встроенный анализатор пакетов.
17.2. Traffic Simulator – проверка работы политики без реального трафика.
17.3. CLI-диагностика – ping, traceroute, debug flow, session table.
17.4. Health Monitoring – CPU, RAM, сессии, температура, питание.

Какие темы безопасности я рекомендую пересмотреть или послушать в подкасте Царева и Батранкова

 С Евгением Царевым обсудили информационную безопасность

Какие темы я рекомендую пересмотреть или послушать в получившемся подкасте:

03:12 Ты несколько месяцев настраиваешь защиту, а потом у тебя за час пентестер находит уязвимость. А как быть?

04:23 "Обзор всех классов продуктов ИБ" - курс в Бауманке и у меня на канале

05:05 "А сколько по времени изучать какую-то технологию в ИТ или ИБ?" - ролик у меня в канале

09:12 Любой инсайдер знает как украсть данные, а юридически инсайдера привлечь невозможно.

11:35 "Судьи не понимают ценность данных"

20:10 Мы защитились хорошо за последние два года за счет постоянных атак

23:37 Книга Фридмана про делегирование

25:13 Искусственный интеллект и пугает и радует 

26:00 ИИ озвучивает видеоролики моим голосом на испанском языке. Полная версия у меня на канале

27:55 Почему я советую сервис perplexity.ai для поиска ответов

28:10 Почему я советую сервис gamma.app для создания презентаций

31:18 Почему NGFW это сложно 

42:21 Мы строим высокие заборы, забывая про калитку

43:53 Как защищаться от фотографирования экрана?

Приглашаю 9 декабря 2024 года в Сокольники на конференцию по сетевой безопасности, где будут выступления реальных специалистов по сетевой безопасности и реальные средства защиты нашего рынка netsec.ib-bank.ru 

Долой роадмапы! Покажите чем защищаться сегодня! Это здесь!

Конференция по сетевой безопасности 09.12.24

Приглашаем на конференцию «Сетевая безопасность»! 🛡

Мероприятие будет полностью посвящено отечественным средствам защиты информации сетевой инфраструктуры. Не пропустите шанс присоединиться к лидерам отрасли и обсудить важные вопросы! 

Основные темы конференции:

- Способы измерения производительности и функциональности средств сетевой безопасности и Anti-DDoS

- Требования к межсетевым экранам нового поколения (NGFW)

- Защита web-приложений и электронной почты, WAF и SEG

- NTA, NDR, UEBA, TI — поведенческие и статистические системы защиты на основе анализа трафика

- VPN-шлюзы и проблемы инспекции SSL/TLS трафика

- Песочницы, Deception, Honeypot

- Обеспечение безопасности удаленного доступа

- Использование криптографии в обеспечении сетевой безопасности

Зарегистрироваться 

Подробности:

- Место: Москва, «Холидей Инн Сокольники»

- Дата: 9 декабря 2024 года

- Условия участия: Для представителей органов государственной власти, финансовых организаций, компаний ТЭК, промышленности, транспорта и ритейла участие бесплатное при обязательной регистрации на сайте. 

Программа

Удалённый взлом NGFW Fortinet, Palo Alto, Check Point и Cisco в 2023-2024 годах

В 2023 и 2024 годах в продуктах компаний Fortinet, Palo Alto Networks, Check Point и Cisco были обнаружены уязвимости, позволяющие удалённым злоумышленникам получить root-доступ. Ниже представлен список таких уязвимостей:

Fortinet:

• CVE-2023-27997: Уязвимость в Fortinet VPN SSL, позволяющая неаутентифицированному злоумышленнику выполнить произвольный код с правами root через специально сформированный POST-запрос.

  Usergate

• CVE-2024-23113: Уязвимость в FortiOS, FortiPAM, FortiProxy и FortiWeb, позволяющая удалённому атакующему выполнять произвольный код через специально сформированные запросы.

  SecurityLab

Palo Alto Networks:

• CVE-2024-3400: Уязвимость в функции GlobalProtect PAN-OS, позволяющая неаутентифицированному злоумышленнику выполнить произвольный код с правами root на межсетевом экране через уязвимость внедрения команд.
  
  
  Palo Alto Networks Security

Check Point:

• CVE-2024-24919: Уязвимость в шлюзах безопасности Check Point с IPSec VPN в Remote Access VPN Community и программном обеспечении Mobile Access Blade, позволяющая удалённому злоумышленнику получить несанкционированный доступ.
  
  
  CisoClub

Cisco:

• CVE-2024-20432: Критическая уязвимость в контроллере Nexus Dashboard Fabric (NDFC), позволяющая атакующим выполнять команды с правами администратора сети.
  
  
  SecurityLab
  
  
• CVE-2024-20412: Наличие жёстко закодированных учётных данных в FTD для устройств Cisco Firepower серий 1000, 2100, 3100 и 4200. Это позволяет неаутентифицированному злоумышленнику получить доступ к системе с правами root.
  
  Хакер
  
  CVE-2024-20432: Уязвимость в веб-интерфейсе управления Cisco Secure Firewall Management Center (FMC) Software позволяла аутентифицированному удалённому злоумышленнику выполнять произвольные команды с правами root.
  
  

Рекомендуется своевременно обновлять программное обеспечение и следовать рекомендациям производителей для минимизации рисков, связанных с этими уязвимостями.

Текущее состояние производительности NGFW у российских поставщиков

В части производительности NGFW рекомендую посмотреть публичное тестирование компании Jet Infosystems 

Здесь видно как расходятся публичные данные из рекламы и реальные результаты тестов. Ideco в тесте серьезно просело по производительности с 5 официальных до 0,75 реальных Гбит/с.

Производительность PT NGFW на 10.10.24

 Путевые заметки рынка России в NGFW

10 октября 2024 Денис Кораблев показал результаты внутренних тестов PT NGFW.

Для такой маленькой коробки на Intel Atom без вентиляторов - 880 Гбит/с в режиме все включено это очень быстро.

То же самое для 2 юнитовой железки 96 Гбит/с - это тоже очень быстро.

Человек с юмором придумал обозначение L8. Такого термина нет в науке. Зато в PT есть )

Bi.Zone протестировал межсетевые экраны Кода Безопасности: посмотрите результаты с IPS и без

Выражаю благодарность компании Bi.Zone и Код Безопасности за достаточно смелую публикацию результатов тестирования. Поскольку я фанат NGFW и занимаюсь защитой сетей с 1998 года, то мне было интересно узнать подробности. 

PS: Ко мне обратились коллеги из Кода Безопасности.  Оказалось, что схема стенда в отчете - верна только для тестов с 5 по 10. Тесты с 1 по 3 проводились на том же стенде, где включен один межсетевой экран. По 4 тесту сейчас без схемы непонятно что там было с чем соединено и как физически и логически тестировался LAG.

Аппаратная часть

Коллеги создали мощный стенд:

• кластер из двух L3 коммутаторов Eltex MES5500-32 версия ПО — 6.6.2.9;
• кластер из двух сетевых балансировщиков DS Integrity-100G (каждый разделен логически пополам);
• кластер из 16 устройств межсетевого экранирования IPC-R3000 версия ПО — 4.1.9
• и система управления с той же версией.

Получилось всего 21 устройство. 

Схему стенда показывали сотрудники Бизон на презентации в студии 

В качестве генератора трафика были выбраны генераторы трафика Ixia Cloud Storm и Novus 100G с генератором XGS2-HSL2 с карточками L4 и L7. Напомню, что IXIA использует FPGA для ускорения работы.

Устройство IXIA.

Функционал межсетевого экрана

Само межсетевое экранирование производилось по IP портам, то есть функционал блокирования приложений движком DPI не тестировался.

Я, конечно, хотел уже дальше не читать отчет... И я думаю вы тоже.. но природная любознательность заставила... Причина проста: большинство приложений сегодня работает по 443 порту и вам обязательно нужна контентная фильтрация, потому что по портам вы либо просто запрещаете этот порт, либо просто разрешаете. И это уже не работает. Чтобы не повторяться: прошу прочитать про это статью "Межсетевой экран нового поколения - это маркетинг", где приведены какие это 173 приложения работают на 443 порту из реальной сети. То же самое с 80 портом.

Число правил для теста выбрано 1000, что подходит для небольших заказчиков.

Но поскольку производительность ожидалась 400 Гбит/с, то 1000 правил я бы поменял на 10000. Самое большое количество правил, что я видел в своей жизни - 120000. А сколько вы видели? )
Предлагаю сделать такой же тест на 10000 и 100000 правил.

Тесты

В ходе проверок было проведено 10 различных тестов.

Основные тесты это:
1. Максимальное число успешно открытых новых TCP соединений в секунду в режиме L4;
2. Максимальное число одновременных TCP соединений в памяти в режиме L4;
3. Максимальная пропускная способность в режиме L7 (DPI) без маршрутизации, с маршрутизацией, с NAT и без NAT, с IPS и без IPS; 
4. Проверка потерь сессий при выходе из строя устройства;
5. Максимальная пропускная способность в режиме L4 на UDP;
И еще пять, что описано на 11 странице отчета.

Результат 26 Гбит/с в режиме DPI и SNAT на 1 межсетевом экране

Поскольку было 73000 транзакций в секунду, то это в среднем 35Кб на транзакцию.

Сам поток трафика состоял из различных приложений, вот их список и процент разбивки в самом потоке.

19.21% 115348 байт транзакции TLS 1.2, без расширования
15.37% 26184 байт транзакции Google Search GET Home Page - я так понимаю это тоже TLS
14.09% 6267 байт транзакции Yahoo Search GET Home Page - я так понимаю это тоже TLS
12.81% 12450 байт транзакции TLS 1.2, без расшифрования 

2.56% 217403 байт транзакции GMAIL и это тоже TLS

В итоге 64% трафика был зашифрованный поток данных в TLS, в котором чаще всего нечего проверять фильтру контента, кроме TLS Handshake где можно глянуть версии TLS, SNI и URL категории. Это все не проверялось. По распределению TLS 1.2 и TLS 1.3 в интернет лучше посмотреть на сайте ssllabs.com/ssl-pulse/ на момент прочтения статьи.

Скриншот из интерфейса IXIA, где показаны настройки тестового трафика.

Результат 4 Гбит/с IPS на 1 устройстве

На мой взгляд, тестировать производительность IPS просто подачей трафика - некорректно. Нужно еще проверять, что на этом максимальном потоке трафика IPS вообще как-то работает - то есть блокирует атаки. А то, что у нас есть устройство, которое просто быстро пропускает трафик - и что? )

В других тестах мы выявляли, что при подаче трафика IPS перестает блокировать атаки. И поэтому я бы добавил еще в тест страйки IXIA. И именно так - только вместе с атаками мы понимаем максимальную производительность IPS.

Скриншот IXIA где показано сколько атак заблокировано и сколько пропущено.

Павел Луговов на конференции SSTA в Бизон отлично рассказал как правильно тестировать атаки и вирусы в трафике. Также Владислав Закревский на той же конференции показывал как падает производительность Suricata при подаче трафика.

Четыре неожиданных результата

1. Выяснилось, что сам генератор IXIA максимально может выжать 200 Гбит/с в режиме L7. Поэтому пришлось выключать генерацию трафика приложений и переходить на режим L3 без проверки, что сессии были реально уставлены. 

Если кто-то из производителей говорит, что у него больше 200 Гбит/с NGFW, то спросите их чем они трафик приложений генерировали. ;-) Вдруг yandex-tank. 

Что, в общем, совпадает с datasheet этого вендора.



2. Выяснилось, что пакетный брокер тоже пропускает не бесконечно много трафика: он достиг производительность 400 Гбит/с для двунаправленного трафика. Поэтому если вы тестируете такой трафик, то вам нужно ЧЕТЫРЕ пакетных брокера. 

3. Одна система управления не справляется с журналированием такого объема трафика: 400 Гбит/с.

4. Уперлись в ограничения BGP в коммутаторе Eltex. Ну и какие-то проблемы с ICMP (подробнее описывает 32 страница отчета).

Вывод

Ставить 16 межсетевых экранов и балансировать их - непростое решение для технических специалистов. Как написано в отчете Bi.Zone, отлаживать проблемы было почти невозможно - не проходил ICMP длиной 64 байта через стенд, не было возможности запустить сниффер трафика на Eltex. В эксплуатацию я бы такое не принял.

Тестирование на UDP трафике - это самое странное, что можно делать при выборе межсетевого экрана, ведь в реальной сети такого трафика нет. Тестировать то, чего не бывает? Чтобы что? ) Я догадываюсь, что для того, чтобы впечатлить непрофессионалов. Это все равно что, тестировать производительность поликлиники, где люди входят и сразу выходят. Очень быстрая поликлиника. Скоро видимо у нас и такие будут. А полечиться? Впрочем, я уже писал про это.

Поэтому если вам где-то пишут производительность на UDP 1500 байт (или в PPS или FPS) - шлите их лесом. Так делают Check Point и Fortinet? Вот их и шлите. Это делают их люди из маркетинга. И скажите этим людям то, что написано ниже:

Самое важное в NGFW - это
Threat Protection или Threat Prevention Troughput.

Это тот самый параметр производительности, который нужен заказчику. 

Рынок РФ должен целиться в создание высокоростных устройств: которые в одном устройстве дают нужную производительность. 

В итоге, я бы лучше купил PA-3440 две штуки и поставил в кластер HA, чем всю эту огромную конструкцию из 21 устройств. Во первых займет всего 2 юнита, во-вторых производительность даже больше в тесте trhoughput и new sessions, в третьих и питания нужно меньше. И самое главное - там будет настоящий HA где будут синхронизироваться состояния сессий. А в данном решении такого не было.

Посмотрите, число одновременных сессий у Palo Alto 3 000 000, но как мы знаем это в режиме L7, когда запоминается состояние приложений L7. Число одновременных сессий в режиме L4 и L7 отличается минимум в 10 раз, потому что в режиме L7 на состояние сессий нужен буфер большего обмена при той же памяти устройства. Поэтому 10 0000 000 сессий в тесте выше в режиме L4 будет падать до 1 миллиона сессий в режиме L7.

PS: Одна важная вещь

Когда вы смотрите datasheet или когда вы смотрите тесты независимой лаборатории, то учитывайте, что все строки - это РАЗНЫЕ тесты. Не существует такого устройства, которое одновременно дает 10 миллионов TCP сессий, одновременно при этом 150000 новых сессий и одновременно при этом 28 Гбит/с. Это все результаты трех РАЗНЫХ тестов на РАЗНОМ трафике, пусть для одного и того же устройства. Подавался разный трафик и тестировалось РАЗНОЕ. В реальной жизни эти числа достигнуты НЕ БУДУТ все одновременно.

Например, тут - три разных теста. 

Для погружения в тестирование NGFW рекомендую серию из трех видеороликов

Как проходит тестирование

Как смотрят параметры CC, CPS, Throughput разные поставщики

Разбираемся с размером транзакций через тесты NSS Labs

Как правильно оценить производительность NGFW: путеводитель по метрикам безопасности сети

Введение: аналогия с поликлиникой

Представьте себе поликлинику, способную пропускать 360 пациентов в час или одного в секунду. Звучит впечатляюще, не так ли? Но отражает ли это реальную эффективность медицинского учреждения? Конечно, нет. Ведь мы понимаем что за 1 секунду нельзя проверить здоровье человека и тем более вылечить. Это бессмысленный параметр, показывающий производительность входной двери, но не поликлиники в целом. Аналогичная ситуация складывается с оценкой производительности устройств сетевой безопасности, таких как Next-Generation Firewall (NGFW). Высокие значения пропускной способности поначалу впечатляют, а после изучения вызывают недоумение.

Ключевые факторы влияющие на производительность NGFW

1. Движки проверки трафика:
   • DPI (Deep Packet Inspection)
   • User-ID
   • IPS (Intrusion Prevention System)
   • URL-фильтрация
   • Антивирусная защита
   • Threat Intelligence
   • Песочница (Sandbox)
2. Преобразование зашифрованного трафика и сертификатов:
   • IPSEC туннели
   • SSL-шифрование

Почему "сырые" показатели скорости могут вводить в заблуждение?

Производительность NGFW, измеренная только на UDP-пакетах или в пакетах в секунду, подобна оценке работы поликлиники по скорости входа и выхода пациентов. Эти метрики не учитывают реальные процессы обработки данных и обеспечения безопасности.

На что обратить внимание при выборе NGFW?

Ключевой показатель: Threat Prevention или Threat Protection (TP)

При изучении технических характеристик (datasheet) NGFW, обратите особое внимание на параметр "Threat Prevention" или "Threat Protection". Это наиболее важный показатель, отражающий реальную скорость проверки сетевых пакетов на наличие угроз.

Заключение

Выбирая NGFW для защиты вашей сети, не поддавайтесь соблазну "сырых" показателей производительности: на UDP пакетах, Packet Per Second (PPS) Frame Per Second (FPS). Сосредоточьтесь на метриках, отражающих реальную способность устройства, чтобы затем обеспечивать комплексную защиту при реальных рабочих потоках трафика.

Для более глубокого понимания темы рекомендуем ознакомиться с видеоматериалами, демонстрирующими практические примеры оценки производительности NGFW.

NGFW изнутри. Вся правда о производительности.

Выпущена серия из трех видеороликов о производительности NGFW.

1. В первой части общий обзор как трафик проходит через NGFW. И это нужно знать, чтобы понять следующие две части.

2. Во второй части рассказ про то как посчитать CPS в своей будущей сети на основе знаний о числе хостов.

Также вы узнаете как производительность зависит от включенных функций.

3. В третьей части рассказ про то как сам трафик влияет на производительность, в чем разница между транзакциями 64Кб, 256Кб, 1.7Кб.

И также рассказываю как понять число одновременных соединенений (Concurrent Connections) в вашей будущей сети

 

И еще,  завершающая песня про Firewall написанная искуственным интеллектом!

Подписывайтесь на канал Топ Кибербезопасности

Результаты тестирования межсетевых экранов 2024 года

В тесте NGFW участвовали Континент 4.1.7, CheckPoint 81.20, UserGate 7.1.0, Sangfor 8.0. Опубликовали тест 29 февраля 2024 года.

Возникает первый вопрос: был ли реальный тест функций или по документации. Коллеги заявляют, что проверяли сами часть функционала, часть смотрели по документации.

Поэтому важно посмотреть саму методику тестирования. 

Методики тут:

• Функциональная методика
• Нагрузочная методика 

Впечатления 

• Меня удивили NAT-правила для определенных правил МСЭ в Континент. Интересно посмотреть как это на практике.
• Понравилось, что были проверки работы обнаружения приложений на нестандартных портах.
• Интересно было посмотреть особенности каждого МСЭ - что движки делают с трафиком после расшифрования SSL - кто-то инспектирует всеми модулями безопасности открытый трафик, а кто-то избирательно реализовал, где-то еще есть ICAP. Интересно, что почти все могут HTTPS и лишь немногие смотрят в другие протоколы на базе SSL. Про работу SSL инспекции у меня есть отдельный видеоролик.
• Интересно, что где-то нельзя загружать внешние сертификаты. Это выглядит прямо неудобным.
• Важно что проверили исключения для работы SSL для некоторых URL категорий.
• Мне всегда интересно какие есть режими подключения User-ID к AD и другим система аутентификации. По User-ID у меня тоже есть видеоролик.
• Очень круто, что описали какие 2FA/MFA поддерживаются.
• Интересно было узнать кто поддерживает ГОСТ, а кто AES для VPN.
• Классно что проверили функциональность ZTNA, то есть проверку соответствия требованиям клиентской рабочей станции самим агентом VPN.
• Показали кто и как интегрируется с песочницей, можно дополнить списком протоколов, которые разбираются и из которых файлы отправляются в песочницу.

Что еще бы добавить

• Для меня не хватило теста Virtual Wire, я его часто использовал, потому что в этом режиме удобно инсталлировать NGFW как IPS, или как прозрачный сенсор в сети АСУТП, где нельзя менять топологию. 
• Также интересно как меняются теги VLAN в L2.
• Получается ни у кого нет анализа трафика на SPAN?
• Также в проверках приложений было очень интересно сколько приложений поддерживается движком DPI. Таких данных не вижу - лучше в следующем тесте опубликовать.
• Важно в проверке приложений потестировать какие-то сложные: TOR, Telegram и российские: 1С, Одноклассники и др.
• Интересно, что некоторые производители не делают приложение критерием проверки, это лучше протестировать всегда.
• Про IPS хотелось узнать а как обновляются сигнатуры, как часто, насколько хорошо покрытие атак хотя бы по Strike 1 набору из IXIA.
• По правилам было интересно узнать как работает с большим количеством правил и какая просадка- как известно это проблема современных устройств. Хотя бы 10 тысяч правил добавить в методику.
• Можно добавить стоимость за защищенный гигабит для устройств мощностью 1, 2, 5, 10 Гбит/с с включенными функциями защиты.
• Интересно бы узнать максимальное по производительности устройство в линейке вендора.
• Также интересно где хранятся логи: локально или на центральном сервере. Это влияет на производительность. 
• Журналируются ли действия администраторов?
• Что происходит при рызрыве связи NGFW и системы управления?
• Также круто сравнить системы управления: встроенная в каждый Local Management или централизованная, сколько событий в секунду принимает лог коллектор в системе управления, что делать если не хватает одного лог коллектора и др.
• Управление через API -  как работает, хватает ли функционала для разных сценариев, с чем получилось интегрировать, например, с каким-то SOAR.

T1204 User Esecution это самый частый способ проникновения - запуск вредоносного кода самим пользователем

Посмотрел отчет JET CSIRT и решил перечитать как мировое сообщество предлагает защищаться от топовой техники в отчете: User Execution, когда сам пользователь запускает вредоносный код, под воздействием хакера. По сути это про социальную инженерию.

Самое простое для ответа - зайти в описание техники Е1204 на сайте 

И в общем в базе все логично пишут коллеги

Обычно предлагается для защиты использовать бесплатные методики в Windows SRP или Applocker и в общем методика белых списков - до сих пор рабочий инструмент. Автор блога и Петр Губаревич делали вебинар на тему практического использования SRP.

Обучение сотрудников не так эффективно, как мы выяснили в разговоре со специалистом по Security Awareness Ольгой Лимоновой на интервью с ней.

Контроль скачиваемого по сети софта и исходящих от клиентов внешних подключений - эффективный метод, который реализован внутри NGFW и IPS.

Сегодня для этого есть полный комплект:
- URL фильтрация - позволяет заблокировать подключения к фишинговым и вредоносным сайтам;
- SSL расшифрование позволяет увидеть файлы и атаки внутри протокола SSL и TLS,
- потоковый антивирус, позволяет проверить и заблокировать файлы прямо в сетевом трафике для всех устройств в сети;

- песочница, активно дополняет антивирус и выявляет новые, ранее неизвестные образцы вредоносного кода;
- база IoC, которую обычно называют умным словом Threat Intelligence (TI), позволяет выявить подключения к известным центрам управления бот-сетями, криптолокерами и спам серверами;
- ML для DGA DNS запросов, дополняет TI базу, поскольку позволяет выявлять активно перемещающиеся центры управления
- контроль приложений (DPI), позволяет увидеть неожиданные подключения, которые обычно не делают сервера и даже некоторые сотрудники.

О работе NGFW и сегментации для блокировки этой угрозы и реализации многоэшелонированной защиты, также есть короткий видеоролик https://www.youtube.com/watch?v=lj3_ZE5DRgM

Ну и конечно топовыми сегодня являются поведенческие техники, обычно они сегодня реализованы на базе EDR, XDR или в SIEM.

Заходите в телеграмм канал Топ Кибербезопасности, обсудим!

Всем нужен межсетевой экран нового поколения (Next-Generation Firewall). А что это?

Всем нужен межсетевой экран нового поколения (Next-Generation Firewall). А что это?

Серия из 3 видеороликов раскрывает подробности работы межсетевых экранов нового поколения (NGFW).

Заходите за новостями в канал "Топ Кибербезопасности" https://t.me/+nAJuAfwWY2o4ZDFi

Всем нужен межсетевой экран нового поколения (Next-Generation Firewall)

Контроли не успевают за ИТ технологиями. Почему?

• Разветвлённая структура больших организаций зачастую не позволяет иметь точный перечень всех активов и сервисов, по факту доступных из сети Интернет. Поглощения, слияния, реструктуризации, реорганизации и т.п. мешают взять все под контроль.
• Shadow IT - это когда отдельные сотрудники бесконтрольно разворачивают свои сервисы о которых служба IT не знает. И Shadow IT все больше и больше.
• Ошибки конфигурации и халатность при настройке внешних сервисов и сервисов, которые не должны, а стали доступны извне.
• Вы думаете, что ресурсы Ваши и доверяете им (whitelist), а они уже Вам не принадлежат.
• Подрядчик настроил сервер для временного доступа и забыл, а Вас не уведомил, и прочее, прочее, прочее.
• Все это подвергает Вашу компанию риску проникновения.
• Необходимо снижать поверхность атаки. А как?

Вам нужен межсетевой экран нового поколения!

Фильтрация по MAC-адресам в межсетевых экранах

MAC-адрес виден только внутри одного broadcast домена

Иногда встречаю требования фильтровать MAC-адреса на обычном межсетевом экране или даже на NGFW. MAC-адрес приписан каждой сетевой карте производителем, пользователь может его изменить. Он используется для адресации в локальных сетях (LAN), а если быть точным внутри одного широковещательного домена или VLAN. Про широковещательные домены и VLAN хорошо рассказывает автор блога "Сети для самых маленьких". Для примера этот адрес важен для работы ARP протокола или старых забытых IPX/SPX. Таблицы MAC-адресов хранят у себя коммутаторы, чтобы знать на какой порт передавать фреймы (кадры) Ethernet. Каждое устройство в сети отправляет кадры Ethernet коммутатору и он уже передает кадры нужному адресату по его MAC-адресу, как это показано на картинке ниже:

IP-адреса видны глобально во всей сети интернет

IP-адреса используются для адресации в глобальных сетях (WAN). Соответственно на этом уровне работает статическая и динамическая маршрутизация. Таблицы маршрутизации на основе IP адресов хранят у себя маршрутизаторы. На каждом маршрутизаторе происходит переход из одного широковещательного домена в другой, поэтому какой именно MAC-адрес у сетевой карты на этом уровне абстракции уже невозможно проверить, потому что информация о MAC-адресах из соседнего широковещательного домена стирается маршрутизатором в заголовке фрейма (кадра) и недоступна в другом широковещательном домене. Подробно как это происходит описано в статье https://habr.com/ru/articles/707598/ 

Если вы хотите фильтровать по MAC-адресам, то значит вам нужно каким-то образом установить вашу систему фильтрации внутрь каждого широковещательного домена. Поскольку различных VLAN и физических сетей обычно сотни в компании, то это выльется в сотни фильтрующих устройств. 

Приведу аналогию

Примером глобальной фильтрации и маршрутизации является обычная почта: вы адресом указываете страну, город, улицу, дом и по этому критерию направляете письма. Примером локальной адресации и широковещательного домена уже является сама пересылка письма внутри квартиры. Возможно вы это письмо отнесете в кабинет, зал, спальню, кухню или туалет.  Было бы странно, просить почту контролировать куда происходит доставка писем: в туалет или кабинет. Хотя, для кого-то это является важным. ) Но почта это проверить не может... Но почему-то некоторые думают, что должна ) Поэтому требование фильтрации по MAC-адресам - как минимум странно, ведь для этого почтовое отделение надо установить внутри каждой квартиры...

Вывод

Если кто-то хочет фильтрацию по MAC-адресам - то лучше  почитать "сети для самых маленьких" и "что меняется во фреймах Ethernet при передаче информации от роутера к роутеру" чтобы разобраться почему это не работает в реальных сетях.

Почему у многих нет Zero Trust?

Часто вижу как красиво начинают писать правила межсетевого экрана: тщательно для каждого ресурса (принтера, камеры, сервера, подсети, категории URL) прописывают доступы конкретным людям (знают про identity control) и конкретным приложениям (знают про application control) и затем все остальное запрещают - так именно и выглядит Zero Trust - разрешить только нужное и точно известное и остальное запретить. Но когда долистываю до правила номер 500, вдруг обнаруживаю правило permit any to any. То есть, очевидно, что первые 100 ресурсов нормально защищены как положено, а остальные 10000 - уже было либо лень, либо был выбран неудачный продукт, где сложно больше 500 правил писать, либо был какой-то аврал и временно разрешили всему остальному все, либо оставили на потом... и забыли.. И неважно какой у вас NGFW: Palo Alto Networks, Fortinet, Check Point... Важно была ли у вас цель настроить их правильно? ) 

В итоге менеджеры думают, что удачно потратили миллион долларов на самую лучшую защиту от лидера Gartner... а администраторы NGFW просто не успевают его настроить нормально - ведь на это реально нужно _несколько лет_ а администраторы за эти годы еще и поменялись.. и вот поэтому вот так вот все..

И да, есть те, кто понимает эти тонкости и начинаются покупки AlgoSec, SkyBox, Tuffin для проверки и оптимизации политик.. Запускаются утилиты под названием Best Practice Assessment, заказываются аудиты и пентесты и даже нанимают себе Red Team.. Но я уверен, что если прийти в вашу компанию, то правила выглядят у вас где-то также... никакого Zero Trust ) спорим? )

Почему Palo Alto Networks NGFW лучшее решение для защиты КИИ/ICS/SCADA

Нельзя защищать то, что вы не видите. Визуализация, обнаружение действий сотрудников, обнаружение ненужного трафика, снижение поверхности атаки, защита от атак, обнаружение неизвестного вредоносного кода, корреляция событий, Machine Learning, поведенческие аномалии - это все делает одно устройство компании Palo Alto Networks. Почему заказчики выбирают NGFW для защиты сети ICS/SCADA.

• Лучшая реализация движка определения приложений IoT, IIoT, ICS, SCADA. Вы переходите на новый уровень визуализации своей собственной сети: от пакетов к приложениям.
• Легкость добавления собственных сигнатур приложений. Например, для IEC 104, ICCP, DNP3, BACnet, OPC, GTP протоколов вы можете добавить собственные детекторы активности и реакции.
• Прозрачная интеграция в существующую топологию без изменения сетевых потоков и маршрутизации на основе прозрачного подключения Virtual Wire или на SPAN.
• Прозрачное подключение с добавлением сегментации используя VLAN Insertion.
• Успешные инсталляции в 150 странах мира у 85000 заказчиков.
• Лидер Gartner в номинации Лучший межсетевой экран
• Лидер Forrester в номинации Лучшая реализация Zero Trust
• Лидер индустрии использующий Machine Learning для обнаружения вредоносного кода
• Поддержка NIST CyberSecurity Framework
• Готовые схемы архитектуры защиты для ICS/SCADA
• Работа со всеми мировыми производителями ICS/SCADA по управлению приложениями и защите от уязвимостей. 
• Лучшее качество защиты и отсутствие методик обхода по тестам NSS Labs и Cyberratings.

Полный список поддерживаемых приложений в брошюре по APP-ID для ICS/SCADA
и на портале applipedia.paloaltonetworks.com

Подробнее в брошюре по вариантам архитектуры защиты ICS/SCADA

Список протоколов верный на октябрь 2021 года (постоянно расширяется) Современная версия на портале applipedia.paloaltonetworks.com

104 APCI KNXNET/IP ABB Network Manager Matrikon-tunneller ABB-RP570 Mitsubishi-melsec ADDP MMS-ICS BACnet Modbus CC-Link MQTT CIP EtherNet IP MTConnect CN/IP (CEA-852) Net-C-X COAP Niagara-Fox Cygnet SCADA Oasys-scada DLMS / COSEM / IEC 62056 Omron-fins DNP3 OPC-DA Elcom 90 OPC UA Emerson-Delta-V OSIsoft PI Systems Ethercat Ovation Ether-S-Bus Profinet ETHER-S-I/O (esio) R-GOOSE Fanuc-focas ROC Fisher-ROC Rockwell FactoryTalk Foundation Fieldbus RTCM (GPS/IP) GE EGD RTPS GE-Eterra-isd Schneider OASyS GE-Eterra-SCADA Schneider Wonderware Suitelink GE-Historian Schweitzer Engineering SEL Fast Messaging GE iFIX Siemens FactoryLink HDLC-OVER-TCP Siemens Profinet IO Honeywell Matrikon OPC Tunneller Siemens-P2 IEEE-c37.118- Synchrophasor Siemens S7 IRIG-106 Siemens S7-Comm-Plus ICCP (IEC 60870-6 / TASE.2) Suitelink IEC 60870-5-104 Twincat IEC-61850 Advance Messaging Queuing Protocol (AMQP) RabbitMQ General Packet Radio Service (GPRS) Signal System 7 (SS7) modbus-base modbus-encapsulated-transport modbus-mask-write-register modbus-read-coils modbus-read-discrete-inputs modbus-read-fifo-queue modbus-read-file-record modbus-read-holding-registers modbus-read-input-registers modbus-read-write-register modbus-write-file-record modbus-write-multiple-coils modbus-write-multiple-registers modbus-write-single-coil modbus-write-single-register cip-ethernet-ip-base cip-ethernet-ip-list-identity cip-ethernet-ip-reg-session cip-ethernet-ip-send-rr-data cip-ethernet-ip-send-unit-data dlms-base dlms-get-request (functional) dlms-get-response (functional) dlms-init-req-high-level-auth (functional) dlms-init-req-low-level-auth (functional) dlms-init-req-no-auth (functional) dlms-init-response (functional) dlms-set-request (functional) dlms-set-response (functional) dnp3-abort-file dnp3-assign-class dnp3-authenticate-file dnp3-base dnp3-close-file dnp3-cold-restart dnp3-confirm dnp3-delay-measurement dnp3-delete-file dnp3-direct-operate dnp3-direct-operate-no-resp dnp3-disable-unsolicited dnp3-enable-unsolicited dnp3-freeze dnp3-freeze-at-time dnp3-freeze-at-time-no-resp dnp3-freeze-clear dnp3-freeze-clear-no-resp dnp3-freeze-no-resp dnp3-get-file-information dnp3-initialize-application dnp3-initialize-data dnp3-open-file dnp3-operate dnp3-read dnp3-record-current-time dnp3-save-configuration dnp3-select dnp3-start-application dnp3-stop-application dnp3-unsolicited-message dnp3-warm-restart dnp3-write dlms-base dlms-get-request (functional) dlms-get-response (functional) dlms-init-req-high-level-auth (functional) dlms-init-req-low-level-auth (functional) dlms-init-req-no-auth (functional) dlms-init-response (functional) dlms-set-request (functional) dlms-set-response (functional) cn-ip-acknowledge cn-ip-base cn-ip-channel-membership cn-ip-channel-membership-req cn-ip-channel-routing cn-ip-channel-routing-req cn-ip-data-packet cn-ip-device-config-req cn-ip-device-configuration cn-ip-device-registration cn-ip-heartbeat-req cn-ip-segment cn-ip-send-list cn-ip-send-list-req 104apci-supervisory 104apci-unnumbered 104apci-unnumbered-startdt-act 104apci-unnumbered-startdt-con 104apci-unnumbered-stopdt-act 104apci-unnumbered-stopdt-con 104apci-unnumbered-test-act 104apci-unnumbered-test-con 104asdu-file-transfer 104asdu-file-transfer-type120 104asdu-file-transfer-type121 104asdu-file-transfer-type122 104asdu-file-transfer-type123 104asdu-file-transfer-type125 104asdu-file-transfer-type126 104asdu-file-transfer-type127 104asdu-param-control 104asdu-param-control-type110 104asdu-param-control-type111 104asdu-param-control-type112 104asdu-param-control-type113 104asdu-process-control 104asdu-process-control-type45 104asdu-process-control-type46 104asdu-process-control-type47 104asdu-process-control-type48 104asdu-process-control-type49 104asdu-process-control-type50 104asdu-process-control-type51 104asdu-process-control-type58 104asdu-process-control-type59 104asdu-process-control-type60 104asdu-process-control-type61 104asdu-process-control-type62 104asdu-process-control-type63 104asdu-process-control-type70 104asdu-process-monitor 104asdu-process-monitor-type1 104asdu-process-monitor-type10 104asdu-process-monitor-type11 104asdu-process-monitor-type12 104asdu-process-monitor-type13 104asdu-process-monitor-type14 104asdu-process-monitor-type15 104asdu-process-monitor-type16 104asdu-process-monitor-type17 104asdu-process-monitor-type18 104asdu-process-monitor-type19 104asdu-process-monitor-type2 104asdu-process-monitor-type20 104asdu-process-monitor-type21 104asdu-process-monitor-type3 104asdu-process-monitor-type30 104asdu-process-monitor-type31 104asdu-process-monitor-type32 104asdu-process-monitor-type33 104asdu-process-monitor-type34 104asdu-process-monitor-type35 104asdu-process-monitor-type36 104asdu-process-monitor-type37 104asdu-process-monitor-type38 104asdu-process-monitor-type39 104asdu-process-monitor-type4 104asdu-process-monitor-type40 104asdu-process-monitor-type5 104asdu-process-monitor-type6 104asdu-process-monitor-type7 104asdu-process-monitor-type8 104asdu-process-monitor-type9 104asdu-system-control 104asdu-system-control-type100 104asdu-system-control-type101 104asdu-system-control-type102 104asdu-system-control-type103 104asdu-system-control-type104 104asdu-system-control-type105 104asdu-system-control-type106 104asdu-system-control-type107 104asdu-system-monitor 104asdu-system-monitor-type64 iec-60870-5-104-base mms-ics-ack-event-notification mms-ics-additional-service mms-ics-alter-event-cond-monit mms-ics-alter-event-enroll mms-ics-base mms-ics-cancel mms-ics-conclude mms-ics-create-journal mms-ics-create-prog-invocations mms-ics-create-prog-invocation mms-ics-define-event-action mms-ics-define-event-condition mms-ics-define-event-enroll mms-ics-delete-domain mms-ics-delete-event-action mms-ics-delete-event-condition mms-ics-delete-event-enroll mms-ics-delete-journal mms-ics-delete-prog-invocation mms-ics-download-segment mms-ics-eventnotification mms-ics-file-close mms-ics-file-delete mms-ics-file-directory mms-ics-file-open mms-ics-file-read mms-ics-file-rename mms-ics-get-alarm-enroll-sum mms-ics-get-alarm-summary mms-ics-get-capability-list mms-ics-get-domain-attribute mms-ics-get-event-action-attr mms-ics-get-event-cond-attr mms-ics-get-event-enroll-attr mms-ics-get-prog-invo-attr mms-ics-informationreport mms-ics-initial-download-seq mms-ics-initialize-journal mms-ics-initiate-upload-seq mms-ics-kill mms-ics-load-domain-content mms-ics-obtain-file mms-ics-read-journal mms-ics-rep-event-action-stat mms-ics-rep-event-enroll-stat mms-ics-report-event-cond-stat mms-ics-report-journal-status mms-ics-report-pool-sema-stat mms-ics-report-sema-entry-stat mms-ics-request-domain-download mms-ics-request-domain-upload mms-ics-reset mms-ics-resume mms-ics-start mms-ics-stop mms-ics-store-domain-content mms-ics-terminate-download-seq mms-ics-terminate-upload-seq mms-ics-trigger-event mms-ics-unsolicitedstatus mms-ics-upload-segment mms-ics-write-journal iccp-base iccp-define-named-type iccp-define-named-variable iccp-define-named-variable-list iccp-define-scattered-access iccp-define-semaphore iccp-delete-named-type iccp-delete-named-variable-list iccp-write iccp-delete-semaphore iccp-delete-variable-access iccp-download-segment iccp-get-name-list iccp-get-named-type-attr iccp-get-scattered-access-attr iccp-get-variable-access-attr iccp-identity iccp-initiate-download-seq iccp-initiate-upload-seq iccp-input iccp-read iccp-relinquish-control iccp-rename iccp-report-pool-sem-status iccp-report-sem-entry-status iccp-report-semaphore-status iccp-status iccp-take-control iccp-terminate-download-seq IEC-61850 IEC-61850-base IEC-61850-delete-named-var-list IEC-61850-getatadir siemens-s7-comm-plus-base siemens-s7-comm-plus-create-ob siemens-s7-comm-plus-delete-ob siemens-s7-comm-plus-download siemens-s7-comm-plus-end-seq siemens-s7-comm-plus-explore siemens-s7-comm-plus-explore siemens-s7-comm-plus-get-mtvar siemens-s7-comm-plus-get-mtvar siemens-s7-comm-plus-get-vsstr siemens-s7-comm-plus-get-vsstr siemens-s7-comm-plus-run-cpu siemens-s7-comm-plus-set-mtvar siemens-s7-comm-plus-set-mtvar siemens-s7-comm-plus-set-time siemens-s7-comm-plus-set-var siemens-s7-comm-plus-set-var siemens-s7-comm-plus-stop-cpu siemens-s7-comm-plus-upload c37.118-cmd-frame-data-tx-off c37.118-cmd-frame-data-tx-on c37.118-cmd-frame-extended-frm c37.118-cmd-frame-send-cfg-1 c37.118-cmd-frame-send-cfg-2 c37.118-cmd-frame-send-hdr-frm c37.118-command-frame c37.118-configuration-frame-1 c37.118-configuration-frame-2 c37.118-data-frame c37.118-header-frame ieee-c37.118-synchrophasor-base siemens-s7-base siemens-s7-check-password-set siemens-s7-controller siemens-s7-download-program siemens-s7-read siemens-s7-set-clock siemens-s7-setup-communication siemens-s7-start siemens-s7-stop siemens-s7-upload-program siemens-s7-warm-restart siemens-s7-write bacnet-abort bacnet-ack-alarm bacnet-add-list-element bacnet-atomic-read-file bacnet-atomic-write-file bacnet-authenticate bacnet-base bacnet-complex-ack bacnet-confirmed-cov-notify bacnet-confirmed-event-notify bacnet-confirmed-private-xfer bacnet-confirmed-text-message bacnet-create-object bacnet-delete-object bacnet-device-comm-control bacnet-error bacnet-error-ack-alarm bacnet-error-add-list-element bacnet-error-atomic-read-file bacnet-error-atomic-write-file bacnet-error-conf-cov-notify bacnet-error-conf-event-notif bacnet-error-conf-private-trf bacnet-error-conf-text-mssg bacnet-error-delete-object bacnet-error-device-comm-cntrl bacnet-error-get-alarm-summary bacnet-error-get-enrollment-sum bacnet-error-get-event-info bacnet-error-life-safety-oper bacnet-error-read-property bacnet-error-read-property-cond bacnet-error-read-property-mul bacnet-error-read-range bacnet-error-reinitialize-dev bacnet-error-remove-list-elem bacnet-error-request-key bacnet-error-subscribe-cov bacnet-error-subscribe-cov-prop bacnet-error-vt-data bacnet-error-vt-open bacnet-error-write-prop-mult bacnet-get-alarm-summary bacnet-get-enrollment-summary bacnet-get-event-information bacnet-i-am bacnet-i-have bacnet-life-safety-operation bacnet-read-prop-conditional bacnet-read-prop-multiple bacnet-read-property bacnet-read-range bacnet-reinitialize-device bacnet-reject bacnet-remove-list-element bacnet-request-key bacnet-segment-ack bacnet-simple-ack bacnet-subscribe-cov bacnet-subscribe-cov-property bacnet-time-synchronization bacnet-unconfirmed-cov-notif bacnet-unconfirmed-event-notif bacnet-unconfirmed-private-txfr bacnet-unconfirmed-text-message bacnet-utc-time-synchronization bacnet-vt-close bacnet-vt-data bacnet-vt-open bacnet-who-has bacnet-who-has-access-credent bacnet-who-has-access-door bacnet-who-has-access-point bacnet-who-has-access-right bacnet-who-has-access-user bacnet-who-has-access-zone bacnet-who-has-accumulator bacnet-who-has-analog-input bacnet-who-has-analog-output bacnet-who-has-analog-value bacnet-who-has-averaging bacnet-who-has-binary-input bacnet-who-has-binary-output bacnet-who-has-binary-value bacnet-who-has-bitstring-value bacnet-who-has-calendar bacnet-who-has-command bacnet-who-has-cred-data-input bacnet-who-has-date-pattern-val bacnet-who-has-date-value bacnet-who-has-device bacnet-who-has-event-enrollment bacnet-who-has-event-log bacnet-who-has-global-group bacnet-who-has-group bacnet-who-has-integer-value bacnet-who-has-large-analog-val bacnet-who-has-life-safety-pt bacnet-who-has-life-safety-zone bacnet-who-has-multi-state-in bacnet-who-has-multi-state-out bacnet-who-has-multi-state-val bacnet-who-has-network-security bacnet-who-has-notification-cls bacnet-who-has-octatestring-val bacnet-who-has-pulse-converter bacnet-who-has-schedule bacnet-who-has-structured-view bacnet-who-has-time-pattern-val bacnet-who-has-time-value bacnet-who-has-trend-log bacnet-who-has-trend-log-mul bacnet-who-is bacnet-write-prop-multiple bacnet-write-property bacnet-who-has-time-value bacnet-who-has-trend-log-mul addp-base addp-dhcp-network-config-req (functional) addp-dhcp-network-config-resp (functional) addp-discovery-request (functional) addp-discovery-response (functional) addp-reboot-request (functional) addp-reboot-response (functional) addp-static-network-config-req (functional) addp-static-network-config-resp (functional) knxnet-ip-base knxnet-ip-configuration-request (functional) knxnet-ip-connect-request (functional) knxnet-ip-connection-state-req (functional) knxnet-ip-description-request (functional) knxnet-ip-disconnect-request (functional) knxnet-ip-search-request (functional) knxnet-ip-tunnelling-request (functional) coap-base coap-delete-request (functional) coap-get-request (functional) coap-post-request (functional) coap-put-request (functional) opc-ua-acknowledge (functional) opc-ua-activate-session-req (functional) opc-ua-add-nodes-req (functional) opc-ua-add-references-req (functional) opc-ua-browse-next-req (functional) opc-ua-browse-req (functional) opc-ua-call-method-req (functional) opc-ua-call-req (functional) opc-ua-cancel-req (functional) opc-ua-close (functional) opc-ua-close-secure-channel-req (functional) opc-ua-close-session-req (functional) opc-ua-create-session-req (functional) opc-ua-create-subscription-req (functional) opc-ua-delete-nodes-req (functional) opc-ua-delete-references-req (functional) opc-ua-delete-subscriptions-req (functional) opc-ua-error (functional) opc-ua-find-server-req (functional) opc-ua-get-endpoints-req (functional) opc-ua-hello (functional) opc-ua-history-read-req (functional) opc-ua-history-update-req (functional) opc-ua-open (functional) opc-ua-open-secure-channel-req (functional) opc-ua-publish-req (functional) opc-ua-query-first-req (functional) opc-ua-query-next-req (functional) opc-ua-read-req (functional) opc-ua-register-nodes-req (functional) opc-ua-register-servers-req (functional) opc-ua-republish-req (functional) opc-ua-set-monitoring-mode-req (functional) opc-ua-set-publishing-mode-req (functional) opc-ua-set-triggering-req (functional) opc-ua-unregister-node-req (functional) opc-ua-write-req (functional) gtp-base gtp-prime gtp-u gtpv0 gtpv1-c gtpv2-c ss7-map-ggsn-callingparty ss7-map-siwf-callingparty ss7-mapsgsn-callingparty ss7-map-hlr-callingparty ss7-map-vlr-callingparty ss7-map-msc-callingparty ss7-map-eir-callingparty ss7-map-gsmscf-callingparty ss7-map-gmlc-callingparty ss7-map-siwf-callingparty ss7-map-sgsn-callingparty ss7-map-ggsn-callingparty ss7-map-css-callingparty ethercat-base ethercat-device-protocol ethercat-mailbox-data ethercat-process-data ge-srtp-base ge-srtp-change-cpu-privilege (functional) ge-srtp-change-cpu-privilege (functional) ge-srtp-get-control-program (functional) ge-srtp-get-controller-info (functional) ge-srtp-get-fault-table (functional) ge-srtp-get-plc-time (functional) ge-srtp-plc-short-status-req (functional) ge-srtp-program-load (functional) ge-srtp-program-store (functional) ge-srtp-programmer-logon (functional) ge-srtp-read-program-mem (functional) ge-srtp-read-sys-mem (functional) ge-srtp-read-task-mem (functional) ge-srtp-set-control-id (functional) ge-srtp-set-plc (functional) ge-srtp-set-plc-time (functional) ge-srtp-toggle-force-sys-mem (functional) ge-srtp-write-program-blk-mem (functional) ge-srtp-write-sys-mem (functional) ge-srtp-write-task-mem (functional) tristation-base tristation-connect-req (functional) tristation-connect-rsp (functional) tristation-disconnect-req (functional) tristation-get-cp-status-req (functional) tristation-get-cp-status-rsp (functional) tristation-run-program (functional) umas umas-base umas-init-comm umas-plc-reservation-take umas-plc-reservation-release umas-memory-block-read umas-memory-block-write umas-variables-read umas-variables-write umas-coils-registers-read umas-coils-registers-write umas-initialize-upload umas-upload-block umas-initialize-download umas-download-block umas-sd-backup-make umas-sd-backup-restore umas-sd-backup-remove umas-plc-start umas-plc-stop umas-repeat-request umas-monitor-bits-read umas-monitor-bits-write umas-monitor-words-read umas-monitor-words-write umas-io-object-write umas-read-id 

Подробная схема в брошюре по VLAN Insertion для ICS/SCADA

Пример компании защитившей свою сеть решением Palo Alto Networks