Логическая сегментация у межсетевых экранов от VRF, VSYS, VDOM до HMF

Логическая сегментация у межсетевых экранов от VRF, VSYS, VDOM до HMF

Изначально межсетевые экраны проектировались как единая система: один набор политик для всех сетей, единая таблица маршрутизации, один интерфейс управления. С ростом сложности сетей потребовалась более гибкая модель — виртуальные роутеры (VRF), виртуальные контексты безопасности (Virtual Context) или виртуальные системы (Virtual Systems).

На практике это позволяет:

• разделить трафик между различными подразделениями, клиентами, средами разработки, офиса и производства без покупки дополнительных устройств;
• изолировать настройки конфигурации: изменение в одном контексте не влияет на другие;
• оставить централизованное управление через единую систему и единые объекты.

В мире межсетевых экранов нового поколения (NGFW) для решения этих задач используются различные технологии виртуализации внутренних ресурсов. Три основные концепции — VRF, VDOM/VSYS и Security Contexts — часто вызывают путаницу, потому что решают схожие, но не одинаковые задачи. Параллельно развивается новая парадигма — Hybrid Mesh Firewall (HMF), выходящая за рамки традиционной виртуализации и объединяющая разнородные среды развёртывания различных межсетевых экранов (МСЭ) под единым управлением. Давайте разберёмся в этом.

Уровни изоляции в сетевой безопасности

Изоляция в NGFW происходит на четырёх уровнях:

Data Plane (плоскость данных) — обработка защищаемых пакетов: forwarding, NAT, фильтрация политиками и движками безопасности. Изоляция здесь означает независимые таблицы маршрутизации, сессий, NAT. Бывает даже, что на разных нодах одного кластера High Availability (HA) разные таблицы маршрутизации.

Control Plane (плоскость управления) — протоколы маршрутизации и построение таблиц MAC-адресов, сессий, FIB/RIB, Security Associations (SA) для VPN, ключевой информации. Изоляция подразумевает независимые процессы для протоколов маршрутизации.

Management Plane (плоскость администрирования) — конфигурация и администрирование. Изоляция означает разделение прав доступа для администраторов, видимость конфигураций, журналов событий.

Security Plane (плоскость безопасности) — разное применение политик безопасности, IPS/IDS, защиты от угроз. Изоляция на этом уровне критична для мультитенантных сценариев и также влияет на производительность NGFW. Учитывайте это.

VRF: виртуализация только маршрутизации

Virtual Routing and Forwarding (VRF) создаёт независимые таблицы маршрутизации внутри одного устройства.

Ключевые характеристики:

• изоляция только на уровне маршрутизации (RIB/FIB);
• поддержка перекрывающихся IP-адресов между VRF — частое применение;
• общая таблица сессий и отслеживание соединений;
• единый набор политик безопасности (возможно разделение правил на основе зон);
• единый домен администрирования;
• протоколы маршрутизации (BGP, OSPF) работают независимо в каждом VRF.

Ограничения VRF:

• администратор с доступом к устройству видит все VRF;
• сложно применить разные профили защиты от угроз к разным VRF;
• общие пулы NAT создают конфликты;
• журналы централизованы без чёткого разделения;
• невозможно делегировать управление отдельным VRF разным администраторам.

Вендоры: Palo Alto Networks, Fortinet, Cisco FTD используют VRF как основной метод логической сегментации.

VDOM/VSYS/ виртуальные контексты: полная виртуализация межсетевого экрана

И вот тут самое сложное: у каждого производителя есть нюансы.
Эти технологии создают полностью изолированные логические МСЭ внутри одного устройства с раздельными:

• политиками безопасности;
• таблицами сессий;
• конфигурациями NAT;
• таблицами маршрутизации;
• учётными записями администраторов.

Fortinet Virtual Domains (VDOM)

FortiGate VDOM работает в двух режимах:

Режим NAT/маршрутизации — полноценный межсетевой экран уровня L3 с NAT, маршрутизацией, политиками. Поддержка всех протоколов маршрутизации (BGP, OSPF, RIP), независимые VPN-туннели (IPsec, SSL VPN).

Прозрачный режим — межсетевой экран уровня L2 без IP-адресации на интерфейсах.

Объединение VDOM обеспечивает маршрутизацию между разными VDOM — контролируемое взаимодействие между виртуальными доменами через специальные интерфейсы.

Управление ресурсами: FortiOS позволяет выделять квоты на каждый VDOM — сессии, IPsec-туннели, таблицы соединений. Архитектура Fortinet подразумевает лимиты на количество объектов (адресных групп, политик) внутри каждого VDOM, а также есть глобальные лимиты.

Масштабируемость: обычно 10 VDOM, есть модели до 500+ VDOM на устройствах высокого класса. В официальных источниках Fortinet отмечается, что при конфигурации 250+ VDOM могут возникнуть ощутимые проблемы с производительностью.

Palo Alto Virtual Systems (VSYS)

VSYS предоставляет жёсткую изоляцию на уровне плоскости администрирования, может работать с интерфейсами Virtual Wire (L1), L2, L3 одновременно. Virtual Wire позволяет проводить внедрение в существующие сети без изменения топологии.

Общие объекты (доступны всем VSYS): физические интерфейсы, конфигурация отказоустойчивости, системные настройки, лицензирование.

Объекты на уровне VSYS (изолированы): зоны безопасности, виртуальные маршрутизаторы (включая VRF), политики безопасности, политики NAT, объекты адресации, профили защиты от угроз, учётные записи администраторов.

Механизм импорта/экспорта используется для межсистемной коммуникации — интерфейсы экспортируются из одного VSYS в другой через транзитный VSYS для контролируемого взаимодействия.

Лицензирование: PA-220/PA-400/PA-800 поддерживают до 2 VSYS, PA-3000/PA-5000 — до 20+, виртуальные машины VM-Series — до 250+.

Cisco Security Contexts (контексты безопасности ASA)

Контексты безопасности ASA — наиболее зрелая реализация (с 2003 года). Включает пространство выполнения системы для глобальной конфигурации и отдельные контексты с собственными файлами конфигурации.

Классы ресурсов позволяют создавать приоритизацию для разных контекстов с ограничениями на соединения, трансляции NAT, VPN-туннели.

Ограничения: не все функции доступны в режиме множественных контекстов, платформа при этом устаревает — Cisco продвигает свою новую платформу FTD.

Cisco FTD Multi-Instance Architecture (FTD 7.0+)

Cisco внедрила полноценную виртуализацию на уровне устройства. Каждый Instance — это изолированный экземпляр FTD с отдельной:

• таблицей маршрутизации (VRF);
• политикой безопасности;
• сессиями и NAT;
• движком Snort (отдельный процесс);
• управлением (через FMC или локально).
   

Изоляция:

• полная на уровне Data/Control/Security Plane;
• независимые администраторы;
• поддержка до 8 Instances на Firepower 4100/9300.
   

Ресурсы:

• CPU, RAM, интерфейсы назначаются вручную через FXOS;
• HA поддерживается внутри экземпляра;
• VRF между экземплярами не пересекаются.
   

Check Point Virtual Systems (VSX)

VSX использует уникальную архитектуру с централизованным управлением через SmartCenter. VS0 (управляющая виртуальная система) контролирует все клиентские виртуальные системы.

WARP используется для арбитража соединений и обеспечиваeт межсегментную коммуникацию под контролем VS0.

Все виртуальные системы управляются через единую консоль SmartConsole с ролевым доступом. Администратор видит и управляет только назначенными ему виртуальными системами (Access Role, Identity Awareness).

Масштабируемость: до 1000+ виртуальных систем на платформах высокого класса.

Российские решения

PT NGFW: виртуальные контексты

Все программно-аппаратные комплексы и виртуальные машины PT NGFW поддерживают виртуальные контексты. Эта возможность входит в базовую лицензию (BASE). По умолчанию создан контекст Default, и можно добавлять дополнительные.

Группы устройств: виртуальные контексты с одинаковыми требованиями объединяются в группы устройств с иерархией — дочерние группы наследуют правила от родительских. Это обеспечивает централизованное управление политиками.

Ideco NGFW: движок виртуальных контекстов (VCE)

VCE представляет изолированные логические экземпляры системы межсетевого экранирования с собственными плоскостями данных и управления. Общая плоскость администрирования обеспечивает централизованное управление. Сценарии применения: разделение по подразделениям или заказчикам, изоляция сетей с пересекающимся адресным пространством, тестовые среды, масштабирование.

Ключевые особенности:

• Полная изоляция трафика, маршрутизации, VPN, политик фильтрации и пользователей;
• Привязка к выделенным ресурсам (процессор, память, сетевые интерфейсы) — защита от DDoS-атак и перегрузок;
• Поддержка кластеризации;
• Независимая работа — контексты перезапускаются без влияния на систему;
• Быстрое развёртывание без изменения конфигурации устройства или остановки работы других служб;
• Производительность и стабильность не зависят от количества активных контекстов в пределах выделенных ресурсов.

Сравнение технологий

Hybrid Mesh Firewall (HMF): новая парадигма

От виртуализации устройства к распределённой сетке безопасности

Hybrid Mesh Firewall (HMF) — это архитектура межсетевых экранов нового поколения, объединяющая все типы развёртывания файрволов под единым управлением: аппаратные устройства, виртуальные файрволы, облачные решения и межсетевые экраны как услугу (FWaaS). В отличие от традиционного подхода VDOM/VSYS, где виртуализация происходит внутри одного устройства, HMF объединяет различные формфакторы файрволов в единую платформу с общей политикой, автоматизацией и защитой от угроз.

Гибридный межсетевой экран — это:

• объединение разнородных МСЭ (аппаратных, виртуальных, контейнерных, облачных, FWaaS) под единой облачной плоскостью администрирования;
• изоляция распределена географически и технологически;
• обязательное облачное централизованное управление;
• поддержка детальной сегментации, интеграции с конвейерами непрерывной разработки и применения политик в зависимости от местоположения без потери видимости.

Архитектура HMF

Основа HMF — единая система, консолидирующая множество технологий в упрощённую инфраструктуру с единой политикой и управлением (рис).

Вендоры и их подходы к HMF

Платформа Palo Alto Networks Strata: интегрирует аппаратные устройства (серия PA), виртуальные машины (VM-Series и Prisma AIRS), контейнеры (CN-Series), облачные МСЭ (Cloud NGFW) и SASE под единым управлением Strata Cloud Manager, с искусственным интеллектом Precision AI для защиты от угроз в реальном времени.

Подход Fortinet к HMF: объединяет FortiGate NGFW в локальных, облачных и гибридных средах с централизованным управлением и аналитикой. Включает генеративный ИИ и агентские инструменты управления на основе ИИ для единого контроля и видимости.

Платформа Check Point Infinity: предоставляет единую консоль для управления политиками и средствами защиты во всех точках применения, консолидированную видимость событий и генеративные ИИ-помощники, сокращающие время выполнения задач до 90%.

Производительность

Fortinet: накладные расходы на VDOM ~2–5% процессора, ~150–200 МБ памяти. До 50 VDOM на устройствах среднего класса, до 250+ на устройствах высокого класса.

Palo Alto Networks: накладные расходы на VSYS ~5–8%, ~300–400 МБ памяти. До 10 VSYS на серии PA-3000, до 50+ на PA-5000+.

Cisco ASA: накладные расходы на контекст ~3–7%. До 100 контекстов на ASA 5585-X, до 250 на SSP-60.

Cisco FTD: накладные расходы составляют приблизительно 4–8% CPU на каждый instance, в зависимости от используемых функций и объема трафика. До 10–20 instance на средних моделях, до 50+ на топовых (Firepower 9300).

Check Point: накладные расходы на виртуальную систему ~8–12%, ~300–500 МБ памяти. До 50 виртуальных систем на устройствах среднего класса, до 250+ на устройствах высокого класса.

HMF: производительность зависит от распределения точек применения политик. Накладные расходы минимальны за счёт встроенной облачной интеграции и распределённой обработки.

Когда использовать каждую технологию

VRF подходит, когда:

• нужна только изоляция маршрутизации;
• единая команда администраторов;
• общие политики безопасности приемлемы;
• бюджетные ограничения;
• простое разделение подразделений.

VDOM/VSYS/контексты используйте, когда:

• нужна полная изоляция, включая политики безопасности;
• мультитенантные среды (поставщики управляемых услуг безопасности, сервис-провайдеры);
• разные администраторы для разных арендаторов;
• требования соответствия нормативам (PCI-DSS, HIPAA);
• разные профили защиты от угроз;
• оптимизация затрат через консолидацию оборудования;
• инфраструктура преимущественно локальная.

HMF подходит, когда:

• гибридная инфраструктура (локальная + множество облаков);
• распределённая рабочая сила с удалёнными сотрудниками;
• требуется единообразная защита в разнородных средах;
• конвейеры непрерывной разработки требуют встроенной интеграции с файрволом;
• организации работают в мультиоблачных средах;
• архитектура нулевого доверия с контролем доступа на основе идентичности.

Множественные экземпляры МСЭ (отдельные виртуальные машины) — когда:

• облачные приложения;
• абсолютная изоляция (на уровне гипервизора);
• независимое управление жизненным циклом;
• соответствие требованиям на уровне виртуальных машин;
• микросервисная архитектура.

Практические рекомендации

Планирование ресурсов. Предусмотрите запас производительности 30–40% для накладных расходов на обслуживание контекстов, так как каждый виртуальный экземпляр добавляет накладные расходы.

Управление сложностью. Инвестируйте в централизованное управление (FortiManager, Panorama, SmartConsole) для традиционных решений или облачное управление для HMF — сложность управления растёт с количеством экземпляров.

Лицензирование. Проверяйте модели лицензирования на каждый VDOM/VSYS для аппаратных NGFW. Также учтите, что разные модели аппаратные дают разное максимальное число контекстов. Для HMF учитывайте подписочную модель с оплатой за пропускную способность или количество рабочих нагрузок. Спросите, что будет, если подписка кончится? Для примера, после введения санкций против России Fortinet отозвал все токены на виртуализацию и положил сеть одного крупного телеком-оператора.

Миграция. Используйте поэтапный подход — планирование перехода (2–4 недели), подготовка с лабораторным тестированием (2–3 недели), поэтапное внедрение, начиная с пилотного тестирования.

Выбор архитектуры. Для развёртывания в едином ЦОД выбирайте традиционную виртуализацию (VDOM/VSYS). Для гибридных/мультиоблачных сред с распределённым применением политик рассматривайте HMF как стратегическое направление.

Заключение

При правильной реализации технологии виртуализации обеспечивают мощную сегментацию, снижают капитальные затраты через консолидацию и упрощают управление сложными средами. Контексты любят сетевые администраторы. Однако автор данной статьи не очень любит делить аппаратные межсетевые экраны на контексты, потому что неоднократно сталкивался с тем, что на словах вендор говорит, что один контекст не влияет на другой, а на деле — проблемы в одном контексте могут влиять на работу соседнего. И пока проблемы не возникает — всё хорошо. А вот во время разбора проблемы с сетью — сложно. Проверяйте в бою свой NGFW. Тестируйте работу системы управления, маршрутизации и журналирования для контекстов / виртуальных систем и уровней доступа администраторов во время пилотов.