Сегментация сети: практичная схема VLAN и правил доступа

Зачем вообще делать сегментацию сети

Во многих офисах все устройства живут в одной общей сети: рабочие ПК, бухгалтерские ноутбуки, гостевой Wi‑Fi, принтеры, камеры, телефоны, серверы и даже умные телевизоры. На старте это удобно. Потом становится опасно: у разных устройств разный уровень защиты и разные задачи, а права доступа у всех получаются одинаковыми.

Обычно в одной сети оказываются вместе рабочие компьютеры и ноутбуки подрядчиков, гостевые устройства (телефоны, личные ноутбуки), IP‑камеры и видеорегистраторы, принтеры и МФУ, серверы и сетевые хранилища.

В плоской сети заражение одного ПК быстро становится проблемой для всех. Пользователь открыл вредоносное вложение, дальше код начинает искать, куда «переползти»: соседние компьютеры, общие папки, уязвимые службы, учетные данные. Если рядом доступны серверы, последствия обычно самые дорогие: простои, шифрование данных, утечки.

Отдельная боль - камеры и принтеры. Их часто ставят по принципу «и пусть работает»: обновления не ставят месяцами, пароли остаются по умолчанию, а доступ открыт из той же сети, что и к важным системам. В итоге слабое устройство становится входной дверью в корпоративную среду.

Сегментация сети решает это без лишней сложности: вы разделяете устройства по зонам и даете каждой зоне только нужные пути. Сотрудники продолжают пользоваться почтой и корпоративными сервисами, но гостям не видно внутренние ресурсы, камеры не могут ходить куда попало, а серверы отвечают только тем, кому положено.

Практически это означает меньший «радиус поражения» при инциденте и меньше поводов отключать бизнес из-за одной ошибки. А если инфраструктура включает локальные серверы и рабочие станции (например, в проектах на базе оборудования GSE), такой подход помогает сохранить доступность ключевых систем даже при проблеме на одном рабочем месте.

Ключевые понятия: VLAN, ACL и микросегментация простыми словами

Сегментация сети - это когда вы делите одну общую сеть на несколько изолированных зон, чтобы убрать лишние контакты между устройствами. Так проще сдерживать инциденты и меньше шанс, что случайная ошибка или зараженный ноутбук доберется до камер, серверов или бухгалтерии.

VLAN: разделение на уровне коммутаторов (L2)

VLAN можно представить как отдельные «комнаты» внутри одной физической сети. Кабели и коммутаторы могут быть общими, но устройства из разных VLAN не видят друг друга напрямую, пока вы не разрешите им общение.

На практике VLAN помогает:

• отделить гостей, камеры, пользователей и серверы, даже если они подключены к одним и тем же коммутаторам;
• убрать случайные «соседства» (когда принтер или камера оказываются в той же подсети, что и рабочие ПК);
• упростить адресацию и правила (каждой зоне - своя подсеть).

L3-маршрутизация и межсетевой экран: кто «соединяет комнаты»

Чтобы устройства из разных VLAN могли обмениваться данными (например, ПК -> сервер), нужен маршрутизатор или L3-коммутатор. Это как дверь между комнатами.

Межсетевой экран (firewall) - это «охрана» у этой двери. Он проверяет, кто куда идет, и применяет правила доступа. В небольшом офисе часть простых правил можно держать на L3-коммутаторе, а более строгий контроль и журналы - на firewall.

ACL: минимальные правила между сегментами

ACL (список контроля доступа) - это набор правил «разрешить/запретить» для трафика между VLAN. Хороший стиль - начинать с минимума и разрешать только то, что нужно для работы.

Примеры логики простые: пользователям - доступ к серверу по нужным портам, гостям - только в интернет, камерам - только к видеосерверу.

Микросегментация: тонкая нарезка, когда она оправдана

Микросегментация идет дальше VLAN: вы ограничиваете общение даже внутри одной зоны (например, между двумя серверами или между рабочими ПК). Она уместна там, где риск высок и последствия дорогие: финансовые системы, медицинские данные, критичные сервисы.

Но в обычном офисе микросегментация часто дает лишнюю сложность: больше правил, больше исключений, больше шансов «сломать» работу. Практичный подход такой: сначала четкие VLAN и простые ACL, и только потом добавлять тонкие ограничения там, где от них есть понятная польза.

Базовые зоны: пользователи, гости, камеры и серверы

Если начать сегментацию с простых зон, дальше легче и с VLAN, и с правилами доступа. Базовая схема обычно держится на 4 группах устройств, которые отличаются по рискам и по тому, что им реально нужно видеть в сети.

1) Пользователи

Это рабочие ПК, ноутбуки, иногда принтеры в кабинетах. Им нужен интернет и несколько корпоративных сервисов: почта, файловые ресурсы, 1С, портал, удаленный рабочий стол. Зато им почти никогда не нужен прямой доступ к камерам, оборудованию или админским интерфейсам сетевых устройств.

2) Гости и личные устройства

Гостевой Wi‑Fi и BYOD лучше считать недоверенной средой. У таких устройств должен быть интернет, но не должно быть видимости внутренних подсетей. Тогда сотрудник подключает личный телефон, а вы не переживаете, что он случайно увидит бухгалтерский сервер или интерфейс NVR.

3) Камеры, домофоны, IoT

Камеры, домофоны, контроллеры доступа, NVR и прочий IoT часто обновляются редко и имеют простые пароли по умолчанию. Поэтому им выделяют отдельный VLAN и максимально ограничивают связи. Обычно камерам нужно только отправлять поток на NVR или VMS, синхронизировать время (NTP) и иногда выходить к обновлениям (по необходимости).

4) Серверы и админ-доступ

Серверная зона включает AD, файловые и приложенческие серверы, базы данных, хранилища, бухгалтерию. Отдельно полезно выделять админскую зону (jump host, рабочие места админов), чтобы управление инфраструктурой шло только из одного контролируемого места.

Пример для офиса на 50-100 сотрудников: делаете 4 VLAN, а дальше добавляете правила. Гостям - только интернет. Камерам - только к NVR. Пользователям - только к нужным сервисам. К админке оборудования - только из админской зоны. Это уже дает заметный прирост безопасности без сложной микросегментации.

Как спроектировать схему VLAN без хаоса

Главный риск при VLAN - не технический, а организационный: вы добавляете сети, а через полгода никто не помнит, что где и зачем. Хорошая сегментация начинается с простого правила: VLAN должны отражать роли устройств, а не историю переездов и «временных решений».

Сколько VLAN нужно на практике? Для большинства офисов хватает 4-6 зон: пользователи, гости, камеры/IoT, серверы, управление (только для админки оборудования), иногда отдельная зона для телефонии или принтеров. Если у вас уже получается 12-15 VLAN «на старте», стоит остановиться и проверить: это разные роли или просто разные отделы. Сегментация по отделам редко дает пользу, пока не ясно, какие именно доступы вы хотите ограничить.

Чтобы не запутаться, зафиксируйте единый принцип именования и используйте его везде: в коммутаторах, DHCP, документации, заявках. Удобный шаблон: SITE-ROLE-ID (например, ALM-USR-10, ALM-GUEST-20). Если площадок несколько, SITE особенно помогает.

Дальше нужен план адресов. Выберите один частный диапазон и разрежьте его на понятные блоки, где каждая зона получает свою подсеть и размер. Не делайте все /24 «на всякий случай». Лучше заложить небольшой запас там, где реально растет парк устройств (пользователи, Wi‑Fi, камеры).

Практичное правило по адресации:

• Пользователи и гости: DHCP почти всегда, так проще поддержка и меньше ошибок.
• Камеры/IoT: DHCP с привязкой по MAC или резервацией, чтобы адреса были стабильными для видеосервера и мониторинга.
• Серверы и сетевое оборудование: статические адреса (или статические резервации), чтобы критичные сервисы не «переехали» после сбоя.
• Управление (MGMT): только статические, и доступ лишь из админских подсетей.
• Документация: VLAN ID, подсеть, шлюз, DHCP-диапазон, кто владелец зоны.

Пример для небольшого офиса: 10 (USR) - 10.10.10.0/23, 20 (GUEST) - 10.10.20.0/24, 30 (CCTV) - 10.10.30.0/24, 40 (SRV) - 10.10.40.0/24, 99 (MGMT) - 10.10.99.0/24. Этого достаточно, чтобы аккуратно наращивать правила доступа без путаницы.

Пошагово: внедрение сегментации в существующей сети

Начинать лучше не с красивой схемы, а с вопроса: какие устройства и сервисы реально должны общаться друг с другом. Если сначала нарезать VLAN, а потом вспоминать про бухгалтерию, печать и видеонаблюдение, будет много простоев и ручных исключений.

Практичная последовательность, которая обычно дает результат за 1-2 итерации:

1. Составьте карту зависимостей: подсети, типы устройств (пользователи, гости, камеры, серверы) и критичные сервисы (DHCP, DNS, домен, печать, NTP, видеорегистратор). Запишите, кто к кому ходит и по каким портам.

2. Создайте VLAN под зоны и включите маршрутизацию между ними на L3 устройстве (коммутаторе или маршрутизаторе). Не меняйте все сразу: начните с одной зоны, например с камер или гостей.

3. Включите принцип default deny для межсегментного трафика. То есть между VLAN по умолчанию запрещено все.

4. Добавляйте разрешения точечно: только нужные направления, только нужные порты, по возможности только к конкретным адресам (например, камеры -> IP видеорегистратора, пользователи -> сервер печати, админы -> управление). Чем меньше универсальных правил вида «any-any», тем меньше сюрпризов.

5. Проверьте работу по сценариям и включите журналирование для критичных правил (доступ к серверам, управлению, системам хранения). Логи помогут быстро понять, что именно блокируется и почему.

Пример: вы переносите видеонаблюдение в отдельный VLAN. Камеры получают адреса как раньше, но теперь могут ходить только к NVR и к DNS/NTP. Пользовательские ПК больше не видят камеры напрямую, и это сразу снижает риски при заражении рабочей станции.

Чтобы не потеряться в правках, фиксируйте в одном месте: список VLAN и подсетей, назначение зоны, 5-10 ключевых правил ACL и ответственного за изменения.

Минимальные правила доступа: готовая логика ACL

Хорошая ACL начинается с принципа: между VLAN по умолчанию запрещено все, а дальше вы добавляете только нужные «дырки». Тогда сегментация реально повышает безопасность, а не превращается в бесконечные исключения.

Логика «минимально достаточно»

Для офисной сети удобнее думать потоками: кто к кому ходит и зачем. Не «разрешить подсеть в подсеть», а «разрешить сервис». Пользователям обычно нужны доменные сервисы (если есть AD), доступ к файлам и печати, иногда к паре внутренних веб‑систем. Все остальное между зонами лучше закрыть.

Стартовая точка, которая часто работает:

• Пользователи -> серверы: разрешить только конкретные сервисы (DNS и аутентификация, файловые шары, печать, нужные внутренние веб‑порты), остальное запретить.
• Гости -> интернет: разрешить DHCP/DNS до своего шлюза и выход наружу; запретить любые обращения к локальным подсетям.
• Камеры -> сервер/NVR: разрешить только трафик к серверу записи, запретить доступ к рабочим ПК и в интернет.
• Серверы -> пользователи: по возможности запретить инициировать соединения к пользовательским VLAN.
• Администрирование: отдельная зона управления, из которой разрешены доступы к оборудованию и серверам (SSH/RDP/HTTPS по необходимости), а из остальных зон - запрещены.

Маленький пример, чтобы было понятно

Если у вас есть VLAN «Офис», VLAN «Серверы» и VLAN «Камеры», то пользователю из «Офис» не нужен прямой доступ к камерам. Камерам достаточно «дотянуться» до NVR (например, на сервере записи, хоть на стойке типа GSE S200). Тогда даже если на одном устройстве проблема, она не «перетекает» в другие зоны.

Практика: включите логирование блокировок на межсетевом интерфейсе и 1-2 дня смотрите, что реально ломается. Добавляйте исключения только под понятный сервис и владельца, а не «чтобы заработало».

Микросегментация: когда стоит усложнять, а когда нет

Микросегментацию часто путают с идеей «сделаем больше VLAN и все будет безопасно». Но это разные вещи. VLAN делит сеть на крупные зоны по назначению, а микросегментация ограничивает связи внутри зоны: между серверами, приложениями и даже отдельными рабочими нагрузками. Обычно это делается не по IP‑адресам, а по ролям, меткам, группам безопасности или политике на уровне хоста и виртуальной инфраструктуры.

Она особенно полезна там, где важны «восток-запад» связи, то есть трафик внутри дата-центра или серверной: базы данных, 1С, медицинские системы, платежные сервисы, контроллеры домена. В такой среде один взломанный сервер не должен стать пропуском ко всем остальным. Сегментация закрывает доступ между зонами, а микросегментация сдерживает распространение внутри серверной зоны.

Перед тем как включать блокировки, важно не сломать бизнес-процессы. Почти всегда работает последовательность «сначала наблюдение, потом запреты»:

• соберите фактические потоки: кто с кем общается и по каким портам;
• сгруппируйте системы по ролям: «веб», «приложение», «БД», «админ-доступ», «резервное копирование»;
• введите правило по умолчанию «запретить», но сначала в режиме логирования;
• разрешите только необходимое для работы;
• включайте принудительное применение поэтапно, начиная с наименее критичных сервисов.

Когда микросегментация не нужна: маленький офис, один-два сервера, нет критичных данных, нет ресурсов на поддержку правил. В этих случаях чаще достаточно аккуратных VLAN и простых ACL между зонами.

Полезный принцип, чтобы правила жили дольше: делать их не «сервер 10.1.2.3 может на 10.1.2.4», а «роль A может обращаться к роли B только по этому сервису». Тогда при замене сервера или масштабировании приложения политика остается понятной.

Частые ошибки и ловушки при сегментации

Самая неприятная часть сегментации - не сами VLAN и правила, а мелкие решения, которые «чуть-чуть упростили» работу, а потом превратились в дыру в безопасности или в ночной простой.

Что чаще всего ломает хорошую идею

• Делают десятки VLAN «на всякий случай». В итоге никто не может объяснить, чем отличается VLAN 23 от VLAN 24.
• Оставляют между сегментами широкие разрешения «чтобы работало». Одно правило типа «разрешить все всем» быстро сводит сегментацию к схеме на бумаге.
• Подключают камеры и рабочие ПК вперемешку, без контроля портов. Если порт не привязан к роли (камера, пользователь, принтер), устройство легко «переедет» в чужую зону.
• Забывают про базовые сервисы. DNS, NTP, обновления, активация, доменные службы, антивирусные репозитории - если это не учесть, после включения фильтрации начинается «ничего не открывается».
• Не ведут документацию. Через месяц новый админ видит правило и не понимает, это критичная потребность бизнеса или временный костыль.

Как избежать хаоса без лишней бюрократии

Держите зоны крупными и понятными: пользователи, гости, IoT/камеры, серверы, управление сетью. Если появляется новый VLAN, у него должно быть короткое назначение и владелец (кто отвечает за потребность).

Правила доступа начинайте с «запретить по умолчанию» и добавляйте исключения по заявке: кто куда ходит, по каким портам и для чего. Перед включением ACL проверьте зависимости: разрешены ли DNS и NTP, есть ли доступ к нужным обновлениям, предусмотрен ли путь для администрирования.

И фиксируйте изменения: схема VLAN, список подсетей, основные правила и причина каждого исключения. Это экономит часы, когда «вдруг перестало работать» после очередной правки.

Быстрый чек-лист перед запуском и после изменений

Перед тем как включать новые VLAN и правила, проверьте базовую логику. Цель простая: сегментация повышает безопасность и не ломает рабочие процессы.

Перед запуском

Сделайте проверку на тестовом участке или в нерабочее время и запишите результаты.

• Гостевой Wi‑Fi: попробуйте открыть адреса локальных подсетей, зайти на веб‑интерфейсы устройств и распечатать на офисный принтер. Должно быть отказано.
• Камеры: убедитесь, что они ходят только на сервер записи (NVR/VMS) и к сервису времени (NTP). Все остальное закрыто.
• Рабочие места: проверьте выдачу IP (DHCP), корректный DNS, доступ к нужным внутренним сервисам (файлы, почта, 1С/CRM, домен) и к обновлениям.
• Администрирование: вход на коммутаторы, маршрутизаторы, серверы - только из отдельной зоны управления. Проверьте учетные записи, MFA там, где возможно, и отсутствие «общих» паролей.
• Документация: зафиксируйте VLAN ID, подсети, шлюзы, ключевые правила ACL, кто отвечает за изменения и как откатиться.

После изменений

Сразу после включения правил смотрите не только на «работает/не работает», но и на побочные эффекты.

• Логи и счетчики: проверьте, что новые ACL действительно блокируют лишнее и нет неожиданного трафика между зонами.
• «Тихие» поломки: сканирование, печать, телефония, видеоконференции, доступ к файловым шарам.
• Доступ к серверам: убедитесь, что разрешены только нужные порты и только из нужных VLAN.
• Резервный план: проверьте, что можно быстро вернуть прошлую конфигурацию (бэкап настроек, понятная последовательность действий).
• Обновление схемы: внесите финальные правки в таблицу адресов и правил и сообщите пользователям, что изменилось и куда обращаться при проблемах.

Пример из жизни: как разделить офисную сеть за 1-2 итерации

Офис на 40 сотрудников. Есть гостевой Wi‑Fi для посетителей, 16 IP‑камер, сетевой принтер и 2 сервера (файлы и учетные системы). До изменений все устройства в одной сети: любой зараженный ПК может «увидеть» камеры, серверы и даже попытаться подобрать пароли.

Первая итерация сегментации обычно укладывается в 4-6 VLAN. Важно не усложнять: цель не идеальная схема, а понятные границы и минимум правил.

Простой вариант для большинства офисов:

• VLAN Users: компьютеры сотрудников и корпоративный Wi‑Fi
• VLAN Guests: гостевой Wi‑Fi (только интернет)
• VLAN CCTV: камеры и видеорегистратор/NVR
• VLAN Servers: серверы и системы хранения
• VLAN Printers (опционально): принтеры и МФУ

Дальше смотрим на обычные потоки. Сотрудник печатает: его ПК должен ходить к принтеру, но принтеру не нужно «лазить» по компьютерам. Камера пишет видео: ей нужен доступ только к NVR или серверу хранения, но не к рабочим станциям. Гость: ему нужен интернет и, максимум, портал авторизации, но не внутренние ресурсы.

Минимальная логика правил между VLAN:

• Guests -> интернет: разрешить, Guests -> любые внутренние VLAN: запретить
• Users -> Servers: разрешить только нужные сервисы (например, файловый доступ), остальное запретить
• CCTV -> NVR/Servers: разрешить, CCTV -> Users/Guests: запретить
• Users -> Printers: разрешить печать, Printers -> Users: запретить

Эффект заметен сразу: вирус на ПК сотрудника не добирается до камер и серверов, а гость не видит ни принтер, ни учетные системы.

Вторая итерация обычно про «дотягивание гаек»: уточнить, какие сервисы реально нужны, убрать лишнее, добавить отдельный VLAN для админки (управление коммутаторами, точками Wi‑Fi, серверами). Если позже появляется филиал, схему не ломают: повторяют те же VLAN у себя, а между площадками разрешают только конкретные сервисы (например, доступ к серверу учета). Так сеть растет предсказуемо и без хаоса.

Следующие шаги: план внедрения и поддержка

Если схема уже понятна, дальше важнее всего порядок. Первые полезные шаги можно сделать за несколько часов и без покупки нового железа.

Начните с инвентаризации: соберите список устройств и отметьте, к какой зоне они относятся (пользователи, гости, камеры, серверы, принтеры, Wi‑Fi точки, телефония). Затем набросайте карту потоков: кто к чему должен ходить и по каким портам. Именно она потом превращается в правила. Без нее сегментация часто становится набором случайных запретов.

Чтобы изменения не расползались, заведите короткий регламент:

• кто создает новый VLAN и кто утверждает доступ;
• как называются VLAN и подсети (единый шаблон);
• где хранится документация и кто ее обновляет;
• как делаются изменения (окно работ, откат, уведомления);
• как проверяется результат (минимальный набор тестов).

Дальше внедряйте итерациями. Например: сначала отделить гостей и камеры, потом выделить серверную зону, и только затем наводить порядок в доступах. После каждого шага фиксируйте, какие правила добавили и зачем.

Часть работ разумно отдавать в проект, особенно если сеть давно растет без единого плана. Обычно на стороне подрядчика хорошо закрываются аудит текущей схемы, настройка VLAN/ACL на оборудовании, оформление документации и последующая поддержка.

Если вы параллельно обновляете инфраструктуру, учитывайте рабочие места и серверы как единое целое: адресацию, резервирование, питание, стойки, удаленный доступ и поддержку. В проектах GSE.kz это удобно собрать в одну согласованную схему: от серверов и рабочих станций до системной интеграции и круглосуточного сопровождения, чтобы сегментация не ломалась при каждом новом кабинете или сервисе.