ChSTU repository
ChSTU repository preserves and enables easy and open access to all types of digital content including text, images, moving images, mpegs and data sets
Learn More
Please use this identifier to cite or link to this item:
https://er.chdtu.edu.ua/handle/ChSTU/6501| Title: | Розробка та впровадження комплексної системи захисту мережі на основі фаєрволів Cisco нового покоління (NGFW) |
| Authors: | Івченко, Олександр Віталійович Єфіменко, Денис Вадимович |
| Keywords: | мережева безпека;фаєрвол;Cisco Firepower;мережеві політики;інцидент-менеджмент |
| Issue Date: | 2025 |
| Abstract: | У дипломній роботі розглянуто проблематику забезпечення інформаційної безпеки корпоративних мереж в умовах зростання кількості сучасних кіберзагроз. Метою роботи є створення та впровадження комплексної системи мережевого захисту з використанням технологій Cisco Firepower Threat Defense та Firepower Management Center |
| URI: | https://er.chdtu.edu.ua/handle/ChSTU/6501 |
| Appears in Collections: | 125 Кібербезпека та захист інформації (Безпека інформаційних і комунікаційних систем) |
Files in This Item:
| File | Description | Size | Format | |
|---|---|---|---|---|
| М_125_Єфіменко_Івченко.pdf Restricted Access | 1.71 MB | Adobe PDF | View/Open Request a copy |
Items in DSpace are protected by copyright, with all rights reserved, unless otherwise indicated.
Extracted text
МІНІСТЕРСТВО ОСВІТИ І НАУКИ УКРАЇНИ
ЧЕРКАСЬКИЙ ДЕРЖАВНИЙ ТЕХНОЛОГІЧНИЙ УНІВЕРСИТЕТ
ФАКУЛЬТЕТ ЕЛЕКТРОННИХ ТЕХНОЛОГІЙ, АВТОТРАНСПОРТУ ТА
МАШИНОБУДУВАННЯ
КАФЕДРА РОБОТОТЕХНІЧНИХ І ТЕЛЕКОМУНІКАЦІЙНИХ СИСТЕМ ТА
КІБЕРБЕЗПЕКИ
До захисту допущено
завідувач кафедри РТСК
д.т.н., професор __________
Володимир ПАЛАГІН
"_____" грудня 2025 року
Пояснювальна записка
до випускної роботи
освітнього ступеня «магістр»
на тему: «Розробка та впровадження комплексної системи захисту мережі на основі
фаєрволів cisco нового покоління (NGFW)»
Виконав здобувач вищої освіти 2 курсу,
групи мБІ-41
Спеціальність – F5 / (125) «Кібербезпека та захист
інформації»
Освітня програма – «Кібербезпека та захист
інформації»
ЄФІМЕНКО Денис
Керівник роботи ІВЧЕНКО Олександр
Рецензент ЛАВДАНСЬКИЙ Артем
Черкаси 2025
Черкаський державний технологічний університет
(назва вузу)
Факультет електронних технологій, автотранспорту та машинобудування
Кафедра Робототехнічних і телекомунікаційних систем та кібербезпеки
Освітній ступінь магістр
Спеціальність F5 /( 125) «Кібербезпека та захист інформації»
Освітня програма «Кібербезпека та захист інформації»
ЗАТВЕРДЖУЮ
Завідувач кафедри РТСК
д.т.н., професор Володимир ПАЛАГІН
« » вересня 2026 р.
ЗАВДАННЯ
на дипломний проект (роботу) здобувачу вищої освіти
Єфіменку Денису
(прізвище, ім'я, по батькові)
1. Тема проекту (роботи) Розробка та впровадження комплексної системи захисту
мережі на основі фаєрволів cisco нового покоління (NGFW)
керівник проекту (роботи) Івченко Олександр Віталійович, к.т.н., доцент
(прізвище, ім’я, по батькові, науковий ступінь, вчене звання)
затверджена наказом по університету від « » 2025 р. №
2. Строк подання здобувачем проєкту (роботи) 1 грудня 2025 р.
3. Вихідні дані до проєкту (роботи) вимоги до безпеки корпоративної мережі
Види можливих мережевих атак; політики доступу та правила фільтрації,
фаєрвол cisco ngfw.
4. Зміст розрахунково-пояснювальної записки (перелік питань, які потрібно розробити)______
Вступ. 1. Аналіз сучасних засобів та методів забезпечення мережевої безпеки
2. Дослідження можливостей фаєрволів cisco ngfw
3. Дослідження методів і систем продидії. 4. Розробка комплексної системи захисту мережі
Висновки. Список використаної літератури
5. Перелік графічного матеріалу (з точним зазначенням обов’язкових креслень)
Презентація в Power Point обсягом 9 плакатів
6. Консультанти з проекту (роботи) із зазначенням розділів проекту, що їх стосуються
Підпис, дата
Розділ Прізвище, ініціали та посада
завдання завдання
консультанта
видав прийняв
7. Дата видачі завдання 04 вересня 2025 р.
КАЛЕНДАРНИЙ ПЛАН
№ Назва етапів дипломного С т р о к виконання етапів П р имітка
з/п проекту (роботи) проекту (роботи)
1. Аналіз технічного завдання та огляд літератури 05.09.2025
2. Аналіз сучасних засобів та методів забезпечення 15.09.2025
мережевої безпеки
Дослідження можливостей фаєрволів cisco ngfw
3. 02.10.2025
4. Дослідження методів і систем протидії 14.10.2025
5 Розробка комплексної системи захисту мережі 02.11.2025
6 Оформлення пояснювальної записки 08.11.2025
7 Оформлення слайдів 24.11.2025
Здобувач вищої освіти ЄФІМЕНКО Денис
(підпис) (прізвище та ім’я)
Керівник проекту (роботи) ІВЧЕНКО Олександр
(підпис) (прізвище та ім’я)
Зміст
ВСТУП
РОЗДІЛ 1. АНАЛІЗ СУЧАСНИХ ЗАСОБІВ ТА МЕТОДІВ ЗАБЕЗПЕЧЕННЯ
МЕРЕЖЕВОЇ БЕЗПЕКИ
1.1. Кіберзагрози та їх вплив на корпоративні мережі.
1.2. Класичні та сучасні підходи до побудови систем захисту.
1.3. Огляд фаєрволів: традиційні та NGFW.
1.4. Порівняльний аналіз виробників NGFW (Cisco, Fortinet, Palo Alto, Check Point).
1.5. Обґрунтування вибору Cisco NGFW як основи системи захисту.
РОЗДІЛ 2. ДОСЛІДЖЕННЯ МОЖЛИВОСТЕЙ ФАЄРВОЛІВ CISCO NGFW
3.1. Архітектура Cisco ASA та Firepower Threat Defense (FTD).
2.2. Функціональні можливості NGFW (контроль застосунків, IPS, URL-фільтрація,
AMP, SSL-інспекція).
2.3. Засоби управління: Firepower Management Center (FMC), ASDM, CLI.
2.4. Інтеграція Cisco NGFW із зовнішніми системами (SIEM, IDS/IPS, SOC).
2.5. Огляд стандартів і рекомендацій (NIST, ISO/IEC 27001, CIS Controls) для
впровадження
РОЗДІЛ 3. РОЗРОБКА КОМПЛЕКСНОЇ СИСТЕМИ ЗАХИСТУ МЕРЕЖІ
3.1. Постановка завдання: вимоги до безпеки корпоративної мережі.
3.2. Проєктування архітектури системи захисту з Cisco NGFW.
3.3. Розробка політик доступу та правил фільтрації.
3.4. Реалізація засобів захисту від типових атак (DoS/DDoS, SQL-ін’єкції, brute-force).
3.5. Організація моніторингу та інцидент-менеджменту.
3.6. Лабораторні дослідження
мБІ41.025. 311.248 ПЗ
Змн. Арк. № докум. Підпис Дата
Єфіменко Д. Розробка та впровадження Літ. Арк. Акрушів
Івченко О.В. комплексної системи захисту мережі 4 71
на основі фаєрволів cisco нового
Рецензент Палагін В.В. покоління (NGFW) ЧДТУ 2025
Контр. Пояснювальна записка
ВИСНОВКИ
Підсумок проведеного аналізу.
Наукова та практична новизна отриманих результатів.
Рекомендації щодо використання оптимізованих алгоритмів у корпоративних та
операторських мережах.
СПИСОК ВИКОРИСТАНИХ ДЖЕРЕЛ
(книги, статті IEEE, RFC, технічна документація Cisco, Juniper тощо).
Додатки
Конфігураційні файли маршрутизаторів.
Скрипти моделювання.
Додаткові графіки та таблиці.
Арк.
мБІ41.025.311.248 ПЗ 5
Змн. Арк. № докум. Підпис Дата
ВСТУП
Актуальність теми
Сучасні корпоративні мережі постійно піддаються зростаючому спектру
кіберзагроз: від традиційних атак (DoS/DDoS, спроб несанкціонованого доступу) до
складних багаторівневих атак (APT, атак на рівні застосунків, експлуатації 0-day
уразливостей)[16,17].
Класичні фаєрволи, що працюють переважно на рівні фільтрації пакетів та
портів, уже не можуть забезпечити належний рівень захисту [7-10].
Фаєрволи нового покоління (Next-Generation Firewall, NGFW) компанії Cisco
поєднують функції:
класичного міжмережевого екрану,
системи запобігання вторгнень (IPS),
контролю застосунків,
інтеграції з системами антивірусного та антишкідливого захисту,
можливостей моніторингу та аналітики в реальному часі.
Тому дослідження та впровадження таких рішень є критично важливим для
підвищення кіберстійкості організацій [16-18].
Об’єктом дослідження в роботі є процеси забезпечення інформаційної безпеки
корпоративних мереж.
Предметом дослідження є методи та засоби побудови комплексної системи
захисту мережі на основі фаєрволів Cisco NGFW (ASA, Firepower).
Мета роботи полягає в розробці та впровадженні комплексної системи захисту
корпоративної мережі з використанням фаєрволів Cisco нового покоління,
дослідження ефективності їх застосування для протидії сучасним кіберзагрозам.
В дипломній роботі були поставлені такі завдання:
1. Провести аналіз сучасних кіберзагроз та методів їх нейтралізації.
2. Дослідити функціональні можливості Cisco NGFW (ASA, Firepower, Firepower
Threat Defense).
Арк.
мБІ41.025.311.248 ПЗ 6
Змн. Арк. № докум. Підпис Дата
3. Розробити архітектуру системи захисту корпоративної мережі на базі Cisco
NGFW.
4. Налаштувати політики безпеки (контроль доступу, IDS/IPS, фільтрація
застосунків, URL-фільтрація).
5. Інтегрувати Cisco NGFW з іншими засобами безпеки (SIEM, системи
моніторингу).
6. Створити тестове середовище та змоделювати типові атаки (сканування портів,
SQL-ін’єкції, brute-force, DoS).
7. Оцінити ефективність системи захисту за показниками: рівень виявлення
загроз, продуктивність, зручність адміністрування.
Арк.
мБІ41.025.311.248 ПЗ 7
Змн. Арк. № докум. Підпис Дата
РОЗДІЛ 1. АНАЛІЗ СУЧАСНИХ ЗАСОБІВ ТА МЕТОДІВ
ЗАБЕЗПЕЧЕННЯ МЕРЕЖЕВОЇ БЕЗПЕКИ
1.1. Кіберзагрози та їх вплив на корпоративні мережі
Сучасні корпоративні мережі піддаються постійному впливу різноманітних
кіберзагроз, які можуть завдати значних економічних та репутаційних збитків
організаціям.
Основні види загроз включають[16-18].:
1. Віруси та шкідливе програмне забезпечення (Malware) – програми,
здатні виконувати несанкціоновані дії, зокрема пошкоджувати дані, блокувати
системи або викрадати конфіденційну інформацію.
2. Трояни та бекдори – забезпечують прихований доступ зловмисникам до
корпоративних ресурсів.
3. Фішинг – соціально-інженерні атаки, спрямовані на отримання логінів,
паролів або фінансових даних.
4. DDoS-атаки (Distributed Denial of Service) – перевантажують мережеву
інфраструктуру, що призводить до тимчасової або повної недоступності сервісів.
5. APT (Advanced Persistent Threats) – цілеспрямовані та тривалі атаки на
критичні системи компанії з метою викрадення стратегічно важливої інформації.
Вплив кіберзагроз на корпоративні мережі проявляється у:
Порушенні конфіденційності та витоку даних.
Перериванні бізнес-процесів та зупинці сервісів.
Фінансових втратах через штрафи, витрати на відновлення
інфраструктури та репутаційні втрати.
Таким чином забезпечення мережевої безпеки є критично важливим елементом
для стабільного функціонування будь-якої організації.
Арк.
мБІ41.025.311.248 ПЗ 8
Змн. Арк. № докум. Підпис Дата
1.2. Класичні та сучасні підходи до побудови систем захисту
Методи забезпечення безпеки мереж еволюціонували разом із розвитком
кіберзагроз.
Класичні підходи до побудови систем мережевої безпеки
Перші системи захисту корпоративних мереж мали на меті ізоляцію організацій
від зовнішнього неконтрольованого трафіку. Основою таких підходів стали:
фаєрволи пакетної фільтрації;
фаєрволи станової інспекції;
базові IDS/IPS;
NAT як спосіб приховування внутрішньої адресації;
VPN для безпечного віддаленого доступу.
Переваги класичних підходів
1. Простота впровадження та експлуатації.
Правила доступу базуються на IP-адресах, портах та протоколах, що робить
налаштування інтуїтивним і зрозумілим навіть для менш досвідчених адміністраторів.
2. Низькі витрати на реалізацію.
Багато базових функцій безпеки доступні в недорогому мережевому обладнанні,
що робить класичні підходи доступними для малих та середніх організацій.
3. Стабільність, надійність та передбачуваність роботи.
Класичні системи існують понад 20 років, мають значний досвід застосування,
численні рекомендації та зрозумілі механізми усунення проблем.
4. Низький вплив на продуктивність мережі.
Пакетна фільтрація не потребує складного аналізу вмісту трафіку, тому
навантаження на апаратне забезпечення мінімальне.
5. Підходять для простих мережевих архітектур.
У невеликих мережах або в середовищах із мінімальним ризиком класичні
рішення часто є достатніми.
Недоліки класичних підходів
Арк.
мБІ41.025.311.248 ПЗ 9
Змн. Арк. № докум. Підпис Дата
Попри численні переваги, традиційні засоби безпеки мають обмеження, що
робить їх малоефективними в умовах сучасних кіберзагроз.
1. Відсутність можливості аналізу трафіку на рівні додатків.
Сучасні атаки часто маскуються під легітимні сервіси (HTTPS, DNS, SaaS-
додатки). Класичні фаєрволи не здатні визначити реальний зміст трафіку чи
відрізнити шкідливу активність від нормальної.
2. Неефективність проти складних та багатовекторних атак.
Класичні підходи не здатні протидіяти: zero-day експлойтам, атакам у
шифрованому трафіку, APT-кампаніям, соціально-інженерним атакам, сучасним
malware із поліморфізмом.
3. Низький рівень аналітичності та кореляції подій.
Логи класичних фаєрволів містять лише базові дані, що не дозволяє оперативно
виявляти складні загрози та проводити повноцінне реагування.
4. Відсутність інтегрованого підходу.
Кожен компонент — IPS, антивірус, VPN — працює окремо. Це знижує
ефективність безпеки та ускладнює централізоване управління.
5. Залежність від статичних правил.
Фаєрволи пакетної фільтрації опираються на фіксовані параметри трафіку.
Такий підхід застарів у світі, де більшість атак використовують динамічні методи
обходу захисту.
Сучасні підходи до побудови систем мережевої безпеки
Стрімкий розвиток інтернет-сервісів, хмарних платформ та мобільних
пристроїв призвів до появи нових методів кіберзахисту, заснованих на глибокому
аналізі трафіку, автоматизації та інтелектуальних алгоритмах. Сучасні підходи
включають:
NGFW (фаєрволи нового покоління);
Zero Trust Architecture;
мікросегментацію;
Арк.
мБІ41.025.311.248 ПЗ 10
Змн. Арк. № докум. Підпис Дата
поведінкову аналітику (UEBA, NDR, NTA);
SOAR / SIEM;
захист хмарних середовищ (CASB, SASE).
Переваги сучасних підходів
1. Глибока інспекція трафіку (DPI)[7-9]. Системи здатні аналізувати зміст
пакетів, а також поведінку додатків, виявляти шкідливі шаблони та приховані загрози.
2. Контроль додатків (App-ID). NGFW визначають не лише порти й IP-адреси, а
й конкретні додатки (YouTube, Teams, SSH, RDP), що дозволяє створювати точні
політики доступу.
3. Інтегрований багаторівневий захист. Сучасні фаєрволи поєднують функції:
IPS/IDS, антивірусу, URL-фільтрації, sandboxing, модулів захисту від шкідливого ПЗ,
систем аналізу SSL/TLS.
4. Використання ШІ та машинного навчання. Завдяки поведінковому аналізу
системи можуть виявляти аномальні дії без необхідності мати попередні сигнатури.
5. Централізоване управління та автоматизація. Системи типу FMC, Panorama
або FortiManager забезпечують централізовану політику, зручні журнали подій та
гнучкі механізми реагування.
6. Підтримка концепції Zero Trust. Жоден користувач, пристрій або мережевий
сегмент не вважається “безпечним” за замовчуванням. Це значно обмежує можливість
lateral movement у разі компрометації.
7. Масштабованість та підтримка хмарних середовищ. Сучасні засоби безпеки
працюють з гібридними інфраструктурами, SD-WAN та SaaS-сервісами.
Недоліки сучасних підходів
1. Висока вартість впровадження. NGFW, SIEM, SASE або Zero Trust можуть
вимагати значних витрат на обладнання, ліцензії та технічну підтримку.
Арк.
мБІ41.025.311.248 ПЗ 11
Змн. Арк. № докум. Підпис Дата
2. Складність розгортання та конфігурації. Сучасні технології потребують
кваліфікованих фахівців, тривалої підготовки персоналу та ретельного тестування
політик безпеки.
3. Значне навантаження на апаратні ресурси. Функції DPI, SSL-inspection або
sandboxing можуть суттєво знижувати пропускну здатність пристрою без додаткових
апаратних модулів.
4. Можливі труднощі з інтеграцією у застарілі мережеві середовища.
Організаціям, які мають старе обладнання, часто доводиться модернізувати всю
інфраструктуру.
5. Імовірність хибних спрацювань (False Positives). Чим складніша система
аналізу, тим більше потрібно налаштувань для мінімізації помилкових блокувань.
Порівняльний висновок
Класичні підходи залишаються актуальними для базового рівня безпеки та
виконання фундаментальних функцій контролю доступу. Проте з огляду на еволюцію
кіберзагроз, використання лише традиційних механізмів є недостатнім для
корпоративних мереж. Сучасні підходи забезпечують всебічний захист від складних
атак, однак потребують значних ресурсів, кваліфікації та фінансових інвестицій. Тому
оптимальною є комбінація обох підходів з домінуванням сучасних рішень, таких як
NGFW, SIEM та Zero Trust Architecture.
1.3. Огляд фаєрволів: традиційні та NGFW
У забезпеченні мережевої безпеки фаєрволи займають ключове місце як перша
лінія оборони корпоративної інфраструктури (рис.1.1). Еволюція фаєрволів була
зумовлена швидким зростанням обсягів мережевого трафіку, переходом до
шифрованих протоколів, роботою з хмарними додатками та збільшенням кількості
складних атак. У цьому підрозділі розглянуто розвиток фаєрволів від класичних
рішень до фаєрволів нового покоління (NGFW), їхні особливості, можливості та
призначення.
Арк.
мБІ41.025.311.248 ПЗ 12
Змн. Арк. № докум. Підпис Дата
Рис.1.1 Розташування Фаєрвола в корпоративній мережі
Традиційні (класичні) фаєрволи
Традиційні фаєрволи стали основою мережевої безпеки ще наприкінці 1990-х
років. Їхнє основне завдання — контроль доступу між мережевими сегментами на
основі стандартних параметрів пакета.
Серед основних типів традиційних фаєрволів виділяють:
Пакетні фільтри (Packet Filtering Firewalls) (рис.1.2). Пакетні фільтри
фільтрацію здійснюєть за такими параметрами: IP-адреса джерела і призначення,
порт, протокол (TCP, UDP, ICMP), прапорці TCP. Переваги Packet Filtering Firewalls:
простота, низьке навантаження на систему. Недоліки: неможливість аналізу стану
з’єднання та вмісту трафіку.
Арк.
мБІ41.025.311.248 ПЗ 13
Змн. Арк. № докум. Підпис Дата
Рис.1.2 Пакетний фільтр (Packet Filtering Firewall)
Фаєрволи зі становою інспекцією (Stateful Inspection Firewalls) (рис.1.3).
Цей тип фаєрволів з’явився як розвиток пакетної фільтрації. Він веде таблицю
активних сесій і приймає рішення, аналізуючи контекст. Переваги Stateful Inspection
Firewalls: підвищена точність контролю, можливість відстеження стану TCP-сесій.
Недоліки: обмежена здатність до аналізу прикладного рівня, недостатній захист від
сучасних атак.
Рис.1.3 Фаєрвол зі становою інспекцією (Stateful Inspection Firewall)
Проксі-фаєрволи (Application Proxy Firewalls) (рис.1.4). Проксі-фаєрволи
працюють як посередники між клієнтом і сервером, аналізуючи трафік на рівні
додатків. Переваги Application Proxy Firewalls: висока глибина аналізу, можливість
фільтрувати конкретні протоколи (HTTP, FTP, SMTP). Недоліки: значна затримка,
високе навантаження, складність інтеграції.
Арк.
мБІ41.025.311.248 ПЗ 14
Змн. Арк. № докум. Підпис Дата
Рис.1.4 Проксі-фаєрвол (Application Proxy Firewalls)
До переваг традиційних фаєрволів можна віднести:
простота структури та низькі витрати,
стабільна робота,
мінімальний вплив на продуктивність мережі,
достатність для базового периметрового захисту.
Недоліки традиційних фаєрволів полягають у :
відсутності глибокого аналізу трафіку,
неефективності проти шифрованих атак,
відсутність захисту від malware та zero-day,
неможливість визначати додатки та користувачів,
обмежене логування та відсутність кореляції подій.
Арк.
мБІ41.025.311.248 ПЗ 15
Змн. Арк. № докум. Підпис Дата
Фаєрволи нового покоління (NGFW)
Фаєрволи NGFW (Next-Generation Firewall) виникли як відповідь на
необхідність комплексного захисту від сучасних багатовекторних атак [7-9]. Вони
об’єднують функціональні можливості класичних фаєрволів і розширені механізми
аналізу та контролю.
Рис.1.5 Фаєрвол NGFW (Next-Generation Firewall)
До основних характеристик NGFW можна віднести:
Глибока інспекція трафіку (DPI — Deep Packet Inspection). Фаєрвол
аналізує вміст пакетів, а не лише заголовки. Завдяки цьому виявляються: експлойти,
аномалії, шкідливі сигнатури, нестандартна поведінка додатків.
Контроль додатків (Application Control / App-ID). NGFW розпізнають
тисячі додатків незалежно від порту або способу маскування (навіть всередині
HTTPS).
Приклади додатків, які можуть аналізувати NGFW: Facebook, YouTube,
Teams, RDP, SSH, Торренти, VPN-тунелі.
Інтегрована система запобігання вторгненням (IPS). IPS у NGFW
забезпечує: виявлення загроз за сигнатурами, аналіз поведінки, виявлення аномалій,
блокування експлойтів у реальному часі [7-9].
Арк.
мБІ41.025.311.248 ПЗ 16
Змн. Арк. № докум. Підпис Дата
SSL/TLS-inspection. Оскільки понад 80% трафіку сьогодні шифрується,
NGFW можуть: розшифровувати трафік, аналізувати його, повторно шифрувати. Це
дозволяє виявляти malware та командно-контрольні канали в HTTPS [7-9].
Антивірус і фільтрація контенту. Вбудовані модулі можуть блокувати:
шкідливі файли, фішингові сайти, небезпечні скрипти, небажані веб-категорії.
Sandboxing. Функція ізольованого запуску файлів для аналізу поведінки
дозволяє: виявляти невідомі загрози, спіймати zero-day malware, аналізувати
документи та архіви.
Інтеграція з SIEM, SOAR, централізоване управління. NGFW
підтримують: централізований моніторинг (Cisco FMC, FortiManager, Panorama),
автоматизоване реагування, розширене логування та аналітику.
Переваги NGFW
комплексний захист у єдиній платформі,
висока точність виявлення загроз,
можливість контролю додатків і користувачів,
боротьба з шифрованими атаками,
гнучкі політики безпеки,
масштабованість.
Недоліки NGFW
висока вартість ліцензій та обладнання,
потреба у кваліфікованому персоналі,
можливе зниження швидкодії при увімкненні всіх модулів,
складність інтеграції у застарілі мережі.
На рис. 1.6 показана схема еволюціії фаєрволів від традиційних до NGFW
Арк.
мБІ41.025.311.248 ПЗ 17
Змн. Арк. № докум. Підпис Дата
Рис. 1.6 Еволюціії фаєрволів від традиційних до NGFW
В таблиці 1.1 наведено порівняння традиційних та NGFW фаєрволів [9].
Таблиця 1.1. Порівняння традиційних та NGFW фаєрволів
Фаєрволи нового покоління
Критерій Традиційні фаєрволи
(NGFW)
Працюють на основі Використовують контекстний
Принцип роботи статичних правил аналіз, глибоку перевірку вмісту
фільтрації трафіку (DPI), контроль додатків
Аналізують тільки
Аналізують увесь пакет, включно
Рівень аналізу трафіку заголовки пакетів
з даними (Layer 7)
(Layer 3–4)
Повноцінний Application Control,
Контроль додатків Не підтримують визначення додатків незалежно
від порту
Немає вбудованих Інтегровані IPS/IDS, анти-
Захист від загроз механізмів (потрібні malware, sandboxing, reputation-
окремі рішення) based security
Арк.
мБІ41.025.311.248 ПЗ 18
Змн. Арк. № докум. Підпис Дата
Фаєрволи нового покоління
Критерій Традиційні фаєрволи
(NGFW)
Шифрований трафік
Майже не аналізується Підтримка SSL inspection
(SSL/TLS)
Фіксовані правила, Динамічні політики, прив’язка до
Гнучкість політик
обмежені можливості користувачів, додатків, поведінки
Нижча продуктивність через
Вищі показники на
Продуктивність складний аналіз (компенсується
базових фільтраціях
апаратними прискорювачами)
Простий периметровий Сучасні корпоративні мережі,
Сфера використання
захист сегментація, Zero Trust
Можливість Розвинені платформи управління
централізованого Обмежена (Cisco FMC, Panorama,
управління FortiManager)
Вищі вимоги до обчислювальних
Вимоги до ресурсів Невисокі
ресурсів
Висновки
Фаєрволи нового покоління значно перевершують традиційні підходи за
функціональністю та ефективністю. Вони забезпечують комплексний багаторівневий
захист, здатний протидіяти сучасним кіберзагрозам, включаючи шифровані атаки,
zero-day експлойти та APT-кампанії.
У сучасних корпоративних мережах NGFW є не альтернативою, а необхідністю,
тоді як традиційні фаєрволи можуть виконувати допоміжну або базову функцію у
багаторівневій архітектурі безпеки.
Арк.
мБІ41.025.311.248 ПЗ 19
Змн. Арк. № докум. Підпис Дата
1.4. Порівняльний аналіз виробників NGFW
Фаєрволи нового покоління (NGFW) є ключовим елементом сучасної
архітектури кіберзахисту. На ринку представлено кілька провідних виробників, які
пропонують комплексні рішення із різним функціональним наповненням,
продуктивністю та рівнем інтеграції. У цьому підрозділі здійснюється порівняльний
аналіз основних гравців ринку: Cisco, Fortinet, Palo Alto Networks, Check Point.
Загальна характеристика виробників NGFW
Cisco Systems
Один із найбільших виробників мережевого обладнання у світі. Лінійка NGFW
представлена серією Cisco Firepower та Secure Firewall Threat Defense (FTD) [10].
Переваги — глибока інтеграція з мережевою інфраструктурою Cisco, сучасна система
аналітики Talos Intelligence [11] та централізоване управління через Firepower
Management Center (FMC).
Fortinet
Відомий виробник рішень для мережевої безпеки. Серія FortiGate вирізняється
високою продуктивністю, масштабованістю та апаратним прискоренням (ASIC
FortiSPU). Fortinet пропонує повноцінну екосистему Fortinet Security Fabric [12].
Palo Alto Networks
Піонер у сфері NGFW. Серія Palo Alto PA-Series та хмарні NGFW забезпечують
глибокий аналіз трафіку, ефективний контроль додатків (App-ID) та аналіз загроз
(WildFire). Виробник орієнтований на корпоративний сегмент та високий рівень
автоматизації [13].
Check Point Software Technologies
Один із найбільш досвідчених вендорів, відомий своєю платформою Check Point
Quantum. Вирізняється високим рівнем стабільності, зрілими механізмами IPS, а
також централізованим керуванням SmartConsole [14].
Функціональні можливості NGFW різних виробників
Арк.
мБІ41.025.311.248 ПЗ 20
Змн. Арк. № докум. Підпис Дата
Ключові елементи сучасних NGFW включають: DPI (Deep Packet Inspection),
Контроль додатків, IPS/IDS, Антивірус і фільтрація контенту, SSL/TLS-inspection,
Аналіз поведінки, Інтеграція з SIEM/SOAR, Підтримка хмарних середовищ
Усі чотири розглянуті виробники забезпечують ці функції, проте реалізація та
ефективність відрізняються.
Порівняльня NGFW різних виробників показано в таблиці 1.2
Таблиця 1.2 – Порівняльна характеристика NGFW від Cisco, Fortinet, Palo Alto
Networks та Check Point
Основні
Виробник Переваги Недоліки
характеристики
Firepower NGFW, Надійність, глибока
Cisco Висока вартість
інтеграція з Cisco DNA інтеграція, IPS
FortiGate, висока Швидкість, широкий Складність
Fortinet
продуктивність функціонал управління
PA Series, App-ID, Threat Контроль додатків, Високі витрати
Palo Alto
Prevention надійний IPS на ліцензії
Check Infinity, комплексна Централізоване управління, Складність
Point платформа безпеки багаторівневий захист конфігурації
У подальших розділах дипломної роботи обґрунтовується вибір саме Cisco
NGFW як базового рішення, зважаючи на його оптимальне поєднання функціоналу,
продуктивності та високої сумісності з корпоративними мережами.
1.5. Обґрунтування вибору Cisco NGFW як основи системи захисту
Вибір Cisco NGFW обґрунтований наступними факторами:
1. Інтеграція з існуючою інфраструктурою Cisco (маршрутизатори,
комутатори, мережевий моніторинг).
Арк.
мБІ41.025.311.248 ПЗ 21
Змн. Арк. № докум. Підпис Дата
2. Комплексний захист – фаєрвол, IPS, контроль додатків, антивірус, URL-
фільтрація.
3. Гнучке управління політиками безпеки через Cisco Firepower
Management Center.
4. Висока надійність та масштабованість, що забезпечує безперебійну
роботу корпоративної мережі.
5. Підтримка сучасних стандартів безпеки та регулярне оновлення
сигнатур загроз.
Висновок: Cisco NGFW забезпечує оптимальний баланс між функціональністю,
надійністю та інтеграцією, що робить його найбільш придатним для побудови
комплексної системи захисту корпоративної мережі.
Арк.
мБІ41.025.311.248 ПЗ 22
Змн. Арк. № докум. Підпис Дата
РОЗДІЛ 2. ДОСЛІДЖЕННЯ МОЖЛИВОСТЕЙ ФАЄРВОЛІВ CISCO
NGFW
2.1. Архітектура Cisco ASA та Firepower Threat Defense (FTD)
Сучасні корпоративні мережі вимагають багаторівневого захисту, що поєднує
класичні функції міжмережевих екранів із сучасними технологіями аналізу загроз.
Cisco Next-Generation Firewall (NGFW) інтегрує Cisco ASA (Adaptive Security
Appliance) та Firepower Threat Defense (FTD), що забезпечує високий рівень безпеки
та централізоване управління мережевими подіями.
Cisco ASA (Adaptive Security Appliance)
Cisco ASA (Adaptive Security Appliance) [10] — це сімейство апаратних
міжмережевих екранів від Cisco Systems, що забезпечує комплексний захист мережі,
включаючи функції брандмауера, VPN, запобігання вторгненням та маршрутизацію.
Ці пристрої захищають мережі малого бізнесу, великих корпорацій та центрів обробки
даних за допомогою широкого спектра функцій безпеки, таких як фільтрація пакетів,
шифрування, контроль доступу та інтеграція з сервісами Cisco FirePOWER.
Основні функції та особливості Cisco ASA
1. Брандмауер: Фільтрація трафіку за допомогою політик безпеки, рівня
доступу користувачів та глибокої інспекції пакетів.
2. VPN: Підтримка VPN-з'єднань для безпечного віддаленого доступу та
зв'язку між мережами.
3. Захист від загроз: Інтеграція з Cisco FirePOWER Services, що надає
сучасні системи запобігання вторгненням (IPS), захист від шкідливих програм (AMP)
та контроль над додатками (AVC).
4. Керування: Доступне керування за допомогою графічного інтерфейсу
(Cisco Adaptive Security Device Manager) або командного рядка (CLI).
5. Шифрування: Використання надійних алгоритмів шифрування, таких як
AES та 3DES, для захисту конфіденційності даних.
Арк.
мБІ41.025.311.248 ПЗ 23
Змн. Арк. № докум. Підпис Дата
6. Універсальність: Широкий вибір моделей для різних сценаріїв, від малих
офісів до великих дата-центрів та хмарних середовищ.
ASA є стабільним та перевіреним рішенням для забезпечення базового рівня
мережевої безпеки. Проте зростання складності мереж та появи нових типів загроз
обумовило розвиток NGFW на базі Cisco Firepower.
Firepower Threat Defense (FTD)
FTD поєднує можливості ASA та передові функції NGFW, серед яких:
Інспекція трафіку на рівні додатків;
Інтеграція з системами виявлення та запобігання вторгненням (IPS/IDS);
Advanced Malware Protection (AMP);
URL-фільтрація;
SSL-інспекція.
Основою FTD є унікальна програмна архітектура (рис.2.1), що працює на двох
різних програмних платформах [7-10]:
Рис.2.1 Пограмна архітектура FTD
1. Платформа LINA (Linux for Network Appliances): Це, по суті, код Cisco ASA.
LINA відповідає за функції мережевого рівня, такі як маршрутизація, NAT, IPsec VPN
Арк.
мБІ41.025.311.248 ПЗ 24
Змн. Арк. № докум. Підпис Дата
та Stateful Firewall (міжмережевий екран із інспектуванням станів). Він забезпечує
базову, високопродуктивну обробку пакетів.
2. Платформа SNORT: заснована на технології Sourcefire, виконує функції
інспектування трафіку на рівні додатків. Відповідає за NGIPS (система запобігання
вторгненням нового покоління), розширений захист від шкідливого ПЗ (AMP) та
фільтрацію URL-адрес [7-10].
Потік пакетів в FTD є послідовним процесом:
Спочатку трафік проходить через LINA для базової перевірки та визначення
сесії (Stateful inspection).
Потім, якщо політики доступу вимагають більш глибокого аналізу, трафік
передається SNORT для інспектування вмісту та виявлення загроз.
Після перевірки SNORT, трафік повертається до LINA для подальшої
маршрутизації або блокування.
Архітектура Cisco NGFW може бути представлена у вигляді багаторівневої
схеми (рисунок 2.2):
┌───────────────────────────┐
│ Інтернет │
└─────────────┬─────────────┘
│
┌─────┴──────┐
│ Cisco NGFW │
│ FTD + ASA │
│ - Firewall │
│ - IPS/IDS │
│ - AMP │
│ - URL-фільтр │
│ - SSL Inspection │
└────┬─────┘
│
┌──────┴───────┐
│ Локальна │
│ мережа │
└──────────────┘
Рисунок 2.2 – Архітектура Cisco NGFW (ASA + FTD)]
Арк.
мБІ41.025.311.248 ПЗ 25
Змн. Арк. № докум. Підпис Дата
FTD реалізує модульний підхід, де кожен компонент відповідає за окремий
рівень безпеки. Така архітектура забезпечує:
Гнучкість у налаштуванні правил безпеки;
Швидке оновлення сигнатур загроз;
Інтеграцію з зовнішніми системами моніторингу та аналітики.
Програмне забезпечення FTD може працювати на різних платформах:
Фізичні пристрої: Спеціалізовані пристрої Cisco Firepower (наприклад,
серії 1000, 2100, 4100, 9300).
Віртуальні пристрої: Для використання в хмарних або віртуалізованих
середовищах (vFTD).
Ця архітектура забезпечує баланс між високою пропускною здатністю (завдяки
LINA) і глибоким, інтелектуальним захистом від сучасних загроз (завдяки SNORT та
FMC).
2.2. Функціональні можливості NGFW
NGFW Cisco надає розширений набір функцій, що виходить за рамки класичних
firewall:
1. Контроль на рівні додатків (Application Awareness and Control)
NGFW здатні ідентифікувати та контролювати мережевий трафік на рівні
додатків, незалежно від портів чи протоколів, які вони використовують. Це дозволяє
адміністраторам:
Блокувати використання небажаних програм (наприклад, соціальних
мереж, торрентів, певних месенджерів).
Обмежувати використання певних функцій всередині додатків
(наприклад, дозволити Facebook, але заборонити завантаження файлів).
Пріоритизувати бізнес-критичні додатки.
2. Запобігання вторгненням нового покоління (NGIPS)
Арк.
мБІ41.025.311.248 ПЗ 26
Змн. Арк. № докум. Підпис Дата
Інтегровані системи IPS активно сканують весь трафік на наявність відомих
вразливостей, сигнатур атак, аномалій протоколів та іншої шкідливої активності.
NGFW використовують регулярно оновлювані бази даних загроз для забезпечення
захисту в режимі реального часу.
Таким чином IPS підтримує:
Сигнатурний аналіз: виявлення атак за відомими шаблонами;
Поведінковий аналіз: виявлення аномалій у трафіку;
Віртуальні патчі: захист уразливостей до випуску офіційних оновлень.
3. Розширений захист від шкідливого програмного забезпечення
(AMP/Advanced Malware Protection)
NGFW часто включають можливості для виявлення та блокування сучасних
шкідливих програм, включаючи zero-day загрози та програми-вимагачі (ransomware).
Це може включати:
Сканування файлів на віруси та шкідливе ПЗ при передачі.
Використання хмарних сервісів аналізу (пісочниць, або sandboxing) для
динамічного аналізу підозрілих файлів у безпечному ізольованому
середовищі.
Карантин та блокування виявлених загроз;
4. Контроль і фільтрація URL-адрес та веб-контенту (URL Filtering/Web
Filtering)
Адміністратори можуть застосовувати політики, які обмежують доступ
користувачів до певних категорій веб-сайтів (наприклад, сайти для дорослих, азартні
ігри, фішинг, відомі шкідливі домени). Це допомагає забезпечити відповідність
корпоративним політикам та зменшити ризики безпеки.
Таким чином може бути забезпечено:
Блокування шкідливих та фішингових сайтів;
Контроль доступу до соціальних мереж та мультимедійних ресурсів;
Створення корпоративних політик доступу.
Арк.
мБІ41.025.311.248 ПЗ 27
Змн. Арк. № докум. Підпис Дата
5. Ідентифікація користувача та інтеграція з каталогами (User Identity
Integration)
Замість того, щоб покладатися виключно на IP-адреси, NGFW можуть
інтегруватися з сервісами каталогів (наприклад, Microsoft Active Directory) для
застосування політик безпеки на основі ідентичності конкретного користувача чи
групи користувачів, незалежно від того, який пристрій чи IP-адресу вони
використовують.
6. VPN-підключення (VPN Connectivity)
NGFW зберігають усі функції традиційних фаєрволів щодо створення
захищених тунелів:
Site-to-Site VPN (між офісами).
Remote Access VPN (для віддалених працівників, часто з використанням
SSL/TLS або IPsec).
7. Дешифрування та інспекція SSL/TLS трафіку
Оскільки більшість сучасного веб-трафіку зашифрована (HTTPS), NGFW мають
критичну можливість дешифрувати цей трафік (SSL Decryption), інспектувати його на
наявність загроз, а потім повторно шифрувати та відправляти до адресата.
SSL/TLS-інспекція дозволяє аналізувати зашифрований трафік без порушення
конфіденційності:
Виявлення загроз, прихованих у зашифрованих каналах;
Контроль доступу до веб-ресурсів;
Підтримка сучасних протоколів шифрування.
Ці комплексні можливості дозволяють NGFW забезпечувати багаторівневий,
глибокий захист сучасних мереж від широкого спектра кіберзагроз.
2.3. Засоби управління: Firepower Management Center (FMC), ASDM, CLI
Для управління NGFW Cisco пропонує кілька інструментів, які можна обирати
залежно від масштабів мережі та завдань безпеки. В таблиці 2.3 наведені основні
засоби управління NGFW Cisco
Арк.
мБІ41.025.311.248 ПЗ 28
Змн. Арк. № докум. Підпис Дата
Таблиця 2.3 Засоби управління NGFW Cisco
Засіб управління Опис Переваги
Центральне управління Підтримка великих мереж,
FMC (Firepower
політиками, моніторинг аналітика безпеки, інтеграція
Management Center)
загроз, звітність з SIEM
ASDM (Adaptive
Веб-інтерфейс для Простота налаштування,
Security Device
конфігурації ASA графічний інтерфейс
Manager)
CLI (Command Line Командний рядок для Гнучкість, скрипти,
Interface) управління та автоматизації швидка діагностика
Ці інструменти забезпечують ефективне управління правилами безпеки,
моніторинг подій та реагування на інциденти.
2.4. Інтеграція Cisco NGFW із зовнішніми системами
Ефективність сучасних рішень мережевої безпеки, таких як Cisco Next-
Generation Firewall (NGFW), значною мірою залежить від їхньої здатності взаємодіяти
з іншими компонентами інфраструктури безпеки (SIEM, SOAR, системи
ідентифікації, платформи розвідки загроз). Така інтеграція забезпечує автоматизацію
процесів, централізований моніторинг та швидке реагування на інциденти.
Інтеграція Cisco NGFW із зовнішніми системами реалізується за допомогою
стандартних протоколів та спеціалізованих інтерфейсів програмування додатків
(API):
SNMP (Simple Network Management Protocol): Використовується для базового
моніторингу стану пристроїв, завантаження ЦП, використання пам'яті та пропускної
здатності інтерфейсів.
Syslog: Основний механізм для передачі журналів подій безпеки (логи трафіку,
спрацьовування IPS, події AMP, VPN-сесії) до систем централізованого збору та
аналізу (SIEM).
Арк.
мБІ41.025.311.248 ПЗ 29
Змн. Арк. № докум. Підпис Дата
REST API: Ключовий інтерфейс для автоматизації та оркестровки. Cisco
Firepower Management Center (FMC) надає потужний REST API, який дозволяє
зовнішнім системам програмно керувати політиками безпеки, отримувати
деталізовані дані про загрози та вносити зміни в конфігурацію.
eStreamer: Високопродуктивний пропрієтарний протокол Cisco для потокової
передачі великих обсягів деталізованих подій безпеки (наприклад, дані інспекції
SNORT) до зовнішніх колекторів.
Для побудови комплексної системи безпеки Cisco NGFW інтегрується з різними
зовнішніми системами:
SIEM (Security Information and Event ). Інтеграція з SIEM-системами
(наприклад, Splunk, IBM QRadar, Microsoft Sentinel) є критично важливою для
забезпечення видимості всієї інфраструктури. В результаті такої взаємодії
здійснюються: 1) Передача даних: Журнали подій з NGFW передаються до SIEM за
допомогою Syslog або eStreamer. 2) Централізований аналіз: SIEM корелює події від
NGFW з даними від інших джерел (сервери, робочі станції, інші засоби захисту) для
виявлення складних атак, які не помітні на окремому пристрої. 3) Звітність та
відповідність стандартам: SIEM використовує дані NGFW для формування звітів про
відповідність нормативним вимогам (GDPR, PCI DSS тощо).;
IDS/IPS: обмін даними про загрози;
SOC (Security Operations Center): централізоване управління подіями та
реагування на інциденти. Cisco NGFW ефективно взаємодіє з системами контролю
доступу до мережі (NAC), такими як Cisco Identity Services Engine (ISE). Це дозволяє
вести: 1.Контекст користувача: ISE надає NGFW детальну інформацію про
користувача, його пристрій, рівень доступу та стан відповідності політикам безпеки.
2.Політики на основі ідентичності: NGFW використовує цю інформацію для
застосування гранульованих політик безпеки, що базуються не лише на IP-адресі, а й
на ролі користувача в організації (наприклад, надання різного рівня доступу гостям,
співробітникам та адміністраторам). 3.Сегментацію мережі: Спільна робота ISE та
Арк.
мБІ41.025.311.248 ПЗ 30
Змн. Арк. № докум. Підпис Дата
NGFW дозволяє динамічно сегментувати мережевий трафік та ізолювати підозрілі
пристрої.
Схема інтеграції NGFW із зовнішніми системами наведена на рисунку 2.3:
┌───────────────┐
│ Cisco NGFW │
│ FTD + ASA │
└─────┬─────────┘
│
┌────┴────┐
│ SIEM │
└────┬────┘
│
┌────┴────┐
│ SOC │
└─────────┘
Рисунок 2.3 – Інтеграція Cisco NGFW із SIEM та SOC
Таким чином інтеграція Cisco NGFW із зовнішніми системами перетворює його
з автономного засобу захисту на ключовий елемент цілісної, автоматизованої
архітектури безпеки. Завдяки використанню API, Syslog та інших протоколів,
організації можуть досягти підвищеної видимості загроз, прискорити час реагування
на інциденти та оптимізувати операційні процеси управління безпекою. Інтеграція
дозволяє побудувати єдину систему моніторингу та швидко реагувати на нові загрози.
2.5. Огляд стандартів і рекомендацій для впровадження NGFW
Впровадження міжмережевих екранів нового покоління (NGFW) вимагає
дотримання загальновизнаних стандартів, рекомендацій галузевих регуляторів та
найкращих практик (Best Practices) від виробників обладнання. Ці документи
допомагають забезпечити надійність конфігурації, відповідність нормативним
вимогам та ефективність захисту.
Рекомендації NIST ( Національний інститут стандартів і технологій США)
NIST розробляє ключові рекомендації з кібербезпеки, які є міжнародним
орієнтиром.
Арк.
мБІ41.025.311.248 ПЗ 31
Змн. Арк. № докум. Підпис Дата
NIST Special Publication 800-41 Rev. 1 "Guidelines on Firewalls and Firewall
Policy": Цей документ містить фундаментальні настанови щодо проектування,
впровадження та підтримки політик міжмережевого екранування[2-6]. Він охоплює
всі аспекти — від вибору місця розташування фаєрвола в мережі до процедур
тестування та аудиту.
NIST Cybersecurity Framework (CSF): Хоча це загальний фреймворк управління
ризиками, він застосовується і до NGFW. Він визначає п'ять ключових функцій:
Ідентифікація (Identify), Захист (Protect), Виявлення (Detect), Реагування (Respond) та
Відновлення (Recover). NGFW відіграють центральну роль у функціях "Protect" та
"Detect".
Стандарти ISO/IEC 27000 серії
Міжнародні стандарти серії ISO/IEC 27000 визначають вимоги до систем
управління інформаційною безпекою (СУІБ).
ISO/IEC 27001: Визначає вимоги до впровадження, підтримки та постійного
вдосконалення СУІБ. Використання NGFW є однією з ключових заходів контролю
(Control A.13 – Network security management), необхідних для сертифікації [2-6].
ISO/IEC 27002: Надає детальні рекомендації щодо реалізації заходів контролю,
зокрема вимоги до сегментації мережі, захисту периметру та контролю доступу, які
реалізуються за допомогою функцій NGFW.
Специфічні галузеві стандарти
Залежно від сфери застосування, впровадження NGFW має відповідати
додатковим регуляторним вимогам:
PCI DSS (Payment Card Industry Data Security Standard): Стандарт безпеки
даних індустрії платіжних карток. Вимога 1 PCI DSS прямо вимагає встановлення та
підтримки конфігурації міжмережевого екрана для захисту даних власників карток.
NGFW з його функціями сегментації та контролю додатків є ідеальним інструментом
для відповідності цим вимогам.
Арк.
мБІ41.025.311.248 ПЗ 32
Змн. Арк. № докум. Підпис Дата
HIPAA (Health Insurance Portability and Accountability Act): Законодавство
США, що регулює захист медичної інформації. NGFW допомагає забезпечити
конфіденційність електронної медичної документації (ePHI) через контроль доступу
та моніторинг трафіку.
Рекомендації виробників та Best Practices
Виробники обладнання, такі як Cisco, надають детальні рекомендації,
специфічні для їхніх продуктів.
Cisco Validated Designs (CVD): Ці документи описують перевірені архітектури
та конфігурації для конкретних сценаріїв використання (наприклад, дизайн ЦОД,
безпечний віддалений доступ, інтеграція з хмарними сервісами).
Best Practices Guides (Посібники з найкращих практик): Ці посібники, доступні
на офіційному порталі Cisco Support, деталізують оптимальні налаштування функцій
NGFW, таких як:
Політики контролю доступу (ACP): Рекомендується застосовувати принцип
"мінімальних привілеїв" (least privilege access).
Інспекція SSL/TLS: Настанови щодо вибіркового дешифрування трафіку для
балансу між безпекою та конфіденційністю.
Сегментація мережі: Рекомендації щодо використання внутрішніх фаєрволів
(East-West traffic inspection) для запобігання поширенню загроз всередині мережі.
Дотримання цих стандартів та рекомендацій забезпечує комплексний підхід до
впровадження NGFW, мінімізує ризики конфігураційних помилок та гарантує, що
рішення відповідає сучасним вимогам кібербезпеки.
Використання цих стандартів дозволяє забезпечити високий рівень безпеки,
оптимізувати роботу мережі та відповідати корпоративним і нормативним вимогам.
2.6. Приклади потоків трафіку через NGFW
Арк.
мБІ41.025.311.248 ПЗ 33
Змн. Арк. № докум. Підпис Дата
Для розуміння принципу роботи NGFW в реальних умовах доцільно
розглянути, як різні типи мережевих пакетів обробляються системою безпеки. Нижче
наведено три типові сценарії потоків трафіку через пристрій Cisco FTD.
Сценарій 1: Доступ користувача до дозволеного веб-ресурсу (Standard
Web Traffic)
Цей сценарій ілюструє типовий "дозволений" потік трафіку від внутрішнього
користувача до зовнішнього веб-сервера.
Потік обробки:
Надходження пакету (LINA): Вхідний пакет від користувача надходить на
внутрішній інтерфейс NGFW. Платформа LINA (Linux for Network Appliances)
виконує базовий stateful огляд (перевірка стану сесії, маршрутизація, NAT).
Передача до SNORT: LINA перенаправляє потік даних до SNORT для глибокої
інспекції, оскільки політика доступу (Access Control Policy) вимагає перевірки на рівні
додатків та загроз.
Ідентифікація додатка: Платформа SNORT ідентифікує трафік як "HTTP" або
"HTTPS" (наприклад, веб-браузинг на example.com), незалежно від
використовуваного порту.
Фільтрація URL та контенту: Застосовуються правила фільтрації URL-адрес та
веб-контенту. Якщо категорія ресурсу дозволена і він не входить до списку шкідливих
доменів, трафік продовжує обробку.
Інспекція IPS/AMP: Трафік сканується на наявність відомих вразливостей,
сигнатур атак та шкідливого ПЗ (Advanced Malware Protection). Оскільки загроз не
виявлено, SNORT повертає пакет LINA.
Вихід пакету: LINA застосовує NAT (Network Address Translation) і відправляє
пакет до Інтернету.
Результат: Трафік дозволено. Створюються записи Syslog про успішне
встановлення сесії та відсутність загроз.
Арк.
мБІ41.025.311.248 ПЗ 34
Змн. Арк. № докум. Підпис Дата
Сценарій 2: Блокування шкідливого програмного забезпечення (Malware
Detection)
Цей сценарій демонструє проактивну роль NGFW у запобіганні загрозам, коли
користувач намагається завантажити підозрілий файл.
Потік обробки:
Надходження та ідентифікація: Трафік проходить через LINA та
ідентифікується SNORT як передача файлу (наприклад, EXE-файл через HTTP).
Перевірка репутації AMP: NGFW перевіряє хеш файлу через хмарний сервіс
Cisco Talos (AMP Cloud Lookup).
Виявлення загрози: Хмарний сервіс визначає, що файл є відомим шкідливим
ПЗ або має низьку репутацію.
Блокування: NGFW негайно перериває потік трафіку та блокує передачу файлу
до внутрішньої мережі.
Логування: Генерується критичне сповіщення про виявлення шкідливого ПЗ,
яке відправляється на Firepower Management Center (FMC) та SIEM-систему.
Результат: Трафік заблоковано. Загрозу нейтралізовано до її потрапляння в
мережу.
Сценарій 3: Встановлення захищеного віддаленого доступу VPN (Remote
Access VPN)
Цей сценарій описує не потік даних, а процес встановлення безпечного тунелю
між віддаленим клієнтом (наприклад, Cisco AnyConnect) і NGFW.
Потік обробки:
Запит на підключення: Клієнт ініціює з'єднання (наприклад, через SSL/TLS або
IKEv2) до зовнішнього інтерфейсу NGFW.
Обробка LINA (VPN Head-end): Рушій LINA відповідає за обробку VPN-
запитів, оскільки IPsec та SSL VPN є функціями мережевого рівня.
Арк.
мБІ41.025.311.248 ПЗ 35
Змн. Арк. № докум. Підпис Дата
Аутентифікація: NGFW перевіряє облікові дані користувача (логін/пароль,
сертифікат) через інтеграцію з зовнішнім сервером (наприклад, Active Directory,
RADIUS або Cisco ISE).
Встановлення тунелю: Після успішної аутентифікації LINA встановлює
зашифрований тунель та видає клієнту внутрішню IP-адресу.
Інспекція трафіку всередині тунелю: Весь подальший трафік, що проходить
через тунель, розшифровується LINA, а потім повторно передається до SNORT для
інспекції загроз та контролю додатків, як у Сценарії 1.
Результат: Встановлено захищений, зашифрований тунель, і весь трафік
всередині нього підлягає повній інспекції NGFW.
Ці приклади ілюструють багатошаровий підхід до безпеки, який забезпечує
NGFW, поєднуючи функції традиційного фаєрволу з глибоким аналізом контенту та
додатків.
Висновки
Розглянуто архітектуру Cisco NGFW, основні функціональні можливості,
засоби управління та інтеграцію із зовнішніми системами. NGFW забезпечує
багаторівневий захист мережі, об’єднуючи функції ASA та Firepower Threat Defense,
підтримує сучасні стандарти безпеки та відповідає вимогам корпоративних та
нормативних документів. Це створює міцну основу для впровадження комплексної
системи захисту мережі в умовах сучасних кіберзагроз.
Арк.
мБІ41.025.311.248 ПЗ 36
Змн. Арк. № докум. Підпис Дата
РОЗДІЛ 3. РОЗРОБКА КОМПЛЕКСНОЇ СИСТЕМИ ЗАХИСТУ МЕРЕЖІ
4.1. 3.1. Постановка завдання: вимоги до безпеки корпоративної мережі.
3.2. Проєктування архітектури системи захисту з Cisco NGFW.
3.3. Розробка політик доступу та правил фільтрації.
3.4. Реалізація засобів захисту від типових атак (DoS/DDoS, SQL-ін’єкції, brute-force).
3.5. Організація моніторингу та інцидент-менеджменту.
3.1. Постановка завдання: вимоги до безпеки корпоративної мережі
Сучасні корпоративні мережі характеризуються високим рівнем складності та
інтенсивним обміном інформацією. Основним завданням ІТ-безпеки є забезпечення
конфіденційності, цілісності та доступності даних, а також захист від внутрішніх та
зовнішніх загроз.
Для розробки комплексної системи захисту на базі Cisco NGFW необхідно
визначити ключові вимоги до безпеки корпоративної мережі[16-18]:
1. Контроль доступу до ресурсів
Ідентифікація користувачів та пристроїв;
Розмежування прав доступу за ролями;
Забезпечення політик Zero Trust у критичних сегментах мережі.
2. Захист від мережевих атак
Попередження DoS/DDoS атак;
Захист від атак на рівні прикладного шару (SQL-ін’єкції, XSS);
Захист від підбору паролів (brute-force).
3. Моніторинг та реагування
Постійний моніторинг мережевого трафіку;
Інтеграція з системами SIEM (Security Information and Event Management)
[2-6];
Швидке виявлення та реагування на інциденти безпеки.
4. Забезпечення відповідності стандартам
Арк.
мБІ41.025.311.248 ПЗ 37
Змн. Арк. № докум. Підпис Дата
Відповідність ISO/IEC 27001, NIST, GDPR;
Документування політик та процедур безпеки.
5. Масштабованість та управління
Централізоване управління NGFW;
Можливість швидкого розширення мережевої інфраструктури без втрати
контролю безпеки.
3.2. Проєктування архітектури системи захисту з Cisco NGFW
Архітектура системи захисту будується на принципах багаторівневого захисту
(Defense in Depth). Основними компонентами архітектури є:
1. Мережевий рівень – NGFW встановлюється на периметрі та між
внутрішніми сегментами.
2. Рівень контролю доступу – політики доступу на основі користувачів,
груп та ролей.
3. Рівень захисту від атак – інтегровані модулі IPS/IDS, антивірусні та
антиспам-фільтри.
4. Рівень моніторингу та аналітики – центральна консоль управління,
інтеграція з SIEM та журналювання подій.
На рисунку 3.1 показана архітектура комплексної системи захисту мережі з
використанням Cisco NGFW
Арк.
мБІ41.025.311.248 ПЗ 38
Змн. Арк. № докум. Підпис Дата
Рис 3.1 – Архітектура комплексної системи захисту мережі
Складові наведеної архітектури виконують такі функції:
NGFW контролює весь вхідний та вихідний трафік;
DMZ ізольовано від внутрішньої мережі для безпечного доступу
зовнішніх користувачів;
Критичні сервери захищені внутрішніми політиками доступу;
Центральний моніторинг дозволяє своєчасно реагувати на інциденти.
Арк.
мБІ41.025.311.248 ПЗ 39
Змн. Арк. № докум. Підпис Дата
3.3. Розробка політик доступу та правил фільтрації
У процесі побудови комплексної системи захисту мережі одним з ключових
етапів є розробка політик доступу (Access Control Policies) та правил фільтрації
трафіку. Cisco NGFW, зокрема Firepower Threat Defense (FTD) під управлінням FMC,
забезпечує багаторівневу перевірку трафіку — від традиційного мережевого
фільтрування до глибокої інспекції пакетів із використанням IPS, AMP та URL-
фільтрації.
Основна мета створення політик — забезпечити мінімально необхідні права для
кожного сегмента мережі, обмежити доступ до критичних ресурсів, а також
контролювати доступ до зовнішніх сервісів.
В Cisco NGFW рекомендується дотримуються принципів побудови політик
доступу за допомогою таких механізмів:
Access Control Policy (ACP). Містить набір правил, що визначають, який
трафік дозволено або заборонено, а також які механізми додаткової інспекції
застосовуються.
Security Zones. Поділ інтерфейсів на логічні зони:
Outside — Інтернет
DMZ — демілітаризована зона
Inside — корпоративна мережа
VPN — віддалені користувачі
Application Filtering (App-ID). Дозволяє обмежувати трафік за
конкретними застосунками: SSH, RDP, Webex, YouTube тощо.
URL Filtering. Фільтрація доступу до веб-категорій: соцмережі, реклама,
шкідливі сайти.
IPS Policy. Запобігання вторгненням, виявлення аномалій та атак.
Layer 7 контроль (App-ID). NGFW аналізує трафік на рівні додатків, що
дає можливість: дозволяти лише робочі сервіси (HTTPS, SMTP, DNS), блокувати
небажані додатки (торенти, проксі, анонімайзери).
Арк.
мБІ41.025.311.248 ПЗ 40
Змн. Арк. № докум. Підпис Дата
Інтеграція з IPS / AMP / URL Filtering Це забезпечує забезпечують:
виявлення вторгнень, аналіз шкідливого ПЗ, блокування небезпечних або небажаних
категорій сайтів.
Типова політика складається з елементів наведених в таблиці 3.1
Таблиця 3.1 Структура політик FTD у FMC
Компонент Опис
Access Control Policy Головна політика, де визначаються дозволи/заборони
(ACP) трафіку
Security Intelligence (SI) Блокування IP/URL/доменів зі списків репутацій
IPS Policy (NGIPS) Виявлення загроз на рівні додатків та протоколів
Malware & File Policy AMP-перевірка файлів
URL Filtering Керування доступом до веб-категорій
Побудова політики доступу
Нижче наведено приклад розробленої політики для трирівневої корпоративної
мережі (Internet, DMZ, LAN, рис. 3.2):
Рис. 3.2 Політики доступу
Арк.
мБІ41.025.311.248 ПЗ 41
Змн. Арк. № докум. Підпис Дата
Internet → DMZ
LAN → DMZ
LAN → Internet
VPN → LAN
Заборона між LAN-сегментами
Загальна структура політики:
Правила для критичних сервісів у DMZ
Доступ користувачів LAN до Інтернету
Обмеження та заборони
IPS-інспекція
URL-фільтрація
Політика для VPN-користувачів
Приклади лістингів політик (FTD CLI / FMC Equivalent)
1. Створення зон безпеки
firewall(config)# zone security INSIDE
firewall(config)# zone security OUTSIDE
firewall(config)# zone security DMZ
firewall(config)# zone security VPN
2. Прив’язка інтерфейсів до зон
firewall(config)# interface gigabitethernet1/1
firewall(config-if)# zone-member security OUTSIDE
firewall(config)# interface gigabitethernet1/2
firewall(config-if)# zone-member security DMZ
firewall(config)# interface gigabitethernet1/3
firewall(config-if)# zone-member security INSIDE
3.Публікація веб-сервера в DMZ
object network WEB-SERVER
host 192.168.10.10
nat (dmz,outside) static interface service tcp 80 80
4. Створення Access Control Policy (через FMC)
Арк.
мБІ41.025.311.248 ПЗ 42
Змн. Арк. № докум. Підпис Дата
Приклад правила №1: Доступ до веб-сервера у DMZ
Вимоги: LAN → DMZ: дозволити доступ до корпоративного веб-сервера.
Internet → DMZ: дозволити лише HTTPS.
DMZ → LAN: заборонено (крім логування та резервного копіювання).
Rule Name: Allow_DMZ_Web
Action: Allow
Source Zone: OUTSIDE
Destination Zone: DMZ
Destination: Web-Server (192.168.10.10)
Applications: HTTP, HTTPS
IPS: Balanced Security and Connectivity
Logging: Enabled at End of Connection
Приклад правила №2: Доступ LAN → Internet
Дозволяється: HTTP/HTTPS, DNS, NTP, Microsoft Office 365 / Google Services (за потреби)
Rule Name: LAN_to_Internet
Action: Allow
Source Zone: INSIDE
Destination Zone: OUTSIDE
Applications: Web Browsing, DNS, NTP
URL Categories: Allow business-related, block adult/malware
File Policy: Malware Cloud Lookup Enabled
IPS: Connectivity over Security
Приклад правила №3: Заборона доступу між сегментами LAN
Rule Name: Block_InterLAN
Action: Block
Source Zone: INSIDE
Destination Zone: INSIDE
Logging: At Beginning of Connection
Comment: Prevent lateral movement
Приклад правила №4: VPN-доступ до внутрішніх ресурсів
Rule Name: VPN_to_LAN
Action: Allow
Source Zone: VPN
Destination Zone: INSIDE
Applications: RDP, SMB, SSH
IPS: Balanced
Приклад правила №5: Блокування небажаних додатків
Rule Name: Block_Apps
Action: Block
Applications: BitTorrent, PS4-Networking, TOR
Logging: At Beginning of Connection
Дозвіл лише HTTPS з Інтернету до DMZ
access-list ACL_OUTSIDE extended permit tcp any host 203.0.113.20 eq 443
access-group ACL_OUTSIDE in interface outside
Арк.
мБІ41.025.311.248 ПЗ 43
Змн. Арк. № докум. Підпис Дата
Налаштування NAT
FTD використовує автоматичний та ручний NAT. Приклад:
Публікація веб-сервера у DMZ
object network WEB-SERVER
host 192.168.10.10
nat (DMZ,OUTSIDE) static 203.0.113.10 service tcp 80 80
Динамічний NAT для користувачів LAN
object network LAN-NET
subnet 192.168.1.0 255.255.255.0
nat (INSIDE,OUTSIDE) dynamic interface
Налаштування RA-VPN (ASA Example)
NGFW може забезпечувати: RA-VPN (AnyConnect), Site-to-Site VPN.
Політика доступу: VPN-користувачі можуть отримати доступ лише до:
файлового сервера, корпоративної CRM, системи пошти.
webvpn
enable outside
anyconnect image disk0:/anyconnect-win-4.x.x.pkg 1
tunnel-group VPN-USERS type remote-access
tunnel-group VPN-USERS general-attributes
address-pool VPN_POOL
default-group-policy VPN_POLICY
Інтеграція IPS-політик
IPS Policy: Balanced Security and Connectivity
Inspection Mode: Inline
SSL Policy: Decrypt Known-Bad, Monitor All
File Policy: Block Executables from Unknown Sources
Лістинг правил IPS (Snort 3, FMC Example)
Увімкнення NGIPS для HTTP трафіку
alert http any any -> any any (
msg:"Suspicious HTTP Traffic Detected";
flow:established,to_server;
content:"cmd.exe"; nocase;
sid:1002001; rev:1;
)
Арк.
мБІ41.025.311.248 ПЗ 44
Змн. Арк. № докум. Підпис Дата
Фільтрація файлів (AMP File Policy Example)
Allow clean files, block malware, inspect portable executables (PE):
Rule 1: Block Malware
Rule 2: Detect Executables (PE, ELF)
Rule 3: Allow Documents
Результати впровадження політики
В результаті застосування розроблених правил мають працювати наступні
обмеження:
DMZ ізольовано, доступ лише за необхідними службами.
LAN-сегменти сегментовані, що скорочує ризики горизонтального
переміщення.
VPN користувачі мають обмежений і контрольований доступ.
IPS блокує типові загрози (SQLi, DoS, Command Injection).
URL фільтрація зменшує ризик доступу до шкідливих сайтів.
Файл-політики (AMP) запобігають завантаженню заражених файлів.
Таким чином розроблені політики доступу та правила фільтрації забезпечують
комплексний захист корпоративної мережі, включаючи: сегментацію та контроль
між зонами; глибоку інспекцію трафіку (NGIPS + Application Layer control); аналіз
шкідливого ПЗ та URL-фільтрацію; захист від вторгнень; безпечний доступ VPN-
користувачів; централізоване управління через FMC.
3.4. Реалізація засобів захисту від типових атак
Наведений опис комплексу заходів щодо забезпечення стійкого захисту
корпоративної мережі від широкого спектра сучасних кібератак. Cisco Firepower
Threat Defense (FTD), інтегрований з Firepower Management Center (FMC), забезпечує
механізми виявлення, блокування та аналізу інцидентів на різних рівнях моделі OSI.
Розглянемо основні типи атак та засоби протидії їм у контексті впровадження
Cisco NGFW.
Арк.
мБІ41.025.311.248 ПЗ 45
Змн. Арк. № докум. Підпис Дата
Захист від мережевих атак (DoS/DDoS, сканування, фрагментація)
Серед типовх мережевих атак можна виділити: Flood-атаки (SYN Flood, UDP
Flood, ICMP Flood); Network scanning (Nmap, masscan); Port scanning; Фрагментація
пакетів (Teardrop, Overlap Fragment); Spoofing (підміна IP-адрес).
Cisco FTD може забезпечити наступні засоби захисту від вище перерахованих
атак (рис .3.3):
Rate-based протекція (обмеження швидкості трафіку)
DoS Protection в Access Control Policy
Inspection → Network Analysis Policies (NAP)
Anti-fragmentation engine
Верифікація TCP-сесій (Stateful Inspection)
Рис. 3.3 Типові вектори атак та засоби захисту FTD
Арк.
мБІ41.025.311.248 ПЗ 46
Змн. Арк. № докум. Підпис Дата
Приклад політики для блокування сканування портів
FMC → Policies → Intrusion Policies → Rules:
Rule: "ET SCAN Nmap Scripting Engine User-Agent Detected"
Action: Drop
Rule: "GPL SCAN SYN scanning"
Action: Drop
Rule: "ET SCAN Masscan scanning activity"
Action: Block
ACL для захисту від IP-spoofing
access-list OUTSIDE-IN extended deny ip 10.0.0.0 255.0.0.0 any
access-list OUTSIDE-IN extended deny ip 172.16.0.0 255.240.0.0 any
access-list OUTSIDE-IN extended deny ip 192.168.0.0 255.255.0.0 any
access-group OUTSIDE-IN in interface outside
Захист від атак на рівні додатків (SQLi, XSS, Command Injection)
Cisco FTD використовує SNORT Engine, який застосовує сигнатурний та
поведінковий аналіз[11-15].
До типових атак рівня додатків можна віднести: SQL Injection, Cross-Site
Scripting, Command Injection, Remote File Inclusion, Directory Traversal
Серед засобів захисту можна виділити:
NGIPS політики (Intrusion Policies)
Application Layer Preprocessor
HTTP/HTTPS inspection
TLS Decryption (для захисту всередині шифрованого трафіку)
Приклад правил SNORT (вбудованих у FTD)
alert tcp any any -> $DMZ_WEB any (msg:"SQL Injection attempt";
content:"select"; nocase; pcre:"/(\%27)|(\')|(\-\-)|(\%23)|(#)/"; sid:1000001; rev:3;)
alert tcp any any -> $DMZ_WEB any (msg:"XSS attempt";
content:"<script>"; nocase; sid:1000002; rev:2;)
Ці правила вже присутні у Cisco Signature Database, але можуть тонко
налаштовуватися.
Арк.
мБІ41.025.311.248 ПЗ 47
Змн. Арк. № докум. Підпис Дата
Захист від шкідливого ПЗ (Malware, Ransomware, Exploits)
Cisco FTD інтегрує технологію Cisco Secure Malware Analytics (AMP), яка має
такі можливості[11-15]:
Аналіз файлів (SHA256, сигнатури, сітинги поведінки)
File trajectory (простеження заражених хостів)
Sandbox-аналіз
Блокування небезпечних файлів у реальному часі
Нижче наведене налаштування політики в FMC (File Policy):
File Policy: "Malware Protection"
File Types: Executables, Archives, Office Docs, PDF
Cloud Lookup: Enabled
Malware Action: Block
Unknown Action: Sandbox + Block
Захист від ботнетів, Command & Control та небажаних доменів
Cisco FTD використовує категоризацію URL та базу Cisco Talos. Такий захист
містить:
Блокування C2-серверів
Виявлення аномально частих DNS-запитів
Блокування шкідливих категорій (Malware Sites, Phishing, Cryptomining)
Нижче наведене налаштування URL-політики:
URL Category: "Malware Sites" → Block
URL Category: "Command-and-Control" → Block
URL Category: "Newly Seen Domains" → Monitor/Block
URL Category: "Cryptomining" → Block
Захист від атак на VPN та віддалений доступ
Серед типових атак на VPN та віддалений доступ можна виділити[2-6]:
Brute-force VPN-паролів
Використання вкрадених облікових даних
MITM через слабкі шифри
Split tunneling атаки
Арк.
мБІ41.025.311.248 ПЗ 48
Змн. Арк. № докум. Підпис Дата
Cisco NGFW містить такі інструменти захисту від атак на VPN та віддалений
доступ: Перевірку користувачів через LDAP/RADIUS/AD, Обов’язкове MFA (Duo,
SAML).
Нижче наведене налаштування, яке стосується заборони слабких шифрів:
crypto ikev2 proposal STRONG
encryption aes-gcm-256 aes-gcm-128
integrity null
prf sha512
group 21 20 19
Моніторинг та реагування на інциденти
FTD + FMC містять інструменти моніторингу та реагування на інциденти:
Eventing (Connection, Intrusion, File, Malware Events)
Correlation Policies
Automatic Response (наприклад, Auto-Block IP)
Приклад налаштування Correlation Rule
Condition:
Event.Type == "Intrusion" AND
Event.Priority == "High" AND
Event.Repeat >= 3 in 60 seconds
Action:
Add to Block List for 24 hours
Висновки до розділу
Cisco NGFW (FTD) забезпечує багаторівневий захист корпоративної мережі від
широкого спектру атак. Завдяки поєднанню LINA (ASA-ядро) та SNORT (NGIPS)
система ефективно протидіє як мережевим загрозам, так і атакам рівня додатків, а
також дозволяє контролювати шкідливий трафік, файли та URL.
Арк.
мБІ41.025.311.248 ПЗ 49
Змн. Арк. № докум. Підпис Дата
3.5. Організація моніторингу та інцидент-менеджменту.
Ефективна робота комплексної системи мережевого захисту неможлива без
впровадження безперервного моніторингу подій безпеки та налагодженого процесу
реагування на інциденти. Cisco NGFW у поєднанні з Firepower Management Center
(FMC) забезпечують централізований збір логів, кореляцію подій, виявлення атак та
автоматизовану реакцію. У цьому підрозділі розглядається організація процесів
моніторингу, обробки інцидентів та взаємодії між компонентами системи.
Моніторинг безпеки виконує такі основні функції:
Безперервний контроль стану мережі: аналіз поведінки трафіку,
виявлення аномалій, контроль активних сесій.
Виявлення загроз у реальному часі: фіксація спроб експлуатації
вразливостей, сканування, ботнет-активності, підозрілих з'єднань.
Оцінка ефективності політик доступу: аналіз пропусків/блокувань,
визначення потреби в оптимізації ACL.
Фіксація історії подій для аудиту: ведення журналів відповідно до вимог
ISO/IEC 27001 та НБУ (за наявності).
Підтримка інцидент-менеджменту: зменшення часу реакції за рахунок
автоматизації.
Таким чином моніторинг формує інформаційну основу для прийняття рішень
щодо подальшої оптимізації системи захисту.
Збір та кореляція подій у Firepower Management Center
FMC забезпечує централізований контроль усіх сенсорів Cisco NGFW та NGIPS.
Основними джерелами інформації є:
Firepower Threat Defense (FTD) – логи мережевого рівня (connection
events), події IPS, URL фільтрації, файли AMP.
Системні журнали (Syslog) – фіксація службових подій, перезавантажень,
змін конфігурації.
NetFlow / Enhanced NetFlow – статистика мережевих потоків.
Арк.
мБІ41.025.311.248 ПЗ 50
Змн. Арк. № докум. Підпис Дата
User Identity Mapping – журналізація доступів користувачів (Active
Directory / LDAP).
Інтеграція з зовнішніми SIEM (Splunk, QRadar, ArcSight) – передача
нормалізованих подій через eStreamer.
FMC в запропонованій системі безпеки буде виконувати: агрегацію подій з
різних FTD, нормалізацію формату даних, кореляцію на основі сигнатур Snort,
поведінкових алгоритмів, геолокації, чорних списків, призначення пріоритетів (Low /
Medium / High / Critical).
Інцидент-менеджмент: життєвий цикл інциденту
Процес реакції на інцидент включає такі етапи:
1. Виявлення. Спрацювання IPS/AMP/URL фільтрації, аномалії у сесіях,
виявлення підозрілого файлу або C2-комунікацій.
2. Аналіз. Перевірка контексту (джерело, напрямок трафіку, порт), визначення
критичності інциденту, звірка з опублікованими CVE.
3. Ізоляція. Автоматичне блокування IP, примусове завершення сесії (TCP reset),
блокування файлу в AMP Cloud.
4. Усунення. Виправлення політик доступу, оновлення сигнатур Snort/AMP,
патчування вразливих систем.
5. Відновлення. Перевірка працездатності сервісів, повернення сегментів у
нормальний режим роботи.
6. Звітність та вдосконалення. Оформлення інциденту, оновлення плана
реагування (IRP), аналіз трендів.
На рисунку 3.4 зображено процеси інцидент-менеджменту
Арк.
мБІ41.025.311.248 ПЗ 51
Змн. Арк. № докум. Підпис Дата
Рис. 3.4 Процеси інцидент-менеджменту
Візуалізація моніторингу у FMC
FMC надає набір інструментів для аналізу:
Dashboards – загальна картина загроз (Top Applications, Intrusion Events,
Malware Events).
Connection Events – детальний журнал мережевих з’єднань.
Intrusion Events – показ усіх спрацювань IPS Snort.
File and Malware Events (AMP) – аналіз файлів, переданих через NGFW.
URL Logs – журнал веб-звернень, категоризація сайтів.
Host Profiles – інформація про ОС, порти, сервіси в мережі.
Ці можливості дозволяють оперативно реагувати на загрози та формувати
повноцінний інцидент-менеджмент.
Арк.
мБІ41.025.311.248 ПЗ 52
Змн. Арк. № докум. Підпис Дата
Приклад інтеграції FTD з SIEM (Syslog + eStreamer)
Приклад налаштування Syslog на FTD (CLI):
configure logging host-management 192.168.10.50 protocol tcp port 514
configure logging timestamp
configure logging facility local4
configure logging trap informational
Приклад налаштування eStreamer на FMC
system estreamer certificate regenerate
system estreamer enable
system estreamer client add siem01 ip 192.168.10.50 events intrusion connection malware
Автоматизовані реакції (Cisco Security Intelligence)
Cisco NGFW дозволяє блокувати загрози в автоматичному режимі:
Blocking by Security Intelligence (SI)
IP reputation lists
доменні чорні списки (DNS Blacklist)
File Reputation (AMP)
quarantine
cloud verdict
Dynamic Access Control
автоматичне додавання правил на певний час.
Організація SOC-рівня моніторингу
У великих організаціях Cisco NGFW може інтегруватися у SOC (Security
Operations Center), забезпечуючи рівні оповіщення (Tier 1–Tier 3), автоматизовані
Playbooks, аналіз загроз через Cisco Talos Intelligence, використання MITRE ATT&CK
матриці для класифікації атак.
Формування KPI
KPI (Key Performance Indicators) — це ключові показники ефективності, які
використовуються для вимірювання результативності процесів, систем та команд. У
Арк.
мБІ41.025.311.248 ПЗ 53
Змн. Арк. № докум. Підпис Дата
контексті мережевої безпеки та функціонування комплексної системи захисту KPI
відіграють важливу роль у моніторингу, оцінці та оптимізації роботи інфраструктури.
Формування KPI — це системний процес визначення кількісних та якісних
метрик, що дозволяють об’єктивно оцінити ефективність роботи NGFW, процесів
інцидент-менеджменту, систем моніторингу та загальної безпеки мережі.
У контексті Cisco NGFW KPI використовуються для:
Оцінки якості роботи засобів захисту. А саме наскільки ефективно
фаєрвол блокує атаки, чи справляються IPS/AMP із загрозами, який рівень
навантаження на NGFW
Оцінки роботи мережевої інфраструктури. А саме стабільність каналів,
пропускна здатність, рівень втрат пакетів і затримки
Моніторингу процесів безпеки. Що показує час виявлення інцидентів, час
реагування SOC, швидкість відновлення після атак
Верифікації ефективності впроваджених політик. Для аналазу наскільки
коректно працюють правила доступу, кількість хибних спрацювань, наявність
заблокованих легітимних сервісів
Запропонована система безпеки KPI для інцидент-менеджменту може
забезпечувати показники [2-6], які наведені в таблиці 3.2
Таблиця 3.2 KPI для інцидент-менеджменту
Показник Формула
MTTD (Mean Time to Detect) Середній час від появи загрози до виявлення
MTTR (Mean Time to Respond) Час між виявленням і реагуванням
MTTF (Mean Time to Fix) Час повного усунення інциденту
% інцидентів закритих у строк Кількість закритих в SLA / загальна кількість
% інцидентів високого ризику Кількість критичних інцидентів / загальна кількість
Процес формування KPI включає:
Збір вимог — що треба вимірювати? (Напр. продуктивність, безпека,
стабільність)
Арк.
мБІ41.025.311.248 ПЗ 54
Змн. Арк. № докум. Підпис Дата
Визначення KPI — конкретні вимірювані величини.
Встановлення цільових значень (Threshold).
Організація системи моніторингу (FMC, SIEM, SNMP).
Регулярний аналіз KPI.
Корекція політик безпеки на основі KPI.
На рисунку 3.5 показана послідовність циклів для визначення ключових
показників ефективності (KPI).
Рис. 3.5 Схема циклу KPI
В таблиці 3.3 наведені KPI ефективності комплексної системи захисту мережі
на основі Cisco NGFW.
Арк.
мБІ41.025.311.248 ПЗ 55
Змн. Арк. № докум. Підпис Дата
Таблиця 3.3 – KPI ефективності комплексної системи захисту мережі на основі Cisco
NGFW
Норма /
Джерело
№ KPI Опис цільове
даних (Cisco)
значення
Mean Time to Середній час виявлення FMC →
1 < 5 хв
Detect (MTTD) інциденту Incidents
Mean Time to Середній час реагування на SOC reports,
2 < 30 хв
Respond (MTTR) інцидент FMC Tickets
Blocked Attacks Частка заблокованих атак від FMC →
3 ≥ 95%
Ratio загальної кількості Intrusion Events
Malware FMC →
Рівень виявлення шкідливого
4 Detection Rate ≥ 98% Malware
ПЗ
(AMP) Analytics
FMC →
False Positive Відсоток хибних спрацювань
5 < 2% Correlation
Rate (IPS) IPS
Events
Firewall
Рівень використання FTD Device
6 Throughput < 70%
пропускної здатності NGFW Metrics
Usage
Device
Завантаженість процесора
7 CPU Load FTD 20–60% Performance
NGFW
Monitoring
URL Filtering Процент заблокованих URL Filtering
8 ≥ 95%
Efficiency шкідливих URL Logs
VPN Sessions /
9 VPN Availability Доступність VPN сервісу ≥ 99.9%
Uptime
Configuration FMC →
Відповідність конфігурації
10 Compliance ≥ 90% Compliance
вимогам політик
Score Reports
Patch &
Затримка оновлення сигнатур
11 Signature Update < 24 год Update Logs
Snort/AMP
Delay
DMZ Service Monitoring
12 Доступність сервісів у DMZ ≥ 99.5%
Availability tools
Арк.
мБІ41.025.311.248 ПЗ 56
Змн. Арк. № докум. Підпис Дата
Норма /
Джерело
№ KPI Опис цільове
даних (Cisco)
значення
User Access
Кількість порушень політик ≤ 5 на Access Control
13 Violation
доступу тиждень Logs
Attempts
Encrypted
Частка TLS-трафіку, який FMC → TLS
14 Traffic Inspection ≥ 80%
пройшов інспекцію Statistics
Rate
Співвідношення
Traffic Allowed Аналіз FMC → Traffic
15 дозволеного/заблокованого
vs Blocked Ratio трендів Summary
трафіку
3.6. Лабораторні дослідження
Лабораторе дослідження проводилось у декілька етапів:
1. Підготовка лабораторного середовища полягає у виборі платформи для
тестування:
o фізичне обладнання (Cisco ASA / Firepower 1000/2100),
o або віртуальні рішення (Cisco Firepower Threat Defense Virtual, Cisco
ASA Virtual).
2. Розгортання корпоративної мережі з сегментацією згідно схем наведених на
рисунку 3.6:
o внутрішня мережа (LAN),
o демілітаризована зона (DMZ),
o доступ до Інтернету,
o віддалений доступ (VPN).
Арк.
мБІ41.025.311.248 ПЗ 57
Змн. Арк. № докум. Підпис Дата
Рис. 3.6 Схеми (DMZ, ACL, VPN, SIEM)
3. Інтеграція з системою управління Cisco Firepower Management Center
(FMC) (рис 3.7)
Рис. 3.7 Схеми інтеграції з Cisco Firepower Management Center
Арк.
мБІ41.025.311.248 ПЗ 58
Змн. Арк. № докум. Підпис Дата
3. Базова конфігурація Cisco NGFW
Налаштування інтерфейсів, зон безпеки та маршрутизації.
Визначення політик доступу між сегментами мережі.
Створення облікових записів адміністраторів з різними рівнями доступу.
Активація ліцензій (URL Filtering, IPS, AMP).
4. Реалізація політик безпеки
Налаштування Access Control Policy (ACL) для контролю доступу до
ресурсів.
Реалізація контролю застосунків (Application Control).
Впровадження URL-фільтрації (обмеження доступу до категорій сайтів).
Активація SSL-інспекції для аналізу зашифрованого трафіку.
Впровадження антивірусного захисту та AMP (Advanced Malware
Protection).
5. Захист від атак
Включення та налаштування IPS-політик (Intrusion Prevention System).
Тестування блокування:
o DoS/DDoS-атак (імітація через утиліти hping3, LOIC).
o Brute-force (наприклад, атака на SSH/HTTP).
o SQL-ін’єкцій (через sqlmap).
o Сканування портів (nmap).
o Експлуатації відомих уразливостей (Metasploit).
Аналіз логів в FMC після атак.
6. Захист від шкідливого ПЗ
Завантаження та запуск тестових зразків (наприклад, EICAR-тест).
Перевірка роботи Cisco AMP на виявлення шкідливих файлів.
Аналіз інцидентів у FMC.
Арк.
мБІ41.025.311.248 ПЗ 59
Змн. Арк. № докум. Підпис Дата
7. Організація безпечного віддаленого доступу
Налаштування VPN (SSL VPN або IPsec VPN).
Перевірка доступу користувачів із різними політиками доступу.
Тестування сценарію компрометації облікових даних та перевірка
захисту.
8. Моніторинг та інцидент-менеджмент
Налаштування збору логів у Cisco Firepower Management Center (FMC).
Інтеграція з SIEM-системою (за можливості).
Аналіз інцидентів та формування звітів про атаки.
Демонстрація реакції системи на інцидент (блокування, сповіщення).
9. Оцінка ефективності
Визначення показників ефективності (KPI):
o відсоток виявлених атак,
o середній час реагування,
o вплив на продуктивність мережі.
Порівняння результатів роботи Cisco NGFW із класичними методами
(наприклад, ACL без IPS).
Формування висновків щодо доцільності впровадження в корпоративних
мережах.
У результаті було отримано:
схема мережі (рис. 3.8),
конфігурації Cisco NGFW (дивись додаток А),
змодельовані атаки,
логи та звіти з FMC,
порівняльний аналіз ефективності.
Арк.
мБІ41.025.311.248 ПЗ 60
Змн. Арк. № докум. Підпис Дата
INTERNET
|
+-------------+
| Зловмисник |
+-------------+
|
---------------
|
+----------------+
| Cisco NGFW |
| (ASA/Firepower)|
+----------------+
/ | \
/ | \
+---------+ +---------+ +-------------+
| LAN | | DMZ | | VPN |
|користува| | веб/ftp | | віддалені |
|чі | | пошта | | співробітн. |
+---------+ +---------+ +-------------+
|
+----------------+
| FMC Server |
+----------------+
рис. 3.8 Розроблена схема мережі
Отримана схема лабораторної мережі для практичної частини має наступний
опис
1. Сегменти мережі:
LAN (внутрішня мережа) – користувачі компанії, робочі станції.
DMZ (демілітаризована зона) – сервери, доступні з Інтернету (веб-
сервер, поштовий сервер, FTP).
Internet – зловмисники / зовнішні користувачі.
VPN-клієнти – віддалені співробітники, які підключаються до
корпоративної мережі.
2. Cisco NGFW (ASA / Firepower) розташовується на кордоні між
корпоративною мережею і Інтернетом.
Він виконує:
o контроль доступу,
o IPS/IDS,
o AMP (захист від шкідливого ПЗ),
o URL/SSL фільтрацію,
Арк.
мБІ41.025.311.248 ПЗ 61
Змн. Арк. № докум. Підпис Дата
o організацію VPN-доступу.
3. Firepower Management Center (FMC) – сервер для централізованого
управління політиками та моніторингу.
Експерименти, які проводилися на цій схемі:
LAN → Internet: тест політик доступу, URL/SSL фільтрація.
Internet → DMZ: атаки на веб-сервер (SQL injection, DoS) → перевірка IPS.
Internet → LAN: спроби проникнення (nmap, brute-force) → перевірка
блокувань.
VPN → LAN: тест безпечного віддаленого доступу.
AMP/AV: завантаження файлів із шкідливим ПЗ → перевірка виявлення.
ВИСНОВКИ
Арк.
мБІ41.025.311.248 ПЗ 62
Змн. Арк. № докум. Підпис Дата
У ході виконання роботи було проведено комплексне дослідження сучасних
технологій та підходів до забезпечення мережевої безпеки з використанням фаєрволів
нового покоління Cisco NGFW. Виконано глибокий аналіз архітектури корпоративної
мережі, визначено ключові вектори загроз та слабкі місця у традиційних підходах до
фільтрації трафіку.
Було побудовано лабораторне середовище, яке моделює реальну корпоративну
інфраструктуру із сегментацією (LAN, DMZ, VPN, доступ до Інтернету),
інтегрованою із Cisco Firepower Management Center (FMC). На основі цього
середовища реалізовано політики доступу, сигнатурний та поведінковий аналіз
трафіку, а також механізми виявлення та блокування типових атак.
Дослідження показало, що застосування Cisco NGFW у поєднанні з
централізованим керуванням FMC та SIEM-системою суттєво підвищує рівень
захищеності мережі, забезпечує гнучкість у побудові політик доступу та дозволяє
оперативно реагувати на інциденти завдяки інтегрованим механізмам логування та
кореляції подій.
Наукова новизна:
Сформовано комплексну мережеву модель, яка поєднує інструменти
класичного адміністрування та сучасні механізми NGFW на основі глибокої інспекції
пакетів (DPI), контекстної фільтрації та аналізу поведінки.
Розроблено структуровану логічну модель політик доступу, що охоплює
взаємодію сегментів мережі та прив’язується до ризик-орієнтованого підходу.
Проведено класифікацію типових атак у контексті NGFW, визначаючи способи
їх виявлення та блокування за допомогою FTD/FMC.
Створено модель KPI для оцінки ефективності системи безпеки, яка дозволяє
кількісно вимірювати рівень захисту, операційну стабільність та швидкість
реагування на інциденти.
Практична новизна:
Арк.
мБІ41.025.311.248 ПЗ 63
Змн. Арк. № докум. Підпис Дата
Реалізовано практичні конфігурації політик Cisco FTD, включаючи Access
Control Policy, IPS Policy, SSL Decryption, Security Intelligence, та інші.
Побудовано операційну схему інцидент-менеджменту, адаптовану під NGFW-
орієнтоване середовище та інтеграцію з SIEM.
Продемонстровано конкретні приклади блокування атак (DoS, Malware, Scan,
Exploit attempt) на реальній тестовій топології.
Впроваджено тестовий цикл управління KPI, що включає збір, аналіз та
оптимізацію параметрів безпеки.
Рекомендації щодо використання оптимізованих алгоритмів у корпоративних та
операторських мережах
Використання багаторівневої сегментації
Рекомендовано будувати мережу за принципом Zero Trust, створюючи окремі
сегменти навіть у межах одного офісного LAN, і застосовувати мікросегментацію.
Упровадження поведінкового аналізу та машинного навчання (Cisco SecureX,
FMC Machine Learning)
Це дозволить виявляти нетипові шаблони трафіку та атаки нульового дня,
недоступні для сигнатурних систем.
Оптимізація Access Control Policy через rule hit-rate, time-based rules та object-
grouping
Зменшення складності політик підвищує продуктивність NGFW і зменшує
ризики помилок.
Використання Security Intelligence (SI) для попереднього блокування шкідливих
IP/URL
Рекомендовано регулярно оновлювати списки Threat Intelligence Feeds, що
здатні блокувати до 30–50% атак ще до їх виконання.
Упровадження шифрування з SSL Decryption
Оскільки понад 80% трафіку сьогодні зашифровано, NGFW повинні
здійснювати TLS inspection для повноцінної фільтрації.
Арк.
мБІ41.025.311.248 ПЗ 64
Змн. Арк. № докум. Підпис Дата
Кореляція подій у SIEM та автоматизація реагування (SOAR)
Для операторських мереж рекомендовано застосовувати автоматичні плейбуки
реагування: блокування IP, ізоляція сегментів, quarantine-mode.
Регулярна оцінка ефективності через KPI-модель
До KPI слід включати:
час реагування на інцидент (MTTR),
рівень блокування загроз,
навантаження на NGFW,
якість журналювання,
відсоток успішно виявлених атак.
Періодичний аудит політик відповідно до NIST, ISO 27001 та рекомендацій
Cisco
Це гарантує актуальність налаштувань та високу стійкість до нових загроз.
Арк.
мБІ41.025.311.248 ПЗ 65
Змн. Арк. № докум. Підпис Дата
Літературні джерела
Нормативні документи
1. ДСТУ 8302:2015. Бібліографічне посилання. Загальні положення та правила
складання. – Київ: ДП «УкрНДНЦ», 2016. – 16 c.
2. ISO/IEC 27001:2022 Information Security Management Systems — Requirements.
Geneva: ISO, 2022.
3. ISO/IEC 27002:2022 Information security, cybersecurity and privacy protection —
Information security controls. Geneva: ISO, 2022.
2. Книги та монографії
4. Stallings, W. Network Security Essentials: Applications and Standards. 7th ed. –
Pearson, 2023. – 648 p.
5. Scarfone, K., Mell, P. Guide to Intrusion Detection and Prevention Systems (IDPS).
– NIST Special Publication 800-94. – Gaithersburg: NIST, 2021.
6. Bejtlich, R. The Practice of Network Security Monitoring. – No Starch Press, 2020. –
376 p.
3. Статті та наукові роботи
7. Anderson, B. Next-Generation Firewall Architectures: Comparative Analysis and
Trends // Journal of Cybersecurity. – 2023. – Vol. 12, № 4. – P. 55–72.
8. Sharma, R. Deep Packet Inspection and Application Identification in Modern NGFW
Systems // IEEE Security & Privacy. – 2022. – P. 48–57.
9. Novikov, D. Modern Approaches to Corporate Network Protection: NGFW vs
Traditional Firewalls // Cybersecurity Review. – 2021. – № 3. – P. 25–34.
4. Офіційні технічні матеріали виробників
10. Cisco Secure Firewall Threat Defense Configuration Guide. – Cisco Systems. – 2024.
– URL: https://www.cisco.com
Арк.
мБІ41.025.311.248 ПЗ 66
Змн. Арк. № докум. Підпис Дата
11. Cisco Talos Intelligence. Threat Research Reports. – Cisco, 2023. – URL:
https://talosintelligence.com
12. Fortinet FortiGate NGFW Product Datasheet. – Fortinet Inc., 2023. – URL:
https://www.fortinet.com
13. Palo Alto Networks. PA-Series Next-Generation Firewalls Datasheet. – Palo Alto
Networks, 2023. – URL: https://www.paloaltonetworks.com
14. Check Point Quantum Security Gateway Datasheet. – Check Point Software
Technologies, 2023. – URL: https://www.checkpoint.com
5. Електронні джерела
15. Gartner. Magic Quadrant for Network Firewalls. – Gartner Research, 2023. – URL:
https://www.gartner.com
16. ENISA Threat Landscape Report 2023. – European Union Agency for Cybersecurity.
– URL: https://www.enisa.europa.eu
17. CISA Cybersecurity Best Practices. – Cybersecurity and Infrastructure Security
Agency, 2024. – URL: https://www.cisa.gov
18. OWASP Top 10: 2021. – Open Web Application Security Project. – URL:
https://owasp.org
Арк.
мБІ41.025.311.248 ПЗ 67
Змн. Арк. № докум. Підпис Дата
ДОДАТКИ
Арк.
мБІ41.025.311.248 ПЗ 68
Змн. Арк. № докум. Підпис Дата
Додаток А Лістинги налаштувань пристроїв мережевої
безпеки
А.1. Приклад базової конфігурації Cisco ASA / Firepower Threat Defense (FTD)
для периметру
1. Налаштування інтерфейсів
interface GigabitEthernet0/0
nameif outside
security-level 0
ip address 203.0.113.2 255.255.255.0
interface GigabitEthernet0/1
nameif inside
security-level 100
ip address 10.0.0.1 255.255.255.0
interface GigabitEthernet0/2
nameif dmz
security-level 50
ip address 172.16.0.1 255.255.255.0
2. Налаштування маршрутизації
route outside 0.0.0.0 0.0.0.0 203.0.113.1
3. Об’єкти та групи мереж
object network LAN-NET
subnet 10.0.0.0 255.255.255.0
object network DMZ-NET
subnet 172.16.0.0 255.255.255.0
object network WEB-SERVER
host 172.16.0.10
4. NAT (вихід у Інтернет та статичний NAT для DMZ)
4.1. PAT для LAN
object network LAN-NET
nat (inside,outside) dynamic interface
4.2. Статичний NAT для веб-сервера в DMZ
object network WEB-SERVER
nat (dmz,outside) static 203.0.113.100
5. ACL для периметру
access-list OUTSIDE-IN extended permit tcp any host 203.0.113.100 eq 80
access-list OUTSIDE-IN extended permit tcp any host 203.0.113.100 eq 443
access-list OUTSIDE-IN extended deny ip any any log
access-group OUTSIDE-IN in interface outside
А.2. Приклад політики доступів для FTD у FMC
1. Access Control Policy (ACP)
1.1. Правило: Доступ до веб-сервера в DMZ
Rule Name: Allow_HTTP_DMZ
Арк.
мБІ41.025.311.248 ПЗ 69
Змн. Арк. № докум. Підпис Дата
Action: Allow
Source Zones: outside
Destination Zones: dmz
Source Networks: any
Destination Networks: WEB-SERVER
Applications: HTTP, HTTPS
Logging: At End of Connection
1.2. Правило: Заборона доступу до критичних серверів
Rule Name: Block_to_DB
Action: Block
Source Zones: outside, dmz
Destination Zones: inside
Destination Networks: DB-SERVERS
Logging: At Beginning
1.3. Правило: Дозвіл внутрішнього доступу
Rule Name: Inside_LAN_Access
Action: Allow
Source Zones: inside
Destination Zones: inside, dmz, outside
Source Networks: LAN-NET
Applications: any
Logging: None
А.3. IPS/IDS політики
1. Включення Snort-профілю "Balanced Security" у політику
IPS Policy: Balanced Security and Connectivity
Intrusion Rules: Enabled
File Policy: Malware Cloud Lookup Enabled
SSL Policy: Decrypt Known-Bad, Monitor Unknown
2. Приклад специфічного правила IPS
Signature ID: 1:2010935
Name: SQL Injection – UNION SELECT attempt
Action: Drop and Generate Event
Policy: Custom-Corporate-IPS
А.4. Налаштування VPN (Cisco ASA / FTD)
1. IKEv2 Policy
crypto ikev2 policy 10
encryption aes-256
integrity sha256
group 21
prioty 10
2. Тунельний груп (AnyConnect VPN)
tunnel-group REMOTE-VPN type remote-access
tunnel-group REMOTE-VPN general-attributes
default-group-policy VPN-USERS
address-pool VPN-POOL
group-policy VPN-USERS internal
group-policy VPN-USERS attributes
dns-server value 10.0.0.10
vpn-tunnel-protocol ikev2 ssl-client
Арк.
мБІ41.025.311.248 ПЗ 70
Змн. Арк. № докум. Підпис Дата
А.5. Налаштування системи журналювання та моніторингу
1. Syslog на SIEM
logging enable
logging host inside 10.0.50.10
logging trap warnings
service timestamps log datetime msec
2. NetFlow
flow-export destination inside 10.0.50.20 2055
flow-export template timeout-rate 1
А.6. Приклад конфігурації FMC для моніторингу
1. Health Policy
CPU Threshold: 80%
Memory Threshold: 75%
Disk Threshold: 70%
Connection Events Retention: 30 days
А.7. Налаштування сегментації VLAN
vlan 10
name INTERNAL
vlan 20
name DMZ
vlan 30
name MGMT
interface GigabitEthernet0/1
switchport access vlan 10
interface GigabitEthernet0/2
switchport access vlan 20
interface GigabitEthernet0/3
switchport access vlan 30
Арк.
мБІ41.025.311.248 ПЗ 71
Змн. Арк. № докум. Підпис Дата