Зачем изолировать АСУ ТП от корпоративной сети?

АСУ ТП использует специализированные промышленные протоколы (Modbus, Profinet) и, как правило, работает на устаревших ОС без патчей безопасности. Взлом через корпоративную сеть может привести к остановке производства. Межсетевой экран между сегментами — обязательная мера по ГОСТ Р 34.10 и методикам ФСТЭК.

Что такое DMZ и для чего он нужен на предприятии?

Demilitarized Zone — сегмент сети для ресурсов, доступных из интернета (сайт, почта, VPN-шлюз). Они изолированы от внутренней сети — даже при взломе DMZ-сервера атакующий не получит доступ к корпоративным данным.

Чем NGFW отличается от обычного межсетевого экрана?

Next-Generation Firewall включает инспекцию трафика на уровне приложений (DPI), IPS/IDS, антивирусную проверку трафика, контроль пользователей по Active Directory — в отличие от классического пакетного фильтра.

Нужна ли лицензия на ежегодное обновление?

Для поддержки актуальных баз IPS/IDS и антивируса — да. После истечения лицензии базовый Firewall продолжает работать, но сигнатуры не обновляются.

Как поставить NGFW и коммутаторы одним заказом?

Формируем единую спецификацию со всеми позициями, выставляем один счёт с НДС. Лицензии на ПО включаем в тот же счёт или оформляем отдельной строкой по запросу.

Сегментация сети и межсетевой экран Пермь

Производственное предприятие в Перми (металлообработка, 450 сотрудников) провело внутренний аудит информационной безопасности. Выяснилось: корпоративная сеть и сеть АСУ ТП физически разделены, но логически соединены через один коммутатор без каких-либо фильтров. Специалист по ИБ зафиксировал несколько попыток сканирования с корпоративных ПК в адрес контроллеров Siemens S7. Директор по ИТ принял решение о полной сегментации.

Задача клиента

Разделить сеть предприятия на изолированные сегменты: корпоративный офис, АСУ ТП, DMZ для внешних сервисов, гостевой Wi-Fi. Все межсегментные взаимодействия — только через NGFW с политиками по умолчанию «запрещено» и явными разрешениями для конкретных портов и протоколов.

Ограничения и требования

АСУ ТП — физически отдельные коммутаторы промышленного класса, без соединения с корпоративными коммутаторами напрямую.
NGFW — с возможностью SSL-VPN для удалённой работы ИТ-специалистов.
Коммутаторы доступа с PoE+ — для IP-телефонов и точек доступа.
Единый поставщик, один счёт.

Что предложили

NGFW 10G-класса с лицензиями IPS/IDS и SSL-VPN в качестве центрального узла безопасности. Два коммутатора ядра L3 с поддержкой VLAN в конфигурации VRRP-пары — резервирование ядра. Коммутаторы доступа L2 PoE+ 24-портовые для корпоративного офиса (8 шт.). В зону АСУ ТП — 4 промышленных коммутатора на DIN-рейке: они подключены к NGFW через выделенный порт 10G.

DMZ реализована на отдельном интерфейсе NGFW: веб-сервер и почтовый шлюз изолированы от LAN. Гостевой SSID — через четвёртый интерфейс NGFW с ограничением полосы 10 Мбит/с и блокировкой доступа в RFC1918.

Состав поставки по подсистемам

Безопасность: NGFW 10G (1 шт.), лицензии IPS/IDS и SSL-VPN (1 год).
Ядро: коммутаторы L3 24×1G + 4×SFP+ (2 шт.) в паре VRRP.
Доступ офис: коммутаторы L2 24×1G PoE+ (8 шт.).
АСУ ТП: коммутаторы промышленные L2 8×100M + 2×SFP (4 шт.).
Трансиверы: SFP 1G SM 10 км (16 шт.).

Этапы и сроки

День 1–2: аудит существующей топологии, разработка схемы сегментации, счёт.
День 3–9: комплектация и тестирование NGFW с базовыми политиками на стенде.
День 10–11: доставка в Пермь, приёмка.

Результат

После ввода в эксплуатацию сканирование из корпоративной сети в сторону АСУ ТП стало физически невозможным без прохождения через политики NGFW. IPS/IDS зафиксировал и заблокировал три попытки эксплуатации уязвимостей в первые две недели. SSL-VPN обеспечил безопасный доступ для 12 удалённых сотрудников ИТ-службы. Экономия по оборудованию — 12% к смете интегратора.

Почему выбрали нас

Проект требовал поставки разнородного оборудования: NGFW, корпоративных коммутаторов и промышленной серии — от разных производителей. Мы скомплектовали всё в одном заказе и предоставили единый счёт. Это позволило ИТ-директору провести закупку через единую тендерную процедуру.

Цифры проекта носят иллюстративный характер и приведены в обезличенном виде. Наименования заказчика и объекта изменены.

Кейс приведён для примера, данные обезличены. Состав, цены, сроки и экономия носят справочный характер, не являются публичной офертой и не гарантируют аналогичный результат — каждый проект рассчитывается индивидуально, наличие и цены подтверждаются при оформлении заказа.

Сегментация сети и межсетевой экран для производственного предприятия в Перми

Коротко о проекте

Что поставили

Частые вопросы

Посчитайте свою экономию

Нужно похожее решение?

Межсетевой экран NGFW 4×10G + 8×1G, 10 Гбит/с Firewall throughput	1 шт.
Коммутатор ядра L3 24×1G + 4×10G SFP+	2 шт.
Коммутатор доступа L2 24×RJ45 1G PoE+ + 4×SFP	8 шт.
Коммутатор промышленный L2 8×RJ45 100M + 2×SFP, DIN, -40..+70°C (АСУ ТП)	4 шт.
SFP-трансивер 1G LC SM 10 км	16 шт.
Лицензия IPS/IDS для NGFW (1 год)	1 шт.
Лицензия SSL-VPN 50 пользователей (1 год)	1 шт.