Удаленка без дыр: как NGFW Traffic Inspector Next Generation решает три вечных проблемы доступа и маршрутизации
Многие компании сталкиваются с парадоксом: чем больше сотрудников работает вне офиса, тем выше риски для корпоративной сети. Классический сценарий — открытый порт на МСЭ «для удобства», который становится приглашением для злоумышленников. Но есть и другие, не менее острые боли: сеть, которую «не перестроить», и десяток внутренних сервисов, жмущихся к одному внешнему порту.
Коллеги из нашей службы технической поддержки поделились тремя типовыми ситуациями, с которыми сталкивается каждый второй администратор. И для каждой из них в Traffic Inspector Next Generation (TING) есть готовое элегантное решение.
Боль №1. Удаленный доступ как «открытая дверь»
Администратор настраивает RDP или веб-интерфейс «для своих» и пробрасывает порт наружу. Без шифрования, без двухфакторной аутентификации. Это классическая дыра, которую сканеры находят за минуты.
Решение:
NGFW TING включает несколько типов VPN-серверов, от классического IPsec до современного WireGuard. WireGuard, в свою очередь, обзавелся генератором пиров, что превращает настройку из многочасового квеста в двухминутную операцию. Каждый удаленный сотрудник получает свой сертификат, доступ строго к нужным ресурсам, а не ко всей сети. Никаких открытых портов для атак.
Инструкция по настройке WireGuard в TING
Боль №2. «Трогать сеть нельзя, она работает»
Администраторы боятся менять сетевую топологию, особенно в legacy-инфраструктуре. Внедрение нового межсетевого экрана кажется неизбежной хирургией. А если что-то пойдет не так, откатывать изменения придется вручную, теряя часы или даже дни.
Решение:
TING умеет работать в режиме сетевого моста или клиента. Его можно «врезать» в существующую сеть без изменения IP-планировки и маршрутизации. Фильтрация, логирование, контроль — все работает, а пользователи ничего не замечают.
И еще важный плюс для смелых экспериментов: в TING есть механизм снапшотов (снимков конфигурации). Перед любыми изменениями, будь то настройка нового правила, обновление прошивки или переконфигурация интерфейсов, вы делаете снапшот. Если что-то пошло не так, возвращаетесь к предыдущему состоянию буквально в несколько кликов. Это позволяет пробовать разные схемы подключения, не боясь ошибок.
Таким образом, администратор получает не только бесшовную интеграцию, но и «сетевую машину времени» для безопасного экспериментирования.
Инструкция по настройке фильтрующего прозрачного моста
Боль №3. Десять сервисов на одном порту
В компании работает несколько веб-приложений: Битрикс24, собственный CRM, корпоративный портал. Все хотят слушать 443-й порт, а внешний IP у компании один. SSL-сертификаты для каждого — головная боль.
Решение:
Встроенный плагин HAProxy. Это не просто балансировщик, а интеллектуальный маршрутизатор трафика. Он смотрит на доменное имя в запросе и направляет соединение на нужный внутренний сервер. Один внешний IP, один порт, сколько угодно сервисов. HAProxy также умеет проводить предварительную аутентификацию, отсекая ботов и сканеры до того, как они коснутся вашего приложения.
Инструкция по настройке HAProxy
Вывод
Эти три сценария — лишь малая часть того, что закрывает NGFW Traffic Inspector Next Generation. Но они показывают главное: наш продукт создан не для «идеальных» сетей, а для реальных, с их историей, ограничениями и живыми администраторами. Мы не заставляем клиентов ломать то, что работает. Мы даем инструменты, которые встраиваются в любую среду и делают ее безопаснее без лишней боли. А если вы решитесь на эксперимент, снапшоты всегда помогут вернуться назад.
Протестируйте бесплатно
Подпишитесь на рассылку Смарт-Софт
Что такое UTM, NGFW и чем они отличаются
Фишинговые атаки и мошеннические схемы усилились в период пандемии коронавируса
Зачем нужно ограничение интернет-трафика?
