Мережева безпека включає політики та практики, спрямовані на запобігання та моніторинг несанкціонованого доступу, зловживання, модифікації або відмови в доступі до комп'ютерних мереж та ресурсів, пов'язаних з мережею.

• Захист периметра - блокування зовнішніх загроз через міжмережеві екрани та шлюзи.
• Контроль доступу - забезпечення доступу лише авторизованим користувачам та пристроям.
• Виявлення та запобігання вторгнень - своєчасне виявлення аномалій та потенційних атак.
• Шифрування даних - забезпечення конфіденційності даних під час передачі.
• Сегментація мережі - розділення мережі на ізольовані зони для кращого контролю.

1. Міжмережеві екрани (Firewalls)

Міжмережеві екрани контролюють вхідний та вихідний мережевий трафік на основі попередньо визначених правил безпеки.

• Пакетні фільтри - перевіряють пакети на основі IP-адрес та портів.
• Stateful inspection - відстежують стан активних з'єднань.
• Прикладні шлюзи - аналізують трафік на рівні додатків.
• Next-Generation Firewalls (NGFW) - включають функції IDS/IPS, глибокий аналіз пакетів, та антивірусний захист.

2. Системи виявлення та запобігання вторгнень (IDS/IPS)

Ці системи моніторять мережу на предмет підозрілої активності та можуть вживати активних заходів для запобігання атакам.

• Network-based (NIDS/NIPS) - аналізують трафік всієї мережі.
• Host-based (HIDS/HIPS) - моніторять окремі хости на предмет підозрілої активності.
• Signature-based - використовують бази відомих шаблонів атак.
• Anomaly-based - виявляють відхилення від нормальної поведінки.

3. Віртуальні приватні мережі (VPN)

VPN створюють зашифровані тунелі для безпечної передачі даних через публічні мережі.

• Site-to-Site VPN - з'єднують цілі мережі між собою.
• Remote Access VPN - дозволяють окремим користувачам підключатися до мережі організації.
• SSL/TLS VPN - використовують веб-браузер як клієнтський додаток.
• IPsec VPN - забезпечують шифрування на мережевому рівні.

4. Захист DNS та DHCP

Захист критичних мережевих сервісів від атак та зловживань.

• DNSSEC - забезпечує автентифікацію та цілісність DNS-відповідей.
• DNS-фільтрація - блокування доступу до шкідливих доменів.
• DHCP snooping - запобігання атакам з підміною DHCP-сервера.

5. Управління доступом до мережі (NAC)

Контролює доступ пристроїв до мережі на основі відповідності політикам безпеки.

• Аутентифікація пристроїв - перевірка справжності пристроїв перед наданням доступу.
• Перевірка відповідності - забезпечення актуальності оновлень та антивірусного захисту.
• Динамічна сегментація - розміщення пристроїв у відповідних мережевих сегментах.

• DoS та DDoS - атаки на відмову в обслуговуванні, що перевантажують мережеві ресурси.
• Man-in-the-Middle (MITM) - перехоплення та потенційна модифікація комунікацій між двома сторонами.
• ARP/DNS Spoofing - підміна ARP або DNS записів для перенаправлення трафіку.
• MAC Flooding - переповнення таблиць CAM комутаторів для перемикання в режим хабу.
• VLAN Hopping - атаки для доступу до трафіку інших VLAN.
• Port Scanning - сканування відкритих портів для виявлення потенційних вразливостей.

Фізичний рівень

• Обмеження фізичного доступу до мережевого обладнання
• Захист портів комутаторів (port security)
• Використання оптоволоконних ліній для критичних з'єднань

Канальний рівень

• MAC-фільтрація та прив'язка MAC-адрес до портів
• Захист від ARP spoofing (Dynamic ARP Inspection)
• Сегментація мережі через VLAN

Мережевий рівень

• IP-фільтрація та ACL (Access Control Lists)
• Антиспуфінг та валідація маршрутів
• IPsec для шифрування трафіку

Транспортний рівень

• TCP SYN cookies для захисту від SYN flood атак
• TLS/SSL для шифрування
• Контроль швидкості з'єднань (rate limiting)

Прикладний рівень

• Веб-фільтрація та брандмауери веб-додатків (WAF)
• Антивірусне сканування для протоколів, що передають файли
• Контроль додатків та глибока інспекція пакетів

Постійний моніторинг мережевої активності є важливою складовою мережевої безпеки:

• SIEM (Security Information and Event Management) - збір та аналіз подій безпеки.
• Аналіз мережевого трафіку - виявлення аномальних шаблонів.
• NetFlow/sFlow - моніторинг мережевих потоків для виявлення аномалій.
• Honeypots - системи-приманки для виявлення та вивчення атак.

• Принцип найменших привілеїв - надання мінімально необхідних прав доступу.
• Глибинний захист (Defense in Depth) - створення кількох шарів захисту.
• Регулярне оновлення та патчування - підтримка мережевого обладнання та програмного забезпечення в актуальному стані.
• Регулярне тестування на проникнення - активна перевірка захищеності мережі.
• Шифрування критичних даних - як при зберіганні, так і при передачі.
• Резервне копіювання та плани відновлення - підготовка до інцидентів безпеки.

Більш детальну інформацію про інструменти для аналізу та захисту мережі можна знайти в розділі Інструменти та ресурси.

• Приклади мережевих атак та методів захисту
• Шифрування для захисту мережевого трафіку