Защита сети видеонаблюдения: VLAN, сегментация и брандмауэр
Защита сети видеонаблюдения: VLAN, сегментация и брандмауэр
Контроль доступа к камерам и регистраторам — первая линия обороны. В статье объясню простые и рабочие подходы: зачем нужны VLAN, как сегментировать сеть и какие правила брандмауэра ставить. Подходит и для владельцев дома, и для инсталляторов крупных объектов.
Почему это важно
Камеры — обычные сетевые устройства. Если они в общей сети, злоумышленник, получив доступ к Wi‑Fi или роутеру, быстро доберётся до записи и управления. Сегментация снижает риски и ограничивает ущерб.
Основные варианты сегментации
Коротко о вариантах, которые реально применяются на объектах.
- Физическая сегментация: отдельные коммутаторы и кабельные трассы. Надёжно, но дорого и громоздко.
- Логическая сегментация (VLAN): создаём виртуальные сети на одном коммутаторе. Гибко и удобно.
- VPN и туннели: для удалённого доступа от оператора или интеграции филиалов.
Типичная схема сети видеонаблюдения
Интернет | | (Firewall / Edge router) | Админ VLAN (192.168.10.0/24) --- ПК админа | Сеть управления (172.16.1.0/24) --- NVR / серверы | Камеры VLAN (10.10.0.0/24) --- IP‑камеры | Гостевая/Офисная сеть (192.168.0.0/24) --- отделы, Wi‑Fi
Камеры общаются только с NVR/сервером. Админ подключается к NVR через маршруты и NAT по SSH/HTTPS. Из офиса прямой доступ к камерам запрещён.
Практические шаги: настройка VLAN и правил доступа
Порядок действий для типовой установки на малом или среднем объекте.
- План: распределите устройства по VLAN (камера, NVR, админ, гости).
- Настройте коммутатор с поддержкой 802.1Q. Назначьте порты: access для камер, trunk для uplink к NVR и роутеру.
- Создайте маршруты на роутере и выделите DHCP‑сервисы для каждой VLAN.
- На брандмауэре задайте политики:
- камера → только NVR: разрешить порты RTSP(554) / ONVIF(что использует ваша система) / HTTPS по необходимости;
- камера → интернет: запретить;
- админ → NVR: разрешить SSH/HTTPS и web‑порт NVR;
- гости/офис → камера/NVR: запретить.
- Измените дефолтные пароли на камерах и регистраторах. Отключите ненужные сервисы (Telnet, UPnP).
- Обновите прошивки устройств и ведите журнал обновлений.
Пример правил брандмауэра (упрощённо)
Разрешить: Камера VLAN → NVR IP порт 554 TCP/UDP; Запретить: Камера VLAN → любой внешний IP; Разрешить: Админ VLAN → NVR IP порты 22, 443; Запретить: Офис VLAN → Камера VLAN.
Расчёт пропускной способности
Простой пример для планирования сети.
- Камера 1080p H.264 ≈ 2.5 Мбит/с. H.265 ≈ 1.2 Мбит/с.
- 16 камер H.264 → 16 × 2.5 = 40 Мбит/с пиков.
- Добавьте запас 30–50% на управление и пиковые нагрузки — рекомендуется 60 Мбит/с канал между коммутатором и NVR.
Таблица: сравнение подходов
| Критерий | VLAN | Физическая сегментация | VPN/Туннель |
|---|---|---|---|
| Стоимость | низкая/средняя | высокая | средняя |
| Гибкость | высокая | низкая | высокая |
| Безопасность | хорошая при настройке | отличная | зависит от конфигурации |
Закон и хранение данных
В России запись видеонаблюдения может содержать персональные данные. Это регулирует Федеральный закон 152‑ФЗ. Важно:
- определить срок хранения записей и политику доступа;
- ограничить доступ по ролям и логировать входы в систему;
- шифровать резервные копии и защищать каналы передачи (HTTPS, VPN).
Примеры оборудования и где искать
Для монтажа и модернизации вам нужны управляемые коммутаторы, брандмауэр с поддержкой VLAN и QoS, NVR с записью по событиям и PoE‑коммутаторы для питания камер. Подбор можно выполнять в каталоге магазина — смотрите разделы с системами видеонаблюдения и общим каталогом:
Чек‑лист перед запуском
- Все камеры в отдельной VLAN.
- Доступ к NVR только с VLAN администраторов и через белые IP/порт.
- Запрещён исходящий трафик камер в интернет.
- Сменены дефолтные логины и пароли.
- Прошивки актуальны.
- Резервное копирование и шифрование архива.
- Журнал доступа включён и хранится.
Если у вас уже есть список оборудования или план здания, можно быстро оценить число VLAN, требуемую пропускную способность и подходящий брандмауэр. Малые объекты часто обходятся VLAN на одном управляемом коммутаторе и простыми правилами, крупные — строят отдельную сеть и многоуровневую политику доступа.
Небольшое замечание: начните с простых запретов — запретите камерам выход в интернет и закройте доступ из гостевых/офисных сетей. Это даёт заметный прирост безопасности без больших затрат.
