Főoldal/Kiberbiztonsági Kisokos/Hálózati szegmentáció
// KIBERBIZTONSÁGI KISOKOS · 06. MODUL

Hálózati szegmentáció — zónák, szegmensek és tűzfalak

A · C · I kb. 7 perc olvasás

Egy jó hálózat nem egyetlen nagy szoba, ahol mindenki mindenhez hozzáfér. Vízzáró rekeszekre osztott hajóhoz hasonlít: ha egy helyen lyuk keletkezik, az nem süllyeszti el az egészet. A szegmentáció a hálózatot bizalmi zónákra bontja, a tűzfal pedig azt szabályozza, mi haladhat át a határokon. Ez a modul megmutatja, hogyan határolja el ez a kárt egy támadás esetén — laikus analógiától a zero trust technikai mélységig.

A négy zóna → Gyors önellenőrzés Vissza a Kisokoshoz
1 · Laikusan

Mi az a hálózati szegmentáció?

A szegmentáció azt jelenti, hogy a céges hálózatot nem egyetlen nagy, nyitott térként kezeljük, hanem elkülönített zónákra bontjuk — és szabályozzuk, mi közlekedhet köztük. A tűzfal a kapuőr ezeken a határokon: eldönti, melyik forgalom mehet át, és melyiket állítja meg.

Képzeld el egy hajó vízzáró rekeszeivel Egy jól tervezett hajó testét vízzáró rekeszekre osztják, hogy egyetlen lyuk ne tudja elsüllyeszteni az egész hajót — a víz csak abba a rekeszbe folyik be, ahol a sérülés van. A hálózati zónák ugyanezt teszik: ha egy laptop vagy egy publikus szerver megfertőződik, a baj nem terjed át automatikusan a könyvelő-szerverre vagy az ügyfél-adatbázisra. A tűzfal a rekeszek közti zárható ajtó: alapból csukva, és csak ott nyílik, ahol tényleg szükséges az átjárás.

A fő fogalmak, amiket érdemes elkülöníteni: a zónák bizalmi szintek szerint (publikus internet → DMZDMZ (demilitarizált zóna): köztes hálózati sáv a publikus internet és a belső hálózat között, ahova a kívülről elérhető szolgáltatások kerülnek, hogy egy támadás ne érje el közvetlenül a belső rendszereket. → belső hálózat → érzékeny zóna); a szegmentáció maga a felosztás cselekvése; a tűzfal pedig a forgalmat szabályozó szabályrendszer. Külön érdemes érteni az észak-dél forgalmat (a hálózat és a külvilág között be- és kifelé) és a kelet-nyugat forgalmat (a hálózaton belül, eszközről eszközre) — a klasszikus tűzfalak az előbbit őrzik, a szegmentáció lényege épp az utóbbi megfékezése.

1 · Laikusan

A négy zóna — egy egyszerű térkép

A leggyakoribb felépítés négy bizalmi sávot különít el. A nyilak a forgalom irányát mutatják: kívülről befelé egyre szigorúbb a határ, és minden átjárást a tűzfal ellenőriz.

01 · KÜLSŐ Publikus internet megbízhatatlan 02 · KÖZTES DMZ web-, levelezőszerver 03 · BELSŐ Belső hálózat munkaállomások 04 · ÉRZÉKENY Érzékeny zóna szerverek, adatbázis tűzfal tűzfal tűzfal ← egyre szigorúbb bizalmi szint, minden határt a tűzfal ellenőriz →

A lényeg nem a doboz száma, hanem az elv: minél érzékenyebb valami, annál beljebb és annál több határ mögé kerül. Egy kisvállalkozásnál ez gyakran már néhány elkülönített szegmenssel megvalósul — vendég-WiFi külön, szerverek külön, a többi munkaállomás külön —, nem kell hozzá vállalati méretű hálózat.

2 · A gyakorlatban

Miért NIS2-releváns a szegmentáció?

A NIS2-irányelvet Magyarországon a 2024. évi LXIX. törvény (Magyarország kiberbiztonságáról) ülteti át. A törvény nem ír elő konkrét tűzfal-terméket, hanem kockázatarányos biztonsági intézkedéseket vár el — és a hálózatbiztonság, valamint a kárelhatárolás ezeknek visszatérő eleme.

Mi ez?

A szegmentáció a hálózat zónákra bontása és a köztük lévő forgalom tűzfallal való szabályozása. Célja, hogy egy bekövetkezett incidens a lehető legkisebb területre korlátozódjon, ne terjedjen át az egész szervezetre.

Miért NIS2-kötelező?

A hálózatbiztonság és a kárelhatárolás (incidens-korlátozás) jellemzően a kockázatkezelési intézkedések közé tartozik, amelyeket az érintett szervezeteknek kockázatarányosan kell alkalmazniuk. A pontos elvárás méret- és szektorfüggő — ezt a besorolás dönti el, nem önmagában a hálózat mérete.

Hogyan segít?

Ha a hálózat zónákra van bontva, egy feltört eszköz nem nyit azonnal ajtót minden érzékeny rendszerhez. Ez csökkenti az incidens hatókörét, lassítja a támadót, és megkönnyíti az észlelést és a helyreállítást is.

Mi felkészítünk, nem mi auditálunk. Ez az oldal általános tájékoztatás, nem jogi tanácsadás és nem hatósági állásfoglalás. A kötelező, független megfelelőségi auditot a Szabályozott Tevékenységek Felügyeleti Hatósága (SZTFH) által nyilvántartásba vett auditor végzi, külön díjért — ezt nem helyettesítjük. A jogszabályi adatok a tájékoztatás időpontjában (2026. június) hatályos állapotot tükrözik.

2 · A gyakorlatban

Hogyan szegmentálj egy KKV-hálózatot?

Nem kell egyszerre vállalati architektúrát építeni. Öt lépés, amely a legnagyobb kockázatokat arányos eszközökkel csökkenti:

01

Csoportosítsd az eszközöket érzékenység szerint

Térképezd fel, mi van a hálózaton, és sorold zónákba: publikus szolgáltatások, általános munkaállomások, szerverek, és a legérzékenyebb rendszerek (pl. könyvelés, ügyfél-adatbázis) külön csoportba.

02

Tedd külön a vendég-WiFit

A vendégeknek és a magántelefonoknak szánt WiFi soha ne lássa a céges belső hálózatot. Külön, elszigetelt szegmens — ez a leggyorsabban megtérülő lépés, a legtöbb router tudja.

03

Válaszd el a szervereket a munkaállomásoktól

A szerverek külön szegmensbe kerüljenek, hogy egy feltört laptop ne érje el őket közvetlenül. A felhasználói gépek és a kiszolgálók közti forgalom legyen szabályozott, ne korlátlan.

04

Állítsd be a tűzfalat „alapból tilt” elven

A zónák közötti forgalom alapértelmezetten tiltott legyen, és csak azt engedd át, amire a működéshez bizonyíthatóan szükség van. Ez a default-deny elv — sokkal biztonságosabb, mint mindent engedni és kivételeket tiltani.

05

Tedd a távoli elérést VPN vagy zero trust mögé

A kívülről elérhető belső rendszerek ne legyenek közvetlenül a netről nyitva — VPNVPN (virtuális magánhálózat): titkosított „alagút”, amelyen keresztül a távoli felhasználó úgy éri el a céges hálózatot, mintha helyben lenne — hitelesítés után. vagy zero-trust hozzáférés és többfaktoros hitelesítés (MFA) mögé kerüljenek.

3 · Technikai mélység

Ha mélyebbre ásnál

Az alábbiak az IT-felelősnek szólnak — a laikus olvasó nyugodtan átugorhatja, a szegmentáció elvének megértéséhez nem szükséges.

VLAN-ok — szegmentáció egy switchen belül
A VLANVLAN (virtuális helyi hálózat): egy fizikai hálózati eszköz logikai felosztása több, egymástól elkülönített hálózatra, külön kábelezés nélkül. (virtuális LAN) lehetővé teszi, hogy egyetlen fizikai switchen vagy hálózati infrastruktúrán több, egymástól logikailag elkülönített hálózatot futtass — külön kábelezés nélkül. Így a vendég-WiFi, a munkaállomások és a szerverek külön VLAN-ba kerülhetnek, a köztük lévő forgalmat pedig egy router vagy tűzfal szabályozza. KKV-szinten ez a szegmentáció egyik legolcsóbb, leggyakoribb belépő eszköze. Fontos: a VLAN önmagában elkülönít, de a forgalomszűréshez tűzfalszabályok is kellenek a VLAN-ok határán.
Mikroszegmentáció — zónák egészen az egyes munkaterhelésig
A mikroszegmentáció a szegmentáció finomabb szintje: nem csak nagy zónákat választunk el, hanem akár az egyes szerverek, alkalmazások vagy munkaterhelések közötti forgalmat is külön szabályozzuk — gyakran szoftveresen, az adott munkaterheléshez rendelt szabályokkal. Előnye, hogy a kelet-nyugat (hálózaton belüli) terjedést drasztikusan korlátozza. KKV-nál ritkán szükséges teljes mélységben; jellemzően a legérzékenyebb rendszerek köré húzott szűkebb szabályhalmaz már sokat ér, túlskálázás nélkül.
Zero trust, NGFW és IDS/IPS — KKV-arányos minimumban
A zero trustZero trust: biztonsági alapelv, amely szerint a hálózaton belül sem bízunk meg automatikusan semmiben — minden hozzáférést külön hitelesítünk és jogosultsághoz kötünk. alapelve: „ne bízz automatikusan semmiben a hálózaton belül sem, ellenőrizz minden hozzáférést”. Nem feltétlen egy drága termék — KKV-szinten az elv betartása a fontos: erős hitelesítés, legkisebb jogosultság, a hálózati hovatartozás önmagában ne adjon bizalmat. Ne skálázd túl vállalati szintre, ha nincs rá szükséged.

Az NGFW (next-generation firewall) a klasszikus port/IP-szűrésen túl alkalmazás- és tartalomszintű ellenőrzést is végez. Az IDS/IPS (behatolás-érzékelő / -megelőző rendszer) a gyanús hálózati mintázatokat figyeli: az IDS jelez, az IPS be is avatkozik. KKV-nál ezek gyakran egyetlen eszközben, csomagban érkeznek; a cél nem a maximális funkciólista, hanem a működésedhez illő, arányos védelem.
2 · A gyakorlatban

Gyors önellenőrzés

Tedd fel magadnak ezt a néhány kérdést a saját hálózatodról. Ha bármelyikre „nem” vagy „nem tudom” a válasz, ott érdemes elkezdeni a szegmentációt.

Öt kérdés a saját hálózatodról

  • A vendég-WiFi külön van a céges belső hálózattól (nem látja a céges gépeket, szervereket)?
  • Egy feltört, vírusos laptop elérné közvetlenül a könyvelő-szervert vagy az ügyfél-adatbázist?
  • A kívülről elérhető szolgáltatások (weboldal, levelezés) elkülönülnek a belső rendszerektől (DMZ-szerű elv)?
  • A tűzfal „alapból tilt” elven működik, vagy inkább „alapból enged”?
  • A távoli elérés VPN vagy zero-trust hozzáférés és többfaktoros hitelesítés mögött van?
1 · Laikusan

Gyakori tévhitek

Tévhit

„Van tűzfalunk, tehát védve vagyunk."

A tűzfal csak akkor véd, ha a szabályai és a szegmentáció is rendben van. Egy alapból mindent átengedő tűzfal, vagy egy lapos (zónák nélküli) hálózat mögött a támadó a beengedett forgalom mögött szabadon mozoghat egyik géptől a másikig. A tűzfal eszköz, nem önmagában megoldás.

Tévhit

„A szegmentáció csak nagyvállalatoknak való."

A legnagyobb hatású lépések — vendég-WiFi elválasztása, szerverek külön szegmensbe tétele — egy kisvállalkozásnál is megvalósíthatók, gyakran a meglévő eszközökkel. Nem a méret dönt, hanem hogy egy incidens hova tud átterjedni.

Tévhit

„A belső hálózaton belül már minden megbízható."

Ez a régi „kemény héj, puha belső" gondolkodás — épp ezt haladja meg a zero trust. Ha egyetlen eszköz bekerül (pl. adathalász e-mail nyomán), a teljesen nyitott belső hálózat azt jelenti, hogy onnantól minden elérhető. A belső forgalmat is érdemes szabályozni.

Gyakori kérdések

GYIK a szegmentációról

A zóna egy bizalmi szint szerint elkülönített hálózati terület (publikus internet, DMZ, belső hálózat, érzékeny zóna). A szegmentáció maga a cselekvés: a hálózat felosztása ilyen zónákra, és a köztük lévő forgalom szabályozása, hogy egy probléma ne terjedjen át az egész hálózatra.
A tűzfal egy szabályrendszer szerint dönti el, milyen forgalom haladhat át egy határon — forrás, cél, port és protokoll alapján enged vagy tilt. Önmagában nem véd mindentől: csak akkor hatékony, ha a szabályok jól vannak beállítva, és a hálózat szegmentálva van.
A DMZ köztes zóna a publikus internet és a belső hálózat között, ahova a kívülről elérhető szolgáltatások (webszerver, levelezőszerver) kerülnek. Ha egy ilyen szolgáltatást megtámadnak, a támadó akkor se jut közvetlenül a belső rendszerekhez. Ha a kívülről elérhető szolgáltatásaidat felhőben futtatod, a DMZ-elv ott is érvényes.
Nem a teljes, vállalati zero-trust architektúra kell. Az alapelv viszont KKV-arányos minimumban is hasznos: erős hitelesítés, legkisebb jogosultság, valamint a vendég- és a szerverhálózat elválasztása már nagy lépés — drága dobozok nélkül is.
← Előző modul Legkisebb jogosultság Következő modul → Szabályzatok és kormányzás
A CIA triász Megfelelőség Fogalomtár
Következő lépés

Megvan az elv — hol szivárog a hálózatod kívülről?

A szegmentáció belső kérdés, de a kifelé látszó réseket (nyitott szolgáltatások, hiányzó biztonsági fejlécek, elérhetőség) egy ingyenes szivárgás-audit pár perc alatt megmutatja — konkrétan, a saját domained alapján. A belső zónázást magadnak kell bevezetned, de a kiindulóponthoz nem kell vakon tippelned.

Indíts ingyenes auditot → NIS2 felkészülés-csomagok Vissza a Kisokoshoz
Indíts ingyenes auditot →