Игорь Хмелев, 20/10/25
"Используй правильные инструменты для правильной работы"
Генри Форд
Интерес к теме NGFW в последние годы значительно возрос – ее активно обсуждают в профессиональном сообществе, а на рынке стали появляться новые решения. Попробуем разобраться, действительно ли межсетевой экран нового поколения (NGFW, Next-Generation Firewall) может заменить классический межсетевой экран (FW, Firewall).
Автор: Игорь Хмелев, заместитель директора центра специальных разработок НПО “Эшелон”
Первое, с чего хотелось бы начать, – определить, чем NGFW отличается от FW. Для этого воспользуемся определением от аналитического агентства Gartner. NGFW выходит за рамки традиционной фильтрации пакетов и контроля состояния соединений и включает в себя дополнительные функции: глубокую инспекцию пакетов (DPI) и контроль приложений (AppID), интегрированную систему предотвращения вторжений (IPS), инспекцию зашифрованного трафика (SSL/TLS Inspection), привязку политик безопасности к пользователям (UserID), фильтрацию по содержимому внутри трафика (ContentID), интеграцию с внешними системами.
NGFW обычно устанавливается на периметре сети, между внутренней сетью организации и внешними сетями. FW могут применяться для защиты как периметра, так и границ между локальными сегментами сети.
При внедрении NGFW нужно учитывать ряд ключевых моментов. Рассмотрим некоторые из них.
Выполнение сложных функций обработки трафика требует значительных вычислительных ресурсов. Если производительность NGFW окажется недостаточной, то одновременное использование всех функций безопасности станет невозможным. В таком случае устройство будет работать как обычный FW.
NGFW требует постоянного сопровождения: необходимо регулярно обновлять ПО, адаптировать правила под изменяющиеся условия сетевого ландшафта, отслеживать причины блокировки сетевого трафика и анализировать ложные срабатывания.
Средства защиты, входящие в состав NGFW, могут иметь ряд технических ограничений: система предотвращения вторжений (IPS) может не выявить атаки, если злоумышленники используют методы маскировки сигнатур или неизвестные уязвимости (эксплойты); потоковый антивирус анализирует трафик лишь в рамках заданного окна анализа, что снижает его эффективность против сложных или фрагментированных атак; средства инспекции шифрованного трафика (SSL/TLS Inspection) не работают при наличии механизмов защиты от подмены сертификатов (например, Certificate Pinning) или при использовании неподдерживаемых протоколов.
При этом NGFW не способен полностью заменить специализированные СЗИ и его следует воспринимать как элемент комплексной системы информационной безопасности, а не как самостоятельное универсальное средство защиты.
NGFW может иметь ограничения в части сетевых функций или совместимости с имеющимся оборудованием. Это может привести к необходимости внесения изменений или даже полной перестройки существующей ИТ-инфраструктуры организации.
При выборе NGFW важно учитывать не только стоимость самого устройства, но и затраты на его внедрение и последующую эксплуатацию. На этапе внедрения необходима тщательная настройка всех компонентов безопасности, чтобы обеспечить оптимальный баланс между производительностью сети и уровнем ее защищенности. Во время эксплуатации, помимо расходов на обслуживание, также учитываются регулярные платежи за продление подписок на обновления модулей и поддержание актуальности различных баз данных.
Хотя NGFW предлагает расширенные функциональные возможности по сравнению с традиционными межсетевыми экранами, классические FW продолжают эффективно обеспечивать базовую защиту благодаря сегментации и микросегментации сетей. Более того, многие современные FW уже оснащены дополнительными механизмами безопасности, такими как встроенная система предотвращения вторжений (IPS).
Выбор между FW и NGFW следует основывать на следующих ключевых факторах: функциях безопасности, которые действительно необходимы для защиты организации; производительности, которую должно обеспечивать решение с включенными функциями безопасности на определенном сетевом трафике; учете уже существующих средств защиты информации в организации; возможности интеграции в существующую инфраструктуру с сохранением функций безопасности; стоимости внедрения и эксплуатации решения.
Оптимальным решением может стать гибридный подход: использование NGFW на периметре сети для глубокого анализа сетевого трафика и защиты от угроз; применение классического FW для сегментации внутренних сетей и контроля доступа между сегментами. Реализовать подобный подход можно с помощью межсетевого экрана нового поколения "Рубикон Nova" от ГК "Эшелон" благодаря его модульной архитектуре.
Решение включает в себя классические функции FW, такие как IP-маршрутизация, NAT/PAT и фильтрация пакетов на уровнях L2–L4 модели OSI. Дополнительно "Рубикон Nova" реализует глубокий анализ сетевого трафика вплоть до уровня приложений (L7), включая обработку запросов, ответов, статус-кодов и сеансов связи. "Рубикон Nova" легко использовать и для защиты периметра, и в роли классического FW. Управление решением возможно через веб-интерфейс или SSH-CLI. Попробовать "Рубикон Nova" можно, заполнив форму на странице продукта [1].
Реклама: АО «НПО «Эшелон». ИНН 7718676447. Erid: 2SDnjdLmcoZ
