Глобальный рынок NGFW демонстрирует уверенный рост около 10% в год [1]. В 2024 году его объем оценивался примерно в $6,3 млрд с перспективой $15,7 млрд к 2033 г. Азиатско-Тихоокеанский регион, где доминирует Китай, стал вторым по величине рынком NGFW в мире и уже в 2023 г. генерировал свыше 30% мирового спроса [2]. При этом глобальный рынок по-прежнему возглавляют западные вендоры: например, по данным IDC на II квартал 2024 г. лидируют Palo Alto Networks (~22% мировых продаж), Fortinet (~19%), Cisco (~13%) и Check Point (8%), тогда как из китайских компаний в топ-5 присутствует только Huawei с долей около 3,5% [3]. В годовом сравнении Huawei показала небольшой рост продаж (+1%), но совокупная доля китайских производителей на мировом рынке остается скромной и оценивается в 5–10%.

Однако на внутреннем китайском рынке наблюдается активный рост: по отдельным оценкам он растет быстрее мирового. Это связано с курсом на импортозамещение и предпочтением местных решений в госсекторе, что укрепляет позиции китайских вендоров внутри страны. В целом же рынок постепенно насыщается, что свидетельствует о переходе отрасли в фазу зрелости с высокой конкуренцией.

Развитие функциональности

Современные NGFW быстро эволюционируют под запросы заказчиков, получая расширенные возможности помимо классической фильтрации трафика. Одна из главных тенденций – внедрение искусственного интеллекта и машинного обучения для обнаружения продвинутых угроз. Например, китайские разработчики оснащают NGFW ИИ-моделями, умеющими выявлять неизвестные ранее образцы вредоносного ПО и аномалии трафика. Так, Sangfor заявляет о 99,76% уровне детекции вредоносного ПО благодаря связке ИИ/ML и данных Threat Intelligence. Huawei продвигает концепцию "AI-Firewall" – NGFW нового поколения, использующий интеллектуальные алгоритмы вместо исключительно статических правил. Другая важная тенденция – реализация принципов Zero Trust прямо в функционале межсетевого экрана. NGFW все чаще интегрируются с системами контроля доступа и обеспечивают микросегментацию сети, проводят строгую проверку пользователя или устройства перед допуском в любую зону. К 2024 г. такие функции стали практически обязательными: рынок движется к тому, что файрвол стал компонентом стратегии Zero Trust с продвинутым анализом трафика на уровне приложений.

Помимо этого, китайские аппаратные NGFW приобретают облачную ориентированность. Речь идет об интеграции с облачными платформами и сервисами: например, поддержка развертывания в виде виртуальных машин в публичных и частных облаках, единое управление политиками в гибридной среде и защита трафика между облаком и локальной сетью. Заказчики требуют, чтобы новые NGFW обеспечивали одинаково высокую защиту как на периметре офиса, так и при миграции ресурсов в облако. В ответ производители реализуют функции вроде SD-WAN на базе NGFW, ускорения VPN-туннелей и динамической маршрутизации для филиалов. Например, Venustech в своем продукте Venusense NGFW объединяет возможности SD-WAN (оптимизация каналов, динамические VPN, сжатие данных) прямо в межсетевом экране, упрощая безопасное подключение филиалов и мобильных пользователей.

Стоит отметить и появление совершенно новых для межсетевых экранов возможностей. Китайские разработчики начали внедрять технологию Deception и встроенные модули поведенческого анализа. К примеру, Sangfor заявляет, что их NGFW Network Secure – первый файрвол с встроенным модулем Deception: администратор за пять минут может развернуть ловушки, чтобы заманивать хакеров и выявлять их активность в сети. Sangfor также интегрировала полноценный WAF в свой NGFW, используя семантический анализ и ML-движок для защиты веб-приложений от SQL-инъекций, XSS и других атак уровня приложений. Другие востребованные функции -- глубокая инспекция шифрованного трафика (TLS 1.3), ускорение работы на скоростях 10–100 Гбит/с, расширенный контроль приложений (вплоть до мобильных и IoT-приложений) и поддержку отраслевых протоколов (например для АСУ ТП). Например, в линейке Huawei HiSecEngine появились специализированные возможности для защиты IoT: ИИ-анализ аномалий в трафике устройств и сигнатуры для промышленных протоколов. Таким образом, NGFW китайского производства 2024–2025 гг. – это многофункциональные платформы кибербезопасности, которые совмещают в себе элементы IPS, WAF, VPN-шлюза, SWG и других решений.

Ключевые конкурентные метрики

Производители NGFW конкурируют прежде всего по производительности и масштабируемости своих решений. В высоком ценовом сегменте идет настоящая гонка за максимальную пропускную способность: флагманские китайские аппараты уже достигают скорости на уровне нескольких Тбит/с. Например, модульные системы Huawei серии Eudemon8000E-X масштабируются до 1,92 Тбит/с совокупной производительности. Hillstone Networks заявляет о впечатляющих 3,5 Тбит/с в своем дата файрволе X-Series. Даже у менее мощных моделей показатели измеряются десятками Гбит/с. Важно, что производительность с некоторых пор оценивается в разных режимах: в чистой L4-фильтрации и в полной NGFW-инспекции — понятно, что включение функций DPI, IPS, антивируса снижает производительность примерно одинаково что в России, что в Китае. Например, у H3C F5000 максимальная скорость с полным набором функций (IPS+AV) составляет ~18 Гбит/с против 40 Гбит/с на одном МЭ без DPI. Конкуренция заставляет использовать аппаратное ускорение (ASIC, многоядерные CPU, DPDK и пр.), чтобы минимизировать падение скорости при включении ресурсоемких модулей обработки трафика.

Другой ключевой метрикой является емкость соединений и сессий. Большие корпорации требуют от файрволов одновременного обслуживания миллионов пользователей и устройств. Китайские NGFW здесь также выходят на лидирующие позиции: высокопроизводительные модели поддерживают миллионы новых сессий в секунду и сотни миллионов – в одновременном состоянии. Например, топ-модель Huawei рассчитана на до 2,56 млрд параллельных сессий. У H3C SecPath F5080 потолок составляет 80 млн одновременных соединений, у Sangfor M5800 – до 8 млн, а Hillstone и Venustech для своих флагманов декларируют сопоставимые или большие значения (сотни миллионов сессий). Задержки (latency) также имеют значение, особенно для телеком-операторов и финансового сектора. Тут борьба идет за микросекунды: аппаратные NGFW стараются добавлять минимальную задержку при фильтрации. Вендоры редко раскрывают точные цифры, но косвенно на задержки влияет способ обработки трафика. Например, Hillstone подчеркивает, что их объединенный движок угроз повышает эффективность при одновременном снижении задержек на инспекцию трафика.

Кроме скорости, заказчики сравнивают глубину и качество инспекции. В рассмотрение принимается количество поддерживаемых сигнатур IPS/IDS, актуальность баз антивируса, наличие продвинутой фильтрации URL/контента и способ распознавания приложений. Китайские NGFW традиционно имеют встроенные системы обнаружения вторжений (IDS/IPS) – например, H3C SecPath из коробки содержит модули IPS, антивируса и DLP, а Huawei и др. интегрируют собственные базы угроз, часто обновляемые через облако. Качество защиты все чаще измеряется независимыми тестами (NSS Labs, ICSA и пр.), поэтому вендоры пытаются улучшить коэффициент блокирования угроз без роста ложных срабатываний. Использование ИИ в анализе трафика как раз направлено на повышение точности – например, интеллектуальные политики Hillstone A-Series автоматически оптимизируют правила безопасности, снижая влияние человеческого фактора на качество конфигурации устройства. Наконец, важной метрикой стала гибкость и управляемость: возможность поддерживать виртуальные файрволы (Vsys), работать в кластерах, интегрироваться с оркестраторами. У китайских файрволов топ-сегмента обычно поддерживаются десятки и сотни виртуальных контекстов (например Hillstone X-Series – до 1 тыс. виртуальных файрволов для мультиарендности), а Huawei и H3C предлагает отказоустойчивые кластерные режимы Active-Active для пропорционального масштабирования производительности.

Резюмируя: заказчики детально сравнивают пропускную способность (особенно на включенном DPI), максимальное число сессий, время отклика и эффективность защиты – эти параметры стали ключевыми в конкурентной борьбе за проекты.

Стоимость решений

Китайские производители обычно конкурируют на мировом рынке и ценой – их аппаратные NGFW позиционируются как более доступные при схожих характеристиках. В линейках предусмотрены решения разных уровней: начального (малый бизнес, филиалы), среднего (средние компании) и высокого класса (крупные компании, ЦОД, операторы), и ценовые диапазоны соответственно различаются. Устройства начального уровня (настольные или компактные в стойку) могут стоить порядка нескольких сотен до нескольких тысяч долларов, в зависимости от пропускной способности. Средний класс (например, для филиалов с десятками пользователей или небольших ЦОД) обычно находится в диапазоне $5–20 тыс. Для примера, устройство Hillstone SG-6000-A3000 с ппроизводительностью ~20 Гбит/с оценивается примерно в $7,5 тыс. за единицу. Это заметно ниже, чем у аналогочных моделей от лидеров рынка – решения Fortinet, Palo Alto часто оказываются более дорогими. Топовые китайские NGFW для крупных дата-центров и операторов связи могут достигать стоимости в десятки тысяч долларов, а при комплектации кластеров – и сотни тысяч. Например, шасси Huawei HiSecEngine с терабитной производительностью или Sangfor с модулем WAF и Deception тмеют ценник на уровне $50–100 тыс. и выше. Тем не менее даже в высоком сегменте китайские продукты стараются предложить более выгодное соотношение цена/производительность. Как отмечают клиенты, Huawei известна сравнительно демократичной ценовой политикой и гибкими лицензиями, охватывающими бизнес всех масштабов. Китайские вендоры зачастую включают в базовую цену сразу множество функций (IPS/URL-фильтр/антивирус), тогда как некоторые западные конкуренты требуют отдельные подписки. С другой стороны, при экспорте на внешние рынки стоимость может возрастать из-за поддержки и локализации. Но в целом уровень цен решений из Китая часто ниже, что делает их привлекательными для развивающихся рынков и организаций с ограниченным бюджетом на безопасность.

Интеграция с решениями смежных классов

Современные NGFW все глубже интегрируются в экосистему кибербезопасности предприятия, дополняясь функциональностью смежных решений. Одна из явных тенденций – увязывание межсетевых экранов с системами XDR (eXtended Detection & Response). Логи и телеметрия, генерируемые NGFW, теперь используются платформами XDR для корреляции с данными endpoint-датчиков, почтовых шлюзов и пр. Например, облачный провайдер Cato поступательно объединяет данные своего встроенного NGFW, SWG, IPS, CASB и прочих модулей в едином хранилище, служащем "топливом" для ИИ-/ML-аналитики XDR. Аналогично, Palo Alto Cortex XDR может напрямую получать и обрабатывать алерты с периферийных файрволов, повышая общую видимость инцидентов. Китайские вендоры не отстают: так, Sangfor в своем решении Network Secure делает акцент на сквозную интеграцию endpoint ↔ network – их NGFW тесно связан с EDR-агентами и другими продуктами для создания единой сквозной защиты. Подобная связка позволяет автоматически заполнять пробелы между зонами ответственности разных средств защиты и выстраивать по-настоящему комплексную оборону без разрывов.

Другим направлением интеграции стало объединение функций Secure Web Gateway (SWG) и CASB с межсетевыми экранами, особенно в контексте архитектуры SASE. SASE-платформы предполагают, что в облачном сервисе конвергируют SD-WAN, VPN, NGFW (Firewall-as-a-Service), SWG и CASB. Многие китайские производители уже движутся в эту сторону. Например, Venustech реализовала в своих NGFW модуль Threat Intelligence, сходный по функциям с CASB: файрвол через облачный сервис VenusEye получает обновления о вредоносных доменах, IP-адресах и иных IOC в реальном времени и сразу блокирует обращения к ним. Это сродни облачному фильтру доступов, который характерен для CASB. Практически все NGFW также включают веб-фильтрацию URL и категорий – основную функцию SWG – позволяя контролировать доступ сотрудников к интернет-ресурсам по политикам. Sangfor шагнула еще дальше, интегрировав в NGFW модуль SOC Lite: по сути, упрощенный центр безопасности, который наглядно отображает уровень угроз для пользователей и серверов и подсказывает администратору меры реагирования. Это пример размытия границы между сетевой безопасности и задачами SecOps.

Кроме того, китайские NGFW все чаще сочетаются с решениями SDP/ZTNA – программно-определяемого периметра. В некоторых случаях функции SDP реализуются на базе самого NGFW через агентский доступ к приложениям, проверку устройств и пользователей перед установлением сессии. Если же используются отдельные шлюзы ZTNA, то они тесно интегрируются с центральным файрволом, обмениваясь информацией о контексте пользователей. Например, Huawei в своих материалах подчеркивает поддержку Zero Trust принципов: ее NGFW умеет выступать узлом политики Zero Trust, проверяя каждое соединение по ряду атрибутов (пользователь, устройство, приложение, время и т. д.) перед разрешением доступа. Все крупные китайские вендоры также предлагают централизованные системы управления, объединяющие сетевую защиту с другими классами: XDR-платформы, облачные панели управления SaaS-приложениями, шлюзы удаленного доступа. В результате для заказчика границы между NGFW, UTM, SWG и CASB становятся все более условны. Сегодняшние модели китайских NGFW – это мультифункциональные узлы безопасности, которые могут вписаться в архитектуру Zero Trust и SASE, обеспечивая фильтрацию трафика на всех уровнях и взаимодействуя с остальными компонентами защиты.

Сравнительная таблица ведущих китайских производителей аппаратных NGFW

Все перечисленные производители поддерживают базовые функции NGFW: Stateful Firewall, DPI, контроль приложений, VPN (IPsec/SSL). Показатели производительности приведены для топовых моделей – у каждого вендора есть линейки от филиальных устройств до магистральных кластеров. Интеграция ИИ/ML означает использование технологий машинного обучения для выявления угроз – у некоторых эта функциональность заявлена явно, у других она реализована в виде интеллектуальных алгоритмов оптимизации. Облачная интеграция подразумевает наличие виртуальных версий файрволов, облачных систем управления и совместимость с концепциями вроде SASE. В целом, китайские аппаратные NGFW образца 2024–2025 гг. стремятся сочетать высокую производительность, широкую функциональность безопасности и конкурентную цену, постепенно укрепляя позиции на мировом рынке за счет инноваций (ИИ, Deception, интеграции с XDR/SASE) и ориентации на запросы клиентов.

1. https://www.imarcgroup.com/next-generation-firewall-market
2. https://www.coherentmarketinsights.com/industry-reports/global-next-generation-firewall-market 
3. https://thereadable.co/worldwide-security-appliance-revenues-showed-little-year-over-year-growth-in-q2-2024-but-grew-5-compared-to-q1-2024-according-to-idc/