На что способны и кому нужны межсетевые экраны нового поколения? Разбор концепции NGFW

Сегодня большинство экспертов сходятся во мнении: классические firewall устарели. Их место занимают межсетевые экраны нового поколения – NGFW (Next Generation Firewall). По данным аналитиков, на эти решения приходится более 60% российского рынка сетевой безопасности. Что делает NGFW столь востребованными и действительно ли они соответствуют современным вызовам, рассказываем в статье.

Эволюция межсетевых экранов

Изначально firewall представляли собой простые устройства, контролирующие сетевой трафик на уровне IP-адресов и портов. Они ограничивали доступ к корпоративной сети, обеспечивали NAT (трансляцию адресов) и организовывали VPN-туннели. Защита веб- и почтового трафика (порты 80 и 25) отдавалась на откуп прокси-серверам и антивирусам.

Однако время показало: все современные угрозы умещаются именно в эти протоколы – через фишинг, вредоносные вложения в письмах или загрузку троянов с сайтов. Простого блокирования портов стало недостаточно. Требовался глубокий анализ содержимого трафика – и тогда появились UTM (Unified Threat Management).

UTM объединяли в одном устройстве:

• антивирус,
• систему обнаружения вторжений (IDS/IPS),
• фильтрацию URL,
• антиспам,
• VPN.

Но и этого оказалось мало. В связи с появлением целенаправленных APT-атак, обходящих сигнатурную защиту, возникла необходимость в поведенческом анализе, инспекции шифрованного TLS-трафика, контроле пользовательских сессий, интеграции с DLP и песочницами.

В 2008 году аналитики Gartner сформулировали новую концепцию – Next Generation Firewall. Это уже не просто фильтр пакетов, а многоуровневая платформа защиты, объединяющая технологии сетевого, прикладного и пользовательского контроля.

Что умеет NGFW

Современный NGFW управляет трафиком, настраивает NAT и VPN, как классический файрвол, но при этом еще проверяет пользователей (включая многофакторную аутентификацию), расшифровывает и анализирует SSL-трафик, чтобы видеть все, что проходит по сети.

NGFW умеет обнаруживать и блокировать атаки в реальном времени, опираясь на актуальные данные об угрозах. Он проверяет файлы на вредоносный код – с помощью антивируса и песочницы, где подозрительные объекты запускаются в изоляции.

Кроме того, он следит, чтобы конфиденциальные данные не ушли за пределы компании (DLP), блокирует доступ к опасным сайтам и защищает веб-приложения от взломов (WAF).

Все это позволяет заменить сразу несколько отдельных решений одним – проще управлять, надежнее защищать и выгоднее с точки зрения затрат.

Роль NGFW в архитектуре Zero Trust

Концепция Zero Trust Network Access (ZTNA) предполагает, что никому и ничему внутри сети нельзя доверять по умолчанию. Каждый запрос на доступ должен проверяться. NGFW играет ключевую роль в реализации ZTNA, обеспечивая:

• Контроль устройств (проверку всех подключаемых устройств, включая IoT).
• Контроль пользователей (строгую аутентификация и авторизация).
• Контроль облачных и теневых сервисов (блокировку несанкционированных приложений и сервисов).

NGFW использует разметку трафика (аналогично SD-WAN), что позволяет привязывать каждый пакет к конкретному пользователю, приложению или сервису, ускоряя обработку и повышая точность контроля.

Кому нужны NGFW

1. Компаниям, которые обрабатывают персональные данные

Требования ФЗ-152 обязывают организации обеспечивать защиту ПДн и проводить расследования утечек в течение 7 дней. Для этого нужны DLP, IPS, журналы аудита. Все это есть в NGFW.

2. Владельцам критической информационной инфраструктуры (КИИ)

ФЗ-187 требует многоуровневой защиты. Классического firewall недостаточно – нужен сертифицированный отечественный NGFW, способный противостоять APT и контролировать внутренние потоки.

3. Промышленным предприятиям

Сегментация промышленных и офисных сетей – обязательное условие безопасности. NGFW позволяет построить интеллектуальный периметр между OT и IT, предотвращая распространение атак.

4. Малому и среднему бизнесу

Для SMB NGFW – экономически выгодное решение: одно устройство заменяет десятки отдельных систем. Особенно актуально при использовании аутсорсинга безопасности через коммерческие SOC.

5. Пользователям мультиоблачных сред

Контроль трафика в облака, предотвращение утечек, блокировка несанкционированных SaaS – все это решают NGFW с поддержкой Cloud Access Security Broker (CASB)-функций.

Российские NGFW: реальность и перспективы

До 2022 года на российском рынке NGFW доминировали зарубежные вендоры. После их ухода отечественные компании были вынуждены срочно развивать собственные решения. Сегодня наиболее заметные игроки:

• UserGate один из первых предложил отечественный NGFW с поддержкой ZTNA и высокой производительностью (модель F8000).
• BI.ZONE интегрировала NGFW в платформу Secure SD-WAN, основанную на принципах Zero Trust.
• Ростелеком-Солар использует DLP-контекст для интеллектуальной разметки трафика в Solar NGFW.
• Код Безопасности позиционирует «Континент 4» как NGFW, но пока без явной поддержки ZTNA.

Согласно требованиям ФСТЭК, объекты КИИ должны полностью отказаться от иностранного ПО в системах защиты. Это создает мощный стимул для развития отечественных NGFW.

Как NGFW предотвратил катастрофу на производстве. Реальная история

Клиент: крупный агрохолдинг, который специализируется на производстве сыров и молочной продукции.

Когда я показал директору, как любой человек с улицы может попасть в бухгалтерию через Wi-Fi, она буквально схватилась за голову, – вспоминает инженер.

На момент аудита в компании на периметре сети стоял обычный MikroTik – устройство с базовыми возможностями файрвола. Несмотря на то, что роутер был как-то настроен, инфраструктура имела критические уязвимости:

• Wi-Fi сеть была объединена с корпоративной. Любой прохожий в радиусе действия мог получить доступ к общим сетевым папкам, включая данные бухгалтерии и материалы по территориальной обороне. Это могло привести к уголовной ответственности.
• Производственная сеть не была изолирована от офисной. Сбой в офисной инфраструктуре мог повлиять на работу оборудования. Могли остановиться стерилизаторы, не открыться клапаны, произойти перегрев. Все это грозило остановкой производства и порчей тонн продукции.
• Отсутствовала идентификация пользователей. Невозможно было разграничить доступ к ресурсам по должностям или подразделениям.

Решение

После аудита и демонстрации директору потенциальных рисков было принято решение о внедрении отечественного NGFW от компании IDEC. Его выбрали по нескольким причинам:

• Функционал сопоставим с UserGate, но без избыточности,
• Команда уже имела опыт работы с этим решением,
• Условия лицензирования и стоимость оказались максимально выгодными для заказчика.

Результаты внедрения

1. Офисная и производственная сети полностью разделены, что исключает технологические сбои из-за ИТ-проблем.
2. Реализуется привязка политик к доменным учетным записям. Сотрудник получает доступ только к тем ресурсам, которые требуются по его роли.
3. Гостевая сеть изолирована, исключен доступ к внутренним серверам и папкам.
4. Администратор получает уведомления о событиях – падении канала, атаках, входе в систему – через Telegram, почту или мобильное приложение.
5. Благодаря встроенному механизму балансировки при падении одного интернет-провайдера автоматически подключается резервный, что критично для непрерывности бизнеса.
6. Настроены шифрованные туннели между головным заводом и 10 розничными магазинами. Это позволило централизованно управлять безопасностью и контролировать трафик.

Сейчас, после внедрения NGFW, заказчик получает уже другой уровень безопасности, мониторинга, отслеживания пользователей, – поясняет инженер. – Это то, что раньше на MikroTik было просто нереализуемо.