Next Generation Firewall (NGFW) – межсетевой экран нового поколения

Межсетевые экраны являются основой сетевой безопасности корпоративных сетей. Первые экраны позволяли контролировать сетевой трафик на уровне портов и создания VPN-соединений, но в 2023 году потребности в сетевой защите являются более обширными.

Next Generation Firewall (NGFW) является комплексным решение для блокировки угроз, поскольку в нем сочетаются возможности традиционных сетевых экранов и систем предотвращения сетевых вторжений. По оценкам аналитиков, именно на эти устройства приходится около 60% рынка сетевой безопасности России.

NGFW призван обеспечивать многоуровневую защиту как между внутренними сегментами сети организации, так и всего сетевого периметра, объединяя в себе такие инструменты, как фильтрация трафика, системы предотвращения и обнаружения вторжений и вредоносных программ, системы, распознающие типы приложений за счет глубокого пакетного анализа, инспекция трафика TLS, проксирование пользовательского трафика к веб-ресурсам и многие другие.

Концепция NGFW подразумевает наличие в шлюзовом устройстве следующего набора функций:

Традиционный межсетевой экран. Он предполагает как управление сетевым трафиком в соответствии с политикой доступа компании и скрытие внутренней сетевой инфраструктуры с помощью трансляции адресов (NAT), так и организацию защищенного подключения к корпоративной сети по VPN, например, с помощью TLS.
Аутентификация пользователей/инспекция SSL. Прежде чем предоставить доступ к тем или иным сервисам инфраструктуры NGFW проводит самостоятельную аутентификацию пользователей. Причем, чем более ответственные протоколы и операции задействуют служащие, тем более тщательно система проводит их аутентификацию. Например, для систем доступа к веб-приложениям достаточно использовать обычные SSL-сертификаты, но уже для удаленного администрирования или RDP-подключения система может потребовать и двухфакторную аутентификацию, и даже аппаратные идентификаторы.
Системы обнаружения/предотвращения вторжений (IPS/IDS). Это системы, которые позволяют в случае обнаружения признаков вторжения злоумышленников в инфраструктуру менять на более консервативные правила фильтрации сетевого трафика. При этом признаки компрометации (IoC) инфраструктуры обычно поставляются информационными TI-сервисами.
Антивирус/песочница. В концепции UTM использовался потоковый антивирус, который собирает передаваемый внутренним пользователям поток в файлы и уже к ним применяются сигнатуры вредоносных программ, подготовленные антивирусными компаниями. Однако со временем антивирусные компании разработали так называемые песочницы - это специальные виртуальные машины, в которых элементы потока анализируются на подозрительную активность. Именно в этом виде они и попали в NGFW.
Предотвращение утечек (DLP). Система контроля утечек данных сейчас наиболее важна в связи с ужесточением законодательства по персональным данным, однако она должна эффективно работать и на сетевом уровне - предотвращать передачу важных данных во-вне корпоративной сети. Однако для этого подобная система должна быть развернута в самом предприятии - NGFW выступает только в виде исполнительного устройства, которое блокирует неразрешенную передачу данных через себя.
URL-фильтрация/WAF. Выявление и блокировка потенциально опасных ссылок выполняет функции антиспама, антифишинга, антивируса, а, кроме того, входящий поток веб-запросов к корпоративным веб-приложениям также нужно фильтровать от вредоносных включений и эксплойтов различных уязвимостей.

Отечественные производители NGFW:
UserGate
Код безопасности