Открыть сервис

Межсетевой экран нового поколения

Межсетевой экран нового поколения (Next-Generation Firewall, NGFW) — это сетевое устройство или программное обеспечение, которое выполняет функции традиционного межсетевого экрана (фильтрацию трафика на основе IP-адресов, портов и протоколов) и дополняет их глубоким анализом содержимого пакетов (Deep Packet Inspection, DPI), контролем приложений, системой предотвращения вторжений (IPS), а также возможностью интеграции с внешними источниками угроз. NGFW является эволюционным развитием классических файрволов и предназначен для защиты современных корпоративных сетей от сложных целевых атак, вредоносного ПО и утечек данных.

История развития

От пакетных фильтров к Stateful Inspection

Первые межсетевые экраны (пакетные фильтры) появились в конце 1980-х годов и анализировали только заголовки IP-пакетов. В середине 1990-х годов технология Stateful Inspection (межсетевой экран с отслеживанием состояния соединений) позволила учитывать контекст сеанса связи. Однако оба подхода не могли анализировать содержимое полезной нагрузки.

Появление NGFW

Термин «межсетевой экран нового поколения» был введён аналитической компанией Gartner в 2009 году. Основными драйверами развития стали:

  • рост числа приложений, использующих динамические порты (например, Skype, BitTorrent);
  • распространение шифрованного трафика (HTTPS, TLS);
  • необходимость защиты от прикладных атак (SQL-инъекции, XSS).

Первым коммерческим продуктом, полностью соответствовавшим концепции NGFW, стал Palo Alto Networks PA-5000 (2007 год). В России первые NGFW-решения начали появляться в начале 2010-х годов (например, продукты «С-Терра», UserGate, Ideco).

Архитектура и ключевые компоненты

Глубокий анализ пакетов (DPI)

NGFW выполняет инспекцию не только заголовков, но и содержимого каждого пакета на уровнях с 3-го по 7-й модели OSI. Это позволяет:

  • идентифицировать приложение по сигнатурам трафика (например, отличить HTTP-трафик браузера от трафика мессенджера, использующего тот же порт 443);
  • обнаруживать вредоносные вложения в электронной почте;
  • блокировать команды управления ботнетами.

Контроль приложений (Application Control)

В отличие от классических файрволов, NGFW распознаёт не только протокол (HTTP, FTP), но и конкретное приложение (Facebook, Telegram, Zoom). Администратор может задавать политики доступа на уровне приложений, а не портов. Например, разрешить использование корпоративной CRM через веб-интерфейс, но заблокировать игровые приложения.

Система предотвращения вторжений (IPS)

Встроенный модуль IPS анализирует трафик в реальном времени на наличие аномалий и атак. Используются:

  • сигнатурный метод (сравнение с базой известных угроз);
  • поведенческий анализ (отклонение от нормального профиля трафика);
  • песочница (Sandbox) — изолированная среда для запуска подозрительных файлов.

Фильтрация по геолокации и репутации

NGFW может блокировать трафик из стран, не связанных с деятельностью организации, а также проверять IP-адреса и домены по базам репутации (например, списки спам-ловушек, C&C-серверов ботнетов).

Интеграция с внешними системами

Современные NGFW поддерживают:

Отличия от традиционного межсетевого экрана

ХарактеристикаТрадиционный файрволNGFW
Анализ трафикаДо 4-го уровня OSIДо 7-го уровня OSI
Идентификация приложенийПо портамПо сигнатурам и поведению
Защита от угрозТолько ACLIPS, антивирус, песочница
Работа с шифрованиемНе поддерживаетРасшифровка и инспекция TLS
Управление политикамиПо IP/портамПо пользователю, приложению, контенту

Применение

Корпоративные сети

NGFW устанавливается на периметре сети (границе между внутренней сетью и интернетом) для защиты от внешних атак. В сегменте дата-центров используется для разграничения доступа между виртуальными машинами (микросегментация).

Облачные среды

Виртуальные NGFW (vNGFW) развёртываются в облачных платформах (AWS, Azure, Яндекс.Облако) для защиты облачных сервисов. Они управляются через единую консоль и масштабируются автоматически.

Государственные и критически важные объекты

В России для объектов критической информационной инфраструктуры (КИИ) обязательно применение сертифицированных NGFW, соответствующих требованиям ФСТЭК России. Например, продукты «С-Терра», «ИнфоТеКС», UserGate имеют сертификаты на соответствие классу защиты не ниже 4-го.

Производители и рынок

Международные вендоры

  • Palo Alto Networks — пионер рынка, серии PA и VM;
  • Fortinet (FortiGate) — лидер по количеству установок;
  • Cisco (Firepower) — интеграция с оборудованием Cisco;
  • Check Point — решения для крупных предприятий.

Российские разработчики

Критика и ограничения

Производительность

Глубокий анализ трафика требует значительных вычислительных ресурсов. При включении всех модулей (IPS, DPI, антивирус) пропускная способность NGFW может снижаться на 30–50% по сравнению с заявленной.

Сложность настройки

Для эффективной работы NGFW требуется тонкая настройка политик под конкретную организацию. Ошибки в правилах могут приводить как к ложным срабатываниям (блокировка легитимного трафика), так и к пропуску угроз.

Шифрование

Инспекция TLS-трафика требует его расшифровки, что создаёт юридические и технические сложности. В России расшифровка трафика на корпоративных NGFW допускается только с согласия сотрудников и в соответствии с политикой информационной безопасности.

Перспективы развития

Интеграция с искусственным интеллектом

Современные NGFW начинают использовать машинное обучение для обнаружения аномалий без сигнатур. Например, системы UserGate и Palo Alto внедряют модели, обучаемые на трафике конкретной сети.

SD-WAN и NGFW

Функции NGFW всё чаще встраиваются в контроллеры SD-WAN, позволяя управлять безопасностью в распределённых сетях филиалов централизованно.

Безопасность IoT

NGFW адаптируются для защиты устройств интернета вещей (IoT), которые часто не поддерживают установку агентов безопасности.

Источники

  1. Gartner, «Magic Quadrant for Network Firewalls», 2023.
  2. ФСТЭК России, «Требования к межсетевым экранам нового поколения», 2021.
  3. Palo Alto Networks, «The Evolution of the Firewall», 2019.
  4. UserGate, «Архитектура NGFW: от теории к практике», 2022.
  5. Check Point, «Next Generation Firewall: Technical Overview», 2020.

BFOmetr — база данных и аналитика по компаниям России.

На главную BFOmetr →