Межсетевой экран нового поколения
Межсетевой экран нового поколения (Next-Generation Firewall, NGFW) — это сетевое устройство или программное обеспечение, которое выполняет функции традиционного межсетевого экрана (фильтрацию трафика на основе IP-адресов, портов и протоколов) и дополняет их глубоким анализом содержимого пакетов (Deep Packet Inspection, DPI), контролем приложений, системой предотвращения вторжений (IPS), а также возможностью интеграции с внешними источниками угроз. NGFW является эволюционным развитием классических файрволов и предназначен для защиты современных корпоративных сетей от сложных целевых атак, вредоносного ПО и утечек данных.
История развития
От пакетных фильтров к Stateful Inspection
Первые межсетевые экраны (пакетные фильтры) появились в конце 1980-х годов и анализировали только заголовки IP-пакетов. В середине 1990-х годов технология Stateful Inspection (межсетевой экран с отслеживанием состояния соединений) позволила учитывать контекст сеанса связи. Однако оба подхода не могли анализировать содержимое полезной нагрузки.
Появление NGFW
Термин «межсетевой экран нового поколения» был введён аналитической компанией Gartner в 2009 году. Основными драйверами развития стали:
- рост числа приложений, использующих динамические порты (например, Skype, BitTorrent);
- распространение шифрованного трафика (HTTPS, TLS);
- необходимость защиты от прикладных атак (SQL-инъекции, XSS).
Первым коммерческим продуктом, полностью соответствовавшим концепции NGFW, стал Palo Alto Networks PA-5000 (2007 год). В России первые NGFW-решения начали появляться в начале 2010-х годов (например, продукты «С-Терра», UserGate, Ideco).
Архитектура и ключевые компоненты
Глубокий анализ пакетов (DPI)
NGFW выполняет инспекцию не только заголовков, но и содержимого каждого пакета на уровнях с 3-го по 7-й модели OSI. Это позволяет:
- идентифицировать приложение по сигнатурам трафика (например, отличить HTTP-трафик браузера от трафика мессенджера, использующего тот же порт 443);
- обнаруживать вредоносные вложения в электронной почте;
- блокировать команды управления ботнетами.
Контроль приложений (Application Control)
В отличие от классических файрволов, NGFW распознаёт не только протокол (HTTP, FTP), но и конкретное приложение (Facebook, Telegram, Zoom). Администратор может задавать политики доступа на уровне приложений, а не портов. Например, разрешить использование корпоративной CRM через веб-интерфейс, но заблокировать игровые приложения.
Система предотвращения вторжений (IPS)
Встроенный модуль IPS анализирует трафик в реальном времени на наличие аномалий и атак. Используются:
- сигнатурный метод (сравнение с базой известных угроз);
- поведенческий анализ (отклонение от нормального профиля трафика);
- песочница (Sandbox) — изолированная среда для запуска подозрительных файлов.
Фильтрация по геолокации и репутации
NGFW может блокировать трафик из стран, не связанных с деятельностью организации, а также проверять IP-адреса и домены по базам репутации (например, списки спам-ловушек, C&C-серверов ботнетов).
Интеграция с внешними системами
Современные NGFW поддерживают:
- Active Directory (аутентификация пользователей);
- SIEM-системы (передача логов для централизованного анализа);
- Threat Intelligence (автоматическое обновление списков угроз).
Отличия от традиционного межсетевого экрана
| Характеристика | Традиционный файрвол | NGFW |
|---|---|---|
| Анализ трафика | До 4-го уровня OSI | До 7-го уровня OSI |
| Идентификация приложений | По портам | По сигнатурам и поведению |
| Защита от угроз | Только ACL | IPS, антивирус, песочница |
| Работа с шифрованием | Не поддерживает | Расшифровка и инспекция TLS |
| Управление политиками | По IP/портам | По пользователю, приложению, контенту |
Применение
Корпоративные сети
NGFW устанавливается на периметре сети (границе между внутренней сетью и интернетом) для защиты от внешних атак. В сегменте дата-центров используется для разграничения доступа между виртуальными машинами (микросегментация).
Облачные среды
Виртуальные NGFW (vNGFW) развёртываются в облачных платформах (AWS, Azure, Яндекс.Облако) для защиты облачных сервисов. Они управляются через единую консоль и масштабируются автоматически.
Государственные и критически важные объекты
В России для объектов критической информационной инфраструктуры (КИИ) обязательно применение сертифицированных NGFW, соответствующих требованиям ФСТЭК России. Например, продукты «С-Терра», «ИнфоТеКС», UserGate имеют сертификаты на соответствие классу защиты не ниже 4-го.
Производители и рынок
Международные вендоры
- Palo Alto Networks — пионер рынка, серии PA и VM;
- Fortinet (FortiGate) — лидер по количеству установок;
- Cisco (Firepower) — интеграция с оборудованием Cisco;
- Check Point — решения для крупных предприятий.
Российские разработчики
- UserGate — NGFW «UserGate», сертифицирован ФСТЭК, используется в госсекторе;
- Ideco — продукт «Ideco NGFW», ориентирован на малый и средний бизнес;
- С-Терра — решения для КИИ и промышленных сетей;
- Код Безопасности (продукт «Соболь»).
Критика и ограничения
Производительность
Глубокий анализ трафика требует значительных вычислительных ресурсов. При включении всех модулей (IPS, DPI, антивирус) пропускная способность NGFW может снижаться на 30–50% по сравнению с заявленной.
Сложность настройки
Для эффективной работы NGFW требуется тонкая настройка политик под конкретную организацию. Ошибки в правилах могут приводить как к ложным срабатываниям (блокировка легитимного трафика), так и к пропуску угроз.
Шифрование
Инспекция TLS-трафика требует его расшифровки, что создаёт юридические и технические сложности. В России расшифровка трафика на корпоративных NGFW допускается только с согласия сотрудников и в соответствии с политикой информационной безопасности.
Перспективы развития
Интеграция с искусственным интеллектом
Современные NGFW начинают использовать машинное обучение для обнаружения аномалий без сигнатур. Например, системы UserGate и Palo Alto внедряют модели, обучаемые на трафике конкретной сети.
SD-WAN и NGFW
Функции NGFW всё чаще встраиваются в контроллеры SD-WAN, позволяя управлять безопасностью в распределённых сетях филиалов централизованно.
Безопасность IoT
NGFW адаптируются для защиты устройств интернета вещей (IoT), которые часто не поддерживают установку агентов безопасности.
Источники
- Gartner, «Magic Quadrant for Network Firewalls», 2023.
- ФСТЭК России, «Требования к межсетевым экранам нового поколения», 2021.
- Palo Alto Networks, «The Evolution of the Firewall», 2019.
- UserGate, «Архитектура NGFW: от теории к практике», 2022.
- Check Point, «Next Generation Firewall: Technical Overview», 2020.
BFOmetr — база данных и аналитика по компаниям России.
На главную BFOmetr →