NGFW
NGFW (Next-Generation Firewall, межсетевой экран нового поколения) — это сетевое устройство или программное обеспечение, предназначенное для фильтрации сетевого трафика, обнаружения и предотвращения кибератак, а также контроля приложений и пользователей. В отличие от традиционных межсетевых экранов (stateful firewall), NGFW объединяет в себе несколько функций безопасности: инспекцию пакетов на уровне приложений (DPI — Deep Packet Inspection), систему предотвращения вторжений (IPS), антивирусную защиту, контроль приложений и возможность интеграции с внешними источниками угроз. NGFW является ключевым элементом современной сетевой безопасности, особенно в условиях распространения облачных сервисов и удалённой работы.
История
Первые межсетевые экраны появились в конце 1980-х годов и выполняли простую фильтрацию пакетов на основе IP-адресов и портов. В 1990-х годах появились stateful firewalls, которые отслеживали состояние соединений. Однако с ростом сложности сетевых атак и появлением приложений, использующих нестандартные порты, традиционные средства перестали справляться.
Термин Next-Generation Firewall был введён аналитической компанией Gartner в 2009 году. Gartner определила NGFW как устройство, которое должно включать:
- стандартную фильтрацию пакетов и stateful inspection;
- инспекцию трафика на уровне приложений (DPI);
- систему предотвращения вторжений (IPS);
- возможность идентификации и контроля приложений, независимо от порта и протокола.
Первыми коммерческими продуктами, соответствующими этому определению, стали решения Palo Alto Networks (PA-500, PA-2000), выпущенные в 2007–2008 годах, а также Check Point Software Technologies, обновившая свои линейки. В России одним из первых разработчиков NGFW стала компания «Код Безопасности» (продукт «Континент»), а также Positive Technologies (PT NAD). Позднее, в 2010-х годах, рынок NGFW активно развивался, и к 2020-м годам практически все крупные вендоры (Cisco, Fortinet, Juniper, Huawei, а также российские «С-Терра СиЭсЭс», «Аладдин Р.Д.», «ИнфоТеКС») включили NGFW в свои продуктовые линейки.
Архитектура и принцип работы
Основные компоненты
NGFW состоит из нескольких функциональных блоков:
- Модуль фильтрации пакетов — выполняет базовую проверку заголовков IP, TCP/UDP, а также stateful inspection.
- Модуль глубокой инспекции пакетов (DPI) — анализирует содержимое пакетов на уровне приложений (HTTP, FTP, SMTP, DNS, SSL/TLS). Позволяет выявлять не только протокол, но и конкретное приложение (например, Skype, Telegram, Zoom) даже при использовании нестандартных портов.
- Система предотвращения вторжений (IPS) — использует сигнатурный и поведенческий анализ для обнаружения атак (SQL-инъекции, XSS, переполнение буфера, эксплуатация уязвимостей).
- Антивирусный модуль — сканирует передаваемые файлы и вложения на наличие вредоносного кода.
- Контроль приложений (Application Control) — позволяет разрешать, блокировать или ограничивать пропускную способность для конкретных приложений (например, блокировать торренты, но разрешать YouTube).
- Модуль идентификации пользователей — интегрируется с Active Directory, LDAP, RADIUS, что позволяет применять политики безопасности на основе учётных записей, а не только IP-адресов.
- Модуль VPN — обеспечивает создание защищённых туннелей (IPsec, SSL VPN) для удалённого доступа и связи между филиалами.
Принцип обработки трафика
Трафик проходит через NGFW последовательно:
- Приём пакета — проверка базовых правил (MAC-адреса, VLAN, IP-адреса).
- Stateful inspection — проверка состояния соединения (SYN, SYN-ACK, ACK).
- DPI — декодирование протокола и идентификация приложения.
- Проверка IPS — сравнение с сигнатурами атак.
- Антивирусная проверка — анализ файлов в буфере.
- Применение политики — разрешить, заблокировать или ограничить (например, поставить на карантин).
- Логирование — запись события в журнал.
Классификация NGFW
NGFW можно классифицировать по нескольким признакам:
По форме исполнения
- Аппаратные (Appliance) — физические устройства, устанавливаемые в стойку. Примеры: FortiGate 100F, Palo Alto PA-220, Check Point 6500.
- Программные (Software) — устанавливаются на серверы или виртуальные машины (VMware, Hyper-V). Примеры: pfSense (с модулями), OPNsense, российский «UserGate».
- Облачные (Cloud-based) — предоставляются как услуга (FWaaS). Примеры: Zscaler, Cisco Umbrella, российский «Solar NGFW».
По производительности
- Для малого бизнеса — до 1 Гбит/с (например, MikroTik с DPI).
- Среднего класса — от 1 до 10 Гбит/с (FortiGate 200E, Palo Alto PA-800).
- Корпоративные и операторские — от 10 до 100 Гбит/с и выше (Cisco Firepower 9300, Huawei USG6600).
По специализации
- Универсальные — поддерживают все функции (Palo Alto, Fortinet).
- С акцентом на IPS — с расширенным набором сигнатур (Check Point, Cisco).
- С акцентом на контроль приложений — с глубокой интеграцией с DLP (Data Loss Prevention) и управлением доступом (российский «Континент»).
Применение
NGFW используется в различных сценариях:
Защита периметра сети
Устанавливается на границе корпоративной сети (между локальной сетью и интернетом). Фильтрует входящий и исходящий трафик, блокирует атаки, контролирует использование интернет-ресурсов сотрудниками.
Защита центров обработки данных (ЦОД)
В ЦОД NGFW применяется для сегментации трафика между виртуальными машинами и серверами, а также для защиты от DDoS-атак и межсерверных угроз.
Удалённый доступ (VPN)
NGFW обеспечивает безопасное подключение удалённых сотрудников и филиалов через зашифрованные туннели, интегрируясь с системами многофакторной аутентификации.
Сегментация сети
Внутри корпоративной сети NGFW может разделять трафик между отделами (например, бухгалтерия и разработка), применяя разные политики безопасности.
Соответствие требованиям регуляторов
В России NGFW часто используется для выполнения требований Федерального закона № 152-ФЗ «О персональных данных», а также для сертификации по стандартам ФСТЭК России (например, для защиты информации в государственных информационных системах).
Примеры NGFW
Международные
- Palo Alto Networks — серии PA, VM, Prisma Access (облачный).
- Fortinet — FortiGate (линейка от 30F до 5000F).
- Check Point — Quantum Security Gateway.
- Cisco — Firepower 1000, 2100, 9300.
- Juniper Networks — SRX Series.
Российские
- «Код Безопасности» — «Континент» (сертифицирован ФСТЭК, используется в госорганах).
- «С-Терра СиЭсЭс» — «С-Терра Шлюз» (с поддержкой ГОСТ-шифрования).
- «Аладдин Р.Д.» — «Secret Net Studio» (комплексное решение, включающее NGFW).
- «ИнфоТеКС» — «ViPNet Coordinator HW» (аппаратный NGFW).
- «UserGate» — «UserGate NGFW» (программный и аппаратный, сертифицирован ФСТЭК).
- «Positive Technologies» — «PT NAD» (с акцентом на анализ трафика и IPS).
Критика и ограничения
Несмотря на широкое распространение, NGFW имеют ряд недостатков:
- Сложность настройки — требуется высокая квалификация администратора для корректной настройки политик, особенно при использовании DPI и IPS.
- Производительность — глубокая инспекция трафика (особенно зашифрованного SSL/TLS) значительно снижает пропускную способность. Для шифрованного трафика требуется расшифровка (SSL-инспекция), что создаёт дополнительную нагрузку и может нарушать конфиденциальность.
- Обход защиты — современные атаки (например, использование шифрования, стеганографии, протоколов DNS-over-HTTPS) могут обходить DPI. Также злоумышленники используют уязвимости в самом NGFW.
- Стоимость — лицензирование и поддержка (подписки на обновления сигнатур IPS, антивирусных баз) могут быть дорогими, особенно для малого бизнеса.
- Ложные срабатывания — IPS и антивирус могут блокировать легитимный трафик, что требует тонкой настройки.
Перспективы развития
Современные NGFW эволюционируют в сторону SASE (Secure Access Service Edge) — облачной архитектуры, объединяющей NGFW, SD-WAN, CASB (Cloud Access Security Broker) и ZTNA (Zero Trust Network Access). Также развиваются технологии:
- Искусственный интеллект и машинное обучение — для автоматического выявления аномалий и новых угроз (без сигнатур).
- Интеграция с SOAR (Security Orchestration, Automation and Response) — для автоматического реагирования на инциденты.
- Поддержка квантово-устойчивых алгоритмов — для защиты от будущих квантовых атак.
- Усиление контроля зашифрованного трафика — с использованием технологий TLS 1.3 и ECH (Encrypted Client Hello).
В России также наблюдается тренд на импортозамещение: государственные и коммерческие организации переходят на сертифицированные NGFW отечественных производителей, что обусловлено требованиями законодательства (Федеральный закон № 187-ФЗ «О безопасности критической информационной инфраструктуры»).
Источники
- Gartner. «Magic Quadrant for Network Firewalls», 2009–2023.
- Palo Alto Networks. «What is a Next-Generation Firewall?», 2020.
- ФСТЭК России. «Методические документы по защите информации», 2021.
- Check Point Software Technologies. «Next Generation Firewall: A Technical Overview», 2019.
- «Код Безопасности». «Продукты: Континент», 2023.
- Positive Technologies. «PT NAD: анализ сетевого трафика», 2022.
- UserGate. «NGFW: руководство администратора», 2023.
BFOmetr — база данных и аналитика по компаниям России.
На главную BFOmetr →