Открыть сервис

NGFW

NGFW (Next-Generation Firewall, межсетевой экран нового поколения) — это сетевое устройство или программное обеспечение, предназначенное для фильтрации сетевого трафика, обнаружения и предотвращения кибератак, а также контроля приложений и пользователей. В отличие от традиционных межсетевых экранов (stateful firewall), NGFW объединяет в себе несколько функций безопасности: инспекцию пакетов на уровне приложений (DPI — Deep Packet Inspection), систему предотвращения вторжений (IPS), антивирусную защиту, контроль приложений и возможность интеграции с внешними источниками угроз. NGFW является ключевым элементом современной сетевой безопасности, особенно в условиях распространения облачных сервисов и удалённой работы.

История

Первые межсетевые экраны появились в конце 1980-х годов и выполняли простую фильтрацию пакетов на основе IP-адресов и портов. В 1990-х годах появились stateful firewalls, которые отслеживали состояние соединений. Однако с ростом сложности сетевых атак и появлением приложений, использующих нестандартные порты, традиционные средства перестали справляться.

Термин Next-Generation Firewall был введён аналитической компанией Gartner в 2009 году. Gartner определила NGFW как устройство, которое должно включать:

  • стандартную фильтрацию пакетов и stateful inspection;
  • инспекцию трафика на уровне приложений (DPI);
  • систему предотвращения вторжений (IPS);
  • возможность идентификации и контроля приложений, независимо от порта и протокола.

Первыми коммерческими продуктами, соответствующими этому определению, стали решения Palo Alto Networks (PA-500, PA-2000), выпущенные в 2007–2008 годах, а также Check Point Software Technologies, обновившая свои линейки. В России одним из первых разработчиков NGFW стала компания «Код Безопасности» (продукт «Континент»), а также Positive Technologies (PT NAD). Позднее, в 2010-х годах, рынок NGFW активно развивался, и к 2020-м годам практически все крупные вендоры (Cisco, Fortinet, Juniper, Huawei, а также российские «С-Терра СиЭсЭс», «Аладдин Р.Д.», «ИнфоТеКС») включили NGFW в свои продуктовые линейки.

Архитектура и принцип работы

Основные компоненты

NGFW состоит из нескольких функциональных блоков:

  • Модуль фильтрации пакетов — выполняет базовую проверку заголовков IP, TCP/UDP, а также stateful inspection.
  • Модуль глубокой инспекции пакетов (DPI) — анализирует содержимое пакетов на уровне приложений (HTTP, FTP, SMTP, DNS, SSL/TLS). Позволяет выявлять не только протокол, но и конкретное приложение (например, Skype, Telegram, Zoom) даже при использовании нестандартных портов.
  • Система предотвращения вторжений (IPS) — использует сигнатурный и поведенческий анализ для обнаружения атак (SQL-инъекции, XSS, переполнение буфера, эксплуатация уязвимостей).
  • Антивирусный модуль — сканирует передаваемые файлы и вложения на наличие вредоносного кода.
  • Контроль приложений (Application Control) — позволяет разрешать, блокировать или ограничивать пропускную способность для конкретных приложений (например, блокировать торренты, но разрешать YouTube).
  • Модуль идентификации пользователей — интегрируется с Active Directory, LDAP, RADIUS, что позволяет применять политики безопасности на основе учётных записей, а не только IP-адресов.
  • Модуль VPN — обеспечивает создание защищённых туннелей (IPsec, SSL VPN) для удалённого доступа и связи между филиалами.

Принцип обработки трафика

Трафик проходит через NGFW последовательно:

  1. Приём пакета — проверка базовых правил (MAC-адреса, VLAN, IP-адреса).
  2. Stateful inspectionпроверка состояния соединения (SYN, SYN-ACK, ACK).
  3. DPI — декодирование протокола и идентификация приложения.
  4. Проверка IPS — сравнение с сигнатурами атак.
  5. Антивирусная проверка — анализ файлов в буфере.
  6. Применение политики — разрешить, заблокировать или ограничить (например, поставить на карантин).
  7. Логированиезапись события в журнал.

Классификация NGFW

NGFW можно классифицировать по нескольким признакам:

По форме исполнения

  • Аппаратные (Appliance) — физические устройства, устанавливаемые в стойку. Примеры: FortiGate 100F, Palo Alto PA-220, Check Point 6500.
  • Программные (Software) — устанавливаются на серверы или виртуальные машины (VMware, Hyper-V). Примеры: pfSense (с модулями), OPNsense, российский «UserGate».
  • Облачные (Cloud-based) — предоставляются как услуга (FWaaS). Примеры: Zscaler, Cisco Umbrella, российский «Solar NGFW».

По производительности

  • Для малого бизнеса — до 1 Гбит/с (например, MikroTik с DPI).
  • Среднего класса — от 1 до 10 Гбит/с (FortiGate 200E, Palo Alto PA-800).
  • Корпоративные и операторские — от 10 до 100 Гбит/с и выше (Cisco Firepower 9300, Huawei USG6600).

По специализации

  • Универсальные — поддерживают все функции (Palo Alto, Fortinet).
  • С акцентом на IPS — с расширенным набором сигнатур (Check Point, Cisco).
  • С акцентом на контроль приложений — с глубокой интеграцией с DLP (Data Loss Prevention) и управлением доступом (российский «Континент»).

Применение

NGFW используется в различных сценариях:

Защита периметра сети

Устанавливается на границе корпоративной сети (между локальной сетью и интернетом). Фильтрует входящий и исходящий трафик, блокирует атаки, контролирует использование интернет-ресурсов сотрудниками.

Защита центров обработки данных (ЦОД)

В ЦОД NGFW применяется для сегментации трафика между виртуальными машинами и серверами, а также для защиты от DDoS-атак и межсерверных угроз.

Удалённый доступ (VPN)

NGFW обеспечивает безопасное подключение удалённых сотрудников и филиалов через зашифрованные туннели, интегрируясь с системами многофакторной аутентификации.

Сегментация сети

Внутри корпоративной сети NGFW может разделять трафик между отделами (например, бухгалтерия и разработка), применяя разные политики безопасности.

Соответствие требованиям регуляторов

В России NGFW часто используется для выполнения требований Федерального закона № 152-ФЗ «О персональных данных», а также для сертификации по стандартам ФСТЭК России (например, для защиты информации в государственных информационных системах).

Примеры NGFW

Международные

  • Palo Alto Networks — серии PA, VM, Prisma Access (облачный).
  • Fortinet — FortiGate (линейка от 30F до 5000F).
  • Check Point — Quantum Security Gateway.
  • Cisco — Firepower 1000, 2100, 9300.
  • Juniper Networks — SRX Series.

Российские

  • «Код Безопасности» — «Континент» (сертифицирован ФСТЭК, используется в госорганах).
  • «С-Терра СиЭсЭс» — «С-Терра Шлюз» (с поддержкой ГОСТ-шифрования).
  • «Аладдин Р.Д.» — «Secret Net Studio» (комплексное решение, включающее NGFW).
  • «ИнфоТеКС» — «ViPNet Coordinator HW» (аппаратный NGFW).
  • «UserGate» — «UserGate NGFW» (программный и аппаратный, сертифицирован ФСТЭК).
  • «Positive Technologies» — «PT NAD» (с акцентом на анализ трафика и IPS).

Критика и ограничения

Несмотря на широкое распространение, NGFW имеют ряд недостатков:

  • Сложность настройки — требуется высокая квалификация администратора для корректной настройки политик, особенно при использовании DPI и IPS.
  • Производительность — глубокая инспекция трафика (особенно зашифрованного SSL/TLS) значительно снижает пропускную способность. Для шифрованного трафика требуется расшифровка (SSL-инспекция), что создаёт дополнительную нагрузку и может нарушать конфиденциальность.
  • Обход защиты — современные атаки (например, использование шифрования, стеганографии, протоколов DNS-over-HTTPS) могут обходить DPI. Также злоумышленники используют уязвимости в самом NGFW.
  • Стоимость — лицензирование и поддержка (подписки на обновления сигнатур IPS, антивирусных баз) могут быть дорогими, особенно для малого бизнеса.
  • Ложные срабатывания — IPS и антивирус могут блокировать легитимный трафик, что требует тонкой настройки.

Перспективы развития

Современные NGFW эволюционируют в сторону SASE (Secure Access Service Edge) — облачной архитектуры, объединяющей NGFW, SD-WAN, CASB (Cloud Access Security Broker) и ZTNA (Zero Trust Network Access). Также развиваются технологии:

  • Искусственный интеллект и машинное обучение — для автоматического выявления аномалий и новых угроз (без сигнатур).
  • Интеграция с SOAR (Security Orchestration, Automation and Response) — для автоматического реагирования на инциденты.
  • Поддержка квантово-устойчивых алгоритмов — для защиты от будущих квантовых атак.
  • Усиление контроля зашифрованного трафика — с использованием технологий TLS 1.3 и ECH (Encrypted Client Hello).

В России также наблюдается тренд на импортозамещение: государственные и коммерческие организации переходят на сертифицированные NGFW отечественных производителей, что обусловлено требованиями законодательства (Федеральный закон № 187-ФЗ «О безопасности критической информационной инфраструктуры»).

Источники

  • Gartner. «Magic Quadrant for Network Firewalls», 2009–2023.
  • Palo Alto Networks. «What is a Next-Generation Firewall?», 2020.
  • ФСТЭК России. «Методические документы по защите информации», 2021.
  • Check Point Software Technologies. «Next Generation Firewall: A Technical Overview», 2019.
  • «Код Безопасности». «Продукты: Континент», 2023.
  • Positive Technologies. «PT NAD: анализ сетевого трафика», 2022.
  • UserGate. «NGFW: руководство администратора», 2023.

BFOmetr — база данных и аналитика по компаниям России.

На главную BFOmetr →