DLP

Межсетевой экран нового поколения: как выбрать NGFW для компании

46
Последнее обновление: 17 августа 2025

Файрвол (или брандмауэр) — это программный или аппаратный фильтр, который проверяет обмен данными между вашей сетью и внешним миром. Он решает, какие соединения разрешить, а какие заблокировать. Без файрвола к вашему компьютеру могут попасть получить доступ посторонние программы и злоумышленники.

А Next-Generation Firewall (NGFW) — это межсетевой экран нового поколения. Если обычный проверяет только адреса и порты, то NGFW заглядывает внутрь каждого сетевого пакета. Он понимает, какое приложение передаёт данные, кто за ним стоит, и что именно загружается или скачивается.

Как работает NGFW и почему стандартного файрвола уже не хватает

Большинство бизнес-сервисов и банковских операций сегодня идут через шифрованный канал (HTTPS). Злоумышленники тоже пользуются этим же каналом. Классический фаервол видит только «безопасный» порт 443 и пропускает весь трафик, не проверяя содержимое.

NGFW умеет расшифровывать такой трафик, проверять его на вредоносный код и снова шифровать — сотрудники не заметят разницы по скорости.

Кроме того, современные хакеры адаптируют свои атаки под простую защиту. Они маскируют вирусы под популярные мессенджеры или системы учёта. Только анализ поведения на уровне приложений и пользователей позволяет остановить атаку до утечки данных или простоя работы.

Что умеет NGFW:

— Глубокий анализ (DPI)

NGFW смотрит внутрь каждого пакета данных, а не ограничивается адресами и портами. Эта технология называется DPI (Deep Packet Inspection). Она позволяет экрану понять, какой именно контент идёт по сети: документ, видео или скрытый вредоносный код. Например, если сотрудник скачивает отчёт через нестандартный FTP-порт, DPI распознает формат файла и проверит его на наличие угроз.

В дополнение к этому работают механизмы IDS (система обнаружения атак) и IPS (система предотвращения атак). IDS сопоставляет сетевой трафик с базой известных «отпечатков» вредоносных программ. Если код совпадает с шаблоном из базы, NGFW сразу же помечает его как опасный. Если же программа ведёт себя подозрительно — например, пытается зашифровать накопленные файлы ночью — IPS автоматически блокирует активность до вмешательства администратора.

— Сигнатурный и поведенческий контроль

У NGFW есть база известных опасных программ. Он проверяет, не совпадает ли код с уже известными вирусами. Если поведение программы выходит за рамки обычного — например, она пытается шифровать файлы или отправляет много данных ночью — фаервол остановит её.

Кроме того, фаервол связывает сетевую активность с конкретным пользователем, а не только с IP-адресом. Пользователь заходит по учётной записи, и все его действия фиксируются под именем. Если один сотрудник скачивает 100 больших файлов, а другой — пять, в отчёте вы сразу увидите, кто именно превышает нормы. Это упрощает поиск виновника в случае утечки или несоблюдения политики безопасности.

— Контроль приложений и пользователей

NGFW умеет различать приложения по их «отпечаткам»: он скажет, что это не просто трафик на порт 80, а именно корпоративный мессенджер или видеоконференция. Можно запретить стриминг видео в рабочее время или оставить доступ к CRM-системе.

Или настроить так, чтобы бухгалтерия работала только с учётной системой, а соцсети были доступны в перерывах. При этом фаервол узнаёт не только IP-адрес, но и конкретного сотрудника по учётной записи.

— SSL/TLS-инспекция

Большая часть бизнеса работает через защищённый канал HTTPS. Обычный фаервол видит только «порт 443» и пропускает весь трафик как безопасный. NGFW расшифровывает поток, проверяет содержимое на вирусы и скрытые угрозы, а затем снова шифрует данные.

Допустим, клиент скачивает договор из облака. Сначала NGFW создаёт внутри себя временный «сертификат-прокси», чтобы читать пакеты, и проверяет вложенный файл. Если всё чисто, он передаёт документ сотруднику, не давая вредоносному коду проникнуть в сеть. Пользователь при этом не замечает задержки.

— Встроенный антивирус и анти-бот

NGFW объединяет функции классического антивируса и защиты от ботнетов в одном устройстве. Он проверяет все файлы — от вложений в почте до обновлений программ — на известные вирусы.

Параллельно анти-бот-модуль следит за подозрительным поведением в сети. Если сервер начинает обмениваться данными с десятками одинаковых внешних адресов, фаервол трактует это как признак ботнета и останавливает соединение. Так даже продвинутые вредоносные сценарии остаются под контролем.

В чём выгоды от внедрения NGFW

  • Возврат инвестиций (ROI)

Когда в компании появляется NGFW, число инцидентов и время на их расследование снижается заметно. Например, решение одной проблемы раньше занимало до трёх дней, теперь укладывается в несколько часов.

Представим небольшую сеть из 50 компьютеров: если каждый час простоя обходится в 20 000 ₽, а расследование затягивается на день, потери составляют 160 000 ₽ за инцидент. С NGFW компания экономит эти средства и сокращает непродуктивные часы сотрудников.

  • Автоматизация рутинных задач

Раньше системному администратору приходилось вручную прописывать по 50–100 правил для разных подразделений и следить за обновлением баз сигнатур. NGFW делает это автоматически: обновления загружаются по расписанию, а при появлении новой угрозы экран сам блокирует подозрительный трафик. В одной московской компании после перехода на NGFW команда сократила время на настройку правил с двух дней до двух часов в месяц. Это устраняет «человеческий фактор»: меньше опечаток в правилах и меньше незакрытых уязвимостей.

  • Централизованное управление политиками безопасности

Все правила и отчёты собираются в единой консоли. Вы можете задать общие политики для всей фирмы и создать исключения для отдельных отделов. Например, отдел продаж работает с облачной CRM, а юридический отдел — с порталом судебных актов. NGFW позволяет в пару кликов разрешить доступ первым и запретить вторым, сохраняя единый реестр изменений. При проверке по закону о персональных данных (152-ФЗ) или требованиям ЦБ достаточно экспортировать готовый отчёт из дашборда. Это освобождает время IT-менеджера и позволяет предпринимателю получить ясную картину защищённости сети за пять минут.

Ключевые модули NGFW — что искать при выборе

IPS и IDS — уровни защиты и методы реагирования

Система обнаружения атак (IDS) постоянно сканирует трафик на совпадения с базой известных угроз. Когда появляется «отпечаток» вредоносного кода, IDS оповещает администратора. Система предотвращения атак (IPS) идёт дальше – она автоматически блокирует опасное соединение.

В идеале выбирайте NGFW, где IDS и IPS работают вместе: сначала система предупреждает о подозрении, даёт время оценить ситуацию, а при подтверждении правила защиты активируются мгновенно. Так вы не упустите ни одну угрозу и одновременно сохраните гибкость управления.

DLP — блокировка утечек по контенту и контексту

Модуль Data Loss Prevention ищет в трафике «чувствительные» данные: персональные данные клиентов, бухгалтерские отчёты, договоры. DLP анализирует содержимое файлов и даже контекст передачи. Если сотрудник пытается отправить прайс-лист на внешний почтовый ящик, система может автоматически заблокировать отправку. Оцените возможность настройки шаблонов правил под российские требования 152-ФЗ: например, распознавание паспортных данных или СНИЛС.

VPN и сегментация сети — безопасная удалёнка

Удалённые сотрудники подключаются к офисной сети через VPN-канал, а NGFW шифрует весь трафик. Выбирайте решение с поддержкой современных протоколов (IPSec и SSL/TLS) и возможностью двухфакторной аутентификации по российским стандартам.

Сегментация разделит сеть на зоны с разными правами доступа. Так бухгалтерия будет работать в одной зоне, а отдел продаж в другой. Даже если злоумышленник проникнет в сегмент с низкими правами, он не сможет добраться до финансовых серверов.

Отчётность и мониторинг — готовые дашборды и интеграция с SIEM

Хороший NGFW поставляется с готовыми отчётами по активности сотрудников, попыткам атак и состоянию модулей безопасности. Дашборды показывают ключевые метрики в виде простых графиков: сколько заблокировано фишинговых писем, какие устройства вызывают подозрения.

Для крупных компаний важно соединить логи фаервола с единой системой управления событиями (SIEM). Это позволяет видеть полную картину безопасности и оперативно реагировать на инциденты. Убедитесь, что NGFW умеет отправлять данные в популярные российские SIEM-решения или экспортировать их в формате CSV/XML.

Критерии оценки и сравнения решений NGFW

Обращайте внимание на 4 ключевые характеристики:

1. Производительность и пропускная способность. При выборе NGFW важно смотреть, сколько данных фаервол может пропустить через себя без задержек. Для небольшой компании хватит 100–200 Мбит/с, а крупному офису с сотней сотрудников потребуется 1–2 Гбит/с. Проверьте, как меняется скорость при включённых модулях DPI и IPS. Например, аппарат с заявленной пропускной способностью 1 Гбит/с в реальности может дать только 600 Мбит/с под нагрузкой «глубокого анализа».

2. Масштабируемость и лицензирование. У разных вендоров модели оплаты строятся по-разному:

— По ядрам процессора. Чем больше ядер, тем выше скорость обработки, но и стоимость лицензии растёт пропорционально.

— По числу сессий. Лицензия ограничивает количество одновременных соединений. Для компаний с активным трафиком VoIP и облачными сервисами это может стать узким местом.

— По функциональным модулям. Часто базовый комплект включает лишь DPI, а модуль DLP или антивирус приобретается дополнительно.

3. Удобство управления. Интерфейс должен быть интуитивно понятным: в пару кликов создавать или изменять правила для разных отделов, просматривать отчёты и графики. Ищите решения с русскоязычной консолью и встроенными подсказками. Важна поддержка API. С его помощью IT-команда может автоматизировать задачи: обновлять списки доверенных адресов или отключать удалённый доступ сотрудникам по скрипту в случае инцидента.

4. Интеграция с существующей инфраструктурой и облаками. Проверьте, как NGFW работает с вашими серверами аутентификации. Удобно, когда можно подтянуть список сотрудников автоматически. Для компаний, использующих российские облачные платформы, важно наличие шаблонов развертывания виртуального фаервола прямо в облаке. А интеграция с SIEM-системами позволит собрать логи со всех устройств в одном месте и реагировать на угрозы быстрее.

On-premise, виртуальный и облачный NGFW: что выбрать

  • Локальные (аппаратные) решения

Локальный NGFW — это физическое устройство. Его преимущества: стабильная производительность без зависимости от внешнего интернета и полный контроль над оборудованием и данными, всё под ключ внутри вашей сети.

Есть и минусы — высокие первоначальные затраты на закупку и установку, понадобится место в серверной, запасные части и квалифицированный инженер. Обновления прошивки иногда требуют перезагрузки устройства, могут быть кратковременные простои.

  • Виртуальные NGFW

Виртуальный фаервол разворачивают как программу на вашем сервере в дата-центре или в частном облаке. Он выполняет те же функции, что и аппаратный.

Этот вариант подходит компаниям с собственной виртуальной инфраструктурой. Например, если вы арендуете виртуальные машины в «Яндекс.Облаке», можно быстро развернуть виртуальный NGFW, указав нужные шаблоны в панели управления. Расходы обычно ниже, чем на железо, и масштабирование происходит за счёт перераспределения ресурсов виртуального дата-центра.

  • Облачные NGFW-сервисы

Провайдеры облака предлагают NGFW как сервис: вы подключаетесь к их платформе и оплачиваете только фактическое использование.

Гибкость такого решения позволяет быстро менять пропускную способность в пиковые часы и снижать расходы в «тихие» периоды. При этом вы не заботитесь о железе и его обслуживании. Минус — зависимость от провайдера: если у него произойдёт сбой или технические работы, ваша сеть будет частично или полностью без защиты. Кроме того, некоторые организации, работающие с персональными данными, предпочитают хранить всё на своих площадках и могут столкнуться с ограничениями при использовании публичного облака.

Альтернативы NGFW и когда их стоит рассмотреть

— Классические фаерволы

Они проверяют адреса и порты, как охранник на входе — пропустят только знакомых и заблокируют незнакомцев. Для простых офисов с небольшим количеством серверов и стандартным набором сервисов такой фаервол может быть достаточен. Если вы не храните чувствительные данные и сеть не подвергается сложным атакам, классический фаервол закроет базовые риски без лишних затрат.

— UTM-платформы

Unified Threat Management объединяет в одном устройстве фаервол, антивирус, систему обнаружения атак и защиту от спама. Это универсальный инструмент для малого и среднего бизнеса, где нет отдельного штатного специалиста по безопасности. Ограничение UTM в том, что при росте нагрузки (например, когда штат расширяется или появляется много облачных сервисов) производительность падает. Если ваша компания планирует быстро расти, UTM может стать «узким горлышком» в защите.

— SASE и облачные CASB

Secure Access Service Edge (SASE) и Cloud Access Security Broker (CASB) выносят защиту в облако. Это значит, что проверка и фильтрация трафика идут на стороне провайдера, а не у вас в офисе. Такой подход удобен для распределённых компаний с удалёнными офисами и фрилансерами. Минус в том, что часть контроля уходит провайдеру, и он может не знать всех нюансов российского законодательства по защите персональных данных (152-ФЗ).

FAQ: ответы на частые вопросы

Когда можно сэкономить без NGFW?

В двух основных случаях:

  • Если в офисе до 20 сотрудников и нет критичных сервисов, классический фаервол или UTM закроют основные угрозы.
  • Если сеть полностью изолирована от интернета (редкие случаи), достаточно базовой настройки маршрутизатора.

В каждом важно понимать: экономия без NGFW увеличивает риски пропустить сложную атаку или утечку. Решившись на упрощённую защиту, приготовьтесь к более частым проверкам и тщательному мониторингу событий вручную.

Сколько лицензий покупать?

Лицензия обычно привязывается к числу ядер или к количеству одновременных сессий. Оцените среднюю нагрузку: сколько пользователей одновременно работают в CRM, отправляют письма, проводят видеоконференции. Если в пиковые часы у вас 50 одновременных соединений, выбирайте лицензию минимум на 100–150 сессий. Это даст запас на рост в следующие 1–2 года.

Правда ли, что NGFW всегда дороже UTM?

Встречается мнение, что NGFW — это «дорогая игрушка». На самом деле UTM — это тот же фаервол с включением всех модулей сразу. При росте нагрузки UTM быстро теряет производительность, и приходится покупать более мощные устройства. У NGFW вы самостоятельно включаете нужные функции и платите только за них. В долгосрочной перспективе это может оказаться даже выгоднее.

Опасно ли использовать облачный NGFW?

Зависимость от провайдера есть, но многие облачные платформы уже сертифицированы по российским стандартам. Главное — выбирать сервис с гарантированным SLA и возможностью резервирования регионов. Облачный NGFW подходит для распределённых команд: не нужно держать оборудование в офисе, а защита масштабируется автоматически.

Как понять, что фаервол устарел?

Если вы видите рост числа инцидентов, постоянные «дыры» в безопасности или снижение скорости сети при включённых модулях, значит, пора менять решение. Опросите IT-специалистов: сколько времени уходит на ручные обновления сигнатур и настройку политик. Если это больше пары часов в неделю, NGFW с автоматическим обновлением и централизованным управлением вернёт это время в рабочий процесс.

 


Попробуете систему в деле? (это бесплатно)

👉 Щелкните здесь, чтобы создать аккаунт 👈

Пробная версия доступна сразу же после создания аккаунта + мы пришлем письмо с подробными инструкциями.

СпрутМонитор главный экран

Похожие записи:

Топ-7 программ для слежения за ПК: как контролировать офисных и удалённых сотрудников Новая версия СпрутМонитор (v.6): Январь 2022 Обзор программ для перехвата электронной почты Обновление СпрутМонитор: 31 Марта 2025 Типы данных и их классификация в компании для защиты от киберугроз UEBA (UBA): как работают системы анализа поведения и какие выбрать в России

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *