Журнал "Information Security/ Информационная безопасность" #4, 2025

Первое, с чего хотелось бы начать, – определить, чем NGFW отличается от FW. Для этого воспользуемся опреде- лением от аналитического агентства Gartner. NGFW выходит за рамки тради- ционной фильтрации пакетов и контроля состояния соединений и включает в себя дополнительные функции: глубокую инспекцию пакетов (DPI) и контроль приложений (AppID), интегрированную систему предотвращения вторжений (IPS), инспекцию зашифрованного тра- фика (SSL/TLS Inspection), привязку политик безопасности к пользователям (UserID), фильтрацию по содержимому внутри трафика (ContentID), интеграцию с внешними системами. NGFW обычно устанавливается на периметре сети, между внутренней сетью организации и внешними сетями. FW могут применяться для защиты как пери- метра, так и границ между локальными сегментами сети. При внедрении NGFW нужно учиты- вать ряд ключевых моментов. Рассмот- рим некоторые из них. Выполнение сложных функций обра- ботки трафика требует значительных вычислительных ресурсов. Если про- изводительность NGFW окажется недо- статочной, то одновременное использо- вание всех функций безопасности станет невозможным. В таком случае устрой- ство будет работать как обычный FW. NGFW требует постоянного сопровож- дения: необходимо регулярно обновлять ПО, адаптировать правила под изме- няющиеся условия сетевого ландшафта, отслеживать причины блокировки сете- вого трафика и анализировать ложные срабатывания. Средства защиты, входящие в состав NGFW, могут иметь ряд технических ограничений: система предотвращения вторжений (IPS) может не выявить атаки, если злоумышленники используют мето- ды маскировки сигнатур или неизвест- ные уязвимости (эксплойты); потоковый антивирус анализирует трафик лишь в рамках заданного окна анализа, что снижает его эффективность против сложных или фрагментированных атак; средства инспекции шифрованного тра- фика (SSL/TLS Inspection) не работают при наличии механизмов защиты от подмены сертификатов (например, Cer- tificate Pinning) или при использовании неподдерживаемых протоколов. При этом NGFW не способен пол- ностью заменить специализированные СЗИ и его следует воспринимать как элемент комплексной системы инфор- мационной безопасности, а не как само- стоятельное универсальное средство защиты. NGFW может иметь ограничения в части сетевых функций или совмести- мости с имеющимся оборудованием. Это может привести к необходимости внесения изменений или даже полной перестройки существующей ИТ-инфра- структуры организации. При выборе NGFW важно учитывать не только стоимость самого устройства, но и затраты на его внедрение и после- дующую эксплуатацию. На этапе внед- рения необходима тщательная настройка всех компонентов безопасности, чтобы обеспечить оптимальный баланс между производительностью сети и уровнем ее защищенности. Во время эксплуата- ции, помимо расходов на обслуживание, также учитываются регулярные платежи за продление подписок на обновления модулей и поддержание актуальности различных баз данных. Хотя NGFW предлагает расширенные функциональные возможности по сравнению с традиционными межсете- выми экранами, классические FW про- должают эффективно обеспечивать базовую защиту благодаря сегментации и микросегментации сетей. Более того, многие современные FW уже оснащены дополнительными механизмами без- опасности, такими как встроенная система предотвращения вторжений (IPS). Выбор между FW и NGFW следует основывать на следующих ключевых факторах: функциях безопасности, которые действительно необходимы для защиты организации; производи- тельности, которую должно обеспечи- вать решение с включенными функ- циями безопасности на определенном сетевом трафике; учете уже суще- ствующих средств защиты информации в организации; возможности интегра- ции в существующую инфраструктуру с сохранением функций безопасности; стоимости внедрения и эксплуатации решения. Оптимальным решением может стать гибридный подход: использование NGFW на периметре сети для глубокого анали- за сетевого трафика и защиты от угроз; применение классического FW для сег- ментации внутренних сетей и контроля доступа между сегментами. Реализовать подобный подход можно с помощью межсетевого экрана нового поколения "Рубикон Nova" от ГК "Эшелон" благо- даря его модульной архитектуре. Решение включает в себя классиче- ские функции FW, такие как IP-маршру- тизация, NAT/PAT и фильтрация пакетов на уровнях L2–L4 модели OSI. Дополни- тельно "Рубикон Nova" реализует глубо- кий анализ сетевого трафика вплоть до уровня приложений (L7), включая обра- ботку запросов, ответов, статус-кодов и сеансов связи. "Рубикон Nova" легко использовать и для защиты периметра, и в роли классического FW. Управление решением возможно через веб-интер- фейс или SSH-CLI. Попробовать "Руби- кон Nova" можно, заполнив форму на странице продукта 1 . l 66 • СПЕЦПРОЕКТ Что выбрать: FW или NGFW? нтерес к теме NGFW в последние годы значительно возрос – ее активно обсуждают в профессиональном сообществе, а на рынке стали появляться новые решения. Попробуем разо- браться, действительно ли межсетевой экран нового поколе- ния (NGFW, Next-Generation Firewall) может заменить клас- сический межсетевой экран (FW, Firewall). И Игорь Хмелев, заместитель директора центра специальных разработок НПО “Эшелон” “Используй правильные инструменты для правильной работы” Генри Форд Фото: НПО "Эшелон" 1 https://npo-echelon.ru/rubicon_nova/ На правах рекламы