.PNG)
1Что такое NGFW
NGFW (Next-Generation Firewall) — межсетевой экран нового поколения, который объединяет классическую фильтрацию трафика по портам и IP-адресам с функциями глубокого анализа пакетов (DPI), контроля приложений, предотвращения вторжений (IPS) и разрыва TLS-сессий. NGFW «понимает» контекст трафика и блокирует угрозы, которые обычный файрвол пропускает.
Традиционный межсетевой экран принимает решение на основе IP-адреса и порта: разрешить или заблокировать. NGFW смотрит глубже — анализирует содержимое пакетов, определяет конкретное приложение (Telegram, Zoom, Tor), обнаруживает вредоносные сигнатуры и аномальное поведение. Это принципиально меняет возможности защиты периметра.
2NGFW vs обычный межсетевой экран: ключевые отличия
| Функция | Классический Firewall | NGFW |
|---|---|---|
| Фильтрация по IP/портам | Да | Да |
| Глубокий анализ пакетов (DPI) | Нет | Да — весь трафик |
| Идентификация приложений | Нет | Да — по поведению, не только по порту |
| Система предотвращения вторжений (IPS) | Нет (отдельное устройство) | Встроено |
| URL-фильтрация и категоризация | Нет | Да — по категориям сайтов |
| TLS-инспекция | Нет | Да — расшифровка и анализ HTTPS |
| Антивирусная проверка трафика | Нет | Да — встроенный AV-движок |
| Контроль пользователей (LDAP/AD) | Нет | Да — политики по пользователям |
Без TLS-инспекции NGFW слеп на 80% трафика
3Что умеет NGFW: ключевые функции
App-ID — идентификация приложений
NGFW определяет приложение независимо от порта. Telegram на 443/tcp, Tor-трафик, корпоративные мессенджеры — всё идентифицируется и блокируется по политике.
IPS — предотвращение вторжений
Встроенная IPS-система сравнивает трафик с базой сигнатур атак (эксплойты, сканеры, C2-коммуникации). Обновления сигнатур поступают автоматически от вендора.
TLS/SSL-инспекция
NGFW «разрывает» зашифрованную сессию, анализирует содержимое и устанавливает новое шифрованное соединение. Без этого 80% угроз в HTTPS остаются невидимыми.
URL-фильтрация
Блокировка сайтов по категориям (фишинг, gambling, соцсети) и репутационным базам. Защита сотрудников от перехода на вредоносные страницы.
Threat Intelligence и Sandbox
Подозрительные файлы отправляются в облачную песочницу для поведенческого анализа. Известные угрозы блокируются мгновенно по репутационным фидам.
Сегментация и микросегментация
NGFW разделяет сеть на зоны безопасности (DMZ, серверный сегмент, рабочие станции, АСУ ТП) и контролирует трафик между ними по строгим политикам.
4Российские NGFW: сравнение решений
После 2022 года западные NGFW (Palo Alto, Check Point, Fortinet, Cisco) стали недоступны для большинства российских компаний. Рынок перешёл на отечественные решения, включённые в реестр отечественного ПО и сертифицированные ФСТЭК.
| Решение | Вендор | Сертификат ФСТЭК | Особенности |
|---|---|---|---|
| UserGate NGFW | UserGate | Да (4 класс) | DPI, IPS, URL-фильтрация, SD-WAN, ГОСТ-VPN, поддержка КИИ |
| Континент 4 | Код Безопасности | Да (2 класс) | ГОСТ-шифрование, IPS, поддержка ГИС и КИИ 1-й категории |
| ViPNet NGFW | ИнфоТеКС | Да (ФСБ + ФСТЭК) | ГОСТ VPN + NGFW, защита гостайны, ведомственные сети |
| PT NGFW | Positive Technologies | В процессе (2025) | Собственный L7-движок, DPI, IPS, интеграция с PT NAD и SIEM |
| Рубикон-К | НПО Эшелон | Да (1 класс) | Межсетевой экран для высококритичных объектов КИИ |
Как выбрать NGFW для КИИ
5NGFW и SOC: как они работают вместе
NGFW — источник критически важных событий для SOC. Интеграция NGFW с SIEM-системой позволяет аналитикам видеть полную картину угроз: кто куда ходит, что блокируется, какие аномалии возникают в сетевом трафике.
Экспорт событий в SIEM
NGFW передаёт логи блокировок, IPS-алертов, URL-фильтрации и DPI-событий в SIEM по Syslog/CEF/JSON. Аналитики SOC получают полный контекст инцидента.
Автоматическое реагирование
SOAR-платформа отправляет команду в NGFW: заблокировать IP-адрес, изолировать сегмент, закрыть порт. Время реагирования — секунды вместо минут.
Threat Intelligence feeds
SOC получает актуальные фиды угроз (IOC: IP, домены, хеши файлов) и автоматически загружает их в NGFW для блокировки известных C2-серверов.
Анализ зашифрованного трафика
TLS-инспекция NGFW открывает для SOC содержимое HTTPS-трафика. Сокрытые в шифровании C2-коммуникации вредоносного ПО становятся видимы аналитикам.
NGFW без мониторинга — замок без охраны
68% атак обнаруживаются через анализ сетевого трафика
По данным отчёта Positive Technologies за 2025 год. NGFW создаёт события, SOC их анализирует — без связки одно без другого неэффективно
6NGFW как управляемый сервис от КРЕДО-С
Купить NGFW — только первый шаг. Настройка политик, обновление сигнатур, мониторинг алертов, реагирование на инциденты — всё это требует экспертизы и времени. КРЕДО-С берёт управление NGFW на себя: настраиваем, обновляем, мониторим 24/7 и реагируем на угрозы в рамках единого SOC-сервиса.
24/7
Мониторинг
событий NGFW
<30м
Реагирование
на критический алерт
99.9%
Доступность
управляемого сервиса
от 50K
₽/мес
управление NGFW
Эта статья подготовлена командой КРЕДО-С — эксперта по информационной безопасности с 1993 года. Используйте наш калькулятор стоимости SOC, пройдите бесплатный экспресс-аудит ИБ или проверьте размер штрафов за нарушения ИБ.
Юрий Вишняков
Руководитель отдела практической информационной безопасности
Мониторинг ИТ-инфраструктуры клиентов и оперативное реагирование на инциденты. Руководит командой SOC-аналитиков 24/7. Экспертиза: SIEM, EDR/XDR, Threat Hunting, IR.