Почему все переходят на файрволы следующего поколения (NGFW)
Что такое Firewall?
15.01.2025
Как провести комплексную оценку IT-рисков
16.01.2025
Введение
Если обратиться к любому производителю устройств для сетевой защиты, он быстро и убедительно докажет, что его компания выпускает самые передовые файрволы нового поколения, которые значительно превосходят конкурентов. Причём, чаще всего он говорит правду, но концепция NGFW достаточно расплывчата: каждый производитель определяет её по-своему. Разобраться, действительно ли это «новое поколение» или просто изменён номер модели, непросто.
Ключевые отличия NGFW от классических файрволов
Главная особенность NGFW — возможность распознавать и контролировать приложения. Среди других функций:
- Система предотвращения вторжений (IPS);
- Глубокий анализ пакетов (DPI);
- Фильтрация URL и оценка репутации веб-сайтов;
- Распознавание формата контента и данных;
- Использование учетных записей пользователей и групп;
- Расшифровка и инспекция SSL-трафика.
Можно добавить и другие возможности: подключение антивирусных движков, защита от ботнетов, удаленный доступ, поддержка виртуальных маршрутизаторов и зон безопасности. Современные NGFW — это не просто файрвол между двумя сетями, это целый комплекс функций безопасности в одном устройстве.
Выбор нужного функционала
Важно не количество функций, а их соответствие вашим задачам и качество реализации в конкретном устройстве. Например, лицензирование модулей NGFW имеет значение: нет смысла переплачивать за функции, которые вы не используете, но полезно иметь возможность быстро активировать их при необходимости.
Рынок и лидеры
По данным Gartner, верхний правый квадрант «Лидерства» занимают лишь две компании: Check Point Software Technologies и Palo Alto Networks. Fortinet, Cisco и Juniper Networks находятся в квадранте «Претенденты», а остальные производители — в «Нишевых игроках». Похоже, революционных изменений в ближайшее время не предвидится.
NGFW и защита от новых угроз
Считается, что NGFW могут защищать от уязвимостей «нулевого дня» и целевых атак. На практике эти возможности часто преувеличены. NGFW лучше рассматривать как часть комплексной системы защиты, интегрированной с другими элементами безопасности и облачными сервисами для обновления баз знаний в реальном времени.
Администрирование NGFW
Ключевой вопрос: кто в вашей организации будет управлять новым оборудованием? Даже если интегратор настроит устройство на этапе внедрения, без подготовленных специалистов эффективность может быстро снизиться. Недостаток понимания механизмов NGFW может привести к отключению «ненужных» функций, что снизит уровень защиты. Поэтому важно обучать персонал или рассмотреть аутсорсинг управления.
Организация DMZ с NGFW
Классическая схема демилитаризованной зоны (DMZ) предполагает два отдельных файрвола: один для защиты DMZ от внешних угроз, другой — для защиты внутренней сети от DMZ. Функции NGFW, такие как распознавание приложений, фильтрация URL и инспекция SSL, чаще применяются для анализа исходящего трафика. Для эффективного контроля:
- NGFW на внешней границе DMZ — анализ входящего трафика;
- NGFW на внутренней границе — анализ исходящего трафика;
- Если бюджет ограничен — приоритет должен определять организация.
В некоторых компаниях для анализа исходящего трафика используют специализированные прокси-серверы.
Преимущества NGFW
Подводя итог, NGFW предоставляют следующие преимущества по сравнению с классическими файрволами:
- Более гибкие и удобные правила фильтрации;
- Возможность управлять трафиком P2P-приложений, невозможная на старых FW;
- Объединение нескольких систем безопасности в одном устройстве;
- Поддержка современных функций, позволяющих ограничивать возможности как внешних атакующих, так и сотрудников организации.
Таким образом, NGFW — это не просто эволюция классического файрвола, а полноценная платформа сетевой безопасности для современных корпоративных сетей.
