Запрос «российский NGFW аналог Fortinet» за последние пару лет стал одним из самых частых в корпоративной ИБ. Логика понятна: на границе сети у многих компаний годами стоял Fortinet, Palo Alto или Check Point, к ним привыкли, под них написаны регламенты. А теперь нужно официально поддерживаемое, обновляемое и — для части организаций — сертифицированное решение, которое можно купить и обслуживать в России в 2026 году.
Сложность в том, что «аналог» — это не строчка в прайсе. NGFW — это центральный узел сетевой безопасности, и заменить его «один в один» нельзя: у каждого вендора своя логика политик, свой набор функций, своя нагрузочная характеристика. Поэтому ниже — не рейтинг «лучший NGFW», а честная карта рынка и понятные критерии, по которым выбор делается под конкретную сеть.
Мы в «Кибер Авангард» внедряем и обслуживаем NGFW как часть IT-аутсорсинга и услуг информационной безопасности. Мы не вендор и не разрабатываем межсетевые экраны — мы помогаем выбрать подходящее решение, внедрить его без простоя и держать в работе по SLA. Поэтому смотрим на задачу глазами того, кто потом отвечает за то, чтобы это работало.
Что такое NGFW и чем он отличается от обычного firewall
Межсетевой экран (firewall) в классическом понимании — это устройство или ПО, которое фильтрует сетевой трафик по простым признакам: IP-адрес источника и назначения, порт, протокол. Условно: «разрешить трафик из локальной сети на порт 443, запретить всё остальное». Такой firewall не знает, что именно происходит внутри разрешённого соединения.
NGFW (next-generation firewall, межсетевой экран нового поколения) добавляет к этому несколько слоёв интеллекта:
- Распознавание приложений (Application Control) — NGFW видит не «трафик на порт 443», а конкретное приложение: мессенджер, облачное хранилище, торрент, корпоративную ERP. И может управлять доступом на уровне приложения, а не порта.
- Идентификация пользователей — правила привязываются не только к IP, но и к учётной записи сотрудника (через интеграцию со службой каталога). Можно задать «отделу продаж можно X, бухгалтерии — Y».
- Глубокая инспекция пакетов и расшифровка TLS — NGFW заглядывает внутрь зашифрованного трафика (с установленным сертификатом), чтобы проверять содержимое, а не доверять «всё, что по HTTPS, — безопасно».
- Встроенная система предотвращения вторжений (IPS) — обнаружение и блокировка сетевых атак по сигнатурам и аномалиям. Подробнее — в нашей вики-статье IDS/IPS.
- Потоковый антивирус и фильтрация контента — проверка скачиваемых файлов и веб-страниц прямо на шлюзе.
Грубая аналогия: обычный firewall — это вахтёр, который проверяет пропуск на входе. NGFW — это вахтёр, который ещё и знает, кто этот человек, в какой отдел идёт, что несёт в сумке, и сверяется со списком известных нарушителей. Для современной сети, где почти весь трафик зашифрован, а угрозы прячутся внутри легитимных приложений, простого вахтёра уже недостаточно.
Почему компании меняют Fortinet и Palo Alto
Причины делятся на две группы — вынужденные и регуляторные.
Уход вендоров. Fortinet, Palo Alto Networks и Check Point — три из самых распространённых в России до 2022 года NGFW — официально ушли с российского рынка и недоступны для легальной поставки и обновлений с 2022 года. На практике это означает:
- нет официальной техподдержки — при инциденте не к кому обратиться по гарантии;
- не обновляются базы сигнатур угроз, антивируса и IPS — а NGFW без свежих сигнатур быстро теряет эффективность;
- проблемы с продлением и легальностью лицензий;
- «серые» поставки несут риски как с точки зрения закона, так и с точки зрения доверия к самому устройству на границе сети.
Импортозамещение и КИИ. Для государственных организаций и владельцев объектов КИИ (критической информационной инфраструктуры) требования жёстче: средства защиты должны иметь действующий сертификат ФСТЭК России (Федеральной службы по техническому и экспортному контролю), а для криптографии — соответствие ГОСТ и, при необходимости, сертификаты ФСБ. Иностранные NGFW под эти требования не подходят в принципе. Тема импортозамещения шире — мы разбирали её в статье уход Microsoft и вендоров: что делать офису в 2026.
Даже если ваша компания не относится к КИИ и формально не обязана использовать сертифицированное решение, эксплуатировать NGFW без обновлений — это медленно нарастающий риск. Поэтому переход на отечественное решение для большинства — вопрос «когда», а не «нужно ли».
Обзор российских NGFW: что есть на рынке в 2026
Ниже — нейтральный обзор решений, которые присутствуют на российском рынке. Это не рейтинг и не «топ лучших»: подходящее решение определяется не названием, а соответствием задачам конкретной сети. Конкретные классы защиты и номера сертификатов меняются, поэтому их нужно сверять с действующим реестром ФСТЭК России на дату проекта.
| Решение | Вендор | Особенности |
|---|---|---|
| Kaspersky NGFW | «Лаборатория Касперского» | NGFW с собственной экспертизой по угрозам; сертификация ФСТЭК — сверять с реестром на дату. |
| PT NGFW | Positive Technologies | NGFW от профильного ИБ-вендора, интеграция с экосистемой обнаружения угроз; сертификация ФСТЭК — сверять с реестром на дату. |
| «Континент 4» | «Код Безопасности» | Сертифицирован ФСТЭК (по данным вендора — 4 класс; сверять с реестром на дату), поддержка ГОСТ-криптографии, широко применяется в КИИ и госсекторе. |
| «С-Терра Экран-М» | «С-Терра СиЭсПи» | Сертифицированное средство защиты с ГОСТ-криптографией; класс/сертификат сверять с реестром на дату. |
| RusPoint NGFW | RusPoint | По данным вендора — сертификат ФСТЭК (упоминается 6 класс; сверять с реестром на дату). |
| UserGate NGFW | UserGate | Одно из давно представленных на рынке отечественных NGFW; сертификация — сверять с реестром на дату. |
| Ideco NGFW Novum | Ideco | NGFW с фокусом на удобство управления; сертификация — сверять с реестром на дату. |
| ViPNet | «ИнфоТеКС» | Линейка с поддержкой ГОСТ-криптографии, имеет сертификаты ФСТЭК и ФСБ (сверять с реестром на дату), применяется в КИИ и госсекторе. |
| Solar | «РТК-Солар» (Ростелеком) | Решения в составе экосистемы кибербезопасности Ростелекома; состав и сертификация — сверять на дату. |
* Классы защиты и номера сертификатов ФСТЭК указаны по открытым данным вендоров и подлежат проверке по действующему реестру ФСТЭК России на дату проекта — статусы периодически обновляются.
Несколько важных оговорок. Во-первых, наличие средства в этом списке не означает, что оно подойдёт именно вам — у решений разная производительность, разный набор функций и разная зрелость на момент проекта. Во-вторых, для криптографических функций (ГОСТ-VPN) и для применения на КИИ статус сертификата критичен и проверяется отдельно. В-третьих, рынок отечественных NGFW активно развивается: появляются новые версии и сертификаты, поэтому любую цифру по классу защиты нужно подтверждать актуальными документами вендора и реестром ФСТЭК.
Критерии выбора межсетевого экрана
Выбор NGFW сводится не к «какой бренд лучше», а к проверке решения по нескольким объективным критериям.
1. Производительность под вашу нагрузку
Ключевой и чаще всего недооценённый критерий. У NGFW есть паспортная пропускная способность, но она резко падает при включении «тяжёлых» функций — расшифровки TLS, глубокой инспекции, IPS, антивируса. Устройство, которое «держит 10 Гбит/с» в режиме простого firewall, с полной инспекцией может выдавать в разы меньше. Поэтому смотреть нужно на производительность с включёнными функциями, которые вы реально будете использовать, и закладывать запас на рост трафика.
2. Сертификация ФСТЭК (и ФСБ для криптографии)
Если вы — объект КИИ, госорганизация или работаете с такими заказчиками, действующий сертификат ФСТЭК соответствующего класса обязателен. Если нет — формально можно использовать несертифицированное решение, но сертификат всё равно косвенно говорит о зрелости продукта. Класс и номер сертификата сверяются с реестром ФСТЭК России на дату закупки.
3. Поддержка ГОСТ-криптографии
Нужна, если вы строите VPN-каналы или защищаете данные с требованием соответствия российским криптоалгоритмам. Здесь сильны решения, изначально построенные вокруг ГОСТ — например, ViPNet и «Континент». Для коммерческой компании без таких требований ГОСТ-криптография часто избыточна.
4. Функциональная полнота под ваши задачи
Составьте список того, что NGFW должен уметь именно у вас: контроль приложений, фильтрация веб-трафика, IPS, антивирус, VPN для удалённых сотрудников (см. Remote VPN), интеграция со службой каталога, отчётность. Не все решения одинаково сильны во всех функциях — где-то лучше IPS, где-то удобнее управление, где-то богаче веб-фильтрация.
5. Поддержка и сопровождение
NGFW требует постоянного обслуживания: обновление сигнатур, разбор инцидентов, корректировка политик. Важно понимать, кто это будет делать — штатный инженер, вендор или IT-аутсорсер. Доступность экспертизы по конкретному продукту на рынке (сколько интеграторов умеют его настраивать) — тоже критерий выбора.
6. Совокупная стоимость владения
Считать нужно не цену устройства, а стоимость за несколько лет: лицензии и их продление, обновления сигнатур, обслуживание, обучение. Дешёвое в закупке решение может оказаться дорогим в эксплуатации, и наоборот.
Внедрение и обслуживание: роль IT-аутсорсера
NGFW — это тот случай, когда «купить» и «работает» разделяют недели правильной работы. Вот как выглядит грамотное внедрение и почему его обычно отдают профильному подрядчику.
Этап 1. Обследование и выбор. Аудит текущей сети и политик безопасности: что фильтруется сейчас, какие приложения критичны, какой объём трафика, есть ли требования КИИ и ГОСТ. На выходе — обоснованный выбор решения под задачи, а не «взяли то, что на слуху».
Этап 2. Проектирование политики. Здесь главная ошибка — попытка «перенести правила Fortinet один в один». Прямого переноса не существует: логика объектов и правил у вендоров разная. Политику пересобирают заново, опираясь на реальные потребности, а не на исторический набор правил, в котором половина уже не нужна.
Этап 3. Тестовый стенд и пилот. NGFW сначала разворачивают на стенде, затем включают в сеть в режиме мониторинга (без блокировок) — чтобы увидеть, что он будет фильтровать, и отловить ложные срабатывания до того, как они заблокируют рабочий трафик. Пропуск этого этапа — главная причина «после установки NGFW перестала работать 1С / почта / телефония».
Этап 4. Перевод в боевой режим. Поэтапное включение блокировок, контроль за тем, что легитимный трафик не страдает, фиксация финальной конфигурации.
Этап 5. Обслуживание. И вот здесь — самое важное. NGFW не «ставится и забывается». Ему нужны регулярные обновления сигнатур, разбор инцидентов и аномалий, корректировка политик при каждом изменении в сети, реакция на новые угрозы. Для среднего бизнеса держать ради этого отдельного штатного инженера по ИБ дорого и неэффективно — специалист такого уровня будет недозагружен.
Поэтому средний бизнес чаще отдаёт NGFW на IT-аутсорсинг: провайдер управляемых услуг ведёт устройство в рамках мониторинга 24/7, реагирует на инциденты по SLA, обновляет правила и отвечает за то, чтобы межсетевой экран реально защищал. Это часть более широкой задачи — управляемой информационной безопасности, рядом с регулярным аудитом ИБ и защитой от утечек данных.
Именно так мы и работаем в «Кибер Авангард»: помогаем выбрать NGFW под вашу сеть и требования регуляторов, внедряем его без простоя по этапам выше и обслуживаем в рамках IT-аутсорсинга с круглосуточным мониторингом. Мы не привязаны к одному вендору, поэтому советуем то, что подходит вашей задаче, а не то, что нам выгоднее продать.
FAQ
Чем NGFW отличается от обычного межсетевого экрана?
Обычный firewall фильтрует трафик по портам, IP-адресам и протоколам — он не знает, какое приложение работает внутри соединения. NGFW дополнительно распознаёт приложения и пользователей, инспектирует содержимое пакетов (в том числе расшифровывает TLS), встраивает IPS, антивирус и контроль доступа в интернет. Грубо: классический firewall видит «трафик на порт 443», NGFW видит «сотрудник Иванов выгружает файл в облачное хранилище».
Почему российские компании меняют Fortinet и Palo Alto?
Иностранные NGFW — Fortinet, Palo Alto Networks, Check Point — официально ушли с российского рынка и недоступны для легальной поставки и обновлений с 2022 года. Это значит отсутствие официальной техподдержки, обновлений сигнатур и гарантий по лицензиям. Параллельно действуют требования импортозамещения и регуляторика для объектов КИИ, где нужен NGFW с действующим сертификатом ФСТЭК.
Какие российские NGFW сертифицированы ФСТЭК?
По состоянию на 2025 год на рынке присутствуют, в частности: Kaspersky NGFW, PT NGFW (Positive Technologies), «Континент 4» (Код Безопасности), «С-Терра Экран-М», RusPoint NGFW, UserGate NGFW, Ideco NGFW Novum, ViPNet (ИнфоТеКС). ViPNet и «Континент» дополнительно поддерживают ГОСТ-криптографию и применяются в КИИ и госсекторе. Конкретный класс защиты и номер сертификата нужно сверять с действующим реестром ФСТЭК России на дату проекта.
Что такое поддержка ГОСТ-криптографии и кому она нужна?
ГОСТ-криптография — это российские криптоалгоритмы, применение которых обязательно для защиты ряда государственных и КИИ-систем. Если VPN или шифрование каналов должны соответствовать требованиям регуляторов, NGFW должен поддерживать ГОСТ и иметь соответствующие сертификаты (в том числе ФСБ для криптосредств). Для коммерческой компании без КИИ ГОСТ-криптография обычно не обязательна.
Можно ли просто заменить Fortinet на российский NGFW «один в один»?
Прямого переноса конфигурации не существует — у разных вендоров своя логика политик, объектов и правил. Миграция всегда включает аудит текущих правил, проектирование новой политики, тестовый стенд и поэтапное переключение. Важно не «перенести правила», а пересобрать политику безопасности с учётом реальных потребностей сети.
Сколько занимает внедрение NGFW?
Зависит от размера сети и числа правил. Типовой проект проходит этапы: обследование и выбор, поставка, настройка на стенде, пилот в режиме мониторинга, перевод в боевой режим. Перевод в бой без пилота — главная причина сбоев, поэтому тестирование сокращать не стоит. Точные сроки определяются после аудита.
Нужен ли отдельный специалист для обслуживания NGFW?
NGFW — это не «поставил и забыл»: нужны обновление сигнатур, разбор инцидентов и ложных срабатываний, корректировка политик. Держать для этого отдельного штатного инженера дорого и оправдано только в крупных компаниях. Средний бизнес обычно отдаёт обслуживание NGFW на IT-аутсорсинг с мониторингом 24/7 и SLA.
Вывод
«Российский NGFW аналог Fortinet» — это не один продукт, а целый рынок зрелых отечественных решений: Kaspersky NGFW, PT NGFW, «Континент», ViPNet, UserGate, Ideco и другие. Выбор делается не по бренду, а по объективным критериям: реальная производительность с включёнными функциями, наличие нужной сертификации ФСТЭК, поддержка ГОСТ (если требуется), функциональная полнота под ваши задачи и доступность сопровождения.
И главное: NGFW защищает не фактом покупки, а правильным внедрением и постоянным обслуживанием. Грамотный переход с ушедшего вендора — это аудит, пересборка политики, пилот в режиме мониторинга и дальнейшее ведение устройства по SLA. Именно эту часть «Кибер Авангард» берёт на себя как IT-аутсорсер: помогаем выбрать решение под вашу сеть, внедряем без простоя и обслуживаем с мониторингом 24/7.
Если у вас на границе сети всё ещё стоит Fortinet, Palo Alto или Check Point без обновлений — напишите нам, проведём аудит и предложим план перехода на сертифицированное российское решение под вашу нагрузку и требования.
Аудит сети и план перехода с ушедшего вендора
Проверим текущую инфраструктуру, подберём сертифицированное решение под вашу нагрузку и предложим план внедрения без простоя. Аудит ни к чему не обязывает.