NGFW: межсетевой экран нового поколения для корпоративной сети
NGFW (Next-Generation Firewall) — это межсетевой экран, который защищает не периметр в классическом смысле, а конкретные приложения, пользователей и сценарии работы внутри компании.
Зачем это нужно бизнесу
Классический firewall фильтрует трафик по портам и IP-адресам. Этой логики достаточно было в 2005 году, когда «интернет в офисе» означал почту и пару сайтов. Сегодня сотрудник одновременно работает в десятках облачных сервисов, через один и тот же порт 443 ходит и легитимный CRM, и Telegram, и неизвестный SaaS, который ИБ-служба никогда не одобряла.
NGFW решает эту задачу: он видит не «трафик на 443 порт», а «пользователь Иванов открыл Google Drive и пытается выгрузить 4 ГБ файлов». Дальше политика разрешает, блокирует или логирует событие. Для бизнеса это значит контроль над утечками, понимание, что происходит в сети, и возможность доказать аудитору, какие приложения работали в инфраструктуре.
Второй сценарий — защита от современных угроз. Шифровальщики, фишинг, эксплойты для уязвимостей в браузерах — всё это проходит через стандартные веб-порты. Простой firewall их не отличит от Zoom-звонка. NGFW анализирует содержимое сессий, сопоставляет с базами угроз и блокирует подозрительные паттерны до того, как они дойдут до рабочей станции.
Как это работает
В основе NGFW — несколько движков, работающих параллельно на одном устройстве или кластере.
Application Awareness распознаёт конкретные приложения по сигнатурам. То есть устройство понимает, что внутри HTTPS-сессии идёт именно WhatsApp Web, а не Microsoft Teams. Это позволяет писать политики уровня «отдел продаж — да, бухгалтерия — нет».
User Identity связывает IP-адрес с учётной записью Active Directory или другого каталога. В логах NGFW вы видите не «10.0.5.42 пытался скачать», а «sidorov@company.ru пытался скачать». Это критично для расследований и для отчётов перед регулятором.
IPS (Intrusion Prevention System) — встроенный модуль защиты от эксплойтов. Сигнатуры обновляются вендором ежедневно, NGFW сравнивает проходящий трафик с известными шаблонами атак и блокирует совпадения.
SSL/TLS Inspection — расшифровка зашифрованного трафика по согласованным правилам. Без этого функционала NGFW «слеп» примерно к 90% современного веба. Расшифровка делается в режиме man-in-the-middle с корпоративным сертификатом, который ставится на устройства сотрудников через групповые политики.
Sandboxing — отправка подозрительных файлов в изолированную среду для анализа. Если вложение к письму ведёт себя как шифровальщик в песочнице, NGFW блокирует его и для остальных сотрудников.
Когда нужно компании
NGFW имеет смысл внедрять при следующих условиях:
- В компании больше 50 сотрудников и есть выделенный сегмент с конфиденциальными данными (бухгалтерия, разработка, юристы)
- Идёт переход на гибридную работу — часть людей подключается из дома через VPN, и нужно контролировать, что они делают в корпоративной сети
- Регулятор требует журналирование действий пользователей (152-ФЗ, 187-ФЗ для КИИ, отраслевые стандарты для банков и медицины)
- Уже были инциденты — попытки фишинга, заражения, утечки документов
- Компания работает с подрядчиками, которым нужен доступ только к ограниченному набору ресурсов
Малому офису до 20 человек без чувствительных данных часто хватает грамотно настроенного MikroTik или базового UTM. Но как только появляется ERP, CRM с персональными данными клиентов или удалённые офисы — NGFW становится практически обязательным элементом инфраструктуры.
Что включает наша услуга
- Подбор модели NGFW под задачи и бюджет — мы работаем с Check Point, Fortinet, UserGate и российскими сертифицированными решениями
- Проектирование топологии: где встанет устройство, как пройдёт трафик, как обеспечить отказоустойчивость (HA-кластер)
- Настройка политик доступа по группам Active Directory, сегментам сети и приложениям
- Подключение к корпоративному SIEM или нашему NOC 24/7 для мониторинга событий
- Регулярный аудит правил — раз в полгода-год правила NGFW «обрастают» исключениями, мы вычищаем устаревшее
- Обучение администратора заказчика и runbook по типовым инцидентам
Связанные термины
- Check Point NGFW — межсетевой экран Check Point для корпоративной сети — конкретная реализация NGFW от Check Point
- IPsec — VPN-туннели и шифрование между офисами — VPN-туннели, которые часто терминируются на NGFW
- VLAN — виртуальные локальные сети — сегментация сети, на которую опираются политики NGFW
- Wi-Fi enterprise — корпоративный Wi-Fi с SSO и сегментами — корпоративный Wi-Fi, гость и сотрудник попадают в разные политики NGFW
- SD-WAN — программно-определяемая WAN-сеть — программно-определяемая WAN, в современных решениях интегрируется с NGFW
Получить расчёт
Зайдите в калькулятор, отметьте чекбокс «NGFW и сетевая безопасность» и получите ориентир по цене. Финальная смета — после обследования инфраструктуры и согласования модели угроз.
Хотите оценить стоимость под свою инфраструктуру?
Откройте калькулятор, отметьте нужные услуги — получите ориентир за минуту. Финальная смета после обследования (±15%).
Открыть калькулятор Получить КП