Главная Вики Сеть

NGFW: межсетевой экран нового поколения для корпоративной сети

NGFW (Next-Generation Firewall) — это межсетевой экран, который защищает не периметр в классическом смысле, а конкретные приложения, пользователей и сценарии работы внутри компании.

Зачем это нужно бизнесу

Классический firewall фильтрует трафик по портам и IP-адресам. Этой логики достаточно было в 2005 году, когда «интернет в офисе» означал почту и пару сайтов. Сегодня сотрудник одновременно работает в десятках облачных сервисов, через один и тот же порт 443 ходит и легитимный CRM, и Telegram, и неизвестный SaaS, который ИБ-служба никогда не одобряла.

NGFW решает эту задачу: он видит не «трафик на 443 порт», а «пользователь Иванов открыл Google Drive и пытается выгрузить 4 ГБ файлов». Дальше политика разрешает, блокирует или логирует событие. Для бизнеса это значит контроль над утечками, понимание, что происходит в сети, и возможность доказать аудитору, какие приложения работали в инфраструктуре.

Второй сценарий — защита от современных угроз. Шифровальщики, фишинг, эксплойты для уязвимостей в браузерах — всё это проходит через стандартные веб-порты. Простой firewall их не отличит от Zoom-звонка. NGFW анализирует содержимое сессий, сопоставляет с базами угроз и блокирует подозрительные паттерны до того, как они дойдут до рабочей станции.

Как это работает

В основе NGFW — несколько движков, работающих параллельно на одном устройстве или кластере.

Application Awareness распознаёт конкретные приложения по сигнатурам. То есть устройство понимает, что внутри HTTPS-сессии идёт именно WhatsApp Web, а не Microsoft Teams. Это позволяет писать политики уровня «отдел продаж — да, бухгалтерия — нет».

User Identity связывает IP-адрес с учётной записью Active Directory или другого каталога. В логах NGFW вы видите не «10.0.5.42 пытался скачать», а «sidorov@company.ru пытался скачать». Это критично для расследований и для отчётов перед регулятором.

IPS (Intrusion Prevention System) — встроенный модуль защиты от эксплойтов. Сигнатуры обновляются вендором ежедневно, NGFW сравнивает проходящий трафик с известными шаблонами атак и блокирует совпадения.

SSL/TLS Inspection — расшифровка зашифрованного трафика по согласованным правилам. Без этого функционала NGFW «слеп» примерно к 90% современного веба. Расшифровка делается в режиме man-in-the-middle с корпоративным сертификатом, который ставится на устройства сотрудников через групповые политики.

Sandboxing — отправка подозрительных файлов в изолированную среду для анализа. Если вложение к письму ведёт себя как шифровальщик в песочнице, NGFW блокирует его и для остальных сотрудников.

Когда нужно компании

NGFW имеет смысл внедрять при следующих условиях:

Малому офису до 20 человек без чувствительных данных часто хватает грамотно настроенного MikroTik или базового UTM. Но как только появляется ERP, CRM с персональными данными клиентов или удалённые офисы — NGFW становится практически обязательным элементом инфраструктуры.

Что включает наша услуга

Связанные термины

Получить расчёт

Зайдите в калькулятор, отметьте чекбокс «NGFW и сетевая безопасность» и получите ориентир по цене. Финальная смета — после обследования инфраструктуры и согласования модели угроз.

Связанные термины
Расчёт стоимости

Хотите оценить стоимость под свою инфраструктуру?

Откройте калькулятор, отметьте нужные услуги — получите ориентир за минуту. Финальная смета после обследования (±15%).

Открыть калькулятор Получить КП