Надёжность

Что такое межсетевой экран и как выбрать NGFW для бизнеса

  • 20.01.2026
  • 16

Автор
Сергей Калашников, CCIE
Технический директор


Оглавление
  1. Что такое межсетевой экран (NGFW)
  2. Технические характеристики и возможности межсетевого экрана
  3. Виды и типы межсетевых экранов
  4. Требования ФСТЭК к NGFW и классы защиты
  5. Где используются NGFW: кейсы по отраслям
  6. Как выбрать межсетевой экран для своей организации
В мире, где киберугрозы становятся все более изощренными, а требования регуляторов строже, выбор правильной системы защиты сети превращается в стратегическую задачу для любой организации. Эта статья поможет разобраться в современных решениях и сделать осознанный выбор межсетевого экрана, который станет надежной защитой IT-инфраструктуры.

Что такое межсетевой экран (NGFW)

Межсетевой экран (NGFW) — это программное или аппаратное решение, осуществляющее мониторинг и контроль входящего и исходящего сетевого трафика на основе предопределённых правил безопасности, действующее как защитный барьер между доверенными и недоверенными сетями.

В отличие от классических фаерволов, которые фильтруют пакеты лишь на сетевом (L3) и транспортном (L4) уровнях, NGFW функционирует на более высоких уровнях модели OSI. Это позволяет проводить глубокий анализ пакетов (DPI), идентифицировать и управлять конкретными приложениями (например, блокировать или ограничивать трафик независимо от используемого порта), инспектировать зашифрованный SSL/TLS-трафик, а также включать функции системы предотвращения вторжений (IPS) и анализа угроз в реальном времени.

В бизнес-среде NGFW позволяет не просто блокировать «плохой» трафик, а гибко управлять политиками доступа, безопасно сегментировать сеть на зоны, обеспечивать защиту удаленных сотрудников через VPN и эффективно оберегать критически важные информационные ресурсы.

Что такое межсетевой экран и как выбрать NGFW для бизнеса

Технические характеристики и возможности межсетевого экрана

При выборе NGFW важно оценить его ключевые функции и возможности интеграции. Современное устройство должно обеспечивать:

  • Глубокий анализ трафика (DPI) и SSL-инспекция для обнаружения угроз, скрытых в зашифрованном трафике.
  • Поддержка VPN (IPsec) для создания защищенных каналов связи между офисами и удаленными пользователями.
  • Гибкое управление политиками доступа на основе приложений, пользователей, URL, категорий URL и типа контента.
  • Высокая пропускная способность при включенных всех системах фильтрации (IPS, антивирус, DPI), что напрямую влияет на производительность сети.
  • Возможность интеграции с каталогами, такими как Active Directory (AD), для назначения политик на основе ролей сотрудников.
  • Интеграция с внешними системами: передача событий в SIEM для корреляции, обмен данными с CASB для защиты облачных сервисов.
  • Централизованное управление множеством устройств с единой консоли, что особенно важно для крупных распределенных сетей.

Что такое межсетевой экран и как выбрать NGFW для бизнеса

Виды и типы межсетевых экранов

  1. Классические фаерволы (Stateful Inspection) - фильтруют трафик по адресам и портам (не выше 4го уровня модели OSI), отслеживая состояние соединений. Область применения: базовая защита периметра.
  2. NGFW (Next Generation Firewall) добавляют анализ на уровне приложений (App-ID), глубокую инспекцию пакетов (DPI) и часто встроенные модули IPS. Это стандарт для современных корпоративных сетей. Область применения — практически любая современная организация, которой необходима защита от сложных угроз и соответствие требованиям регуляторов.
  3. UTM (Unified Threat Management). — объединяют функции NGFW, антивируса, веб-фильтра, спам-системы в одном устройстве для удобства управления. Область применения: малый и средний бизнес, филиалы.
  4. Криптошлюзы специализируются на защищённом VPN-доступе с использованием сертифицированного шифрования. Область применения: защита каналов связи для госструктур и организаций с повышенными требованиями.
  5. Сертифицированные межсетевые экраны (ФСТЭК, ФСБ) - решения, прошедшие специальную процедуру оценки соответствия в уполномоченных органах. Области применения: защита информационных систем государственных органов, а также систем, обрабатывающих персональные данные или сведения, составляющие государственную тайну.

Требования ФСТЭК к NGFW и классы защиты

Сертификация ФСТЭК — это обязательное требование для использования средств защиты информации (СЗИ) в государственных информационных системах (ГИС), системах обработки персональных данных (152-ФЗ) и в критической информационной инфраструктуре (187-ФЗ).

Требования регламентируют два ключевых аспекта:

  1. Типы (виды) межсетевых экранов по ФСТЭК
    • МЭ 1-4: Решения, обеспечивающие контроль доступа на сетевом (L3) и транспортном (L4) уровнях. Это классические фаерволы.
    • МЭ 5: Устройства с расширенным функционалом, включающим контроль на прикладном уровне (L7).
    • МЭ 6: Межсетевые экраны нового поколения (NGFW), которые должны реализовывать полный набор функций: контроль приложений, предотвращение вторжений (IPS), анализ угроз, фильтрация веб-контента и противодействие утечкам данных.
  2. Классы защищённости (КС) и профили
    • Классы защищённости (КС1/КС2/КС3) определяют уровень доверия к самому устройству защиты, то есть его устойчивость к попыткам несанкционированного изменения его ПО или политик безопасности. КС1 — наивысший.
    • Профили защиты определяют, от каких конкретных угроз предназначен экран (например, от внешних атак из общедоступных сетей или от внутренних нарушителей).

Соответствие классов защиты данных и решений:

Класс защиты МЭ (1-6) Соответствие уровню защищаемых данных Пример назначения
1-3 Государственная тайна Системы с грифами "секретно" и выше
4 Персональные данные (ПДн) 1-го уровня Медицинские данные, биометрия
5 ПДн 2-го уровня Базы данных клиентов, сотрудников
6 ПДн 3-4 уровня, КИИ Общедоступные данные, часть систем ЖКХ, транспорта

Компания CBS специализируется на внедрении и сопровождении решений, отвечающих этим строгим требованиям, обеспечивая своим клиентам не только техническую защиту, но и документальное соответствие нормативным актам.

Где используются NGFW: кейсы по отраслям

  • Государственные и муниципальные организации.
    Риски: целевые атаки, утечка данных, обеспечение требований 152-ФЗ и 187-ФЗ.
    Решение: Внедрение сертифицированных NGFW для защиты ГИС, сегментации сетей и обязательного контроля всего входящего/исходящего трафика. Сертификация ФСТЭК в этом случае не просто рекомендация, а обязательное условие.
  • Финансовые и страховые компании.
    Риски: мошенничество, кража финансовой информации, атаки на онлайн-банкинг, соблюдение стандартов ЦБ РФ.
    Решение: NGFW с акцентом на SSL-инспекцию, контроль приложений и интеграцию с SIEM для обнаружения сложных многоэтапных атак и защиты данных клиентов.
  • Медицинские учреждения.
    Риски: утечка медицинской тайны (персональных данных), блокировка работы из-за вирусных атак (например, шифровальщиков), доступ к критическим системам.
    Решение: Сегментация сети с помощью NGFW для изоляции медицинского оборудования, систем хранения изображений (PACS) и данных пациентов. Зачастую также требуется соответствие классам защиты ФСТЭК для ИС, обрабатывающих персональные данные.
  • Промышленные предприятия (АСУ ТП).
    Риски: физическая остановка производства, саботаж, промышленный шпионаж.
    Решение: Специализированные NGFW, способные работать в промышленных сетях, понимать промышленные протоколы (Modbus, OPC) и обеспечивать безопасность на границе между офисной и промышленной сетью, предотвращая проникновение угроз из IT-среды в OT-среду.

Что такое межсетевой экран и как выбрать NGFW для бизнеса

Как выбрать межсетевой экран для своей организации

Выбор конкретной модели межсетевого экрана должен начинаться с глубокого анализа потребностей и инфраструктуры вашей организации. Нельзя просто купить «самый мощный» или «самый популярный» NGFW — решение должно быть сбалансированным и соответствовать вашим уникальным требованиям.

Ключевые критерии выбора:

  • Страна юрисдикции производителя оборудования и наличие необходимых сертификатов (ФСТЭК, ФСБ), если ваша деятельность подпадает под регулирование.
  • Наличие официальной технической поддержки от производителя.
  • Фактическая пропускная способность при включенных системах IPS и DPI, а не только в режиме простой фильтрации.
  • Масштабируемость архитектуры: возможность увеличения производительности (кластеризация) или функциональности (лицензирование новых модулей).
  • Поддержка безопасного удаленного доступа (VPN) для гибридных моделей работы.
  • Удобство централизованного управления и отчетности, особенно при наличии нескольких филиалов.

Преимущества выбора NGFW с профессиональным сопровождением:

  • Снижение рисков киберинцидентов за счет правильной настройки и постоянного мониторинга.
  • Гарантированное соответствие требованиям регуляторов, что избавляет от потенциальных штрафов и проблем при проверках.
  • Повышение прозрачности и управляемости сети благодаря грамотной сегментации и понятной политике доступа.
  • Снижение операционной нагрузки на внутренний ИБ-отдел, который может сосредоточиться на стратегических задачах.

Услугу профессиональной установки, настройки и сопровождения межсетевых экранов (NGFW) можно заказать в компании CBS. Специалисты CBS выполнят полный цикл работ: от интеграции системы в ИТ-инфраструктуру «с нуля» и миграции с устаревших решений до диагностики и технического сопровождения, гарантируя надежную и соответствующую требованиям защиту вашей сети.

Самое главное о межсетевых экранах

  1. Современный межсетевой экран (NGFW) — это комплексная система безопасности, которая работает на уровне приложений и пользователей, а не только адресов и портов.
  2. Выбор между классическим фаерволом, UTM или NGFW зависит от размера компании, уровня угроз и требований к функциональности.
  3. Для организаций в регулируемых отраслях (госсектор, медицина, финансы) критически важно выбирать решения, сертифицированные по требованиям ФСТЭК.
  4. Ключевые технические параметры при выборе — реальная пропускная способность с включенными фильтрами, поддержка SSL-инспекции и возможность централизованного управления.
  5. Профессиональное внедрение и настройка экспертами CBS обеспечивает соответствие системы безопасности проектным требованиям, что столь же критично, как и выбор аппаратной платформы.
Список литературы
  1. Межсетевые экраны. Милославская Наталья Георгиевна, Толстой Александр Иванович
  2. Firewalls. Практическое применение межсетевых экранов. Терри Вильям Оглтри
Возможно, вас заинтересует
  1. Перспективы рынка хранения данных
  2. Что поставить на периметр сети: Cisco маршрутизатор или Cisco ASA?
  3. Что делать, когда не работает prepend
  4. Решения по удаленному доступу TSplus ШАТЛ
  5. Системный интегратор - кто это?
Создание и модернизация ИТ инфраструктуры
Комплексные решения по построению корпоративных сетей, ЦОДов, унифицированных коммуникаций и других инфраструктурных систем
Подробнее
Поставка оборудования и программного обеспечения
Широкий выбор ПО, компьютерного и сетевого оборудования ведущих мировых производителей
Подробнее
Поддержка ИТ инфраструктуры
Проведение аудитов, сопровождение и мониторинг ИТ инфраструктуры вашей компании
Подробнее
Подпишитесь на новые статьи
Будьте в курсе новых материалов
Горячая линия
8 (495) 411-82-82
8 (800) 500-82-81
Компания CBS arrow
  • Услуги
  • Оборудование
Контакты arrow
Компания «Компьютерные бизнес системы» (CBS) работает на рынке информационных технологий с 1997 года.
Основное направление – поставка и настройка высокотехнологичного сетевого и компьютерного оборудования, программного обеспечения мировых брендов (Cisco, HPE, Microsoft, VMware, APC), а также выполнение интеграционных проектов.

Все права защищены
2026 ООО «Компьютерные бизнес системы»
Политика конфиденциальности
Пользовательское соглашение
sitemap | CBS