NGFW Day 2025
24 апреля в Москве TAdviser провел NGFW Day 2025 — конференцию, посвященную межсетевым экранам (файерволам) нового поколения. Представители вендоров рассказывали про эволюцию собственных разработок, делились успехами. Спикеры от заказчиков раскрывали проблемы использования отечественных NGFW-продуктов и давали свои рекомендации по их доработке.
Конференцию посетили представители таких организаций, как «Самолет», «Бондюэль», ФГКУ УВО ВНГ России по городу Москве, «Магнит», «Деликатная логистика», «Россети Цифра», «Интер РАО–ИТ», «Сбербанк Лизинг», «Керама Марацци».
Модерировал мероприятие Дмитрий Костров, заместитель генерального директора по информационной безопасности, IEK GROUP.Содержание |
Мы еще не созрели
Сергей Савченко, начальник отдела информационной безопасности, «Воздушные Ворота Северной Столицы», рассказал о том, как межсетевые экраны NGFW помогают защищать критическую инфраструктуру.
Ранее здесь практиковался неограниченный доступ к корпоративным сетям: свободный удаленный доступ снаружи, к ресурсам предприятия, и изнутри, из корпоративных сетей в интернет.
 | Раньше бизнес хотел иметь неограниченный доступ внутрь — снаружи и наоборот, но пришло другое время, и доступ пришлось ограничивать, — говорит Сергей Савченко. — Аэропорт занимает первое место по количеству нападений — мы отражаем до 500 тыс. различных атак в сутки. |  |
Спикер представил схему построения защиты компании, в рамках которой работают межсетевые экраны от трех разных производителей. Также он перечислил способы защиты, используемые в NGFW. Туда входит глубокая проверка пакетов, система предотвращения вторжений, контроль приложений и так далее.Известные пранкеры Вован и Лексус поделятся лайфхаками с ИБ-директорами на TAdviser SummIT 27 ноября 
Сергей Савченко назвал и минусы использования пограничных NGFW. Среди них ложные срабатывания после первоначальной настройки и после получения обновлений сигнатур, вероятная задержка пакетов в связи с проверкой, высокая стоимость.
Андрей Васьковский, начальник департамента ИБ, «Русэнергосбыт», поделился опытом замещения файервола от Cisco отечественным МСЭ.
| | Для нас критичным было наличие в NGFW шифрования по ГОСТ» — подчеркнул докладчик. Для начала он напомнил о ФЗ №187 от 26.07.2017 «О безопасности критической информационной инфраструктуры Российской Федерации. | |
Под регулирование подпала «Интеллектуальная система учета электроэнергии» (ИСУЭ) компании «Русэнергосбыт», предусматривающая возможность удаленного отключения электроэнергии у недобросовестных пользователей–физических лиц. Ключевое негативное последствие инцидента в ИСУЭ, имеющее социальную значимость, — это возможность несанкционированного отключения электроэнергии. Межсетевое экранирование является одним из технических методов защиты системы.
Андрей Васьковский сделал небольшой обзор лидирующих продуктов российского рынка NGFW, в числе которых назвал решения от UserGate, Positive Technologies, Ideco, «Кода Безопасности», «Солара» и Infotecs. Какой именно отечественный продукт был выбран, спикер не сказал, но отметил, что настраивался выбранный МСЭ целых полугода. В итоге систему настроили, все работает. Однако в качестве дополнительного уровня защиты до сих пор используется Cisco.
Помимо прочего, докладчик назвал недостатки, свойственные всем российским решениям, в сравнении с западными продуктами. Во-первых, они менее эффективны из-за технологического отставания. Тут меньший охват zero-day в силу меньшего сообщества исследователей. Во-вторых, есть и аппаратные ограничения, причиной которых стала зависимость от импортных компонентов. Экосистема ограничена, сторонних интеграций недостаточно, обновления задерживаются, у некоторых продуктов отсутствует шифрование по ГОСТ, а цена при этом большая — из-за монополизации внутреннего рынка.
Вячеслав Касимов, директор департамента информационной безопасности, «Московский Кредитный Банк», напомнил о необходимости замены западных файерволов в связи с тем, что российские компании перестали получать обновления. Кроме того, такого шага требуют наши законы.
Докладчик перечислил возможные пути решения проблемы. Можно рассчитывать на параллельный импорт и альтернативную поддержку. Из плюсов — это самый дешевый путь, и он точно работает. Минус же заключается в нетривиальных процедурах взаимодействия с регуляторами. Второй вариант — приобрести российское NGFW. Отечественное решение не только импортозамещает западный софт, но и дает возможность развить продукт под себя. Однако стоит он дорого, функционал ограничен. Будут проблемы с пропускной способностью, с безопасностью, и с длительными сроками внедрения.
Можно разобрать NGFW на отдельные решения. Опять же получится отечественный продукт, который к тому же даст гибкость при выборе технологий. Но и это недешево. Кроме того, часть функционала все равно отсутствует, а управлять всей системой в целом будет сложно. Последний вариант — собственная разработка на основе открытых компонентов. Плюсы — решение отечественное, вы развиваете его под себя. Минусы — сроки реализации, зависимость от инженеров и архитекторов. Путь, которым пошли в МКБ, можно назвать гибридным. Тут приобрели поддержку западного решения, заодно купили один отечественный NGFW, разработали методику тестирования, подготовили стенд для нагрузочного тестирования. Теперь проводят по 7-8 пилотов в год.
| | МСЭ нового поколения — это сложное техническое устройство, которое содержит целый пул технологий, — напомнил Вячеслав Касимов. — В России NGFW продукты разрабатываются недавно, поэтому неудивительно, что пока они незрелые. | |
Бизнес не хочет работать бета-тестером
Илья Борисов, директор департамента защиты данных, «Вымпелком», напомнил, что данные необходимо защищать на всех уровня: физическом, инфраструктурном и на уровне приложений. Он отметил, что в большой компании трафик, организованный проникшим в периметр злоумышленником с одного из скомпрометированных серверов, может оказаться вообще не замеченным.
В этом случае способен помочь следующий функционал МСЭ. Deep Packet Inspection (DPI) служит для обнаружения подозрительных типов файлов (архивов), отправляемых наружу, а также для идентификации паттернов данных, таких как персональные данные. Здесь есть инспекция зашифрованного трафика (SSL Inspection) и DNS, который выявляет аномалии в DNS-трафике, находит DNS-туннели и блокирует предварительные домены. Идет выявление аномалий и в трафике — отслеживаются необычные паттерны по пользователю, рост трафика в нерабочие часы, необычные точки назначения (протоколы, адреса). Дополняют функционал различные интеграции.
Спикер отметил, что сегодня в компании используются и российские МСЭ, и западные NGFW. Сделанные им выводы по результатам доклада таковы. Безопасность данных требует комплексного подхода. А МСЭ позволяет снять ряд угроз.
| | Обычно когда говорят о защите данных, NGFW даже не упоминают, — объясняет Илья Борисов. — Однако функционал МСЭ способен обеспечить дополнительный уровень защиты данных, когда злоумышленник уже попал внутрь периметра и что-то скачивает. | |
Иван Кокорев, департамент защиты информации и ИТ-инфраструктуры, ГМК «Норильский никель», посвятил выступление наиболее востребованным функциям NGFW для промышленного сектора на примере своей компании, большинство производственных площадок которой находятся за Полярным кругом. «Норильский никель» ведет бизнес по семи направлениям и объединяет в себе 70 юридических лиц.
До 2022 года в «Норильском никеле» использовались западные NGFW, и, как признал спикер, они до сих пор используются. Вместе с тем, компанией принята стратегия постепенного внедрения отечественных МСЭ, но пока малыми партиями и на объектах, менее значимых для бизнеса.
Иван Кокорев назвал характеристики российского NGFW, необходимые и ожидаемые в первую очередь. У такого решения базовые потребности закрывает МЭ-фильтрация L7 с HTTPS-инспекцией и IPS. Сетевые возможности дает гибридная схема L2/L3 с производительностью до 40 Гбит/сек. Продукт должен горизонтально масштабироваться и работать с маршрутизацией. Что касается управления и интеграции, то тут требуется удобное централизованное управление и мониторинг, интеграция с DLP-, SIEM- и SOAR-системами. Нужно DPI для контроля приложений. В целом же, заказчик ждет стабильной работы кластера и ПАК.
Он подчеркнул, что для «Норильского никеля» важно к 2027 году получить стабильные российские NGFW, отвечающие базовым требованиям, а расширенный функционал, например, фильтрацию промышленных протоколов, потоковый антивирус и все в таком духе — можно и подождать. Спикер подчеркнул в завершение, что компания готова передавать свои требования производителям, но не хочет выступать в роли бета-тестера сырых решений.
| | Мы активно работаем с российскими производителями NGFW, ждем появления более стабильных решений, — отметил Иван Кокорев. — Для нас, в первую очередь, важна именно стабильность, непрерывность и доступность сервисов. Такое ощущение, что все российские вендоры хотят реализовать все и сразу, хотя для начала было бы правильнее сделать стабильное решение с ограниченным функционалом, а потом уже развивать его. | |
Анастасия Гайнетдинова, аналитик безопасности ИТ, Whoosh (ВУШ), обозначила стоп-факторы в использовании российских решений класса NGFW. Они стоят дорого, имеют низкую производительность и создают трудности при интеграции с текущей инфраструктурой, не соответствуют требованиям заказчика и сложны в управлении.
Докладчица подробнее остановилась на сложности управления, интерфейсах и потребности в интеграции с инфраструктурой, сделав акцент на том, что продукт должен быть более дружелюбен по отношению к пользователям. Нужны подсказки и понятные отчеты для бизнеса.
Она резюмировала выступление следующими тезисами. Работа с российскими NGFW требует высокого входного порога компетенций для специалиста. Разработчикам файерволов следует помнить о том, что с отчетами NGFW работают не только технические специалисты, но и менеджеры, и управленцы. Совместимость важно обеспечивать не только в рамках экосистемы конкретного вендора — важно не забывать и про продукты других производителей.
| | Наличие визуального интерфейса, ИИ-помощников и подробной, написанной на понятном языке документации сильно упрощает жизнь пользователей–не «технарей», — пояснила Анастасия Гайнетдинова. — Кроме того, очень хочется, чтобы на заказчиках перестали тестировать возможность интеграции NGFW с продуктами других вендоров. | |
Нужна стабильность
Игорь Матвиенко, руководитель направления развития бизнеса NGFW, Positive Technologies, рассказал об успехах компании в разработке файервола нового поколения. В ноябре 2024 года был выпущен коммерческий релиз межсетевого экрана NGFW, и сейчас компания вошла в первую пятерку по занимаемой доле рынка межсетевых экранов. Получен сертификат ФСТЭК четвертого уровня.
| | Нужно, чтобы NGFW работал быстро, стабильно, отражал актуальные угрозы, и такие показатели у нашего продукта не хуже, чем у продуктов западных вендоров, — говорит Игорь Матвиенко. — Наши преимущества — высокая производительность, сервис на уровне западных вендоров, гибкость. И еще у нас самый дешевый гигабит защищаемого трафика. | |
Спикер представил продуктовую линейку Positive Technologies, в которую входят семь устройств. Все они находятся в Реестрах Минцифры и Минпромторга. Коммерческие успехи вендора в цифрах выглядят так. У него 45 заказчиков, 46 дистрибьюторов и партнеров в России. Клиентам «отгружено» 256 межсетевых экранов. Positive Technologies заняла 4% рынка NGFW за 1,5 месяца продаж.
Спикер рассказал, что из 256 отгруженных ПАК заказчики вернули семь, причем действительно дефектными были лишь три устройства, а в четырех случаях заказчик просто не разобрался.
О возможностях межсетевого экрана Ideco NGFW, а также о внедрениях продукта в корпоративном сегменте рассказал Александр Лебедев, руководитель продуктового маркетинга, Ideco. В начале доклада он отметил, что файервол Ideco NGFW уже выбрали более 5 тыс. заказчиков, из которых 2600 компаний обладают штатом свыше 500 человек.
Фото 9. Александр Лебедев, руководитель продуктового маркетинга, Ideco
Спикер обозначил следующие преимущества продукта. Работа системы микросервисной архитектуры стабильна. Обновление без остановки промышленной эксплуатации занимает 5 мин., восстановление из бэкапа — 30 сек., переключение нод в кластере осуществляется с сохранением сессии. Тут предусмотрены отказоустойчивость и резервирование — при отключении какого-либо сервера трафик не теряется. Есть поддержка удаленной работы. Налажена автоматизация миграции с CheckPoint, Cisco, FortiGate и других западных систем.
В завершение Александр Лебедев представил несколько кейсов. Так, на Петербургском тракторном заводе был осуществлен бесшовный переход с ПАК Kerio Control на Ideco NGFW, а в ГК «Атриум» реализовано импортозамещение в распределенной инфраструктуре с расширением со 180 объектов инфраструктуры до 300.
| | С VPN мы работаем уже давно, со времен ковида, — отметил Александр Лебедев. — И мы поддерживаем не только пользовательские сценарии, но и взаимодействие между филиалами в защищенном канале. | |
Кирилл Прямов, менеджер по развитию NGFW, UserGate, рассказал про новый продукт в линейке NGFW-решений с повышенной производительностью — UserGate Data Center Firewall, предназначенный для задач уровня ЦОД.
Он обозначил характеристики функционала безопасности UserGate Data Center Firewall:
- контроль состояния сессий (FW L4);
- контроль приложений (FW L7);
- предотвращение вторжений (IPS);
- трансляция сетевых адресов (NAT);
- аутентификация сотрудников (ID FW) и ряд других.
Сетевые возможности нового продукта заключаются в статической и динамической маршрутизации, сегментации и масштабировании сетей (VLAN, VXLAN), оптимизации, балансировке (PBR, VRF , ECMP, BFD, WCCP, DHCP).
| | В случае с UserGate Data Center Firewall мы сделали свой вариант векторного файервола, который может обрабатывать до 130 тыс. правил межсетевого экрана» — сообщил Кирилл Прямов. | |
На ближайшую перспективу запланировано логическое разделение ПАК на независимые виртуальные NGFW — так называемые «контексты». Там у каждого будут свои настройки, что обеспечит экономию ресурсов и стоек дата-центра.
Спикер также представил линейку программно-аппаратных решений, в частности, платформу UserGate FG с аппаратным ускорением (добились 85 Гб/с на EMIX), и серию высокопроизводительных гибридных устройств. Все ПАКи внесены в реестры Минпромторга России.
NGFW выявит фишинг
Алексей Громов, руководитель отдела разработки, «Корбит», выделил три типа компаний-разработчиков NGFW в общем случае. Это либо компании с опытом системной интеграции. Они идут по пути разработки межсетевых экранов нового поколения на базе открытых компонентов. Второй тип — компании, разрабатывающие криптошлюзы или коммуникационное оборудование (коммутаторы, маршрутизаторы, сетевые брокеры). Третий — компании, разрабатывающие сетевые анализаторы на основе собственных DPI-решений.
[[Image:Фото_11._Алексей_Громов.jpg|840px|thumb|Алексей Громов, руководитель отдела разработки, «Корбит»]
Как рассказал Алексей Громов, разработка продукта Corebit.NGFW стартовала в 2022 году. «Корбит» пошла путём создания собственной системы на основе DPI-решения. Спикер подробно обрисовал эволюцию продукта, перечислил, какие функции безопасности были реализованы и на каком этапе. Отдельное внимание он уделил разработке центра управления сетью для администраторов — от командной строки до веб-консоли, работающей из единого окна.
| | Мы начали с DPI-решения, в котором было проработано разделение архитектуры на две плоскости, — вспоминает Алексей Громов. — Это дало нам возможность уменьшить количество вызовов ОС, а также эффективно задействовать процессорный кэш. | |
Он представил продукты NGFW, которые разбиты на три линейки:
- для средних и малых объектов (три модели, производительность до 16 Гбит/сек.);
- для центров управления и крупных объектов (три модели, до 120 Гбит/сек.);
- для ЦОД (две модели, до 180 Гбит/сек.).
Файерволы Corebit.NGFW позволяют построить систему обеспечения безопасности сети с использованием центра управления сетью и высокопроизводительных многофункциональных МСЭ, объединённых в кластер отказоустойчивости. Аппаратная платформа, на которой созданы продукты линейки Corebit.NGFW, — от Kraftway. Коммерческих внедрений у решения пока нет, в настоящее время система обкатывается во внутреннем контуре компании.
Алексей Сороченков, генеральный директор, «А8Тех», напомнил о реалиях: лицензии западных вендоров не работают, NGFW-решения не поддерживаются — и рассказал о пути, который прошла компания в течение прошлого года. Тут начали с идеи продукта, а закончили серийным производством программно-аппаратных комплексов.
Докладчик пояснил, что NGFW-продукт «Бегония» создан на основе известной западной системы этого класса, код которой сильно переработан. В качестве аппаратной платформы используется Kraftway.
| | «Бегония» — наш ответ на современные вызовы, — отметил Алексей Сороченков. — При этом мы занимались не только инженерными разработками с целью создания NGFW, а постарались построить глобальную экосистему. | |
Межсетевой экран NGFW «Бегония» — не единственный продукт, а целое семейство ПАК с разной производительностью. Помимо непосредственно NGWF-систем, продуктовая линейка компании включает, в частности, маршрутизаторы «Горизонт» и решение для управления доступом и идентификацией — A8IdentityMatrix.
Преимущества «Бегонии», по оценке спикера, заключаются в стабильности, высокой доступности устройств и построении экосистемы с учетом информационной безопасности.
Сергей Петрухин, руководитель направления продуктового маркетинга, «Лаборатория Касперского», перечислил глобальные тренды информационной безопасности. Среди них использование машинного обучения и искусственного интеллекта для детектирования угроз, сбора и анализа данных, обновления и работы с правилами. По-прежнему предлагается уделять внимание принципу нулевого доверия (Zero Trust) в финансовой, государственной сферах и в здравоохранении. В топе держатся облачная безопасность и Hybrid Mesh Firewall (защита гибридных облаков), концепция SASE (Secure Access Service Edge) и конвергенция технологий безопасности.
Российские тренды пересекаются с глобальными в части требований по обеспечению комплексной безопасности и интеграции, говорит спикер. Далее он перечислил тренды, учитываемые в продукте Kaspersky NGFW, который развивается с 2020 года:
- использование ИИ и машинного обучения;
- развитие аппаратных платформ;
- комплексная безопасность и конвергенция технологий;
- концепция SASE;
- новые регуляторные требования.
| | На глобальном рынке NGFW рассматривается, в том числе, как базовая технология для защиты от вируса-шифровальщика, выявление угроз zero-day и фишинга, — утверждает Сергей Петрухин. | |
В этом году продукт будет проходить сертификацию ФСТЭК. В планах компании на 2026 год — выпуск Kaspersky NGFW и SD-WAN в рамках единой аппаратной платформы.
Защита ядра
Никита Семенов, ведущий системный инженер, TS Solution, уверен, что у большинства компаний есть защита периметра лояльности, но многие не контролируют трафик на уровне ядра.
«А еще у них отсутствуют инструменты по выявлению зловредной активности внутри сети», — отметил спикер. Он представил типовые схемы организации защиты в зависимости от размера фирмы. Базовый вариант предполагает одну точку терминации сети и подходит для небольших компаний. В стандартном варианте уже две точки терминации сегментов (периметр и ядро). Продвинутый вариант подходит для тех компаний, у которых межсерверный график превышает остальной.
Спикер подчеркнул важность защиты ядра с использованием NGFW, который закрывает ряд задач. SPI позволяет формировать более строгие правила доступа, при этом существенно снижает количество правил, делает управление доступом более удобным и безопасным. Рекомендуется также иметь контроль приложений. Для превентивных мер безопасности потребуется глубокая проверка пакетов данных (DPI) и система обнаружения и предотвращения вторжений (IDS/IPS).
Никита Семенов отметил, что до последнего времени рассматривать применение файервола класса NGFW в ядре не имело смысла, потому что были проблемы с производительностью, но на текущий момент уже появились решения, способные «переварить» от 10 Гбит/сек. в режиме NGFW и от 50 Гбит/сек. в режиме простого межсетевого экрана.
| | Нельзя гарантировать, что одно СЗИ полностью защитит, необходима эшелонированная защита, — уверяет спикер. — При этом часто забывают про защиту внутри сети, в частности — про защиту ядра, которую сегодня уже можно осуществлять, в том числе, при помощи NGFW. | |
Антон Кобяков, старший инженер отдела по развитию ключевых проектов, «Код Безопасности», поделился результатами тестирования независимыми тестировщиками продукта NGFW «Континент 4». Он подчеркнул, что независимые тесты нужны и вендорам, и заказчикам.
| | Существует проблема недоверия между заказчиками и вендорами, — признал спикер. — И наша компания хочет эту проблему решить. В том числе, путем привлечения независимых тестировщиков. | |
Он привел отдельные результаты тестирования нескольких решений класса NGFW (включая «Континент 4») тремя независимыми тестировщиками: «Инфосистемами Джет», BI.ZONE и TS Solution.
В рамках тестирования высокопроизводительной фермы NGFW от BI.ZONE самая высокая подтвержденная пропускная способность на рынке МСЭ зафиксирована у NGFW «Континент 4», DS Integrity и Eltex. А результаты тестирования механизмов безопасности от TS Solution и тестирование IPC-R800 от BI.ZONE выявили, что «Континент 4» — единственный МСЭ, обеспечивший защиту от вредоносной активности.
Напомнив, что межсетевой экран — не единственный продукт вендора, докладчик дополнительно представил итоги прошлого года. Тут зафиксировали рост бизнеса в 2,5 раза, а объем инсталлированной базы составил 12,5 тыс. устройств.
Дмитрий Беляев, директор управления безопасности, VS Robotics, поделился опытом внедрения NGFW-продуктов разных вендоров в компаниях, где спикер работал ранее. Он напомнил разницу между файерволами класса NGFW, ориентированными на корпоративный сегмент, и межсетевыми экранами UTM, которые в большей степени рассчитаны на сегмент СМБ.
Эти классы решений отличаются по способу обработки информации, глубине анализа, производительности, возможностям интеграции с SIEM- и DLP-системами. «NGFW-решение более многофункционально, оно позволяет реализовать больше задач, чем UTM, — поясняет Дмитрий Беляев. — Но при включении большого количества функций может происходить резкое замедление в работе МСЭ. Самое важное — тестировать NGFW на своей инфраструктуре, причем тестировать нужно все. Даже то, что должно работать по определению».
Спикер назвал типовые ошибки при внедрении NGFW:
- выбор устройств с недостаточной пропускной способностью;
- открытые порты 22/3389 без многофакторной аутентификации;
- пропуск обновлений прошивок и сигнатур;
- плоские сети с горизонтальным перемещением угроз;
- отказ от тестовой среды перед внедрением;
- неправильная настройка SSL/TSL инспекции;
- необученный персонал;
- отсутствие мониторинга и логирования;
- неправильное управление пользователями и ролями.
В завершение докладчик привел несколько кейсов утечки данных из-за неправильной настройки NGFW. Так, инцидент 2024 года с похищением данных у 165 компаний-клиентов поставщика облачных хранилищ Snowflake стал возможен, по оценке спикера, из-за отсутствия многофакторной аутентификации в личных кабинетах клиентов.
В перерыве и по завершении конференции участники общались в неформальной обстановке, а также имели возможность ознакомиться с решениями и услугами ИТ-поставщиков на стендах, развернутых в холле мероприятия.
