По неофициальным оценкам на российском рынке сейчас разрабатывается около 60 версий NGFW. Но заказчики сходятся во мнении, что скоро останется не более пяти вендоров в этом сегменте. По каким признакам будут выбраны лучшие решения? Обсуждение состоялось на круглом столе IT Elements 2025.
- Введение
- Реалии импортозамещения NGFW на фоне ожиданий
- Критерии выбора российских NGFW
- Российские NGFW и поддержка технологий ускорения обработки
- Доверие к выбору других заказчиков на рынке
- Недостатки российских NGFW
- Аппаратное ASIC-ускорение российских NGFW
- Оптимизация управления парком NGFW-устройств
- Достижения российских NGFW
- Компромиссы при внедрении NGFW
- Качество защиты российских NGFW
- Необходимость кастомизации решений NGFW
- Выводы
Введение
Тема перехода на российские NGFW сегодня является самой яркой на всей палитре программы импортозамещения в области ИБ. Но нередко обсуждение ограничивается самим фактом перехода на российские продукты, тогда как сравнение с заменяемыми западными аналогами уходит на второй план. По неофициальным данным на российском рынке сейчас разрабатывается около 60 различных версий NGFW. Но так ли они равноценны? Конечно, некоторые компании проводят активную маркетинговую кампанию, поэтому можно предположить, что они имеют больше шансов на успех. Но ограничат ли свой выбор российские заказчики только этой медийной составляющей?
Чего не хватает сейчас российским NGFW? Этой теме был посвящен один из круглых столов на конференции IT Elements 2025. Его название — «Импортозамещение NGFW, взгляд со стороны потребителя».
Остальными участниками круглого стола стали (слева направо):
- Виталий Бут, начальник центра информационной безопасности, АО «СберТех»;
- Николай Буянов, руководитель отдела инфраструктурной безопасности, Т‑Банк;
- Илья Корнеев, начальник управления развития и сопровождения сетевой инфраструктуры, Московская Биржа.
Модератором круглого стола выступил Александр Джаганян, руководитель направления сетевой безопасности в компании «Инфосистемы Джет» (в центре).
Рисунок 1. Александр Джаганян представил участников круглого стола по импортозамещению NGFW
Реалии импортозамещения NGFW на фоне ожиданий
Несмотря на все заявления и назначенные сроки перехода на российские продукты для объектов КИИ, практика показывает, что к середине 2025 года процесс миграции всё ещё продолжается даже в компаниях, отнесенных к числу КИИ, и далёк от завершения.
«Переход на российские системы NGFW оказался наиболее сложным, он продолжает всё ещё пробуксовывать, что подтверждают различные опросы: процент использования зарубежных продуктов всё ещё достаточно высокий», — отметил Александр Джаганян.
Почему российские компании продолжают пользоваться зарубежными NGFW, несмотря на все требования? Причины, которые называют заказчики, остаются те же, что и прежде:
«Не хватает функциональности, не хватает производительности, остаются вопросы к качеству и уровню технической поддержки и т. д.».
В то же время за прошедшие три года на рынке появились уже новые игроки и новые продукты. Существующие продукты в этом сегменте продолжают совершенствоваться, некоторые из них получили поддержку новых аппаратных платформ.
Критерии выбора российских NGFW
Выбор NGFW на практике не ограничивается только чтением заказчиком характеристик и проверкой на соответствие своим ограничениям. Оценивают также доверие к вендорам, проводят собственные тестирования, интересуются мнением других, независимых участников рынка, оценивают результаты проверки в пилотных зонах и т. д.
Как рассказал Илья Корнеев, на Московской бирже первым делом провели оценку собственной инфраструктуры для выбора требуемой категории защиты. Затем была проведена оценка российских предложений на рынке, после которой сразу стало понятно, что прежний подход больше не работает. Прежде выбор вендора/платформы опирался на то, чтобы сразу закрыть все требования защиты. Российские продукты образца 2022 года не могли предложить «все и сразу», поэтому в каждом отдельном случае при внимательной оценке выяснялось, что «остаётся много нюансов».
«Выход напрашивался сам собой: переходить к эшелонированной защите». Большинство инфраструктурных комплексов Мосбиржи были поделены на сегменты с учётом требуемого уровня защиты, и на основании их требований проводился поиск подходящего российского NGFW.
На этом этапе быстро пришло понимание, что в отличие от западных решений, где для характеристик в спецификации были указаны точные условия их получения, для российских решений предлагались только итоговые «рекордные» показатели. Заказчикам предлагалось «поверить производителю». «Если производитель говорит, что его NGFW держит 40 Гбит/с, то, наверное, производителю можно верить. Больше мы так не делаем».
После выбора «по характеристикам» устройств от разных производителей проводилась их проверка в испытательной лаборатории Московской биржи на реальном трафике. Как отметил Илья Корнеев, полученные результаты показали большую деградацию производительности от заявленной вендором.
«У нас не было особой проблемы с функциональностью, у нас были огромные проблемы с производительностью, особенно на больших массивах правил», — отметил спикер.
Рисунок 2. Дискуссия по импортозамещению NGFW вызывала повышенный интерес на IT Elements 2025
Российские NGFW и поддержка технологий ускорения обработки
Если взглянуть назад, то в кулуарных обсуждениях ещё недавнего прошлого главным недостатком российских NGFW чаще всего называли их недостаточную производительность. Поэтому в своих маркетинговых материалах российские вендоры обычно старались сделать акцент прежде всего на усилиях по повышению производительности, рассматривая функциональность как в целом решенный вопрос. Илья Корнеев только слегка коснулся причин недостаточной производительности российских решений.
Очевидно, что увеличение количества применяемых правил фильтрации неизбежно ведет к снижению пропускной способности NGFW. Российские производители никогда не скрывали этот очевидный факт. Можно вспомнить демонстрацию бета-версии Solar NGFW, которую компания «Солар» проводила у себя в офисе в мае 2024 года. Тогда было объявлено о достижении рекордной производительности в 180 Гбит/с. При этом было заявлено, что в случае применения полного набора правил проверки реальная производительность не будет превышать 10-20 Гбит/с. Секрета в этом нет.
На нынешнем этапе Илья Корнеев видит главную причину недостаточной производительности российских NGFW — это отсутствие применения дополнительных средств ускорения обработки трафика.
В качестве примера можно назвать Open Source фреймворк DPDK (Data Plane Development Kit), выпущенный Intel в 2020 году и управляемый The Linux Foundation. Этот набор библиотек предназначен для работы с данными и драйверами сетевой карты. Он позволяет перенести обработку TCP-пакетов с уровня ядра ОС в пользовательское пространство. Фактически это означает практический отказ от применения системных прерываний для обращения к сетевым данным. Эта встроенная особенность ОС обеспечивает устойчивую работу, но ведёт к существенному замедлению. Применение DPDK позволяет обойти это ограничение, что повышает эффективность вычислений и пропускную способность.
Применение DPDK уже является международным технологическим стандартом для ведущих вендоров NGFW, отметили недавно в российской компании Ideco, которая 24 сентября объявила о внедрении DPDK в своем новом решении Ideco Novum. Они отметили, что решения на основе технологии DPDK ещё не так активно представлены на российском рынке, хотя сама технология уже реализована в некоторых российских решениях и отечественные вендоры работают над переходом на данный сетевой стек.
Рисунок 3. Технология DPDK стала одной из главных новых фич Ideco Novum
Что же делать заказчикам, пока технологии оптимизации обработки трафика еще не представлены широко на российском рынке?
«Мы просто отказались от тестирования на больших массивах данных по стандартным шаблонам разбивки трафика. Взамен этого были подготовлены обезличенные массивы данных из реального трафика и к ним применялись реальные массивы правил. В поток подмешивались ИБ-атаки (просто кидали зловредов) и оценивалось, как NGFW реагирует на инцидент», — рассказал о своём выборе Илья Корнеев.
Теперь обновленный процесс поставлен на поток. Прежде всего это делается, чтобы понимать реальные возможности российских продуктов. «Лаборатория даёт своё заключение приблизительно через месяц, который уходит на тестирование».
Доверие к выбору других заказчиков на рынке
Прежний подход к выбору NGFW рассматривался прежде всего как «поиск золотой пилюли», отметил Николай Буянов («Т‑Банк»). Теперь выбор основан на проверке: решение должно поддерживать определенный набор функций для определенного трафика.
«Импортозамещение в «Т‑Банке» ограничивается только периметром. Для серверной части пока нет подходящих российских решений» — уточнил текущую ситуацию спикер.
По его мнению, сейчас российский рынок активно тестирует обновленные, ставшие более производительными решения NGFW. «Теперь они значительно ближе к западным аналогам, чем было даже год назад». Нынешняя планка требований заказчиков — это 40 Гбит/с на реальном трафике и при реальном наборе правил. «Если российское решение способно поддержать такие требования, то в Т‑Банке готовы брать такое решение».
Но есть и другой важный фактор отбора. Выбор во-многом опирается на рыночную активность.
«Если есть массовые инсталляции, которые уже действительно работают, то мы доверяем опыту коллег, — отметил Николай Буянов. — Проблема недостаточной производительности решается через установку балансировщиков».
Николай Буянов также отметил еще и другую важную особенность в Т‑Банке, где процесс импортозамещения начался раньше 2022 года. Поэтому для этой компании основная задача заключается в обновлении установленного парка оборудования.
В этой ситуации главная проблема заключается в другом:
«Непонятно, кто из вендоров NGFW выживет в итоге. Сейчас многие вендоры активно инвестируют в разработку NGFW. Но будут ли они инвестировать через два-три года? Такой гарантии они не дают. Поэтому заказчики стоят перед выбором: угадают или не угадают», — подытожил Николай Буянов.
Недостатки российских NGFW
По мнению Николая Буянова («Т‑Банк»), помимо обеспечения требуемой производительности есть еще одна существенная проблема. Это — надёжность работы аппаратной части.
«Когда сгорает блок питания, падает жесткий диск или разваливается кластер, то уже неважно, насколько полный набор функций поддерживается в решении. Отсутствие опций можно пережить, если сеть работает стабильно. А если она постоянно сыплется, то это совсем плохо. Поэтому заказчикам важно обращать внимание на гарантию качества применяемого железа».
Он отметил также важность наличия удобных средств администрирования для ведения мониторинга за работой NGFW. Это позволяет оперативно решать проблему. «Если мигает только зелёная лампочка, то этого недостаточно».
Илья Корнеев охарактеризовал ситуацию следующим образом:
«В 2022 году у нас был прямо “караул, ужас и вообще“. Сейчас уже можно работать. Хотя ещё остаётся немало серьёзных проблем, но они решаются. Самая большая беда – это производительность. В 2022 году российский аппаратный NGFW при заявленной производительности 20 Гбит/с «падал» уже при условных 100 Мбит/с. Сейчас некоторые российские NGFW “держат с оговорками“ до 40 Гбит/с реального трафика».
Аппаратное ASIC-ускорение российских NGFW
Из своего прошлого опыта многие российские заказчики знают, что высокая производительность западных решений отчасти добивалась за счет применения аппаратного ускорения.
Можно ли ожидать аналогичное решение и от российских вендоров? Этот вопрос вызвал у участников дискуссии удивление. Никто из них так и не назвал ни одного российского вендора, который сумел реализовать (или готовится к реализации) решения на базе ASIC. Все варианты ускорения обработки для российских NGFW ограничены только оптимизацией на платформе x86, отметили участники.
Оптимизация управления парком NGFW-устройств
Следующим этапом для улучшений должна стать оптимизация средств централизованного управления парком установленных средств защиты. Российские заказчики стараются решить эту задачу уже сейчас, опираясь на собственные доработки.
Большие надежды они возлагают также на улучшение технической поддержки со стороны российских вендоров. Было отмечено, что ещё не все российские вендоры могут предоставить поддержку на уровне, который хотят получить российские заказчики. Вендорам пока не хватает ресурсов для ее реализации.
Самая большая проблема для Мосбиржи — это даже не защита от кибератак, там последствия понятны и ясно, как их устранять. Если налажена система резервного копирования, то проблема решается.
«Гораздо сложнее в случае обнаружения софтовых багов. Эта проблема может быть решена только путём оперативного взаимодействия со службой техподдержки».
Виталий Бут отметил также раздражение, которое возникает у заказчиков, когда вендоры начинают продвигать свои новые функциональные возможности, но в реальности они отсутствуют в их существующих решениях. Новые функции обещают реализовать только в будущем. «Это мешает объективно оценивать уже созданные продукты».
Достижения российских NGFW
Прошлый год ознаменовался появлением сразу нескольких российских решений NGFW, показавших рост производительности, отметили все участники дискуссии.
Но они отметили, что полностью удовлетворяют требованиям в режиме работы, «близком к классическому файрволу». Однако когда речь заходит о полнофункциональной поддержке NGFW, то пока не все гладко. В то же время все участники отмечали быстрый рост качества российских продуктов NGFW, что внушает им большой оптимизм на будущее.
Среди достоинств работы с российскими вендорами отмечались также качественные изменения в принципах работы с заказчиками. Это сильно контрастирует с прошлым опытом работы с западными компаниями, когда заказчики могли только приносить свои пожелания, но они не были уверены, что их предложения не будут отложены на полку. «Теперь продукты реально дорабатываются».
Рисунок 4. Российские NGFW являются основой для построения «антихрупкой» архитектуры внутри компаний
Компромиссы при внедрении NGFW
Как уже было отмечено, главное отличие прежней модели рынка NGFW от нынешней – раньше заказчики ожидали получить от одного продукта все ожидаемые функции, теперь заказчикам обычно требуется идти на компромисс, выбирая конкретный продукт. Какие компромиссы считаются вескими – отсутствие определенных функций, недостаточное удобство управления, трудности при администрировании, сложности интеграции и т. д.?
Главным компромиссом начального периода импортозамещения NGFW, по мнению Ильи Корнеева, является жертва удобством администрирования. Поэтому после внедрения российских решений NGFW на следующем этапе ИБ-служба Мосбиржи занимается задачей создания удобной централизованной системы управления, обеспечивающей правильную раскладку информации при мониторинге, провижининг, полный контроль правил. Эта задача не проще прежних.
«Формально ни один заказчик не готов ничем жертвовать на старте, — добавил Николай Буянов. — Но есть требования регуляторов и другие условия, которые заставляют идти на компромисс. Жертвуют в первую очередь действительно удобством в эксплуатации, а также удобством сопровождения данных собираемой диагностики. Как правило, эти данные собираются у всех, но чтобы работать с ними эффективно, необходимо сделать так, чтобы работать с ними было удобно».
При выборе компромиссов следует оценивать риски, добавил Илья Корнеев. При невозможности обеспечить определенную функциональность имеет смысл оценить потребность в ней на конкретном сегменте. В каждом конкретном случае можно найти решение. Например, в слабонагруженных сегментах могут оставлять включёнными только «4-5 правил фильтрации». В высоконагруженных периметрах приходится разносить функциональность по разным устройствам, чтобы соблюсти требования по производительности и полноте функций.
Качество защиты российских NGFW
Все усилия, направленные на повышение управляемости и производительности российских NGFW, будут лишены смысла, если они не будут предоставлять определенного набора функций. NGFW создаются, чтобы защищать инфраструктуру, а не только чтобы быть там установленными. Поэтому качество достигаемой с их помощью защиты также волнует заказчиков.
Илья Корнеев сразу отметил, что на фоне технических и организационных проблем реализуемая на их базе безопасность является главным достоинством российских продуктов NGFW. «Мы подтверждаем это собственными исследованиями, проводя тестирование не только нагрузкой, но и на противостояние зловредам».
Любое устанавливаемое в инфраструктуре Мосбиржи программное средство проходит пентест перед запуском в эксплуатацию. Регулярно проводятся внешние пентесты для периметра. Это позволяет убедиться, что российские средства демонстрируют достаточно высокий уровень защиты.
«Продукты действительно надежно ловят кибератаки, вендоры научились писать хорошие сигнатурные базы, они умеют грамотно и полно представлять аналитику. С этой точки зрения российские решения выглядят не хуже их западных аналогов».
Однако Виталий Бут отметил особенность российских решений – это слабая защищённость самих продуктов. В «Т‑Банке» постоянно проводят реверс-инжиниринг ПО. «У них (российских NGFW) достаточно слабая application security». Российские вендоры, отметил Виталий Бут, уделяют много внимания разработке функций, но на выверку собственного кода практически не обращают внимания.
«У ряда вендоров, продукты которых мы проверяли, есть уязвимости достаточно высокого уровня опасности. В случае их реализации они могут очень серьезно повлиять на безопасность», — отметил Виталий Бут, призвав российских вендоров обратить на это повышенное внимание.
Илья Корнеев согласился с такой оценкой. Он отметил, что на Мосбирже также отмечают немало проблем на уровне «бинарного кода». Эти проблемы обычно решаются путем многоступенчатой архитектуры защиты.
«Проблемные решения («то, что не суперклассное») мы прикрываем «более защищёнными». К сожалению, в итоге всё становится не очень удобно для эксплуатации и поддержки».
Какие именно «суперклассные» продукты выставляются на первый барьер защиты, Илья Корнеев не назвал. Но, думаю, ответ на этот вопрос достаточно очевидный.
Николай Буянов подтвердил вердикт своих коллег по проблеме application security для российских NGFW. Он отметил, что эта проблема была особенно острой несколько лет назад.
«До западных решений нам еще далеко (с этой точки зрения), но то, что мы видим в 2024 и в 2025 гг., это уже, конечно, небо и земля с тем, что было раньше. Мы неплохо идем вперед».
Рисунок 5. Кулуарное обсуждение докладов стало одной из ярких особенностей IT Elements 2025
Необходимость кастомизации решений NGFW
Должен ли NGFW быть самодостаточным и закрытым для кастомизации силами заказчиков? Ответ на этот вопрос неочевиден. Формально открыть свою разработку не может вендор, потому что тогда эта разработка перестаёт быть продуктом и становится платформой. Вендор в такой ситуации обычно снимает с себя обязательства по гарантии надёжности решений и оставляет лишь поддержку механизма. Как смотрят на возможности кастомизации своих NGFW заказчиками российские вендоры?
Николай Буянов, отметил, что в «Т‑Банке» смело идут на кастомизацию (прежде всего сигнатур), если в нем есть такая возможность. Он отметил, что российские продукты быстро развиваются, поэтому в новых версиях нередко можно найти то, что было добавлено ранее при кастомизации.
Илья Корнеев отметил, что возможность кастомизации для Мосбиржи является важным критерием выбора продукта. Кастомизация баз сигнатур может быть очень значительной, а вендорский вариант нередко оказывается слишком слабым для практического применения. Поэтому возможность кастомизации там рассматривают как обязательную часть для NGFW.
Необходимость кастомизации подтвердил также и Виталий Бут. Он отметил, что она важна прежде всего для решения задач интеграции в инфраструктуре. Например, в «СберТех» активно используются внешние облака, поэтому им необходимо кастомизировать NGFW.
Выводы
Дискуссия по теме импортозамещения ИТ-инфраструктуры российских компаний через переход на отечественные решения NGFW показала, что со стороны заказчиков пока нет однозначного мнения, что российские продукты полностью удовлетворяют их запросам. Заявленные вендорами характеристики часто оказываются годными только для «идеальных» тестовых условий, но не для практики.
Сложившееся мнение, что российские NGFW хорошо справляются со своей задачей защиты, омрачается низкой защищенностью их внутреннего кода. Тем не менее эволюция российских NGFW растет быстрее рынка, поэтому их перспективы на внедрение тоже достаточно высокие.
