Мифы о NGFW: где заканчивается маркетинг и начинается реальность
Главная » Аналитика » Анализ технологий
Security Vision Next Generation SGRCУзнайте, как на первой в России платформе с ИИ построено комплексное решение для задач стратегической безопасности. Security Vision SGRC объединяет ресурсно-сервисную модель и десятки методик для моделирования угроз, оценки рисков, непрерывности бизнеса, аудита и комплаенса. NG SGRC подходит для компаний с требованиями кастомизации благодаря Low-code конструкторам платформы и мультиарендности. Для среднего и малого бизнеса предусмотрены дополнительные варианты SGRC Basic и SGRC SaaS.→ Ознакомиться
Реклама, 18+. ООО «Интеллектуальная Безопасность», ИНН 7719435412
07 Ноября 2025 - 10:02

Развенчаем 4 мифа про NGFW, которыми вы так дорожите

Аватар пользователя Николай Затерюкин
Николай Затерюкин
Руководитель отдела сетевой безопасности «ЛИНЗА»
Вверх
Проголосовало: 15
...
Развенчаем 4 мифа про NGFW, которыми вы так дорожите

NGFW давно перестали быть просто экранами. Они обещают «всё в одном», но реальность куда сложнее: ограничения ресурсов, урезанные функции и риск перегрузки делают их не панацеей, а лишь частью системы, требующей продуманной архитектуры и здравого подхода.

 

 

 

 

 

 

  1. Введение
  2. Миф 1. «Производительность без компромиссов»
  3. Миф 2. «NGFW может заменить все устройства безопасности»
    1. 3.1. Что действительно включают на практике
  4. Миф 3. «Вендор постоянно добавляет полезное и новое»
  5. Миф 4. «Full visibility приложений»
  6. Выводы

Введение

Выбор NGFW (Next-Generation Firewall) — это всегда компромисс между тем, что обещает маркетинг вендора, и тем, с чем сталкивается инженер при эксплуатации. На презентациях звучат тезисы о «производительности без компромиссов», «полной видимости приложений», «всё в одном». На практике же выясняется: рекламные цифры достигнуты в идеальных условиях лаборатории и не всегда совпадают с реальностью боевых сетей. В этой статье мы разберём популярные мифы о NGFW и то, как обстоят дела в реальных проектах.

Миф 1. «Производительность без компромиссов»

Производители любят показывать высокие цифры: десятки и сотни гигабит в секунду. Часто упоминают аппаратные ускорители (DPDK). В отчётах всё выглядит идеально: устройство обрабатывает трафик линии с минимальными задержками. Но в лаборатории тестируют обычно один конкретный сервис: например, только маршрутизацию или только IPS, при этом антивирус, SSL-инспекция, фильтрация приложений могут быть выключены. Это похоже на замер скорости автомобиля на ровной трассе с одним водителем и пустым багажником.

В реальной жизни через NGFW проходит смешанный трафик: веб-сервисы, файлы, зашифрованные соединения, VPN-каналы, и одновременно включены десятки политик безопасности. Каждый модуль требует ресурсов процессора, пакетного буфера и оперативной памяти. В итоге пропускная способность системы может падать в два-три раза по сравнению с паспортной.

Есть и менее очевидные нюансы:

  • Аппаратные ускорители обычно поддерживают ограниченный набор алгоритмов: например, AES-256 может шифроваться в разы быстрее, чем 3DES. Те, кто этого не знает, по привычке включает 3DES, думая, что он «лёгкий» для железа, хотя современные чипы оптимизированы под AES.
  • Для разного трафика активируются разные механизмы анализа, которые могут существенно снижать производительность. Например, в некоторых сценариях туннелирование требует повторную проверку трафика на соответствие политикам ИБ.
  • Производительность трафика в больших, многопроцессорных и многоядерных системах считается при условии балансировки и распределения трафика по нескольким процессорам. Подробности внутренней архитектуры при этом могут быть или недоступны для заказчиков, или их надо специально и долго искать.
  • Производители при разработке отталкиваются от потребностей большей части рынка, и это может быть проблемой, если у заказчика есть уникальные или редкие особенности. Например, если требуется передавать через NGFW один большой поток, его ещё называют elephant-flow. В этом случае может быть недоступна вся производительность устройства. Получается бутылочное горлышко: пропускная способность будет ограничена одним ядром многоядерной системы, на котором этот трафик будет разбалансирован.
  • Производитель тестирует устройство на собственных оптимизированных сценариях, принимая во внимание все нюансы и детали, чтобы получить максимальное значение.

В больших сетях пренебрежение этими нюансами может спровоцировать ряд проблем: при пиковых нагрузках растут задержки, часть модулей уходит в bypass, а администраторы вынуждены жертвовать защитой ради стабильности канала.

Частично решает эти проблемы наличие сторонних тестов, но их необходимо проводить постоянно, чтобы иметь актуальные результаты. В идеале, если тестирование будет проведено независимым экспертом.

Вывод: оценивать NGFW нужно не по красивой цифре в буклете, а по тестам на своём реальном трафике и с тем набором функций, который будет включён в боевом режиме.

Миф 2. «NGFW может заменить все устройства безопасности»

За последние 15 лет NGFW эволюционировали от обычного stateful-firewall до универсальных платформ, в которые встраивают VPN, IDS/IPS, веб-фильтры, антивирус, антиспам, даже WAF и элементы SIEM.

Идея «всё в одном» выглядит привлекательно: меньше железа, меньше договоров техподдержки, проще эксплуатация.

Но на практике есть несколько существенных ограничений.

Ограниченность ресурсов. NGFW работает на CPU общего назначения, и ресурсы делятся между всеми сервисами. Если на пике растёт нагрузка на IPS или SSL-инспекцию, то может «просесть» работа антивируса или URL-фильтра. Бывает, что при перегрузке модуль безопасности тихо выключается и возвращается в строй только при снижении трафика — фактически создавая непредсказуемый риск.

Урезанные функциональные возможности встроенных модулей. Например, антивирус на NGFW проверяет поток на лету и не умеет пересканировать файлы после обновления сигнатур. Он не заменяет полноценные endpoint-решения, которые могут интегрироваться с EDR и выполнять проактивный анализ. По сути, встроенный антивирус полезен как дополнительный барьер для устройств, куда нельзя поставить клиентский агент (старые ОС, АСУТП, IoT, специализированные серверы).

Сложность и совместимость. Чем больше компонентов в одном устройстве, тем выше риск багов на стыках модулей. Обычная утечка памяти в одном из модулей или ошибка в обновлении может вывести из строя весь межсетевой экран.

Безусловно, сценарии могут быть разные: для разных организаций и даже для различных офисов одних и тех же организаций выбираются наиболее оптимальные сценарии. Тем не менее есть стандартные рекомендации, к которым необходимо прислушиваться в любом случае:

  • максимально отключайте неиспользуемую функциональность;
  • обновления устанавливайте только в согласованное время, имейте запас по времени и план отката на случай возникновения проблем;
  • сравнивайте поведение системы до и после обновления;
  • знайте возможности системы и понимайте, как она работает, чтобы не ожидать от устройства того, что оно делать не умеет, и не включать механизмы защиты «лишь бы было».

Однако ни одно, даже самое продвинутое устройство не способно заменить комплексную экосистему защиты. NGFW — это фундамент, но не весь дом. Его сила раскрывается лишь в связке с другими средствами, грамотной настройкой и регулярным контролем эффективности.

Что действительно включают на практике

Если несколько лет назад отечественный NGFW использовался в крайне ограниченных сценариях, то сегодня в условиях свершившегося импортозамещения российский NGFW — это не «чёрный ящик с лампочками», а многофункциональная популярная платформа.

В наших проектах активно используются следующие функциональные возможности:

  • базовый межсетевой экран (stateful firewall);
  • идентификация пользователей (User ID);
  • SSL-инспекция для контроля зашифрованного трафика;
  • система обнаружения вторжений (IDS/IPS);
  • VPN и безопасный удалённый доступ;
  • URL-фильтрация и контроль категорий ресурсов;
  • анализ приложений.

Дополнительные сервисы — такие как антивирус, антиспам и DLP – либо работают точечно, либо выносятся на отдельные специализированные решения.

Ключ к эффективной защите — не количество галочек, а осознанное понимание, как каждая технология работает, где её ограничения и как она вписывается в общую архитектуру.

Миф 3. «Вендор постоянно добавляет полезное и новое»

Почти у каждого производителя есть roadmap (дорожная карта). На слайдах это выглядит убедительно: скоро выйдут новые функции, появится интеграция с облаком, машинное обучение и т. д.

Но дорожная карта — не юридическое обязательство. Вендор может перенести сроки, изменить приоритеты или вовсе отменить релиз. Часто в списке указано только название функции без деталей, и нельзя предсказать, как именно она будет реализована.

По моему опыту, зрелые западные решения уже давно закрывают 90–95 % реальных задач. Дальнейшее развитие идёт в сторону маркетинговых фишек или интеграции в экосистему производителя. Это чаще интересно и удобно для администратора и реже — критично для защиты.

В условиях импортозамещения отечественные игроки активно наращивают возможности, чтобы догнать лидеров. Из-за конкуренции возникает настоящая «гонка дорожных карт», что нередко приводит к появлению «сырого» кода и нестабильных функций.

Вывод: планируя закупку здесь и сейчас, следует ориентироваться на фактически доступные возможности устройства, а не на обещания из презентаций. Roadmap полезен только для долгосрочного планирования бюджета и не должен быть основой проектирования архитектуры защиты.

Миф 4. «Full visibility приложений»

Контроль приложений (Application visibility & control) — один из краеугольных камней концепции NGFW. Производители обещают, что экран распознает каждое приложение и позволит управлять доступом на уровне бизнес-сервисов.

На практике это не магия, а комбинация методов:

  • анализ портов и адресов назначения;
  • проверка URL;
  • сигнатурный анализ содержимого пакетов;
  • анализ поведения сессии.

Для стандартных протоколов (FTP, SSH, SMTP) это надёжно работает даже на нестандартных портах. Но в реальном мире много кастомных приложений, а часть сервисов специально маскирует свой трафик под популярные протоколы, чтобы обойти фильтрацию. В этих случаях классификация становится вероятностной, а значит — уязвимой для ошибок.

Есть и эксплуатационные риски:

  1. Функция resource-intensive — при включении большого числа правил потребление ресурсов процессора и памяти растёт.
  2. При ошибке классификации легитимный сервис может оказаться заблокированным, либо, наоборот, вредоносный трафик проскочит.

При создании политик важно учитывать эти особенности:

  1. Если разрешён доступ по приложению, ошибка приведёт к блокировке сервиса.
  2. Если запрещён, ошибка станет причиной лишнего допуска.

Технологию удобно использовать для приложений и протоколов, которые тяжело обработать на уровне L3/L4, например Windows Update. Или в качестве ловушек, например, отслеживать, кто подключается к известным серверам удалённого доступа, таким как Anydesk или ngrok.

Анализ приложений – технология, которая позволяет решать некоторые проблемы, но при этом необходимо понимать ограничения её применения и, в некоторых сценариях, классические L3/L4-технологии будут работать надёжнее, проще и быстрее.

Выводы

Опыт эксплуатации NGFW показывает, что включить все функции по умолчанию и считать инфраструктуру максимально защищённой — ошибка. Набор активированных галочек не равен реальной безопасности. Каждая технология имеет ограничения, которые необходимо учитывать. Грамотная защита требует понимания этих ограничений, оценки рисков и осознанного выбора архитектуры.

NGFW остаются важным элементом современной сетевой безопасности, но их возможности должны быть трезво оценены. Компании, выбирающие такие решения, должны исходить не из маркетинговых слоганов, а из своих реальных сценариев использования и эксплуатационных ограничений устройств.

Полезные ссылки: 
> Минцифры будет продвигать российские SSL-сертификаты
AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новые статьи на Anti-Malware.ru

Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017
Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.

© ООО "АМ Медиа", 2005-2025. Все права защищены.