Почему российские NGFW не дотягивают до уровня импортных: 23 функции, которых может не хватать заказчикам

Классические файрволы и их возможности

История межсетевых экранов (firewall, FW) началась вместе с развитием многоуровневых и многопользовательских компьютерных и телекоммуникационных сетей. Принято считать, что первый файрволл в 1988 году создала компания Digital Equipment Corporation (DEC). В 1990 году компания Check Point Software Technologies выпустила свой первый коммерческий межсетевой экран FireWall-1.

Классические межсетевые экраны позволяют осуществлять фильтрацию по IP-адресам (разрешать или блокировать трафик на основе IP-адресов), по портам (разрешать или блокировать соединения на определенных портах, например, HTTP на порту 80 или HTTPS на порту 443), по транспортным протоколам (TCP или UDP), по статусу соединения (т.н. stateful или «с сохранением состояния»: решение о фильтрации трафика принимается на основе текущего состояния соединения, ответные пакеты для уже установленного соединения разрешаются, а несанкционированные блокируются).

Файрволы получили широкое распространение потому, что их легко настраивать, они обеспечивают высокое быстродействие при низкой стоимости владения: ведут базовую фильтрацию трафика по IP-адресам, портам и протоколам на уровне L3/L4^[1], для чего не требуются высокопроизводительные платформы. Кроме того, их довольно просто настраивать. Но есть у систем этого типа и недостатки, к которым относятся, например, невозможность защиты от угроз на уровне приложений и отсутствие управления доступом на уровне пользователей.

С развитием технологий и увеличением сложности киберугроз файрволы эволюционировали в NGFW (Next Generation Firewall) — межсетевые экраны нового поколения. Их возможности расширились, а быстродействие увеличилось.

Файрволы нового поколения и их возможности

Если представить себе межсетевые экраны и их модификации – NGFW – как входные двери, то зайти и выйти кто угодно не сможет, файрволл проконтролирует и при необходимости ограничит доступ. Если у вас в доме есть какие-то ценные активы, то без дверей об их сохранности остается только мечтать. Более того, NGFW – это еще и консьерж, который знает каждого в лицо. Наряду с хостовыми антивирусами и средствами бэкапирования, NGFW является фундаментаментальным в информационной безопасности ИТ-инфраструктуры.

Первые решения класса NGFW появились 2007-2008 годах. Так, выход на рынок NGFW Palo Alto Networks произошел в 2007 году. Через шесть лет, в 2013 году, вместе с Check Point Software Technologies, компания стала одним из лидеров рынка (Gartner). Таким образом, на Западе история NGFW насчитывает чуть меньше двадцати лет.На страже безопасности: как компании с закрытым контуром выбрать систему КЭДО 2.4 т

NGFW обеспечивают межсетевое экранирование, защиту от шпионского сканирования, управление приложениями, пользователями и контентом на основе политик, защиту от DDoS-атак, инспекцию TLS, SSL и SSH (в т.ч. протоколов TLS 1.3 и HTTP/2), защиту от вирусов, в том числе неизвестных и новых, предотвращение вторжений (IPS), интеграцию с другими средствами защиты, например с sandbox («песочницы» – средства для эмуляции ИТ-инфраструктуры клиента, не связанной с ней и предназначенной для выявления и нейтрализации неизвестных и потенциально опасных для ее работоспособности вредоносных файлов – ред.).

Файрволы нового поколения могут распознавать контент, идентифицировать пользователей и связанный с ними сетевой трафик, а также обладают рядом дополнительных функций, расширяющих возможности и ликвидирующих недостатки, свойственные первому поколению FW.

NGFW позволяют осуществлять глубокую инспекцию и контроль приложений, в том числе управлять неизвестными приложениями с помощью политик, вести идентификацию и контроль пользователей, а также сканировать и регулировать активность таких системных служб, как прокси-серверы, Active Directory, Exchange, средства виртуализации VDI. Работающий NGFW позволяет анализировать системные журналы, XML API. Он надежно обеспечивает безопасность IoT (интернета вещей), проводя идентификацию всех устройств IoT в сети, обнаружение аномалий и реагирование на них с учетом потенциальных рисков.

Возможности NGFW в области фильтрации URL включают в себя предотвращение веб-атак, блокировку фишинговых ссылок в электронных письмах и на фишинговых сайтах, командных центров на основе HTTP и страниц, содержащих эксплойты, а также блокировку утечек данных учетных записей и паролей на фишинговых ресурсах. NGFW позволяют в режиме реального времени определять категории вредоносных веб-сайтов, в том числе с использованием алгоритмов машинного обучения, проводить бессигнатурное определение вредоносных скриптов в реальном времени.

NGFW осуществляют автоматическую защиту от вредоносных DNS-доменов, как выявленных с помощью анализа в режиме реального времени, так и с использованием баз данных вредоносов из глобальной экосистемы аналитики угроз. Файрволы позволяют быстро обнаруживать атаки типа C2 и утечки данных, при которых используется туннелирование DNS, DGA, FastFlux, DNS-rebinding, а также осуществлять автоматический поиск зараженных машин и быстрое реагирование на угрозы с использованием политик.

Важным свойством NGFW является осуществляемая разными способами динамическая маршрутизация DHCP, DNS, NAT, перераспределение маршрутов, управление полосой пропускания трафика для каждого приложения, пользователя, туннеля, на основе классификации DSCP. NGFW умеют управлять виртуальными экземплярами межсетевых экранов на базе одного физического межсетевого экран (так называемые «виртуальные контексты»), с разделением трафика и политик каждой виртуальной системы, а также осуществлять сегментацию сети по зонам.

NGFW на российском рынке: перспективы и возможности

Ситуация на российском рынке NGFW иная. Только после событий февраля 2022 года в России в результате импортозамещения ПО покинувших страну вендоров из недружественных стран стали массово вестись разработки отечественных NGFW. Хотя стоит отметить несколько российских компаний-разработчиков NGFW, например, UserGate и Ideco, которые вышли на рынок до начала ажиотажа 2022 года, но конкуренция с иностранными разработками значительно затрудняла их развитие.

До 2022 года рынок NGFW почти полностью обслуживался зарубежными производителями. Их уход вызвал серьезные изменения на ИБ-рынке – российским разработчикам и вендорам стал доступен самый большой сегмент, ранее практически закрытый для российских игроков. При этом адекватных предложений со стороны российских вендоров не было. UserGate в тот момент были единственными, кто мог предложить хоть какую-то замену, что по итогам 2023 года сделало компанию пятой по размеру среди всех российских ИБ-вендоров (данные ЦСР, октябрь 2024).

Вот некоторые компании, представленные на рынке NGFW в России:

• ViPNet xFirewall (АО «ИнфоТеКС»)
• Dionis DPS (ООО «Фактор-ТС»)
• Traffic Inspector Next Generation (ООО «Смарт-софт»)
• «Рубикон» (АО «НПО Эшелон»)
• Solar NGFW (ГК «Солар»)
• InfoWatch ARMA (АО «Инфовотч»)
• «Интернет Контроль Сервер» (ООО «А-Реал Консалтинг»)
• PT NGFW (АО «Позитив Текнолоджиз»)
• UserGate NGFW (ООО «Юзергейт»)
• «Континент 4» («Код Безопасности»)
• Mirada NGFW (ООО «Кодмастер»)
• Ideco NGFW (ООО «Айдеко»)
• Diamond VPN/FW (ООО «ТСС»)

Можно отметить, что мотивы российских разработчиков, их подходы к созданию и продвижению ПО и ПАК различны. У них разные цели, разная целевая аудитория, разное видение будущего систем NGFW.

UserGate, к примеру, развивает сразу два NGFW – классический файрволл нового поколения, позиционирующийся как решение для среднего и малого бизнеса (UserGate NGFW), и новое решение для крупных заказчиков – Data Center Firewall (DCFW). При этом компания активно разрабатывает собственные аппаратные платформы со своим дизайном и схемотехникой, и намерена выпустить полный модельный ряд к 2027 году. Также у UserGate уже есть собственная 1U платформа^[2] со встроенным аппаратным ускорением на базе FPGA.

Компания «Код безопасности» в процессе развития ориентировалась на рынок госструктур, где могут быть внедрены только те решения, которые прошли контроль соответствия по защищенности систем со стороны регуляторов: ФСТЭК России и ФСБ России. Компания традиционно была сильна в области ГОСТ VPN, и сделали свое решение Континент 4 NGFW на основе сертифицированного ФСБ России криптографического шлюза Континент 3.

Ideco ориентируется на запросы клиентов и разрабатывает высокопроизводительную версию NGFW с широким функционалом.

Positive Technologies делает NGFW с ориентацией на Enterprise с возможностями функционального масштабирования и хочет сделать его частью своей экосистемы, которая будет вписываться в состав продуктов.

Kaspersky также разрабатывает свой NGFW и считает, что следующий этап развития – это XDR (Extended Detection and Response – «расширенные обнаружение и реагирование» – ред.), и NGFW должен стать значимой частью XDR.

Некоторые компании, например, компания CODEMASTER (NGFW Mirada), масштабируют решения, созданные под специфические задачи клиента. Сильные стороны Mirada — возможность аппаратного ускорения правил L3/L4, что уже сейчас позволяет обрабатывать трафик со скоростью до 700 Гбит/с, но с ограниченным количеством правил, которые можно аппаратно ускорить. Тем не менее, таким образом можно существенно разгрузить устройство, оставив как можно больше вычислительных ресурсов для функций NGFW. Этот подход можно встретить у западных производителей, и, в принципе, говорит о желании отечественных разработчиков подтягиваться на требуемый современным заказчиком уровень, это преимущество в скорости признают даже конкуренты Mirada. А Solar NGFW считает, что требования заказчиков возможно обеспечить только при создании NGFW с нуля на основе современных технологий без legacy и технического долга, что доступно только новым вендорам.

Сейчас на российском рынке уже имеется межсетевой экран с контролем состояния сессий (OSI L3/L4), контроль приложений (OSI L7), потоковый антивирус, есть возможность связать сетевой трафик с конкретными пользователями. Есть набор сетевых функций: статическая и динамическая (BGP, OSPF, RIP) маршрутизация, VLAN, PBR, VRF, ECMP, BFD, WCCP, DHCP, QoS, резервирование канала и т. д. При желании можно встроить NGFW в существующую ИТ-инфраструктуру. Есть функции централизованного управления и построения отказоустойчивого кластера (Active-Passive, Active-Active) у некоторых вендоров.

Главная задача заключается в достижении уровней функционала и производительности, сравнимых с передовыми зарубежными решениями. Несмотря на заявления отдельных компаний о том, что они уже достигли этого уровня, реальность такова, что конкурировать с мировыми лидерами, у которых имеются многомиллиардные бюджеты, сотни, а может быть тысячи ученых и многолетний опыт работы с крупнейшими клиентами из различных секторов, — задача сложная и заказчики это понимают. А еще это кадры — сейчас нехватка кадров ощущается не только в сфере сетевой безопасности, но и сфере схемотехники, и сфере кибербезопасности в целом. Для разработки NGFW нужны люди, которые смогли бы справиться с задачей такого уровня. Специалисты, которые разбираются не только в сетевой безопасности, но и в разработке аппаратных решений.

Одним из ключевых факторов, способствующих переходу на отечественное ПО, остаются государственные инициативы. Они включают налоговые льготы и субсидии для разработчиков, а также меры по стимулированию спроса на российские решения в рамках государственных закупок. В 2024 году региональные и федеральные власти приобрели до 90% программных решений отечественного производства. Кроме того, постановление Правительства Российской Федерации №250 в п.6 обязал распорядителей объектов КИИ, госкорпорации и стратегические предприятия заменить средства защиты (и NGFW в том числе) на российские аналоги к 1 января 2025 года.

В то же время эксперты констатируют, что многие из упомянутых категорий заказчиков, особенно корпорации и государственные компании, продолжают использовать зарубежные средства защиты информации. Переход же на отечественное ПО осложняется тем, что возникают риски для непрерывности бизнес-процессов и обеспечения информационной безопасности ИТ-инфраструктуры. NGFW российской разработки, включающие в себя средства аппаратного ускорения, поддержку всех требуемых сетевых технологий и протоколов, собственные аппаратные платформы и сопутствующую экосистему (клиент, централизованное управление и пр.), в среднесрочной перспективе будут оставаться в фокусе внимания как критически важный продукт, от которого зависит функционирование ИТ-инфраструктуры, а процессы импортозамещения будут продолжаться.

Развитие функционала российских NGFW, которое ожидают заказчики

Вендоры, работающие на российском рынке NGFW, за последние несколько лет получили экспертизу в том, что касается высокоскоростной обработки трафика и архитектуры файрволлов нового поколения. Нет двух похожих друг на друга сетей и профилей трафика, как и единых требований к функциональным возможностям систем безопасности. Чем больше правил (порой их число составляет несколько десятков тысяч), чем глубже анализ трафика, мельче пакеты данных, тем больше требуется вычислительных мощностей устройства, тем меньше максимальная пропускная способность системы.

Российские заказчики ждут от NGFW не только базовых функций, но и продвинутых возможностей, которые смогут противостоять сложным атакам – с 2020 по 2024 год количество кибератак на российские компании значительно выросло. По данным аналитиков, в 2022 году число компаний, реально почувствовавших на себе последствия кибератак и пересмотревших свои взгляды на информационную безопасность с учетом нового опыта, увеличилось на 40-50% по сравнению с предыдущими годами. Поэтому заказчикам важно получить хотя бы основные функции в РФ NGFW: глубокую инспекцию трафика (DPI), кроме того, современный NGFW должен уметь анализировать не только заголовки пакетов, но и содержимое трафика, включая зашифрованные данные (SSL/TLS inspection), при этом должны поддерживаться десятки, а то и сотни тысяч правил проверок трафика. Это позволяет выявлять скрытые угрозы, которые традиционные фаерволы могут пропустить. Предотвращение угроз — также must have. NGFW должны включать защиту от APT-атак, ransomware, фишинга и zero-day уязвимостей.

Удобная централизованная панель управления несколькими устройствами, интеграция с SIEM-системами и возможность генерации отчетов в реальном времени также должны входить в структуру NGFW. NGFW должен уметь идентифицировать и контролировать использование приложений, будь то WhatsApp (популярный мессенджер – ред.) или Tor (широко распространенный браузер, осуществляющий многоуровневое шифрование трафика – ред.). Возможность настройки детализированных политик на основе персонализации пользователей, групп или времени использования делает защиту более гибкой и эффективной. Необходимо также управление пользователями, посредством создания workflow и интеграции с системами аутентификации, такими как Active Directory или его отечественные аналоги. Необходимо иметь возможность настраивать политики безопасности не только по IP-адресам, но и в отношении конкретных пользователей. NGFW должны соответствовать регуляторным нормам ФСТЭК России и ФСБ России (при необходимости) и иметь соответствующий/ие сертификат/ты. В целом речь идет не только об улучшении функциональных возможностей отечественных решений, но о повышении зрелости продуктов, формировании полноценных экосистем (сервер управления, лог-сервер, возможности масштабирования и резервирования для повышения производительности и отказоустойчивости).

Многие российские вендоры акцентируют внимание на пресейле, технической поддержке и постпродажном обслуживании. Такой подход способствует повышению уровня доверия клиентов и улучшению их общего опыта взаимодействия с российскими NGFW. Также немаловажно для заказчика иметь высокопроизводительную систему. С тестами NGFW можно ознакомиться здесь.

Список наиболее приоритетных функциональных возможностей и требований, которые пока отсутствуют у российских решений NGFW:

1. Прохождение больше 20 Гбит/с шифрованного трафика SSL/TLS.
2. Поддержка больше 10 000+ сложных правил.
3. Установка более 500 000 новых сессий в секунду (Connections Per Second).
4. Реализация функциональности NAT, включая:
   • L2 Transparent/Virtual Wire режим.
   • PAT.
   • Policy-based NAT.
   • NAT64.
5. Детектирование обращений к серверам C&C с загрузкой их в актуальную базу данных.
6. Способность к обнаружению сканирований в сторону Scanning target.
7. Вертикальное/горизонтальное ICMP-сканирование.
8. Вертикальное/горизонтальное TCP-сканирование на выделенный виртуальный сервер/сеть с полным набором открытых портов.
9. Вертикальное/горизонтальное UDP-сканирование на выделенный виртуальный сервер/сеть с полным набором открытых портов.
10. Идентификация файлов с зашифрованным содержимым (шифрованные архивы, офисные документы и пр.) с использованием облачного динамического анализа.
11. Наличие инструментов для возможности тютинга добавления/отключения стандартных и создания новых сигнатур приложений.
12. Интеграция с FreeIPA.
13. Разрешение или запрет приложений для категорий URL, меньше на порядок чем у зарубежных вендоров.
14. Контроль передачи файлов.
15. Создание учетной записи с запретом доступа к разделу веб-интерфейса.
16. Ограничение доступа к внесению изменений в редактируемые правила политики.
17. Интеграция МСЭ с MS AD, содержащим более 400 000 пользователей.
18. Чтение групп пользователей из других лесов, поддержка two-way-trust.
19. Настройка частоты синхронизации системы с MS AD.
20. Получение информации по различным протоколам о пользователях из внешних систем с сопоставлением IP и USER-ID.
21. Защита от flood-атак, включая:
    • TCP SYN-flood.
    • TCP-Flood.
    • UDP flood.
    • ICMP flood.
22. Работа кластера в режиме Active/Active с поддержкой обмена данных о состоянии потоков между узлами кластера.
23. Возможность масштабирования кластера за счет его работы в режиме Active/Active с возможностью балансировки нагрузки между всеми узлами кластера.

В качестве бонуса для малых компаний можно было бы совместить межсетевой экран для глубокой фильтрации трафика c межсетевым экраном уровня приложений для выявления и блокировки атак на веб-приложения, причем в зашифрованном с помощью TLS трафике (NGFW + WAF). Пока что все крупные вендоры для B2E явно выделили функции WAF из NGFW в отдельные продукты, так как они дифференцированы по месту в ИТ-инфраструктуре и выполняют разные задачи.

В этом направлении (NGFW + WAF) cделаны первые шаги к интеграции решений защиты на стыке технологий. К примеру, объединение DNS Security, которая эффективно предотвращает угрозы еще до их проникновения в сеть с Ideco NGFW, которая уже отвечает за блокировку подозрительных действий, происходящих внутри самой сети. Используемые алгоритмы анализируют параметры сетевых запросов, включая частоту обращений к доменам, географическое распределение источников трафика и временные аномалии. Такой подход помогает выявлять подозрительные паттерны, указывающие на наличие DGA-доменов, активность вредоносных ботов, а также возможные каналы C2C-коммуникаций и DNS-туннелирования.

Динамика рынка систем NGFW в России

На примере российских производителей NGFW можно увидеть, как российский рынок сетевой безопасности трансформировался от локальных решений к активному участию в процессе импортозамещения. К 2023 году сегмент NGFW стал одним из самых динамично развивающихся в сфере информационной безопасности в России, показав за предыдущие десять лет рост в 3-4 раза, и на сегодняшний день является крупнейшим в структуре российского рынка информационной безопасности. Эксперты считают, что рост будет продолжаться, поскольку все больше клиентов переходят от традиционных межсетевых экранов к решениям этого класса, в том числе и импортозамещенным. Кроме того, ожидается отложенный спрос на замену зарубежного оборудования, особенно со стороны крупных заказчиков, так как срок эксплуатации сетевого оборудования обычно составляет 5–7 лет. Поставки в формате программно-аппаратных комплексов (ПАК) сохранят свою ведущую роль, однако наблюдается увеличивающийся интерес к виртуализированным решениям, их доля в общем объеме поставок будет расти.

Заключение

Классические межсетевые экраны, работающие на уровне L3/L4 модели OSI, имеют свои достоинства, такие как простота настройки и высокая скорость обработки. Однако их недостатки становятся все более очевидными в условиях современных киберугроз, которые требуют более глубокого анализа и контроля трафика, включая управление на уровне приложений и пользователей. NGFW, в отличие от своих предшественников, предлагает многофункциональные возможности, включая глубокую инспекцию трафика (DPI), защиту от DDoS-атак, управление приложениями и пользователями, а также интеграцию с системами аутентификации.

Проблематика, с которой сталкивается российский рынок NGFW, заключается в недостаточной зрелости отечественных решений, ограниченных функциональных возможностях и высоком уровне конкуренции с зарубежными аналогами. После февраля 2022 года, в условиях санкций и ограничений на поставки и роста цен, российские вендоры получили возможность занять освободившийся сегмент, однако им предстоит преодолеть значительные технические и кадровые барьеры.

Стратегией развития российских NGFW должно стать улучшение функциональных возможностей, создание экосистем, обеспечивающих высокую степень интеграции и масштабируемости. Важно отметить, что российские компании уже демонстрируют прогресс, предлагая решения, которые соответствуют базовым современным требованиям безопасности.

В перспективе рынок NGFW в России будет продолжать расти, особенно с увеличением потребности в защите от кибератак. В течение следующих 2-3 лет ожидаю зрелость отечественных решений максимально приближенным к зарубежным аналогам.