Добавить в корзинуПозвонить
Найти в Дзене
TS Solution
959 подписчиков

Обычный файрвол вас уже не спасёт. Почему пора переходить на NGFW

3
5 мин
NGFW (Next Generation Firewall) — это межсетевой экран нового поколения, который сочетает в себе функции традиционного межсетевого экрана с расширенными возможностями безопасности. В современном мире угрозы кибербезопасности становятся всё более сложными и изощрёнными. NGFW играют важнейшую роль в защите сети, предоставляя более расширенные функции, выходящие за рамки традиционных межсетевых экранов. Главная особенность NGFW — это способность к глубокой проверке трафика на всех уровнях, включая приложения, пользователей и контент. Эти устройства не просто контролируют трафик, основываясь на адресах и портах, но и анализируют данные на более глубоком уровне. Чтобы называться NGFW, межсетевой экран должен обладать рядом ключевых функций, отличающих его от традиционных решений. NGFW может определять, какие приложения используют трафик, и управлять доступом к ним. Это позволяет более эффективно блокировать нежелательные программы и контролировать использование разрешённых приложений. NGFW
Оглавление

NGFW (Next Generation Firewall) — это межсетевой экран нового поколения, который сочетает в себе функции традиционного межсетевого экрана с расширенными возможностями безопасности.

В современном мире угрозы кибербезопасности становятся всё более сложными и изощрёнными. NGFW играют важнейшую роль в защите сети, предоставляя более расширенные функции, выходящие за рамки традиционных межсетевых экранов.

Главная особенность NGFW — это способность к глубокой проверке трафика на всех уровнях, включая приложения, пользователей и контент. Эти устройства не просто контролируют трафик, основываясь на адресах и портах, но и анализируют данные на более глубоком уровне.

Какие атаки помогает обнаруживать NGFW:

  1. Атаки через приложения
    Злоумышленники используют уязвимости в легальном программном обеспечении (браузерах, офисных пакетах, плагинах CMS). NGFW анализирует трафик на уровне приложений и блокирует такие попытки, даже если они маскируются под обычную работу.
  2. Использование уязвимостей в программном обеспечении
    Эксплойты «нулевого дня» и известные дыры в ПО. NGFW имеет встроенную систему предотвращения вторжений (IPS), которая распознаёт сигнатуры атак и аномальное поведение, не дожидаясь установки заплаток.
  3. Изменение поведения сети
    Резкие скачки трафика, нехарактерные направления соединений, попытки сканирования портов. NGFW отслеживает базовый профиль сети и сигнализирует об отклонениях, которые могут говорить о компрометации.
  4. Аномальная активность пользователей
    Например, сотрудник скачивает терабайты данных в 3 часа ночи или логинится из необычной страны. NGFW привязывает политики к конкретным пользователям (через Active Directory) и может ограничить или заблокировать подозрительные действия.
  5. Продвинутые постоянные угрозы (APT)
    Сложные, многоэтапные атаки, которые неделями и месяцами остаются незамеченными традиционными средствами защиты (антивирусами, обычными файрволами). NGFW использует анализ зашифрованного трафика, поведенческие детекторы и интеграцию с каналами угроз, чтобы выявить APT на ранней стадии.

Основные функции NGFW

Чтобы называться NGFW, межсетевой экран должен обладать рядом ключевых функций, отличающих его от традиционных решений.

1. Контроль над приложениями (AppID)

NGFW может определять, какие приложения используют трафик, и управлять доступом к ним. Это позволяет более эффективно блокировать нежелательные программы и контролировать использование разрешённых приложений.

2. Интеграция с системами предотвращения вторжений (IPS)

NGFW содержит встроенные средства предотвращения вторжений, которые могут выявлять и блокировать сложные атаки на уровне сети в реальном времени.

3. Фильтрация контента и URL

NGFW может фильтровать веб-сайты и контент, ограничивая доступ к потенциально опасным или нежелательным ресурсам.

4. Анализ SSL-трафика (SSL-инспекция)

Поскольку многие атаки могут быть скрыты в зашифрованном трафике, NGFW способен расшифровывать и проверять трафик HTTPS.

5. Идентификация пользователей (UserID)

Эти устройства способны не только распознавать устройства и IP-адреса, но и отслеживать действия конкретных пользователей в сети. Это помогает улучшить контроль доступа и повышает уровень безопасности.

6. Гибкая настройка политик безопасности

NGFW позволяет создавать и изменять политики безопасности, основанные на действиях пользователей, приложениях или контенте. Это даёт больше возможностей для индивидуального управления трафиком и снижает риск ошибок.

Стандарты NGFW (по версии Gartner)

На текущий момент не существует единого стандарта, который бы определял все требования к NGFW. Однако Gartner — один из ведущих аналитических центров — впервые ввёл термин NGFW и определил его основные характеристики.

Gartner указывает, что NGFW должны включать:

  • Интеграцию IPS (системы предотвращения вторжений)
  • Контроль приложений
  • Поддержку SSL-инспекции
  • Возможность применения политик безопасности на основе пользователей

Если устройство обладает этими четырьмя функциями, его можно считать NGFW.

При этом вендоры могут добавлять дополнительные возможности, чтобы предложить уникальные решения на рынке: управление угрозами, улучшенную аналитику, интеграцию с облачными сервисами или песочницу (sandboxing).

-2

Ключевое отличие: традиционный межсетевой экран защищает сеть, фильтруя трафик по IP-адресам, портам и протоколам. NGFW предоставляет значительно более глубокую защиту — он может различать разные типы трафика на уровне приложений, блокировать или разрешать использование конкретных программ и сервисов, а не просто трафик на определённых портах.

Как протестировать NGFW и выбрать правильное решение

Когда речь идёт о выборе NGFW для конкретного бизнеса, важно понимать, что разные вендоры предлагают уникальные наборы функций и технологий. Тестирование NGFW перед внедрением помогает убедиться, что выбранное решение будет эффективно справляться с конкретными задачами вашей сети и инфраструктуры.

Ключевые критерии тестирования:

  • Производительность с включёнными модулями (IPS, SSL, антивирус)
  • Точность обнаружения угроз (минимум ложных срабатываний)
  • Удобство управления и настройки политик
  • Совместимость с существующей инфраструктурой
  • Скорость реакции техподдержки

Чтобы помочь вам принять обоснованное решение, в TS Solution создали сервис TS Labs на основе многолетнего опыта наших специалистов. Этот сервис предлагает уникальную возможность протестировать различные сценарии работы NGFW от ведущих вендоров на наших макетах перед внедрением в вашу инфраструктуру.

Вы сможете оценить производительность, функциональные возможности и надёжность каждого решения в реальных условиях, не рискуя безопасностью своей сети.

Итог

NGFW — это ключевой инструмент для защиты современной IT-инфраструктуры от сложных угроз. Они предлагают множество функций: контроль приложений, SSL-инспекцию, предотвращение вторжений и идентификацию пользователей, что делает их более эффективными в сравнении с традиционными межсетевыми экранами.

Однако выбор правильного NGFW требует тщательной оценки и тестирования.

Кому нужно: среднему и крупному бизнесу, государственным учреждениям, банкам, операторам связи, объектам КИИ.

Что даёт: глубокую защиту на уровне приложений, обнаружение сложных атак, контроль зашифрованного трафика и гибкое управление доступом.