До недавнего времени многие воспринимали межсетевые экраны как «умные коробки» для фильтрации трафика. Но с 1 марта 2026 года ландшафт российского ИБ кардинально изменился. Вступление в силу Приказа ФСТЭК №117 перевело требования к защите государственных информационных систем (ГИС) из формальных в жесткие.
В этой статье разберем, что такое NGFW простыми словами, почему он стал обязательным по закону и как быстро протестировать решение, не покупать «кота в мешке».
Часть 1. Базовое понимание: что такое NGFW?
1.1. Что такое NGFW? Расшифровка и суть
NGFW (Next-Generation Firewall) — это межсетевой экран нового поколения. Если простыми словами, то это «умный фильтр» для вашего интернета.
Старый firewall (брандмауэр) смотрел только на порты (TCP/80, 443) и IP-адреса. NGFW понимает, какое именно приложение создает трафик, даже если оно маскируется через 443 порт.
1.2. Отличие NGFW от традиционного МЭ (FW)
Главное отличие — глубокий анализ приложений (DPI) и предотвращение вторжений (IPS).
Старый МЭ: «Порт 80 открыт. Пусть идет что угодно, хоть троян».
NGFW: «Порт 80 открыт, но я вижу, что это не веб-сёрфинг, а попытка туннелирования Tor. Блокирую».
1.3. Чем отличается WAF от NGFW?
Это путают часто, но различия принципиальны:
WAF (Web Application Firewall) защищает конкретный веб-сайт от атак вроде SQL-инъекций (смотрит внутрь HTTP запроса).
NGFW защищает всю сеть в целом.
Вывод: они не заменяют, а дополняют друг друга.
1.4. Уровни модели OSI
В то время как старый МЭ работает на 3-м (сетевом) и 4-м (транспортном) уровнях, NGFW поднимается до 7-го (прикладного) уровня. Это позволяет ему расшифровывать трафик HTTPS и проверять содержимое пакетов в реальном времени.
Часть 2. Революция 2026 года: Приказ №117 и требования к NGFW
С 1 марта 2026 года для всех государственных и муниципальных организаций вступают в силу жесткие правила.
2.1. Почему NGFW стал обязательным
Приказ ФСТЭК №117 (который пришел на смену старому №17) впервые прямо предписывает использование межсетевых экранов нового поколения на границе с интернетом и между сегментами сети. Защита «для галочки» больше не пройдет — регулятор смотрит на реальную устойчивость к атакам.
2.2. Ключевые требования к NGFW по новому приказу
Система должна обеспечивать:
- Контроль приложений (App-ID).
- Защиту от вторжений (IPS с обновлением сигнатур).
- Расшифровку трафика (TLS/SSL Inspection).
- Маркировку нарушителей и жесткую сегментацию сети.
2.3. Сертификация ФСТЭК
Для работы в госорганах нужен не просто «мощный» файервол, а сертифицированный.
Согласно реестру ФСТЭК, актуальными российскими NGFW на 2026 год являются, например:
- Kaspersky NGFW
- PT NGFW (Positive Technologies)
- UserGate NGFW
- ViPNet Coordinator HW 5 и ViPNet xFirewall 5
- Континент 4
- RusPoint NGFW
Часть 3. Тест-драйв в TS Labs: как проверить гипотезу за 1 день
Покупка NGFW вслепую — рискованно. В TS Labs реализован сервис, позволяющий получить доступ к облачному полигону с живыми NGFW.
3.1. Онлайн пилот vs Полноценный проект
Онлайн пилот (TS Labs): до 24 часов на изолированном полигоне. Вы сами (или с инженером) крутите настройки, проверяете скорость и логику.
Полноценный пилот: это уже внедрение у вас в контуре, которое длится неделями.
3.2. Что именно можно проверить?
На полигоне TS Labs доступны:
- Код Безопасности - Континент 4
- Infotecs xFirewall
- Sangfor NGAF
- UserGate V7.2
- CheckPoint NGFW
3.3. Можно ли проверить интеграцию с AD и SIEM?
Да. TS Labs дает возможность проверить связку с Active Directory (пользовательский доступ) и отдачу логов в SIEM. Вы увидите, как именно устройство парсит трафик конкретного пользователя.
3.4. А если мне нужен конкретный вендор?
Если NGFW нет в открытом списке (например, новинку «ViPNet Coordinator HW 5»), отправьте запрос и мы его рассмотрим.
Заключение
В 2026 году NGFW — это не роскошь, а требование регуляторов (Приказ №117). Единого «лучшего» решения не существует — есть только правильное для вашей инфраструктуры. Прежде чем платить миллионы за лицензию, воспользуйтесь возможностью TS Labs и протестируйте NGFW на живом полигоне бесплатно в течение 24 часов. Это убережет вас от ошибок проектирования и несовместимости.