Попытка посмотреть на архитектуру систем сетевой безопасности через призму 4 млрд лет эволюционных экспериментов от директора компании Дмитрия Хомутова.

Из 50+ вендоров, заявивших о разработке NGFW после 2022 года, на рынке осталось около 10. На днях выбыл Solar NGFW. Посмотрим кто остался.

Рассказываем, почему DNS стал главным вектором атак, обходящих классические средства защиты, как зарубежные вендоры NGFW решают эту проблему — и что предлагает Ideco.

Когда сеть разрастается до нескольких сегментов с пересекающейся адресацией, нескольких арендаторов или нескольких зон с разными требованиями к безопасности, возникает вопрос: как обеспечить изоляцию на уровне межсетевого экрана, не покупая отдельное устройство под каждую задачу?

Один из ответов на этот вопрос — виртуальные контексты. В Ideco NGFW эта технология реализована под названием VCE (Virtual Context Engine). В этой статье разберём, что это такое архитектурно, как работает изнутри и в каких сценариях это имеет практический смысл.

ZTNA (Zero Trust Network Access) — это модель управления доступом (не только удаленным!), которая проверяет каждого пользователя и устройство (включая установленное и работающее на нем ПО) и даёт доступ не к сети в целом, а к конкретным приложениям и ресурсам. Преимуществом реализации концепции ZTNA в NGFW-решении являются прежде всего возможности файрвола следующего поколения по фильтрации трафика и публикации ресурсов. При этом администратором удобно управлять доступом в одном решении, не прибегая к многочисленным интеграциям наложенных средств защиты.

Особенно важно управлять доступом в современных условиях, когда значительная часть успешных взломов российских компаний в 2025 году происходило с помощью атаки на удаленных сотрудников или подрядчиков (supply chain attack). Специалисты по безопасности испытывают особенную “боль” в контроле подрядчиков - не имея доступ к их ИТ-инфраструктуре и возможностей по мониторингу безопасности, применения политик, настроек и средств защиты.

В Ideco NGFW работа с моделью ZTNA реализована через NAC‑клиент (Network Access Control - контроль доступа к сети на уровне подключения устройства.) и тесную интеграцию с межсетевым экраном, что позволяет существенно безопаснее и гибче управлять доступом сотрудников и подрядчиков по сравнению с классическими VPN и периметровой защитой.

В процессе своей трудовой деятельности, начиная от заместителя руководителя по ИТ в крупной образовательной организации и заканчивая ведущим инженером одной из компаний РФ, стоящих на острие современных решений кибербезопасности – меня всегда озадачивал вопрос отказоустойчивости периметрального решения компании или учреждения. При этом хотелось попасть в идеальный баланс между целесообразностью выстраиваемой архитектуры и отсутствием избыточности решения.

Говоря про периметральные NGFW, если отбросить вопрос их корректной настройки инженером и штатного функционирования бекендов, основным способом обеспечения отказоустойчивости является построение кластера из нескольких экземпляров устройств, которые функционируют как единое целое. При этом существуют два принципиально разных варианта реализации – это кластер Active|Passive (A|P) и кластер Active | Active (A|A).

Сегодня я хотел бы поговорить о том, какой тип кластеризации подходит больше к какому типу сети/компании/контекста использования, а также какие преимущества и недостатки имеются у каждого из них.

Кластеризация в режиме Active|Passive представляет собой технологию объединения двух NGFW устройств (каждое из которых будет называться нодой) в единый логический элемент сети (кластер) для обеспечения высокого уровня отказоустойчивости и доступности.

Фактически за счет дублирования физического устройства при этом устраняется проблема «единой точки отказа», когда при выходе из строя узла (как самого NGFW, так и сетевого интерфейса, линка к сетевому интерфейсу) кластер продолжает обрабатывать трафик без прерываний прозрачно для пользователя и сервисов, приложений.

SD‑WAN — это не «еще один VPN», а надстройка, которая управляет вашими каналами связи как единой системой: сама выбирает маршрут, проверяет качество каналов и подстраивается под бизнес-требования к доступности и безопасности.

В 2026 году для российских NGFW всё более актуален сценарий, когда устройство используется не только как решение по фильтрации трафика и отражению атак, но и как платформа для управления трафиком и сетевой связностью. В том числе в больших распределённых инфраструктурах с филиалами, удалёнными дата‑центрами, производственными площадками и облачной инфраструктурой.