Привет, Хабр! Делюсь ниже статьей моего коллеги Игоря Резцова, ведущего системного инженера в К2 Кибербезопасность.
На связи Игорь Резцов. За 15 лет опыта в ИТ, из которых 8 лет в ИБ, я видел как требования к сетевой безопасности менялись и усложнялись. Одно можно сказать точно — NGFW давно стал базой. Согласно нашим данным, 88% российских корпораций активно используют его для защиты сетей.
Один из главных запросов заказчиков последние несколько лет — миграция с зарубежных NGFW на российские. Для кого-то это требование законодательства, а для кого-то — желание иметь доступный и обновляемый до актуальной версии продукт с работающей техподдержкой. Наша команда регулярно тестирует новые продукты на рынке. В том числе и NGFW от Позитивов, за которым мы следили еще с дорелизной демки. В этой статье я поделюсь результатами годового тестирования функционала и производительности PT NGFW 1.9 не только в рамках лаборатории, но и в пилотах с заказчиками.
О рынке и продукте
В конце 2025 года мы провели большое исследование российского рынка NGFW. Несмотря на уход большинства зарубежных поставщиков, 62% корпораций продолжают использовать иностранные продукты — исключительно (22%) или в сочетании с отечественными (40%). Лишь 38% участников исследования сообщили о полном переходе на российские NGFW. При этом их производительность частично или полностью устраивает 89% пользователей.
И это неудивительно. Российские продукты давно активно развиваются и карта решений значительно расширилась за последние несколько лет. Одним из таких толчков рынка стал лонч NGFW от Positive Technologies позапрошлой осенью. Мне кажется, что одно из главных преимуществ вендора — использование мировых практик и современных технологий без legacy-базы. А также понимание российских ИТ-инфраструктур и специализации на сигнатурах для нашего рынка. В отличие от того же Palo Alto Networks, ориентированных преимущественно на западную специфику.
Результаты тестирования в нашей лаборатории
Через нашу лабораторию прошли все версии продукта с дорелизной демки. Результаты ниже актуальны в частности и для последней на момент написания статьи версии решения v.1.9.2.
Тест проходил в 5 этапов.
Этап 1. Проверка работы приложений (Layer 7)
Межсетевые экраны нового поколения должны не просто блокировать порты, но и обеспечивать корректную фильтрацию трафика. В ходе тестирования PT NGFW мы сосредоточились на создании правил межсетевого экранирования (МЭ) на основе приложений. Используя фильтры L7, мы воспроизвели сетевые взаимодействия через протоколы: SMB, SMTP, FTP, SSH, HTTPS и HTTP.
В процессе тестирования особое внимание было уделено детектированию приложений на нестандартных портах. Например, наш HTTP-сервер был настроен на порту 9000, а SSH — на порту 1022. Данные подключения были успешно определены без каких-либо ложных срабатываний. Информация о них наглядно отображалась в логах журнала трафика. Эффективность фильтрации показывают и лог-записи, которые подтвердили, что настроенные политики МЭ отрабатывают корректно.
Этап 2. Проверка работы SSL-инспекции
Сегодня более 80% всего трафика шифруется, что делает SSL-инспекцию важным критерием тестирования NGFW.
Мы выполнили следующие шаги:
Загрузили сертификат для перехвата и инспекции SSL-шифрованного трафика.
Настроили правила антивирусной защиты (AV) и применили к SSL трафику. В качестве теста был использован файл EICAR, предназначенный для проверки антивирусных систем.
Произвели передачу зашифрованного трафика через межсетевой экран с указанным файлом.
Получили результаты — PT NGFW надежно отлавливал угрозы в SSL-трафике. Журнал событий отразил успешную фильтрацию файла EICAR, продемонстрировав, что решение эффективно обнаруживает и предотвращает распространение известных зловредных программ даже через зашифрованные сессии.
Этап 3. Проверка работы маршрутизации
В своей лабораторной среде мы также проверили возможности PT NGFW для работы с протоколами OSPF и BGP и протестировали настройку большого количества sub-интерфейсов — порядка 300. Также в рамках тестирования была реализована схема с двумя контекстами: в одном осуществлялась настройка OSPF-соседства, в другом — BGP.
Мы довольно быстро убедились, что маршрутизация между контекстами полностью изолирована, обеспечивая безопасность и управляемость.
Вообще PT NGFW позволяет создать до 256 контекстов, а в каждом контексте может быть настроено до 256 VRF. Это дает массу возможностей для масштабирования и адаптации инфраструктуры под определенные задачи, что особенно важно для крупных корпоративных сетей. Еще одно преимущество — данный функционал не лицензируется.
Этап 4. Нагрузочное тестирование
Нагрузочное тестирование — критический этап, который позволяет выявить производительность системы в условиях высоких нагрузок. В результате появилось четкое понимание возможностей PT NGFW в условиях интенсивного трафика, система продемонстрировала высокую степень стабильности и пропускной способности, что делает ее подходящим решением для высоконагруженных сред.
Конкретные результаты тестов подтвердили эти выводы. Испытания проводились в «боевых» условиях с использованием профиля трафика EMIX, при активных политиках безопасности (10 тысяч ACL-правил, межсетевой экран L4, контроль приложений и система предотвращения вторжений IPS):
Модель PT NGFW 2010 показала пропускную способность 14.7 Гбит/с, что на 23% превышает заявленный производителем показатель в 12 Гбит/с.
Модель PT NGFW 2020 продемонстрировала результат 24.8 Гбит/с, также превзойдя заявленные характеристики (23 Гбит/с) на 8%.
Таким образом, тестирование не только подтвердило с��ответствие оборудования техническим спецификациям, но и выявило значительный запас производительности, что гарантирует надежную работу в пиковые нагрузки и обеспечивает запас для будущего роста трафика.
Этап 5. Миграция с зарубежного продукта
Это актуальный для многих вопрос и мы тестировали процесс переноса конфигураций на PT NGFW с помощью автоматизации. Нам удалось быстро и эффективно перенести:
~200 правил межсетевого экранирования;
~40 правил NAT;
1000+ сетевых объектов и порядка 100 сервисов.
Здесь следует отметить преимущество разработанных вендором автоматизированных скриптов, которые значительно сократили сроки и упростили процесс миграции. А также исключили человеческий фактор, влекущий зачастую ошибки при переносе больших объемов конфигурационных файлов вручную.
Также отмечу, что доступны миграторы c разных популярных продуктов: Fortinet, Palo Alto, Cisco и других.
PT NGFW в боевых условиях — практические кейсы
Тут распишу итоги двух наших пилотов с заказчиками.
Начну немного издалека — с версии 1.6. Так как за год мы пилотировали разные версии продукта, то удалось проследить то, как вендор реагирует на фидбек и апгрейдит продукт в новых версиях. Спойлер — большинство наших замечаний уже устранили в 1.9 и следующих версиях — отмечено UPD по пунктам ниже.
Первый пилот был для заказчика — промышленного машиностроительного холдинга. Он пришел к нам за подбором решения для защиты периметра корпоративной сети. В данном проекте мы пилотировали еще PT NGFW v.1.6. и сразу выделили функционал, которого нам не хватило.
Чего не хватило:
1. В объекты можно добавить только один адрес, подсеть или диапазон. Не получается ввести один объект с несколькими адресами.
При объединении нескольких объектов используется стандартная практика — объединение в группы с последующей их подстановкой в правила. В PT NGFW в группу можно добавлять объекты разных типов.
2. При написании политики в строках source/dst не работает поиск по ip адресу, только по имени объекта. Что усложняет написание политик если необходимо оперативно выбрать или изменить правила для конкретных IP-адресов. UPD — в 1.9 появились вкладки для быстрой навигации.
3. При написании политики нельзя создавать новые объекты/сервисы. Нужно переключаться в другое окно. UPD — в 1.9 появилось создание и редактирование профилей и других объектов «на лету».
4. При тестировании обратили внимание на то, что в логах отсутствуют названия правил и зон, а также нет возможности быстро перейти к соответствующему правилу. UPD — в 1.9 появилась кнопка быстрого перехода к правилу из лога.
Кнопка быстрого перехода в рулсет ниже на скрине.
5. При срабатывании ограничений по политикам URL / антивируса не указана причина блокировки ресурса. Приходилось гадать, связана ли недоступность того или иного сайта с политикой компании, либо сайт не работал по собственным причинам. UPD — с версии 1.9.1 в журналах отображаются все категории вредоносных URL (Malware, Phishing, Command and Control, Ransomware и т.д.).
6. Нет функционала файл-детекции и контент-фильтрации по файлам (присвоение файлу категории исполняемый/архив/видео и т.д.). UPD — появилась возможность настраивать в профиле ICAP, какие типы файлов отправлять на глубокий анализ в песочницу, а какие просто блокировать.
7. Отсутствуют отчеты по пользователям и по ip-адресам.
По информации от вендора — Реализация полноценной системы генерации отчетов запланирована на 2026 год. На текущий момент пока только доступен экспорт отфильтрованных логов (по username, IP-адресам и пр.) в csv.
8. Время жизни аутентификации в сессии настраивается в конфигурационном файле acco-агента. Если пользователь неактивен в течение определенного времени, его данные автоматически удаляются из системы. Однако этот подход не совсем очевидный и может быть неудобным. UPD — в 1.9 настройка тайм-аутов сессий TCP/UDP полностью реализована через графический интерфейс на уровне устройства, виртуального контекста и отдельного сервиса. Настройка через конфигурационные файлы больше не нужна.
9. Если вы используете PT NAD, то нет функционала отправки трафика, попавшего в определенное правило. Связь профиля отправки осуществляется в правиле дешифрования.
10. В Интерфейсе добавления правил доступа было бы удобнее разделить часть Source и Destination на блоки. Мы считаем, что логическое разделение блоков «Source» и «Destination» визуальным элементом (например, чертой или фоном) — это субъективное, но важное для юзабилити улучшение. Оно не является критичным для функциональности, но значительно упрощает визуальное восприятие и скорость конфигурации правила, особенно для пользователей, которые работают с интерфейсом нерегулярно. Это наша экспертная оценка удобства. UPD — с версии 1.9 Source и Destination разделены по визуальным блокам.
Фактическая реализация добавления правила делится на три основных вкладки и выглядит следующим образом.
Вкладка — Rule properties, в которой мы задаем название политики, а также добавляем описание.
Вкладка — Match conditions, в которой мы указываем зоны, адресацию для нашего трафика. И указываем необходимый сервис для этого трафика.
Вкладка — Action on match, отвечающая за действие которое будет применяться к нашему трафику (пропустить или заблокировать), какой уровень логирования применять, а также какой профиль безопасности будет отрабатывать.
Второй пилот был для заказчика из логистики. Уже с PT NGFW v.1.9.2.
Цель здесь — проверить, насколько эффективно PT NGFW справляется с нагрузкой, и какая фактическая производительность в живо�� инфраструктуре заказчика.
Итоги:
1. Конфигурация тестовой среды и параметры нагрузки
Для моделирования реалистичной нагрузки был применен профиль EMIX (Enterprise Mix), который точно воспроизводит распределение размеров пакетов, характерное для корпоративных сетей.
2. Конфигурационные параметры PT NGFW 2010
Устройство было настроено со следующим набором политик безопасности:
700 правил ACL (Access Control List) — детализированная политика контроля доступа
700 правил NAT (Network Address Translation) — комплексная трансляция сетевых адресов
Активированные модули безопасности:
Application Control — глубокий анализ приложений
IPS (Intrusion Prevention System) — система предотвращения вторжений
Такая конфигурация представляет собой типичный сценарий развертывания в крупных корпоративных сетях с повышенными требованиями к безопасности.
3. Ключевые метрики производительности:
Достижение рекордных показателей
Пропускная способность и обработка пакетов
Средняя пропускная способность (TP mean): 14,2 Гбит/с — показатель, демонстрирующий способность устройства обрабатывать высокоскоростной трафик
Скорость обработки пакетов (PPS mean): 2,03 миллиона пакетов в секунду — критически важный параметр для сетевых устройств
4. Производительность при установке соединений
Количество одновременных соединений (CC mean): 483 000 активных сессий — подтверждение масштабируемости решения.
Скорость установки соединений (CPS mean): 38 100 новых соединений в секунду — показатель эффективности обработки TCP-сессий.
5. Утилизация системных ресурсов
Средняя загрузка процессора: 92,5% — демонстрация эффективного использования вычислительных ресурсов без достижения предельных значений
Анализ результатов: Превышение ожидаемых характеристик.
6. Пропускная способность
Достигнутый показатель в 14,2 Гбит/с значительно превышает заявленные производителем характеристики и подтверждает способность устройства работать в сетях 10G и выше. Это особенно важно для современных ЦОД и крупных предприятий, где требуются высокие скорости передачи данных.
7. Масштабируемость и устойчивость
Обработка 2,03 млн пакетов в секунду при одновременном поддержании 483 000 активных соединений демонстрирует исключительную масштабируемость решения. Устройство эффективно справляется с пиковыми нагрузками, характерными для современных сетевых сред.
8. Эффективность модулей безопасности
При оценке влияния дополнительных модулей безопасности на производительность системы важно учесть, что Application Control является неотключаемым компонентом, и его влияние на нагрузку невозможно исключить. При этом IPS может быть отключен, что позволяет точнее оценить его отдельное влияние. В ходе тестирования мы увидели, что при включенном IPS производительность системы снижается примерно в 5-7 раз.
9. Верификация результатов и подтверждение достоверности
Все результаты были верифицированы с использованием логов TRex, которые однозначно подтверждают отсутствие потерь пакетов при максимальной нагрузке.
Итог двух пилотов:
Реальные проекты подтвердили высокую производительность продукта для компаний уровня enterprise, хотя их сетевые среды были весьма требовательны.
Общие выводы по всем тестам
Что понравилось:
Высокая производительность
Оптимизированная архитектура даже без аппаратного ускорения обеспечивает защиту. Даже при полной загрузке всех функций (IPS, антивирус, фильтрация) в высокоскоростных сетях.
Контексты
Можно создать на одном физическом устройстве несколько изолированных виртуальных межсетевых экранов. Технология позволяет создать «несколько файрволов в одном», где для каждого клиента, отдела или проекта есть свой собственный набор правил, политик и администраторов. Это обеспечивает полную безопасность, предотвращая распространение угроз между сегментами.
Доступный интерфейс
Все интуитивно и понятно, а значит можно быстро освоить решение. Это очень важный пункт, т.к. существенно снижает время, необходимое для обучения и адаптации специалистов в процессе работы.
Качественная техподдержка
Реальная экспертная помощь 24/7 и четкие SLA.
Сбор фидбека и обработка запросов на апгрейд
Позитивы уделяют особое внимание реальным практическим сценариям, поэтому отдают продукт на тест и проверку в боевых условиях. По итогам наших пилотов мы активно делали запросы на доработку функционала и потом увидели, что что-то уже реализовалось или появилось в маршрутной карте продукта.
Точки роста — чего не хватило:
Версии SNMPv2/v3 — для мониторинга и управления сетевыми устройствами, сбора статистики и алертов. UPD — поддержку SNMP v2/v3c добавили в версии 1.10.
Собственный VPN-клиент — для удобного и безопасного подключения пользователей с предустановленными настройками.
ГОСТ VPN — поддержка отечественного алгоритма шифрования.
Централизованное обновление через СУ — для прямой загрузки обновлений ПО, модуля антивируса, IPS сигнатур через систему управления PT NGFW. UPD — Централизованное обновление сигнатур IPS и антивируса, базы приложений, URL-категорий и GeoIP реализовано через графический интерфейс СУ в версии 1.10.
Управление NGFW в режиме stand alone — автономная работа и управление одним устройством PT NGFW через его локальный веб-интерфейс, без использования СУ.
Заключение
Мы тестировали продукт всесторонне в течение года и в целом довольны его эффективностью. В первую очередь фильтрацией по приложениям, SSL-инспекцией и многоуровневой маршрутизацией. Да, продукт пока развивается и мы не увидели все наши хотелки. В любом случае PT NGFW — это большой рывок рынка отечественных СЗИ и маршрутная карта продукта внушает доверие. Вендор активно собирает обратную связь и регулярно апдейтит функционал.
Особенно ждем в этом году:
Remote access VPN — подключение к корпоративной сети, что важно для географически распределенных компаний с широкой филиальной сетью.
GRE (Generic Routing Encapsulation) для создания логических каналов «точка-точка», что позволит объединить филиалы или ЦОДы в единую маршрутизируемую сеть.
Интегрированный мониторинг/дашборд здоровья межсетевых экранов.
