Привет, Хабр! Меня зовут Александр Лемаев, я ведущий аналитик в ГК «Солар». Если ваш старый прокси-сервер больше не обновляется, а количество успешных фишинговых атак растет — эта статья для вас. По данным центра исследования киберугроз Solar 4RAYS, во 2 квартале 2025 года на одну российскую организацию пришлось в среднем более 160 заражений вредоносным ПО – это на 20% больше, чем в предыдущем квартале. Хакеры всё чаще используют комбинированные кибератаки на сетевую инфраструктуру, а APT-группировки активизировались во втором полугодии. Перед компаниями стоит задача не просто импортозаместить решения зарубежных вендоров, таких как Symantec (Blue Coat), Сisco WSA, FortiProxy или McAfee, а построить эшелонированную защиту сети.
В этой статье расскажу о классе решений Secure Web Gateway (SWG) – о том самом «сетевом шлюзе безопасности», который стоит между пользователем и интернетом. Покажу архитектуру изнутри: из каких компонентов состоит современная SWG-система, какие протоколы (от классического HTTP до FTP и SSH) она обязана контролировать, и как она закрывает новые вызовы – например, фильтрацию трафика AI-сервисов и защиту от утечек данных.
Главное – перейдем от теории к практике на примере Solar webProxy – одного из немногих зрелых отечественных решений в этом классе. Разберем его архитектуру, поддержку DPI (глубокого анализа трафика) и возможности интеграции с внешними системами. А на реальном кейсе – проекте «Единая сеть передачи данных» – посмотрим, как решение масштабируется под нагрузкой в рамках одного из самых масштабных ИТ-проектов страны.
Спойлер: ответ про 20 лет разработки, миллиарды запросов и фильтрацию ИИ-сервисов. Поехали!
SWG (Secure Web Gateway) – дирижер безопасности: обзор протоколов и функций современного SWG
Безопасный веб-шлюз или Сетевой шлюз безопасности (Secure Web Gateway, SWG) – это программное или программно-аппаратное решение в области кибербезопасности, которое контролирует и фильтрует весь веб-трафик, проходящий через сеть организации. SWG-система обеспечивает соблюдение корпоративных политик безопасности, предоставляя доступ только к разрешённым и безопасным ресурсам, при этом анализирует и ограничивает опасные соединения. Сегодня на рынке сетевой шлюз безопасности не только фильтрует веб-трафик, но и предоставляет гораздо более широкие возможности по защите. Помимо классической фильтрации URL-адресов и блокировки вредоносных веб-сайтов, современные Secure Web Gateway (SWG) обеспечивают проверку и контроль большого спектра протоколов и типов данных:
· HTTP/HTTPS (включая HTTP/2 и HTTP/3 (QUIC+UDP)) – основные протоколы передачи данных между браузером и серверами;
· WebSocket и WebSocket Secure – протоколы, обеспечивающие интерактивное соединение между браузером и сервером для обмена данными в реальном времени
· FTP/FTPS/FTP over HTTP (для браузеров)/FTP over HTTP CONNECT (для FTP-клиентов, по типу FileZilla и WinSCP) – протоколы для передачи файлов в режиме клиент-сервер с разделением командного и файлового каналов, поддерживающие работу популярных FTP-клиентов;
· SSH – протокол безопасного удалённого доступа к системам, обеспечивающий управление серверами и безопасную передачу файлов;
· SMTP/SMTPS – протоколы отправки электронной почты на транспортном уровне;
· POP3/POP3S – протоколы получения электронной почты на клиентское устройство;
· DNS - протокол для преобразования доменных имён в IP-адреса;
· SOCKS5 – универсальный прокси-протокол, поддерживающий передачу TCP и UDP трафика для различных приложений и сервисов.
Дополнительно, в SWG могут быть интегрированы другие решения: например, категоризатор веб-ресурсов для автоматического распределения сайтов по категориям, антивирус или песочница для анализа подозрительных объектов, что позволяет администраторам контролировать доступ пользователей к определённым группам ресурсов в зависимости от категории, предотвращать утечки данных, защищать компьютеры и корпоративную сеть, оптимизировать интернет-трафик и обеспечивать соблюдение корпоративных политик и требований регуляторов.
Кроме того, SWG-система включает функционал других средств защиты информации, которые устанавливаются как на сетевом уровне, так и на периметре:
1) Базовые функции:
· Фильтрация по вышеперечисленным протоколам;
· Фильтрация по URL и категоризация ресурсов;
· SSL/TLS-инспекция (расшифровка HTTPS-трафика для анализа содержимого);
· Антивирусная проверка файлов.
2) Продвинутые функции:
· Фильтрация по репутации и индикаторам компрометации (IoC) - ресурсов, файлов и IP-адресов;
· Распаковка архивов и анализ содержимого;
· Фильтрация защищенных объектов (запароленных и зашифрованных), анализ объектов (по ключевым словам и фразам);
· Вырезание интерактивного контента, внедрение обучающего контента (минипуляция с JS/HTML);
· Предотвращение утечки данных (Light DLP) через веб-почту, облачные сервисы и файлообменники;
· Обнаружение аномалий на основе машинного обучения и технологии «песочницы»;
· Фильтрация по Geo IP;
· DPI (Deep Packet Inspection) – глубокий анализ протоколов и приложений, а также действий в приложениях, например, отправки/получения сообщений/файлов, публикации постов, комментариев и т.д.
3) Функции по управлению трафиком:
· Квотирование времени доступа и объем передаваемых данных;
· Ограничение полосы пропускания;
· QoS (Quality of Service – качество обслуживания) – классификация трафика, приоритезация и управление очередями;
· Поддержка VPN-технологий (IPsec/SSL VPN) для безопасного доступа.
Если приложения клиента не поддерживают прямую настройку прокси-систем, можно использовать агент-прокси для принудительного перенаправления и применения политики безопасности интернет-доступа на уровне конечных устройств. При работе SWG-решения в нескольких филиалах, когда требуется группировка узлов, распространение групповых политик, мониторинг активности и создание сложно кастомизированных отчетов, рекомендуется применять модуль централизованного управления узлами/нодами в кластере.
Также важно помнить о возможности каскадирования прокси для повышения производительности, отказоустойчивости и централизованного управления трафиком в крупных сетях. Популярные варианты каскадирования – HTTP(S)-HTTP(S), HTTP(S)-SOCKS5, SOCKS5-SOCKS5, но возможны и другие конфигурации. Для интеграции с другими системами защиты применяются протоколы и технологии, такие как:
· WCCP – обеспечивает перенаправление веб-трафика в реальном времени, позволяя использовать функции веб-кэширования и прозрачного проксирования;
· ICAP(S) – расширяет возможности прозрачных прокси, позволяя фильтровать, модифицировать и дополнительно обрабатывать веб-контент (например, антивирусную проверку, блокировку спама или контроль доступа) через взаимодействие с внешними ICAP(S)-серверами;
· Encrypted TAP – позволяет передавать расшифрованный SSL/TLS-трафик (HTTPS, FTPS и т.п.) на анализ во внешние системы безопасности (например, песочницу) в раскрытом виде;
· Открытое API SWG-решения – обеспечивает взаимодействие с внешними системами и программным обеспечением для синхронизации конфигураций и обмена объектами политики, например, импорт списков IP-адресов для настройки ACL (Access Control List).
Таков стандартный и расширенный функционал современных SWG-решений. На мировом рынке эти возможности реализованы в продуктах ведущих вендоров: Fortinet FortiProxy, McAfee Web Gateway, Symantec Blue Coat ProxySG, Cisco Secure Web Appliance. Дополнительно, облачные SWG, такие как Palo Alto Cloud Secure Web Gateway предлагают бесшовную интеграцию с SASE (Secure Access Service Edge), глобальную масштабируемость и AI-анализ трафика без локальной инфраструктуры.
«Каждый вендор сам решает, чем обогатить свое решение в зависимости от выбранного вектора развития. Это не базовый стандарт SWG, а выбор лидеров рынка, и даже у них не всегда присутствует полный комплект перечисленных функций».
C учетом санкций и общемировых трендов многие зарубежные вендоры ограничили или прекратили поставки и поддержку своих решений в России. В этих условиях российским компаниям требуется зрелая альтернатива. Рассмотрим, что сегодня предлагает отечественный рынок на примере Solar webProxy.
Solar webProxy: 20 лет эволюции или почему опыт решает
Solar webProxy – это зрелое российское решение класса Secure Web Gateway (SWG) для комплексной защиты интернет-трафика. Оно обеспечивает фильтрацию нежелательных веб-ресурсов и ограничивает доставку вредоносного контента пользователям, управляет доступом к ресурсам и анализирует их использование, а также предотвращает утечки данных и обеспечивает защиту на уровне L3-L7 сетевой модели OSI. Крупные предприятия и корпорации активно применяют SWG-систему «Солара» в рамках комплексной защиты периметра своей корпоративной сети, дополняя возможности NGFW на уровне прикладного анализа трафика.
Solar webProxy выбирают в основном для следующих целей:
· Масштабирования веб-защиты на филиалы компании с централизованным управлением.
· Защиты пользователей от веб-угроз, включая блокировку фишинговых, вредоносных и нежелательных сайтов.
· Детального анализа и контроля интернет-активности сотрудников для соблюдения корпоративных политик и управления доступом к веб-ресурсам.
· Предотвращения утечек данных путем контроля передачи информации через веб-почту, облачные сервисы и файлообменники.
· Комплексного повышения безопасности за счет интеграции с системами DLP и другими системами защиты.
· Соответствия требованиям ФСТЭК России, что обеспечивает легитимность и соответствие регуляторным нормативам.
Эти возможности уже подтверждены на практике.
Главные бенефиты нашего решения – это высокая масштабируемость и отказоустойчивость
Одним из крупнейших эксплуатаций SWG-системы «Солара» можно привести проект «Единой сети передачи данных». Решение развернуто почти во всех школах России: более 56 тысяч образовательных учреждений, свыше 2 млн подключенных компьютеров, подключенных к локальной сети, и 300 серверов фильтрации. Список категоризированных ресурсов обновляется круглосуточно. Ежеквартально Solar webProxy обрабатывает около 27 млрд запросов и еженедельно блокирует до 500 млн потенциально опасных обращений к веб-ресурсам.
Что это дает вам?
В отличие от «молодых» конкурентов, которые только выпускают на рынок решение, наша SWG-система прошла проверку нагрузкой и тысячами нестандартных конфигураций.
Стабильность: Мы знаем, как поведет себя прокси, если 3000 детей одновременно сдадут тест и начнут открывать RuTube.
Безопасность: Списки категоризированных ресурсов (webCAT) и фиды угроз обновляются круглосуточно, потому что их обновляет наш центр Solar 4RAYS.
Юзабилити: Интерфейс не тормозит, когда у вас 5000 правил политик безопасности. Это результат фидбэка от сотен администраторов.
Почему это важно?
Если вы сейчас выбираете SWG для замены Cisco WSA или FortiProxy, смотрите не на наличие галочки «DPI» в презентации, а на то, где и как это решение было обкатано. Если вендор не может похвастаться миллиардной нагрузкой, будьте готовы, что первые полгода вы будете не защищать сеть, а «лечить» прод.
Но масштаб — лишь одна сторона. Когда система охватывает тысячи филиалов, критически важной становится гибкость управления.
Гибкость политик безопасности и отчетов
Встроенный конструктор политик в Solar webProxy позволяет гибко настраивать фильтрацию веб-трафика, учитывая потребности компании, отраслевые стандарты и регламенты. Кастомизированные отчеты адаптируются под конкретные бизнес-задачи: вместо «сырых» данных специалист получает готовые инсайты для реагирования и стратегического управления. Все настройки, аналитика и отчеты доступны через единый интуитивный интерфейс.
Настроив политики под бизнес-задачи, появляется следующий вопрос: как именно система отсеивает угрозы? Здесь мы подходим к технической начинке — многослойной защите.
Многослойная защита от вредоносного трафика
Solar webProxy — одно из первых в России отечественных SWG-систем с поддержкой DPI (глубокого анализа трафика). DPI (Deep Packet Inspection) — технология, которая позволяет анализировать не только заголовки пакетов, но и их содержимое, включая передаваемые файлы, команды приложений и даже отдельные действия пользователя внутри веб-сервисов. Это дает возможность контролировать не только протоколы, но и сами приложения.
В решение «Солара» встроены:
· Антивирус
· Базовый межсетевой экран (L3–L4) с NAT для защиты от сетевых атак
· Поддержка фильтрации SOCKS5-соединений.
Встроенный модуль Solar webCAT предоставляет постоянно обновляемые категории веб-ресурсов и фиды угроз от Центра исследования киберугроз Solar 4RAYS. Solar webProxy также интегрируется с внешними антивирусами, «песочницами» и DLP-системами по ICAP и отправляет на проверку файлы, которые анализируются в режиме реального времени. Допускается также проверка через несколько внешних решений одновременно.
Классические веб-угрозы — фишинг и вредоносные сайты — остаются в фокусе. Но в 2025 году добавился новый канал рисков: корпоративные данные стали утекать через ChatGPT и аналогичные сервисы. Solar webProxy закрывает и этот вектор.
А как же модные AI-сервисы? (Сценарии блокировки утечек)
Solar webProxy контролирует входящий и исходящий трафик, передаваемый через веб- и ИИ-интерфейсы (от ChatGPT до отечественных моделей) в обе стороны: при отправке запросов и при получении сгенерированного контента. SWG-система «Солара» анализирует передаваемые файлы и данные, блокируя попытки утечки персональных данных или корпоративной информации. При загрузке контента из нейросетей применяется антивирусное сканирование файлов, URL-фильтрация с блокировкой фишинговых и вредоносных ресурсов, а также анализ по ключевым словам.
Сценарий 1. Предотвращение утечек данных (контроль исходящего трафика)
Сотрудник загружает в ChatGPT файл «Отчет_по_сделкам_Q1_2025.xlsx» с реальными данными клиентов и суммами контрактов. При этом в политике контентной фильтрации Solar webProxy настроены правила, нацеленные на блокировку передачи во вне данных, содержащих маркеры финансовой отчетности. Система перехватывает запрос пользователя, анализирует содержимое файла по ключевым словам и находит фразы, которые являются паттернами финансовых сведений: «договор», «ИНН 7712345678», «сумма контракта 15 000 000». Обнаруженные маркеры удовлетворяют условиям настроенного правила контентной фильтрации – файл содержит коммерческие данные, отправка наружу которых запрещена.
Результат: запрос заблокирован. Сотрудник видит страницу-заглушку: «Доступ запрещен политиками безопасности. Передаваемые данные содержат конфиденциальную информацию». Утечка предотвращена.
Сценарий 2. Защита от вредоносного контента (контроль входящего трафика)
Сотрудник просит нейросеть: «Напиши скрипт для автоматической выгрузки данных из 1С». При этом в Solar webProxy настроены правила для защиты от вредоносного ПО и фишинга, которые проверяют ответы веб-ресурсов на наличие характерных словосочетаний, ключевых фраз или элементов в коде.
ИИ генерирует код и в ответном сообщении присылает ссылку: «Подробнее читайте в статье по ссылке». SWG-система «Солара» анализирует код и текстовый контент от ответа. При удовлетворении условиям созданного правила блокирует его.
В случае, если контент не содержит паттернов ВПО и фишинга, и пользователь переходит по ссылке, то она будет проверена по базам TI Feeds. Если запрошенный ресурс найдтся в базе компрометированных фидов, то запрос будет заблокирован.
Результат: Перейдя по ссылке сотрудник видит предупреждение «Обнаружена попытка перехода на фишинговый ресурс. Доступ заблокирован». Если ответ модели будет содержать в контенте отмеченные паттерны, то он будет заблокирован. Тогда пользователь увидит шаблон блокировки согласно правилу.
Почему это сложно сделать «на коленке»?
Чтобы фильтровать AI-трафик, нужно уметь работать с шифрованным трафиком (TLS-инспекция), понимать протоколы WebSocket (через которые общаются современные чаты) и иметь мощный движок контентной фильтрации. Это как раз та самая «зрелость», о которой я говорил.
Место Solar webProxy в корпоративной сети
В инфраструктуре клиента Solar webProxy может быть развернут в одном или нескольких сетевых доменах - на уровне периметра, на уровне распределения и на уровне доступа - обеспечивая многоуровневый контроль интернет-трафика.
Уровень периметра
На уровне периметра Solar webProxy может быть установлен параллельно с компонентами внешнего взаимодействия, а также в зоне DMZ (изолированного сегмента сети). Решение работает в сценариях прямого или прозрачного HTTP-прокси, а также прямого SOCKS5-прокси. Через этот контур проходит исходящий трафик. Здесь SWG-система «Солара» выполняет категоризацию доменов с использованием webCAT, применяет политики доступа и передаёт наружу только разрешённые запросы, снижая нагрузку на NGFW в части контентного анализа. В той же зоне DMZ, где размещаются внешние веб-сервисы, может использоваться обратный HTTP-прокси (reverse proxy) для защиты публичных веб-серверов. Reverse proxy фильтрует входящие запросы из интернета к внутренним веб-приложениям по протоколам HTTP/HTTPS. Оба элемента находятся в одном периметровом сегменте, но участвуют в разных направлениях трафика.
Уровень распределения
На уровне распределения Solar WebProxy может обслуживать серверные и инфраструктурные узлы (например, в филиалах или территориально-разделённых сетях). Здесь SWG-система «Солара» используется для контроля межсегментных обращений и ограничения доступа системных компонентов к внешним ресурсам, что критически важно для предотвращения распространения вредоносных активностей из серверного сегмента, а также обеспечивает отказоустойчивость и балансировку трафика. Она выполняет анализ пакетов, категоризацию ресурсов, блокировку вредоносного контента и применение политик доступа по времени и пользователям.
Уровень доступа
На уровне доступа (ближе к конечным устройствам) SWG-система «Солара» фокусируется на фильтрации FTP/HTTP/HTTPS-трафика, URL-фильтрации, антивирусной проверке, анализе трафика к AI-сервисам (контентном анализе) для предотвращения утечек. Это критично для защиты удалённых сотрудников, где трафик перенаправляется через шлюз для инспекции TLS-соединений (терминации HTTPS) и контроля приложений (DPI).
Такая гибкость размещения позволяет адаптировать решение под любую архитектуру — от небольшого офиса до распределенной сети с филиалами. Подведем итоги.
Заключение
Solar webProxy уже обеспечивает надежную защиту веб-трафика в корпоративных сетях, дополняя средства сетевой защиты периметра. Решение включает мощные инструменты для фильтрации контента через категоризатор webCAT, блокировку нежелательных сайтов и приложений, а также антивирусную проверку в реальном времени с использованием актуальных Solar TI Feeds. Интеграция с DLP-системой «Солара» позволяет выявлять и предотвращать утечки конфиденциальных данных в веб-трафике, обеспечивая соответствие требованиям ФСТЭК России. Solar webProxy динамично развивается, расширяя свои функциональные возможности и успешно сокращая разрыв с зарубежными конкурентами.
Давайте обсудим, какие функции прокси важны для вас?😎
