Межсетевые экраны нового поколения: 10 мифов, которые дорого обходятся бизнесу

Рынок NGFW (Next-Generation Firewall, межсетевых экранов нового поколения) в 2024 году достиг отметки в 6,3 миллиарда долларов, и эксперты прогнозируют его рост до 15,7 миллиарда к 2033 году. При таких деньгах неудивительно, что вокруг технологии скопилась куча мифов — часть создана маркетологами, часть родилась из непонимания, а некоторые просто устарели, но продолжают жить своей жизнью.

Проблема в том, что эти заблуждения не просто раздражают айтишников на форумах. Они стоят компаниям реальных денег: кто-то покупает не то оборудование, кто-то отключает критические функции из страха перед мифическими проблемами, а кто-то вообще считает, что защитился, хотя по факту оставил дыры размером с ворота.

Давайте разберемся, что правда, а что байки. Возьмем десять самых живучих мифов о NGFW и посмотрим, есть ли в них хоть капля правды или это чистой воды выдумки.

Миф №1: NGFW — это просто переименованный UTM для галочки

Первое, что слышишь от скептиков: "Да это же обычный UTM, только название поменяли!" И правда, если посмотреть на список функций в брошюре, то NGFW и UTM (Unified Threat Management) выглядят практически близнецами: антивирус, IPS, контроль приложений, фильтрация URL. В чем разница, кроме цены?

За миф:

Маркетинг действительно постарался размыть границы. Многие производители называют свои UTM-коробки для малого бизнеса громким словом "NGFW", хотя под капотом там старая добрая последовательная обработка. Функционал пересекается почти на 100%, и для небольшого офиса на 20 человек реальной разницы вы не почувствуете.

Против мифа:

Разница проявляется, когда речь заходит о том, как эти функции работают. UTM обрабатывает пакет последовательно: сначала через модуль межсетевого экрана, потом копирует в память для IPS, затем буферизирует для антивируса. Каждый "проход" съедает ресурсы процессора, и при включении всех защит производительность падает на 80-90%.

NGFW использует однопроходную архитектуру (Single Pass Architecture). Пакет разбирается один раз, а все проверки — идентификация приложения, пользователя, сканирование на угрозы — происходят параллельно. Fortinet, Palo Alto Networks и Positive Technologies внедряют эту технологию уже много лет, и результат очевиден: производительность остается стабильной даже при полной инспекции.

Плюс, NGFW видит контекст. Для него трафик — это не просто IP-адрес и порт, а конкретный пользователь Иван Иванов из отдела продаж, который запустил Telegram на рабочем компьютере. UTM такого не умеет.

Миф №2: Железо не имеет значения — все фаерволы работают на обычных x86 серверах

С ростом мощности процессоров Intel и AMD многие решили, что специализированное железо — это пережиток прошлого. Зачем переплачивать за какие-то там ASIC (специализированные чипы), если можно поставить софт на мощный сервер Dell и дело в шляпе?

За миф:

Универсальные серверы действительно мощные, и для филиалов или небольших компаний x86 вполне достаточно. Плюс гибкость: софт можно развернуть где угодно — в облаке, на виртуалке, на любом железе. Стандартные компоненты дешевле в разработке.

Против мифа:

Проблема в физике. Процессоры общего назначения не оптимизированы для обработки пакетов на скорости десятков гигабит в секунду. Каждый пакет проходит через сетевую карту, шину PCIe, оперативку, кеш процессора — и на каждом этапе возникают задержки и прерывания.

Fortinet, например, разработала собственные процессоры SPU (Security Processing Unit), которые разгружают CPU от криптографии и поиска по сигнатурам. В 2024 году компания представила серию FortiGate 200G с пятым поколением SPU (SP5), которое обеспечивает инспекцию SSL в 5-10 раз быстрее программных реализаций.

Если вам нужно обработать 100 Гбит/с с полной инспекцией, на x86 придется собирать кластер серверов. Один ASIC справится в одном юните стойки. Разница в соотношении цена/производительность и энергопотребление критична для дата-центров.

Миф №3: TLS 1.3 убил возможность инспекции трафика

Этот миф особенно любят те, кто хочет оправдать отключение инспекции SSL. Мол, новый протокол TLS 1.3 с его Perfect Forward Secrecy делает расшифрование невозможным, так что не стоит и пытаться.

За миф:

Доля правды тут есть. TLS 1.3 действительно похоронил старые методы пассивной инспекции. Раньше можно было загрузить приватный ключ сервера на фаервол и тихонько расшифровывать трафик в стороне. Теперь это не работает — ключи сессии генерируются эфемерно для каждого соединения и нигде не сохраняются.

Некоторые устаревшие фаерволы при попытке инспекции принудительно понижают протокол до TLS 1.2 (downgrade attack), что снижает безопасность.

Против мифа:

Пассивная инспекция умерла, но активная работает отлично. Современные NGFW используют режим активного прокси (Man-in-the-Middle), разрывая соединение и выступая сервером для клиента и клиентом для сервера. Сертификаты переподписываются на лету.

Согласно отчету Google Transparency, 95% трафика в Chrome для Windows зашифровано. Если вы не инспектируете SSL, то пропускаете 95% потенциальных угроз. Zscaler сообщает, что около 70% обрабатываемого ими трафика зашифровано, и более 20% топовых эксплоитов прячутся именно в TLS.

Современные NGFW поддерживают TLS 1.3 нативно. FortiOS начиная с версии 6.2 полностью поддерживает TLS 1.3 для MITM-инспекции. Аппаратные модули CP9/CP10 оптимизированы для новых шифров, минимизируя просадку производительности.

Миф №4: SSL-инспекция нарушает ФЗ-152 и приватность сотрудников

Юристы нервничают, кибербезопасники настаивают, а руководство не знает, кого слушать. Страх судебных исков заставляет многие компании отключать SSL-инспекцию полностью.

За миф:

Риск действительно есть. Если компания без предупреждения расшифровывает личную переписку сотрудников или их банковские транзакции, это может привести к искам. Технически, вы перехватываете и читаете чужую переписку — звучит как нарушение.

Против мифа:

ФЗ-152 требует защиты данных, а не слепоты. Отсутствие инспекции может привести к утечке персональных данных клиентов, что само по себе является нарушением закона о персональных данных с серьёзными штрафами.

Решение — гибкие политики. Современные NGFW позволяют настроить выборочную расшифровку. Трафик к банкам, медицинским сайтам, государственным порталам можно исключить из инспекции по категориям URL. Производители автоматически обновляют списки категорий, снимая эту головную боль с администраторов. Российские решения, такие как PT NGFW, изначально разработаны с учетом требований ФЗ-152 и специфики локального законодательства.

При этом SSL-инспекция необходима для работы DLP (Data Loss Prevention). Без расшифровки невозможно обнаружить, что кто-то отправляет базу клиентов через Gmail или Dropbox.

Юридически корректное внедрение включает уведомление сотрудников о мониторинге корпоративного трафика и ограничение доступа к расшифрованным данным через Role-Based Access Control. Это стандартная практика в Enterprise-сегменте.

Миф №5: В облаке AWS/Azure хватает нативных Security Groups

Облачные провайдеры предлагают встроенные инструменты безопасности, и многие архитекторы считают, что этого достаточно. Зачем тащить сторонние NGFW, если Amazon и Microsoft сами о безопасности позаботились?

За миф:

AWS Security Groups и Azure Firewall действительно удобны — встроены в платформу, управляются через привычный API, оплата по факту использования. Для базовой фильтрации L4 (IP и порты) они справляются отлично.

Против мифа:

Нативные инструменты видят только четвертый уровень модели OSI. AWS Security Groups — это stateful L4 фильтры. Они различают IP-адреса и порты, но не видят, что внутри пакета. Они не отличат легитимный SQL-запрос от SQL-инъекции или DNS-туннелирования для эксфильтрации данных.

Согласно исследованиям, более 62% организаций признают, что традиционные фаерволы не справляются с современными атаками. Облачные нативные средства — это эволюция тех самых традиционных фаерволов.

Проблема East-West трафика (между сервисами внутри облака) особенно острая. Нативные средства часто оставляют внутренний трафик бесконтрольным. NGFW позволяет реализовать микросегментацию с глубокой инспекцией даже внутри VPC/VNET.

В мультиоблачной среде (AWS + Azure + on-premise) нативные средства создают лоскутное одеяло политик. Сторонние NGFW (Palo Alto VM-Series, FortiGate VM, PT NGFW) позволяют использовать единую политику безопасности везде.

Миф №6: SASE — это "убийца" физических NGFW

Архитектура SASE (Secure Access Service Edge) переносит функции безопасности в облако, и многие решили, что эпоха железных коробок закончилась. Зачем локальные фаерволы, если все можно проверять в облаке?

За миф:

Для удаленных сотрудников и мобильных пользователей SASE действительно идеален. Весь трафик идет через облако, проверяется там и очищается. Масштабируемость бесконечная, управление централизованное.

Против мифа:

Gartner определяет современный подход как гибридную сетевую архитектуру (Hybrid Mesh Firewall) — управление разными типами NGFW из единой консоли: физическими аппаратами, виртуальными машинами, облачными сервисами и контейнерными решениями для Kubernetes.

Для производственных площадок, дата-центров и крупных офисов отправка всего трафика в облако неэффективна из-за задержек и стоимости канала. Представьте завод, где станки с ЧПУ обмениваются данными со скоростью 40 Гбит/с. Гнать это в облако для инспекции — самоубийство по латентности и деньгам.

IoT и промышленные устройства не могут установить агент SASE. Им нужен локальный шлюз безопасности для микросегментации. Принтеры, IP-камеры, медоборудование — все это требует локальной защиты.

Современные NGFW часто сами являются компонентами SASE, выступая как SD-WAN шлюзы. Они интеллектуально маршрутизируют трафик: часть в облако SASE, часть напрямую в интернет, часть в локальный дата-центр. Это не замена, а симбиоз.

Миф №7: AI и машинное обучение в фаерволах — это маркетинговый хайп

Приставка "AI-powered" появилась на каждой коробке, и скептики справедливо подозревают, что это просто способ продать дороже те же сигнатуры. Ну правда, какой там AI в железке за 19 дюймов?

За миф:

Маркетологи действительно злоупотребляют термином. Не всякая эвристика — это искусственный интеллект. Многие "AI-функции" — это обычные статистические модели, которым десятки лет.

Против мифа:

Машинное обучение в NGFW решает задачи, непосильные для статических сигнатур. Около 55% решений NGFW уже включают AI и ML для повышения точности обнаружения угроз.

Конкретные примеры: малварь использует алгоритмы генерации доменов (DGA) для создания тысяч случайных C2-адресов. Сигнатуры физически не успевают за ними. ML-модели анализируют энтропию доменных имен и паттерны DNS-запросов, блокируя новые DGA на лету без предварительных баз.

Cisco и другие вендоры используют ML для обнаружения вредоноса внутри зашифрованного TLS-трафика без расшифровки — анализируя метаданные пакетов (размер, тайминги, последовательность). Это называется Encrypted Traffic Analysis (ETA).

Инлайн-песочницы с AI-анализом файлов выносят вердикт за миллисекунды, отсеивая явные угрозы до запуска полной детонации. ML позволяет блокировать "Patient Zero" — первую жертву атаки, которой еще нет в базах сигнатур.

Миф №8: Цифры производительности в даташитах — это реальность

Покупатель смотрит в брошюру: "10 Гбит/с Throughput". У него канал 10 Гбит/с. Отлично, берем! Через месяц оказывается, что фаервол еле-еле тянет 2 Гбит/с. Обман? Не совсем.

За миф:

Производители не врут технически — они указывают максимальную производительность в идеальных условиях: UDP-трафик, большие датаграммы (1518 байт), выключенные функции безопасности. Для тестов RFC 2544 эти цифры реальны.

Против мифа:

RFC 2544 — это тест коммутации L2/L3, а не L7 инспекции. Он вообще не релевантен для NGFW. В реальности трафик состоит из смеси пакетов разного размера, множества коротких TCP-сессий и тяжелого HTTPS.

Включение IPS, контроля приложений и особенно SSL-инспекции может снизить производительность в 5-10 раз. Независимые тесты NSS Labs регулярно демонстрируют разрыв между заявленной и реальной производительностью.

Правильная метрика для NGFW — "Threat Protection Throughput" или "NGFW Throughput" с включенными всеми защитами. Например, FortiGate 700G обеспечивает 164 Гбит/с именно как фаервол с полной инспекцией, а не как L2-коммутатор.

Правило для сайзинга: берите запас 50-100% от требуемой пропускной способности, учитывая рост трафика и обязательное включение SSL-инспекции. Иначе придется отключать функции безопасности ради скорости — а это уже не NGFW, а дорогой роутер.

Миф №9: "Поставил и забыл" — NGFW работают автономно

Деньги потрачены, настройка завершена, автообновления сигнатур включены. Можно идти пить кофе? Многие так и делают, а потом удивляются проблемам через год-два.

За миф:

Автоматические обновления сигнатур действительно защищают от новых вирусов без участия администратора. Для небольших компаний с простой сетью это может работать годами.

Против мифа:

Фаервол подвержен "энтропии правил" (rule decay). Отчеты FireMon, AlgoSec и Tufin показывают шокирующие цифры: до 30% правил в корпоративных фаерволах неиспользуемые, а 10% избыточные или конфликтующие.

"Временные" правила ("открыть RDP для подрядчика на неделю"), о которых забыли, становятся постоянными бэкдорами. Gartner сообщает, что ошибочные конфигурации (misconfigurations) являются причиной 99% взломов через фаерволы.

Раздутая база правил увеличивает время обработки пакета. В крупных сетях происходит 100+ изменений в неделю. Без автоматизации (Firewall Policy Management tools вроде AlgoSec или Tufin) ручное управление ведет к ошибкам и простоям.

Сигнатуры не исправляют логические ошибки в правилах доступа. Регулярный аудит (Recertification) — кто куда имеет доступ и почему — это обязательная практика. Стоимость аудита несоизмерима со стоимостью простоя бизнеса из-за взлома через забытое правило.

Миф №10: Endpoint Security (EDR/XDR) делает сетевую защиту лишней

С расцветом EDR (Endpoint Detection and Response) многие решили сэкономить на сетевой безопасности. Зачем фаервол, если на каждом компьютере стоит умный агент?

За миф:

EDR видит то, чего не видит сеть: процессы, инъекции в память, изменения реестра. Когда малварь уже на хосте, EDR — ваша главная надежда. Для удаленных сотрудников с ноутбуками EDR критичен.

Против мифа:

На каждый EDR найдется устройство без агента. Принтеры, IP-телефоны, медицинское оборудование, станки с ЧПУ, камеры видеонаблюдения — на них невозможно поставить агент. Для таких устройств NGFW — единственная линия обороны.

По данным исследований, 68% рабочих нагрузок Enterprise уже в облаках (публличных, приватных или гибридных), и East-West трафик между сервисами часто остается бесконтрольным без NGFW.

Продвинутые атакующие первым делом пытаются "ослепить" EDR. Сетевой трафик (звонок домой на C2-сервер) скрыть гораздо сложнее, и фаервол увидит его независимо от состояния хоста.

Концепция Defense in Depth требует многоуровневой защиты. EDR и NGFW видят разные аспекты атаки. EDR фиксирует подозрительную активность процесса, NGFW видит латеральное перемещение и эксфильтрацию данных. XDR объединяет эти данные, но не заменяет источники.

Заключение: мифы дороже, чем кажется

Рынок NGFW продолжает расти двузначными темпами (CAGR около 11-12% до 2035 года), и это не просто так. Угрозы становятся сложнее, трафик растет, а шифрование охватывает уже 95% соединений. В таких условиях заблуждения о межсетевых экранах нового поколения — это не просто техническая неточность, это реальный финансовый и репутационный риск.

Отключенная SSL-инспекция из страха перед ФЗ-152 оставляет вас слепыми к 95% угроз. Недооценка требований к производительности приводит к тому, что через год вы выключаете защиты ради скорости. Вера в то, что облачные Security Groups достаточны, открывает дыры для латерального перемещения атакующих.

Главный урок: NGFW — это не просто коробка на периметре сети. Это центральный элемент архитектуры безопасности, который требует правильного подбора железа, грамотной настройки, постоянного управления и интеграции с другими системами защиты. Однопроходная архитектура, аппаратное ускорение, AI-анализ, гибкие политики SSL-инспекции и регулярный аудит правил — вот что отличает реальную защиту от дорогой игрушки.

Мифы живучи, но факты упрямы. Современные NGFW от лидеров рынка (Palo Alto Networks, Fortinet, Check Point, Cisco, Positive Technologies) — это не просто переименованные UTM, а высокотехнологичные платформы с ASIC-ускорением, машинным обучением и возможностью работы в гибридных средах. Но эффективность этих инструментов напрямую зависит от понимания их реальных возможностей и ограничений.

Не верьте мифам. Читайте независимые тесты, смотрите на реальную производительность с включенными защитами, планируйте архитектуру с учетом всех угроз и требований, и помните: безопасность — это не продукт, который можно купить и забыть. Это процесс, требующий постоянного внимания и развития.