Разницу между обычным файрволом и NGFW часто объясняют одной фразой. Первый фильтрует трафик. Второй делает то же самое, но глубже и точнее. Из-за такой формулы компании часто ошибаются при закупке. Одни переплачивают за NGFW, а потом используют его как простой фильтр портов. Другие ставят классический межсетевой экран, а позже выясняют, что без контроля приложений, IPS и проверки TLS-трафика сеть давно стала полупрозрачной для атакующего. Базовые принципы работы межсетевых экранов и политики для них подробно описаны в рекомендациях NIST SP 800-41 Rev. 1.
Что умеет обычный файрвол
Классический межсетевой экран смотрит, откуда пришел трафик, куда идет, через какой порт, по какому протоколу и в рамках какого состояния соединения. Такой подход подходит для базовой сегментации, NAT, простых ACL, разграничения зон и защиты там, где правила строятся вокруг адресов, подсетей и сервисов. Для части внутренних сегментов этого до сих пор хватает.
Но у такого подхода есть жесткий предел. Обычный файрвол видит не бизнес-функцию, а сетевой поток. Для него HTTPS на 443 порту может быть и CRM, и корпоративный портал, и теневой облачный сервис, и вредоносный канал связи. Если правила строятся только вокруг портов и IP-адресов, устройство почти ничего не знает о реальном содержимом трафика и о том, кто именно открыл соединение.
Что добавляет NGFW
NGFW появился в тот момент, когда фильтрации по портам перестало хватать. Устройства этого класса разбирают трафик глубже. Они распознают приложения, пользователей, группы, URL-категории и типы контента. Кроме того, они совмещают межсетевой экран с IPS и другими механизмами inline-защиты. В результате правило выглядит не как открыть 443 порт всем, а как разрешить конкретное приложение конкретной группе, запретить анонимайзеры, включить защитные профили для критичных сегментов и отдельно решить вопрос с инспекцией шифрованного трафика.
Поэтому NGFW чаще ставят на интернет-периметре, в филиалах, в контуре удаленного доступа и в гибридной инфраструктуре. Там важно видеть не только сетевой поток, но и то, что реально происходит внутри канала.
Где обычного файрвола еще хватает, а где уже нет
Если задача сводится к базовой сегментации, публикации сервисов, разграничению зон и защите канала по заранее известным правилам, обычный файрвол по-прежнему уместен. Он проще, дешевле и в ряде сценариев дает предсказуемый результат без лишней сложности.
NGFW нужен там, где сеть давно перестала быть набором портов. Интернет-периметр, доступ сотрудников извне, филиалы, правила по пользователям и приложениям, поиск угроз внутри разрешенного трафика, контроль TLS-сессий, единая консоль для сетевой политики и журналов, все это уже зона межсетевого экрана нового поколения.
Почему в России выбор сложнее
Для российского рынка вопрос упирается не только в функции. Многое решает и регуляторика. С 14 июня 2023 года сертификация многофункциональных межсетевых экранов уровня сети идет по отдельным требованиям. Об этом ФСТЭК сообщила в информационном сообщении от 19 июля 2023 года. Поэтому в закупке для госструктур, КИИ, ИСПДн и других регулируемых контуров нельзя останавливаться на формуле есть NGFW. Нужно проверять конкретный сертификат, класс защиты, состав функций и границы применения продукта.
Есть и второй российский слой, который часто недооценивают. Это совместимость с отечественной ОС и прикладным стеком. На стороне платформ рынок за последний год заметно обновился. На сайте Astra Linux опубликованы действующие сертификаты и лицензии, где указано обновление 1.8. У РЕД ОС 8 в декабре 2025 года появились результаты сертификационных испытаний ФСТЭК. Поэтому выбирать межсетевой экран в отрыве от платформы уже не получится.
Совместимость важна не только на бумаге
В 2026 году на одну строчку в таблице совместимости смотреть мало. Важно понять, как решение работает в реальной инфраструктуре. Есть ли клиент для Linux. Поддерживаются ли Astra Linux и РЕД ОС на рабочих местах. Можно ли без лишней боли подключать пользователей, администраторов и удаленные площадки. Например, в документации UserGate Client прямо указаны варианты установки клиента для Linux. У Ideco NGFW есть отдельная документация по интеграции с ALD Pro, который используют для централизованного управления ресурсами на базе Astra Linux.
Как сейчас выглядит рынок
Если убрать маркетинговый шум, российский рынок уже можно разделить на несколько групп. Есть универсальные корпоративные NGFW для типового периметра и филиалов. Есть решения с упором на высокую производительность. Есть продукты для строго регулируемых контуров и задач с ГОСТ-криптографией. Есть более компактные платформы для среднего бизнеса. В официальных материалах такие роли видны довольно отчетливо: Ideco NGFW делает ставку на защиту сетевого периметра, PT NGFW продвигается как высокопроизводительное решение со встроенными модулями безопасности, а Континент 4 подчеркивает работу в сценариях защищенного периметра, VPN и NGFW, включая поддержку ГОСТ-алгоритмов.
Это не рейтинг и не универсальная рекомендация. Скорее, карта рынка. Одной компании нужен крепкий филиальный NGFW с понятным управлением и миграцией со старого решения. Другой важнее сертификация, криптография и работа в регулируемом контуре. Третьей нужен запас по производительности для ЦОД и большого объема инспекции на уровне приложений.
На какие цифры смотреть, чтобы не ошибиться
Самая частая ошибка при закупке выглядит так. Компания смотрит на firewall throughput и думает, что получила реальную производительность NGFW. Но у вендоров эти показатели почти всегда разведены. В актуальной матрице Fortinet отдельно указаны Firewall Throughput, NGFW Throughput, Threat Protection Throughput и SSL Inspection Throughput. Причем NGFW считают с включенными firewall, IPS и application control, а Threat Protection включает еще и защиту от вредоносных файлов. Поэтому цифра в режиме чистого L3/L4 почти никогда не равна цифре в режиме полноценной инспекции.
На российских продуктах разрыв тоже хорошо виден. У PT NGFW отдельно приводят показатели для межсетевого экранирования с контролем приложений и для режима с включенными IPS и TLS-инспекцией. У Континент 4 тоже отдельно указаны режим МСЭ, режим VPN и режим NGFW. Это полезный ориентир. Даже сами вендоры показывают, что производительность зависит не от названия железки, а от набора включенных функций.
Почему все упирается в TLS-инспекцию
Вторая обязательная цифра при выборе, производительность при SSL/TLS inspection. Для большинства корпоративных сетей это уже не факультативная опция, а одна из главных точек проверки. В документации Fortinet по SSL/TLS deep inspection и в отдельном материале о влиянии SSL inspection на производительность прямо сказано, что трафик приходится расшифровывать, проверять и шифровать заново. Если при закупке этот режим не учли, на пилоте все выглядит прилично, а после включения реальных политик железо внезапно теряет темп.
Что проверить перед покупкой
Перед выбором NGFW стоит пройти по короткому списку вопросов.
Во-первых, где будет стоять устройство: на интернет-периметре, в филиале, в ЦОД, между сегментами, в контуре удаленного доступа. От роли зависит набор функций и критичность TLS-инспекции.
Во-вторых, нужны ли правила по приложениям и пользователям, или хватит правил по сетям и портам. Если ответ второй, возможно, классического межсетевого экрана достаточно. Если первый, без NGFW уже не обойтись.
В-третьих, сколько трафика реально придется инспектировать с включенными IPS, AppControl, URL-фильтрацией и TLS-decrypt. Это и есть главная цифра для sizing.
В-четвертых, какие требования есть у регулятора. Нужны ли сертификаты ФСТЭК, нужна ли работа в КИИ, важны ли ГОСТ-алгоритмы и совместимость с уже выбранной отечественной ОС.
В-пятых, чем будут пользоваться администраторы и сотрудники. Есть ли клиент под Linux, удобно ли централизованное управление, можно ли перенести конфигурацию без ручной сборки с нуля.
В-шестых, насколько удобно решение живет рядом с остальным стеком: SIEM, VPN, каталогами пользователей, DLP, песочницей, EDR, системами управления. Чем меньше ручных склеек, тем дешевле обойдется эксплуатация после закупки.
Что делать на пилоте
Пилот нужен обязательно. И не на синтетическом трафике из буклета, а на реальной смеси вашей сети. Проверять надо не только веб-доступ, но и удаленный доступ сотрудников, внутренние веб-сервисы, крупные передачи файлов, обновления, репликацию и типичную для компании HTTPS-нагрузку. Важно сразу включить те профили, с которыми устройство пойдет в прод: IPS, контроль приложений, URL-фильтрацию, журналирование и тот уровень TLS-инспекции, который вы действительно собираетесь использовать. Иначе пилот покажет одно, а в эксплуатации получится совсем другое.
Итог
Обычный файрвол отвечает на вопрос, можно ли пропустить соединение. NGFW отвечает на вопрос, что именно идет по сети, кто это делает и нет ли внутри угрозы. Для простой сегментации и статичных правил классический экран все еще уместен. Для современного периметра, удаленного доступа, контроля приложений, инспекции TLS и регулируемых российских контуров чаще нужен именно NGFW. Выбирать его стоит не по лозунгу next generation и не по максимальной цифре в буклете, а по трем вещам: реальная производительность под включенными функциями, соответствие требованиям ФСТЭК и совместимость с вашим российским стеком.
