Выбор межсетевого экрана нового поколения (NGFW) требует понимания его роли в инфраструктуре. NGFW может выступать как ядро сети, обеспечивая маршрутизацию и безопасность между сегментами, так и защищать периметр, контролируя трафик между внутренней сетью, DMZ и интернетом. Отдельная роль – VPN-концентратор для безопасного соединения филиалов и удаленных пользователей.
Для ядра сети важны кластеризация для высокой доступности, поддержка динамической маршрутизации, обширные модули безопасности (IPS, антивирус, контроль приложений) и отказоустойчивость портов. При защите периметра необходимо обращать внимание на SD-WAN, гибкий NAT, веб-фильтрацию, контроль контента и анализ почтового трафика, включая антиспам. Для VPN-концентратора критичны централизованное управление туннелями, поддержка IPSec/ESP и современных криптоалгоритмов, а также наличие мультиплатформенного VPN-клиента.
Критически важны дополнительные факторы: глубокий анализ пакетов (DPI), пропускная способность VPN, механизм отката конфигураций и интеграция с SIEM/SOC. Необходима поддержка разных протоколов и технологий: DMVPN, Active Directory/LDAP, SNMP, API. Важны гибкость политик, sandbox, IDS, IPS, DLP, работа с журналами и возможность работы в режиме высокой доступности (HA).
Особое внимание следует уделить тестированию оборудования, поддержке со стороны вендора, стоимости решения и его интеграции с облачными сервисами (например, ZScaler). Необходимо проверять работоспособность всех заявленных функций и возможностей, особенно на мобильных устройствах, а также проверять механизмы безопасности, включая двухфакторную аутентификацию.
Изображение носит иллюстративный характер
Для ядра сети важны кластеризация для высокой доступности, поддержка динамической маршрутизации, обширные модули безопасности (IPS, антивирус, контроль приложений) и отказоустойчивость портов. При защите периметра необходимо обращать внимание на SD-WAN, гибкий NAT, веб-фильтрацию, контроль контента и анализ почтового трафика, включая антиспам. Для VPN-концентратора критичны централизованное управление туннелями, поддержка IPSec/ESP и современных криптоалгоритмов, а также наличие мультиплатформенного VPN-клиента.
Критически важны дополнительные факторы: глубокий анализ пакетов (DPI), пропускная способность VPN, механизм отката конфигураций и интеграция с SIEM/SOC. Необходима поддержка разных протоколов и технологий: DMVPN, Active Directory/LDAP, SNMP, API. Важны гибкость политик, sandbox, IDS, IPS, DLP, работа с журналами и возможность работы в режиме высокой доступности (HA).
Особое внимание следует уделить тестированию оборудования, поддержке со стороны вендора, стоимости решения и его интеграции с облачными сервисами (например, ZScaler). Необходимо проверять работоспособность всех заявленных функций и возможностей, особенно на мобильных устройствах, а также проверять механизмы безопасности, включая двухфакторную аутентификацию.
