Введение
Выбор NGFW (Next Generation Firewall) — одна из ключевых задач при построении системы сетевой безопасности. Ошибки на этапе подбора приводят к падению производительности, невозможности включить все функции защиты и необходимости дорогостоящей модернизации инфраструктуры.
В этой статье разобран практический подход к выбору NGFW для корпоративной сети с учётом реальных условий эксплуатации, а не формальных характеристик оборудования.
Почему выбор NGFW требует инженерного подхода
Современный NGFW объединяет функции маршрутизации, межсетевого экрана, анализа приложений, IPS, антивируса, SSL-инспекции и журналирования. Все эти механизмы потребляют вычислительные ресурсы и напрямую влияют на производительность устройства.
Поэтому ключевая ошибка при выборе NGFW — ориентироваться только на значения из технического описания, не учитывая профиль трафика и режимы работы.
Шаг 1. Анализ трафика и сценариев использования
Перед выбором модели необходимо определить:
- основные приложения и протоколы в сети;
- долю зашифрованного трафика (HTTPS, VPN, SSL-почта);
- наличие файловых и почтовых сервисов;
- характер трафика (короткие запросы, крупные файлы, постоянные потоки);
- пиковые нагрузки и периоды их возникновения.
Без этих данных корректный подбор NGFW невозможен.
Шаг 2. Ключевые параметры NGFW, которые нужно учитывать
CPS — количество новых соединений в секунду
Показатель CPS определяет, сколько новых сессий устройство может обработать за одну секунду. Он критичен для офисных сетей, VPN-подключений и веб-приложений.
Важно учитывать, что CPS значительно снижается при включении анализа приложений, IPS, антивируса и детального журналирования.
CC — количество одновременных соединений
CC показывает, сколько активных сессий NGFW способен поддерживать одновременно.
При работе на прикладном уровне (NGFW-режим) этот показатель существенно ниже, чем в режиме классического межсетевого экрана. Недостаточный запас по CC приводит к отказам в обслуживании при высокой нагрузке.
TT — реальная пропускная способность
TT отражает объём трафика, который NGFW может обрабатывать при включённых механизмах защиты.
На фактическую пропускную способность влияет:
- тип трафика;
- длина транзакций;
- количество параллельных соединений;
- активированные функции безопасности.
Значения без включённых функций защиты не отражают реальную эксплуатационную производительность.
Шаг 3. Влияние функций безопасности на производительность
При выборе NGFW необходимо заранее понимать:
- как изменяются CPS, CC и TT при включении IPS, антивируса и анализа приложений;
- как устройство ведёт себя при высокой загрузке;
- существуют ли механизмы упрощённой инспекции или автоматического ограничения функций.
Без этой информации невозможно корректно оценить, сможет ли NGFW работать в реальной сети с включённой защитой.
Шаг 4. Оценка SSL/TLS Decryption
Большая часть корпоративного трафика зашифрована. Поэтому важно проверить:
- производительность NGFW при включённой SSL-расшифровке;
- корректность анализа приложений внутри зашифрованного трафика;
- влияние SSL Decryption на загрузку ресурсов;
- список исключений, где расшифровка невозможна или нежелательна.
Оценка SSL-инспекции без включённых механизмов защиты не имеет практического смысла.
Шаг 5. Журналирование и эксплуатация
Журналирование — один из самых ресурсоёмких процессов для NGFW, но при этом критически важный для эксплуатации и расследования инцидентов.
При выборе следует учитывать:
- глубину и детализацию логов;
- возможность фильтрации и поиска;
- интеграцию с SIEM и внешними системами;
- влияние логирования файлов и приложений на производительность.
Шаг 6. Тестирование перед внедрением
Корректный выбор NGFW предполагает тестирование в условиях, максимально приближённых к реальным:
- использование реального или воспроизводимого трафика;
- включение всех планируемых функций безопасности;
- проверку поведения устройства под нагрузкой;
- оценку эффективности защиты при пиковых значениях.
Отказ от тестирования увеличивает риск некорректного сайзинга и последующих проблем в эксплуатации.
Типовые ошибки при выборе NGFW
- выбор устройства только по данным из datasheet;
- сравнение решений по одному параметру;
- функциональное тестирование без нагрузки;
- игнорирование деградации защитных функций при высокой загрузке;
- закладка избыточной производительности без расчёта реальных сценариев.
Заключение
Выбор NGFW — это не покупка оборудования, а инженерная задача, зависящая от реального трафика, сценариев использования и требований к безопасности.
Практика показывает, что корректный подбор NGFW возможен только при комплексном анализе и участии интегратора, который отвечает за результат работы решения в реальной инфраструктуре.
Напишите нам, если нужна помощь в подборе NGFW
Глобал АйТи – проектирует, внедряет и сопровождает ИТ/ИБ-инфраструктуру под требования ФСТЭК, ФСБ и реальных бизнес-задач