«Ощущение выбора на рынке межсетевых экранов нового поколения (NGFW) в России — иллюзия. Реальная задача теперь — не выбрать самый лучший, а найти тот, который просто будет работать стабильно, масштабироваться, а его вендор не скроется за горизонтом через полгода. На кону не только функциональность, но и предсказуемость всего жизненного цикла продукта.»
Контекст рынка: почему западные вендоры больше не вариант
Palo Alto Networks, Fortinet и другие лидеры глобального рынка NGFW покинули российский рынок. Это не просто «выход из страны», это остановка официальных поставок, прекращение технической поддержки, обновлений сигнатур угроз и встроенных баз знаний. Оборудование, уже поставленное, продолжает работать, но превращается в «замороженную» версию. Отсутствие обновлений для IPS, антивирусных и DLP-модулей со временем делает такую защиту неэффективной против новых угроз. Кроме того, возникают сложности с лицензированием: нельзя легально продлить подписки, активировать новые функции или добавить модули.
На этом фоне импортозамещение из простой бюрократической задачи превращается в практическую необходимость для обеспечения непрерывности работы систем безопасности. Выбор теперь ограничен решениями, которые либо изначально разработаны в России, либо имеют полноценную локализацию и независимую от зарубежных центров разработки поддержку.
Критерии для нового выбора NGFW
Классические критерии выбора (производительность, функциональность) теперь дополняются новыми, критически важными параметрами.
- Происхождение и суверенизация. Важен не только бренд, но и контроль над полным циклом: кто разрабатывает ядро ОС, где собирается прошивка, где находится центр поддержки и обновлений.
- Жизненный цикл и предсказуемость. Гарантирует ли вендор долгосрочную поддержку продукта (5-7 лет)? Есть ли публичная roadmap развития? Насколько вендор зависит от зарубежных компонентов (чипы, библиотеки), которые могут попасть под новые ограничения?
- Экосистема и интеграция. Способен ли NGFW работать с другими компонентами российской ИБ-экосистемы (SIEM, системы управления привилегиями, отечественные ОС)? Поддерживает ли стандартные протоколы (Syslog, NetFlow/IPFIX, REST API) для интеграции.
- Техническая поддержка и компетенции. Доступна ли поддержка 24/7 на русском языке? Есть ли обучение и сертификация для инженеров внутри страны? Насколько быстро закрываются уязвимости в собственных компонентах?
Обзор доступных российских и адаптированных решений
Рынок можно условно разделить на три категории: полностью российские разработки, локализованные платформы на базе открытого ПО и решения из дружественных юрисдикций, адаптированные под российские требования.
Полностью российские разработки
Эти продукты разработаны с нуля в России, что теоретически даёт максимальный контроль и независимость.
- InfoWatch TrafficGuardier NextGen. Развитие линейки, известной ранее под другими брендами. Позиционируется как полнофункциональный NGFW с акцентом на DLP и анализ контента. Интегрируется в экосистему InfoWatch. Поддержка и разработка полностью в России.
- Рутокен NGFW (от «Актив»). Решение от известного вендора средств аутентификации. Делает ставку на глубокую интеграцию с инфраструктурой PKI и средствами Рутокен, что может быть преимуществом в госсекторе и на критической информационной инфраструктуре (КИИ). Часто рассматривается в связке с требованиями 152-ФЗ и 187-ФЗ.
- NGFW от «Код безопасности». Вендор с сильным акцентом на сертификацию ФСТЭК России. Их решения часто изначально разрабатываются с оглядкой на требования руководящих документов (РД) ФСТЭК, что упрощает процесс аттестации объектов информатизации.
Общая характеристика: Зачастую эти решения лучше вписываются в нормативно-правовые рамки, но могут отставать в удобстве интерфейса, глубине аналитики и автоматизации по сравнению с ушедшими лидерами. Сообщество пользователей и объем публичной документации меньше.
Платформы на базе открытого ПО (Open Source)
Этот путь предлагает гибкость и потенциально меньшую зависимость от конкретного вендора, но требует высокой квалификации команды.
- pfSense/OPNsense как основа. Эти свободно распространяемые дистрибутивы на базе FreeBSD предоставляют базовый функционал межсетевого экрана, VPN, балансировки нагрузки. На их основе можно собрать NGFW, добавив коммерческие или opensource-пакеты для IPS (например, Suricata), фильтрации контента, антивируса (ClamAV). Главный минус — сборка, интеграция и последующая поддержка ложатся на плечи заказчика. Необходимо самостоятельно обеспечивать обновление всех компонентов и мониторинг их совместимости.
- Сборки на базе Linux (IPTables/nftables + набор сервисов). Ещё более гибкий, но и более сложный вариант. Требует глубоких знаний сетевого стека Linux. В качестве IPS может использоваться Suricata или Snort, для прокси-фильтрации — Squid с плагинами. Такой подход трудно масштабировать на большое количество устройств и он почти не подходит для организаций без выделенной сильной команды ИБ.
Ключевой вопрос: кто будет нести ответственность за работу и безопасность собранного «конструктора»? Для многих организаций, особенно регулируемых, отсутствие единого вендора, отвечающего за весь стек, является неприемлемым риском.
Решения из дружественных юрисдикций и локализованные продукты
Некоторые международные вендоры, не ушедшие с рынка, предлагают локализованные версии продуктов или продукты, разработанные в странах, не присоединившихся к санкциям.
- Решение от одного из ведущих китайских вендоров (например, Huawei). Китайские производители сетевого оборудования имеют в портфелях NGFW-решения. Их плюс — мощная аппаратная платформа и глобальный R&D. Однако возникают вопросы по адаптации сигнатур угроз под российский ландшафт (киберпреступность, целевой софт), локализации техподдержки и потенциальной зависимости от логистических цепочек.
- «Софт» от восточноевропейских разработчиков. Ряд компаний предлагает программные NGFW, которые можно развернуть на стандартном серверном оборудовании (в т.ч. российском). Здесь важно оценить, насколько глубоко проведена локализация: только перевод интерфейса или также адаптация баз знаний угроз, интеграция с российскими сервисами (например, РСФЗУ ФинЦЕРТ).
Практические аспекты миграции
Переход с Palo Alto или Fortinet на новую платформу, это не просто замена «железа». Это изменение множества смежных процессов.
- Анализ используемого функционала. Первый шаг — детальный аудит: какие функции старого NGFW реально используются (IPS, App-ID, User-ID, SSL Inspection, DLP, VPN)? Часто оказывается, что используется лишь 30-40% возможностей. Это упрощает выбор замены.
- Конвертация политик. Вручную переносить сотни правил фильтрации — трудоёмко и чревато ошибками. Некоторые российские вендоры предлагают утилиты для конвертации конфигураций из популярных форматов, но их точность требует тщательной проверки.
- Тестирование в пилотной зоне. Новый NGFW должен быть развёрнут в сегменте, имитирующем рабочую нагрузку, и протестирован на предмет производительности, корректности блокировок и отсутствия ложных срабатываний. Особое внимание — инспекции зашифрованного трафика (SSL/TLS).
- Перестройка процессов мониторинга и реагирования. Интеграция нового NGFW с SIEM-системой потребует настройки новых корреляционных правил, так как форматы логов и события будут другими.
Что ждёт рынок в перспективе
Текущая ситуация, это не финал, а точка перелома. В ближайшие 1-2 года стоит ожидать:
- Консолидации вендоров. Мелкие игроки могут быть поглощены более крупными IT-холдингами, что, с одной стороны, даст ресурсы для развития, с другой — может изменить стратегию продуктов.
- Углубления интеграции. Успех будут иметь те NGFW, которые максимально бесшовно интегрируются с другими российскими системами (СКУД, SIEM, VDI). Появление отраслевых решений, например, для телекома или энергетики.
- Сдвиг в сторону «программного определения». Рост популярности виртуальных (vNGFW) и облачных форм-факторов, особенно с развитием отечественных облачных платформ.
- Формирование новых компетенций. Специалисты по Palo Alto и Fortinet будут переучиваться на новые платформы. Возникнет дефицит экспертизы по конкретным российским продуктам, что повысит ценность сертифицированных инженеров.
Выбор NGFW сегодня, это стратегическое решение, которое закладывает основу безопасности на годы вперёд. Фокус сместился с поиска самого технологически продвинутого решения на поиск самого надёжного и предсказуемого партнёра в новых условиях.