Что скрывают устаревшие фаерволы и как их заменяют отечественные межсетевые экраны нового поколения

Сетевые границы большинства организаций по-прежнему держатся на железе, которому давно пора в музей.

Вот вам три интересные цифры. По данным отраслевых опросов, 7 компаний из 10 используют межсетевые экраны, выпущенные более 8 лет назад. На первый взгляд все работает – интернет есть, почта ходит. На деле ситуация напоминает старый замок с отвалившейся дужкой: вроде закрыт, но открыть можно шпилькой.

• Финансовый удар. Один час простоя инфраструктуры из-за атаки на устаревший экран обходится торговой сети среднего масштаба в 450 000₽.

• Регуляторный пресс. За утечку персональных данных Роскомнадзор вправе назначить штраф до 500 000₽ за каждый инцидент, а при повторном нарушении – до 20% годовой выручки.

• Репутационные потери. После публичного взлома клиентам не важно, сколько лет устройству на периметре – они просто уходят к тем, кто смог защитить информацию.

Сегодняшние атаки происходят на скоростях, о которых разработчики старых экранов даже не мечтали. Пока устройство пересчитывает пакеты на старом чипсете, злоумышленник уже внутри сети и ищет, что бы еще сломать. Поэтому вопрос «обновлять или нет» больше не технический: кто остается на месте, рискует оказаться офлайн раньше, чем допьет утренний кофе.

Как развивались межсетевые экраны – от фильтра пакетов до NGFW

Когда-то защита сети напоминала кирпичную стену, построенную из команд «разрешить» и «запретить». С тех пор технологии менялись несколько раз, подгоняя безопасность под новые угрозы и скорости трафика.

Пять этапов эволюции

1. Пакетный фильтр (начало 1990-х)

   Проверял только заголовки IP-пакетов: адрес, порт, протокол. Быстро, но слепо к содержимому.

2. Stateful Inspection (середина 1990-х)

   Научился отслеживать состояние соединения. Различал пакет, идущий в ответ на запрос, от внезапного вторжения.

3. Прокси и шлюзы сеансового уровня (конец 1990-х)

   Стали посредником между клиентом и сервером, анализируя протокол целиком. Минус – тормозили, если рос поток данных.

4. UTM-платформы (2000-е)

   Объединили в одном корпусе фильтрацию, антивирус, IDS/IPS. Универсальный солдат, но любил ресурсы и сложные настройки.

5. Межсетевой экран нового поколения, NGFW (2010-е и далее)

   Глубоко инспектирует трафик, понимает приложения, шифрует по современным стандартам, поддерживает машинное обучение для выявления аномалий.

Следующий шаг – понять, какую роль межсетевой экран играет сегодня и почему старое оборудование опасно оставлять на боевом посту.

Роль межсетевого экрана в современной архитектуре

Со стороны атакующего виден один-единственный IP, но внутри сети безопасность разбита на слои. Межсетевой экран – первая линия и одновременно диспетчер трафика для остальных инструментов.

Фильтрация на уровне приложений Экран читает заголовки TLS 1.3 и метаданные, поэтому различает корпоративный Teams и зашифрованный туннель, поднятый без согласования. Политика оставляет облачную телефонию, но блокирует личный Telegram в рабочее время.

Устройство передает метаданные о каждой сессии в системы обнаружения вторжений и контроля утечек. IDS проверяет сигнатуры атак, DLP следит, чтобы конфиденциальные данные не покидали сеть. Экран становится центральным брокером событий, избавляя от хаотичных зеркал трафика.

Вместо одной большой сети создаются зоны: бухгалтерия, разработка, DMZ. Пользователь из бухгалтерии не достигнет тестового сервера разработчиков, даже если запустит сторонний VPN.

Для госсектора это вопрос соответствия требованиям ФСТЭК. Экран шифрует каналы между филиалами по алгоритмам ГОСТ, не теряя скорости благодаря аппаратному ускорению.

Каждая попытка сканирования или отказ соединения уходит в SIEM, где за минуты строится картина атак. Без сквозной телеметрии выполнить требования по регистрации инцидентов практически невозможно.

Правила описываются сверху вниз: кто, куда, когда и с какого устройства. Новая политика сразу применяется на всех узлах кластера, исключая ручные правки и риск человеческой ошибки.

Почему устаревшие межсетевые экраны уязвимы

1. Конец жизненного цикла

   Производитель объявляет End-of-Life, закрывает техподдержку и прекращает выпуск обновлений. Экран продолжает работать, но каждый новый CVE остается без патча, словно дверь, к которой потеряли ключ.

2. Аппаратный потолок производительности

   Поток данных удваивается каждые два-три года, а старый процессор внутри экрана не становится быстрее. Когда пропускная способность сети приближается к реальному лимиту устройства, появляются лаги, обрывы VPN и сбои бизнес-сервисов.

3. Отсутствие актуальной криптографии

   Алгоритмы ГОСТ 2015, TLS 1.3, шифрование с PFS требуют поддержки со стороны железа. Если экран умеет только TLS 1.0, канал между филиалами не пройдет аудит ФСТЭК, а обмен персональными данными останется без защиты.

4. Новые методы обхода фильтрации

   Современные трояны инкапсулируют командный трафик в обычный HTTPS на 443-м порту. Устройство старого поколения видит «легальный» поток и пропускает его внутрь, потому что не умеет анализировать приложения на седьмом уровне.

5. Ручные операции вместо автоматизации

   Автоматические обновления правил угроз, интеграции с SIEM и оркестрация политик появились лишь в последних версиях экранов. В старой модели администратору приходится вносить изменения вручную, а человеческий фактор остается главным врагом безопасности.

Результат очевиден – даже одиночная уязвимость превращает сетевой периметр в проходной двор, а исправить ее нечем: ни патчей, ни мощности, ни нужных шифров.

Матрица рисков для бизнеса и комплаенса

Проблема устаревшего экрана редко ограничивается одной дырой в безопасности. Она раскручивает цепочку последствий, где техника тянет за собой деньги, регуляторов и репутацию. Ниже четыре области, каждая со своим «сценарием боли».

1. Технические потери

   • Снижение пропускной способности: при пиковой нагрузке трафик теряется, сервисы переключаются в деградацию.

   • Отсутствие обновлений приводит к постоянным тревогам в мониторинге и ручной переработке правил, что съедает ресурсы администраторов.

2. Финансовые издержки

   • Простой интернет-магазина даже на 30 минут бьет по выручке так же заметно, как неделя баннера конкурента на главной странице СМИ.

   • Восстановление после инцидента: форензика, закупка нового оборудования, экстренный аутсорс – итоговый счет часто во много раз превышает стоимость своевременного апгрейда.

3. Регуляторное давление

   • Нарушение приказов ФСТЭК о защите персональных данных – прямая дорога к предписанию устранить нарушения и к административному штрафу.

   • Аудит по 152-ФЗ: если выяснится, что межсетевой экран не сертифицирован и не поддерживает актуальные алгоритмы, придется доказывать, что «так было» – не аргумент.

4. Репутационные риски

   • Публикация о взломе в отраслевых изданиях снижает доверие партнеров, особенно когда они тоже на виду у регуляторов.

   • Потеря лояльности клиентов: после утечки персональных данных удержать аудиторию сложнее, чем привлечь новую.

Главная мысль проста: старое устройство сначала ударяет по технике, а через нее по финансам, законам и имиджу. Каждый день промедления увеличивает сумму возможного ущерба.

Как выглядит взлом через устаревший экран – простой разбор

Сухая статистика не всегда заставляет действовать. Проще понять угрозу на живом примере. Ниже реальный сценарий компании из промышленного сектора, где межсетевой экран 2014 года не получал обновлений почти три года.

Что случилось

Старое устройство имело уязвимость удаленного выполнения кода. Этим и воспользовался злоумышленник: попал внутрь, поднял зашифрованный туннель и незаметно вывел данные.

Чем все закончилось

• Финансово – форензика, экстренный апгрейд, услуги SOC: 5,8 млн ₽ внеплановых расходов.

• Регуляторно – дело Роскомнадзора, грозящий штраф до 6 млн ₽ за утечку персональных данных.

• Репутационно – четыре крупных заказчика приостановили проекты до окончания проверки.

Шесть сигналов, что межсетевой экран пора менять

Иногда техника сама кричит о том, что устала держать оборону. Ниже ‒ шесть признаков, при появлении которых апгрейд превращается из «желательно» в «неотложно».

1. Прошивка старше года, а у производителя статус End-of-Life

   Обновлений безопасности больше не будет. Любая новая уязвимость остается открытой навсегда.

2. Загрузка процессора стабильно выше 70% в рабочие часы

   При пике трафика экран первым «захлебнется», начнутся обрывы VPN и задержки сервисов.

3. Нет поддержки TLS 1.3 и алгоритмов ГОСТ 2015

   Без современных шифров не пройти аудит ФСТЭК и не защитить передаваемые персональные данные.

4. Журналы событий пустеют или пишутся выборочно

   Экран обрезает логи, чтобы экономить ресурсы. В итоге служба контроля лишается доказательств при разборе инцидента.

5. Политики доступа правятся вручную через консоль

   Каждая новая услуга превращается в ночную смену для администратора. Чем больше ручной работы, тем выше риск ошибки.

6. Аудитор указывает на несоответствие требованиям 152-ФЗ

   Последний звоночек: регулятор нашел просчеты, штрафы и предписания уже на горизонте.

Хотя бы два пункта из списка ‒ и старый экран становится слабым звеном. В следующем разделе разберем, какие стратегии помогут закрыть возникшие риски без остановки бизнеса.

Три стратегии минимизации рисков

Стратегия 1 – Экспресс-аудит правил и журналов

• Снимается снимок текущих политик, логов и карт маршрутизации трафика.

• Выявляются «any → any» правила, давно забытые исключения и отверстия для тестовых сервисов.

• Параллельно запускается проверка обработки персональных данных: если журналы пустые, закрыть инцидент потом будет нечем.

• Результат – карта уязвимостей и список приоритетных действий без закупки нового оборудовани

Стратегия 2 – Сегментация сети и Zero Trust Access

• Вводится строгий принцип «минимального доступа»: каждый отдел видит только свои сервисы.

• Зоны отделяются не VLAN-ками «для вида», а реальными правилами контроля между ними на уровне приложений.

• Между сегментами включается проверка подлинности устройств и пользователей, что закрывает lateral movement даже при компрометации одного узла.

• Такой подход снижает нагрузку на старое устройство: потоки распределяются, а критичные сервисы получают гарантированные ресурс

Стратегия 3 – Пошаговая миграция на отечественные межсетевые экраны нового поколения

• На периферию сети ставится новый модуль, совместимый с требованиями ФСТЭК и поддержкой ГОСТ-крипто для обеспечения шифрования.

• Старый экран переводится в разряд резервного, трафик постепенно перетекает на новый узел без остановки бизнеса.

• Используются решения UserGate и Континент 4: первый масштабируется без замены «железа», второй держит высокую пропускную способность независимо от числа правил.

• В конце проекта остается единое ядро, где политики пишутся один раз и применяются на все узлы, а межсетевых настроек приходится меньше, потому что функции совмещены в одном интерфейсе.

Каждая из трех стратегий закрывает свой участок угроз. Кому-то хватит грамотного аудита, другому понадобится полноценная замена экранов. Главное – не тянуть, пока инцидент сам подскажет, что время вышло.

Отечественные межсетевые экраны – UserGate и
Континент 4

Если вы думаете, какой межсетевой экран купить, отечественный – это то, что в нынешних условиях будет по-настоящему необходимо.

Ниже ‒ подробное «досье» на два ключевых продукта, которые мы ставим заказчикам. Оба решают задачи госсектора и regulated-бизнеса, но делают это по-разному.

UserGate Virtual NGFW – гибкость, сертификация и быстрая отдача

Прежде чем выбирать стратегию модернизации, полезно знать, какие решения реально закрывают регуляторные требования и выдерживают нагрузку. На рынке много универсальных коробок, однако для госсектора и бизнеса с повышенными требованиями к защите персональных данных критичны два фактора – российская сертификация и полноценный функционал нового поколения. Ниже – подробный разбор двух таких средств: UserGate Virtual NGFW и Континент 4.

Главные выгоды

• Сертификат ФСТЭК (4-й класс + профиль Б) – допускается к защите персональных данных, КИИ 1 категории и ГИС до 1-го уровня.

• Развертывание за часы – образ запускается на VMware, Hyper-V, KVM, OpenStack, Xen, VirtualBox; пара щелчков ‒ и шлюз готов фильтровать трафик.

• Масштабирование без «железа» – рост филиальной сети = добавление новых VM, никаких простоев и закупки стоек.

• Экономия OPEX/CAPEX – используется существующая серверная инфраструктура, поэтому не нужно покупать отдельный апплайанс и обслуживать его.

Ключевой функционал

1. Advanced Threat Protection – поведенческий анализ, репутационные базы, «песочница» для нулевых атак; DoS-щит с лимитом соединений на пользователя.

2. Потоковый антивирус – inline-сканирование файлов и приложений, сигнатуры обновляет собственный Monitoring & Response Center UserGate.

3. Контроль приложений L7 – более 2600 сигнатур: торренты, мессенджеры, SaaS; менеджеру достаточно отметить чек-бокс, чтобы запретить TikTok на рабочих ПК.

4. Контент-фильтрация Web 2.0 – морфологический разбор страниц, блокировка нежелательных фраз и рекламы.

5. Почтовая безопасность – эвристика против фишинга, спама и вирусных вложений, работает до доставки письма в ящик.

6. VPN с ГОСТ-алгоритмами – защищенные каналы между офисами и удаленными сотрудниками, двухфакторная аутентификация встроена.

7. High Availability и кластер Active-Active – мгновенное переключение при сбое узла; единая конфигурация разлита по всем нодам.

8. SOAR-механизмы – сценарии автоматической реакции: изолировать хост, поменять политику, уведомить SOC, когда срабатывает правило IPS.

9. Гостевой Wi-Fi-портал – одноразовые пароли или SMS-аутентификация плюс отдельные политики для посетителей.

Для кого особенно полезен

1. Федеральные и муниципальные учреждения, где важен ГОСТ-VPN и аттестация по ФСТЭК.

2. Сетевые компании с быстро растущими филиалами: новый офис = новая VM, без закупки железа.

3. Организации, уже инвестировавшие в виртуальную инфраструктуру и желающие сократить капзатраты.

Континент 4 – пропускная способность, ГОСТ-крипто и единая панель

Главные выгоды

• UTM корпоративного уровня – фаервол, IPS/IDS, URL-фильтр, антивирус, VPN ГОСТ в одном корпусе.

• Патентованный high-performance engine – фиксированная задержка при любой длине правила; подходит для сетей 10 Гбит/с и выше.

• Централизованная база объектов + LDAP-интеграция – единая политика для всего периметра, меньше ручного труда.

• WAN/VPN-failover – автоматическое переключение каналов, чтобы клиентские сервисы не падали при обрывах магистрали.

Ключевой функционал

1. ГОСТ-VPN с аппаратным ускорением – безопасный обмен между площадками, прохождение любой инспекции по 152-ФЗ.

2. IPS с оптимизацией сигнатур – движок разбирает трафик по префиксным деревьям, производительность не падает даже при тысячах правил.

3. DPI-анализ 2600+ приложений – VoIP, облачные сервисы, игровые протоколы; ненужные категории режутся одним кликом.

4. Резервирование кластеров Active-Passive – первичный узел выходит из строя, трафик мгновенно забирает резерв без обрыва сессий.

5. Поддержка VLAN 802.1Q, NAT внутри VPN, Multicast-маршрутизация – удобно для сложных сетей с IP-телефонией и видеоконференциями.

6. Репутационная база «Лаборатории Касперского» – блокировка фишинговых и вредоносных URL до обращения браузера.

7. Единая веб-консоль – политика, мониторинг, отчеты и обновления управляются из одного окна; обучение администраторов занимает считаные часы.

Для кого особенно полезен

• Центры обработки данных, провайдеры SaaS и телеком-операторы – нужен гарантированный throughput и минимальная задержка.

• Банки и госсектор, где критично использование алгоритмов ГОСТ и отказоустойчивость каналов.

• Предприятия, которым важен полный «комбайн» в одной коробке и централизованное управление без внешних сервисо

Итог для выбора

Внедрять с вендором или своими силами – как выбрать правильный путь

Инвестировать в новый экран – полдела; дальше начинается внедрение. Здесь есть два сценария, и каждый влияет на бюджет, сроки и нагрузку на команду.

Полный подряд от вендора

Что делает поставщик

• Проводит пред-аудит периметра, пишет техзадание, согласует архитектуру.

• Разворачивает пилот, мигрирует правила, тестирует нагрузку.

• Обучает администраторов, оформляет пакет документов для инспекции.

Плюсы

• Прозрачные сроки. Вендор закладывает буфер времени на непредвиденные нюансы, поэтому дедлайны редко «плавают».

• Гарантия конфигурации. Ошибки внедрения исправляет та же команда, что настраивала устройство, а не штатный инженер, которому передали проект «по наследству».

• Оформленные акты под регуляторную проверку. Если придет ФСТЭК, пакет документов уже собран.

Минусы

• Стоимость выше на 20–30% из-за работ «под ключ».

• Зависимость от графика подрядчика: срочно перенести окно переключения не получится.

In-house развертывание под руководством собственного IT-отдела

Что делает поставщик

• Закупает устройство, читает документацию, переносит правила на новый движок.

• Тестирует производительность, устраняет конфликты с существующими службами.

• Сама оформляет отчетность, пишет инструкции и схемы.

Плюсы

• Экономия бюджета. Платите только за оборудование и поддержку, работы выполняет собственный штат.

• Гибкий график. Перенести миграцию на ночь или выходные можно без согласования с подрядчиком.

• Накопление экспертизы. Инженеры изучают продукт «изнутри» и быстрее решают будущие задачи.

Минусы

• Требуются люди, знакомые с NGFW и регламентами. При нехватке опыта рискуете получить «дыры», обнаруженные уже после ввода в эксплуатацию.

• Сроки растягиваются: параллель с текущими задачами приводит к откатам и повторным тестам.

• Ответственность полностью внутри компании: при инциденте регулятор не примет ссылку на «сложный продукт».

В итоге подход «сделать самим» оправдано, когда команда уже поддерживает подобные решения. Во всех остальных случаях подключение вендора снижает риски и ускоряет ввод системы в промышленную эксплуатацию.

Настройка без ошибок – подробная памятка для инженера

Базовые правила, которые обеспечивают реальный уровень защиты

Типовые ловушки и их последствия

1. «Any → Any» для временных тестов

   Оставленное правило открывает весь мир к серверу; бот-сканер первым же днем находит и эксплуатирует RDP.

2. Исключения без дедлайна

   Подрядчик получил доступ, работу сдал, а правило живет годами. Решение: фиксировать дату отключения сразу при создании правила.

3. Отключенные журналы

   Ради экономии места логи обрываются. При проверке Роскомнадзора доказать корректную обработку персональных данных невозможно.

4. CLI-импорт большого набора ACL-ов

   Опечатка превращает «deny» в «allow». Автоматический парсер перед коммитом конфигурации отлавливает такие ошибки.

5. Отсутствие резерва

   Один экран выходит из строя, внешняя почта и сайт компании гаснут. Кластер active-passive позволяет переключить трафик за секунды.

Чек-лист руководителя службы безопасности – разворачиваем план действий

1. Зафиксировать текущее состояние

   • Заказать экспресс-сканирование периметра и выгрузку журналов экрана за последние 30 дней.

   • Итог: отчет с перечнем открытых портов, объемом трафика и списком аномалий.

2. Сегментировать внутреннюю сеть

   • o Отдел разработки, бухгалтерия, Wi-Fi для гостей переходят в разные VLAN и получают отдельные правила доступа.

   • o Риск горизонтального распространения вредоносного кода сокращается в разы.

3. Оценить возраст и возможности текущего оборудования

   • Проверяем наличие патчей, поддержку TLS 1.3 и ГОСТ-алгоритмов.

   • Если экран старше пяти лет и не сертифицирован, планируем замену.

4. Выбрать подходящий отечественный NGFW

   • Для виртуальной инфраструктуры и быстрого масштабирования подойдет UserGate.

   • Для нагрузочных каналов свыше 10 Гбит/с и фиксированной задержки – Континент 4.

5. Определиться со схемой внедрения

   • Вендор «под ключ» – быстрее, но дороже.

   • In-house – дешевле, требует экспертизы. Решение фиксируется в протоколе ИТ-комитета.

6. Внедрить систему централизованного журналирования

   • Логи экрана, прокси и прокладочных сервисов отправляются в единый SIEM.

   • Настроить оповещение при росте отказов или всплеске отклоненных соединений.

7. Запланировать внешний тест на проникновение

   • После миграции новый экран проверяется сторонней командой pentest.

   • Отчет ложится на стол гендиректору, подтверждая работоспособность мер контроля.

8. Утвердить регламент пересмотра политик

   • Раз в квартал инженер подает чек-лист: устаревшие сервисы, лишние правила, изменение потоков данных.

   • Документ подписывается ИБ-руководителем и хранится для следующей проверки ФСТЭК.

9. Назначить KPI на непрерывность защиты

   • Метрики: ≤ 0,1 % отклонений из-за перегрузки, время реакции SOC < 15 минут, отсутствие штрафов регуляторов.

10. Запросить консультацию у нашей команды

    • 30 минут – и готов персональный план обеспечения безопасности с бюджетом и сроками.

    • При заказе до конца квартала аудит текущих межсетевых правил – бесплатно.

Результат выполнения чек-листа – сеть разделена, журналирование налажено, новый экран соответствует требованиям ФСТЭК, а риски штрафов и простоев сведены к минимуму.