Анализ функционала и возможностей PT NGFW: лабораторный тест + итоги пилотов

Привет, Хабр! Делюсь ниже статьей моего коллеги Игоря Резцова, ведущего системного инженера в К2 Кибербезопасность . На связи Игорь Резцов. За 15 лет опыта в ИТ, из которых 8 лет в ИБ, я видел как требования к сетевой безопасности менялись и усложнялись. Одно можно сказать точно — NGFW давно стал базой. Согласно нашим данным, 88% российских корпораций активно

https://habr.com/ru/companies/k2tech/articles/1009140/

#ngfw #межсетевые_экраны #positive technologies #pt_ngfw #сетевая_безопасность #информационная_безопасность #кибербезопасность #безопасность_сетей

Cisco Trex и нагрузочное тестирование NGFW EMIX-трафиком

Привет, Хабр! Меня зовут Сергей Бондарев, я старший инженер нагрузочного тестирования в InfoWatch ARMA. В компании я занимаюсь разработкой методик нагрузочного тестирования, разработкой новых сценариев тестирования NGFW и написанием скриптов тестирования под различные нагрузчики. В последние годы многие компании активно переходят на отечественное оборудование для защиты информационной инфраструктуры. В InfoWatch Arma мы разрабатываем NGFW, подходящий как для промышленных предприятий, так и для корпоративного сегмента. Чтобы клиент мог оценить возможность внедрения наших решений в свой бизнес, необходимо предоставить максимально приближенную к условиям эксплуатации производительность устройства. Это одна из основных задач проведения нагрузочного тестирования. Сегодня мы рассмотрим, как можно получить основную метрику производительности NGFW, а именно — пропускную способность EMIX-трафика (трафик, состоящий из смеси различных протоколов). Для проведения тестирования в качестве генератора тестового трафика будет использоваться open-source-проект Cisco Trex

https://habr.com/ru/companies/infowatch/articles/989110/

#trex #cisco #infowatch #NGFW #тестирование #EMIX

Zero Trust для российских компаний: как защитить удалённый доступ с помощью ZTNA

ZTNA (Zero Trust Network Access) — это модель управления доступом (не только удаленным!), которая проверяет каждого пользователя и устройство (включая установленное и работающее на нем ПО) и даёт доступ не к сети в целом, а к конкретным приложениям и ресурсам. Преимуществом реализации концепции ZTNA в NGFW-решении являются прежде всего возможности файрвола следующего поколения по фильтрации трафика и публикации ресурсов. При этом администратором удобно управлять доступом в одном решении, не прибегая к многочисленным интеграциям наложенных средств защиты. Особенно важно управлять доступом в современных условиях, когда значительная часть успешных взломов российских компаний в 2025 году происходило с помощью атаки на удаленных сотрудников или подрядчиков (supply chain attack). Специалисты по безопасности испытывают особенную “боль” в контроле подрядчиков - не имея доступ к их ИТ-инфраструктуре и возможностей по мониторингу безопасности, применения политик, настроек и средств защиты. В Ideco NGFW работа с моделью ZTNA реализована через NAC‑клиент (Network Access Control - контроль доступа к сети на уровне подключения устройства.) и тесную интеграцию с межсетевым экраном, что позволяет существенно безопаснее и гибче управлять доступом сотрудников и подрядчиков по сравнению с классическими VPN и периметровой защитой.

https://habr.com/ru/companies/ideco/articles/1004442/

#информационная_безопасность #zero_trust #ztna #ngfw #удаленный_доступ

Применяем TLA+ на практике

Привет, Хабр! Меня зовут Сергей, я работают в компании InfoWatch разработчиком на продукте ARMA Стена (NGFW). Подробнее о том, что такое ARMA Стена, можно прочитать тут . В этой статье я хочу поделиться опытом применения метода формальной верификации в решении практической бизнес-задачи. Сразу оговорюсь, что в статье используется TLA+, без введения в инструмент, чтобы не увеличивать объём статьи. Подробнее про инструмент вы можете почитать на сайте создателя , тут и тут . Необходимые объяснения даются по ходу изложения. Статья состоит из двух частей: 1) Что такое формальная верификация и где она применятся 2) Решение бизнес-задачи в NGFW Верифицировать статью

https://habr.com/ru/companies/infowatch/articles/1003382/

#формальная_верификация #tla+ #python #ngfw #ARMA

Выбор кластеризации Active-Passive или Active-Active при обеспечении отказоустойчивости периметрального NGFW

В процессе своей трудовой деятельности, начиная от заместителя руководителя по ИТ в крупной образовательной организации и заканчивая ведущим инженером одной из компаний РФ, стоящих на острие современных решений кибербезопасности – меня всегда озадачивал вопрос отказоустойчивости периметрального решения компании или учреждения. При этом хотелось попасть в идеальный баланс между целесообразностью выстраиваемой архитектуры и отсутствием избыточности решения. Говоря про периметральные NGFW, если отбросить вопрос их корректной настройки инженером и штатного функционирования бекендов, основным способом обеспечения отказоустойчивости является построение кластера из нескольких экземпляров устройств, которые функционируют как единое целое. При этом существуют два принципиально разных варианта реализации – это кластер Active|Passive (A|P) и кластер Active | Active (A|A). Сегодня я хотел бы поговорить о том, какой тип кластеризации подходит больше к какому типу сети/компании/контекста использования, а также какие преимущества и недостатки имеются у каждого из них. Кластеризация в режиме Active|Passive представляет собой технологию объединения двух NGFW устройств (каждое из которых будет называться нодой ) в единый логический элемент сети (кластер) для обеспечения высокого уровня отказоустойчивости и доступности. Фактически за счет дублирования физического устройства при этом устраняется проблема «единой точки отказа», когда при выходе из строя узла (как самого NGFW, так и сетевого интерфейса, линка к сетевому интерфейсу) кластер продолжает обрабатывать трафик без прерываний прозрачно для пользователя и сервисов, приложений.

https://habr.com/ru/companies/ideco/articles/1003420/

#сетевые_технологии #информационная_безопасность #firewall #ngfw #межсетевой_экран #отказоустойчивость #российские_межсетевые_экраны

Краткий взгляд на UserGate SSL VPN портал

Современные требования к ИБ диктуют необходимость предоставления сотрудникам защищенного доступа к корпоративным сервисам без потери уровня контроля, удобства и производительности, при этом следуя пути импортозамещения. UserGate NGFW реализует функцию SSL VPN портала (Веб-портал) , которая позволяет осуществлять доступ ко внутренним FTP-, RDP-, SSH- и Web-серверам используя только браузер, не требуя установки специализированного ПО в операционной системе. Данный материал представляет собой небольшой обзор компонента: от его настройки до нюансов, обнаруженных в ходе его эксплуатации. Читать

https://habr.com/ru/articles/996402/

#usergate #ngfw #sslvpn #sase #ztna

От VPN к управляемой сети: SD‑WAN в российских NGFW

SD‑WAN — это не «еще один VPN», а надстройка, которая управляет вашими каналами связи как единой системой: сама выбирает маршрут, проверяет качество каналов и подстраивается под бизнес-требования к доступности и безопасности. В 2026 году для российских NGFW всё более актуален сценарий, когда устройство используется не только как решение по фильтрации трафика и отражению атак, но и как платформа для управления трафиком и сетевой связностью. В том числе в больших распределённых инфраструктурах с филиалами, удалёнными дата‑центрами, производственными площадками и облачной инфраструктурой.

https://habr.com/ru/companies/ideco/articles/993218/

#Информационная_безопасность #Сети #Маршрутизация #VPN #SDWAN #BGP #NGFW

Почему SASE не заменяет NGFW: взгляд инженера по ИБ

Привет, Хабр! Сейчас вокруг SASE в индустрии идут активные обсуждения, и может показаться, будто все традиционные решения безопасности вот-вот отправятся на свалку истории. На этом фоне всё чаще звучат вопросы о роли NGFW в современной архитектуре. Меня зовут Дмитрий Квашнин, я ведущий инженер-эксперт в компании Innostage. И в этой статье я хотел бы поделиться собственным взглядом на этот счёт. SASE и NGFW не конкуренты. Это скорее эволюционные ступени одной большой архитектуры. NGFW никуда не уходит. Он просто передает часть своих полномочий, превращаясь в ключевой элемент гибридной модели Zero Trust для защиты самого ценного. А SASE в это время решает задачи новой эпохи, где все распределено: удаленные сотрудники, филиалы и облачные сервисы.

https://habr.com/ru/companies/innostage/articles/990012/

#NGFW #межсетевой_экран #SASE #Zero_Trust #информационная_безопасность #сетевая_безопасность #архитектура_безопасности #ЦОД #L7 #ZTNA

Функциональное тестирование «Континент 4» в режиме «Детектор атак»: сравнение с Palo Alto в лаборатории INSI

Меня зовут Ильдар Ишкинин, я ведущий инженер Центра компетенций Innostage. После лабораторного тестирования производительности NGFW «Континент 4» в условиях высокой нагрузки мы перешли ко второму этапу. На этот раз мы оценивали не силу, а интеллект устройства — его способность обнаруживать угрозы в режиме работы «Детектор атак». Также в течении месяца мы проводили сравнительный анализ, насколько эффективно отечественный NGFW «Континент 4» справляется с обнаружением атак по сравнению с зарубежным межсетевым экраном нового поколения Palo Alto производства компании Palo Alto Networks.

https://habr.com/ru/companies/innostage/articles/986408/

#ngfw #firewall #тестирование_безопасности #сравнение_ngfw #Континент_4_NGFW #сканирование_уязвимостей_CVE #Мониторинг_сетевого_трафика #Сравнительный_анализ_NGFW #NGFW_Palo_Alto #Детектор_атак

Regarding my migration from #Fortinet #Fortigates to #OPNSense, the biggest thing that I have found wanting is all the capabilities that come with a Layer 2 routing and #NGFW's (Next-Gen FireWall).

For example, on a Fortigate you can associate an entry to a MAC address and then use that entry for policies; Firewall, routing, security, DHCP, etc.

If a device changes IP address, it doesn't matter, your rules don't care, as they match MAC address.

OPNSense can do none of this. it only filters/runs on IP.

On top of that; Since DHCP does not create/update aliases, you have to create DHCP reservations for everything (to prevent IPs from changing) and /THEN/ create an alias for that IP address, so that you can use it in policies. Why isn't this one step? Or Automatic?

DHCP is designed to aide in network flexibility but rules being tied to a fixed IP totally keecaps the concept of 'when you see this device, do this'.

The DHCP Reservation/Alias issues is an absurd duplicity of effort. It's rather stunning that the option to create an alias FROM a DHCP reservation doesn't exist.