Техподдержка 24/7 Пн-пт 9:30 – 18:30 +7 495 721 1218
22.05.2026

Эшелонированная защита ИТ-инфраструктуры: синергия межсетевых экранов и NGFW против актуальных угроз

Ландшафт угроз в период 2025–2026 годов

Современный ландшафт киберугроз претерпел значительные трансформации. Если ранее злоумышленники преимущественно ориентировались на данные и финансовые ресурсы, то в настоящее время их цели сместились в сторону физического разрушения и диверсий. В частности, атаки распространились на операционные технологии, где вредоносные программы могут не только блокировать доступ к финансовым документам, но и инициировать аварийные режимы на производственных объектах.

Ключевые тенденции:

  1. Рекордный уровень атак на критическую информационную инфраструктуру (КИИ): 77% от общего числа инцидентов в первом квартале 2026 года. Приоритетными целями стали телекоммуникации, финансовая отрасль, здравоохранение и промышленность.
  2. Автоматизация атак с использованием искусственного интеллекта и распространение модели «атака как услуга» в теневом интернете.
  3. Переход от эксплойтов с коротким временем воздействия к длительным целевым компрометациям: злоумышленники могут месяцами маскироваться под легитимную активность, проводя глубокую разведку.

Таким образом, классическая модель защиты, основанная исключительно на межсетевых экранах (МЭ) и базовых методах фильтрации, утратила свою эффективность. В ответ на это формируется эшелонированная защита, где ключевыми элементами выступают NGFW и гибридные архитектуры, интегрирующие традиционные МЭ.

Межсетевые экраны (МЭ) vs Межсетевые экраны нового поколения (NGFW):

Для построения эшелонированной защиты необходимо четко разграничивать функциональные возможности традиционных межсетевых экранов (МЭ) и межсетевых экранов нового поколения (NGFW, Next-Generation Firewall).

Традиционный межсетевой экран (МЭ)

Функционирует на уровнях L3–L4 модели взаимодействия открытых систем (OSI), осуществляя фильтрацию трафика на основе IP-адресов, портов и состояния сессий. МЭ эффективен для защиты периметра сети и разграничения внутренних сегментов, однако не способен проводить анализ содержимого трафика и идентифицировать приложения.

NGFW

Расширяет функционал МЭ, включая глубокую инспекцию пакетов (DPI), контроль приложений (AppID), интегрированную систему предотвращения вторжений (IPS), анализ зашифрованного SSL/TLS-трафика, привязку политик безопасности к пользователям (UserID), фильтрацию по содержимому (ContentID) и интеграцию с внешними системами для обмена данными об угрозах (threat intelligence). При этом NGFW не заменяет МЭ, а дополняет его, обеспечивая глубокий анализ периметрового трафика, в то время как МЭ оптимально подходит для сегментации внутренней сети.

Важно отметить, что анализ зашифрованного трафика требует значительных вычислительных ресурсов. В случае недостаточной производительности NGFW может деградировать до уровня традиционного МЭ. Кроме того, технология SSL Inspection может быть неэффективна при использовании certificate pinning или неподдерживаемых протоколов.

Эшелонированная защита на практике

Эшелонированная (многоуровневая) модель представляет собой архитектурный подход, включающий несколько уровней защиты.

  1. Периметр на базе NGFW: устройство развертывается на границе сети, обеспечивая глубокую инспекцию трафика (DPI, IPS, контроль приложений) и предотвращая вторжения. Важно проводить инспекцию SSL/TLS для выявления скрытых угроз в зашифрованном трафике.
  2. Внутренняя сегментация на базе традиционных МЭ: межсетевые экраны разделяют внутренние сегменты сети (VLAN, подсети центров обработки данных, демилитаризованные зоны), реализуя политики разграничения доступа и предотвращая горизонтальное перемещение злоумышленников.
  3. Мониторинг и реагирование: интеграция NGFW с системами управления событиями безопасности (SOC) и системами корреляции событий (SIEM), а также с источниками данных об угрозах (Threat Intelligence-фидами) для автоматического обновления индикаторов компрометации.

Заключение

Защита современной ИТ-инфраструктуры требует комплексного подхода, выходящего за рамки одного уровня обороны. Эшелонированная модель, объединяющая традиционные МЭ для сегментации внутренней сети и NGFW для интеллектуальной фильтрации на периметре, становится необходимым минимумом. При этом крайне важно поддерживать актуальность самих средств защиты, поскольку уязвимости 2025–2026 годов демонстрируют, что необновленный межсетевой экран может превратиться из средства защиты в основную точку входа для злоумышленников.

Была ли полезна статья?
Расскажите друзьям:
Свежие новости
«Онланта» получила статус авторизованного партнёра SafeMobile
27.05.2026
«Онланта» получила статус авторизованного партнёра SafeMobile
 «Онланта» становится авторизованным партнером Pantum
19.01.2026
«Онланта» становится авторизованным партнером Pantum
 ONLANTA AI HUB вошла в тройку лидеров российских платформ управления генеративным ИИ для Enterprise-сегмента
13.11.2025
ONLANTA AI HUB вошла в тройку лидеров российских платформ управления генеративным ИИ для Enterprise-сегмента
 ONPLATFORM вошла в рейтинг лучших Kubernetes-решений по версии CNewsMarket
30.06.2025
ONPLATFORM вошла в рейтинг лучших Kubernetes-решений по версии CNewsMarket
 ИТ-директора ведущих банков обсудят кейсы с «Онлантой» и Orion soft
25.06.2025
ИТ-директора ведущих банков обсудят кейсы с «Онлантой» и Orion soft
Услуги
Услуги
Отраслевые решения
Отраслевые решения
О компании
О компании
Пресс-центр
Пресс-центр
О компании
О компании
Пресс-центр
Пресс-центр
Работа в команде
Работа в команде
Заказчики и проекты
Контакты
Служба качества
+7 495 721 1218