исследование 3 июня 2026

Как выбрать межсетевой экран нового поколения: чек-лист по производительности и сертификации

Выбор межсетевого экрана нового поколения (NGFW) почти всегда упирается не в бренд и не в красивый паспорт, а в один вопрос: какую производительность устройство держит под вашим боевым набором функций. Цифры из datasheet снимаются на «голом» межсетевом экранировании, а в реальной эксплуатации одновременно включены IPS, контроль приложений на L7 и расшифровка TLS — и пропускная способность падает в разы. **Если коротко:** выбирайте NGFW по производительности под реальным профилем трафика, а не по паспортным мегабитам. Сначала зафиксируйте профиль трафика, затем требования по функциям, отказоустойчивости и комплаенсу (реестр отечественного ПО + сертификат ФСТЭК под ваш класс), и обязательно проведите пилот на копии вашего трафика. Ниже — вес критериев, требования по классам задач, чек-лист и порядок пилота. Сравнить поставщиков по подтверждённым сигналам можно в [рейтинге NGFW](/rating/ngfw-utm-firewalls).

5 мин. чтения Блоки данных: 5 Позиции: не продаются Авторы: Ирина Карпова

Короткий вывод

network edge

Сетевой периметр начинается с инвентаря трафика

Для выбора NGFW важна реальная картина подключений, приложений и потоков: какие сегменты проходят через периметр и где нужна инспекция.

Тематическое фото для исследования: Как выбрать NGFW: чек-лист по производительности и сертификации — Тематическая иллюстрация к исследованию: Как выбрать NGFW: чек-лист по производительности и сертификации. Brett Sayles / Pexels

shortlist

Рейтинги подрядчиков по теме исследования

Если после чтения нужен короткий список исполнителей, начните с профильных рейтингов cyber-index.ru: в них видны компании, кейсы, интервью, категории экспертизы и доверительный индекс.

NGFW, UTM и межсетевые экраны Next-generation firewalls, UTM, классические межсетевые экраны и шлюзы защиты периметра. WAF и API Security Web Application Firewall, защита API, анализ трафика приложений и блокировка атак на веб-сервисы. EPP, EDR, XDR и антивирусная защита Защита рабочих станций и серверов, EPP, EDR, XDR, антивирусная защита, расследование и реагирование на конечных точках. SIEM и log management Сбор, нормализация, хранение и корреляция событий безопасности, SIEM и управление журналами. PAM Privileged Access Management: контроль, изоляция, аудит и ротация привилегированных доступов. DLP Data Loss Prevention: предотвращение утечек данных, контроль каналов передачи и расследование инцидентов.

methodology

Как проверять выводы исследования

Используйте материал как основу для shortlist: сопоставьте выводы с профилями компаний, связанными рейтингами, кейсами, интервью клиентов и источниками. Если в статье есть список источников, начинайте проверку с него; если источников мало, дополнительно запросите у подрядчика методику, baseline и примеры работ.

E-E-A-T

Авторы и проверка материала

У каждого исследования есть персональные авторы, профиль экспертизы, дата публикации, список источников и редакционная проверка выводов.

author Ирина Карпова Редактор методологии и проверки источников

Отвечает за методологию доверительного индекса, проверку источников, редакционные стандарты и риск-сигналы.

9 лет в редакционной аналитике, проверке источников и методологии рейтингов
Специализация: due diligence, репутационные сигналы, проверка данных и editorial QA

Experience

Авторы закреплены по теме исследования и опираются на практические разборы страниц, кейсов, источников и рыночных выборок.

Expertise

В профиле автора указаны зона экспертизы, роль в редакции, регалии и темы, за которые он отвечает.

Authoritativeness

Материалы связаны с методологией cyber-index.ru, внутренними рейтингами, карточками компаний и источниками.

Trust

Позиции не продаются, выводы отделены от рекламы, а проверяемые утверждения поддержаны источниками и датами обновления.

С чего начать: профиль трафика

Любой обоснованный выбор NGFW начинается не с каталога вендоров, а с описания собственного трафика. Без этого профиля сравнивать устройства бессмысленно: одна и та же модель может быть и избыточной для филиала, и недостаточной для ядра сети ЦОД.

Минимальный профиль, который стоит снять до общения с поставщиками:

- **Пиковая полоса.** Не средняя за сутки, а пики в часы нагрузки — именно под них подбирается модель. - **Число одновременных и новых сессий в секунду.** Для веб-нагрузок и API это часто более узкое место, чем мегабиты. - **Доля HTTPS и объём под расшифровкой.** Инспекция TLS — самая «тяжёлая» функция; важно понимать, какую долю трафика вы реально будете расшифровывать. - **Состав приложений и сервисов L7.** Какие протоколы и приложения нужно различать и контролировать. - **Топология и точки установки.** Периметр, сегментация ЦОД, филиальные шлюзы, защищённые каналы между площадками.

Этот профиль становится входом и для подбора модели, и для технического задания на пилот. Главное правило: производительность всегда оценивается с тем набором функций, который будет включён в продуктиве, а не на синтетике.

Вес критериев выбора NGFW (редакционная оценка)

Усреднённая редакционная оценка значимости критериев для типового корпоративного выбора по открытым данным. Это ориентир приоритетов, а не вендорский бенчмарк; веса смещаются под ваш сценарий (КИИ, ЦОД, филиалы).

Производительность под IPS + TLS 95 /100

95 /100

Отказоустойчивость и кластеризация 85 /100

85 /100

Сертификация и наличие в реестре 80 /100

80 /100

Контроль приложений (L7) 75 /100

75 /100

Централизованное управление парком 70 /100

70 /100

Поддержка ГОСТ-VPN 65 /100

65 /100

Классы задач и требования к NGFW

Требования к межсетевому экрану резко различаются в зависимости от того, где он стоит. Таблица ниже — ориентир, как профиль задачи транслируется в требования по полосе, функциям и сертификации. Конкретные значения полосы зависят от вашего трафика, поэтому колонка с полосой даётся как порядок величины, а не как обещание производительности.

Класс задачи	Ориентир по полосе	Ключевые функции	Сертификация / реестр
SMB / малый офис	до ~1 Гбит/с	МЭ, базовый IPS, веб-фильтрация, VPN	Реестр ПО; сертификат ФСТЭК по потребности
Филиальная сеть	~1–10 Гбит/с	МЭ, IPS, контроль приложений L7, централизованное управление	Реестр ПО; сертификат ФСТЭК под политику безопасности
ЦОД / ядро сети	от ~10 Гбит/с и выше	Высокая полоса под IPS+TLS, кластер active/active, сегментация	Реестр ПО; сертификат ФСТЭК под класс защищённости
КИИ / госсектор	по проекту	МЭ + IPS + ГОСТ-VPN, доверенная среда, аудит	Обязателен реестр ПО + сертификат ФСТЭК под класс значимого объекта

Чек-лист выбора NGFW

Снимите профиль трафика: пиковая полоса, число сессий, доля HTTPS под расшифровкой.

Запросите производительность с одновременно включёнными IPS + контролем приложений + TLS-инспекцией, а не паспортные цифры.

Проверьте режимы отказоустойчивости (HA): active/active, active/passive, бесшовные обновления, поведение под отказом.

Оцените централизованное управление парком и ролевую модель доступа для распределённой сети.

Сверьте наличие в реестре отечественного ПО и сертификат ФСТЭК под нужный класс и тип задачи.

Уточните поддержку ГОСТ-VPN, если есть требования к защищённым каналам между площадками.

Проверьте зрелость и частоту обновления сигнатур IPS и баз контроля приложений.

Заложите пилот на копии вашего трафика (2–4 недели) до тендера, а не после.

Оцените совокупную стоимость: лицензии, подписки на сигнатуры, поддержку и обучение.

Сравните вендоров по подтверждённым внедрениям в [рейтинге NGFW](/rating/ngfw-utm-firewalls).

Как провести выбор и пилот: шаги

01 Профилирование трафика
Снимите пиковую полосу, сессии, долю HTTPS и состав приложений L7 — это вход для подбора модели и ТЗ на пилот.
02 Требования и класс задачи
Зафиксируйте, к какому классу относится площадка (SMB / филиал / ЦОД / КИИ), и выведите требования по функциям и сертификации.
03 Комплаенс-фильтр
Отсейте решения, у которых нет нужного статуса в реестре ПО и сертификата ФСТЭК под ваш класс, — это входной барьер, а не плюс.
04 Шорт-лист 2–3 кандидатов
Сравните по позиционированию и подтверждённым внедрениям, отберите тех, кто проходит и по комплаенсу, и по архитектуре.
05 Пилот на копии трафика
2–4 недели с боевым набором функций (IPS + L7 + TLS), замер реальной производительности и отказоустойчивости.
06 Решение и тендер
Сопоставьте результаты пилота, совокупную стоимость и поддержку, зафиксируйте выбор и переходите к закупке.

Следующий шаг

Сформулировали критерии и профиль трафика — переходите к сравнению поставщиков: **[рейтинг NGFW, UTM и межсетевых экранов →](/rating/ngfw-utm-firewalls)**. Полезно прочитать рядом: [российские NGFW в 2026](/research/rossiyskie-ngfw-2026-zamena-fortinet-palo-alto), [NGFW vs UTM](/research/ngfw-vs-utm-raznica-chto-vybrat) и [миграцию с Check Point / Cisco ASA](/research/migraciya-checkpoint-cisco-asa-na-rossiyskiy-ngfw).

Частые вопросы

Какая производительность NGFW реально нужна?

Ориентируйтесь не на паспортную полосу, а на пропускную способность с одновременно включёнными IPS, контролем приложений и расшифровкой TLS — под пиковую нагрузку вашего трафика. Паспортные мегабиты снимаются на «голом» межсетевом экранировании и в продуктиве почти недостижимы, поэтому единственный честный способ узнать цифру — замер на пилоте под ваш профиль.

Что важнее при выборе — сертификат ФСТЭК или производительность?

Это не взаимоисключающие критерии, а два барьера разной природы. Для значимых объектов КИИ и госсектора наличие в реестре отечественного ПО и сертификат ФСТЭК под нужный класс — это входной фильтр: без них решение нельзя рассматривать в принципе. Уже среди прошедших этот фильтр выбор делается по производительности под реальной нагрузкой и отказоустойчивости.

Нужен ли пилот перед покупкой NGFW?

Да, для любой ответственной инсталляции пилот практически обязателен. Только замер на копии вашего трафика с боевым набором функций показывает реальную производительность, зрелость сигнатур и поведение кластера под отказом. Закладывайте 2–4 недели и проводите пилот до тендера, а не после, чтобы требования ТЗ опирались на факты, а не на обещания вендора.

Как проверить статус NGFW в реестре и в сертификатах ФСТЭК?

Используйте первоисточники: наличие продукта в [едином реестре российского ПО](https://reestr.digital.gov.ru/) подтверждает «отечественность», а [государственный реестр сертифицированных СЗИ ФСТЭК](https://reestr.fstec.ru/) — наличие действующего сертификата, его класс и тип. Сверяйте точное название продукта и версию: сертификация часто привязана к конкретной редакции и сроку действия.

Где сравнить конкретных вендоров NGFW между собой?

В рейтинге NGFW, UTM и межсетевых экранов: там поставщики ранжированы по подтверждённым сигналам — внедрениям, кейсам и репутации, а не по рекламе. Статью с критериями стоит читать в связке с рейтингом: здесь — как выбирать, там — сравнение конкретных компаний.

verification

Источники и метод проверки

source Единый реестр российского ПО Минцифры России source Государственный реестр сертифицированных средств защиты информации ФСТЭК России source Федеральный закон № 187-ФЗ «О безопасности КИИ» Официальный интернет-портал правовой информации

Рейтинг NGFW, UTM и межсетевых экранов Сравнить поставщиков по подтверждённым сигналам Российские NGFW в 2026: кто заменил Fortinet и Palo Alto NGFW vs UTM: в чём разница и что выбрать Миграция с Check Point и Cisco ASA на отечественный NGFW