исследование 3 июня 2026

Миграция с Check Point и Cisco ASA на отечественный NGFW: план перехода

Миграция с Check Point и Cisco ASA на отечественный NGFW — это не «замена коробки», а проект из пяти-шести этапов: инвентаризация политик, профилирование реального трафика, пилот на копии нагрузки, перенос и чистка правил, параллельный режим и поэтапное переключение (cutover). Главный приём, который убирает риск простоя, — **параллельная работа старого и нового МЭ**: новый NGFW сначала смотрит трафик в режиме мониторинга, вы сверяете события, и только потом переводите сегменты на него по очереди. **Если коротко:** автоматическая конвертация правил экономит время, но не отменяет ручную проверку — синтаксис объектов, NAT, VPN и порядок правил у Check Point и Cisco ASA устроены иначе, чем у российских вендоров. Закладывайте на проект от нескольких недель (один офис) до нескольких месяцев (распределённая сеть). Сравнить кандидатов по подтверждённым сигналам можно в [рейтинге NGFW](/rating/ngfw-utm-firewalls).

5 мин. чтения Блоки данных: 5 Позиции: не продаются Авторы: Полина Лебедева

Короткий вывод

network edge

Сетевой периметр начинается с инвентаря трафика

Для выбора NGFW важна реальная картина подключений, приложений и потоков: какие сегменты проходят через периметр и где нужна инспекция.

Тематическое фото для исследования: Миграция с Check Point и Cisco ASA на российский NGFW — Тематическая иллюстрация к исследованию: Миграция с Check Point и Cisco ASA на российский NGFW. Brett Sayles / Pexels

shortlist

Рейтинги подрядчиков по теме исследования

Если после чтения нужен короткий список исполнителей, начните с профильных рейтингов cyber-index.ru: в них видны компании, кейсы, интервью, категории экспертизы и доверительный индекс.

NGFW, UTM и межсетевые экраны Next-generation firewalls, UTM, классические межсетевые экраны и шлюзы защиты периметра. WAF и API Security Web Application Firewall, защита API, анализ трафика приложений и блокировка атак на веб-сервисы. EPP, EDR, XDR и антивирусная защита Защита рабочих станций и серверов, EPP, EDR, XDR, антивирусная защита, расследование и реагирование на конечных точках. SIEM и log management Сбор, нормализация, хранение и корреляция событий безопасности, SIEM и управление журналами. PAM Privileged Access Management: контроль, изоляция, аудит и ротация привилегированных доступов. DLP Data Loss Prevention: предотвращение утечек данных, контроль каналов передачи и расследование инцидентов.

methodology

Как проверять выводы исследования

Используйте материал как основу для shortlist: сопоставьте выводы с профилями компаний, связанными рейтингами, кейсами, интервью клиентов и источниками. Если в статье есть список источников, начинайте проверку с него; если источников мало, дополнительно запросите у подрядчика методику, baseline и примеры работ.

E-E-A-T

Авторы и проверка материала

У каждого исследования есть персональные авторы, профиль экспертизы, дата публикации, список источников и редакционная проверка выводов.

author Полина Лебедева Исследователь рынка ИБ-поставщиков

Собирает и сравнивает данные по подрядчикам, услугам, публичным кейсам, ценовым диапазонам и рыночным сегментам.

5 лет в market research, digital-аналитике и конкурентных обзорах
Специализация: ИБ-поставщики, сервисные категории, прайс-анализ и case review

Experience

Авторы закреплены по теме исследования и опираются на практические разборы страниц, кейсов, источников и рыночных выборок.

Expertise

В профиле автора указаны зона экспертизы, роль в редакции, регалии и темы, за которые он отвечает.

Authoritativeness

Материалы связаны с методологией cyber-index.ru, внутренними рейтингами, карточками компаний и источниками.

Trust

Позиции не продаются, выводы отделены от рекламы, а проверяемые утверждения поддержаны источниками и датами обновления.

Почему откладывать миграцию рискованно

Check Point и Cisco свернули штатные поставки и поддержку в России. На практике это означает, что новые сигнатуры IPS и базы контроля приложений не обновляются, инциденты не закрываются вендорской поддержкой, а продление лицензий и сервисных контрактов в обычном режиме недоступно. Старое оборудование продолжает фильтровать трафик, но постепенно «слепнет» к новым угрозам и остаётся без официальных исправлений уязвимостей.

К технической деградации добавляется регуляторное давление. Для значимых объектов критической информационной инфраструктуры (КИИ) и госсектора переход на доверенные отечественные средства защиты — требование, а не пожелание: рамку задают 187-ФЗ и приказы ФСТЭК, а ограничения на иностранное ПО на значимых объектах прямо подталкивают к замене. «Серые» схемы продления подписок Check Point или сервисов Cisco несут одновременно юридические и операционные риски.

Отдельный нюанс — окно миграции сужается само по себе. Чем дольше работает необновляемый МЭ, тем больше в его конфигурации накапливается недокументированных правил и «костылей», тем сложнее потом инвентаризация. Поэтому разумнее начинать проект управляемо, пока есть запас по времени, а не в авральном режиме после инцидента или предписания.

Что именно переносится с Check Point и Cisco ASA

Конфигурация межсетевого экрана — это не один список правил, а несколько связанных сущностей. У Check Point (объекты, базы правил, политики в SmartConsole) и Cisco ASA (объекты, access-list, NAT, crypto map в CLI) они описаны по-разному, и каждая сущность переносится со своими нюансами. Ниже — карта того, что предстоит перенести, и где обычно возникают расхождения.

Что переносим	Check Point	Cisco ASA	Нюанс переноса на российский NGFW
Сетевые объекты и группы	Network/Host/Group objects	object / object-group	Дедупликация и единый нейминг; разный синтаксис диапазонов и подсетей
Правила фильтрации	Rule Base, секции	access-list, ACL на интерфейсах	Важен порядок правил и логика «первое совпадение»; теневые правила не переносить
NAT	NAT-политика (auto/manual)	object NAT и twice NAT	Разделение source/destination NAT; проверка hairpin и порядка трансляций
VPN-туннели (site-to-site)	VPN Communities, шлюзы	crypto map, IKE/IPsec	Перенос параметров фаз IKE; согласование с удалённой стороной по новым настройкам
Удалённый доступ (remote access)	Mobile Access / клиент	AnyConnect / IPsec	Часто требует смены клиента и схемы аутентификации под новый вендор
Маршрутизация	статика, динамика на шлюзе	static route, OSPF/BGP	Сверка таблиц маршрутов и поведения при отказе; роль МЭ в маршрутизации
Идентификация и доступ	Identity Awareness, AD	AAA, RADIUS/TACACS+	Перепривязка к каталогам и ролевой модели нового NGFW
Логирование и интеграции	SmartEvent, экспорт	syslog, NetFlow	Перенаправление в SIEM, сверка форматов и полнота событий

План миграции: 6–7 шагов

01 Инвентаризация конфигурации
Выгрузите с Check Point и Cisco ASA все объекты, базы правил, NAT, VPN-туннели и маршруты. Зафиксируйте, какие правила реально используются, а какие — мёртвые или теневые.
02 Профилирование трафика
Снимите реальную нагрузку: пиковую полосу, число одновременных сессий, долю HTTPS под расшифровкой, требования к L7. Это вход для подбора модели NGFW по производительности.
03 Шорт-лист и пилот
Возьмите 2–3 кандидата из реестра, разверните пилот на копии трафика и замерьте производительность с боевым набором функций (IPS + контроль приложений + TLS-инспекция), а не по паспорту.
04 Перенос и чистка политик
Сконвертируйте правила (автоматически, где возможно), затем вручную выверьте порядок, объекты, NAT и VPN. Удалите устаревшие, избыточные и теневые разрешения — миграция это хороший момент для «уборки».
05 Параллельный режим
Включите новый NGFW в мониторинге или на части трафика рядом со старым МЭ. Сверяйте события, ловите расхождения в логике правил, обкатывайте отказоустойчивость и кластер.
06 Поэтапный cutover
Переключайте сегменты по очереди, начиная с менее критичных. Держите окно отката, контролируйте инциденты и доступность сервисов после каждого шага.
07 Вывод старого оборудования
Убедившись в стабильности, выведите Check Point и Cisco ASA из эксплуатации, обновите документацию и регламенты, закройте сервисные процессы.

Где чаще всего теряется время в миграции на NGFW

Редакционная оценка распределения трудозатрат по этапам типового проекта миграции (а не замер по конкретному внедрению). Реальные доли зависят от размера сети и качества исходной конфигурации.

Инвентаризация и аудит конфигурации 25 % от длительности

25 % от длительности

Чистка теневых и избыточных правил 20 % от длительности

20 % от длительности

Пилот и замер производительности 20 % от длительности

20 % от длительности

Перенос NAT и VPN-туннелей 15 % от длительности

15 % от длительности

Параллельный режим и сверка событий 12 % от длительности

12 % от длительности

Сам cutover (переключение) 8 % от длительности

8 % от длительности

Чек-лист готовности к переключению

Полная выгрузка конфигурации Check Point и Cisco ASA сделана, мёртвые и теневые правила помечены.

Снят профиль трафика: полоса, сессии, доля HTTPS под расшифровкой, требования к L7.

Проведён пилот на копии трафика с замером производительности под боевым набором функций.

Правила, NAT и VPN-туннели перенесены и вручную сверены; порядок правил проверен.

Согласованы параметры site-to-site VPN с удалёнными сторонами под новые настройки.

Проверена отказоустойчивость: режимы кластера, бесшовные обновления, тест отказа.

Настроены логирование и интеграция с SIEM, форматы событий сверены.

Подтверждены статус в реестре отечественного ПО и сертификат ФСТЭК под вашу задачу.

Определены окно cutover, план отката и ответственные; согласованы простои сервисов.

Кандидаты сопоставлены по подтверждённым внедрениям в [рейтинге NGFW](/rating/ngfw-utm-firewalls).

Следующий шаг

Спланировали этапы — выбирайте, на что мигрировать: **[рейтинг NGFW, UTM и межсетевых экранов →](/rating/ngfw-utm-firewalls)** - поставщики ранжированы по подтверждённым сигналам, а не по рекламе. Полезно прочитать рядом: [российские NGFW в 2026](/research/rossiyskie-ngfw-2026-zamena-fortinet-palo-alto), [как выбрать NGFW](/research/kak-vybrat-ngfw-cheklist) и [NGFW vs UTM](/research/ngfw-vs-utm-raznica-chto-vybrat).

Частые вопросы

Можно ли автоматически сконвертировать правила Check Point и Cisco ASA?

Частично. Объекты и базовые правила фильтрации обычно переносятся утилитами импорта или скриптами, и это экономит много времени. Но автоконвертация не снимает ручной проверки: порядок правил, логика «первого совпадения», NAT, VPN и привязка к каталогам у западных и российских вендоров устроены по-разному. Рассматривайте конвертер как черновик, который человек обязательно выверяет на пилоте.

Сколько длится миграция на отечественный NGFW?

От нескольких недель для одного офиса до нескольких месяцев для распределённой сети с филиалами и множеством VPN-туннелей. Основное время уходит не на сам cutover, а на инвентаризацию, чистку правил и пилот. Чем аккуратнее велась исходная конфигурация, тем быстрее проект.

Как избежать простоя при переключении?

Ключ — параллельный режим и поэтапный cutover. Новый NGFW сначала работает рядом со старым МЭ в мониторинге или на части трафика, вы сверяете события и убеждаетесь, что правила ведут себя одинаково. Затем переключаете сегменты по очереди, начиная с некритичных, и на каждом шаге держите готовое окно отката. Так переход не превращается в одномоментный риск.

Что с ГОСТ-VPN при переходе с Check Point и Cisco ASA?

Если у вас есть требования к защищённым каналам по ГОСТ, это отдельная задача миграции: западные VPN на западной криптографии напрямую не переносятся. Здесь сильны российские решения с сертифицированной криптографией — но конкретные параметры туннелей нужно согласовывать с удалёнными сторонами и сверять сертификат под вашу задачу в реестре ФСТЭК.

С чего начать, если конфигурация старая и недокументированная?

С инвентаризации и аудита. Выгрузите все правила, объекты и NAT, отделите реально работающие от теневых и мёртвых, восстановите карту VPN-туннелей и маршрутов. Миграция — естественный повод навести порядок: переносить стоит выверенную политику, а не копировать накопленный за годы «технический долг».

verification

Источники и метод проверки

source Единый реестр российского ПО Минцифры России source Государственный реестр сертифицированных средств защиты информации ФСТЭК России source Федеральный закон № 187-ФЗ «О безопасности КИИ» Официальный интернет-портал правовой информации

Рейтинг NGFW, UTM и межсетевых экранов Сравнить поставщиков по подтверждённым сигналам Российские NGFW в 2026: кто заменил Fortinet и Palo Alto Как выбрать NGFW: чек-лист по производительности и сертификации NGFW vs UTM: в чём разница и что выбрать