исследование 3 июня 2026

Российские NGFW в 2026: кто реально заменил Fortinet и Palo Alto

После 2022 года Fortinet, Palo Alto Networks, Check Point и Cisco свернули поставки и поддержку в России — и рынок межсетевых экранов нового поколения (NGFW) фактически пересобрался на отечественных продуктах. К 2026 году несколько российских NGFW вышли на уровень корпоративной зрелости, но различаются по производительности, функциям L7, отказоустойчивости и статусу сертификации. **Если коротко:** для большинства задач замена западному NGFW уже есть. Выбор зависит не от «бренда», а от пропускной способности под вашим профилем трафика, набора функций (IPS, контроль приложений, расшифровка TLS), требований регуляторов и сценария внедрения. Ниже — кто представлен на рынке, по каким критериям сравнивать и как спланировать переход без простоя. Сравнить поставщиков по подтверждённым сигналам можно в [рейтинге NGFW](/rating/ngfw-utm-firewalls).

6 мин. чтения Блоки данных: 6 Позиции: не продаются Авторы: Ирина Карпова

Короткий вывод

network edge

Сетевой периметр начинается с инвентаря трафика

Для выбора NGFW важна не только марка устройства, а реальная картина подключений, приложений и потоков: какие сегменты проходят через периметр, где нужна инспекция L7, TLS-расшифровка, IPS и отказоустойчивость.

Патч-панель и сетевые кабели в дата-центре — Сетевые подключения в дата-центре: визуальная метафора миграции NGFW. Brett Sayles / Pexels

shortlist

Рейтинги подрядчиков по теме исследования

Если после чтения нужен короткий список исполнителей, начните с профильных рейтингов cyber-index.ru: в них видны компании, кейсы, интервью, категории экспертизы и доверительный индекс.

NGFW, UTM и межсетевые экраны Next-generation firewalls, UTM, классические межсетевые экраны и шлюзы защиты периметра. WAF и API Security Web Application Firewall, защита API, анализ трафика приложений и блокировка атак на веб-сервисы. EPP, EDR, XDR и антивирусная защита Защита рабочих станций и серверов, EPP, EDR, XDR, антивирусная защита, расследование и реагирование на конечных точках. SIEM и log management Сбор, нормализация, хранение и корреляция событий безопасности, SIEM и управление журналами. PAM Privileged Access Management: контроль, изоляция, аудит и ротация привилегированных доступов. DLP Data Loss Prevention: предотвращение утечек данных, контроль каналов передачи и расследование инцидентов.

methodology

Как проверять выводы исследования

Используйте материал как основу для shortlist: сопоставьте выводы с профилями компаний, связанными рейтингами, кейсами, интервью клиентов и источниками. Если в статье есть список источников, начинайте проверку с него; если источников мало, дополнительно запросите у подрядчика методику, baseline и примеры работ.

E-E-A-T

Авторы и проверка материала

У каждого исследования есть персональные авторы, профиль экспертизы, дата публикации, список источников и редакционная проверка выводов.

author Ирина Карпова Редактор методологии и проверки источников

Отвечает за методологию доверительного индекса, проверку источников, редакционные стандарты и риск-сигналы.

9 лет в редакционной аналитике, проверке источников и методологии рейтингов
Специализация: due diligence, репутационные сигналы, проверка данных и editorial QA

Experience

Авторы закреплены по теме исследования и опираются на практические разборы страниц, кейсов, источников и рыночных выборок.

Expertise

В профиле автора указаны зона экспертизы, роль в редакции, регалии и темы, за которые он отвечает.

Authoritativeness

Материалы связаны с методологией cyber-index.ru, внутренними рейтингами, карточками компаний и источниками.

Trust

Позиции не продаются, выводы отделены от рекламы, а проверяемые утверждения поддержаны источниками и датами обновления.

Почему рынок NGFW в России изменился

Уход западных вендоров совпал с ужесточением регуляторики. Для значимых объектов критической информационной инфраструктуры (КИИ) и госсектора переход на доверенные отечественные средства защиты стал не пожеланием, а требованием: 187-ФЗ и приказы ФСТЭК задают рамку, а ограничения на иностранное ПО на значимых объектах ускорили миграцию.

Практический итог для бизнеса: продлевать подписки на FortiGate, Palo Alto или Check Point в штатном режиме больше нельзя, обновления сигнатур и техподдержка недоступны, а «серые» схемы продления несут и юридические, и операционные риски. Поэтому вопрос звучит уже не «мигрировать ли», а «на что и как мигрировать».

Рынок NGFW в России: коротко в цифрах

Ушли с рынка 4

Fortinet, Palo Alto, Check Point, Cisco — поставки и поддержка свёрнуты

Зрелых российских NGFW 6+

UserGate, Континент 4, PT NGFW, Solar NGFW, Ideco, ViPNet и др.

Для КИИ и госсектора доверенные СЗИ

Переход требуют 187-ФЗ и приказы ФСТЭК

Типичный пилот 2–4 нед.

Замер производительности под боевым трафиком

Кто представлен на российском рынке NGFW

Ниже — ориентир по основным игрокам. Это не рейтинг: места, баллы и подтверждённые сигналы смотрите в [рейтинге категории](/rating/ngfw-utm-firewalls). Цель таблицы — показать, чем продукты различаются по позиционированию и под какие сценарии заходят чаще всего.

Решение	Вендор	Позиционирование	Чаще всего подходит для
UserGate NGFW	UserGate	Зрелый NGFW + экосистема (SIEM, EDR)	Средний и крупный бизнес, филиальные сети
Континент 4	Код Безопасности	NGFW с сильной криптографией и сертификацией	Госсектор, КИИ, ГОСТ-каналы
PT NGFW	Positive Technologies	Высокопроизводительный NGFW для ЦОД	Enterprise, высокие нагрузки
Solar NGFW	Ростелеком-Солар	NGFW в составе портфеля управляемых услуг	Компании, идущие в сторону MSSP/SOC
Ideco NGFW/UTM	Ideco	Простой в эксплуатации UTM/NGFW	SMB и средний бизнес
ViPNet xFirewall	ИнфоТеКС	МЭ с акцентом на защищённые каналы	Сети с требованиями к ГОСТ-VPN

Чем российский NGFW отличается от западного на практике

Функционально ведущие отечественные NGFW закрывают тот же контур, что и FortiGate или Palo Alto: межсетевое экранирование, система предотвращения вторжений (IPS), контроль приложений на L7, веб-фильтрация, расшифровка и инспекция TLS, VPN. Разница — в деталях, которые и определяют успех миграции:

- **Производительность под реальным профилем.** Паспортная пропускная способность и цифры под включёнными IPS + расшифровкой TLS — это разные значения. Требуйте замеры под трафик, похожий на ваш. - **Зрелость L7 и сигнатур.** Глубина контроля приложений и качество/частота обновления сигнатур у отечественных вендоров догоняют западные, но проверяются на пилоте. - **Отказоустойчивость.** Кластеризация (active/active, active/passive), бесшовное обновление, поведение под отказом — критично для ЦОД и ДБО. - **Управление парком.** Централизованная консоль на сотни устройств в филиалах — частое узкое место; проверяйте отдельно. - **Криптография по ГОСТ.** Если нужны защищённые каналы по требованиям регулятора — это сильная сторона ряда российских решений и слабая у западных.

Зрелость класса российских NGFW по функциям

Усреднённая редакционная оценка готовности класса по открытым данным. Это не вендорский бенчмарк и не заменяет пилот на вашем трафике.

Межсетевое экранирование 95 /100

95 /100

ГОСТ-VPN и криптография 95 /100

95 /100

IPS / предотвращение вторжений 85 /100

85 /100

Отказоустойчивость и кластеризация 80 /100

80 /100

Контроль приложений (L7) 80 /100

80 /100

Расшифровка и инспекция TLS 75 /100

75 /100

Централизованное управление парком 70 /100

70 /100

Чек-лист выбора NGFW под замену

Зафиксируйте профиль трафика: пиковая полоса, число сессий, доля HTTPS под расшифровкой.

Запросите производительность с включёнными IPS + контролем приложений + TLS-инспекцией.

Проверьте статус в реестре отечественного ПО и сертификат ФСТЭК (класс, тип) под вашу задачу.

Оцените отказоустойчивость: режимы кластера, бесшовные обновления, тесты отказа.

Проверьте централизованное управление парком и ролевую модель доступа.

Уточните поддержку ГОСТ-VPN, если есть требования к защищённым каналам.

Заложите пилот на вашем трафике (2–4 недели) до тендера, а не после.

Сравните вендоров по подтверждённым внедрениям в [рейтинге NGFW](/rating/ngfw-utm-firewalls).

План миграции с западного NGFW: 6 шагов

01 Инвентаризация
Выгрузите текущие политики, объекты, VPN-туннели и правила NAT с FortiGate / Palo Alto / Check Point.
02 Профилирование трафика
Снимите реальную нагрузку и требования к L7 — это вход для подбора модели.
03 Шорт-лист и пилот
2–3 кандидата, пилот на копии трафика, замер производительности с боевым набором функций.
04 Перенос политик
Конвертация правил, чистка устаревших, проверка теневых и избыточных разрешений.
05 Параллельный режим
Внедрение в режиме мониторинга/частичного трафика, сверка событий, обкатка отказоустойчивости.
06 Переключение и вывод
Поэтапный cutover по сегментам, контроль инцидентов, вывод западного железа из эксплуатации.

Как мы оцениваем поставщиков

cyber-index.ru не продаёт места в рейтинге. Поставщики сравниваются по проверяемым сигналам: подтверждённые внедрения и кейсы, отзывы и интервью клиентов, внешняя репутация, специализация, прозрачность и свежесть данных. Поэтому статью стоит читать в связке с [рейтингом NGFW](/rating/ngfw-utm-firewalls): здесь — рынок и критерии, там — сравнение конкретных компаний по подтверждённым фактам.

Следующий шаг

Определились с критериями — переходите к сравнению поставщиков: **[рейтинг NGFW, UTM и межсетевых экранов →](/rating/ngfw-utm-firewalls)**. Полезно прочитать рядом: [NGFW vs UTM](/research/ngfw-vs-utm-raznica-chto-vybrat), [чек-лист выбора NGFW](/research/kak-vybrat-ngfw-cheklist) и [план миграции с Check Point / Cisco ASA](/research/migraciya-checkpoint-cisco-asa-na-rossiyskiy-ngfw).

Частые вопросы

Можно ли просто продлить подписку на Fortinet или Palo Alto в России?

В штатном режиме — нет: вендоры свернули поддержку и обновления, а обходные схемы несут юридические и операционные риски. Для КИИ и госсектора это к тому же противоречит требованиям к доверенным средствам защиты.

Российский NGFW реально заменяет FortiGate по функциям?

Для большинства корпоративных сценариев — да: межсетевой экран, IPS, контроль приложений, веб-фильтрация, TLS-инспекция и VPN присутствуют у ведущих вендоров. Расхождения проверяются на пилоте под ваш трафик.

Что важнее при выборе — сертификат ФСТЭК или производительность?

Оба фактора, но в разном порядке для разных задач. Для значимых объектов КИИ сертификация и наличие в реестре — входной барьер; дальше решает производительность под реальной нагрузкой и отказоустойчивость.

Сколько занимает миграция?

От нескольких недель для одного офиса до нескольких месяцев для распределённой сети. Критичен пилот и параллельный режим — они убирают риск простоя при переключении.

Где сравнить конкретных вендоров между собой?

В рейтинге NGFW, UTM и межсетевых экранов — там компании ранжированы по подтверждённым сигналам, а не по рекламе.

verification

Источники и метод проверки

source Единый реестр российского ПО Минцифры России source Государственный реестр сертифицированных средств защиты информации ФСТЭК России source Федеральный закон № 187-ФЗ «О безопасности КИИ» Официальный интернет-портал правовой информации

Рейтинг NGFW, UTM и межсетевых экранов Сравнить поставщиков по подтверждённым сигналам NGFW vs UTM: в чём разница и что выбрать Как выбрать NGFW: чек-лист по производительности и сертификации Миграция с Check Point и Cisco ASA на отечественный NGFW