Для малого бизнеса
+7 (499) 673-37-62

25.12.2025

SWG и NGFW: двойная защита корпоративных сетей

SWG и NGFW: двойная защита корпоративных сетей

Узнайте больше о Solar WebProxy

Сегодня NGFW стал стандартом для защиты периметра: он фильтрует трафик на границе сети, блокирует сетевые атаки и управляет доступом. Параллельно веб-трафик и облачные сервисы превратились в основной рабочий инструмент сотрудников — и один из ключевых каналов атак. Здесь в игру вступает SWG: он берет на себя детальный контроль веб-доступа и анализ контента. Вместе SWG и NGFW закрывают разные уровни защиты и усиливают друг друга. Разбираемся, почему они эффективнее работают в тандеме, как распределяются их роли и какую выгоду получает бизнес.

Что такое SWG (Secure Web Gateway)

Secure Web Gateway (SWG) — это специализированный шлюз веб-безопасности, через который проходит веб-трафик сотрудников: сайты, облачные сервисы, веб-почта, мессенджеры и приложения, работающие поверх HTTP(S), FTP over HTTP и SOCKS5. Его задача — превратить выход в интернет из «черного ящика» в прозрачный и управляемый процесс: кто, куда и какие данные отправляет под полным контролем системы.

Основные возможности SWG на примере Solar webProxy:

  • Глубокое понимание веб-трафика. SWG анализирует не только адреса сайтов, но и сами запросы и ответы: URL, заголовки, параметры форм, файлы во вложениях. Технология DPI на уровне L7 позволяет видеть, через какие приложения и протоколы сотрудники выходят в интернет (YouTube, Telegram, облачные диски, удаленные доступы и т. д.), даже если трафик зашифрован.
  • SSL-инспекция и защита от скрытых угроз. SWG расшифровывает HTTPS-трафик (TLS 1.2/1.3), проверяет его на фишинг, вредоносные сайты, C2-каналы и подозрительные вложения, а затем шифрует заново. За счет фильтрации по MIME-типам, magic bytes и подключаемым антивирусам через ICAP снижается риск занести вредоносный код с помощью обычного веб-запроса или «безобидной» ссылки.
  • Категоризация и TI-фиды вместо ручных списков. SWG использует базы категоризации и фиды угроз. В Solar webProxy это модуль webCat с ~30 млн ресурсов и 70+ категориями плюс TI-фиды Solar 4RAYS с актуальными индикаторами компрометации (фишинговые домены, C2-серверы, анонимайзеры, вредоносные пакеты и др.). Это позволяет автоматически закрывать доступ к опасным и нежелательным веб-ресурсам и не тратить время ИБ-команды на рутину.
  • Управление доступом и поведением пользователей. Политики задаются по ролям, отделам и отдельным сотрудникам с учетом аутентификации (NTLM, Kerberos, Basic, интеграция с AD и аналогами). Можно гибко настроить, кому доступны соцсети, мессенджеры, файлообменники и облака, а кому — только ограниченный пул деловых ресурсов. Разделы «Досье» и «Статистика» в Solar webProxy дают 360-градусный обзор онлайн-поведения: какие сайты посещал человек, сколько трафика потреблял, какие типы данных передавал.
  • Предотвращение утечек через веб-каналы. SWG контролирует исходящий веб-трафик: блокирует выгрузку файлов по типу, размеру или цифровому отпечатку (MD5-хешу), ограничивает доступ к облачным хранилищам, веб-почте и мессенджерам, фиксирует и при необходимости архивирует передаваемые данные для расследований. В режиме Reverse Proxy Solar webProxy дополнительно защищает публикацию внутренних систем (OWA, SharePoint, Jira и др.) во внешний интернет, контролируя выгрузку конфиденциальных документов.
  • Масштабирование и работа в филиалах. За счет модульной архитектуры и MultiProxy SWG масштабируется вместе с бизнесом: политики централизованно задаются в головном офисе и автоматически применяются в филиалах.

Иными словами, SWG — это отдельный уровень безопасности, который отвечает за все, что происходит с веб-трафиком: от мгновенной блокировки вредоносных ресурсов до детальной аналитики поведения пользователей и контроля утечек данных.

Что такое NGFW (Next Generation Firewall)

Next Generation Firewall (NGFW) — это система, которая контролирует все входящие и исходящие соединения в корпоративной сети и защищает бизнес от кибератак. Проще говоря, это «умный фильтр», который стоит на границе компании и интернета и решает, какой трафик безопасен, а какой нужно заблокировать.

ngfw помогает бизнесу

NGFW помогает бизнесу:

  • Останавливать атаки до того, как они навредят. Встроенная система предотвращения вторжений (IPS) распознает попытки взлома, вирусы и подозрительные действия и блокирует их еще до проникновения в сеть.
  • Следить за тем, что происходит внутри сети. NGFW понимает, какие приложения используют сотрудники и какие данные передаются — это снижает риск утечек и несанкционированного доступа.
  • Сохранять стабильную работу инфраструктуры. Умное управление соединениями предотвращает перегрузки и сбои.
  • Повышать прозрачность и управляемость. Все действия пользователей фиксируются, а отчеты помогают быстро реагировать на инциденты и проверять соблюдение политик безопасности.

С учетом курса на импортозамещение NGFW особое значение приобретают отечественные решения, которые сочетают высокую производительность с соответствием требованиям регуляторов.

Как SWG и NGFW работают вместе

Solar webProxy устанавливается внутри корпоративного периметра, за межсетевым экраном (NGFW). Это позволяет выстроить надежную и понятную систему защиты, где каждый уровень отвечает за свою часть трафика. Трафик проходит оба уровня последовательно. NGFW на периметре отсеивает явно вредоносные или аномальные соединения (сканы, попытки эксплуатации уязвимостей, трафик по запрещенным протоколам), а SWG уже внутри организации разбирает оставшийся HTTP(S)/SOCKS5-трафик «по косточкам»: категории сайтов, URL и параметры, типы файлов и содержимое.

как swg и ngfw работают вместе

Если пользователь переходит по подозрительной ссылке, NGFW может разрешить соединение как технически корректное, но SWG заблокирует доступ к ресурсу по категории, индикаторам компрометации или содержимому страницы. В сценариях атаки на опубликованный сервис основную работу делает NGFW: IPS и L3/L4-фильтрация на периметре отсекают вредоносный трафик до приложений, тогда как SWG в этом процессе чаще всего не участвует. За счет такого разделения ролей одна и та же сессия проверяется на нескольких уровнях без дублирования функций, а риск пропустить атаку или утечку через веб заметно снижается.

Почему SWG и NGFW эффективнее работают вместе

Совместное использование решений дает компаниям ряд ключевых преимуществ:

  • Эффективность за счет специализации. NGFW защищает от сетевых угроз и и периметр, а SWG глубоко и детально контролирует веб-трафик пользователей: запросы, ответы и содержащийся в них контент. Каждое решение выполняет задачу, в которой оно сильнее всего.
  • Снижение нагрузки на NGFW и продление срока службы. SWG берет на себя ресурсоемкие задачи анализа веб-трафика и SSL-инспекции, снимая их с NGFW. Освободившиеся ресурсы NGFW можно направить на критичные сетевые функции — межсетевой экран, IPS, VPN, маршрутизацию — без необходимости преждевременно менять «железо» на более мощное.
  • Снижение затрат. Задачу фильтрации трафика пользователей при выходе в интернет дешевле решать за счет SWG. При росте числа пользователей и объемов трафика масштабировать SWG-решение (виртуальные инстансы, облако) обычно выгоднее, чем увеличивать производительность NGFW за счет замены аппаратной платформы.
  • Масштабируемость и отказоустойчивость. SWG быстро масштабируется за счет виртуализации или облачной инфраструктуры. Встроенный балансировщик позволяет выстраивать отказоустойчивый кластер фильтрации и подключать дополнительные узлы по мере роста нагрузки, не ограничиваясь предельным числом фильтрующих серверов.

Такой подход опирается на лучшие практики многослойной кибербезопасности и может быть использован как часть комплекса мер по выполнению требований российских регуляторов к сегментации сетей, контролю сетевого взаимодействия и доступа в интернет, а также регистрации событий безопасности. Связка SWG и NGFW усиливает защиту и помогает сделать ее более предсказуемой, масштабируемой и экономически оправданной, минимизируя дублирование функций и снижая риск избыточных затрат.

Что будет, если в инфраструктуре нет SWG

Если в инфраструктуре нет специализированного SWG и весь выход в интернет «закрывается» только NGFW, компания по сути имеет один мощный универсальный инструмент вместо встроенного механизма комплексной защиты веб-канала. NGFW проектируется как платформа периметровой безопасности: межсетевой экран L2–L7, NAT, IPS, контроль приложений, SSL-инспекция, VPN и другое. Его основная задача — защищать периметр от сетевых атак, вредоносного трафика и веб-угроз в целом.

SWG (на примере Solar webProxy) изначально создавался именно под риски, связанные с использованием веб-ресурсов: весь HTTP(S)/FTP over HTTP/SOCKS5-трафик прогоняется через прокси, анализируется на уровне приложений (DPI L7) по содержимому запросов и ответов, по типам данных, ключевым словам, атрибутам файлов с возможностью архивировать выбранный трафик и строить подробные статистические профили пользователей. Плюс есть специфичные для SWG вещи: работа с SOCKS5 (включая приложения и клиенты, которые идут не через браузер), интеграция с базами категорий webCat/Blue Coat/SkyDNS, блокировка рекламы по базе adBlock, антивирусная проверка передаваемых файлов, полноценная статистика и отчеты по веб-активности.

Что это означает для компаний в сценарии «есть только NGFW, нет SWG»?

  1. Часть утечек и теневого трафика остается в серой зоне.
    NGFW способен фильтровать веб-трафик и даже анализировать содержимое, но он сфокусирован на периметре и не покрывает весь спектр пользовательского веб-поведения: приложения и клиенты, работающие поверх SOCKS5, нестандартные сценарии доступа, сложные цепочки «приложение → прокси → облачный сервис». SWG встраивается именно в пользовательский веб-канал, умеет разбирать HTTP/HTTPS и SOCKS5, вскрывать и анализировать зашифрованный трафик, блокировать загрузку файлов, фильтровать запросы/ответы по содержимому и типам данных. Без этого вы вынуждены упрощать политику («разрешить/запретить сайт/категорию»), оставляя большую часть реальных утечек — выгрузки отчетов, договоров, персональных данных через браузер и десктоп-клиенты — менее контролируемой.
  2. Меньше управляемости и прозрачности по пользователям.
    И NGFW, и SWG умеют строить политики доступа к веб-ресурсам и анализировать данные, но SWG превращает веб-канал в отдельный управляемый контур: есть рабочий стол мониторинга, сфокусированный именно на активности пользователей на узлах фильтрации, раздел «Досье» с данными по персонам и их веб-действиям, а также подсистема статистики и отчетности по критериям «кто, куда, когда, сколько данных передал». Если этого нет, вся аналитика по вебу растворяется внутри периметра: политики, журналы, IPS-события, NAT, VPN — все будет сконцентрировано в одной точке. И тогда ИБ-офицер вряд ли быстро ответит на практический вопрос: «Что делал конкретный сотрудник в интернете за последние N дней и как это связано с инцидентом?»
  3. Периметр перегружен задачами, возрастают риски ошибок и простоев.
    Когда один NGFW отвечает одновременно и за сетевую безопасность (L2–L7 firewall, IPS, NAT, сегментацию), и за детальный контроль пользовательского веб-трафика, и за публикацию ресурсов, он становится критичной точкой концентрации, а также отказа в работе сложных политик. Любое изменение в доступе к SaaS, облакам, соцсетям, файловым шейрам через веб требует правки периметровой политики. Это повышает стоимость сопровождения, увеличивает риск «выстрелить себе в ногу» и негативно повлиять на бизнес-сервисы. SWG, вынесенный в отдельный контур, позволяет управлять интернет-доступом пользователей и веб-рисками независимо от low-level-настроек межсетевого экрана, не затрагивая NAT, маршрутизацию и IPS-правила.
  4. Сложнее обеспечить единый уровень контроля для офисов, филиалов и удаленных площадок.
    В архитектуре с Solar webProxy эту задачу решает модуль Solar MultiProxy: в центре управления задается централизованная политика фильтрации, которая распространяется на территориально распределенные инсталляции Solar webProxy. Финальная политика на каждом узле строится как сумма централизованной политики и локальных правил, при этом редактировать «скелет» централизованной политики на местах нельзя, а ее актуальность и применение контролируются. В модели «только NGFW» при каждом собственном выходе в интернет филиал фактически требует отдельного NGFW-узла со своей лицензией и сопровождением. Масштабирование за счет тиражирования NGFW в офисы быстро превращается в дорогой и тяжело управляемый проект. В архитектуре с Solar webProxy и модулем MultiProxy веб-контроль масштабируется быстрее и дешевле. В результате компания получает единый, предсказуемый уровень контроля веб-трафика во всех точках присутствия.

Производительность при совместном использовании

Отдельный SWG также помогает избежать узких мест при высоких нагрузках. Когда весь объем SSL-расшифровки и прикладного анализа веб-трафика выполняется только NGFW, эти операции становятся одними из самых ресурсоемких: шифрование/расшифровка, DPI на уровне приложений, работа IPS и контентной фильтрации одновременно. Для любой NGFW-платформы это приводит к снижению фактической пропускной способности и увеличению задержек по сравнению с паспортными «максимальными» значениями в режиме без инспекции. Поэтому на практике компании часто вынуждены либо ограничивать зону SSL-инспекции (делать исключения для части трафика), либо мириться с падением скорости.

совместное использовании NGFW и SWG

При совместном использовании NGFW и SWG класса Solar webProxy «тяжелые» операции именно с веб-трафиком (вскрытие HTTPS, DPI, контентная фильтрация HTTP/HTTPS/FTP over HTTP и SOCKS5) выносятся на прокси, который для этого и спроектирован. NGFW остается сконцентрироваться на задачах периметра — межсетевом экранировании, IPS, NAT, сегментации сетей, — о чем свидетельствуют его заявленные характеристики, в то время как Solar webProxy берет на себя большую часть ресурсоемкой обработки веб-канала.

Вместе SWG и NGFW формируют баланс между безопасностью, скоростью и управляемостью сети.

Необходимые возможности для современного SWG

Современный шлюз веб-безопасности должен обеспечивать не только фильтрацию трафика, но и гибкость управления, интеграцию с другими системами, высокую и предсказуемую производительность. При выборе SWG стоит обратить внимание на следующие возможности:

  • Эффективная HTTPS-инспекция с гибкими исключениями. Система должна уметь безопасно расшифровывать и проверять зашифрованный трафик и при этом позволять тонко настраивать исключения: для отдельных пользователей, бизнес-критичных приложений и ресурсов, которые обнаруживают подмену сертификата. Это помогает сохранить баланс между глубиной контроля и комфортом пользователей.
  • Категоризация контента и использование TI-фидов. SWG должен иметь встроенный категоризатор веб-ресурсов и уметь использовать TI-фиды с индикаторами вредоносной активности (IP, домены, URL). Это позволяет автоматически блокировать доступ к подозрительным и заведомо опасным ресурсам, не полагаясь только на созданные вручную списки. В Solar webProxy это реализовано через категоризатор webCat и модуль Solar TI Feeds.
  • Поддержка DPI. Глубокая проверка пакетов на уровне L7 нужна, чтобы шлюз умел отличать в трафике не только сайты, но и сами приложения и сервисы: облачные хранилища, мессенджеры, файлообменники, VPN-клиенты, игры и т. п., в том числе работающие поверх HTTP(S) и SOCKS5. Это позволяет строить политику не только по адресам и категориям, но и по типу приложения: например, разрешить корпоративные облака и заблокировать неутвержденные VPN-сервисы или отдельные мессенджеры.
  • Гибкая архитектура и интеграция. Современный SWG должен поддерживать SOCKS5, WebSocket, режим Reverse-proxy и ICAP-взаимодействие с антивирусами и DLP-системами.
  • Централизованное управление филиалами. Для распределенной инфраструктуры важна возможность централизованно управлять политиками для десятков филиалов и площадок. Модель MultiProxy позволяет формировать политику в одном центре управления и распространять ее на региональные инсталляции SWG, при необходимости дополняя локальными правилами на местах.
  • Аналитика и поддержка расследований. Важно, чтобы SWG не только блокировал нежелательный трафик «на лету», но и помогал разбираться с инцидентами задним числом. Для этого нужны эффективные средства аналитики: рабочие панели мониторинга, отчеты по пользователям, группам и узлам фильтрации, удобный журнал запросов, а также «досье» на персону с историей ее веб-активности и типами передаваемых данных. Такой подход, реализованный в Solar webProxy (разделы «Рабочий стол», «Досье», «Статистика»), позволяет быстро ответить на вопросы, кто, когда и через какой ресурс выгружал данные, восстановить картину событий по сотруднику или подразделению и использовать SWG как полноценный источник доказательной базы для внутренних расследований.

Solar webProxy — российский SWG нового поколения

Solar webProxy объединяет все ключевые функции современного шлюза веб-безопасности и усиливает их собственной архитектурой и аналитической экосистемой «Солар». Это единственная на рынке standalone SWG-система с модульной структурой (Core, MultiProxy, Reverse, AV, Agent), которая обеспечивает гибкость настройки, масштабирование и стабильную работу даже при высокой нагрузке.

Продукт оснащен категоризатором webCat, использует TI-фиды Solar 4RAYS и имеет нативную интеграцию с DLP Solar Dozor, что позволяет в режиме реального времени выявлять угрозы и предотвращать утечки данных.

Solar webProxy полностью соответствует требованиям импортонезависимости и стандартам корпоративной безопасности, обеспечивает защиту веб-трафика, удобство управления и высокую скорость обработки запросов.

SWG и NGFW: надежная связка для защиты без лишних компромиссов

Только связка SWG и NGFW превращает периметр и выход в интернет в проактивную систему обнаружения и пресечения атак — без скачка бюджета и усложнения инфраструктуры. NGFW обеспечивает сетевую «броню», а SWG анализирует веб-трафик и контент, закрывая ключевые векторы угроз: от зараженных сайтов и фишинга до попыток утечки данных через браузер, облачные сервисы и веб-приложения.

Такой тандем создает баланс между глубиной защиты и скоростью работы: тяжелый прикладной разбор HTTP(S)/SOCKS5-трафика и контентную фильтрацию берет на себя SWG, разгружая NGFW, который продолжает работать в своей «родной» зоне ответственности в соответствии со своими паспортными характеристиками производительности. В результате архитектура отвечает ожиданиям бизнеса и требованиям регуляторов, оставаясь при этом управляемой и предсказуемой с точки зрения эксплуатации.

Если ваша компания стремится повысить устойчивость ИТ-инфраструктуры и перейти на передовые отечественные решения, самое время оценить их в действии. Запросите демолицензию Solar webProxy и консультацию по Solar NGFW — увидите, как эта связка работает в реальных условиях и обеспечивает защиту корпоративных сетей без потери эффективности.

ДРУГИЕ СТАТЬИ ПРОДУКТА

Еще больше о наших возможностях

Контроль действий пользователей в интернете: баланс между безопасностью и комфортом

Контроль действий пользователей в интернете: баланс между безопасностью и комфортом

Узнать больше
Аналоги SWG: почему их недостаточно для полного контроля интернет-трафика

Аналоги SWG: почему их недостаточно для полного контроля интернет-трафика

Узнать больше
Контроль доступа к веб-ресурсам: как защитить бизнес без потерь в продуктивности

Контроль доступа к веб-ресурсам: как защитить бизнес без потерь в продуктивности

Узнать больше
Категоризатор веб-ресурсов в SWG: почему контроль трафика необходим бизнесу

Категоризатор веб-ресурсов в SWG: почему контроль трафика необходим бизнесу

Узнать больше
Безопасный интернет для бизнеса: почему важен контроль трафика

Безопасный интернет для бизнеса: почему важен контроль трафика

Узнать больше
Как защитить информационную инфраструктуру от веб-угроз: роль SWG-системы Solar webProxy

Как защитить информационную инфраструктуру от веб-угроз: роль SWG-системы Solar webProxy

Узнать больше
Заблокируйте хаос: как навести порядок в веб-трафике компании

Заблокируйте хаос: как навести порядок в веб-трафике компании

Узнать больше
Почему компании переходят на сертифицированные шлюзы

Почему компании переходят на сертифицированные шлюзы

Узнать больше
Как веб-фильтрация помогает вернуть сотрудников к работе и спасти бизнес от вирусов, утечек

Как веб-фильтрация помогает вернуть сотрудников к работе и спасти бизнес от вирусов, утечек

Узнать больше

Для получения бесплатной консультации заполните форму ниже и отправьте заявку. Наш менеджер свяжется с вами в ближайшее время.