Почему компании выбирают NGFW и SWG вместе
СПЕЦИАЛИЗАЦИЯ ДЛЯ
ПОВЫШЕНИЯ
ЭФФЕКТИВНОСТИ
- NGFW защищает сеть и периметр
- SWG инспектирует веб-трафик и действия пользователей в интернете
- Каждая система выполняет задачи, в которых она сильнее всего
СНИЖЕНИЕ НАГРУЗКИ
НА NGFW
- SWG берет на себя ресурсоемкую SSL-дешифровку и веб-фильтрацию
- NGFW не тратит мощности на разбор веб-трафика и работает стабильнее
- Логирование на NGFW становится прозрачнее, это ускоряет поиск аномалий и повышает скорость работы
ОПТИМИЗАЦИЯ ЗАТРАТ
НА МАСШТАБИРОВАНИЕ
- При росте числа пользователей или объема веб-трафика масштабируется только SWG
- Дополнительные SWG-узлы разворачиваются виртуально
- Нет необходимости покупать дорогостоящее NGFW-оборудование
НАДЕЖНОСТЬ И
ОТКАЗОУСТОЙЧИВОСТЬ
- SWG и NGFW работают по отдельности: сбой одного не останавливает фильтрацию трафика
- SWG обеспечивает балансировку и отказоустойчивость (включая VRRP), это упрощает проектирование отказоустойчивых схем
- Защита сети и веб-трафика сохраняется даже при пиковых нагрузках
А что, если использовать только одну систему?
- Веб-контент остается серой зоной: NGFW обеспечивает базовую фильтрацию веб-контента, но не анализирует детально вложения, параметры веб-форм и поведение пользователей, как специализированный SWG. Кроме того, обнаружение зараженных файлов с помощью NGFW снижает его производительность
- Производительность резко падает: SSL-дешифровка и контент-фильтрация перегружают систему, снижая скорость на 40–60 %. Периметр становится менее устойчивым, может потребоваться больше ресурсов
- Нет гибких политик доступа: NGFW учитывает базовые параметры вроде GeoIP и идентификации пользователей, но не анализирует контент посещаемых ресурсов и действия сотрудников. У решения недостаточно инструментов для расследований и детального контроля интернет-активности
- Дорогое масштабирование: при росте числа пользователей приходится покупать дорогое оборудование и жертвовать временем
- Ограниченная сетевая защита: базовый межсетевой экран не заменяет полнофункциональный NGFW и не защищает сеть от внешних атак
- Слепые зоны: почта, внутренние сервисы и другие протоколы остаются вне контроля
- Нет комплексной периметровой безопасности: SWG не управляет маршрутизацией, не имеет механизмов предотвращения вторжений и VPN для безопасных коммуникаций
Кто за что отвечает: сравнение NGFW и SWG
Обе системы работают с трафиком, но отвечают за разные задачи. Вместе они закрывают все ключевые зоны безопасности.
NGFW (Next-Generation Firewall)
SWG (Secure Web Gateway)
Основная задача
Защита сетевого периметра от атак, фильтрация трафика на уровне сети и приложений, предотвращение вторжений
Защита веб-трафика и блокировка вредоносного ПО, контроль доступа сотрудников, предотвращение утечек через интернет
Уровень контроля
L2/L3/L4 + L7 (брандмауэр, правила по MAC/IP/портам/протоколам, состояниям соединений и приложениям, категории веб-ресурсов)
L3/L4 (ограничен в рамках межсетевого экрана SWG) + L7 (контентная веб-фильтрация)
Что контролирует
Сетевые соединения, пакеты, протоколы
Веб‑сайты, приложения, URL, вложения, веб‑запросы и ответы
Фильтрация веб-трафика
Есть базовая категоризация и редко — контентная фильтрация
Расширенная фильтрация по контенту, URL и параметрам в них, содержимому веб‑страниц, вложениям и загружаемым файлам, действиям пользователей в браузере, категориям сайтов
SSL-инспекция
Поддерживается, но для базовых задач
Глубокая SSL-инспекция с гибкой политикой, включая исключения, анализ содержимого и контроль утечек
DPI
DPI для любых приложений и протоколов, включая нестандартные на портах 80/443. Цель — блокировка туннелей и обхода политик, защита периметра
DPI для веб-трафика (HTTP(S), SOCKS5). Цель — глубокий анализ контента, категорий сайтов, типов данных и SSL
Контроль пользователей
Базовый (группы, аутентификация)
Расширенный: досье пользователей, детальная статистика, отчеты, расследование инцидентов (в т. ч. в связке с DLP)
Отчетность и аналитика
Сводные отчеты по сетевым событиям
Подробная статистика по пользователям, сайтам, типам скачиваемых данных
Точка применения
Граница сети, ядро инфраструктуры
Выход в интернет, точки доступа
Масштабирование
Через покупку дополнительного «железа», в филиалах — все сложнее
Простое и бюджетное — за счет виртуализации и балансировки запросов
NGFW (Next-Generation Firewall)
Защита сетевого периметра от атак, фильтрация трафика на уровне сети и приложений, предотвращение вторжений
Основная задача
L2/L3/L4 + L7 (брандмауэр, правила по MAC/IP/портам/протоколам, состояниям соединений и приложениям, категории веб-ресурсов)
Уровень контроля
Сетевые соединения, пакеты, протоколы
Что контролирует
Есть базовая категоризация и редко — контентная фильтрация
Фильтрация веб-трафика
Поддерживается, но для базовых задач
SSL-инспекция
DPI для любых приложений и протоколов, включая нестандартные на портах 80/443. Цель — блокировка туннелей и обхода политик, защита периметра
DPI
Базовый (группы, аутентификация)
Контроль пользователей
Сводные отчеты по сетевым событиям
Отчетность и аналитика
Граница сети, ядро инфраструктуры
Точка применения
Через покупку дополнительного «железа», в филиалах — все сложнее
Масштабирование
SWG (Secure Web Gateway)
Защита веб-трафика и блокировка вредоносного ПО, контроль доступа сотрудников, предотвращение утечек через интернет
Основная задача
L3/L4 (ограничен в рамках межсетевого экрана SWG) + L7 (контентная веб-фильтрация)
Уровень контроля
Веб‑сайты, приложения, URL, вложения, веб‑запросы и ответы
Что контролирует
Расширенная фильтрация по контенту, URL и параметрам в них, содержимому веб‑страниц, вложениям и загружаемым файлам, действиям пользователей в браузере, категориям сайтов
Фильтрация веб-трафика
Глубокая SSL-инспекция с гибкой политикой, включая исключения, анализ содержимого и контроль утечек
SSL-инспекция
DPI для веб-трафика (HTTP(S), SOCKS5). Цель — глубокий анализ контента, категорий сайтов, типов данных и SSL
DPI
Расширенный: досье пользователей, детальная статистика, отчеты, расследование инцидентов (в т. ч. в связке с DLP)
Контроль пользователей
Подробная статистика по пользователям, сайтам, типам скачиваемых данных
Отчетность и аналитика
Выход в интернет, точки доступа
Точка применения
Простое и бюджетное — за счет виртуализации и балансировки запросов
Масштабирование
Архитектура безопасности: как SWG и NGFW работают вместе?
Производительность под атакой: NGFW со встроенным прокси vs. NGFW + SWG
Мощности NGFW распределяются между задачами веб‑прокси и критическими функциями — IPS/IDS, VPN, маршрутизацией.
Высокая нагрузка на дешифровку и фильтрацию веб‑трафика повышает риск задержек или неполной обработки сетевых атак.
При росте HTTPS-сессий и увеличении атак резко падает скорость обработки и время отклика.
Для максимальной защиты компании используют связку NGFW+SWG: NGFW блокирует сетевые атаки, а SWG разгружает его веб-инспекцией, снижая расходы и оптимизируя масштабирование.
FAQ
При каком количестве сотрудников стоит задуматься о внедрении связки NGFW + SWG?
Практический ориентир: если 70–80% всего интернет-трафика — это веб (HTTP/HTTPS, веб-приложения, облачные сервисы), то SWG становится необходимым элементом защиты уже при 100–200 активных интернет-пользователях. Если ваша компания активно использует интернет для работы — особенно при распределенной структуре, гибридном формате или работе с облаками — связка NGFW+SWG обеспечит полноценную защиту и стабильную производительность.
Почему недостаточно просто купить один или несколько мощных NGFW со встроенным прокси?
Даже самый производительный NGFW с функцией веб-прокси проектируется в первую очередь для защиты сети и периметра, а не для глубокого анализа пользовательского веб-трафика. Когда он берет на себя задачи SSL-дешифровки, фильтрации контента и детального логирования запросов пользователей, возникают проблемы:
- Резкое падение производительности — глубокая инспекция HTTPS, проверка вложений и динамического контента могут снизить пропускную способность NGFW на 40–60%.
- Ограниченная глубина фильтрации — встроенный прокси обычно выполняет базовую категоризацию и блокировку по URL, но не анализирует вложения, параметры форм, действия в веб-приложениях и не применяет сложные контекстные политики.
- Перегрузка системы — NGFW становится «бутылочным горлышком»; просадка в производительности заметно ограничивает пользователей при исполнении бизнес-задач, связанных с выходом в интернет, а замена или апгрейд требуют остановки сервисов.
- Высокая стоимость масштабирования — при масштабировании NGFW требуется покупка дорогого оборудования, тогда как SWG масштабируется виртуально с минимальными сетевыми изменениями. Лицензии SWG дешевле, что делает его более экономичным и гибким решением.
Нужно ли масштабировать оба решения при росте трафика?
Нет, при увеличении количества пользователей и веб-трафика масштабирование требуется только для SWG.
Почему:
- SWG выполняет глубокую проверку содержимого веб-запросов и ответов (SSL-дешифровка, фильтрация контента, контроль приложений) — именно эти задачи создают основную нагрузку.
- NGFW обрабатывает трафик на L3—L4-уровнях, контролирует сетевые соединения и протоколы. В случае совместной работы с SWG рост веб-трафика почти не влияет на его производительность, если нет существенного увеличения не-веб-трафика.
Что будет, если мы продолжим использовать только NGFW?
NGFW обеспечит базовую защиту сети и периметра, но оставит без должного контроля веб-трафик — один из главных каналов проникновения угроз и утечек данных. Это увеличивает риски:
- Фишинг и вредоносные вложения — NGFW опирается на фиды, но этого недостаточно: часть угроз могут пройти незамеченными. Solar webProxy использует комбинацию механизмов и источников детекта, обеспечивая более надежную защиту бизнеса.
- Утечки данных через веб-каналы — загрузка файлов в облачные сервисы, передача информации через веб-формы и мессенджеры останется без полноценного контроля.
- Падение производительности при SSL‑дешифровке — глубокая инспекция HTTPS сильно нагружает NGFW, снижая его пропускную способность на 40–60%.
- Рост затрат на оборудование — увеличение числа пользователей и трафика потребует дорогостоящей замены NGFW на более мощную модель.
- Отсутствие детальной аналитики пользовательской активности — без SWG не будет прозрачности того, что сотрудники делают в интернете, и полноценной доказательной базы для расследований.
Наша компания распределенная — будет ли связка NGFW + SWG работать в филиалах?
Да, связка NGFW + SWG отлично подходит для многофилиальных и распределенных инфраструктур, особенно при использовании модуля MultiProxy в Solar webProxy.
Как это работает:
- Централизованное управление политиками — MultiProxy позволяет создавать, изменять и распространять единые правила фильтрации веб-трафика сразу на все филиалы и удаленные площадки. При этом локальные офисы могут иметь свои дополнительные правила, не нарушающие глобальной политики безопасности.
- Привязка политик к филиалам — можно применять разные наборы политик к конкретным группам филиалов или отдельным установкам SWG.
- Мониторинг и контроль — в одной консоли виден статус всех подключенных узлов, история изменений и актуальность настроек. Это упрощает сопровождение и снижает риск ошибок в конфигурациях.
- Автономная работа — если соединение с сервером централизованного управления пропадет, локальный SWG продолжит работать по действующим политикам, обеспечивая защиту без перерывов.
Подойдет ли Solar webProxy к NGFW, который уже установлен в компании?
Да. Solar webProxy можно интегрировать с большинством NGFW без замены оборудования, используя стандартные схемы подключения:
- Явный прокси (explicit proxy) — пользователи направляют веб-трафик напрямую в SWG.
- Прозрачный режим (transparent proxy) — трафик перенаправляется на SWG без изменения настроек на рабочих местах.
ЗАПРОСИТЬ КОНСУЛЬТАЦИЮ
Узнайте, как связка NGFW и SWG работает на практике
Самые важные новости кибербезопасности у вас в почте
Выберите темы, на которые бы вам было интересно получать новости.
Для получения бесплатной консультации заполните форму ниже и отправьте заявку. Наш менеджер свяжется с вами в ближайшее время.