УслугиИнформационная безопасностьМежсетевые экраны для бизнеса

Межсетевые экраны для бизнеса

Защитим периметр корпоративной сети межсетевыми экранами под ваш масштаб и требования

Об услуге

Подбираем, устанавливаем и настраиваем межсетевые экраны под архитектуру вашей сети, объём трафика и нормативные требования. Работаем с российскими и зарубежными вендорами — от сертифицированных ФСТЭК решений из реестра Минпромторга до устройств для небольших офисов и филиалов.

Вы получаете:

Защиту периметра сети без простоев и сбоев в работе сервисов.
Контроль и фильтрацию трафика по понятным и управляемым правилам.
Сегментацию сети и защищённые каналы связи между офисами и филиалами.
Соответствие требованиям ФСТЭК на сертифицированных решениях — для работы с персональными данными, ГИС и КИИ.
Техническую поддержку и сопровождение после запуска.

Как работает межсетевой экран

Межсетевой экран, или firewall, контролирует трафик на границе сети. Он анализирует каждый сетевой пакет, сверяет его с правилами фильтрации и принимает решение: пропустить, заблокировать или отправить в отдельную зону. Современные межсетевые экраны отслеживают состояние соединений, не пропускают подделанные пакеты, скрывают внутренние адреса от внешней сети и обеспечивают безопасную связь между удалёнными площадками.

Возможности межсетевого экрана

Фильтрация трафика по правилам

Базовая функция межсетевого экрана. Правила задают, какой трафик разрешён, а какой блокируется — по IP-адресам отправителя и получателя, портам, протоколам и направлению соединения. Гибкие политики позволяют разделить доступ к ресурсам между подразделениями, подрядчиками и гостевыми пользователями.

Контроль состояния соединений

Stateful inspection — отслеживание сессий между узлами на всём их жизненном цикле. Межсетевой экран помнит, какие соединения были инициированы изнутри сети, и пропускает только ответный трафик от ожидаемых узлов. Подделанные пакеты и пакеты вне сессии отбрасывает автоматически.

Трансляция адресов NAT и PAT

Межсетевой экран прячет внутренние адреса корпоративной сети за одним или несколькими публичными адресами. Это сокращает поверхность атаки извне и снимает ограничения на использование частных подсетей. PAT публикует наружу конкретные сервисы — почтовый сервер, веб-портал, VPN-шлюз — через нужные порты.

Сегментация сети и DMZ

Корпоративную сеть делим на изолированные зоны: офисный сегмент, серверный, гостевой, DMZ для публикации внешних сервисов. Каждая зона работает по своим политикам доступа. Компрометация одного сегмента не открывает атакующему доступ к остальным.

VPN-каналы между офисами и для удалённых сотрудников

Межсетевой экран организует защищённые каналы IPsec и GRE между площадками компании, а также удалённый доступ для сотрудников. Российские решения поддерживают шифрование по ГОСТ — это требование для государственных систем и критической инфраструктуры.

Защита от типовых сетевых атак

Блокировка сканирования портов, фильтрация подделанных IP-адресов (anti-spoofing), ограничение количества соединений с одного источника, защита от базовых флуд-атак. Эти механизмы работают на уровне сетевых протоколов и не требуют отдельных модулей.

Журналирование и аудит событий

Все события — пропущенные и заблокированные соединения, сработавшие правила, подключения VPN, попытки обхода — фиксируются в журнале. Логи передаются в SIEM для централизованного анализа и хранятся по требованиям ФСТЭК.

Форматы поставки

Программно-аппаратный комплекс

Готовое устройство в стоечном или настольном исполнении с предустановленным ПО. Даёт максимальную производительность благодаря выделенным аппаратным ресурсам и не зависит от стороннего серверного оборудования. Это основной формат поставки для всех вендоров и обязательный — для сертифицированных межсетевых экранов типа А.

Виртуальный межсетевой экран

Образ для виртуализации, который встраивается в существующую виртуальную инфраструктуру компании — например, MikroTik CHR. Подходит для защиты облачных сред, виртуальных дата-центров и сегментов корпоративной виртуализации без закупки отдельного оборудования.

Решения, которые мы внедряем

Работаем с шестью вендорами сетевого оборудования с функцией межсетевого экрана — российскими и зарубежными. Каждый подходит под свой масштаб сети и набор задач: от небольших офисов и филиалов до распределённых корпоративных сетей.

Eltex

Российский производитель сетевого оборудования из Новосибирска. Сервисные маршрутизаторы серии ESR со встроенным межсетевым экраном — для импортозамещения и работы в регулируемых системах.

Продукты: серия ESR — от ESR-15R до ESR-3200.
Возможности: stateful-фильтрация, NAT, IPsec и L2TP VPN, сегментация сети, аутентификация пользователей.
Сегмент: от небольших офисов до крупных корпоративных и государственных сетей.
Реестр и сертификаты: сертификат ФСТЭК (тип А, 4-й класс), реестр Минпромторга — подходит для ГИС, ИСПДн и объектов КИИ.

QTECH

Российский производитель сетевого оборудования для корпоративных и операторских сетей. Шлюзы и маршрутизаторы серии QSR с функциями межсетевого экрана.

Продукты: серия QSR — QSR-1920, QSR-2920, QSR-3920 и старше.
Возможности: межсетевая фильтрация, NAT, VPN, сегментация сети, пропускная способность до нескольких Гбит/с.
Сегмент: корпоративные и телеком-сети, проекты импортозамещения.
Реестр и сертификаты: оборудование в реестре Минпромторга; сертификацию ФСТЭК на конкретную модель проверяем под задачу.

Zyxel

Международный вендор с линейкой готовых межсетевых экранов для малого и среднего бизнеса. Устройства с UTM-функциями и облачным управлением.

Продукты: ZyWALL, USG FLEX, ATP с защитой от продвинутых угроз и песочницей.
Возможности: stateful-фильтрация, NAT, IPsec, SSL и L2TP VPN, URL-фильтрация, контроль приложений, GeoIP, двухфакторная аутентификация.
Сегмент: малый и средний бизнес, офисы и филиалы.

MikroTik

Гибкая и бюджетная платформа RouterOS с развитым межсетевым экраном. Раскрывает возможности при наличии квалифицированного администратора.

Продукты: устройства RouterBOARD и виртуальный образ CHR на RouterOS.
Возможности: stateful- и stateless-фильтрация, NAT и проброс портов, фильтрация по приложениям на уровне L7, IPsec, L2TP, OpenVPN, WireGuard.
Сегмент: небольшие офисы, провайдерские и распределённые сети, нестандартные топологии.

Ubiquiti

Экосистема UniFi с централизованным управлением. Интегрированные шлюзы с межсетевым экраном и маршрутизацией под единой консолью.

Продукты: UniFi Dream Machine (UDM, UDM-Pro, UDM-SE), Cloud Gateway, маршрутизаторы EdgeRouter.
Возможности: stateful-фильтрация, NAT, IDS и IPS, GeoIP и DNS-фильтрация, IPsec и OpenVPN, резервирование каналов WAN.
Сегмент: малый и средний бизнес, сети из нескольких площадок под единым управлением.

D-Link

Международный вендор с межсетевыми экранами NetDefend для небольших офисов. Устройства начального уровня для базовой защиты периметра.

Продукты: межсетевые экраны серии NetDefend (DFL).
Возможности: stateful-фильтрация, NAT, IPsec, SSL, PPTP и L2TP VPN, система предотвращения вторжений, контент-фильтрация, балансировка нескольких каналов WAN.
Сегмент: небольшие офисы и базовые задачи защиты периметра.

Этапы внедрения

1. Анализ задачи

Изучаем инфраструктуру и формируем требования к межсетевому экрану.

2. Подбор решения

Подбираем подходящее решение и согласуем выбор с заказчиком.

3. Подписание NDA и договора

Фиксируем состав работ, сроки и зоны ответственности.

4. Интеграция и помощь с настройкой

Устанавливаем оборудование, настраиваем политики и интегрируем с инфраструктурой заказчика.

5. Тестирование и ввод в эксплуатацию

Проверяем работу под нагрузкой и переводим боевой трафик на новую конфигурацию.

6. Обучение, поддержка и обслуживание

Помогаем освоить новое решение и сопровождаем систему после внедрения.

Преимущества ОБИТ

Комплексная интеграция под ключ

Берём проект целиком: от анализа сети и подбора решения до настройки, миграции и сопровождения после запуска. Заказчику не нужно собирать работы у разных подрядчиков и согласовывать их между собой — за результат отвечаем мы.

Индивидуальный подход

Не привязаны к одному вендору — подбираем межсетевой экран под масштаб сети, требования к производительности, нормативные требования и бюджет. Сравниваем платформы по этим критериям, а не предлагаем типовую конфигурацию.

Российское оборудование с сертификацией ФСТЭК

Внедряем сертифицированное ФСТЭК оборудование из реестра Минпромторга — например, маршрутизаторы Eltex ESR с сертификатом типа А. Это соответствует требованиям для организаций, которые работают с персональными данными, государственными информационными системами и объектами критической инфраструктуры.

Бесшовное внедрение

Переключение на новый межсетевой экран проводим в согласованное технологическое окно, без простоев в боевом трафике. При необходимости настраиваем переходную конфигурацию и параллельную работу со старым решением на время миграции.

Поддержка после запуска

Не бросаем после внедрения. Обновляем правила и компоненты, мониторим работоспособность, консультируем по инцидентам, адаптируем настройки при росте сети и подключении новых филиалов.

Нам доверяют

Часто задаваемые вопросы

Чем межсетевой экран отличается от антивируса?

Антивирус защищает конкретное устройство от вредоносных файлов. Межсетевой экран контролирует сетевой трафик и не пропускает подозрительные соединения внутрь сети ещё до того, как они достигнут рабочих станций. Это разные уровни защиты, которые дополняют друг друга.
Чем классический межсетевой экран отличается от NGFW?

Классический межсетевой экран фильтрует трафик по сетевым параметрам — IP-адресам, портам, протоколам, состоянию соединений. NGFW дополнительно анализирует содержимое трафика на уровне приложений, расшифровывает SSL и применяет систему предотвращения вторжений. Если нужны эти расширенные возможности — внедряем NGFW: это отдельная услуга.
Какие межсетевые экраны вы внедряете?

Работаем с шестью вендорами: Eltex, QTECH, Zyxel, MikroTik, Ubiquiti и D-Link. Eltex и QTECH — российское оборудование из реестра Минпромторга, маршрутизаторы Eltex ESR сертифицированы ФСТЭК. Остальные — зарубежные решения для офисов и распределённых сетей. Конкретный продукт подбираем под задачи, инфраструктуру, регуляторные требования и бюджет заказчика.
Какой класс межсетевого экрана нужен нашей компании?

Для большинства коммерческих задач, защиты персональных данных и работы с государственными информационными системами достаточно 4-го класса. Более высокие классы (3, 2, 1) требуются для систем с грифом «секретно» и КИИ первой категории. Точный класс определяем после анализа задач и нормативных требований.
Что означают типы А, Б, В, Г, Д?

Это классификация по приказу ФСТЭК России №9. Тип А защищает физический периметр сети и поставляется только как аппаратный комплекс. Тип Б — внутренние границы сети, бывает и аппаратным, и программным. Тип В устанавливается на конкретный узел. Тип Г — защита веб-приложений. Тип Д — для промышленных сетей и АСУ ТП. На практике большинство компаний внедряют межсетевые экраны типов А и Б.
Что лучше — программно-аппаратный комплекс или виртуальный межсетевой экран?

Программно-аппаратный комплекс даёт максимальную производительность, не зависит от стороннего оборудования и обязателен для сертифицированных решений типа А — это основной формат. Виртуальный образ подходит для облачных сред и виртуальной инфраструктуры, его разворачивают без закупки отдельного устройства. Часто на одном проекте сочетают оба формата: аппаратный комплекс на периметре и виртуальные экземпляры внутри сети.
Можно ли использовать виртуальный межсетевой экран в сертифицированной конфигурации?

Да, если вендор имеет сертификат ФСТЭК именно на виртуальное исполнение продукта. Не все межсетевые экраны сертифицированы во всех форм-факторах — этот момент уточняем при подборе решения.
Обязателен ли сертифицированный межсетевой экран?

Для организаций, которые работают с персональными данными, государственными информационными системами или объектами КИИ — да. Приказы ФСТЭК и требования 152-ФЗ, 187-ФЗ предписывают использование сертифицированных средств защиты. Для коммерческих компаний без таких обязательств сертификат необязателен, но мы всё равно рекомендуем его — это гарантия качества и упрощение возможных проверок.
Можно ли заменить зарубежный межсетевой экран на российский?

Да, импортозамещение зарубежных межсетевых экранов — типовой сценарий последних лет. Российские решения покрывают полный набор функций: фильтрацию трафика, NAT, VPN, сегментацию, централизованное управление. Проводим миграцию плавно: переносим существующие правила в новый формат, настраиваем параллельную работу старого и нового решения на время перехода.
Как обеспечить отказоустойчивость межсетевого экрана?

Для критичных площадок настраиваем кластер высокой доступности — два устройства работают в активно-пассивной или активно-активной конфигурации. При сбое основного устройства резервное автоматически берёт на себя трафик за секунды без разрыва пользовательских сессий. Подбираем конфигурацию исходя из требований к уровню доступности.
Как межсетевой экран влияет на скорость сети?

Современные межсетевые экраны обеспечивают пропускную способность от нескольких сотен мегабит до десятков гигабит в секунду. Если модель подобрана под объём трафика, замедления не происходит. Нужную производительность рассчитываем на этапе проектирования, чтобы межсетевой экран не стал узким местом сети.
Можно ли управлять межсетевыми экранами на нескольких площадках централизованно?

Да. Современные решения поддерживают централизованную консоль управления — администратор настраивает политики, отслеживает события и обновляет конфигурации на всех устройствах из одного интерфейса. Это критично для распределённых компаний с филиалами.
Как межсетевой экран работает совместно с другими средствами защиты?

Передаёт события в SIEM для централизованного мониторинга. Обменивается данными с DLP-системой для контроля исходящего трафика. Использует учётные записи Active Directory для применения правил по группам пользователей. Каждый компонент усиливает общую систему защиты.
Сколько стоит межсетевой экран?

Стоимость зависит от формата (программно-аппаратный комплекс или виртуальный), пропускной способности, набора функций, количества площадок и условий лицензирования. Точную стоимость рассчитаем после анализа задачи — оставьте заявку на консультацию.
Сколько времени занимает внедрение?

Зависит от масштаба сети, количества площадок и сложности политик. Внедрение с настройкой правил фильтрации, VPN-каналов и интеграциями обычно занимает от нескольких недель до нескольких месяцев. Точные сроки определяем после анализа задачи.
Что делать, если текущий межсетевой экран не справляется с нагрузкой?

Проанализируем текущее решение: оценим загрузку процессора и памяти, объём трафика, сложность правил. По результатам предложим варианты — от оптимизации настроек и переработки политик до замены на более производительную модель или перехода на кластерную конфигурацию.
Предоставляете ли межсетевой экран в аренду?

Поможем подобрать оптимальную модель владения — от покупки оборудования до подписочных и облачных форматов. Конкретные варианты зависят от выбранного вендора. Подробности обсудим при консультации.

Кейсы по услуге

Производство

Импортозамещение межсетевого экрана для «Европапир»

Подбор и внедрение программного продукта от российского вендора

Транспорт и логистика

Модернизация ИБ-периметра логистической компании TABLOGIX

Проведение ИБ-аудита и внедрение межсетевых экранов для надёжной защиты ИТ-периметра

Cмотреть кейс

Мы используем файлы cookie и системы аналитики для улучшения работы сайта. Продолжая использовать сайт, Вы соглашаетесь с обработкой персональных данных, собираемых посредством Яндекс Метрика, в целях аналитики посещаемости сайта, Политика обработки персональных данных.