Интеграция SD-WAN и NGFW (Next-Generation Firewall) давно стала нормой у западных вендоров, но в России сетевая и ИБ-команды по-прежнему часто живут в разных консолях. Посмотрим, во сколько обходится этот разрыв, что даёт их объединение — и как мы реализовали SD-WAN с SLA-маршрутизацией в Ideco NGFW 22 Novum.
Две команды, одна сеть, ноль координации
В типичной российской компании с филиальной сетью за маршрутизацию и каналы связи отвечает сетевая команда, а за межсетевой экран, IPS и политики доступа — команда ИБ. Инструменты разные, консоли разные, приоритеты разные.
На бумаге это выглядит как разумное разделение ответственности. На практике — как разрыв, который стоит больших денег на решения и времени на администрирование.
Вот как это проявляется:
-
Инцидент в сети. Безопасники видят подозрительную активность на конечном устройстве, но не знают, через какой канал трафик ушёл наружу. Сетевики замечают аномальные паттерны, но не понимают — атака это или легитимная нагрузка. Пока обе команды согласуют картину через тикеты и созвоны, атакующий уже закрепился в инфраструктуре.
-
Новый филиал. Сетевая команда поднимает VPN-туннели и настраивает маршрутизацию. ИБ-команда отдельно применяет политики на файрвол. Конфигурации рассинхронизируются, появляются «дыры» между тем, что разрешено на сетевом уровне, и тем, что контролируется на уровне безопасности.
-
Деградация канала. Основной провайдер «просел», трафик переключился на резервный. Но политики NGFW настроены под топологию с основным каналом (о подключении дополнительных каналов безопасники могли и не узнать) — часть трафика либо минует инспекцию, либо блокируется ошибочно.
Операционные потери между сетевыми и ИБ-командами ответственны за 20-25% стоимости инцидента — из-за задержки обнаружения, медленного реагирования и неполной локализации (по данным IBM Cost of a Data Breach Report 2024).
Организации с налаженным взаимодействием сетевых и ИБ-команд обнаруживают инциденты на 40% быстрее, а локализуют на 60% быстрее, чем компании с изолированными командами.
Вывод прост: разделение сетевого управления и безопасности — это не оптимальное решение на основе зон ответственности, а архитектурный долг.
Что меняет связка SD-WAN + NGFW
SD-WAN (Software-Defined Wide Area Network) — это программно-определяемая надстройка над WAN, которая управляет каналами связи по политикам: приложение, пользователь, филиал, SLA-параметры. В отличие от классического site-to-site VPN, где администратор вручную прописывает маршруты и следит за состоянием каналов, SD-WAN автоматически выбирает оптимальный путь и переключает трафик при деградации.
Когда SD-WAN работает внутри NGFW, а не как отдельная коробка, все принципиально легче с точки зрения эксплуатации. Особенно в текущих условиях проблемной сетевой связанности и стабильности работы интернета в регионах России.
Единая политика для сети и безопасности
Вместо двух консолей — одна. Правило маршрутизации и правило файрвола живут в одном контексте. Если трафик переключился на резервный канал, политики безопасности применяются к нему автоматически — без ручной донастройки и без «слепых зон».
Видимость трафика без «слепых зон»
Интегрированное решение знает не только «куда идёт пакет» (SD-WAN), но и «что в нём» (DPI/IPS) и «кто его отправил» (идентификация пользователя). Для ИБ-команды это означает полную картину: от выбора маршрута до содержимого сессии. Все сессии журналируются в одном месте и передаются в SIEM без необходимости их дополнительной корреляции.
Снижение TCO
Отдельный SD-WAN-контроллер, отдельный NGFW, отдельная система мониторинга — это три лицензии, три платформы для обновления и три точки отказа. Интеграция сокращает количество устройств и упрощает эксплуатацию. По данным Anti-Malware.ru, объединение NGFW и SD-WAN снижает совокупную стоимость владения за счёт сокращения оборудования и упрощения закупок.
Как это устроено у западных вендоров
Интеграция SD-WAN в NGFW — уже стандарт для мировых лидеров, но пока «уникальна» для отечественного рынка. По прогнозу Gartner, к 2027 году почти две трети новых закупок SD-WAN будут частью единого SASE-решения от одного вендора — втрое больше, чем сегодня.
Fortinet встроил SD-WAN непосредственно в FortiGate NGFW на базе FortiOS. Маршрутизация, шифрование и инспекция выполняются на одном устройстве с аппаратным ускорением через специализированные процессоры (SPU). Все модели FortiGate поддерживают SD-WAN и маршрутизацию без дополнительных лицензий (Fortinet).
Palo Alto Networks пошёл по пути интеграции Prisma SD-WAN с аппаратными NGFW серии PA. Решение устраняет проблему разрозненных устройств для безопасности и SD-WAN, объединяя политики в единый контроллер (Palo Alto Networks).
Российский контекст: большой разрыв при большом запросе
В России ситуация парадоксальная. Спрос на SD-WAN растёт: по данным ICL Services, 25% российских компаний уже используют технологию и не планируют от неё отказываться, ещё 15% намерены внедрить в течение года. Главная причина внедрения — повышение уровня безопасности (46% компаний).
Но большинство российских NGFW по-прежнему фокусируются на производительности и фильтрации. Как отмечает Anti-Malware.ru, при выборе NGFW основное внимание уделяется надёжности и производительности, а интеграция с SD-WAN остаётся на периферии (как задача «второго плана»). Российский рынок SD-WAN представлен двумя группами:
-
Специализированные SD-WAN-платформы (Kaspersky SD-WAN, «БУЛАТ» и др.) — требуют отдельного NGFW/СКЗИ для обеспечения безопасности.
-
NGFW с элементами SD-WAN — как правило, ограничиваются базовой балансировкой каналов без SLA-управления.
В итоге заказчик оказывается перед выбором: либо «зоопарк» из SD-WAN-контроллера и отдельного файрвола, либо NGFW с примитивной WAN-балансировкой без реального SD-WAN.
Zero-touch provisioning: филиалы без командировок
Для распределённых компаний скорость подключения новых точек — критический фактор. В классической схеме подключение одного филиала выглядит так:
-
Заказ канала у провайдера — до 2 недель.
-
Командировка сетевого инженера для настройки оборудования.
-
Настройка VPN-туннелей и маршрутизации вручную.
-
Отдельная настройка политик безопасности ИБ-командой.
-
Тестирование и ввод в эксплуатацию.
Итого: от 3 до 6 недель на одну точку. Каждый день простоя — прямые финансовые потери.
SD-WAN с функцией Zero-touch provisioning (ZTP) меняет подход радикально. CPE-устройство (Customer Premises Equipment — оборудование на стороне клиента) приезжает в филиал, сотрудник на месте подключает питание и интернет-кабель. Всё остальное — настройка туннелей, маршрутизация, политики безопасности — применяется автоматически из центральной консоли.
Реальный пример: компания-ритейлер перевёл на SD-WAN 1600 магазинов. На старте проекта планировали переводить по 4 магазина за ночь, но благодаря ZTP скорость выросла до 15-20 магазинов за ночь. Компания полностью отказалась от дорогих MPLS-каналов, в 26 раз повысила пропускную способность WAN и сэкономила $20 млн за три года (New-Retail.ru).
Сценарий 1: ретейл с 50+ точками продаж
Типичная ситуация: сеть магазинов, в каждом — POS-терминалы, системы лояльности, Wi-Fi для покупателей, видеонаблюдение. Каналы связи — от оптики в торговых центрах до LTE в отдельных точках.
Проблемы без SD-WAN + NGFW:
-
Разные провайдеры в разных локациях, конфигурации расходятся.
-
Одна опечатка в маршрутизации — банковские транзакции на кассах не проходят.
-
Безопасность неоднородна: где-то стоит файрвол, где-то — только NAT.
-
При деградации канала кассы «ползут», а терминалы зависают.
Что даёт связка SD-WAN + NGFW:
-
Единые политики безопасности для всех точек из центральной консоли. Не нужно настраивать каждый магазин отдельно.
-
Приоритизация трафика: POS-транзакции и процессинг идут по каналу с минимальной задержкой (в текущий момент!), гостевой Wi-Fi — по «дешёвому» интернет-каналу.
-
Автоматический failover: если основной канал деградировал, критичный трафик мгновенно переключается на LTE-резерв. Кассы не останавливаются.
-
Сегментация: IoT-камеры изолированы от платёжного трафика, гостевой Wi-Fi — в отдельном сегменте. Компрометация одного сегмента не затрагивает другие.
Сеть заправок Circle K после внедрения SD-WAN стала использовать LTE-модемы как резервные каналы и существенно сократила время простоя при обработке платежей (New-Retail.ru).
Сценарий 2: распределённое производство
Завод с несколькими площадками, складами и удалёнными объектами. На площадках — SCADA-системы, IoT-датчики, ERP-трафик между площадками, видеоконференции между инженерами.
Проблемы без SD-WAN + NGFW:
-
MPLS-каналы дорогие и негибкие. Добавление новой площадки — долгие согласований с оператором.
-
IoT-трафик с датчиков и SCADA идёт по тем же каналам, что и видеоконференции. Приоритизации нет.
-
Безопасность OT-сегмента (операционных технологий) обеспечивается «как получится» — отдельные файрволы на площадках не синхронизированы с центральной политикой.
Что даёт связка SD-WAN + NGFW:
-
Гибридный WAN: MPLS для критичного ERP и SCADA, LTE для остального.
-
Сегментация OT и IT: IoT-датчики в отдельном сегменте, корпоративная сеть — в своём. Политики NGFW применяются к обоим, но правила изоляции исключают «горизонтальное» распространение угроз.
-
SLA-маршрутизация: ERP-трафик между площадками идёт только по каналам с задержкой ниже порогового значения. Если канал деградировал — автоматическое переключение.
-
Централизованное управление: одна консоль для всех площадок. Изменение политики применяется ко всем узлам одновременно.
SD-WAN в Ideco NGFW Novum 22: что внутри
Ideco NGFW изначально строился как NGFW с развитым сетевым стеком: балансировка WAN, динамическая маршрутизация (BGP, OSPF), PBR, IPSec с VTI и GRE over IPSec. Это принципиальное отличие от многих российских NGFW-решений, ориентированных прежде всего на фильтрацию трафика, а не создание сложных распределенных сетей.
В версии 22 Novum (релиз 30 апреля 2026, а полнофункциональная версия доступна уже сегодня) мы добавили полноценный SD-WAN-модуль, который превращает NGFW в платформу класса NGFW + SD-WAN.
SLA-маршрутизация
Ключевая функция — маршрутизация трафика на основе SLA-профилей. Администратор задаёт пороговые значения для трёх параметров:
-
Задержка (latency)
-
Джиттер (jitter)
-
Потеря пакетов (packet loss)
Логика работает по принципу OR: если хотя бы один параметр превышен, канал считается не соответствующим SLA. Трафик автоматически переключается на резервный путь.
Next Hops и группы
Создаются именованные Next Hops — выходные интерфейсы или шлюзы с привязкой к конкретным каналам. Next Hops объединяются в группы с двумя режимами:
-
Резервирование — трафик идёт через приоритетный Next Hop, при несоответствии SLA переключается на следующий по приоритету.
-
Балансировка — трафик распределяется между Next Hops со стабильной привязкой сессий.
Мониторинг через ping и BFD
SLA-профили проверяются периодическими ping-запросами к заданным IP-адресам. Для оперативного обнаружения обрывов поддерживается BFD (Bidirectional Forwarding Detection) — протокол, который фиксирует потерю связности за миллисекунды, а не за десятки секунд, как ping.
Настраиваются: интервал проверок, порог недоступности (количество последовательных сбоев для переключения), порог доступности (количество успешных проверок для возврата) и минимальное время активности.
Интеграция с маршрутизацией
SLA-группы Next Hops используются в:
-
Статической маршрутизации — шлюзом может быть не только IP-адрес, но и группа Next Hops с SLA-профилем.
-
PBR (Policy-Based Routing) — маршрутизация по источнику, назначению и портам через SLA-группы.
-
BGP — IPSec-туннели выбираются как Next Hops, что позволяет строить overlay-сети с BGP поверх зашифрованных каналов.
Журнал переключений
Каждое переключение каналов фиксируется в журнале: когда произошло, по какому SLA-параметру, откуда и куда переключился трафик. Для аудита это важно: можно доказательно обосновать, почему в конкретный момент трафик пошёл по альтернативному маршруту.
Автономность решения
Важный архитектурный принцип: каждый NGFW принимает решения о переключении каналов самостоятельно, без обращения к внешнему контроллеру. Это обеспечивает работоспособность даже при потере связи с центром управления.
Сравнение подходов
|
Критерий |
Site-to-site VPN |
NGFW без SD-WAN |
Ideco NGFW 22 + SD-WAN |
|
Управление WAN-каналами |
Ручная настройка маршрутов |
Базовая балансировка/failover |
Группы Next Hops, SLA-профили, адаптивные маршруты |
|
Мониторинг качества |
Только up/down |
Простая проверка доступности |
SLA по latency/jitter/loss, ping + BFD |
|
Интеграция VPN и маршрутизации |
Статика |
Ограниченная динамика |
BGP/OSPF по VTI и GRE-IPSec, PBR |
|
Безопасность |
Отдельный файрвол |
NGFW без контроля WAN |
Единые политики NGFW + SD-WAN |
|
Переключение при деградации |
Ручное или грубый failover |
Проверка доступности интерфейса |
Автоматическое по SLA-профилю с журналированием |
Что дальше: roadmap SD-WAN в Ideco
SD-WAN в Ideco NGFW — не разовое добавление функциональности, а стратегическое направление развития. Вот что запланировано на 2026 год:
|
Когда |
Что появится |
|
Август 2026 |
QoS — приоритизация трафика по классам и приоритетам; BFD для BGP; шаблонизация сетевых интерфейсов, маршрутизации и SD-WAN в Ideco Center (основа для ZTP) |
|
Декабрь 2026 |
Централизованное управление IPSec-туннелями по сертификатам через Ideco Center (автоматический подъём туннелей при добавлении филиала); наследование шаблонов; шаблоны политик |
Шаблонизация в Ideco Center — это шаг к полноценному Zero-touch provisioning для филиальных сетей. Администратор создаёт шаблон с настройками интерфейсов, маршрутизации и SD-WAN-профилей, а новый узел получает конфигурацию автоматически при первом подключении.
Итог
Разрыв между сетевым управлением и безопасностью — архитектурный долг, за который платят все: сетевики ночными сменами, безопасники — слепыми зонами, бизнес — простоями и инцидентами.
SD-WAN + NGFW на одной платформе закрывает этот разрыв. Один ПАК, одна консоль, одна политика и автоматическое переключение по SLA — это меньше ошибок, быстрее реакция и ниже стоимость владения.
В Ideco NGFW Novum 22 с SD-WAN — это не маркетинговая галочка для сравнения NGFW, а настоящий рабочий инструмент для создания и поддержки сложных распределенных сетей. А к концу 2026 года — ещё и QoS, шаблонизация и централизованное управление туннелями – мощное SD-WAN решение дополненное функциями безопасности.
Если вы управляете распределённой сетью и устали разрываться между маршрутизацией и безопасностью — протестируйте Ideco NGFW и посмотрите, как SD-WAN работает внутри файрвола, а не рядом с ним. Будем благодарны за обратную связь и сделаем вместе решение еще лучше.
ссылка на оригинал статьи https://habr.com/ru/articles/1025410/