SD-WAN + NGFW: почему разрыв между сетью и безопасностью обходится дорого

Интеграция SD-WAN и NGFW (Next-Generation Firewall) давно стала нормой у западных вендоров, но в России сетевая и ИБ-команды по-прежнему часто живут в разных консолях. Посмотрим, во сколько обходится этот разрыв, что даёт их объединение — и как мы реализовали SD-WAN с SLA-маршрутизацией в Ideco NGFW 22 Novum.

Две команды, одна сеть, ноль координации

В типичной российской компании с филиальной сетью за маршрутизацию и каналы связи отвечает сетевая команда, а за межсетевой экран, IPS и политики доступа — команда ИБ. Инструменты разные, консоли разные, приоритеты разные.

На бумаге это выглядит как разумное разделение ответственности. На практике — как разрыв, который стоит больших денег на решения и времени на администрирование.

Вот как это проявляется:

• Инцидент в сети. Безопасники видят подозрительную активность на конечном устройстве, но не знают, через какой канал трафик ушёл наружу. Сетевики замечают аномальные паттерны, но не понимают — атака это или легитимная нагрузка. Пока обе команды согласуют картину через тикеты и созвоны, атакующий уже закрепился в инфраструктуре.

• Новый филиал. Сетевая команда поднимает VPN-туннели и настраивает маршрутизацию. ИБ-команда отдельно применяет политики на файрвол. Конфигурации рассинхронизируются, появляются «дыры» между тем, что разрешено на сетевом уровне, и тем, что контролируется на уровне безопасности.

• Деградация канала. Основной провайдер «просел», трафик переключился на резервный. Но политики NGFW настроены под топологию с основным каналом (о подключении дополнительных каналов безопасники могли и не узнать) — часть трафика либо минует инспекцию, либо блокируется ошибочно.

Операционные потери между сетевыми и ИБ-командами ответственны за 20-25% стоимости инцидента — из-за задержки обнаружения, медленного реагирования и неполной локализации (по данным IBM Cost of a Data Breach Report 2024).

Организации с налаженным взаимодействием сетевых и ИБ-команд обнаруживают инциденты на 40% быстрее, а локализуют на 60% быстрее, чем компании с изолированными командами.

Вывод прост: разделение сетевого управления и безопасности — это не оптимальное решение на основе зон ответственности, а архитектурный долг.

Что меняет связка SD-WAN + NGFW

SD-WAN (Software-Defined Wide Area Network) — это программно-определяемая надстройка над WAN, которая управляет каналами связи по политикам: приложение, пользователь, филиал, SLA-параметры. В отличие от классического site-to-site VPN, где администратор вручную прописывает маршруты и следит за состоянием каналов, SD-WAN автоматически выбирает оптимальный путь и переключает трафик при деградации.

Когда SD-WAN работает внутри NGFW, а не как отдельная коробка, все принципиально легче с точки зрения эксплуатации. Особенно в текущих условиях проблемной сетевой связанности и стабильности работы интернета в регионах России.

Единая политика для сети и безопасности

Вместо двух консолей — одна. Правило маршрутизации и правило файрвола живут в одном контексте. Если трафик переключился на резервный канал, политики безопасности применяются к нему автоматически — без ручной донастройки и без «слепых зон».

Видимость трафика без «слепых зон»

Интегрированное решение знает не только «куда идёт пакет» (SD-WAN), но и «что в нём» (DPI/IPS) и «кто его отправил» (идентификация пользователя). Для ИБ-команды это означает полную картину: от выбора маршрута до содержимого сессии. Все сессии журналируются в одном месте и передаются в SIEM без необходимости их дополнительной корреляции.

Снижение TCO

Отдельный SD-WAN-контроллер, отдельный NGFW, отдельная система мониторинга — это три лицензии, три платформы для обновления и три точки отказа. Интеграция сокращает количество устройств и упрощает эксплуатацию. По данным Anti-Malware.ru, объединение NGFW и SD-WAN снижает совокупную стоимость владения за счёт сокращения оборудования и упрощения закупок.

Как это устроено у западных вендоров

Интеграция SD-WAN в NGFW — уже стандарт для мировых лидеров, но пока «уникальна» для отечественного рынка. По прогнозу Gartner, к 2027 году почти две трети новых закупок SD-WAN будут частью единого SASE-решения от одного вендора — втрое больше, чем сегодня.

Fortinet встроил SD-WAN непосредственно в FortiGate NGFW на базе FortiOS. Маршрутизация, шифрование и инспекция выполняются на одном устройстве с аппаратным ускорением через специализированные процессоры (SPU). Все модели FortiGate поддерживают SD-WAN и маршрутизацию без дополнительных лицензий (Fortinet).

Palo Alto Networks пошёл по пути интеграции Prisma SD-WAN с аппаратными NGFW серии PA. Решение устраняет проблему разрозненных устройств для безопасности и SD-WAN, объединяя политики в единый контроллер (Palo Alto Networks).

Российский контекст: большой разрыв при большом запросе

В России ситуация парадоксальная. Спрос на SD-WAN растёт: по данным ICL Services, 25% российских компаний уже используют технологию и не планируют от неё отказываться, ещё 15% намерены внедрить в течение года. Главная причина внедрения — повышение уровня безопасности (46% компаний).

Но большинство российских NGFW по-прежнему фокусируются на производительности и фильтрации. Как отмечает Anti-Malware.ru, при выборе NGFW основное внимание уделяется надёжности и производительности, а интеграция с SD-WAN остаётся на периферии (как задача «второго плана»). Российский рынок SD-WAN представлен двумя группами:

• Специализированные SD-WAN-платформы (Kaspersky SD-WAN, «БУЛАТ» и др.) — требуют отдельного NGFW/СКЗИ для обеспечения безопасности.

• NGFW с элементами SD-WAN — как правило, ограничиваются базовой балансировкой каналов без SLA-управления.

В итоге заказчик оказывается перед выбором: либо «зоопарк» из SD-WAN-контроллера и отдельного файрвола, либо NGFW с примитивной WAN-балансировкой без реального SD-WAN.

Zero-touch provisioning: филиалы без командировок

Для распределённых компаний скорость подключения новых точек — критический фактор. В классической схеме подключение одного филиала выглядит так:

1. Заказ канала у провайдера — до 2 недель.

2. Командировка сетевого инженера для настройки оборудования.

3. Настройка VPN-туннелей и маршрутизации вручную.

4. Отдельная настройка политик безопасности ИБ-командой.

5. Тестирование и ввод в эксплуатацию.

Итого: от 3 до 6 недель на одну точку. Каждый день простоя — прямые финансовые потери.

SD-WAN с функцией Zero-touch provisioning (ZTP) меняет подход радикально. CPE-устройство (Customer Premises Equipment — оборудование на стороне клиента) приезжает в филиал, сотрудник на месте подключает питание и интернет-кабель. Всё остальное — настройка туннелей, маршрутизация, политики безопасности — применяется автоматически из центральной консоли.

Реальный пример: компания-ритейлер перевёл на SD-WAN 1600 магазинов. На старте проекта планировали переводить по 4 магазина за ночь, но благодаря ZTP скорость выросла до 15-20 магазинов за ночь. Компания полностью отказалась от дорогих MPLS-каналов, в 26 раз повысила пропускную способность WAN и сэкономила $20 млн за три года (New-Retail.ru).

Сценарий 1: ретейл с 50+ точками продаж

Типичная ситуация: сеть магазинов, в каждом — POS-терминалы, системы лояльности, Wi-Fi для покупателей, видеонаблюдение. Каналы связи — от оптики в торговых центрах до LTE в отдельных точках.

Проблемы без SD-WAN + NGFW:

• Разные провайдеры в разных локациях, конфигурации расходятся.

• Одна опечатка в маршрутизации — банковские транзакции на кассах не проходят.

• Безопасность неоднородна: где-то стоит файрвол, где-то — только NAT.

• При деградации канала кассы «ползут», а терминалы зависают.

Что даёт связка SD-WAN + NGFW:

• Единые политики безопасности для всех точек из центральной консоли. Не нужно настраивать каждый магазин отдельно.

• Приоритизация трафика: POS-транзакции и процессинг идут по каналу с минимальной задержкой (в текущий момент!), гостевой Wi-Fi — по «дешёвому» интернет-каналу.

• Автоматический failover: если основной канал деградировал, критичный трафик мгновенно переключается на LTE-резерв. Кассы не останавливаются.

• Сегментация: IoT-камеры изолированы от платёжного трафика, гостевой Wi-Fi — в отдельном сегменте. Компрометация одного сегмента не затрагивает другие.

Сеть заправок Circle K после внедрения SD-WAN стала использовать LTE-модемы как резервные каналы и существенно сократила время простоя при обработке платежей (New-Retail.ru).

Сценарий 2: распределённое производство

Завод с несколькими площадками, складами и удалёнными объектами. На площадках — SCADA-системы, IoT-датчики, ERP-трафик между площадками, видеоконференции между инженерами.

Проблемы без SD-WAN + NGFW:

• MPLS-каналы дорогие и негибкие. Добавление новой площадки — долгие согласований с оператором.

• IoT-трафик с датчиков и SCADA идёт по тем же каналам, что и видеоконференции. Приоритизации нет.

• Безопасность OT-сегмента (операционных технологий) обеспечивается «как получится» — отдельные файрволы на площадках не синхронизированы с центральной политикой.

Что даёт связка SD-WAN + NGFW:

• Гибридный WAN: MPLS для критичного ERP и SCADA, LTE для остального.

• Сегментация OT и IT: IoT-датчики в отдельном сегменте, корпоративная сеть — в своём. Политики NGFW применяются к обоим, но правила изоляции исключают «горизонтальное» распространение угроз.

• SLA-маршрутизация: ERP-трафик между площадками идёт только по каналам с задержкой ниже порогового значения. Если канал деградировал — автоматическое переключение.

• Централизованное управление: одна консоль для всех площадок. Изменение политики применяется ко всем узлам одновременно.

SD-WAN в Ideco NGFW Novum 22: что внутри

Ideco NGFW изначально строился как NGFW с развитым сетевым стеком: балансировка WAN, динамическая маршрутизация (BGP, OSPF), PBR, IPSec с VTI и GRE over IPSec. Это принципиальное отличие от многих российских NGFW-решений, ориентированных прежде всего на фильтрацию трафика, а не создание сложных распределенных сетей.

В версии 22 Novum (релиз 30 апреля 2026, а полнофункциональная версия доступна уже сегодня) мы добавили полноценный SD-WAN-модуль, который превращает NGFW в платформу класса NGFW + SD-WAN.

SLA-маршрутизация

Ключевая функция — маршрутизация трафика на основе SLA-профилей. Администратор задаёт пороговые значения для трёх параметров:

• Задержка (latency)

• Джиттер (jitter)

• Потеря пакетов (packet loss)

Логика работает по принципу OR: если хотя бы один параметр превышен, канал считается не соответствующим SLA. Трафик автоматически переключается на резервный путь.

Next Hops и группы

Создаются именованные Next Hops — выходные интерфейсы или шлюзы с привязкой к конкретным каналам. Next Hops объединяются в группы с двумя режимами:

• Резервирование — трафик идёт через приоритетный Next Hop, при несоответствии SLA переключается на следующий по приоритету.

• Балансировка — трафик распределяется между Next Hops со стабильной привязкой сессий.

Мониторинг через ping и BFD

SLA-профили проверяются периодическими ping-запросами к заданным IP-адресам. Для оперативного обнаружения обрывов поддерживается BFD (Bidirectional Forwarding Detection) — протокол, который фиксирует потерю связности за миллисекунды, а не за десятки секунд, как ping.

Настраиваются: интервал проверок, порог недоступности (количество последовательных сбоев для переключения), порог доступности (количество успешных проверок для возврата) и минимальное время активности.

Интеграция с маршрутизацией

SLA-группы Next Hops используются в:

• Статической маршрутизации — шлюзом может быть не только IP-адрес, но и группа Next Hops с SLA-профилем.

• PBR (Policy-Based Routing) — маршрутизация по источнику, назначению и портам через SLA-группы.

• BGP — IPSec-туннели выбираются как Next Hops, что позволяет строить overlay-сети с BGP поверх зашифрованных каналов.

Журнал переключений

Каждое переключение каналов фиксируется в журнале: когда произошло, по какому SLA-параметру, откуда и куда переключился трафик. Для аудита это важно: можно доказательно обосновать, почему в конкретный момент трафик пошёл по альтернативному маршруту.

Автономность решения

Важный архитектурный принцип: каждый NGFW принимает решения о переключении каналов самостоятельно, без обращения к внешнему контроллеру. Это обеспечивает работоспособность даже при потере связи с центром управления.

Сравнение подходов

 

Что дальше: roadmap SD-WAN в Ideco

SD-WAN в Ideco NGFW — не разовое добавление функциональности, а стратегическое направление развития. Вот что запланировано на 2026 год:

 

Шаблонизация в Ideco Center — это шаг к полноценному Zero-touch provisioning для филиальных сетей. Администратор создаёт шаблон с настройками интерфейсов, маршрутизации и SD-WAN-профилей, а новый узел получает конфигурацию автоматически при первом подключении.

Итог

Разрыв между сетевым управлением и безопасностью — архитектурный долг, за который платят все: сетевики ночными сменами, безопасники — слепыми зонами, бизнес — простоями и инцидентами.

SD-WAN + NGFW на одной платформе закрывает этот разрыв. Один ПАК, одна консоль, одна политика и автоматическое переключение по SLA — это меньше ошибок, быстрее реакция и ниже стоимость владения.

В Ideco NGFW Novum 22 с SD-WAN — это не маркетинговая галочка для сравнения NGFW, а настоящий рабочий инструмент для создания и поддержки сложных распределенных сетей. А к концу 2026 года — ещё и QoS, шаблонизация и централизованное управление туннелями – мощное SD-WAN решение дополненное функциями безопасности.

Если вы управляете распределённой сетью и устали разрываться между маршрутизацией и безопасностью — протестируйте Ideco NGFW и посмотрите, как SD-WAN работает внутри файрвола, а не рядом с ним. Будем благодарны за обратную связь и сделаем вместе решение еще лучше.