Разговор о защите веб-трафика в корпоративной среде нередко заканчивается одной фразой: «у нас есть NGFW, этого достаточно». Мы слышим её часто — и каждый раз понимаем, что за ней стоит либо ограниченный бюджет, либо непонимание того, что именно происходит с трафиком после того, как межсетевой экран его пропустил.
Именно здесь начинается разговор про SWG — и про Solar webProxy как наиболее зрелое решение этого класса на российском рынке.
Почему NGFW не закрывает задачу полностью
Это не критика межсетевых экранов. NGFW делает свою работу хорошо: защищает периметр, контролирует сетевые соединения, работает с IPS/IDS, обеспечивает VPN. Проблема возникает тогда, когда на него же возлагают задачи веб-фильтрации и SSL-инспекции.
SSL-инспекция — вычислительно дорогая операция. При включении расшифровки HTTPS-трафика на NGFW производительность устройства заметно падает, причём именно в моменты пиковой нагрузки — то есть тогда, когда это наиболее критично. Фактически, при росте числа атак и одновременном росте HTTPS-сессий NGFW начинает «выбирать» между задачами: либо своевременно блокировать сетевые угрозы, либо полноценно инспектировать веб-трафик пользователей.
SWG снимает это противоречие за счёт специализации. Каждое решение делает то, для чего создано, — и делает это без ущерба для производительности соседа.
SWG снимает с NGFW несвойственную нагрузку.
В результате сетевой экран продолжает защищать периметр, а специализированное решение берет на себя веб-фильтрацию, SSL-инспекцию и контроль пользовательского трафика.
Что такое Solar webProxy на практике
Solar webProxy — это российское SWG-решение с сертификатом ФСТЭК (№ 4323, класс МЭ Б4) и статусом отечественного ПО в реестре Минцифры. За этими формальными характеристиками стоит реальная история внедрений: более 150 проектов, включая инфраструктуры федерального масштаба.
Цифры, которые показывают реальный масштаб применения: 2 миллиона пользователей в системе образования России — 15 000 школ под единым управлением, 27 миллиардов веб-запросов в квартал, из которых 1,5 миллиарда блокируется. Это не маркетинговые показатели — это операционная нагрузка, которую система несёт в режиме реального времени.
Архитектурно продукт построен по модульному принципу. Ядро (webProxy Core) включает HTTP(S)-прокси, SSL-инспекцию с поддержкой TLS 1.3, SOCKS5, базовый межсетевой экран L3/L4, DPI и модуль «Досье» для ведения профилей активности пользователей. Поверх этого — подключаемые модули: webCat (категоризатор с базой свыше 20 млн URL и TI-фидами от Solar 4RAYS), Antivirus, Reverse Proxy и MultiProxy для централизованного управления распределёнными филиалами.
Три задачи, которые решает SWG там, где NGFW останавливается
Контентная фильтрация
на уровне приложений
DPI в Solar webProxy умеет работать не просто с протоколами, а с конкретными приложениями и сервисами — включая мессенджеры, облачные хранилища и веб-интерфейсы корпоративных систем. Это позволяет строить гранулярные политики: не «разрешить HTTPS», а «разрешить конкретному подразделению доступ к конкретному сервису в рабочие часы».
Контроль утечек
через веб-канал
Интеграция с DLP Solar Dozor по протоколу ICAP позволяет анализировать содержимое файлов, передаваемых через веб, почту и мессенджеры, до того как они покинут периметр. Reverse Proxy добавляет контроль над исходящими данными при удалённом доступе — это важно для организаций с распределёнными командами.
Видимость и расследования
аналитика по пользователям
«Досье» — один из наиболее востребованных инструментов в реальных проектах. Централизованная аналитика по каждому пользователю, группам риска, хронология активности — всё это существенно ускоряет расследования инцидентов и снижает нагрузку на аналитиков ИБ.
Новый вызов: ИИ-сервисы в корпоративном трафике
Это тема, которая за последний год перешла из категории «интересно обсудить» в категорию «нужно срочно решать».
Объём данных, отправляемых сотрудниками во внешние нейросети, вырос кратно. По данным исследований, около 46% конфиденциальных файлов и промптов уходит только через ChatGPT. При этом большинство организаций не имеют никакой политики работы с AI-сервисами — ни запрещающей, ни разрешающей, ни разграничивающей.
Solar webProxy закрывает эту задачу через категоризатор webCat, который распознаёт обращения к ИИ-платформам (ChatGPT, Claude, Gemini, Copilot, DeepSeek, GigaChat, YandexGPT и другим), и через анализ содержимого исходящих запросов. Система умеет детектировать передачу файлов с признаками конфиденциальных данных, фрагменты исходного кода, внутренние идентификаторы — и блокировать такую передачу с уведомлением и журналированием.
Важно понимать двустороннюю природу угрозы. Риск — не только в том, что сотрудник что-то отправляет наружу. Входящие ответы от ИИ-сервисов тоже могут содержать вредоносные вложения или вести на фишинговые страницы, имитирующие легитимные AI-платформы. Solar webProxy анализирует обе стороны взаимодействия.
Что показывает опыт миграции
Значительная часть проектов с Solar webProxy — это замена зарубежных решений: McAfee SWG, Forcepoint. Паттерн схожий: зарубежный вендор прекратил поддержку или обновления, система перестала закрывать актуальные угрозы, при этом существующие политики нужно сохранить и перенести без потери контроля.
В кейсе с крупным российским банком (38 000 пользователей, 60+ серверов, 100+ интегрированных систем) переход был выполнен с зеркальным переносом политик и без простоев. В другом проекте — федеральная розничная сеть, 30 000 пользователей по всей России — система включает 11 серверов в явном, прозрачном и реверсивном режимах с балансировкой через HAProxy и мониторингом Zabbix.
Это важный практический момент: Solar webProxy поддерживает смешанные режимы работы (explicit/transparent/reverse) и различные схемы аутентификации (NTLM, Kerberos, Negotiate, Radius, IP), что позволяет вписать решение в существующую инфраструктуру без её перестройки.
На что обращать внимание при выборе и внедрении
Из практики интеграционных проектов несколько наблюдений, которые редко звучат в маркетинговых материалах.
SSL-инспекция — это не просто «включить галочку». Для корректной работы требуется распределить исключения: часть трафика (банковские системы, корпоративные приложения с certificate pinning) нельзя расшифровывать. Настройка исключений — отдельная задача, которую нужно закладывать в проект.
Масштаб влияет на архитектуру. Для небольших инсталляций достаточно одного-двух серверов. Для геораспределённых сетей с тысячами пользователей в филиалах модуль MultiProxy меняет подход принципиально: политики управляются централизованно, но фильтрация происходит локально, без узкого места в виде единой точки выхода.
Категоризатор — живой инструмент. webCat обновляется непрерывно, что критично: фишинговые домены живут часами, и база угроз должна обновляться соответственно. TI-фиды от Solar 4RAYS добавляют контекст из реальных инцидентов, зафиксированных командой реагирования.
Регуляторный контекст
Для организаций, работающих в российской регуляторной среде, Solar webProxy закрывает ряд требований напрямую. Сертификат ФСТЭК подтверждает соответствие требованиям к межсетевым экранам класса Б4. Статус отечественного ПО актуален для госструктур и организаций КИИ в контексте требований об импортозамещении. Наличие сертифицированного решения снижает регуляторные риски при проверках со стороны ФСТЭК, Роскомнадзора и ЦБ.
С вступлением в силу Приказа ФСТЭК № 117 вопрос контроля веб-трафика становится частью формализованных требований к процессу защиты информации — а не просто рекомендацией.
Итог
Solar webProxy — это не «ещё одна система фильтрации». Это специализированный инструмент, который решает конкретный класс задач лучше, чем универсальные решения, пытающиеся охватить всё сразу.
В связке с NGFW он формирует эшелонированную защиту, где каждый уровень работает в своей зоне ответственности без конкуренции за ресурсы. В условиях роста угроз через веб-канал, экспансии ИИ-сервисов в корпоративную среду и ужесточения регуляторных требований — это не избыточность, а архитектурная необходимость.
Если вы рассматриваете внедрение или миграцию с зарубежного SWG — мы готовы помочь с оценкой текущей инфраструктуры и подбором оптимальной конфигурации под ваши задачи.