На упрощённых схемах NGFW часто изображают как последовательный конвейер: межсетевой экран, DPI, IPS, антивирус, WAF. Такая схема удобна для презентации, но создаёт неверное впечатление, будто каждый пакет проходит через все механизмы по очереди, а для усиления защиты достаточно включить больше модулей.На практике всё зависит от конкретного потока. DNS-запрос, исходящее HTTPS-соединение, другой транзитный трафик и обращение к опубликованному веб-приложению обрабатываются разными механизмами. Поэтому модуль может быть настроен и активен, но не анализировать нужное соединение: профиль IPS не подключён к разрешающему правилу, DNS-запросы уходят через другой резолвер, HTTPS не расшифровывается, а приложение опубликовано через DNAT в обход WAF.Разберём эту модель на примере Ideco NGFW Novum 22: какой трафик получает каждый механизм, какие данные ему доступны и где чаще всего возникают слепые зоны. Читать далее