Контакты
Подписка 2025

Новые возможности Ideco NGFW в 2025 году

Редакция журнала "Информационная безопасность", 20/01/25

Российский рынок NGFW очень активно развивается, разработчики стремятся адаптировать свои продукты под запросы заказчиков, добавляя востребованную функциональность. Важным фактором становится скорость внедрения новых возможностей, которая зачастую играет ключевую роль в конкурентной гонке за симпатии заказчиков.

ris1 2-1

В 2024 году в Ideco NGFW было добавлено много интересных возможностей, которые разработчики в будущем году планируют активно развивать.

Zone-Based Firewall

Ideco NGFW поддерживает управление не только через хосты, но и через зоны, то есть является Zone-Based Firewall. Это значительно упрощает создание правил, включая настройку VPN, в случаях, когда сеть состоит из множества офисов или этажей, требующих сегментации. Возможность задавать разные правила для отдельных сетевых сегментов существенно повышает уровень безопасности инфраструктуры. Например, компьютер внутри зоны "защищенная локальная сеть" может обладать одним набором прав доступа, тогда как при его же подключении из зоны "VPN-пользователи" правила будут совершенно иными.

К слову, для большинства зарубежных вендоров Zone-Based Firewall уже давно является стандартом де-факто, и использование аналогичного подхода в Ideco NGFW позволяет облегчить миграцию, сохраняя привычную логику настройки и управления правилами безопасности.

Ideco VPN

Ideco NGFW на практике часто применяется в качестве VPN-сервера, поскольку его функциональные возможности позволяют эффективно и надежно организовать защищенный удаленный доступ. Поддерживаются и нативные VPN-протоколы, включая современный IKEv2, и более консервативные вроде SSTP. Реализованы также подключения через SSL VPN, который, несмотря на более низкую скорость передачи данных по сравнению с IKEv2, более "живуч", поскольку инкапсулирует трафик в TCP и маскируется под HTTPS.

Система разработана таким образом, чтобы обеспечивать не просто VPN-доступ, но и соблюдать при этом высокий уровень безопасности. В частности, реализованы механизмы многофакторной аутентификации, фильтрации VPN-трафика, а также возможность разделения в правилах на VPN-зоны для подключений Site-to-Site и Client-to-Site, – это как раз специфика Zone-Based Firewall.

Политики можно гибко конфигурировать, например, с использованием GeoIP-фильтрации, ограничений по конкретным сетям и протоколам.

Для VPN-подключений доступен полный спектр возможностей фильтрации трафика, который есть в NGFW, – контроль осуществляется файрволом, профилями контроля приложений, IPS, модулем контентной фильтрации. В числе поддерживаемых методов аутентификации: Radius, Active Directory, ALD Pro.

Под капотом решения скрыт потенциал для высоконагруженных сценариев, когда к VPN-серверу подключаются более 10 тыс. устройств, с механизмами отказоустойчивости и балансировки VPN-подключений между провайдерами и серверами.

Концепция ZTNA и HIP-профили устройств

Ideco Client поддерживает механизмы проверки комплаенса (для реализации требований ZTNA) подключаемых удаленных хостов, чтобы убедиться, что устройство удовлетворяет требованиям безопасности. Проверка проводится как при подключении через VPN, так и из локальной сети.

Для этого в версии Ideco NGFW 17 появилась возможность создавать профили устройств, известные как HIP (Host Information Profile), включать в них различные HIP-объекты и проводить проверки. Созданные профили администратор может использовать в файрволе для ограничения доступа сотрудникам в зависимости от настройки используемых ими устройств.

Допустим, администратор создал HIP-профиль "безопасное устройство", который контролирует наличие антивируса, соответствующего всем политикам безопасности компании, а также операционной системы Windows 11 и ее последних обновлений безопасности. В случае, если все требования профиля выполнены, устройство будет допущено в сеть.

Но если сотрудник подключается с устройства, не соответствующего требованиям профиля (например, с Windows 10 без антивируса и межсетевого экрана), он получит ограниченный доступ или не будет допущен в сеть вообще.

Подход к экосистемности

Некоторые отечественные вендоры в области информационной безопасности вкладываются в создание собственной экосистемы продуктов, призванной заменить решения западных компаний, таких как Cisco, Fortinet и Check Point. Эти крупные игроки традиционно строят свои экосистемы вокруг флагманского продукта – Next Generation Firewall, который служит центральным элементом и основой для множества сопутствующих решений.

В Ideco отказались от построения собственной экосистемы. Действительно, создать одинаково успешные продукты во всех направлениях информационной безопасности крайне сложно – даже у признанных мировых лидеров это получается не всегда. Нередко экосистемы создаются не столько для предоставления реальной ценности клиентам, сколько для максимального "оттягивания" ИБ-бюджета на информационную безопасность, где сильный продукт фактически "тянет" за собой более слабые решения.

В Ideco выбрали другую стратегию – стремиться, чтобы Next Generation Firewall органично вписывался в экосистемы других российских продуктов. Сегодня многие заказчики замещают импортные решения, при этом предпочитая использовать набор отечественных технологий, именно этому помогает активное развитие механизмов интеграции.

Например, налажено сотрудничество с системой "МУЛЬТИФАКТОР", которая обеспечивает многофакторную аутентификацию пользователей, а также с компанией SkyDNS, благодаря которой в Ideco NGFW можно встроить модуль DNS Security. Компания "Цифровые решения" предоставляет балансировщик нагрузки, позволяющий реализовать сценарии, в которых несколько физических серверов Ideco NGFW работают в кластере Active-Active с распределением трафика.

Реализована интеграция с отечественными операционными системами Astra Linux и РЕД ОС в части авторизации пользователей и администраторов. Для проверки веб-трафика, а также для защиты почтового трафика от вирусов, фишинга и спама используются антивирусные технологии от "Лаборатории Касперского". Налажено взаимодействие с рядом продуктов компании "Газинформсервис".

Поддержка отраслевых стандартов

Для развития этой стратегии разработчики Ideco стремятся максимально полно и точно соответствовать отраслевым стандартам, чтобы обеспечить совместимость и удобство интеграции с другими решениями. Например, IPSec для Site-to-Site VPN полностью отвечает требованиям стандарта, что позволяет объединять сети с оборудованием сторонних вендоров. На практике есть успешные кейсы, где Ideco интегрируется по VPN с решениями FortiGate, Check Point, Cisco, MikroTik и другими системами.

Среди поддерживаемых ключевых отраслевых протоколов:

  • ICAP для взаимодействия с DLP-системами и внешними потоковыми антивирусами;
  • Syslog для интеграции с SIEM-системами;
  • Radius для идентификации и аутентификации пользователей.

Важное удобство дает использование для IPS синтаксиса правил, совместимого с платформами Snort, Suricata и другими решениями, в том числе коммерческими. Разработчики реализовали возможность загрузки сторонних правил, что делает работу с системой предотвращения вторжений более гибкой и удобной для администраторов.

Ideco NGFW поддерживает интеграцию с системами мониторинга, такими как SNMP и Zabbix, которые де-факто являются стандартами в сфере мониторинга и управления сетевой инфраструктурой.

Подключение Client-to-Site поддерживает нативные VPN-протоколы, что позволяет и мобильным устройствам, и стационарным рабочим станциям, в том числе и под управлением отечественных операционных систем, легко взаимодействовать с Ideco NGFW.

Вдобавок у Ideco NGFW есть открытый и документированный REST API, благодаря которому можно адаптировать и настраивать решение под свои специфические задачи, автоматизировать процессы и расширять функциональность в рамках собственного ИТ-ландшафта.

Аппаратные ускорители

У российских разработчиков NGFW начинают появляться аппаратные ускорители FPGA, ASIC. По мнению компании Ideco, использование аппаратных ускорителей в сетевом стеке NGFW сегодня выглядит избыточным и неоправданным как с технической, так и с экономической точки зрения.

Исторически разработка и использование аппаратных ускорителей были обусловлены технологическими ограничениями примерно десятилетней давности. Западные производители активно внедряли такие инженерные решения, когда микропроцессоры были значительно слабее, чем сегодня, и вдобавок, еще не существовало технологий вроде DPDK и VPP, которые в современных многоядерных процессорах получили свое аппаратное ускорение. То есть сейчас даже дорогостоящие многоядерные процессоры оказываются гораздо более экономически выгодным и эффективным решением, чем специализированные FPGA-ускорители.

На данный момент в Ideco не рассматривают поддержку аппаратных ускорителей в своем продукте, поскольку после перехода на VPP и внедрения собственного сетевого стека уже достигается значительное ускорение. Однако стоит оговориться, что некоторые специфические случаи, например шифрование по стандарту ГОСТ, может в будущем потребовать аппаратного ускорения для повышения производительности и вернуть разработчиков к этому вопросу.

Что нового добавится в 2025 году

Мощность разработки в компании Ideco растет от года к году: стало больше разработчиков, тестировщиков, инженеров и других специалистов, работающих с продуктом. Поэтому и скорость появления новых возможностей в Ideco NGFW повышается. Пройдемся по наиболее интересным аспектам, ожидаемым в новом году.

Объединение Ideco NGFW и Ideco NGFW VPP

С прошлого года в компании ведется разработка, фактически, двух продуктов: Ideco NGFW и Ideco NGFW VPP. VPP-версия отличается тем, что в ней используется сетевой стек в User Space (а не в ядре Linux) с применением технологии VPP. Из библиотеки VPP, впрочем, используется только базовая функциональность, а все модули обработки трафика написаны самими разработчиками Ideco, в том числе межсетевой экран, IPS, DPI, Proxy и др. Такой подход позволяет значительно ускорить обработку трафика и при этом сделать ее достаточно гибкой, настраивать правила фильтрации в более удобном формате.

В 2025 г. планируется объединение обеих веток в единый продукт с сохранением всех наработок по улучшению производительности, которые велись в версии VPP.

Сертификаты ФСТЭК России и ФСБ России

Особое внимание в 2025 г. будет уделено версии Ideco UTM FSTEK. На сегодняшний день актуальна 18-я версия, и планируется обновление до версии 19.

В новом году также готовится большое обновление, связанное с ГОСТ VPN, сначала для подключений Site-to-Site, а чуть позже и для Client-to-Site.

Кроме того, компания готовится сертифицировать Ideco NGFW по относительно новым требованиям – к многофункциональным межсетевым экранам уровня сети. По сути, они описывают минимальный набор модулей не просто в МЭ, а именно в NGFW.

Сенсор NetFlow

В Ideco NGFW появится поддержка NetFlow-сенсора для перенаправления трафика на NetFlow-коллектор в целях мониторинга и анализа.

Сейчас в NGFW реализован SPAN-интерфейс для зеркалирования трафика, однако этот способ не всегда удобен для крупных сетей с большим количеством устройств. В таких случаях NetFlow становится более предпочтительным инструментом. Поддерживаются NetFlow v5 и IPFIX v9, что обеспечивает совместимость с большинством современных решений для анализа трафика. Пока что сенсор представлен в единственном экземпляре на весь продукт, но в дальнейшем разработчики планируют добавить возможность экспорта данных в несколько коллекторов, предоставив пользователям более гибкие конфигурации.

Поддержка NetFlow – это тоже часть стратегии Ideco по следованию отраслевым стандартам. Этот протокол широко распространен и позволяет без сложностей интегрироваться с системами анализа и мониторинга трафика.

Другие улучшения

Запланированы и другие, не менее интересные функции.

  • В VPN-клиенте появится ускорение синхронизации групп безопасности с Active Directory. Особенно оценят это улучшение те, у кого в инфраструктуре есть не просто каталог, а AD-леса, тысячи групп и десятки тысяч пользователей.
  • Улучшится отчетность по трафику.
  • Добавится балансировка VPN-соединений в режиме Active-Active.
  • С компанией SkyDNS ведется большая работа по улучшению модуля категоризации сайтов: добавятся новые категории, улучшится качество наполнения существующих.
  • Появится портал SSL VPN, который будет защищать опубликованные компанией ресурсы.

В заключение

Надежность работы – это одно из главных требований заказчиков к российским ИБ-решениям. Поэтому на сегодняшнем рынке NGFW важно не только успеть за запросами заказчиков, но и сделать это так, чтобы не пострадала стабильность. Разработчикам Ideco это удавалось в прошедшем году, и они настроены, чтобы так же получалось и в будущем.

Темы:ZTNANGFWIdeco VPNIdecoIdeco NGFWЖурнал "Информационная безопасность" №6, 2024

Программа мероприятий
для руководителей и специалистов
по защите информации

Посетить
Кибербезопасность
Форум ITSEC 2025 (весна) для AppSec, Security Champions, DevOps-инженеров, тестировщиков, специалистов по ИБ
Участвуйте 3-4 июня →
Статьи по той же темеСтатьи по той же теме

  • Обзор китайского рынка NGFW
    Азиатско-Тихоокеанский регион, где доминирует Китай, стал вторым по величине рынком NGFW в мире и уже в 2023 г. генерировал свыше 30% мирового спроса. При этом глобальный рынок по-прежнему возглавляют западные вендоры, тогда как из китайских компаний в топ-5 присутствует только Huawei с долей около 3,5%. Совокупная доля китайских производителей на мировом рынке остается скромной и оценивается в 5–10%.
  • Выбор NGFW: венчурные инвестиции или ставки на спорт?
    Наталья Онищенко, эксперт по ИБ в компании энергетической отрасли
    Для заказчиков выбор решения NGFW превращается в сложный компромисс, ведь рынок предлагает множество вариантов, каждый из которых силен в чем-то своем. Одни устройства отличаются высокой производительностью, но ограничены по функциональности, другие предлагают широкий набор возможностей, но уступают в стабильности. Ситуация осложняется, когда требуется учитывать отраслевую специфику или особенности существующей инфраструктуры. В итоге заказчикам приходится искать баланс между требованиями безопасности, удобством управления и техническими характеристиками, что далеко не всегда просто.
  • Из истории одного проекта по замене NGFW
    Алексей Хмыров, руководитель отдела по развитию бизнеса АО “ЭЛВИС-ПЛЮС”
    Комплексный проект по созданию системы защиты объекта КИИ, о котором пойдет рассказ, стартовал до ввода в действие нормативно-правовой базы о технологической независимости, но к завершающей стадии проекта мы все же столкнулись с этими изменениями в законодательстве. Рассмотрим, каким образом удалось перестроить проект и преодолеть возникшие сложности в части использования решений класса NGFW.
  • Секреты эффективного взаимодействия NGFW и SOC
    Андрей Ларшин, руководитель направления NGFW, RED Security
    NGFW и SOC – это передовые инструменты для обеспечения безопасности корпоративных сетей. RED Security предлагает услуги собственного SOC в формате MSS-сервиса, а также ведет разработку собственных решений в области сетевой безопасности. Рассмотрим, основываясь на накопленном опыте, как эти технологии связаны между собой, как дополняют друг друга и какие сложности в связи с этим возникают.
  • Без паники, интегратор знает путь
    Сергей Мотовилов, операционный директор ООО “Глобал АйТи”
    В России насчитывается как минимум четыре десятка производителей NGFW с широким разбросом функциональных возможностей. Но сложность выбора лежит не только в технической плоскости, но и в адаптации понравившегося решения к задачам бизнеса. В такой ситуации партнерство с системным интегратором, обладающим опытом работы с отечественными продуктами, становится не просто желательной, а необходимой мерой.
  • Отечественные NGFW против зарубежных: стоит ли сравнивать?
    Юрий Лукович, президент АО “ЦИКАДА”
    Центробанк обяжет банки России внедрить передовые технологии защиты инфраструктуры, что станет новым этапом развития для разработчиков программно-аппаратных решений, в том числе в сегменте NGFW. И в ноябре 2024 г. Банк России начал сравнительное тестирование отечественных межсетевых экранов нового поколения. Методика тестирования уже разработана, но пока не опубликована.

Хотите участвовать?

Выберите вариант!

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2025
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
Linux
Защиту СУБД и данных обсудим на ITSEC 2025
Посетите 3-4 июня →

More...
ТБ Форум 2025
4 июня | Форум ITSEC 2025 Доверенные корпоративные репозитории
Жми, чтобы участвовать

More...