Контакты
Подписка 2026

Новые возможности Ideco NGFW в 2025 году

Редакция журнала "Информационная безопасность", 20/01/25

Российский рынок NGFW очень активно развивается, разработчики стремятся адаптировать свои продукты под запросы заказчиков, добавляя востребованную функциональность. Важным фактором становится скорость внедрения новых возможностей, которая зачастую играет ключевую роль в конкурентной гонке за симпатии заказчиков.

ris1 2-1

В 2024 году в Ideco NGFW было добавлено много интересных возможностей, которые разработчики в будущем году планируют активно развивать.

Zone-Based Firewall

Ideco NGFW поддерживает управление не только через хосты, но и через зоны, то есть является Zone-Based Firewall. Это значительно упрощает создание правил, включая настройку VPN, в случаях, когда сеть состоит из множества офисов или этажей, требующих сегментации. Возможность задавать разные правила для отдельных сетевых сегментов существенно повышает уровень безопасности инфраструктуры. Например, компьютер внутри зоны "защищенная локальная сеть" может обладать одним набором прав доступа, тогда как при его же подключении из зоны "VPN-пользователи" правила будут совершенно иными.

К слову, для большинства зарубежных вендоров Zone-Based Firewall уже давно является стандартом де-факто, и использование аналогичного подхода в Ideco NGFW позволяет облегчить миграцию, сохраняя привычную логику настройки и управления правилами безопасности.

Ideco VPN

Ideco NGFW на практике часто применяется в качестве VPN-сервера, поскольку его функциональные возможности позволяют эффективно и надежно организовать защищенный удаленный доступ. Поддерживаются и нативные VPN-протоколы, включая современный IKEv2, и более консервативные вроде SSTP. Реализованы также подключения через SSL VPN, который, несмотря на более низкую скорость передачи данных по сравнению с IKEv2, более "живуч", поскольку инкапсулирует трафик в TCP и маскируется под HTTPS.

Система разработана таким образом, чтобы обеспечивать не просто VPN-доступ, но и соблюдать при этом высокий уровень безопасности. В частности, реализованы механизмы многофакторной аутентификации, фильтрации VPN-трафика, а также возможность разделения в правилах на VPN-зоны для подключений Site-to-Site и Client-to-Site, – это как раз специфика Zone-Based Firewall.

Политики можно гибко конфигурировать, например, с использованием GeoIP-фильтрации, ограничений по конкретным сетям и протоколам.

Для VPN-подключений доступен полный спектр возможностей фильтрации трафика, который есть в NGFW, – контроль осуществляется файрволом, профилями контроля приложений, IPS, модулем контентной фильтрации. В числе поддерживаемых методов аутентификации: Radius, Active Directory, ALD Pro.

Под капотом решения скрыт потенциал для высоконагруженных сценариев, когда к VPN-серверу подключаются более 10 тыс. устройств, с механизмами отказоустойчивости и балансировки VPN-подключений между провайдерами и серверами.

Концепция ZTNA и HIP-профили устройств

Ideco Client поддерживает механизмы проверки комплаенса (для реализации требований ZTNA) подключаемых удаленных хостов, чтобы убедиться, что устройство удовлетворяет требованиям безопасности. Проверка проводится как при подключении через VPN, так и из локальной сети.

Для этого в версии Ideco NGFW 17 появилась возможность создавать профили устройств, известные как HIP (Host Information Profile), включать в них различные HIP-объекты и проводить проверки. Созданные профили администратор может использовать в файрволе для ограничения доступа сотрудникам в зависимости от настройки используемых ими устройств.

Допустим, администратор создал HIP-профиль "безопасное устройство", который контролирует наличие антивируса, соответствующего всем политикам безопасности компании, а также операционной системы Windows 11 и ее последних обновлений безопасности. В случае, если все требования профиля выполнены, устройство будет допущено в сеть.

Но если сотрудник подключается с устройства, не соответствующего требованиям профиля (например, с Windows 10 без антивируса и межсетевого экрана), он получит ограниченный доступ или не будет допущен в сеть вообще.

Подход к экосистемности

Некоторые отечественные вендоры в области информационной безопасности вкладываются в создание собственной экосистемы продуктов, призванной заменить решения западных компаний, таких как Cisco, Fortinet и Check Point. Эти крупные игроки традиционно строят свои экосистемы вокруг флагманского продукта – Next Generation Firewall, который служит центральным элементом и основой для множества сопутствующих решений.

В Ideco отказались от построения собственной экосистемы. Действительно, создать одинаково успешные продукты во всех направлениях информационной безопасности крайне сложно – даже у признанных мировых лидеров это получается не всегда. Нередко экосистемы создаются не столько для предоставления реальной ценности клиентам, сколько для максимального "оттягивания" ИБ-бюджета на информационную безопасность, где сильный продукт фактически "тянет" за собой более слабые решения.

В Ideco выбрали другую стратегию – стремиться, чтобы Next Generation Firewall органично вписывался в экосистемы других российских продуктов. Сегодня многие заказчики замещают импортные решения, при этом предпочитая использовать набор отечественных технологий, именно этому помогает активное развитие механизмов интеграции.

Например, налажено сотрудничество с системой "МУЛЬТИФАКТОР", которая обеспечивает многофакторную аутентификацию пользователей, а также с компанией SkyDNS, благодаря которой в Ideco NGFW можно встроить модуль DNS Security. Компания "Цифровые решения" предоставляет балансировщик нагрузки, позволяющий реализовать сценарии, в которых несколько физических серверов Ideco NGFW работают в кластере Active-Active с распределением трафика.

Реализована интеграция с отечественными операционными системами Astra Linux и РЕД ОС в части авторизации пользователей и администраторов. Для проверки веб-трафика, а также для защиты почтового трафика от вирусов, фишинга и спама используются антивирусные технологии от "Лаборатории Касперского". Налажено взаимодействие с рядом продуктов компании "Газинформсервис".

Поддержка отраслевых стандартов

Для развития этой стратегии разработчики Ideco стремятся максимально полно и точно соответствовать отраслевым стандартам, чтобы обеспечить совместимость и удобство интеграции с другими решениями. Например, IPSec для Site-to-Site VPN полностью отвечает требованиям стандарта, что позволяет объединять сети с оборудованием сторонних вендоров. На практике есть успешные кейсы, где Ideco интегрируется по VPN с решениями FortiGate, Check Point, Cisco, MikroTik и другими системами.

Среди поддерживаемых ключевых отраслевых протоколов:

  • ICAP для взаимодействия с DLP-системами и внешними потоковыми антивирусами;
  • Syslog для интеграции с SIEM-системами;
  • Radius для идентификации и аутентификации пользователей.

Важное удобство дает использование для IPS синтаксиса правил, совместимого с платформами Snort, Suricata и другими решениями, в том числе коммерческими. Разработчики реализовали возможность загрузки сторонних правил, что делает работу с системой предотвращения вторжений более гибкой и удобной для администраторов.

Ideco NGFW поддерживает интеграцию с системами мониторинга, такими как SNMP и Zabbix, которые де-факто являются стандартами в сфере мониторинга и управления сетевой инфраструктурой.

Подключение Client-to-Site поддерживает нативные VPN-протоколы, что позволяет и мобильным устройствам, и стационарным рабочим станциям, в том числе и под управлением отечественных операционных систем, легко взаимодействовать с Ideco NGFW.

Вдобавок у Ideco NGFW есть открытый и документированный REST API, благодаря которому можно адаптировать и настраивать решение под свои специфические задачи, автоматизировать процессы и расширять функциональность в рамках собственного ИТ-ландшафта.

Аппаратные ускорители

У российских разработчиков NGFW начинают появляться аппаратные ускорители FPGA, ASIC. По мнению компании Ideco, использование аппаратных ускорителей в сетевом стеке NGFW сегодня выглядит избыточным и неоправданным как с технической, так и с экономической точки зрения.

Исторически разработка и использование аппаратных ускорителей были обусловлены технологическими ограничениями примерно десятилетней давности. Западные производители активно внедряли такие инженерные решения, когда микропроцессоры были значительно слабее, чем сегодня, и вдобавок, еще не существовало технологий вроде DPDK и VPP, которые в современных многоядерных процессорах получили свое аппаратное ускорение. То есть сейчас даже дорогостоящие многоядерные процессоры оказываются гораздо более экономически выгодным и эффективным решением, чем специализированные FPGA-ускорители.

На данный момент в Ideco не рассматривают поддержку аппаратных ускорителей в своем продукте, поскольку после перехода на VPP и внедрения собственного сетевого стека уже достигается значительное ускорение. Однако стоит оговориться, что некоторые специфические случаи, например шифрование по стандарту ГОСТ, может в будущем потребовать аппаратного ускорения для повышения производительности и вернуть разработчиков к этому вопросу.

Что нового добавится в 2025 году

Мощность разработки в компании Ideco растет от года к году: стало больше разработчиков, тестировщиков, инженеров и других специалистов, работающих с продуктом. Поэтому и скорость появления новых возможностей в Ideco NGFW повышается. Пройдемся по наиболее интересным аспектам, ожидаемым в новом году.

Объединение Ideco NGFW и Ideco NGFW VPP

С прошлого года в компании ведется разработка, фактически, двух продуктов: Ideco NGFW и Ideco NGFW VPP. VPP-версия отличается тем, что в ней используется сетевой стек в User Space (а не в ядре Linux) с применением технологии VPP. Из библиотеки VPP, впрочем, используется только базовая функциональность, а все модули обработки трафика написаны самими разработчиками Ideco, в том числе межсетевой экран, IPS, DPI, Proxy и др. Такой подход позволяет значительно ускорить обработку трафика и при этом сделать ее достаточно гибкой, настраивать правила фильтрации в более удобном формате.

В 2025 г. планируется объединение обеих веток в единый продукт с сохранением всех наработок по улучшению производительности, которые велись в версии VPP.

Сертификаты ФСТЭК России и ФСБ России

Особое внимание в 2025 г. будет уделено версии Ideco UTM FSTEK. На сегодняшний день актуальна 18-я версия, и планируется обновление до версии 19.

В новом году также готовится большое обновление, связанное с ГОСТ VPN, сначала для подключений Site-to-Site, а чуть позже и для Client-to-Site.

Кроме того, компания готовится сертифицировать Ideco NGFW по относительно новым требованиям – к многофункциональным межсетевым экранам уровня сети. По сути, они описывают минимальный набор модулей не просто в МЭ, а именно в NGFW.

Сенсор NetFlow

В Ideco NGFW появится поддержка NetFlow-сенсора для перенаправления трафика на NetFlow-коллектор в целях мониторинга и анализа.

Сейчас в NGFW реализован SPAN-интерфейс для зеркалирования трафика, однако этот способ не всегда удобен для крупных сетей с большим количеством устройств. В таких случаях NetFlow становится более предпочтительным инструментом. Поддерживаются NetFlow v5 и IPFIX v9, что обеспечивает совместимость с большинством современных решений для анализа трафика. Пока что сенсор представлен в единственном экземпляре на весь продукт, но в дальнейшем разработчики планируют добавить возможность экспорта данных в несколько коллекторов, предоставив пользователям более гибкие конфигурации.

Поддержка NetFlow – это тоже часть стратегии Ideco по следованию отраслевым стандартам. Этот протокол широко распространен и позволяет без сложностей интегрироваться с системами анализа и мониторинга трафика.

Другие улучшения

Запланированы и другие, не менее интересные функции.

  • В VPN-клиенте появится ускорение синхронизации групп безопасности с Active Directory. Особенно оценят это улучшение те, у кого в инфраструктуре есть не просто каталог, а AD-леса, тысячи групп и десятки тысяч пользователей.
  • Улучшится отчетность по трафику.
  • Добавится балансировка VPN-соединений в режиме Active-Active.
  • С компанией SkyDNS ведется большая работа по улучшению модуля категоризации сайтов: добавятся новые категории, улучшится качество наполнения существующих.
  • Появится портал SSL VPN, который будет защищать опубликованные компанией ресурсы.

В заключение

Надежность работы – это одно из главных требований заказчиков к российским ИБ-решениям. Поэтому на сегодняшнем рынке NGFW важно не только успеть за запросами заказчиков, но и сделать это так, чтобы не пострадала стабильность. Разработчикам Ideco это удавалось в прошедшем году, и они настроены, чтобы так же получалось и в будущем.

Темы:ZTNANGFWIdeco VPNIdecoIdeco NGFWЖурнал "Информационная безопасность" №6, 2024
Практика защиты персональных данных в 2027 году: требования и инструменты. 14 октября на Форуме ITSEC 2026
Полное расписание мероприятий Форума ITSEC 2026 →

Программа мероприятий
для руководителей и специалистов
по защите информации

Посетить
Статьи по той же темеСтатьи по той же теме

  • NGFW, который выдерживает масштаб ЦОД
    Кирилл Прямов, менеджер по развитию NGFW в компании UserGate
    Дата-центр – одна из немногих сред, где сетевые решения довольно быстро проверяются на прочность. То, что спокойно работает на корпоративном периметре, в ЦОД может начать создавать ограничения уже при первых попытках масштабирования инфраструктуры. Поэтому неизбежно возникает вопрос: какой межсетевой экран действительно рассчитан на работу в среде дата-центра, а какой изначально проектировался для совсем других условий.
  • Приказ № 117 и роль NGFW в архитектуре защиты
    Антон Рысев, директор по правовым вопросам, Ideco
    1 марта 2026 г. вступил в силу приказ ФСТЭК России № 117 от 11.04.2025, который заменил приказ № 17 и распространил требования по защите информации не только на ГИС, но и на иные информационные системы государственных органов и учреждений. А поправки к 187-ФЗ, принятые в 2025 г., уточнили состав субъектов КИИ и усилили требования по взаимодействию с ГосСОПКА. Содержательно это не революция, набор мер защиты не стал принципиально иным, но изменился фокус проверки.
  • Фундамент безопасности: почему VPN/FW остаются актуальными?
    Александр Чередниченко, директор производственного блока AO “ЭЛВИС-ПЛЮС”
    Давайте наконец развеем миф о второстепенности классических VPN-шлюзов и на примере нашего флагманского продукта “ЗАСТАВА" покажем, как зрелые, отточенные технологии становятся краеугольным камнем современной эшелонированной защиты, интегрируясь в самые сложные и ответственные ИТ-ландшафты.
  • Ценность логов NGFW рождается в SIEM
    Василий Кочканиди, аналитик RuSIEM
    NGFW – один из самых важных источников контекстных данных для SOC, но его ценность раскрывается только при глубокой и корректной интеграции с SIEM: когда события не просто собираются, а нормализуются, обогащаются и анализируются в связке с другими источниками.
  • Роль аппаратных ускорителей в современных NGFW
    Кирилл Прямов, менеджер по развитию NGFW в компании UserGate
    Использование аппаратного ускорения в NGFW фактически стало отраслевым стандартом. Крупные мировые вендоры – Cisco, Check Point, Fortinet, Palo Alto Networks – широко применяют ускорители на базе FPGA и ASIC, поскольку они обеспечивают существенно более высокое соотношение производительности и стоимости по сравнению с универсальными CPU. Что же с этим в России?
  • Такие взрослые, а в сказки верите
    За последние несколько лет в тему импортозамещения межсетевых экранов не погрузился разве что самый принципиально равнодушный к происходящему эксперт. С мая 2022 г. замена средств защиты информации в целом, и межсетевых экранов в частности, превратилась из предмета профессионального интереса в обязательный пункт повестки для большинства крупных российских организаций.

Хотите участвовать?

Выберите вариант!

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2026
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
13-14 октября приглашаем экспертов и практиков выступить на Форуме ITSEC 2026!
Отправить заявку на участие →

More...
ТБ Форум 2026
13 октября. Защищенный удаленный доступ на Форуме ITSEC 2026
Регистрация открыта →

More...