Ideco NGFW Novum: практические кейсы внедрения и защита корпоративных сетей
Главная » Практика » Решения
Security Vision Next Generation SGRCУзнайте, как на первой в России платформе с ИИ построено комплексное решение для задач стратегической безопасности. Security Vision SGRC объединяет ресурсно-сервисную модель и десятки методик для моделирования угроз, оценки рисков, непрерывности бизнеса, аудита и комплаенса. NG SGRC подходит для компаний с требованиями кастомизации благодаря Low-code конструкторам платформы и мультиарендности. Для среднего и малого бизнеса предусмотрены дополнительные варианты SGRC Basic и SGRC SaaS.→ Ознакомиться
Реклама, 18+. ООО «Интеллектуальная Безопасность», ИНН 7719435412
14 Октября 2025 - 10:27

Опыт внедрения Ideco NGFW Novum в распределённой инфраструктуре российских компаний

Аватар пользователя Оксана Гриднева
Оксана Гриднева
Обозреватель Anti-Malware.ru
Вверх
Проголосовало: 10, включая Вас
...
Опыт внедрения Ideco NGFW Novum в распределённой инфраструктуре российских компаний

Рынок NGFW требует внимания к реальной эффективности решений, а не только к сертификатам. Анализ кейсов внедрения решений Ideco NGFW Novum подтвердил, что только пошаговое внедрение и пилотное тестирование позволяют выстроить эффективную управляемую и масштабируемую систему безопасности.

 

 

 

 

 

 

  1. Введение
  2. Каким требованиям должен соответствовать NGFW
  3. Как не поменять NGFW через год: подводные камни по опыту Ideco
  4. Ideco NGFW Novum — основа новой эры энтерпрайз-безопасности
  5. Защита распределённой сети после ухода Cisco
  6. Построение масштабируемой сети с шифрованием на 300+ объектов
  7. Многоуровневая защита от периметра до рабочих мест
  8. Организация безопасного удалённого доступа и сегментация сети
  9. Выводы

Введение

Рынок межсетевых экранов нового поколения (Next Generation Firewall, NGFW) в России развивается в условиях ужесточающихся требований регуляторов к защите информации. Для компаний это означает необходимость внимательного подхода к выбору решений: маркетинговые обещания производителей не могут служить достаточным основанием. 

При выборе NGFW приоритет следует отдавать функциональным возможностям устройства и перспективам его долгосрочного развития. Также важны соответствие нормативным требованиям, готовность вендора сопровождать продукт на протяжении всего срока эксплуатации и проверенные в реальных условиях результаты работы устройства.

С учётом этих факторов Ideco подготовила семь практических кейсов. Они демонстрируют, каким образом должен функционировать межсетевой экран нового поколения, какие параметры действительно важны при его выборе и как оценивать эффективность решения в реальных условиях эксплуатации.

Каким требованиям должен соответствовать NGFW

Мы уже детально рассматривали базовые требования к NGFW на примере 17-й версии Ideco NGFW. Ключевым показателем ценности продукта по-прежнему остаётся не его описание в презентационных материалах, а поведение в продакшене. При сравнении и выборе заказчики должны ориентироваться прежде всего на следующие характеристики:

  • Надёжность — стабильная работа, отказоустойчивость, поддержка кластеризации («active — standby»).
  • Удобный и интуитивно понятный интерфейс администрирования с продуманной панелью управления и логикой настройки.
  • Качество работы технической поддержки — соблюдение SLA, чётко определённые сроки реагирования, доступная и оперативная поддержка.
  • Производительность и масштабируемость — до 200 Гбит/с в обработке трафика по протоколу UDP.
  • TCO и лицензирование — учёт цены самого продукта, внедрения, поддержки и продления лицензии.
  • Частота обновлений.
  • Возможности интеграции с СЗИ, такими как SIEM, DLP и другими ИТ- и ИБ-продуктами, включая правильную настройку взаимодействия.
  • Наличие дорожной карты с гарантией соблюдения заявленных сроков реализации функций.
  • Функциональность должна быть воплощена в реальности, а не только в даташитах — расшифровка TLS / SSL, DPI, IDS / IPS, URL-фильтрация, Site-to-Site VPN, потоковый антивирус.

Процесс выбора NGFW должен начинаться с оценки рисков. На её основе заказчик формирует профиль модели угроз и определяет критерии, по которым будет оцениваться решение. Уже на этом этапе отсекается большая часть предложений: некоторые, например, не соответствуют требованиям по функциональности, другие — не вписываются в бюджет компании. В результате в финальный список попадёт всего два или три кандидата.

«Пилот» — также обязательный шаг. Только в его рамках можно узнать, насколько соответствует заявленный спектр функций реальным потребностям, удобен ли интерфейс администрирования, как реагирует техподдержка. Здесь станет понятно, кто именно будет интегратором, ведь от его квалификации зависит как минимум половина успеха проекта.

При разработке Ideco NGFW Novum вендор учитывал перечисленные требования, что позволило сформировать продукт, эффективность и применимость которого подтверждена реальными кейсами внедрения, описанными ниже.

На лендинге эксклюзивного проекта Anti-Malware.ru и Ideco больше информации по требованиям — есть что посмотреть.

Как не поменять NGFW через год: подводные камни по опыту Ideco

В работе с заказчиками Ideco не раз сталкивалась с ситуациями, когда выбор NGFW осложнялся противоречием между обещаниями вендоров и реальными результатами эксплуатации. Особенно это заметно в проектах для государственных структур и объектов критической инфраструктуры, где требования регуляторов постоянно растут, а цена ошибки слишком высока.

Опыт внедрения показал, что при изучении и сравнении NGFW важно ориентироваться на следующие моменты:

  1. Политика вендора и поддержка. Вендор должен обеспечивать регулярные обновления и техническую поддержку. Стоит обратить внимание на сроки реакции на инциденты, наличие русскоязычной документации, понятную публичную дорожную карту развития. Это даст понять, готов ли производитель инвестировать в развитие своего решения или ограничиться внесением минимальных изменений ради сохранения сертификата.
  2. Проверка через «пилот». Даже если в даташите всё указано — не факт, что это работает (или работает так, как требуется). 
  3. Особенности эксплуатации. Уточните возможности расширения, побеседуйте с другими заказчиками, обратите внимание на отзывы. 

К выбору NGFW необходимо подходить максимально прагматично: составить проектную методологию, техническое задание, провести пилотное внедрение и оценить результаты. Подробности и реальные наблюдения Ideco, которые могут быть полезны при оценке решения, также доступны на лендинге эксклюзивного проекта Anti-Malware.ru и Ideco.

Ideco NGFW Novum — основа новой эры энтерпрайз-безопасности

История Ideco началась с разработки биллинговой системы для провайдеров, которая в эпоху помегабайтной оплаты была критически важна. С развитием онлайн-сервисов вендор расширил возможности продукта, добавив функции интернет-шлюза для контроля доступа к ресурсам компаний.

По мере роста киберугроз Ideco переориентировалась на создание UTM-решения, обеспечивающего фильтрацию трафика, предотвращение вторжений и защиту от вредоносных программ. Дальнейшее расширение каналов связи и появление дата-центров привели к созданию NGFW с гибким контролем доступа. Сегодня Ideco развивает продукт в сторону управления сотнями серверов из единой консоли и защиты каналов связи, включая модуль DNS Security.

Вендор смог перейти к принципиально новому сетевому стеку DPDK / VPP, который позволил разработать масштабируемые NGFW-решения для энтерпрайза с сегрегацией управления: уровень контроля (control plane) и уровень администрирования (management plane). В результате на рынок вышел Ideco NGFW Novum.

Решение построено на архитектуре DPDK / VPP, что обеспечивает высокую производительность при обработке трафика (скорость обработки до 200 Гб/с). Поддерживает интеграцию с каталогами пользователей, работу с виртуальными частными сетями (VPN), в том числе с собственным клиентом Ideco Client с поддержкой SSL VPN, кластеризацию и журналирование.

 

Рисунок 1. Архитектура Ideco NGFW Novum

Архитектура Ideco NGFW Novum

 

Функциональность ориентирована на ключевые сценарии использования NGFW: защиту от атак, сегментацию сети, организацию безопасного удалённого доступа и централизованный контроль с аудитом.

 

Рисунок 2. Обеспечение безопасности удалённого доступа в Ideco NGFW Novum

Обеспечение безопасности удалённого доступа в Ideco NGFW Novum

 

Вендор формирует план развития Ideco NGFW Novum, исходя из реальных запросов и задач собственных и потенциальных клиентов.

На лендинге эксклюзивного проекта Anti-Malware.ru и Ideco показано, как Ideco NGFW Novum меняет подход к защите корпоративной инфраструктуры — будет интересно.

Защита распределённой сети после ухода Cisco

После ухода зарубежных поставщиков многие компании столкнулись с необходимостью срочной замены решений, отвечающих за безопасность периметра. Для организации с более чем 150 филиалами и десятками магазинов по всей стране проблема оказалась особенно острой: существующее опенсорс-решение с доработками перестало справляться с нагрузкой и требовало значительных затрат на поддержку. Понадобилось другое решение — централизованное, масштабируемое, надёжное и простое в управлении даже без локальных ИТ-специалистов.

Выбор был сделан в пользу Ideco NGFW, который позволил объединить защиту сети, VPN, контроль приложений и интеграцию с каталогами пользователей в целостную систему. Во время пилотного внедрения заказчик совместно с разработчиками оперативно доработал функциональность, реализовав:

  • умное переключение между провайдерами;
  • улучшение DHCP и мониторинга;
  • двухфакторную аутентификацию через TOTP.

В ходе эксплуатации Ideco NGFW Novum стало очевидно, что система обеспечивает своевременную блокировку заражённых устройств ещё до подключения к корпоративной сети. Время реакции технической поддержки составило менее одной минуты, при этом большинство обращений решалось удалённо и без бюрократических процедур. Гибкость решения и оперативность команды разработчиков проявились в том, что 80 % предложенных улучшений были внедрены уже на этапе «пилота».

При помощи Ideco NGFW Novum заказчик смог построить устойчивую инфраструктуру, готовую к поддержке текущих задач и своему дальнейшему развитию.

На лендинге эксклюзивного проекта Anti-Malware.ru и Ideco представлены нюансы применения продукта, на которые стоит обратить внимание.

Построение масштабируемой сети с шифрованием на 300+ объектов

В рамках стратегии импортозамещения и планов по увеличению числа объектов до более чем 300 к 2026–2027 годам, предприятию из сферы ТЭК с распределённой инфраструктурой, насчитывающей 180 объектов по всей России, потребовалось модернизировать сеть и обеспечить надёжность коммуникаций. Были поставлены следующие задачи:

  • импортозамещение в центре распределённой инфраструктуры;
  • поиск сертифицированного ФСТЭК России решения с поддержкой шифрования IPsec;
  • масштабирование сети и повышение надёжности соединений;
  • проведение пилотного тестирования среди шести вендоров и выбор оптимального решения.

Предприятие протестировало четыре продукта от разных вендоров, в том числе и Ideco. По результатам тестирования заказчик выбрал ПАК Ideco MX2, который показал стабильную работу на 30 площадках. Ручные вмешательства в систему были минимальными.

Результат внедрения — инфраструктура предприятия функционирует стабильно, соответствует требованиям регуляторов и готова к масштабированию.

На лендинге эксклюзивного проекта Anti-Malware.ru и Ideco показаны детали, которые будут полезны специалистам, отвечающим за безопасность инфраструктуры.

Многоуровневая защита от периметра до рабочих мест

Рост организации и цифровизация бизнес-процессов привели к тому, что существующая система защиты информации в строительной компании перестала соответствовать новым рискам:

  • увеличилась нагрузка на сеть;
  • появились новые уязвимости;
  • расширился штат сотрудников.

Было принято решение оценить инфраструктуру и выстроить стратегию развития ИБ. Вместе с интегратором iTPROTECT компания начала с базовой защиты: установила на рабочих станциях Kaspersky Endpoint Security, в корпоративной почте — Kaspersky Secure Mail Gateway. Это дало базовый уровень защиты от фишинга, вредоносных программ и спама.

Следующий шаг — обеспечение защиты периметра. После сравнения нескольких продуктов был выбран локальный (on-premise) NGFW от Ideco. На момент внедрения в строительной компании работало более 500 сотрудников, и NGFW успешно выдержал нагрузочное тестирование. 

В результате была построена эффективная многоуровневая защита от периметра до рабочих мест. Для тех, кто хочет ознакомиться с нюансами кейса, все детали размещены на лендинге эксклюзивного проекта Anti-Malware.ru и Ideco.

Организация безопасного удалённого доступа и сегментация сети

Резкий рост системного интегратора полного цикла привёл к необходимости пересмотра архитектуры информационной безопасности. Существовавшая инфраструктура включала в себя центральный офис, удалённые площадки и сотрудников на дистанционной работе. Перед специалистами стояла задача объединить всё это в целостную систему с безопасным доступом и централизованным управлением:

  • организация централизованного мониторинга и точки управления сетевыми активами;
  • обеспечение безопасного доступа к внутренним ресурсам для сотрудников и подрядчиков;
  • сегментирование сети;
  • выполнение требований законодательства по защите периметра.

После проведения внутреннего анализа интегратор выбрал Ideco NGFW. Вендор обеспечил прозрачность управления и мониторинга. Заказчик получил понятный инструмент для управления сетевым трафиком центрального офиса и удалённых площадок, сократил время на администрирование продукта. 

Сеть системного интегратора была разделена на изолированные сегменты, между которыми настроены строгие правила фильтрации. Развёрнута отказоустойчивая VPN-инфраструктура для безопасного подключения удалённых сотрудников и подрядчиков. Доступ предоставляется по принципу минимальных привилегий, а весь трафик дополнительно проверяется системами IDS / IPS. Также была включена контентная фильтрация, которая снизила риски, связанные с посещением нежелательных ресурсов.

Итоги внедрения: Ideco NGFW не только обеспечил контроль и прозрачность управления, но и задал основу для масштабирования в будущем. Интегратор получил архитектуру, соответствующую действующим требованиям законодательства и готовую к дальнейшему развитию.

Переходите на лендинг эксклюзивного проекта Anti-Malware.ru и Ideco — там больше информации по кейсам и особенностям решения, с которой интересно ознакомиться.

Выводы

Сравнение и анализ внедрений показывают, что успешное применение NGFW зависит не только от выбора конкретного продукта, но и от подхода к проекту в целом. Важно рассматривать решение как часть комплексной архитектуры информационной безопасности, где каждая функция, от сегментации сети и VPN до мониторинга и аудита, должна быть проверена на реальных сценариях эксплуатации.

Практика подтверждает, что пилотное внедрение и тесное взаимодействие с производителем позволяют выявить слабые места инфраструктуры ещё до масштабного развёртывания и обеспечить соответствие решения текущим и будущим требованиям регуляторов. Организации, которые последовательно проходят этот путь, получают устойчивую, управляемую и масштабируемую инфраструктуру безопасности, способную адаптироваться к изменениям в бизнес-процессах и нормативной среде.

Реклама, 18+. Рекламодатель: ООО «АЙДЕКО», ИНН 6670208848
ERID: 2VfnxwvSTAQ

Полезные ссылки: 
> Минцифры готовит ужесточение критериев для реестрового ПО
> Базовые требования к NGFW для защиты корпоративной сети в 2024 году
AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новые статьи на Anti-Malware.ru

Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017
Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.

© ООО "АМ Медиа", 2005-2025. Все права защищены.