Сертификат AM Test Lab
Номер сертификата: 551
Дата выдачи: 18.12.2025
Срок действия: 18.12.2030
- Введение
- Функциональные возможности Ideco NGFW Novum
- Архитектура Ideco NGFW Novum
- Системные требования Ideco NGFW Novum
- Лицензирование Ideco NGFW Novum
- Сценарии использования Ideco NGFW Novum
- Выводы
Введение
Компания «Айдеко» развивает свой основной продукт начиная с 2005 года. За 20 лет он прошёл путь от биллинговой системы до полноценного межсетевого экрана нового поколения (NGFW, Next Generation Firewall). После 2020 года вендор расширил линейку продукции, что позволило взаимодействовать с компаниями enterprise-уровня (крупным бизнесом).
25 сентября 2025 года вендор представил обновлённый продукт Ideco NGFW Novum, реализованный на новом сетевом стеке и получивший новые функциональные возможности. Наша редакция уже успела осветить кейсы по внедрению этого продукта и даже совместно с вендором подготовила для читателей лендинг, содержащий информацию о нём.
Функциональные возможности Ideco NGFW Novum
Рассмотрим функциональные возможности, отличающие Ideco NGFW Novum от предыдущей версии этого продукта — Ideco 20.X. В соответствии с changelog, приведённом на официальном сайте производителя, изменения коснулись сетевого стека, модулей безопасности, работы на уровне L2, возможностей работы с виртуальными контекстами и другими функциями межсетевого экрана.
Новый сетевой стек
С целью обеспечения высокой производительности в Ideco NGFW Novum используются 2 новые технологии. Первая из них, DPDK (Data Plane Development Kit, оптимизация обработки сетевых пакетов), обеспечивает прямой доступ к сетевым картам с минимальными задержками. Вторая, VPP (Vector Packet Processing, open-source фреймворк для векторной обработки пакетов), отвечает за ускорение пакетной обработки на многоядерных системах и реализацию графа обработки пакетов, где каждый узел отвечает за конкретную функцию.
Рисунок 1. Принцип работы DPDK и VPP в Ideco NGFW Novum
Таким образом, использование совместной архитектуры VPP и DPDK позволяет Ideco NGFW Novum обрабатывать пакеты, обходя ядро, что обеспечивает высокую производительность и гибкость.
Из собственных разработок, используемых в новом сетевом стеке, вендор выделяет оптимизирующий компилятор правил, stateful firewall (отслеживание состояния сетевых соединений), DPI (Deep Packet Inspection, глубокую инспекцию пакетов), IPS (Intrusion Prevention System, систему предотвращения вторжений), трансляцию сетевых адресов (Network Address Translation, NAT) , динамические объекты в firewall, и прокси-сервер с контент-фильтром, антивирусом и TLS-инспекцией.
Виртуальные контексты
Виртуальные контексты (Virtual Context Engine, VCE) применяются для создания на одном NGFW (физическом или виртуальном) нескольких независимых межсетевых экранов нового поколения. Таким образом можно сегментировать сеть, разделять функции NGFW (маршрутизация правил межсетевого экрана, VPN-шлюз, защита АСУ ТП и т. д).
Использование VCE позволяет экономить заказчикам материальные ресурсы, так как отсутствует потребность приобретать несколько устройств. Использование виртуальных контекстов приводит к консолидации управления NGFW на одном устройстве.
Для каждого из VCE применяются независимые политики во всех защищаемых сегментах. Изоляция контуров обеспечивает безопасность эксплуатации любого VCE в NGFW. Виртуальные контексты поддерживают работу до 100 000 правил, возможна работа с Netflow.
Отказоустойчивость и кластеризация
Кластеризация, работающая по схеме Active-Passive, существует начиная с Ideco UTM 14 и постепенно развивается на всём этапе жизненного цикла продукта. До последней версии основной проблемой было отсутствие возможности агрегировать каналы связи (Link Aggregation Control Protocol, LACP). В Ideco NGFW Novum этот недостаток исправлен.
Также вендором заявлены следующие возможности для обеспечения отказоустойчивости: одновременная работа кластеризации и виртуальных контекстов, возможность бесперебойного обслуживания и обновления без прерываний, синхронизация сессий, возможность обеспечения кластеризации с любой конфигурацией сети.
Ideco Client
Ideco Client используется для нативного обеспечения удалённого доступа к инфраструктуре компании. Агент обеспечивает проверку пользователя (пароль и 2FA), проверку устройства при каждом подключении и на протяжении всей сессии, контроль уровня доступа на основе характеристик рабочей станции. Таким образом, использование этого компонента позволяет реализовать принцип ZTNA (zero trust network access, сетевой доступ с нулевым доверием). Ideco Client может быть использован как терминальный агент для терминальных ферм.
Рисунок 2. Принцип работы Ideco Client в Ideco NGFW Novum
Расширение функций уровня L2
В Ideco NGFW Novum реализована функция, которая часто запрашивалась заказчиками — L2-мост для использования межсетевого экрана в «прозрачном» режиме. Это позволяет устанавливать NGFW перед аналогичным решением и переводить его в режим защиты в случае необходимости, а также проводить пилотные проекты, не внося изменения в архитектуру сети.
Также появился L2-менеджер, отвечающий за работу с физическими портами. В веб-интерфейсе можно увидеть и настроить имеющиеся свободные сетевые порты, их предназначение. Ещё одно изменение: раньше для изменения интерфейса в кластере его требовалось разобрать — теперь кластер можно перенастраивать «на ходу».
Управление антивирусом
В Ideco NGFW Novum потоковый антивирус создан на базе Kaspersky Anti-Virus Software Development Kit. Ранее в системе можно было либо включить его, либо выключить. В обновлённой версии межсетевого экрана появилась возможность более тонкой настройки: проверки архивов разного уровня вложенности, тщательности анализа трафика и другие параметры.
Интеграция с каталогами пользователей
До выпуска нового релиза пользователи импортировались в систему через каталоги, что нагружало NGFW и приводило к снижению производительности. В Ideco NGFW Novum организована работа с каталогами пользователей, количество учётных записей и групп которых может достигать 500 000. Заявленное вендором время синхронизации составляет 30 секунд.
Поддерживается интеграция с такими каталогами пользователей, как ALD Pro, Альт Домен, Microsoft AD, RADIUS.
Архитектура Ideco NGFW Novum
Ideco NGFW Novum имеет микросервисную архитектуру, что позволяет сократить время обновлений, восстановления из бекапа и реализовать переключение нод с сохранением сессий. За счёт этого обеспечивается высокая доступность и бесперебойная работа — в том числе в критичных инфраструктурах.
Рисунок 3. Концепция микросервисной архитектуры в Ideco NGFW Novum
Архитектурные изменения, произошедшие при внедрении VPP и DPDK, позволили увеличить вычислительную мощность без изменения аппаратных характеристик. На момент написания статьи изменения архитектуры касались высокопроизводительных контекстов, но в будущем планируется увеличение производительности системного контекста.
Модули, входящие в состав Ideco NGFW Novum, реализуют заявленную защитную функциональность, принцип ZTNA и виртуальные контексты. При использовании протоколов syslog, ICAP, SNMP, SPN обеспечивается интеграция с такими типами средств защиты информации, как антивирусы, DLP (Data Leak Prevention, система предотвращения утечек данных), песочницы, SIEM и системами мониторинга.
Рисунок 4. Модули Ideco NGFW Novum
Системные требования Ideco NGFW Novum
Ideco NGFW Novum поставляется в виде ПАК (программно-аппаратных комплексов) и виртуальных машин. Вендор гарантирует работу продукта с конечными устройствами только на программно-аппаратных комплексах и не отвечает за корректность работы на стороннем оборудовании.
В линейке производителя есть 6 аппаратных платформ, предназначенных для защиты объектов разного масштаба: начиная от малых офисов и заканчивая высоконагруженными центрами обработки данных (ЦОД). Пропускная способность в режиме NGFW (FW, IPS, Контроль приложений, Контент-фильтрация) Ideco SX+ заявлена на уровне 0,2 Гбит/сек, в то время как у Ideco EX этот показатель составляет 8 Гбит/сек.
Рисунок 5. Технические характеристики моделей Ideco NGFW Novum
Для виртуальной платформы, обслуживающей небольшое количество авторизованных пользователей (до 50 человек), заявлены минимальные характеристики, обозначенные в таблице 1.
Таблица 1. Системные требования для развёртывания Ideco NGFW Novum
Требования | Характеристики |
Платформы виртуализации | VMware (Workstation и ESXi) версии не ниже 6.5.0. Microsoft Hyper-V (виртуальные машины 2-го поколения). VirtualBox версии не ниже 7.0.0. KVM версии не ниже 1.2.0. Citrix Hypervisor. Proxmox VE. |
Тип ОС для создания виртуальной машины | Linux Fedora 64 bit. |
Процессор | Поддержка SSE 4.2. От 4 ядер. |
Объем оперативной памяти | 16 ГБ (16-64 ГБ в зависимости от количества пользователей) |
Накопитель | Объем 150 ГБ или более. Запись 4К блоками в один поток, с синхронизацией каждой записи не менее 1000 IOPS. Дополнительный диск при использовании почтового сервера. KVM: virtio для дисков. |
Сеть | WMWare: vmxnet3. VirtualBox: сетевая карта с типом подключения NAT. KVM: virtio. Microsoft Hyper-V: виртуальный сетевой адаптер (Network Adapter) |
BIOS | Поддержка UEFI. Отключённая опция Secure Boot в UEFI. Отключённый режим Legacy. |
Дополнительно | Внутренние часы виртуальной машины должны быть настроены на хранение времени во временной зоне UTC. |
Лицензирование Ideco NGFW Novum
Лицензирование продукта возможно в нескольких вариантах:
- В соответствии с количеством авторизованных пользователей локальной сети или подключённых по VPN пользователей. При этом под одной учётной записью пользователя можно авторизовать до 5 устройств с помощью различных методов авторизации.
- Безлимитное лицензирование без учёта пользователей.
- Лицензирование по количеству ядер виртуальной машины.
Лицензия включает в себя бессрочное право на использование Ideco NGFW Novum и годовую подписку баз безопасности (Security Update), в которую входят обновления на новые версии продукта, расширенная база категорий контент-фильтра, модули предотвращение вторжений и контроля приложений, автоматическое обновление баз модулей, а также техническая поддержка системы.
Кроме Enterprise-лицензии, вендор предоставляет демолицензию сроком на 44 дня и авторизацией до 10 000 пользователей, а также свободную лицензию с ограниченным набором функций сроком на 5 лет.
Сценарии использования Ideco NGFW Novum
Рассмотрим практические аспекты работы с Ideco NGFW Novum. Стартовой страницей является панель мониторинга состояния системы, где отображена такая оперативная информация, как загрузка интерфейсов, процессора, занятая оперативная память, температура сервера.
Рисунок 6. Главная страница Ideco NGFW Novum
Управление потоковым антивирусом
Как было описано выше, в системе используется потоковый антивирус, созданный на базе Kaspersky Anti-Virus Software Development Kit, который в ранних версиях можно было включать и отключать. В Ideco NGFW Novum появилась возможность его тонкой настройки. Прежде всего, можно настроить необходимость проверки архивов и глубину вложенности проверки.
Рисунок 7. Информация о профилях потокового антивируса Ideco NGFW Novum
В системе содержится готовый шаблон профиля. Его можно либо использовать, либо клонировать: клонированный вариант настраивается под себя. Рассмотрим настройку подобного профиля.
Во-первых, можно указать уровень проверки, регулирующий тщательность анализа трафика. Во-вторых — устанавливать тайм-ауты проверки трафика и таким образом влиять на скорость обработки. В-третьих, можно установить блокировку вредоносных ссылок и скачивания файлов, если их не удалось проверить.
Рисунок 8. Настройка потокового антивируса Ideco NGFW Novum
Допускается и блокировка по контенту — в зависимости от практик в компании можно настроить предотвращение скачивания требуемого содержимого.
Рисунок 9. Настройка блокировки контента в Ideco NGFW Novum
Таким образом, покупатель системы лучше контролирует степень своей защищённости и чётче понимает, как работают защитные механизмы продукта.
Работа с HIP-профилями
Рассмотрим возможности модуля в части проверки заданных условий на хостах, подключаемых к сети (комплаенс). Используя HIP-профили, администратор настраивает условия, выполнение которых позволит пользователю подключиться к корпоративным ресурсам. Можно проверять доменность, свойства операционной системы, наличие пакетов обновлений, антивируса, веток реестра и другие параметры.
Рисунок 10. Настройка проверки состояния антивируса на хосте в Ideco NGFW Novum
HIP-профили можно использовать в правилах межсетевого экрана, например при определении требований к хостам при межсегментном взаимодействии.
Рисунок 11. Настройка проверки ОС в Ideco NGFW Novum
Используя целевой HIP-профиль можно регулировать доступ по VPN и запрещать подключение к корпоративным ресурсам.
Рисунок 12. Настройка доступа по VPN в Ideco NGFW Novum
Работа с VCE
В Ideco Novum NGFW используются 2 типа виртуальных контекстов: классический и высокопроизводительный (VCE VPP). В VCE VPP недоступны некоторые функции классического контекста, например двухфакторная аутентификация, WAF и IPsec VPN.
Рисунок 13. Информация о состоянии VCE в Ideco NGFW Novum
Создание высокопроизводительного контекста производится путём выделения для него мощностей из общих ресурсов ПАК или виртуальной машины.
Рисунок 14. Добавление VCE в Ideco NGFW Novum
В дальнейшем работа с VCE VPP ведётся как с отдельным устройством, настройки которого не связаны с настройками классического контекста.
Рисунок 15. Панель мониторинга в Ideco NGFW Novum
Выводы
В Ideco Novum NGFW вендор добавил множество функциональных возможностей, востребованных у зарубежных вендоров. К ним можно отнести работу с виртуальными контекстами, комплаенс-контроль, осуществляемый средствами Ideco Client, с помощью которого можно внедрить принципы ZTNA.
Для проведения пилотных проектов реализован L2-мост: это позволяет использовать продукт без изменения архитектуры сети. Потоковый антивирус доступен к более тонкой настройке, что даёт возможность более гибко выстраивать политики безопасности для разных сегментов сети.
Отдельно стоит отметить: вендор ведёт активный диалог с пользователями в социальных сетях, а это сказывается на скорости и качестве изменений, вносимых в продукт.
Достоинства:
- Высокопроизводительный сетевой стек на базе технологий VPP и DPDK.
- Возможность создания виртуальных контекстов.
- Работа в режиме L2-моста.
- Возможность реализации ZTNA за счёт использования Ideco Client.
- Управление потоковым антивирусом.
- Широкая модельная линейка.
- Открытые коммуникации с пользователями.
Недостатки:
- Функциональные возможности высокопроизводительного контекста отличаются от возможностей классического контекста.
- Производительность классического контекста отстаёт от высокопроизводительного.
- Кластер не поддерживает режим active-active.
