В апреле 2026 года мы выпускаем обновление Ideco NGFW Novum. Это плановый релиз, в котором развиваются пять направлений: централизованное управление, защита DNS, управление удалённым доступом, SD-WAN и кластеризация. Ниже разбираем, что именно изменилось и какие задачи это решает.

Контекст: почему именно эти направления

Ideco NGFW Novum строится как платформа для распределённых инфраструктур крупных организаций. Типичная установка: несколько площадок, разные каналы связи, смешанный парк устройств, удалённые пользователи и подрядчики с разным уровнем доверия.

В такой конфигурации четыре проблемы встречаются чаще всего.

Первая: управление разрастается горизонтально. При наличии 10, 20, 50 узлов NGFW любое изменение политики требует ручного повторения на каждом устройстве. Это и операционные затраты, и источник конфигурационных расхождений.

Вторая: DNS остаётся слепым пятном. Классический периметровый контроль фильтрует соединения по IP и порту. DNS-запросы при этом проходят через любые ограничения, в том числе в изолированных сетях. Атакующие используют DNS для передачи данных, связи с командными серверами и обхода фильтрации.

Третья: качество WAN-каналов контролируется по факту полного отказа, а не по реальным параметрам связи. Классическая схема резервирования переключает трафик только тогда, когда интерфейс упал. Деградация канала — рост задержек, потери пакетов, джиттер — при этом остаётся незамеченной. Критичные сервисы (ERP, голос, видеоконференцсвязь) продолжают идти по проблемному пути, пока администратор не получит жалобы от пользователей. Доказать провайдеру факт деградации без журналируемых измерений затруднительно.

Четвёртая: при переключении узла кластера или перестроении динамической маршрутизации возникают паузы. Для инфраструктур с жёсткими требованиями к доступности это неприемлемо.

Новая версия отвечает на каждую из этих проблем.

Ideco Center: управление VPP-контекстами, централизованные журналы IPS и WAF, геораспределённый кластер

До обновления Ideco Center управлял классическим виртуальными контекстами NGFW. В релизе добавляется поддержка высокопроизводительных виртуальных контекстов (VPP-контекстов) из единой консоли.

Виртуальные контексты позволяют запускать несколько независимых экземпляров NGFW на одном физическом или виртуальном сервере с разделением ресурсов и политик. Типичный сценарий: ЦОД с несколькими арендаторами или крупная организация с изолированными бизнес-единицами на одной платформе. До этого релиза централизованное управление такими контекстами через Ideco Center было недоступно.

Второе изменение: централизованный сбор журналов IPS и WAF со всех подключённых узлов NGFW. Раньше Ideco Center агрегировал журналы аутентификации, веб-трафика, межсетевого экрана и действий администратора, но события систем предотвращения вторжений и защиты веб-приложений оставались локально на каждом узле. Для расследования инцидента приходилось последовательно подключаться к консолям отдельных NGFW и сопоставлять записи вручную.

Теперь срабатывания IPS и WAF со всей инфраструктуры консолидируются в одной точке. Это даёт две практических возможности. Первая — корреляция событий между площадками: попытка эксплуатации одной и той же уязвимости на нескольких узлах видна как единая картина, а не как разрозненные локальные срабатывания. Вторая — единая точка выгрузки в SIEM по syslog: вместо настройки экспорта на каждом NGFW поток событий выгружается централизованно из Ideco Center.

Третье изменение: геораспределённый кластер системы управления. Два экземпляра Ideco Center развёртываются в разных дата-центрах. Прямое соединение между узлами не требуется. При отказе одного узла управление автоматически переходит на второй; применённые ранее политики на NGFW продолжают работать независимо от доступности консоли.

Это принципиально отличается от кластеризации самого NGFW. Здесь речь идёт об устойчивости контура управления как отдельного слоя: даже если оба дата-центра испытывают проблемы связности, обработка трафика на узлах не прекращается.

DNS Security: журнал запросов как инструмент расследования

DNS Security в Ideco NGFW Novum анализирует запросы в режиме реального времени: выявляет DGA-домены (генерируемые алгоритмически командными серверами вредоносного ПО), DNS-туннелирование и фишинговые домены и блокирует их.

В новой версии добавляется журнал DNS-запросов, доступный через веб-интерфейс. Администратор видит историю обращений: какое устройство к каким доменам обращалось, когда и с каким результатом.

Практическая ценность здесь в прозрачности. При расследовании инцидента или аномалии DNS-журнал позволяет восстановить хронологию: когда рабочее место начало обращаться с DNS запросом к подозрительному домену, к какой категории угроз он относится. Также журнал можно выгрузить в SIEM по syslog чтобы проанализировать корреляцию с другими событиями.

ZTNA и Ideco Client: многофакторная аутентификация, синхронизация сессий, CLI

В новой версии в Ideco Client добавляется аутентификация по машинному сертификату (Machine Certificate). В сочетании с паролем пользователя и одноразовым кодом (OTP) это формирует многофакторную схему: пользователь + устройство + временной фактор.

Архитектурный смысл в следующем. Компрометация только пароля не даёт атакующему доступа: требуется ещё и физический доступ к устройству с нужным сертификатом. Кража устройства без пароля также не открывает доступ. Для атаки нужно одновременно получить пароль, OTP и устройство с установленным сертификатом. Это исключает наиболее распространённые сценарии захвата учётных записей.

Второе изменение: синхронизация VPN-сессий Ideco Client в кластере. При переключении нод кластера пользовательские сессии не разрываются. Ранее переключение означало повторную аутентификацию для всех активных пользователей.

Третье: реализация CLI-режима Ideco Client для headless-систем. Это закрывает сценарий управляемого подключения серверов, производственных систем и другого оборудования без графического интерфейса к ZTNA-контуру.

Также в релизе добавлено расширенное журналирование Ideco Client. Это сокращает время диагностики проблем.

SD-WAN: управление каналами по SLA-профилям

В базовой конфигурации Ideco NGFW Novum уже поддерживает балансировку нагрузки между несколькими WAN-каналами и резервирование маршрутов. Переключение при отказе канала работало по факту недоступности интерфейса.

Новая версия добавляет управление каналами на основе SLA-профиля. Администратор задаёт пороговые значения для каждого профиля: максимально допустимую задержку (latency), джиттер (jitter) и потери пакетов (packet loss). Трафик, отнесённый к профилю, маршрутизируется только через каналы, соответствующие этим параметрам. При деградации канала ниже заданных порогов трафик автоматически переключается на резервный путь, не дожидаясь полного падения интерфейса.

Дополнительно: в журнале теперь фиксируются переключения между каналами с указанием причины. Это даёт прозрачность: администратор видит, сколько раз за сутки трафик переключался, по какому триггеру и сколько времени провёл на резервном маршруте. Без этого журнала доказать провайдеру факт деградации канала затруднительно.

Кластер и протоколы маршрутизации

В новой версии в кластерную архитектуру добавлены несколько изменений, каждое из которых закрывает конкретный сценарий отказа.

Graceful Restart в BGP и OSPF. При перезапуске процесса маршрутизации на одном узле кластера соседние устройства продолжают использовать ранее согласованные маршруты на период восстановления. Без этого механизма перезапуск приводил к полному перестроению таблиц маршрутизации и паузе в передаче трафика.

Синхронизация состояния LACP-интерфейсов в кластере. Агрегированные каналы (bonding) теперь корректно переносятся при переключении нод: состояние интерфейсов синхронизируется между узлами, и при failover не происходит пересогласования LACP с коммутатором. Это снижает время переключения.

Синхронизация FIB-таблиц. Таблицы форвардинга синхронизируются между узлами. При переключении резервная нода начинает маршрутизировать трафик без необходимости заново строить FIB с нуля.

Поддержка EIGRP. Для организаций, которые используют EIGRP в инфраструктуре, это закрывает сценарий интеграции Ideco NGFW Novum в неё без полной перестройки. EIGRP применяется преимущественно в инфраструктурах, унаследовавших сетевое оборудование Cisco.

Ускорение переключения нод кластера. Время переключения сокращено. Это измеримый параметр, влияющий на SLA: чем короче пауза при переключении, тем меньше вероятность разрыва активных TCP-сессий.

Итог

Новая версия не меняет архитектуру платформы, но закрывает конкретные пробелы, которые проявляются при эксплуатации в распределённых инфраструктурах: централизация управления и журналов IPS/WAF из единой консоли, прозрачность DNS-активности, устойчивость кластера за счёт синхронизации состояний и Graceful Restart, контроль качества WAN-каналов на уровне политики, а не по факту падения.

Для организаций, которые уже используют Ideco NGFW Novum, версия обновляется в штатном порядке. Подробности о новых возможностях можно уточнить у менеджера или на вебинаре 23 апреля.