Проблема классического VPN
Классический VPN подключает пользователя к сети, а не к конкретному приложению. Получив учётные данные одного сотрудника, атакующий становится участником корпоративной сети: может сканировать хосты, обращаться к сервисам, пробовать аутентификацию на внутренних системах. Устройство при этом никак не проверяется — ноутбук без антивируса и корпоративный компьютер в управляемом состоянии подключаются одинаково.
Ideco NGFW Novum решает эту задачу через встроенный ZTNA и IPSec/SSL VPN для совместимости с любыми устройствами.
ZTNA: доступ к приложению, а не к сети
ZTNA (Zero Trust Network Access) встроен в Ideco NGFW Novum и входит в базовую поставку. Отдельного шлюза или облачного сервиса не требуется.
Ideco Client — агент для рабочих станций (Windows, macOS, Linux, Astra Linux, ALT Linux, Ред ОС, ОСнова, РОСА ОС Хром, АльтерОС). При каждом подключении собирает и передаёт на шлюз комплаенс-профиль устройства. Проверка может выполняться не только при первичном подключении, но и в ходе сессии в зависимости от настроек.
Что проверяется в устройстве: тип и версия ОС, состояние антивируса (наличие, версия, актуальность баз), состояние персонального межсетевого экрана, актуальность обновлений Windows, запущенные процессы и службы, ключи реестра Windows.
Три уровня доступа по результатам проверки:
Полное соответствие — доступ к рабочим приложениям.
Частичное несоответствие — доступ только к терминальному серверу.
Нарушение требований — карантинная зона или зона обновления.
Разграничение реализовано через выдачу IP-адресов из разных подсетей — правила Zone-Based Firewall применяются к сетям, а не к отдельным пользователям.
Транспорт: WireGuard (основной), TLS 443/14765 (резерв при ограничениях UDP).
2FA и аутентификация по сертификату: Мультифактор, TOTP, SMS Aero, RADIUS. В версии 22 добавлена аутентификация по машинному сертификату как дополнительный фактор — привязка к конкретному устройству в дополнение к паролю и 2FA.
Интеграция с каталогами: Microsoft Active Directory, ALD Pro, АльДомен, Ред АДМ, ROSA Dynamic Directory, FreeIPA, SAMBA DC.
VPN для устройств без Ideco Client
Для устройств, на которых установка агента невозможна или нецелесообразна:
IPSec IKEv2, L2TP/IPSec, SSTP — классические протоколы без проверки устройства.
SSL-VPN портал — доступ к HTTP/HTTPS, RDP, SSH через браузер без клиента, с поддержкой 2FA. Применяется для подрядчиков.
Контроль подрядчиков
Для подрядчиков настраивается минимально необходимый доступ к конкретному ресурсу. Дополнительные ограничения: геолокация (GeoIP), время суток, длительность сессии.
Что получает заказчик
Компрометация учётной записи не открывает доступа к сети целиком — только к явно разрешённым приложениям. Остальная инфраструктура недоступна для сканирования. Устройство, не соответствующее требованиям безопасности, получает карантинный уровень доступа вне зависимости от местонахождения пользователя — в офисе или удалённо.
Узнать больше про Ideco NGFW Novum и получить доступ к демонстрации
Комментарии (3)

pon007
17.07.2026 11:00Всегда для доступа к конкретным риложениям снаружи использовал проброс портов приложения через ssh туннель с авторизацией по ключу. Если приложение не использует конкретные порты - через проброс tcp 3389 и rdp-app.
Единственная проблема в такой схеме - настройка доступа с мобильника пользователя, с компов всё успешно скриптуется.

fronik
17.07.2026 11:00Проблема классического VPN
Классический VPN подключает пользователя к сети, а не к конкретному приложению
Это не проблема VPN. Как настроите роутер так и будет.
Litemanager_soft
т.е программа как бы защищает ПК от доступа из вне, предоставляя доступ только тем приложениям что Вам нужны? это своего рода файрвол?