Ideco NGFW: Комплексный обзор программного комплекса для защиты сетевого периметра

В современном динамичном ландшафте киберугроз эффективная защита сетевого периметра является критически важной задачей для организаций любого масштаба. Российский рынок решений в области информационной безопасности активно развивается, предлагая продукты, способные конкурировать с ведущими мировыми аналогами. Одним из таких решений является Ideco NGFW (Next-Generation Firewall) – межсетевой экран нового поколения, разработанный компанией «Айдеко». Этот программный комплекс предлагает всеобъемлющий набор инструментов для обеспечения безопасности сетевой инфраструктуры, контроля и фильтрации интернет-трафика в корпоративных и частных сетях. В данном обзоре мы подробно рассмотрим архитектуру, функциональные возможности, системные требования, аспекты производительности, интеграционные возможности, а также преимущества и недостатки Ideco NGFW.

История и сертификация

Компания «Айдеко» была основана в 2005 году в Екатеринбурге и за почти два десятилетия существования зарекомендовала себя как надежный разработчик инновационных решений в области кибербезопасности. Ideco NGFW является флагманским продуктом компании и активно развивается, адаптируясь к меняющимся угрозам и требованиям рынка.

Важным аспектом, подтверждающим надежность и соответствие продукта национальным стандартам, является наличие сертификатов. Ideco NGFW сертифицирован ФСТЭК России (сертификат №4503 от 28.12.2021), что подтверждает его соответствие требованиям к межсетевым экранам типа А и Б 4-го класса защиты, а также к системам обнаружения вторжений. Дополнительно, продукт имеет сертификат ОАЦ Республики Беларусь (№ BY/112 02.02. TP027 036.01 00417), что расширяет географию его применения и подтверждает соответствие стандартам СТБ по межсетевым экранам, антивирусным средствам и системам предотвращения вторжений. Нахождение в реестре Минцифры России дополнительно подчеркивает статус Ideco NGFW как отечественного продукта, соответствующего указам Президента РФ от 01.05.2022 № 250 и от 30.03.2022 № 166, что делает его оптимальным выбором для защиты объектов критической информационной инфраструктуры (КИИ), государственных информационных систем (ГИС) и информационных систем персональных данных (ИСПДн).

Архитектура и основные характеристики

Ideco NGFW построен на базе операционной системы Linux. Текущие версии продукта активно используют новейшие ядра Linux (например, ядро Linux 6.8 в последних релизах), что обеспечивает высокую производительность, стабильность и поддержку современного аппаратного обеспечения. Решение поставляется как программный продукт, что предоставляет значительную гибкость при развертывании. Он может быть установлен на физический сервер или виртуальную машину без необходимости предустановленной операционной системы, поскольку установочный образ включает в себя все необходимые компоненты. Эта архитектура позволяет Ideco NGFW эффективно обрабатывать и анализировать сетевой трафик на высоконагруженных каналах связи, обеспечивая надежную защиту в различных сценариях.

Для удовлетворения потребностей в экстремальной производительности, компания «Айдеко» разработала специализированную версию – Ideco NGFW VPP (Vector Packet Processing). Эта версия использует передовые технологии DPDK (Data Plane Development Kit) и VPP для обработки трафика в пространстве пользователя, минуя уровень ядра операционной системы. Такой подход позволяет минимизировать задержки и значительно увеличить пропускную способность, достигая производительности до 200 Гбит/с и обрабатывая до 1 миллиона TCP-сессий в секунду.

В продолжение инновационного развития, в 2025 году компания представила Ideco NGFW Novum – межсетевой экран корпоративного уровня, оснащенный собственным высокопроизводительным сетевым стеком. Novum ориентирован на enterprise-сегмент и разработан для обеспечения максимальной производительности и надежности в наиболее требовательных корпоративных средах.

Системные требования

Для успешного развертывания и эффективной работы Ideco NGFW 18 необходимо соблюдение определенных системных требований, представленных в технической документации. Минимальная конфигурация включает:

Процессор: Intel i3/i5/i7/i9/Xeon с поддержкой SSE 4.2, минимум 2 физических или логических ядра.
Оперативная память: От 16 ГБ, с возможностью масштабирования до 64 ГБ и выше, в зависимости от количества обслуживаемых пользователей и активированных модулей защиты.
Дисковая подсистема: Рекомендуется использование SSD объемом 150 ГБ или более, с интерфейсами SATA, mSATA, SAS или NVMe. Использование SSD критически важно для обеспечения высокой скорости обработки логов и правил.
Сетевые интерфейсы: Минимум две сетевые карты 100/1000 Мбит/с. Рекомендуется использовать карты на чипах Intel или Broadcom для обеспечения максимальной совместимости и производительности.
Гипервизоры: Поддерживаются все основные гипервизоры, включая VMware (ESXi), Microsoft Hyper-V (2-го поколения), VirtualBox, KVM, Citrix XenServer, а также их отечественные аналоги.
Дополнительные требования: Обязательна поддержка UEFI. Программные RAID-контроллеры не поддерживаются; рекомендуется использовать аппаратные RAID-контроллеры для обеспечения надежности дисковой подсистемы.

Производительность и нагрузка

Производительность Ideco NGFW является ключевым параметром, зависящим от конфигурации оборудования и количества активированных модулей защиты. Производитель предоставляет следующие ориентировочные показатели для аппаратных платформ:

Межсетевой экран (трафик EMIX): От 3 до 11.5 Гбит/с, в зависимости от модели и мощности оборудования.
Система обнаружения вторжений (IPS, трафик EMIX): От 0.3 до 5 Гбит/с.
Режим NGFW (IPS + контент-фильтр + контроль приложений + файрвол): От 0.3 до 5 Гбит/с.
Контентная фильтрация с антивирусом: От 3.5 Гбит/с и выше.

Крайне важно отметить, что производительность NGFW-решений, включая Ideco NGFW, существенно снижается при активации модулей глубокого анализа трафика (DPI), SSL-инспекции и системы предотвращения вторжений (IPS). Это обусловлено ресурсоемкостью этих процессов и является общей проблемой для всех межсетевых экранов нового поколения. Снижение производительности может достигать нескольких раз, что требует тщательного планирования мощности оборудования и оптимизации конфигурации в соответствии с реальными потребностями и объемами трафика.

Высокопроизводительная версия Ideco NGFW VPP, как уже упоминалось, демонстрирует значительно лучшие показатели: до 200 Гбит/с пропускной способности с обработкой до 1 миллиона TCP-сессий в секунду и поддержкой до 100 000 правил файрвола для 500 000 пользователей и групп безопасности, что делает ее идеальной для самых требовательных сетевых сред.

Основные модули и функциональность

Ideco NGFW предоставляет широкий спектр модулей, каждый из которых играет ключевую роль в обеспечении комплексной безопасности.

Межсетевой экран (Firewall)

Ideco NGFW реализует концепцию Zone-Based Firewall, позволяющую применять правила файрвола к определенным сетевым зонам, включая IPSec и клиентские VPN-подключения. Правила могут быть настроены для всей сети, отдельных подсетей, а также для конкретных пользователей или групп, что обеспечивает высокую гранулярность контроля. Поддерживается фильтрация по географическому местоположению (GeoIP), позволяющая блокировать или разрешать трафик из определенных стран.

Модуль включает предварительную фильтрацию трафика с возможностью проверки TCP-флагов (SYN, ACK, FIN, RST, URG, PSH) и размера пакетов, что служит эффективным механизмом защиты от различных типов DoS-атак. Также улучшена устойчивость веб-интерфейса и SSH к DoS-атакам, повышая общую безопасность управления устройством.

Система предотвращения вторжений (IPS/IDS)

Система обнаружения и предотвращения вторжений (Intrusion Prevention System/Intrusion Detection System) является краеугольным камнем в защите от современных киберугроз. IPS/IDS в Ideco NGFW активно блокирует попытки несанкционированного доступа, предотвращает эксплуатацию уязвимостей (эксплойты), нейтрализует активность ботнетов, отражает DoS-атаки, выявляет вирусную активность, spyware, блокирует использование TOR и анонимайзеров, а также контролирует телеметрию Windows. Все инциденты информационной безопасности тщательно журналируются, предоставляя администраторам полную картину происходящего.

Модуль использует сигнатуры в формате Snort/Suricata, что обеспечивает гибкость и позволяет загружать правила из разнообразных источников, включая коммерческие базы. Доступна расширенная база правил от «Лаборатории Касперского» (платный модуль), включающая более 4600 регулярно обновляемых правил, что значительно повышает эффективность обнаружения.

В версии Ideco NGFW 18 реализованы профили безопасности IPS, позволяющие применять независимые наборы правил только к необходимому трафику, минимизируя ложные срабатывания и оптимизируя производительность. Также появилась возможность загрузки пользовательских сигнатур для адаптации системы к специфическим угрозам.

Контроль приложений (Application Control)

Модуль контроля приложений позволяет администраторам управлять доступом к широкому спектру приложений, включая мессенджеры, онлайн-игры, криптомайнеры, файлообменники и программы удаленного доступа. База модуля включает более 417 приложений, сгруппированных по 28 категориям.

Используя технологию глубокой инспекции пакетов (DPI), Ideco NGFW способен идентифицировать приложения на уровне Layer 7 сетевой модели OSI, что обеспечивает точный контроль вне зависимости от используемых портов и протоколов. Профили контроля приложений создаются независимо и применяются через правила файрвола, предоставляя гибкость в управлении политиками доступа.

Контентная фильтрация

Расширенный контент-фильтр Ideco NGFW является мощным инструментом для управления доступом к веб-ресурсам. Он включает 146 категорий сайтов и оперирует базой данных, содержащей более 500 миллионов URL-адресов, которая регулярно обновляется. Особенностью является использование баз данных российского производства, что обеспечивает высокую релевантность для русскоязычного сегмента интернета.

Модуль предлагает гибкие способы блокировки: от полного запрета доступа к категориям сайтов до ограничения определенных действий, таких как загрузка файлов на файлообменники или активность в социальных сетях. Дополнительно реализован морфологический анализ контента, позволяющий блокировать веб-страницы по словарям с заданным весом «плохих» слов, что повышает точность фильтрации. Функция «Безопасный поиск» принудительно включает безопасный режим в популярных поисковых системах, предотвращая доступ к нежелательному контенту. Также поддерживается фильтрация по MIME-типам (более 600 типов), расширениям файлов и HTTP-методам (GET, POST, PUT, DELETE и др.).

SSL-инспекция и расшифровка HTTPS

Ideco NGFW способен расшифровывать и проверять HTTPS-трафик, что критически важно для выявления скрытых угроз, так как значительная часть современного интернет-трафика зашифрована. Поддерживаются два основных метода:

MITM (SSL Bump): Расшифровка трафика с подменой сертификата. Ideco NGFW генерирует собственный сертификат для домена, к которому обращается пользователь, и после расшифровки и проверки трафика повторно шифрует его собственным ключом.
Без подмены сертификата: Анализ SNI (Server Name Indication) и данных сертификата. Этот метод позволяет определить целевой домен и информацию о сертификате без полной расшифровки содержимого.

Все модули, такие как контентная фильтрация, антивирусы и веб-отчетность, полностью поддерживают проверку шифрованного HTTPS-трафика. Производитель акцентирует внимание на необходимости нахождения баланса между безопасностью и производительностью при включении SSL-инспекции, поскольку этот процесс является ресурсоемким.

Web Application Firewall (WAF)

Модуль Web Application Firewall (WAF) предназначен для защиты опубликованных веб-приложений от широкого спектра атак, включая сканирование на уязвимости, SQL-инъекции, межсайтовый скриптинг (XSS), DoS-атаки и другие угрозы, путем анализа запросов к сайту.

Профили безопасности WAF включают группы сигнатур, белые и черные списки по источникам (в том числе GeoIP), а также исключения для предотвращения ложных срабатываний. WAF также обеспечивает защиту от DoS-атак на опубликованные веб-сервисы. Дополнительно, Ideco NGFW может выполнять функции обратного прокси-сервера с возможностью балансировки трафика на несколько серверов, что повышает отказоустойчивость и производительность веб-приложений. Поддерживается публикация Outlook Web Access (OWA).

Антивирусная проверка трафика

С версии Ideco NGFW 18 бесплатный антивирус ClamAV был удален из продукта. Теперь антивирусная проверка трафика осуществляется посредством коммерческих модулей, предлагающих более высокий уровень защиты:

Антивирус «Лаборатории Касперского» (платный модуль): Выполняет комплексную проверку веб-трафика на предмет обнаружения вредоносных исполняемых файлов, скриптов и фишинговых ссылок. Модуль разработан на базе Kaspersky Anti-Virus Software Development Kit, что гарантирует высокую эффективность и актуальность антивирусных баз.
Антивирус Dr.Web: Доступен с версии 18 как альтернативный коммерческий антивирусный модуль.

Подробнее >>>

Антивирусная проверка применяется как к веб-трафику, так и к почтовому трафику. Поддерживается проверка архивных файлов и многократно упакованных объектов, что предотвращает проникновение скрытых угроз.

VPN-сервер

Ideco NGFW предлагает широкий спектр VPN-протоколов для обеспечения безопасного удаленного доступа и объединения сетей.

Site-to-Site VPN:

IKEv2/IPsec: С максимально криптостойкими алгоритмами шифрования, обеспечивает надежное и безопасное соединение между офисами.
GRE и GRE over IPsec: Гибкие протоколы для инкапсуляции трафика.
ГОСТ VPN: С версии 19 реализована поддержка ГОСТ VPN для site-to-site подключений между Ideco NGFW, что важно для организаций, работающих с конфиденциальной информацией и требующих соответствия российским криптографическим стандартам.
Поддержка BGP-соседства: В IPsec-подключениях для динамической маршрутизации.

Client-to-Site VPN:

WireGuard: Современный, быстрый и криптостойкий VPN-протокол.
IKEv2/IPsec: Для клиентов, поддерживающих этот протокол.
L2TP/IPsec: Широко распространенный протокол для удаленного доступа.
SSTP: Протокол, использующий SSL/TLS для обхода ограничений файрволов.
PPTP: Более старый, но все еще используемый протокол.
Ideco Client: Собственный кроссплатформенный клиент для Windows 10/11, MacOS и всех версий Linux (включая отечественные ОС), работающий на протоколе WireGuard. Клиент поддерживает различные профили, прозрачную Single Sign-On аутентификацию и двухфакторную аутентификацию, что значительно упрощает управление и повышает безопасность удаленного доступа.

С версии 19 добавлен SSL VPN-портал, который позволяет публиковать HTTPS, HTTP, SSH и RDP-ресурсы через веб-интерфейс, обеспечивая удобный и безопасный доступ к внутренним сервисам без установки дополнительного ПО.

Почтовый сервер и релей

Ideco NGFW включает в себя полнофункциональный почтовый сервер, поддерживающий протоколы IMAP, POP3, SMTP и их шифрованные версии (POP3S, IMAPS, STARTTLS). Все шифрованные протоколы используют максимально криптостойкие алгоритмы, обеспечивая конфиденциальность переписки.

Модуль почтового реле позволяет защитить внутренний почтовый сервер, используя все возможности фильтрации почтового трафика Ideco NGFW, такие как:

Антиспам Касперского (платный модуль): Обеспечивает высокий уровень детектирования спама при низких показателях ложных срабатываний (0.003-0.005%). Использует комплекс технологий, включая сигнатурный анализ текста и графики, лингвистический эвристик, DNSBL, SPF и SURBL.
Серые списки (greylisting): Поведенческий метод автоматической блокировки спама без приема полного письма, что снижает нагрузку на почтовый сервер.
Предварительный спам-фильтр: Защищает почтовый сервер от подключений ботов, спама и DoS-атак, проверяет соответствие SPF-записи и корректность DKIM-подписи.

Почтовый сервер также поддерживает удобный веб-интерфейс с адресными книгами и календарями, повышая продуктивность пользователей.

Интеграция и управление

Эффективность любого решения в области кибербезопасности во многом зависит от его способности к интеграции с существующей ИТ-инфраструктурой и удобства управления.

Авторизация пользователей

Ideco NGFW предоставляет гибкие возможности для авторизации пользователей, интегрируясь с различными системами:

Microsoft Active Directory / Samba DC: Синхронизация и авторизация пользователей, поддержка множества доменов и доверенных доменов.
ALD Pro: Интеграция с отечественной системой управления доменами, что особенно актуально для государственных организаций и компаний с импортозамещающей политикой.
RADIUS: Аутентификация пользователей через внешний RADIUS-сервер.
FreeIPA: Поддержка открытой системы управления идентификацией.

Способы авторизации пользователей:

По логину и паролю через VPN.
По IP-адресу и MAC-адресу.
Через веб-браузер (Captive Portal).
Прозрачная Single Sign-On аутентификация по Kerberos/NTLM.
По логам безопасности контроллеров домена.
По подсети (для гостевых Wi-Fi сетей и т.д.).

В версии 19 реализована новая, высокопроизводительная система работы с пользователями Active Directory, обеспечивающая быструю обработку каталогов, содержащих десятки и сотни тысяч пользователей и групп. Ideco NGFW Novum поддерживает интеграцию с корпоративными каталогами до 500 000 учетных записей и групп безопасности, при этом синхронизация занимает не более 30 секунд.

Zero Trust Network Access (ZTNA)

Ideco NGFW активно реализует концепцию «нулевого доверия» (Zero Trust). Ideco Client способен проверять профиль устройства пользователя, включая членство в домене, наличие и статус антивирусного ПО, версию операционной системы, наличие пакетов обновлений, список запущенных процессов и служб, а также ключи реестра. Эти профили устройств затем используются в политиках файрвола, позволяя предоставлять доступ к ресурсам только тем устройствам, которые соответствуют заданным политикам безопасности, независимо от их местоположения в сети.

Интеграция с системами безопасности

Ideco NGFW спроектирован для бесшовной интеграции с внешними решениями безопасности:

SIEM-системы (Security Information and Event Management): Поддержка протокола syslog с возможностью отправки событий в формате CEF (Common Event Format), что обеспечивает централизованный сбор и анализ журналов безопасности.
DLP-системы (Data Loss Prevention): Интеграция по протоколу ICAP для контроля и предотвращения утечек конфиденциальных данных.
Системы мониторинга: Поддержка SNMP и Zabbix-агента для мониторинга состояния и производительности Ideco NGFW.
Песочницы: Интеграция с сетевыми песочницами по ICAP для глубокого анализа подозрительных файлов и ссылок.
NetFlow: С версии 19 добавлен netflow-сенсор для передачи информации о сетевом трафике коллекторам NetFlow, что позволяет проводить детальный анализ трафика и выявлять аномалии.

Отказоустойчивость и масштабирование

Для обеспечения непрерывности бизнес-процессов Ideco NGFW поддерживает:

Кластер отказоустойчивости в режиме Active-Passive: С синхронизацией сессий, что гарантирует автоматическое переключение на резервный узел в случае отказа основного.
Ideco NGFW Novum: Поддерживает кластеризацию с синхронизацией сессий и конфигурации виртуальных контекстов между узлами, что обеспечивает еще более высокий уровень отказоустойчивости и производительности для enterprise-сегмента.
Виртуальные контексты (VCE): Технология, позволяющая создавать на одном физическом устройстве несколько изолированных виртуальных копий NGFW. Каждая копия имеет собственные ресурсы (ОЗУ и ядра процессора) и позволяет независимо управлять сетевыми политиками для разных сегментов сети, что идеально подходит для мультиарендных сред или крупных корпораций с комплексной сегментацией сети.
Ideco Center: Централизованная консоль управления enterprise-класса, предназначенная для управления до 10 000 устройств Ideco NGFW из единого интерфейса. Система позволяет централизованно настраивать политики безопасности, собирает логи и консолидирует события перед отправкой в SIEM, значительно упрощая администрирование крупномасштабных развертываний.

Ролевая модель администрирования

В версии 18 Ideco NGFW была значительно улучшена ролевая модель администрирования, позволяющая гибко распределять права доступа к различным функциям продукта. Добавлены новые роли, такие как:

Администратор (полный доступ)
Только просмотр (мониторинг без права изменения)
Администратор информационной безопасности (доступ к настройкам безопасности, отчетам IPS/WAF и т.д.)
Администратор файрвола (управление правилами файрвола)
Администратор настройки доступов (управление авторизацией пользователей)
Просмотр отчётов
Создание отчётов

Авторизация администраторов поддерживается через локальную базу NGFW, Microsoft Active Directory, ALD Pro и RADIUS, что обеспечивает интеграцию с существующими системами управления учетными записями.

Отчетность и мониторинг

Ideco NGFW предоставляет детализированную отчетность и мощные инструменты мониторинга:

Отчетность по пользователям, категориям сайтов и трафику приложений, представленная в наглядном графическом виде.
Дашборды и отчетность по событиям безопасности (IPS, WAF, антивирус), позволяющие оперативно оценивать текущее состояние безопасности.
Конструктор отчетов: Позволяет создавать гибкие отчеты на основе виджетов с возможностью регулярной автоматической рассылки на указанные email-адреса.
Структурированный журнал трафика: С версии 19 добавлен детализированный журнал трафика (файрвол, включая DNAT и SNAT, IPS, контроль приложений). Реализована возможность отправки журналов на Ideco Center для централизованного хранения и анализа.

Управление трафиком

Ideco NGFW предлагает обширные возможности по управлению сетевым трафиком:

Маршрутизация: Поддержка статической маршрутизации, PBR (Policy Based Routing) для маршрутизации на основе политик, а также динамической маршрутизации (OSPF, BGP). С версии 19 добавлены Loopback-интерфейсы для повышения стабильности маршрутизации.
Множество интерфейсов: Поддержка локальных и внешних физических интерфейсов, виртуальных 802.1q VLAN, а также VPN-интерфейсов (PPTP, L2TP, PPPoE).
Подключение к провайдерам: Возможность подключения к нескольким интернет-провайдерам с автоматической проверкой связи и переключением (failover), балансировка трафика между каналами (load balancing), а также агрегирование каналов (LACP) для повышения пропускной способности.
SPAN-зеркалирование: С версии 18 добавлена возможность зеркалирования портов для анализа трафика внешними системами мониторинга и IDS.
Управление полосой пропускания: Для пользователей и групп, позволяя приоритизировать критически важный трафик и ограничивать нежелательный.
Кэширование трафика и DNS-запросов: Для ускорения доступа к часто используемым ресурсам и снижения нагрузки на внешние DNS-серверы.
L2-мост (Virtual Wire): В Ideco NGFW Novum позволяет интегрировать решение в существующую сеть без изменения ее топологии и маршрутизации, что значительно упрощает внедрение.

Дополнительные возможности

Помимо основных модулей, Ideco NGFW включает ряд полезных дополнительных функций:

Инструмент проверки прохождения трафика: Позволяет администраторам проверить возможность доступа с одного IP-адреса на другой с учетом всех настроенных правил файрвола, что значительно упрощает отладку сетевых политик.
Резервное копирование: В ручном и автоматическом режиме по расписанию, с возможностью отправки копий конфигурации на FTP и CIFS-ресурсы. Важной особенностью является возможность восстановления без перезагрузки сервера, минимизируя время простоя.
WCCP (Web Cache Communication Protocol): Для перенаправления веб-трафика на внешние прокси-серверы (L2/GRE).
IGMP Proxy: Для приема мультикаст-трафика от провайдера, что важно для IP-телевидения и других мультимедийных сервисов.
REST API: Открытый и документированный API для автоматизации управления и интеграции Ideco NGFW с другими ИТ-системами организации.

Сертификация и соответствие требованиям

Как было упомянуто ранее, Ideco NGFW обладает всеми необходимыми сертификатами и соответствует требованиям регуляторов:

ФСТЭК России: Сертификат №4503 от 28.12.2021, подтверждающий соответствие требованиям к межсетевым экранам типа А, Б 4-го класса и системам обнаружения вторжений.
ОАЦ Республики Беларусь: Сертификат № BY/112 02.02. TP027 036.01 00417, подтверждающий соответствие требованиям стандартов СТБ по межсетевым экранам, антивирусным средствам и системам предотвращения вторжений.
Ideco NGFW полностью отвечает требованиям регуляторов для защиты объектов КИИ (критической информационной инфраструктуры), ГИС (государственных информационных систем) и ИСПДн (информационных систем персональных данных).
Соответствует указам Президента РФ от 01.05.2022 № 250 и от 30.03.2022 № 166.
Находится в реестре отечественного ПО Минцифры России.

Эти сертификаты и соответствия делают Ideco NGFW предпочтительным выбором для организаций, действующих в регулируемых отраслях, а также для государственных учреждений и предприятий с требованием использования отечественного ПО.

Лицензирование и стоимость

Программное обеспечение Ideco NGFW лицензируется по количеству пользователей. Под «пользователями» понимаются одновременно авторизованные (подключенные к сети интернет) пользователи/устройства локальной сети или VPN-подключения, трафик которых проверяется и контролируется шлюзом.

Вся основная функциональность, включая межсетевой экран, IPS/IDS, контент-фильтр, контроль приложений, VPN-сервер и почтовый сервер, входит в базовую поставку продукта. Однако, существуют дополнительные коммерческие модули, которые приобретаются отдельно:

Антивирус Касперского
Антиспам Касперского
Расширенная база правил IPS от Касперского

Лицензия на Ideco NGFW действует в течение 1 года с момента приобретения и включает доступ к обновлениям программного обеспечения и технической поддержке вендора.

Security Update (подписка на обновления) включает:

Новые версии продукта и функциональные обновления.
Обновления и работоспособность расширенного контент-фильтра.
Обновления сигнатур и работоспособность системы предотвращения вторжений.
Обновления и работоспособность модуля контроля приложений.
Доступ к технической поддержке.

Стоимость приобретения Security Update при продлении в течение двух месяцев после окончания предыдущей подписки составляет 45% от текущих цен на продукт. При более позднем приобретении стоимость составит 75% от текущих цен.

Ориентировочные цены (по данным 2023-2024 гг.) демонстрируют следующую динамику: для 50 пользователей стоимость составляет от 86 250 рублей, для 100 пользователей — 172 500 рублей. Стоимость может варьироваться в зависимости от конфигурации и выбранных дополнительных модулей.

Плюсы использования Ideco NGFW

Рассмотрим ключевые преимущества, которые делают Ideco NGFW привлекательным решением для обеспечения сетевой безопасности.

Удобство внедрения и использования

Одной из главных отличительных особенностей Ideco NGFW является простота и скорость развертывания. Установка занимает всего около 10 минут, после чего сервер готов к защите сети, требуя лишь настройки авторизации пользователей. Интуитивно понятный русскоязычный веб-интерфейс, актуальная онлайн-документация и доступные видеоуроки значительно упрощают процесс настройки и повседневного управления.

Продукт поставляется с «безопасными настройками из коробки». Предустановленные и внутренние правила модулей глубокого анализа трафика уже при настройках по умолчанию обеспечивают максимальный уровень защиты, что снижает порог вхождения для администраторов и минимизирует риски неправильной конфигурации.

Гибкость развертывания

Ideco NGFW демонстрирует высокую гибкость в развертывании. Он может быть установлен на любой современный гипервизор или x86-64 сервер без ограничений по платформе, мощности и количеству ядер, что позволяет использовать существующее оборудование и минимизировать затраты. Решение также может работать в качестве прозрачного прокси-сервера без необходимости изменения маршрутизации сети, что упрощает его интеграцию в уже функционирующие инфраструктуры. Для облегчения перехода с других решений доступны готовые скрипты миграции правил.

Техническая поддержка

Компания «Айдеко» предоставляет прямую техническую поддержку от вендора, что является значительным преимуществом. Поддержка доступна в тикетной системе, по телефону, во встроенном в веб-интерфейс чате и в Telegram. График работы службы поддержки охватывает значительную часть рабочего дня (с 04:00 до 21:00 по московскому времени в рабочие дни) и субботы (с 9:00 до 16:00), обеспечивая оперативную помощь пользователям.

Всеобъемлющая функциональность

Ideco NGFW предлагает полный набор модулей NGFW в одном решении: межсетевой экран, IPS/IDS, контент-фильтр (146 категорий, более 500 млн URL), контроль приложений, антивирус, VPN-сервер, WAF, почтовый сервер и многое другое. Такая комплексность устраняет необходимость в приобретении и интеграции множества разрозненных продуктов, упрощая администрирование и снижая общую стоимость владения.

Соответствие требованиям регуляторов

Сертификация ФСТЭК России и ОАЦ Республики Беларусь, а также соответствие концепции Zero Trust (ZTNA), позволяют использовать Ideco NGFW для защиты объектов КИИ, ГИС и ИСПДн. Это критически важно для государственных организаций и предприятий, работающих с конфиденциальной информацией, где требования к безопасности регулируются законодательством.

Российская разработка

Будучи отечественным продуктом, Ideco NGFW имеет полную документацию на русском языке и находится в реестре Минцифры. Это делает его идеальным решением в рамках программ импортозамещения и позволяет успешно заменять зарубежные продукты от таких производителей, как Cisco, Palo Alto, Fortinet, GFI Kerio.

Современная архитектура

Использование самой последней версии ядра Linux (6.8) обеспечивает поддержку нового оборудования и современных процессоров Intel, AMD. Разработка высокопроизводительной версии VPP для enterprise-сегмента демонстрирует стремление компании к инновациям и удовлетворению потребностей самых требовательных клиентов.

DNS Security

Ideco NGFW является единственным в России межсетевым экраном класса NGFW с модулем DNS Security на базе облачных сервисов SkyDNS. Эта интеграция занимает всего около 30 минут и значительно повышает безопасность на уровне DNS, предотвращая доступ к вредоносным и фишинговым ресурсам.

Интеграция

Простая интеграция с Active Directory, SIEM, DLP и системами мониторинга осуществляется в несколько кликов. Открытый REST API предоставляет широкие возможности для автоматизации и интеграции с другими ИТ-системами предприятия.

Минусы и недостатки Ideco NGFW

Несмотря на многочисленные преимущества, Ideco NGFW, как и любое сложное технологическое решение, имеет определенные ограничения и недостатки, которые необходимо учитывать при выборе.

Производительность при включении модулей защиты

Наиболее часто отмечаемый недостаток — существенное снижение производительности при активации модулей глубокого анализа трафика (DPI), SSL-инспекции и IPS, которое может достигать 2-3 раз. Это является общей проблемой для большинства NGFW-решений, но требует особого внимания при планировании мощности оборудования. Заказчики отмечают, что при синтетической нагрузке Ideco NGFW демонстрирует отличные результаты, однако на больших реальных потоках данных могут возникнуть нюансы. В некоторых NGFW для поддержания производительности автоматически отключаются старые правила IPS, что потенциально создает уязвимости. В Ideco NGFW такой проблемы нет, но важно правильно рассчитывать аппаратные ресурсы.

Ограничения WAF

По отзывам технических специалистов, функциональность WAF в Ideco NGFW, будучи частью IPS, не всегда столь же обширна и удобна в использовании, как у специализированных решений Web Application Firewall. Реализовать полноценный WAF со всеми его продвинутыми возможностями в рамках NGFW, ориентированного на широкий спектр задач, не представляется возможным. Это означает, что для защиты критически важных и высоконагруженных веб-приложений может потребоваться дополнительное внедрение отдельного, специализированного WAF.

Отсутствие некоторые функций (в ранних версиях)

В ранних версиях продукта пользователи отмечали отсутствие некоторых функций, например, балансировщика нагрузки. Однако важно подчеркнуть, что компания активно развивает продукт: балансировщик нагрузки был реализован уже в версии 15, что демонстрирует оперативность реагирования на запросы пользователей и постоянное совершенствование функционала.

Сложность для крупных сетей (базовая версия)

Базовая версия Ideco NGFW, несмотря на свою обширную функциональность, больше подходит для малого и среднего бизнеса. Для крупных корпоративных сетей с высокими требованиями к производительности, масштабируемости и управляемости, где оперируют сотни тысяч пользователей и огромное количество трафика, рекомендуется использовать Ideco NGFW Novum. Эта специализированная версия разработана с учетом специфики enterprise-сегмента и предлагает соответствующую производительность и возможности.

Ограничения по количеству пользователей

Производительность Ideco NGFW напрямую зависит от количества одновременно авторизованных пользователей. Это означает, что при планировании внедрения требуется тщательный расчет необходимой мощности оборудования, чтобы обеспечить стабильную работу всех модулей защиты без деградации сервиса. Недооценка этого параметра может привести к замедлению работы сети.

Стоимость коммерческих модулей

Хотя базовая функциональность Ideco NGFW входит в основную поставку, некоторые критически важные модули, такие как антивирус и антиспам Касперского, а также расширенная база правил IPS от Касперского, являются платными и требуют дополнительной лицензии. Это увеличивает общую стоимость владения решением, особенно для организаций, которым необходим максимально возможный уровень защиты от широкого спектра угроз. Удаление бесплатного антивируса ClamAV начиная с версии 18 также означает, что антивирусная проверка теперь доступна только через платные модули Касперского или Dr.Web.

Требования к оборудованию

Для оптимальной работы Ideco NGFW предъявляются достаточно высокие требования к аппаратному обеспечению: минимум 16 ГБ оперативной памяти (до 64 ГБ и более для больших развертываний), обязательная поддержка UEFI и рекомендация по использованию SSD вместо HDD. Это означает, что для внедрения Ideco NGFW может потребоваться обновление или приобретение нового, более мощного оборудования, что увеличивает начальные инвестиции.

Ограничения сертифицированной версии

Сертифицированная версия Ideco UTM ФСТЭК (старое название продукта) может иметь ограничения по оперативному обновлению функциональности до получения новых сертификатов. Процесс сертификации занимает время, что может привести к тому, что сертифицированные версии будут отставать от последних функциональных релизов. Версия VPP, как высокопроизводительная модификация, также требует отдельной сертификации, что может влиять на ее доступность для использования в регулируемых средах.

Отсутствие VPN в некоторых версиях (Ideco NGFW Novum)

На момент анонса, Ideco NGFW Novum находился в активной стадии развития, и некоторые ключевые функции, включая полноценный VPN-функционал, могли быть недоступны или ограничены в ранних версиях. Однако, как правило, такие продукты быстро дорабатываются до полного соответствия заявленным возможностям.

Опыт эксплуатации

Многолетний опыт эксплуатации Ideco NGFW пользователями свидетельствует о высокой стабильности и надежности продукта. Компания регулярно выпускает обновления с добавлением нового функционала и улучшением производительности, что подтверждается выпуском версий 15 (в 2023 году), 18 (в 2024 году) и 19 (в марте 2025 года).

Многие клиенты выражают благодарность разработчикам, отмечая, что Ideco NGFW является эффективным и надежным инструментом для защиты сети. Продукт успешно помогал организациям, включая крупные университеты, справляться с серьезными DDoS-атаками, демонстрируя свою эффективность в реальных условиях.

Пользователи также высоко оценивают качество технической поддержки и подчеркивают, что продукт содержит только необходимые и реально востребованные функции, избегая избыточности, которая часто встречается в зарубежных решениях. Это способствует более эффективному использованию ресурсов и упрощает администрирование.

Сравнение с конкурентами на Российском рынке

На российском рынке кибербезопасности Ideco NGFW конкурирует с рядом сильных игроков, каждый из которых имеет свои особенности и целевую аудиторию:

UserGate: Ориентирован на средний и крупный бизнес, предлагая развитую экосистему и централизованное управление. Имеет наиболее богатый опыт внедрения (более 5000 проектов). Пропускная способность с IPS достигает до 80 Гбит/с, что делает его одним из лидеров в своем сегменте.
Positive Technologies NGFW: Отличается использованием инновационных технологий, повышающих производительность, и современной аппаратной платформой. Пропускная способность с IPS составляет до 70 Гбит/с.
Solar NGFW (ГК Солар): Предлагает наилучшее соотношение производительности и качества защиты при удобном интерфейсе. Пропускная способность с IPS достигает до 60 Гбит/с.
МТС RED: Ориентирован на защиту инфраструктур телеком-операторов и облачных сред, отличается высокой производительностью за счет аппаратных ускорителей, что важно для высоконагруженных сред.

В контексте сравнения производительности, базовая версия Ideco NGFW с IPS показывает до 50 Гбит/с, что является достойным показателем для сегмента. Однако, Ideco NGFW Novum значительно превосходит конкурентов в пропускной способности, достигая до 200 Гбит/с, что делает его одним из самых мощных решений на российском рынке для enterprise-класса.

Ideco NGFW представляет собой полнофункциональное российское решение класса Next-Generation Firewall, способное обеспечить комплексную защиту сетевого периметра для широкого круга организаций. Продукт обладает впечатляющим набором модулей безопасности, интуитивно понятным интерфейсом и полностью соответствует требованиям российских и белорусских регуляторов в области информационной безопасности.

Ключевые преимущества Ideco NGFW:

Комплексная функциональность «из коробки»: Широкий спектр модулей, интегрированных в единое решение.
Простота внедрения и использования: Быстрая установка, интуитивный интерфейс и «безопасные настройки по умолчанию».
Качественная техническая поддержка: Прямая и оперативная поддержка от вендора.
Российская разработка: Соответствие программам импортозамещения, сертификация ФСТЭК и ОАЦ, нахождение в реестре Минцифры.
Современная архитектура: Использование актуального ядра Linux и разработка высокопроизводительных версий (VPP, Novum).
Концепция Zero Trust: Реализация принципов нулевого доверия для усиленной защиты.

Основные ограничения, которые следует учитывать:

Снижение производительности: При включении модулей глубокого анализа трафика (DPI, SSL-инспекция, IPS) – общая проблема для всех NGFW, требующая тщательного планирования ресурсов.
Платные коммерческие модули: Антивирус и антиспам Касперского, а также расширенная база правил IPS, требуют дополнительных лицензий.
Требовательность к оборудованию: Необходимость использования достаточно мощных серверов с SSD и поддержкой UEFI.
Ограничения WAF: Функциональность WAF может быть менее обширной по сравнению со специализированными решениями.

При выборе Ideco NGFW важно тщательно оценить размер и специфику сетевой инфраструктуры, требуемую производительность, необходимость в сертификации, а также бюджет на лицензирование базового продукта и дополнительных модулей. Для малого и среднего бизнеса базовая версия Ideco NGFW станет оптимальным выбором, предлагая мощную и удобную защиту. Для крупных корпоративных сетей с высокими требованиями к пропускной способности и масштабированию рекомендуется рассмотреть Ideco NGFW Novum, который способен обеспечить беспрецедентный уровень производительности и безопасности.

В целом, Ideco NGFW является зрелым, надежным и конкурентоспособным решением, способным эффективно противостоять современным киберугрозам и обеспечить высокий уровень информационной безопасности в любой организации.

Подробная инструкция по установке и настройки iDeco NGFW