Ideco NGFW Novum 22: SD-WAN, EIGRP, аутентификация пользователей по сертификату и 2FA для администраторов

Вышел релиз Ideco NGFW Novum 22. Главное – первый отечественный NGFW с функциональностью SD-WAN (с политиками маршрутизации и IP SLA). Добавлена динамическая маршрутизация EIGRP, аутентификация в client-to-site VPN по сертификату с автоматическим выпуском, 2FA для администраторов и интеграция с базой фидов ФинЦЕРТ. Параллельно мы вывели из обихода устаревший протокол PPTP и сделали множество различных улучшений. Разбираем, что важно знать о релизе.

Новый релиз Ideco NGFW

Версия 22 – первый мажорный релиз 2026 года в линейке NGFW Novum. Релиз сфокусирован в двух направлениях: распределённые сети (SD-WAN, EIGRP), безопасность доступа (сертификаты для VPN, 2FA для администраторов, расширенное логирование DNS).

SD-WAN: отдельный раздел и политики на основе SLA

В Novum 22 появился полноценный раздел SD-WAN – управление распределёнными сетями на базе политик. Под ним собрана интеллектуальная маршрутизация трафика между филиалами, ЦОД и облачными сервисами с резервированием и балансировкой каналов.

Что внутри раздела:

• Next hop и профили next hop – с гибкими условиями выбора шлюза.

• Профили IP SLA – мониторинг качества каналов по задержке, джиттеру и потере пакетов. На основании измерений политика автоматически переключает трафик между каналами, не дожидаясь отказа линка или появления проблем со связью.

Важный нюанс при обновлении: раздел Балансировка и резервирование переехал в SD-WAN. Логика Next hop изменилась – теперь они создаются только для маршрутов с явно указанным интерфейсом и шлюзом. Перед обновлением имеет смысл выгрузить текущие правила маршрутизации и сверить их с новой моделью.

Маршрутизация: EIGRP и Graceful Restart

К существующему набору протоколов динамической маршрутизации (OSPF, BGP) добавили EIGRP. Это гибридный протокол, сочетающий дистанционно-векторный подход и элементы протоколов состояния каналов: быстрая сходимость и компактные таблицы маршрутизации без широковещательных штормов LSA.

В пару к этому:

• Graceful Restart для OSPF и BGP – соседние маршрутизаторы не сбрасывают сессии и не перестраивают таблицы при перезагрузке управляющего процесса. На практике это снимает кратковременные провалы трафика при обновлениях и сервисных операциях.

• GRE-over-IPSec, IPSec VTI и ГОСТ VPN теперь можно использовать как интерфейсы BGP. Полезно для организаций, где BGP поднимается поверх защищённых туннелей.

Аутентификация по сертификату и привязка к устройству

В VPN добавили возможность привязывать пользователя к конкретному устройству и использовать сертификат как дополнительный фактор. NGFW сам выпускает сертификаты для устройств и управляет привязками – разворачивать отдельную PKI-инфраструктуру не нужно.

Сценарий простой: пользователь может подключиться к корпоративной сети только с того устройства, на котором установлен валидный сертификат. Кража логина и пароля без устройства бесполезна. Кроме того, естественно остается возможность использования второго фактора в виде OTP-токена или SMS (Мультифактор или SMSAero).

2FA для администраторов

В веб-интерфейс добавлена двухфакторная аутентификация для всех типов администраторов: локальные, AD, ALD, FreeIPA, RADIUS. Поддерживаются TOTP-токены. Настраивается в Управление сервером → Администраторы, вкладка Двухфакторная аутентификация.

Видимость DNS-трафика

В журнале запросов теперь отображается обмен DNS-сообщениями, обработанный NGFW.

Это закрывает старую слепую зону: раньше при включённом DNS Security администратор видел блокировки, но не имел детальной картины запросов и ответов. Теперь DNS-трафик можно анализировать наравне с HTTP/HTTPS – это полезно для расследования инцидентов и поиска DNS-туннелирования.

ФинЦЕРТ как источник индикаторов

Добавлена интеграция с базой ФинЦЕРТ – центра мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере (Банк России).

Источник доступен:

• в настройках групп сигнатур IPS;

• в правилах Межсетевого экрана и Контент-фильтра через объект Чёрный список ФинЦЕРТ.

Для финансовых организаций это нативная интеграция с регулятором: индикаторы компрометации применяются автоматически без выгрузок и кастомных скриптов.

Высокопроизводительный контекст: что добавили

В высокопроизводительный контекст обработки трафика перенесли ещё один слой функций:

• профили устройств;

• двухфакторную аутентификацию;

• обратный прокси;

• личный кабинет пользователя и его сессии;

• аутентификацию пользователей личного кабинета;

• подключение SPAN-интерфейса;

• интеграцию с RADIUS-сервером.

Также повышена общая производительность обработки трафика и улучшена работа Монитора трафика под высокой нагрузкой. Загрузка журналов оптимизирована – меньше нагрузка на диск, быстрее отображение.

Что ещё в релизе

Коротко по остальным изменениям:

• Сторонние ZTNA-агенты. Появилась возможность интегрировать NGFW с внешними ZTNA-агентами (например Сакура) – полезно для гетерогенных инфраструктур, где уже развёрнут чужой клиент.

• IPsec. Опция Разделять туннель на отдельные Child SA для каждой пары сетей – все сети становятся доступны сразу после установления VPN, без ожидания первого пакета по каждому направлению (рекомендуется для совместимости с некоторыми устройствами, например, Cisco).

• Базы фильтрации. Загрузка из файла теперь доступна при любом типе лицензии – и онлайн, и офлайн.

• OOB-управление. Через COM-порт доступны работа с BIOS, установка ОС и загрузка образа – удобно для удалённых площадок без штатного KVM.

• Ideco Client. Добавлены режим отладки и сбор логов с системными данными в один архив. Меньше тикетов, больше шансов разобраться самостоятельно.

Где брать и как обсудить

• Скачать дистрибутив (iso-образ): my.ideco.ru

• Канал с разработчиками (собираем обратную связь): t.me/idecoutm

Если у вас уже есть инфраструктура на Novum 21 и вы планируете апгрейд, или вообще только узнали о Ideco NGFW – будем рады обсудить ваш сценарий перехода и услышать обратную связь по релизу в нашем канале или здесь в комментариях.