По случаю выхода обновления Ideco NGFW 20 представляем обзор ключевых новинок вышедшего релиза.
Добавлена поддержка SSL-VPN в Ideco Client
Ideco Client может подключаться по 443 порту для тех случаев, когда у пользователей наблюдаются проблемы со связью. Также можно воспользоваться возможностью поднять туннель по протоколу SSL-VPN.
При настройке доступа по VPN в разделе "Протоколы подключения" необходимо выбрать TLS (Ideco Client); в самом клиентском приложении выбирается протокол подключения, в будущий версиях планируется сделать выбор TLS автоматическим и по умолчанию.
Профиль Split tunneling
Добавлена возможность гибкой настройки передачи маршрутов VPN-пользователям (Split tunneling). В прошлых версиях общая настройка работала для всех пользователей, которые подключаются по VPN, и те маршруты, которые мы передаем на пользовательское устройство.
В 20 версии эта настройка располагается в соответствующей вкладке "Передача маршрутов" и решает задачу с помощью профилей. Теперь для каждой группы пользователей, можно создать свой профиль и указать какие маршруты необходимо передавать.
В качестве критериев настройки можно выбирать группы или конкретных пользователей. Маршруты можно выбрать из предложенных вариантов или указать самостоятельно, выбрав "Отправлять только указанные".
Здесь мы можем оперировать подсетями, конкретными адресами и доменными именами. То же самое касается и исключений из правила - можно указать вручную, используя такой же набор объектов, что и для добавления.
Ideco Client для авторизации пользователей терминального сервера
Разработчик обновил функционал авторизации пользователей терминального сервера. Раньше были следующие особенности при работе с пользователями терминальных серверов:
- пользователи имеют 1 ip-адрес, поэтому правила файрвола и контроля приложений, примененные для одного пользователя, работали на все;
- контент-фильтр распознавал пользователей, поэтому его правила применялись к отдельным группам и пользователям;
- в разделе сессии не создавались сессии авторизации, было не видно авторизованных таким способом пользователей;
- работало только при прямых подключениях к прокси.
В новом подходе Ideco побороли все эти ограничения и в 20 версии добавили специальный Ideco Client для терминальных серверов.
Настройка крайне проста: скачиваете и устанавливаете отдельно клиент на терминальный сервер; в разделе "Учетные записи" у вас автоматически появится учетная запись с названием "Терминальные сервера".
Вы её сможете выбрать в разделе "Подсети для терминальных серверов":
Указываете название, выбираете устройство и подсеть. Для каждого терминального сервера (если их несколько) можно выбрать отдельную подсеть.
После этой настройки все пользователи, авторизовавшиеся на терминальных серверах, появятся в разделе "Сессии" и для них будут работать правила файрвола и контроля приложений, как для отдельных пользователей.
В разделе файрвола для этого добавлена более гибкая настройка, где в разделе "Источник" и "Назначения" мы можем выбрать любую группу и источник. В качестве источника же, можно выбрать сеть, откуда пользователям терминальных серверов выдаются адреса.
Также можем заметить, что появилось инвертирование "Источника" и HIP-профиля. В прошлый версиях оно было только у "Назначения", это позволяет создавать исключения и более гибко настраивать параметры фильтрации.
Отдельно отмечу, что дополнительно появился переключатель для настройки логирования: теперь логирование можно применять к конкретному правилу. Ранее можно было создавать правила только для того, какой трафик вы хотите логировать. Эта функциональность остается, просто дополняется, что упрощает работу с логированием.
Новые возможности при настройке правил Контент-фильтра
Улучшенная настройка фильтрации в Контент-фильтре:
- по регулярным выражениям;
- по направлению трафика;
- по размеру сообщения.
Инвертирование источника и категорий, использование логического оператора "И" для источника: по аналогии с правилами файрвола можем более гибко использовать поле источник, например, применять правило к конкретному пользователю из конкретной подсети, но не применять его к этому же пользователю, если он пришел из другой подсети. Для категорий таким образом можно быстро добавлять исключения из правил, ранее для этого необходимо было создавать 2 правила.
Оптимизация категорий Контент-фильтра: уменьшение количества категорий, убрали дублирующие (69 категорий вместо 173). При обновлении c 19-ой версии правила контентной фильтрации будут мигрированы на новые категории автоматически.
Профили антивирусной проверки
Раньше функционал антивирусной проверки был просто опцией, которую можно либо включить, либо выключить. Располагался он в разделе "Правила трафика".
В 20 версии, Антивирус переехал в раздел "Профили безопасности", теперь в правилах контентной фильтрации можно будет выбирать профиль антивирусной защиты.
В настройках антивируса теперь можно выбрать глубину эвристического анализа трафика или вовсе отключить его; включить блокировку вредоносных ссылок и более детально настроить работу антивируса с файлами.
Можно настроить максимальное время на проверку одного файла и максимальный размер этого файла. При превышении любого из параметров файл будет автоматически заблокирован.
Рекомендуем подходить к этим настройкам вдумчиво, чтобы не заблокировать легитимные файлы или не увеличить нагрузку на сервер при выборе слишком большого объема допустимого файла.
Во второй вкладке нам доступно профилирование антивирусной проверки. Здесь мы можем выбрать типы файлов, которые необходимо проверять и исключить те, которым по умолчанию доверяем, все зависит от специфики работы вашей организации.
Это позволяет кастомизировать проверки и тем самым уменьшить количество ложноположительных срабатываний, оптимизировать нагрузку на сервер и увеличить скорость обработки трафика.
Помимо возможности настроить типы проверяемых файлов и их объемы, благодаря добавлению профиля антивирусной проверки к конкретному контентному фильтру мы можем выбирать, на какой трафик мы накладываем антивирусную проверку, а на какой нет.
DNS over TLS
Позволяет безопасно резолвить DNS запросы DNS-сервером в NGFW через внешние DNS-серверы, чтобы злоумышленники не могли их перехватить или подменить. Включается буквально одной кнопкой.
Внешние DNS-серверы должны поддерживать эту технологию, рекомендуем использовать SkyDNS.
При необходимости можно включить логирование DNS-запросов. Логи будут попадать в системный журнал, включается он так же одной кнопкой.
База GeoIP от Минцифры
В разделе обновления можем проверить актуальность используемых баз, а также с новой версией появилась база GeoIP от Министерства цифрового развития, связи и массовых коммуникаций Российской Федерации. Выбрать ее можно в выпадающем окне, также есть база от самого разработчика Ideco.
Распределение ресурсов в VCE
Позволяют разворачивать на одном физическом сервере несколько независимых Ideco NGFW. Добавили распределение по ядрам и по оперативной памяти.
При добавление нового виртуального контекста есть подсказки о количестве свободных ресурсов в виде диаграмм.
SIP ALG
По итогам работы с запросами в техподдержку о проблемах с передачей VoIP-трафика добавлен функционал настройки ALG для SIP и H.323. Теперь можно отдельно включать H.323 и добавлять порты для SIP.
Динамически обновляемая DNS-зона
Настройка располагается в разделе "Сервисы" – "Защита и управление DNS во вкладке MASTER-Зоны".
В динамически обновляемую DNS-зону, добавляются записи тех пользователей, которые подключаются через VPN, в запись добавляются:
- логин пользователя;
- Common Name (CN) из сертификата Device VPN;
- название устройства (при условии аутентификации через Ideco Client).
Можно использовать все записи, но при отсутствии необходимости можно оставить только то, что действительно необходимо из перечисленных вариантов.
Конечно же добавляется и IP-адрес, выданный устройству при подключении по VPN.
Для чего использовать? Это позволяет вашему внутреннему DNS-серверу получать эти данные, и при работе с устройствами обращаться к ним по доменным именам.
На данный момент в сборке 20.0.762 (Бета), которая доступна для скачивания всем – этого функционала еще нет, он дорабатывается и будет добавлен в будущий сборках.
Syslog в Ideco Center
Добавлен syslog, собирается централизованная отчетность. Начиная с 19 версии, ведется журнал событий. Во втором полугодии 2025 года, будут добавлены другие журналы, IPS, по трафику, по работе контент-фильтра, антивируса.
Защита от DoS
Теперь доступно добавление функционала защиты от DoS-атак в каждом правиле публикации revers-proxy отдельно, а не целиком на все публикации, как это было раньше.
VPN-сессии
Добавлена возможность ограничение длинны сессии пользовательских VPN-подключений.
Также добавлены возможности аутентификации соседей в OSPF по MD5 и редактирования Router ID в OSPF и BGP.
Оптимизация
- ускорена работа с большим количеством объектов Active Directory;
- ускорена работа системы предотвращения вторжений (особенно для систем с более чем 64 Гб RAM);
- ускорена категоризация URL в контент-фильтре;
- оптимизирована работа БД отчетности и журналов.
Другие обновления
- При создании отчетов по расписанию в Конструкторе отчетов можно выбрать формат отчетов (CSV, PDF, PDF + CSV).
- Добавлены графики загруженности VCE в мониторинге.
- Возможность использования логического оператора "ИЛИ" в фильтрах журналов.
- Возможность выбора каталога для аутентификации по-умолчанию.
- IPSec со сторонними устройствами (Mikrotik и др.) не работает после обновления с 19-ой версии (в чистой установке работает) и будет исправлен в ближайшем обновлении.
Протестируйте обновленный функционал Ideco NGFW 20. Оставляйте заявку на доступ к демостенду в форме обратной связи на сайте.
☎ 8 (800) 201-63-85
✉ info@maxsoft.ru
〄 ideco.maxsoft.ru
