Сценарии использования Ideco NGFW Novum

Решение 1: Сегментация сети

Решение предназначено для построения управляемой и отказоустойчивой архитектуры с сегментацией по зонам ответственности и типам трафика. Сегментация сети позволяет изолировать различные подсети и зоны ответственности, уменьшить поверхность атаки и упростить контроль доступа, тем самым повышая общую безопасность и управляемость.

Какие задачи решает

Защита от атак и несанкционированного доступа. В том числе поддержка DMZ для безопасной публикации сервисов и ресурсов во внешние сети.
Разграничение внутренних сетей и контроль межсегментного взаимодействия.
Надежная маршрутизация трафика между площадками, ЦОДами и облачными компонентами. Маршрутизация выполняется как часть комплексного управления трафиком, но не является ключевым элементом сегментации.

Принцип работы

В основе решения — механизмы маршрутизации и межсетевого экранирования на базе Zone-Based Firewall. Сегментация реализуется за счёт создания изолированных политик безопасности между зонами, без необходимости использования DPI для локального межсегментного трафика.

Функциональные особенности Novum

Zone-Based Firewall нового поколения с поддержкой изолированных политик между зонами, реализованный на архитектуре VPP.
Поддержка VLAN и LAG (LACP), включая агрегацию интерфейсов на базе SFP+/10G для высокой плотности подключений.
VPP и DPDK обеспечивают высокую производительность при маршрутизации.
Динамическая маршрутизация с OSPF и BGP, а также Policy-Based Routing — управление маршрутами по политике безопасности.
Резервирование и балансировка каналов с поддержкой failover в критически важных узлах.
Виртуальные контексты (VCE) позволяют запускать несколько виртуальных Ideco NGFW на одном физическом. При этом сети и правила фильтрации не пересекаются.

Результаты для заказчика

Снижение риска проникновения и неконтролируемого доступа.
Надёжная работа сервисов в случае отказа отдельных каналов.
Масштабируемость архитектуры и готовность к интеграции новых площадок и облачных компонентов.

Решение 2: Блокировка атак и фильтрация трафика

Комплексное решение для защиты корпоративной сети от внешних и внутренних угроз, включая вредоносный трафик, фишинг, эксплойты, несанкционированный доступ к приложениям и попытки обхода фильтрации.

Какие задачи решает

Обнаружение и блокировка атак (DoS, эксплойты, ботнеты, сканирование).
Контроль интернет-активности и фильтрация нежелательного контента.
Защита веб-приложений и внутренних API.
Соответствие требованиям регулятора.

Принцип работы

Весь трафик проходит через цепочку проверок — сигнатурных и эвристических. Используются механизмы глубокого анализа (DPI), а также фильтрация по URL, категориям, MIME-типам и сетевым шаблонам. Защита от веб-угроз реализуется на уровне приложений, с поддержкой SSL-инспекции и политики фильтрации HTTPS.

Функциональные особенности Novum

Высокопроизводительный DPI-движок с глубокой инспекцией L7-трафика, реализованный на архитектуре VPP+DPDK — обеспечивает анализ при высокой пропускной способности.
Web Application Firewall (WAF) встроен нативно и поддерживает защиту публикуемых сервисовI.
DNS Security с возможностью гибкой фильтрации DNS-запросов.
Контент-фильтрация по категориям, URL, IP, MIME-типам — централизованно управляется через Ideco Center.
IPS/IDS с автоматической синхронизацией сигнатур и расширенной политикой реагирования.
Антивирус и антиспам для HTTP(S) и SMTP-трафика с централизованным управлением.
Политики на основе приложений и пользователей, включая контроль по AD-группам.

Результаты для заказчика

Комплексная защита от широкого спектра угроз с минимальной нагрузкой на администраторов.
Контроль интернет-активности и соблюдение политики использования ресурсов.
Защита внутренних и внешних приложений, включая API.
Соответствие требованиям аудита и регуляторов без необходимости внедрения дополнительных решений.
Централизованное управление всей политикой фильтрации и реагирования.>

Решение 3: Безопасный удалённый доступ

Обеспечение контролируемого и защищённого доступа пользователей, партнёров и подрядчиков к внутренним ресурсам компании из внешних сетей.

Какие задачи решает

Подключение сотрудников к корпоративной инфраструктуре из любых точек.
Разграничение доступа по пользователям, группам, устройствам и времени.
Поддержка гибридных сценариев: постоянный доступ, временные сессии, доступ к отдельным приложениям.
Обеспечение высокой доступности (отказоустойчивости) VPN-каналов за счёт кластеризации и балансировки подключений.
Реализация подхода Zero Trust без внедрения отдельной ZTNA-платформы.

Принцип работы

Доступ осуществляется через встроенные VPN-серверы с возможностью шифрования по современным алгоритмам. Политики доступа задаются на уровне пользователя, устройства, сессии или приложения. Возможен Комплаенс-контроль устройства при подключении. Интеграция с AD/RADIUS позволяет использовать существующую инфраструктуру.

Функциональные особенности Novum

Политики доступа на основе групп AD, времени, IP-адреса и состояния устройства (проверка наличия антивируса и ОС).
Встроенный механизм предаутентификации устройств — реализация принципов Zero Trust без отдельного ZTNA-продукта.
VPN-клиент Ideco для Windows, macOS и Linux с поддержкой централизованного распространения конфигураций и 2FA.
Возможность централизованного распространения VPN-настроек (включая сертификаты и политики) через Ideco Center (планируется).
Журналирование всех подключений и событий — готовность к аудиту и расследованиям.
SSL-VPN портал с публикацией внутренних ресурсов (HTTP/HTTPS, SSH, RDP) через веб-браузер без необходимости установки отдельного клиента, поддержка 2FA.

Результаты для заказчика

Гарантированный доступ только для аутентифицированных и проверенных пользователей.
Снижение риска утечек и компрометации данных при удалённой работе.
Минимизация затрат: отказ от сторонних решений ZTNA и VPN-шлюзов.
Простота масштабирования доступа при росте команды или расширении инфраструктуры.
Повышение отказоустойчивости и доступности подключений за счёт кластеризации и балансировки.

Решение 4: Централизованный контроль и аудит

Упрощение управления распределённой NGFW-инфраструктурой за счёт централизованной консоли, унификации политик и консолидации событий безопасности.

Какие задачи решает

Управление всеми NGFW-узлами из одного интерфейса.
Централизованная настройка политик безопасности и сетевой фильтрации.
Сбор и хранение событий и логов с NGFW-узлов, консолидация перед отправкой в SIEM.
Оптимизация процесса интеграции с внешними системами мониторинга и SIEM.
Подготовка к внутреннему и внешнему аудиту за счёт единообразной политики и централизованного сбора событий.

Принцип работы

Все установки NGFW объединяются под управлением Ideco Center — централизованной платформы, которая обеспечивает управление политиками, сбор логов и взаимодействие с SIEM. Логи и события передаются в Ideco Center, после чего централизованно отправляются в внешние системы (например, SIEM) по протоколу syslog или через REST API.

Функциональные особенности Novum

Централизованное управление политиками безопасности и объектами NGFW.
Поддержка сценариев управления как для крупных ЦОД, так и для распределённых филиальных сетей.
Консолидация логов и событий с разных узлов, централизованная передача в SIEM.
REST API для интеграции с внешними системами и внутренними инструментами SOC.
Аудит конфигурационных изменений и действий администраторов на уровне политик (не на всех уровнях NGFW).
Разделение прав доступа к консоли управления, возможность разграничения по ролям.

Результаты для заказчика

Снижение трудозатрат на администрирование распределённой инфраструктуры.
Упрощение настройки и обновления политик на всех NGFW-узлах.
Централизованный контроль за событиями безопасности и конфигурациями.
Повышение готовности к аудитам за счёт унифицированного управления и централизованной отчётности.
Централизация управления без потери гибкости настройки отдельных узлов.