Дата публикации: 28.11.2025
Новости
От VRF до виртуальных контекстов: Ideco показала на NetSec архитектуру сегментации в NGFW Novum
На конференции «Сетевая безопасность/NetSec» Технический директор Ideco, Марк Коренберг представил доклад, посвящённый эволюции механизмов логической сегментации в межсетевых экранах и архитектуре виртуальных контекстов в Ideco NGFW Novum.
При участии экспертов Ideco в журнале BIS Journal опубликован материал Логическая сегментация у межсетевых экранов от VRF, VSYS, VDOM до HMF, в котором рассматриваются подходы международных и российских вендоров и описывается реализация виртуальных контекстов.
При участии экспертов Ideco в журнале BIS Journal опубликован материал Логическая сегментация у межсетевых экранов от VRF, VSYS, VDOM до HMF, в котором рассматриваются подходы международных и российских вендоров и описывается реализация виртуальных контекстов.
Роль виртуальных контекстов в современных сетевых инфраструктурах
Корпоративные сети сегодня представляют собой сочетание ЦОДов, облачных площадок, филиалов, удалённых пользователей и подрядчиков. В рамках одной физической инфраструктуры одновременно существуют продуктовые, тестовые, изолированные контуры, нередко с пересекающимся адресным пространством и различными требованиями по доступу и SLA.
В этих условиях механизмы логической сегментации становятся ключевым инструментом управления рисками. Классический подход на базе VRF решает задачу раздельной маршрутизации, но не обеспечивает полной изоляции сервисов, политик безопасности и нагрузки. Для крупных распределённых инфраструктур этого недостаточно: требуются архитектурные решения, которые гарантируют предсказуемое поведение системы и локализацию сбоев в пределах отдельного сегмента.
В этих условиях механизмы логической сегментации становятся ключевым инструментом управления рисками. Классический подход на базе VRF решает задачу раздельной маршрутизации, но не обеспечивает полной изоляции сервисов, политик безопасности и нагрузки. Для крупных распределённых инфраструктур этого недостаточно: требуются архитектурные решения, которые гарантируют предсказуемое поведение системы и локализацию сбоев в пределах отдельного сегмента.
Доклад Марка Коренберга на конференции «Сетевая безопасность / NetSec»
В своём выступлении Марк Коренберг последовательно рассмотрел:
Отдельное внимание было уделено степени изоляции и управляемости решений.
- использование VRF, VSYS, VDOM и аналогичных механизмов у ведущих мировых производителей NGFW;
- реализованные сегодня варианты логической сегментации у российских вендоров;
- ограничения этих подходов при эксплуатации в крупных мультисегментных сетях.
Отдельное внимание было уделено степени изоляции и управляемости решений.
“
Для заказчика принципиально важно, чтобы логическая сегментация не оставалась чисто конфигурационной опцией. Сбой, DDoS-атака или некорректная настройка в одном сегменте не должны приводить к деградации работы всей системы. Архитектура должна обеспечивать жёсткое разделение контуров и предсказуемое поведение под нагрузкой
Архитектура виртуальных контекстов в Ideco NGFW Novum
В Ideco NGFW Novum виртуальный контекст рассматривается как логически изолированный экземпляр межсетевого экрана со своим набором политик фильтрации, таблиц маршрутизации, VPN-подключений и параметров безопасности в пределах выделенных ресурсов.
Контексты управляются из единого контура, при этом:
В основе решения лежит двухуровневая архитектура обработки трафика, сочетающая гибкость классического сетевого стека и повышенную производительность пользовательского стека. Это позволяет сохранять предсказуемость работы виртуальных контекстов при усложнении политик и росте нагрузки.
Контексты управляются из единого контура, при этом:
- ресурсы обработки трафика жёстко распределяются между контекстами, что снижает взаимное влияние по производительности;
- последствия ошибок конфигурации и атак локализуются в границах отдельного контекста;
- на одной аппаратной платформе могут обслуживаться разные бизнес-направления, проекты или заказчики без риска для остальной инфраструктуры.
В основе решения лежит двухуровневая архитектура обработки трафика, сочетающая гибкость классического сетевого стека и повышенную производительность пользовательского стека. Это позволяет сохранять предсказуемость работы виртуальных контекстов при усложнении политик и росте нагрузки.
Особенности подхода Ideco к логической сегментации
Представленная архитектура виртуальных контекстов опирается на те же базовые принципы, что и решения крупных международных производителей NGFW: изолированные логические экземпляры устройства, централизованное управление, контроль потребляемых ресурсов.
При этом реализация учитывает особенности российских инфраструктур:
При этом реализация учитывает особенности российских инфраструктур:
- распространённые мультивендорные схемы и пересечение адресных пространств;
- требования регуляторов к разделению контуров и контролю доступа;
- необходимость поддерживать производительность даже при использовании ресурсоёмких функций, таких как TLS-инспекция.
“
Заказчики ожидают от сетевой безопасности не набора отдельных функций, а устойчивой платформы, которая предсказуемо ведёт себя в реальной сети — с её ограничениями, наследием и регуляторными требованиями. Виртуальные контексты в Novum разрабатывались именно исходя из этих эксплуатационных задач
Дополнительные материалы по теме
В журнале BIS Journal опубликован материал, в котором:
- прослеживается эволюция подходов к логической сегментации в NGFW — от VRF к виртуальным системам и гибридным моделям;
- приводится обзор реализаций у международных и российских вендоров;
- детально рассматривается архитектура виртуальных контекстов и возможные сценарии их применения.
- Материал подготовлен при участии экспертов Ideco.
Практическая значимость для заказчиков
Для корпоративных и государственных организаций подход к виртуальным контекстам в NGFW Novum обеспечивает:
Компания Ideco открыта к обсуждению сценариев применения архитектуры виртуальных контекстов в NGFW Novum в конкретных инфраструктурах и готова делиться практическим опытом построения логической сегментации в крупных распределённых сетях.
- снижение риска каскадных отказов за счёт локализации инцидентов в пределах отдельного контекста;
- возможность строить многосегментные и мультиарендные архитектуры без существенного увеличения парка устройств;
- гибкость при подключении новых площадок, бизнес-направлений и сервисов без изменения базовой схемы сетевой безопасности.
Компания Ideco открыта к обсуждению сценариев применения архитектуры виртуальных контекстов в NGFW Novum в конкретных инфраструктурах и готова делиться практическим опытом построения логической сегментации в крупных распределённых сетях.
Другие публикации по теме