Список изменений

2026

Критические изменения и особенности обновления
— поддержка PPTP-сервера для доступа по VPN прекращена, так как протокол устарел. Рекомендуем использовать Ideco Client, IKEv2/IPsec или SSTP;
— группа сигнатур GeoIP будет исключена из обработки модулем IPS, однако по-прежнему останется в Межсетевом экране. Рекомендуем заранее создать необходимые правила в Межсетевом экране;
— отключена возможность отправки почты через почтовые клиенты на 25 порту. Для аутентифицированной отправки используйте порт 587 (TLS);
— для подключения Ideco Client порт 14 765 больше не используется как резервный для порта 443;
— раздел Балансировка и резервирование перенесен в SD-WAN. Внедрение раздела SD-WAN затронет настройки маршрутизации: Next hop создаются только для маршрутов с указанным интерфейсом и шлюзом;
— при настройке IPsec в полях Интерфейс подключения и Адрес удаленного устройства допускается только одно значение;
— в правилах Статической маршрутизации больше не поддерживается указание пользователя в поле Шлюз. Если в правиле был указан пользователь, перед обновлением замените его на IP-адрес вручную.

Новые возможности
— добавлен раздел SD-WAN для управления распределенными сетями на основе политик. Технология обеспечивает интеллектуальную маршрутизацию трафика между филиалами, ЦОД и облачными сервисами с поддержкой резервирования и балансировки каналов. В разделе доступны настройки next hop, профилей next hop и профилей IP SLA для мониторинга качества каналов по задержке, джиттеру и потере пакетов;
— добавлена возможность привязывать пользователя к конкретному устройству и использовать сертификат как дополнительный фактор авторизации в VPN. NGFW может автоматически выпускать сертификаты для устройств и управлять привязками — без необходимости разворачивать отдельную PKI-инфраструктуру;
— в журнале отображается информация об обмене DNS-сообщениями, обработанными Ideco NGFW Novum при включенных опциях Логировать DNS-запросы и DNS Security в Сервисы → DNS → Внешние DNS-серверы;
— добавлена поддержка 2FA при входе в веб-интерфейс для администраторов всех типов (локальные, AD, ALD, RADIUS). Поддерживаются методы: TOTP-токен и RADIUS 2FA. Настройка в разделе Управление сервером → Администраторы на вкладке Двухфакторная аутентификация;
— EIGRP — динамическая маршрутизация на основе гибридного протокола. Он сочетает особенности дистанционно-векторного подхода и протоколов состояния каналов, что обеспечивает быструю сходимость и актуальность таблиц маршрутизации;
— логирование в Ideco Client. В программу добавлены инструменты диагностики: режим отладки и сбор логов с системными данными в один архив. Это упрощает выявление и устранение проблем с подключением без привлечения технической поддержки;
— в профилях IPS появилась возможность исключать отдельные сигнатуры из анализа. Это позволяет снизить количество ложных срабатываний и убрать нежелательные правила без изменения всего профиля.

Безопасность
— добавлена интеграция с базой данных ФинЦЕРТ — центра мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере. Новый источник доступен в настройках: групп сигнатур Предотвращения вторжений, а также правил Межсетевого экрана и Контент-фильтра через объект Черный список ФинЦЕРТ.

Улучшения и оптимизации
— реализована возможность интеграции со сторонними ZTNA агентами;
— в профилях системы Предотвращения вторжений отображается уровень угрозы пользовательских сигнатур;
— повышена производительность обработки трафика;
— в высокопроизводительный контекст добавлены: расширенные журналы межсетевого экрана, профили устройств, двухфакторная аутентификация, обратный прокси, личный кабинет пользователя, сессии ЛК, аутентификация пользователей ЛК, возможность подключения SPAN-интерфейса, интеграция с RADIUS-сервером;
— в IPsec добавлена опция Разделять туннель на отдельные Child SA для каждой пары сетей для создания отдельного Child SA на каждую пару локальной и удаленной подсети, обеспечивающая доступность всех сетей сразу после установления VPN;
— улучшение сбора статистики и работы Монитора трафика под большой нагрузкой;
— оптимизирована загрузка данных журналов для снижения нагрузки на диск и ускорения отображения;
— добавлена поддержка Graceful Restart для протоколов OSPF и BGP;
— добавлена возможность выбора интерфейсов GRE-over-IPSec, IPSec VTI и ГОСТ VPN в качестве интерфейсов BGP;
— добавлены столбцы Профиль IPS и ID правила межсетевого экрана в разделе Отчеты и журналы → События безопасности. При нажатии на ID правила выполняется переход в раздел Межсетевой экран с подсветкой соответствующего правила;
— в раздел Отчеты и журналы → Межсетевой экран добавлена группа колонок Подключение. В высокопроизводительном контексте появились группы колонок Антивирус и Контент-фильтр;
— добавлена возможность загрузки баз фильтрации из файла при любом типе лицензии — как онлайн, так и офлайн;
— добавлена возможность выбора портов для связи между нодами при настройке кластера;
— добавлена возможность сохранения состояния таблицы при создании и редактировании объектов: автоматическая прокрутка к изменённой строке, её подсветка и раскрытие группы.

Безопасность
— Исправлена уязвимость ядра CVE-2026−31 431, связанная с локальным повышением привилегий до root (не эксплуатируется удалённо, не критична для системы).

Исправления и изменения
— Исправлена настройка подключения по IKEv2 с авторизацией по сертификатам на устройствах IOS;
— Исправлена ошибка ядра, возникавшая в некоторых ситуациях при использовании Ограничения скорости в классическом контексте;
— Исправлена запись порта назначения и отображение URL в журнале Веб-трафика в высокопроизводительном контексте;
— Исправлена ошибка отображения страницы правил доступа SSL VPN после удаления неиспользуемых ресурсов;
— Исправлено создание папок для несуществующих почтовых пользователей;
— Актуализированы DNSBL-списки для повышения эффективности антиспам-фильтрации;
— Исправлено отображение нулевых скоростей трафика в разделе Монитор трафика и графике Топ-5 хостов после обновления;
— Исправлено падение высокопроизводительного контекста при использовании четырех L2-мостов;
— Исправлена самопроизвольная перезагрузка сервера установленного на VMware ESXi после обновления;

Безопасность
- обновлен модуль системы предотвращения вторжений (с исправлениями CVE-2026-31935, CVE-2026-31933, CVE-2026-31932, CVE-2026-31937);
- исправлено отображение приватного ключа в тексте ошибки при загрузке сертификата для MITM;
- исправлена фильтрация невалидных TCP‑сессий между локальными сетями в классическом контексте.

Новая функциональность
- SSH-авторизация для локальных админов по ключам;
- управление VLAN- и LACP (BOND)-интерфейсами через локальное меню (просмотр, добавление, удаление);
- возможность включения/выключения сетевого интерфейса из локального меню.

Исправления и изменения
- исправлено отображение информации о пользователе в журнале Межсетевой экран;
- реализовано ограничение размера журнала Межсетевой экран - не более 15 ГБ;
- изменены диапазоны лимитов в настройках Обратного прокси: лимит запросов с одного IP в секунду - от 0 до 4 294 967 295, лимит подключений с одного IP - от 0 до 65 535;
- исправлена скорость загрузки сайтов при работе системы предотвращения вторжений;
- исправлено некорректное отображение результатов проверки в HIP-профиле устройства;
- исправлена проблема периодического отключения VPN из-за некорректной работы обратного прокси;
- существенно оптимизированы (уменьшены) объемы записи информации на SSD;
- исправлено некорректное отображение ресурсов, опубликованных в ЛК/SSL VPN;
- исправлено появление ошибок в логах при перезапуске модуля Ограничение скорости;
- исправлен поиск неавторизованных пользователей по IP-адресу в разделе Учетные записи;
- исправлена блокировка доставки почты при использовании L2-мостов и работе системы предотвращения вторжений;
- убрана валидация на обязательный ввод дня недели при создании объекта с типом Время;
- косметические изменения веб-интерфейса.

Ideco Client
- исправлена некорректная автоматическая авторизация через Ideco Client/SSO;
- исправлено зависание Ideco Client на macOS при проверке ZTNA;
- исправлена работа Ideco Client при наличии не используемых в правилах Межсетевого экрана HIP-профилей.

Безопасность
- актуализированы сигнатуры IPS для обнаружения ICMP-тунеллинга;
- безопасность удалённого доступа за счёт ограничения подключения Удаленного помощника только с доверенных IP;
- при обнаружении брутфорс-атак с помощью fail2ban пакеты будут отбрасываться без отправки RST-сообщений.

Новая функциональность
- поддержка двух режимов 2FA при работе с RADIUS: Логин и Логин и OTP-код;
- обеспечение совместимости с протоколом HTTP/2 в разделе Обратный прокси для iOS и macOS;
- в высокопроизводительном контексте появилась возможность логирования веб-трафика;
- в высокопроизводительном контексте появилось кэширование TLS-сертификатов для профилей TLS/SSL-инспекции;
- в высокопроизводительном контексте добавлена блокировка HTTP запросов при обнаружении Pipelining;
- возможность создавать через терминал пользовательские конфигурационные файлы для WAF, которые будут сохраняться при обновлениях NGFW;
- подсветка объектов при использовании поиска;
возможность перехода в используемый профиль безопасности из журнала Межсетевого экрана;
- поддержка утилиты ipmitool в дистрибутиве;
- расширены возможности перемещения правил в таблицах разделов Предотвращение вторжений, Web Application Firewall, VPN-подключения, Ограничение скорости, Контент-фильтр, Прокси и ЛК/Портал SSL VPN.

Исправления и изменения
- изменено название раздела Прокси на ICAP в высокопроизводительном контексте;
- актуализированы DNSBL-списки для повышения эффективности антиспам-фильтрации;
- исправлено отображение данных в виджетах Топ пользователей, Топ групп и Топ протоколов.
- исправлено отображение названия зон в журнале Межсетевой экран;
- исправлена проверка работы правил Межсетевого экрана при наличии правил в разделе Ограничение скорости;
- исправлена работа логирования трафика Межсетевым экраном;
- исправлено логирование данных в журнал Межсетевого экрана в классическом VCE;
- исправлена ошибка отправки Отчетов по расписанию в формате CSV;
- исправлена работа статического маршрута через L2TP-клиента после переподключения;
- исправлена синхронизация между VCE в кластере;
- исправлена бесконечная загрузка web.max.ru при включенной расшифровке в разделе Контент-фильтр;
- исправлена ошибка при добавлении правила маршрутизации внешних сетей;
- исправлено поведение резервной ноды после перезагрузки - больше не предлагает создать администратора;
- исправлена утечка файловых дескрипторов в прокси-сервере, приводившая к заполнению диска при использовании веб-антивируса;
- исправлено отображение данных при нажатии на количество сессий в Мониторе трафика;
- исправлено отображение данных от сетевых интерфейсов в разделе Графики загруженности;
- исправлено удаление портов на интерфейсах после перезагрузки сервера;
- исправлена работа портов при включении и выключении опции Для связи между нодами;
- исправлена доступность из локальной сети до интернет-ресурсов через кластер;
- исправлена работа модулей Контроль приложении, Ограничение скорости и Предотвращение вторжений после обновления;
исправлена работа LACP-интерфейсов после обновления.

Ideco Client
- исправлено удаление DNS от NGFW после отключения Ideco Client на macOS;
- исправлено дублирование VPN-сессий для TLS;
- исправлено обновление маршрутов у VPN-клиентов С установлением туннеля при изменении статуса интерфейсов;
- исправлена работа при включенной балансировке на двух внешних каналах;
- добавлен автоматический выбор последнего или единственного использованного профиля.

Примечание к релизу
В высокопроизводительном контексте изменена логика работы Межсетевого экрана и Авторизации:

при наличии соответствующего FORWARD-правила в Межсетевом экране трафик теперь может быть пропущен через NGFW без авторизации;
пользователь может быть авторизован только при наличии разрешающего правила для соответствующего вида авторизации (источник - сам пользователь или группа, в которую он входит).

Рекомендуем для политики доступа только авторизованным пользователям запретить весь трафик и выше разместить разрешающие правила для нужных пользователей или групп.

Безопасность

исправлена уязвимость CVE-2025-68460 в веб-интерфейсе почтового сервера;
исправлена уязвимость CVE-2025-66570 в модуле системы предотвращения вторжений;
обновлен модуль системы предотвращения вторжений.

Новая функциональность

интеграция с RADIUS-сервером для двухфакторной аутентификации пользователей и администраторов;
аутентификация по сертификату через IKEv2/IPsec;
настройка длины сессии пользователя при авторизации по журналам безопасности AD;
интеграция с NGate, возможность использовать Ideco NGFW как Syslog-сервер;
в разделах Межсетевой экран и Контент-фильтр доступна выгрузка правил в формате CSV;
возможность передавать информацию о действиях администраторов в SIEM-систему;
расширены возможности перемещения правил в таблицах раздела Маршрутизация.

Исправления и изменения

исправлена ошибка обновления, при которой пропадают исключения сигнатур из профиля WAF;
исправлена проблема при обновлении на 21.10, когда при использовании LACP NGFW зависает во время перезагрузки;
исправлено автоматическое обновление (по умолчанию в поле “Отложить обновление” значение “Навсегда”);
исправлена ошибка при попытке добавить фильтр по столбцу HIP-профиль в разделе Сессии пользователя;
в высокопроизводительном контексте IP/MAC авторизация стала только постоянной;
в высокопроизводительном контексте недоступна MAC-авторизация отдельно от IP-авторизации;
исправлена загрузка баз фильтрации при офлайн-обновлении;
исправлена ошибка миграции настроек HIP-объекта с проверками антивирусов при обновлении с версии 20;
исключена поддержка сетевых карт e1000 и e1000e в высокопроизводительном контексте;
косметические изменения веб-интерфейса.

Ideco Client

исправлена ошибка, при которой на macOS после выбора профиля не отображается строка имени профиля;
Ideco Client при запуске отображается в панели Dock на macOS;
исправлена работа Ideco Client на Fedora 43;
добавлен многострочный вывод сообщения при ошибки соединения.

Безопасность

обновлен модуль системы предотвращения вторжений;
исправлена уязвимость CVE-2025-68460 в веб-интерфейсе почтового сервера;
исправлена фильтрация невалидных TCP‑сессий между локальными сетями в классическом контексте;
исправлена уязвимость CVE-2025-66570 в модуле системы предотвращения вторжений.

Новая функциональность

возможность скачать записи системных событий после отката на предыдущую версию;
выгрузка правил в формате CSV в разделах Межсетевой экран и Контент-фильтр;

Исправления и изменения

повышена стабильность IPsec-подключений;
актуализированы DNSBL-списки для повышения эффективности антиспам-фильтрации;
доступен раздел “Техническая поддержка” для пользователей с ролью “Администратор Межсетевого экрана”;
исправлена проблема периодического отключения VPN из-за некорректной работы nginx;
исправлена ошибка в браузере Safari 26.2 при переходе в раздел Доступ по VPN;
улучшена работоспособность TLS-сессий;
исправлена ошибка, при которой системный контекст не использует доступные ресурсы, отображается “Статус неизвестен”;
исправлена бесконечная загрузка web.max.ru при включенной расшифровке в разделе Контент-фильтр;
исправлено некорректное отображение ресурсов, опубликованных в ЛК/SSL VPN;
исправлена скорость загрузки сайтов при работе системы предотвращения вторжений;
исправлена ошибка авторизации при включенной опции "Поддержка KDC требований, комплексной проверки подлинности и защиты Kerberos" в домене;
исправлена блокировка доставки почты при использовании L2-мостов и работе системы предотвращения вторжений;
исправлена ошибка избыточного логирования в журналах;
исправлена проверка работы правил Межсетевого экрана при наличии правил в разделе Ограничение скорости;
косметические изменения веб-интерфейса.

Ideco Client

исправлено удаление DNS от NGFW после отключения Ideco Client на macOS;
исправлено дублирование VPN-сессий для TLS;
исправлено обновление маршрутов у VPN-клиентов “С установлением туннеля” при изменении статуса интерфейсов.

2025 Novum

Новая функциональность

поддержка профилей антивирусов в высокопроизводительном контексте;
возможность добавления ICAP-сервиса в высокопроизводительном контексте;
запуск сбора диагностической информации в Ideco Client;
расширены возможности перемещения правил в таблицах Межсетевого экрана;
в журнал Межсетевого экрана добавлено поле “Внешний IP-адрес источника”;
возможность скачать записи системных событий после отката на предыдущую версию.

Исправления и изменения

повышена стабильность IPsec-подключений;
исправлены ошибки при обновлении с версии 20 на 21: отсутствие доступа в интернет, не работает балансировка, недоступны публикации через Обратный прокси, не работает авторизация по логам при наличии логинов с несколькими символами @;
доработано логирование правил Межсетевого экрана в журнале;
возможность добавлять правила SNAT для IPsec через веб-интерфейс;
устранено дублирование DNS-записей до VPN-туннеля при использовании Ideco Client на MacOS;
доступен раздел Техническая поддержка для пользователей с ролью “Администратор Межсетевого экрана”;
исправлена ошибка, при которой системный контекст не использует доступные ресурсы, отображается “Статус неизвестен”;
исправлена ошибка авторизации при включенной опции "Поддержка KDC требований, комплексной проверки подлинности и защиты Kerberos" в домене;
исправлена ошибка определения токена при настройке ГОСТ VPN;
Ideco Client открывается сразу при запуске приложения;
добавлена валидация на уникальность названий доменов в ALD и FreeIPA;
косметические изменения веб-интерфейса.

Безопасность

усилена безопасность пользовательских данных в системных журналах.

Новая функциональность

авторизация с помощью SAM и UPN через Active Directory;
индивидуальная настройка параметров защиты от DoS при публикации в разделе “Обратный прокси”;
журнал заблокированных IP с помощью WAF и ручное снятие блокировки (“Блокировки по IP”) в разделе “Мониторинг”;
интеграция с FreeIPA в разделах “Внешние каталоги” и “Администраторы”;
в высокопроизводительном контексте расширены данные в журнале межсетевого экрана (по аналогии с классическим контекстом).

Исправления и изменения

исправлено отсутствие доступа в интернет при обновлении с 20 на 21 версию, при некоторых настройках балансировки трафика;
исправлена ошибка, при которой у пользователя, авторизованного в локальной сети по VPN, отсутствует доступ в интернет;
исправлена проблема при обновлении с 20 на 21 версию, при которой интерфейс с внешним IP отображается как неактивный;
исправлена ошибка при удалении правила в разделе “Балансировка и резервирование”, при которой интернет у пользователя продолжает работать;
исправлена ошибка при веб-авторизации клиента за шлюзом;
исправлена некорректная расшифровка TLS 1.3 при обращении по IP-адресу в разделе “Контент-фильтр”;
исправлена неработоспособность VLAN-интерфейсов при переключении нод, если порт переименован;
параметр KDC-сервер переименован в DC-сервер;
исправлена ошибка отображения сигнатур при использовании специальных символов в названии профиля IPS;
исправлена ошибка при подключении нового устройства в разделе “Обнаружение устройств”;
исправлена ошибка при попытке скачать CSV-отчет “Топ пользователей” в разделе “Трафик”;
косметические изменения веб-интерфейса.

Ideco Client

исправлена проблема зависания Ideco Client в состоянии "Процесс авторизации запущен" и "Проверка второго фактора" после обновления с 20-ой версии;
исправлена ошибка передачи маршрутов в Ideco Client, если в правиле указана группа, а не конкретный пользователь;
из HIP-профилей удалены неподдерживаемые версии Windows LTSC.

Примечания к релизу
Перед обновлением с версий 20.х обязательно ознакомьтесь с примечаниями к релизу 21.0.

Безопасность

обновлен модуль прокси-сервера (в том числе исправлена уязвимость CVE-2025-62168/BDU:2025-13226);
исправлено некорректное логирование правил Межсетевого экрана с действием “Запретить” при отключённом SSH на внешних интерфейсах;
восстановлена корректная блокировка подключений по GeoIP в WAF при выборе большого количества объектов;
оптимизировали алгоритмы шифрования в обратном прокси: перестали поддерживать устаревшие шифры, например SHA1.

Новая функциональность

дополнительный метод доставки отчетов по расписанию - SMTP-сервер;
возможность поиска объектов не только по названиям, но и по значению;
возможность добавлять пользователей AD, LDAP-фильтры и группы безопасности в объект "Список IP-объектов".

Исправления и изменения

исправлена некорректный перенос портов при обновлении;
исправлено падение интерфейсов в высокопроизводительном контексте при недостаточном количестве памяти;
исправлены ошибки при обновлении с версии 20: повышенная нагрузка на CPU, отсутствие обновления баз Контент-фильтра, некорректная работа маршрутизации внешних сетей без явного указания IP-адреса шлюза, некорректная миграция пользователей и групп AD в объекте "Список IP-объектов";
исправлена ошибка при офлайн-загрузке базы Контент-фильтра;
исправлена некорректная работа журнала Веб-трафик: наличие записей о блокировках при отключенном Контент-фильтре, расшифрованный трафик отображается как нерасшифрованный;
исправлено неправильное определение локальной сети при аутентификации пользователей;
восстановлено переключение нод при отключении внешнего/локального линка на активной ноде;
исправлена некорректная работа L2-моста при пробросе VLAN-интерфейса;
исправлена ошибка в разделе Балансировка и резервирование после обновления при наличии правила в маршрутизации внешних сетей со шлюзом Любой;
исправлена ошибка избыточного расхода лицензии, при которой пользователи могли авторизоваться в другой локальной сети;
восстановлена работа OSPF при добавлении статических маршрутов;
MAC-адрес для LACP больше не меняется при изменении настроек LACP. Ранее это могло приводить к временным проблемам с прохождением трафика на роутерах;
исправлено падение некоторых виджетов в разделе Трафик при применении фильтров;
исправлена некорректная обработка ошибок в разделе Физические порты;
исправленное некорректное отображение фильтра с логическим ИЛИ при добавлении сигнатур;
восстановлена работа высокопроизводительного контекста при отключении IGMP Proxy в системном контексте;
исправлены избыточные уведомления в Telegram-бот при использовании IPsec;
исправлено логирование срабатываний IPS в Журнале Межсетевого экрана и в Журнале IPS;
исправлено отображение счетчика срабатываний Межсетевого экрана в правилах, переданных из Ideco Center;
косметические изменения веб-интерфейса.

Ideco Client

исправлен одновременный разрыв VPN-подключений через Ideco Client по протоколу TLS;
исправлены ошибки при использовании HIP-профилей: определение Kaspersky Anti-Virus и Kaspersky Endpoint Security (KES) при запущенном Windows Defender, отображение баз антивируса Kaspersky Standard, проверка наличия антивируса Kaspersky Endpoint Security на macOS;
исправлена асимметричная маршрутизация при подключении по Wireguard;
обновлены иконки приложения.

Примечания к релизу
В версии 21.5 не работает 2FA с использованием Мультифактора.

Исправления и изменения

исправлено обновление баз Антивируса Касперского;
исправлено исчезновение пользовательских папок в почтовом сервере при обновлении (ошибка версии 21.4);
исправлены проблемы подключения к AD через IPsec при включенном перехвате DNS-запросов;
исправлен некорректный перенос настроек шлюза для PPTP/L2TP-подключений к провайдеру при обновлении с версии 20;
исправлено отображение нулевых сессий в мониторе трафика (Панель мониторинга);
исправлена некорректная работа двухфакторной аутентификации при VPN-подключении по SSTP;
исправлена работоспособность интернет-соединения при настроенном LACP;
изменены значения потребления памяти в Мониторинге здоровья (Панель мониторинга) для отправки уведомлений о критической загрузке памяти;
исправлено некорректное определение Windows 10 Enterprise LTSC в HIP-профиле;
исправлено некорректное отображение значений в журнале Веб-трафик;
исправлено некорректное отображение деталей события в журнале Межсетевой экран;
исправлена блокировка прохождения трафика от пользователей без 2FA;
косметические изменения веб-интерфейса.

Безопасность

обновлен модуль системы предотвращения вторжений (в том числе исправлена уязвимость CVE-2025-59147/BDU:2025-12460).

Исправления и изменения

добавлены фильтры и дополнительные столбцы с группировкой сессий в раздел Монитор трафика;
реализована поддержка сетевых адаптеров USB;
доступен одновременный выбор протоколов TCP и UDP при создании правила Межсетевого экрана;
добавлен счетчик срабатываний в таблицы DNAT/SNAT Межсетевого экрана в высокопроизводительном контексте;
исправлена работа Межсетевого экрана при большом количестве правил предварительной фильтрации;
исправлено отсутствие сработок морфологического анализа в Syslog;
исправлена ошибка отображения при импорте Wildcard SSL-сертификата для IKEv2;
исправлены ошибки миграции сетевых интерфейсов при обновлении с 20 на 21 версию;
в логах больше не отображаются входящие соединения на Ehternet-интерфейсе без адресации;
исправлено некорректное отображение скорости в мониторе трафика;
исправлено некорректное отображение графиков загруженности интерфейсов при переименовании портов;
улучшена настройка полей Антивирус в HIP-объекте;
исправлена валидация в предварительной и аппаратной фильтрации;
L2-мост работает с двумя VLAN-интерфейсами;
исправлена загрузка офлайн-баз в высокопроизводительном контексте;
косметические изменения веб-интерфейса.

Ideco Client

исправлены проблемы при деавторизации терминальных пользователей Ideco Client через NGFW (завершение RDP-сессии и потеря несохраненных данных);
исправлена автоматическая установка некорректной маски подсети при подключении через Ideco Client;
исправлены ошибки, связанные с определением антивирусных программ: Windows Defender;
исправлено некорректное определение включенного брандмауэра Windows в HIP-профиле;
исправлена ошибка обновления, если открыт только 443 порт;
исправлена некорректная работа службы после смены IP при типе подключения TLS.

Примечания к релизу
Не рекомендуется переходить на версию 21, если используете:

кластер с синхронизацией сессий и настроенным VCE NGFW — при обновлении произойдет сбой всех сетевых интерфейсов, пассивная нода не обновится.

Особенности обновления:

после обновления с версии 20 журналы VCE контекстов не будут отображаться в веб-интерфейсе (системный контекст останется доступным). Для получения архива данных — обращайтесь в техническую поддержку;
включение отправки логов на Ideco Center из VCE контекста возможна только в системном контексте. Корневой NGFW отправляет как свои данные, так и данные всех созданных VCE контекстов;
исключена авторизация пользователей терминальных серверов через прямое подключение к прокси. Нужно использовать Ideco Client в терминальном режиме.

Для успешной миграции с версии 20:

укажите “Каталог по умолчанию” в разделе Аутентификация;
пользователи без каталога будут автоматически перенесены в каталог Локальные пользователи;
если в правилах доступа использовались группы безопасности, убедитесь, что права выданы нужным пользователям;
правила VPN в 21 версии действуют для внешних и локальных сетей, включая Device VPN.

Новая функциональность
возможность создания высокопроизводительного виртуального контекста VCE и реализация в нем возможностей NGFW с поддержкой:

монитор трафика, Предварительная фильтрация, Тестирование правил межсетевого экрана;
счетчики срабатываний правил межсетевого экрана;
Журнал веб-трафика, IGMP Proxy;
LACP-интерфейсы, GRE-туннели;
Веб-авторизация и SSO;
Netflow;
Кластеризация, Master/Forward-зоны DNS, Ideco Client, VPN-подключения.

Новая система работы с пользователями AD/Samba DC:

Быстрая работа с крупными каталогами (десятки/сотни тысяч пользователей и групп);
Просмотр групп безопасности в веб-интерфейсе;
Оптимизация скорости работы NGFW за счет разделения локальных пользователей и пользователей, импортированных из AD;
Реализован поиск пользователей в правилах.

L2-менеджер: настройка физических портов и сохранение при переустановке NGFW:
прозрачный L2-мост в высокопроизводительных VCE;
настройка интерфейсов при используемом кластере;
добавлена поддержка DNS Cloud Security;
возможность блокировки по обновляемому черному списку IP-адресов в межсетевом экране (в разделе Специальные в объектах);
добавлено действие Отбросить в межсетевом экране (Запретить без отправки RST-сообщения источнику);
профили безопасности антивируса с тонкой настройкой антивирусной проверки и использования профилей в правилах контентной фильтрации;
динамически обновляемая DNS-зона для подключающихся VPN-пользователей;
возможность использовать высокопроизводительные контексты VCE как DNS-сервер;
расширенные настройки маршрутизации: PBR и статическая маршрутизация в системном контексте и VCE;
добавлена возможность работы VCE-контекстов с обычным типом кластеров;
перенос внутренних настроек VCE при переключении нод в любом кластере.

Оптимизации

поддержка до 100 000 правил в высокопроизводительных VCE.

Исправления и изменения

кластеры: синхронизация сессий VPP VCE при переключении узлов;
раздел Файрвол переименован в Межсетевой экран;
в Панель мониторинга добавлен виджет “Мониторинг здоровья”.

Ideco Client

возможность настройки целевого HIP-профиля и отказ в авторизации в случае непопадания пользователя в него;
сообщение пользователю о несоответствии целевому HIP-профилю;
Ideco Client для авторизации пользователей терминального сервера в высокопроизводительных контекстах VCE;
антивирусы больше не блокируют Ideco Client вне режима терминального сервера;
прекращена поддержка macOS 12.7. Минимальная версия — macOS 13.4;
исправлены проблемы с настройкой DNS для Linux и macOS. Инструкция по установке и настройке Ideco Client на Linux;
улучшен механизм назначения маршрутов, что исправило проблемы, связанные с опцией Отправлять весь трафик на Ideco NGFW.

2025

Безопасность

обновлен модуль системы предотвращения вторжений (в том числе исправлены уязвимости CVE-2025-64344, CVE-2025-64333, CVE-2025-64332, CVE-2025-64331, CVE-2025-64330);
исправлена уязвимость CVE-2025-62168/BDU:2025-13226 в модуле прокси-сервера;
исправлено отображение паролей пользователей в режиме отладки службы ideco-agent-websocket;
исправлено некорректное логирование правил Межсетевого экрана с действием “Запретить” при отключенном SSH на внешних интерфейсах;
восстановлена корректная блокировка подключений по GeoIP в WAF при выборе большого количества объектов;
закрыты уязвимости TCP Timestamps Information Disclosure и ICMP Timestamp Reply Information Disclosure.

Исправления и изменения

в настройки антивируса добавлена опция “Блокировать скачиваемые файлы при неудачной попытке анализа” (по умолчанию выключена);
исправлена ошибка, при которой у пользователя, авторизованного в локальной сети по VPN, отсутствует доступ в интернет;
исправлена повышенная нагрузка на CPU при обновлении с версии 20;
восстановлено переключение нод при отключении внешнего/локального линка на активной ноде;
исправлена ошибка избыточного расхода лицензии, при которой пользователи могли авторизоваться в другой локальной сети;
возможность добавлять правила SNAT для IPsec через веб-интерфейс;
возможность переходить в дочерние контексты (VCE) доступна только администраторам с ролью “Администратор”;
исправлено отображение нулевых сессий в мониторе трафика (Панель мониторинга);
ограничена роль “Администратор Межсетевого экрана” в некоторых разделах (Почтовый релей, Ограничение скорости, Управление сервером, Обратный прокси и др.);
параметр KDC-сервер переименован в DC-сервер;
исправлена ошибка при подключении нового устройства в разделе “Обнаружение устройств”;
исправлено логирование срабатываний IPS в Журнале Межсетевого экрана и в Журнале IPS;
устранено автоматическое обновление при выбранном способе обновления “Ручная загрузка”;
ограничен доступ пользователей к внутренней сети до ввода двухфакторной аутентификации;
исправлена ошибка при попытке скачать CSV-отчет “Топ пользователей” в разделе “Трафик”.

Ideco Client

исправлен одновременный разрыв VPN-подключений через Ideco Client по протоколу TLS;
при использовании HIP-профилей улучшены: определение Kaspersky Anti-Virus (KAV) и Kaspersky Endpoint Security (KES) при запущенном Windows Defender, отображение баз антивируса Kaspersky Standard, проверка наличия антивируса Kaspersky Endpoint Security на macOS;
улучшено построение маршрутов Ideco Client, если на NGFW настроена передача маршрутов “Отправлять маршруты до всех локальных сетей”;
модифицировано поведение Ideco Client при низких MTU;
исправлено некорректное определение Windows 10 Enterprise LTSC в HIP-профиле;
из HIP-профилей удалены неподдерживаемые версии Windows LTSC;
доработаны механизмы создания и удаления сетевых интерфейсов: при создании Ideco Client теперь не накапливаются сетевые интерфейсы;
изменен таймаут уведомлений Ideco Client: повторяющиеся уведомления будут появляться с увеличенным интервалом (20 секунд).

Исправления и изменения

исправлена работа Межсетевого экрана при большом количестве правил предварительной фильтрации;
исправлена работа фильтров при поиске по тексту;
исправлена работа опции "Пересылать всю почту на адрес" в режиме почтового релея;
исправлен перенос настроек балансировки после обновления;
исправлена работа обратного прокси при добавлении ресурса в ЛК/Портал SSL VPN;
восстановлена возможность удаления некорректной опции dnsmasq;
исправлены ошибки работы Контент-фильтра и отображения информации в журнале Веб-трафик;
исправлена ошибка отображения при импорте Wildcard SSL-сертификата для IKEv2;
исправлено отсутствие сработок морфологического анализа в Syslog;
исправлена валидация ввода IP-адресов и масок;
косметические исправления веб-интерфейса.

Ideco Client

антивирусы больше не блокируют Ideco Client вне режима терминального сервера;
исправлены проблемы при разавторизации терминальных пользователей Ideco Client через NGFW (завершение RDP-сессии и потеря несохраненных данных);
исправлены ошибки авторизации на macOS по TLS, если на NGFW в настройках Ideco Client указан домен;
исправлена автоматическая установка некорректной маски подсети при подключении через Ideco Client;
исправлены ошибки, связанные с определением антивирусных программ: Windows Defender, COMODO, Kaspersky (Standard, Plus, Endpoint Security).

Примечание к релизу
При обновлении версии правила контентной фильтрации будут мигрированы на новые категории автоматически.
Для корректной авторизации в почте проверьте, что почтовые домены совпадают с доменами Каталога авторизации в разделе "Пользователи - Аутентификация". В случае несовпадения аутентификация будет выполняться через каталог по умолчанию. Подробнее в документации.

Новая функциональность

гибкая настройка передачи маршрутов VPN-пользователям (Split tunneling);
логирование DNS-запросов в Системный журнал;
улучшенная настройка фильтрации в Контент-фильтре: по регулярным выражениям, по направлению трафика, по размеру сообщения;
новые возможности при настройке правил Контент-фильтра: инвертирование источника и категорий, использование логического оператора “И” для источника;
оптимизация категорий Контент-фильтра: уменьшение количества категорий и устранение дублирования (69 категорий вместо 173);
поддержка DNS-over-TLS для защиты резолвинга DNS-сервером в NGFW через внешние DNS-серверы (настроенные DNS-серверы должны поддерживать эту технологию);
новые возможности при настройке правил Файрвола: использование логического оператора “И” для источника и назначения, логирование срабатывания конкретных правил Файрвола;
управление разделением ресурсов виртуальными контекстами VCE;
возможность выбора баз GeoIP (стандартная, Минцифры) в настройках Управление сервером - Обновления - Базы фильтрации;
ограничение длины сессии пользовательских VPN-подключений.

Ideco Client

Ideco Client для авторизации пользователей терминального сервера;
SSL VPN (HTTPS, 443) в Ideco Client;
поддержка работы в Windows 11 24H2 без установки компонента Virtual Machine Platform.

Сеть

возможность настройки ALG для SIP и H.323;
возможность аутентификации соседей в OSPF по MD5.

Оптимизации

ускорена работа с большим количеством объектов Active Directory;
оптимизирована работа БД отчетности и журналов.

Обновления

обновление ядра Linux (до версии 6.12) и ключевых используемых пакетов.

Разное

управление трафиком при высокой нагрузке на модуль Предотвращение вторжений;
при создании отчетов по расписанию в Конструкторе отчетов можно выбрать формат отчета (CSV, PDF, PDF + CSV);
опция Защита от DoS включается по каждому правилу Обратного прокси;
графики загруженности VCE в Мониторинге;
возможность использования логического оператора “ИЛИ” в фильтрах журналов;
возможность выбора каталога для аутентификации по умолчанию.

Безопасность

обновлен модуль системы предотвращения вторжений (в том числе исправлены уязвимости CVE-2025-64344, CVE-2025-64333, CVE-2025-64332, CVE-2025-64331, CVE-2025-64330);
исправлена уязвимость CVE-2025-62168/BDU:2025-13226 в модуле прокси-сервера;
исправлено отображение паролей пользователей в режиме отладки службы ideco-agent-websocket;
исправлено некорректное логирование правил Межсетевого экрана с действием “Запретить” при отключенном SSH на внешних интерфейсах.

Исправления и изменения

в настройки антивируса добавлена опция “Блокировать скачиваемые файлы при неудачной попытке анализа” (по умолчанию выключена);
восстановлено переключение нод при отключении внешнего/локального линка на активной ноде при использовании VLAN;
в Ideco NGFW и Ideco Center добавлена блокировка обновления на ту же версию;
возможность переходить в дочерние контексты (VCE) доступна только администраторам с ролью “Администратор”;
исправлена некорректная расшифровка TLS 1.3 при обращении по IP-адресу в Контент-фильтре;
ограничена роль “Администратор Межсетевого экрана” в некоторых разделах (Почтовый релей, Ограничение скорости, Управление сервером, Обратный прокси и др.);
параметр KDC-сервер переименован в DC-сервер;
восстановлена работа SIP-телефонии при перезагрузке или обновлении Ideco.

Безопасность

исправлена возможность скачивания бэкапа администратором с ролью "только просмотр";
добавлен разрыв установленных SSH-сессий при отключении доступа по SSH или "удаленного помощника".

Исправления и изменения

повышена производительность модулей обработки трафика;
исправлена работа модуля контроля приложений под нагрузкой;
исправлена выгрузка отчетов журнала трафика в CSV при включенных фильтрах;
исправлена работа OSPF при переключении провайдеров;
добавлена возможность использования "белых" IP-адресов в сети для VPN-подключений;
исправлена работа кластера при наличии loopback-интерфейса;
исправлена передача цепочки SSL-сертификатов при подключении по SSTP;
исправлено действие профиля применяемое к новым протоколам "контроля приложений" при обновлении с 18-ой версии (будет выбрано тоже действие, что было назначено протоколу "Unknown");
исправлено формирование отчета "Список посещенных адресов" в конструкторе отчетов;
исправлена авторизация пользователей доверенных доменов Active Directory;
улучшена работа с большим количеством (десятки тысяч) групп безопасности Active Directory;
исправлены периодические проверки HIP-профиля Ideco Client-ом;
исправлены ошибки в логах после авторизации администратора через radius;
исправлено обновление антивируса Касперского при очень медленном интернет-канале;
исправлено формирование больших отчетов по трафику в CSV;
из системного журнала убраны логи контроля приложений (в 19-ой версии они есть в "журнале трафика");
ускорено обновление кластера;
косметические исправления веб-интерфейса.

Безопасность
- исправлена уязвимость CVE-2024-11236 (актуальна при использовании веб-почты в NGFW);
- исправлены потенциальные уязвимости найденные с помощью фаззинга в модулях BGP и DNS-сервере;
- исправлено отображение учетных данных администратора в тексте ошибки при окончании сессии администратора VCE;

Исправления и изменения
- исправлено обновление с прошлых версий при наличии активных VCE;
- исправлено обновление с прошлых версий при особенностях UEFI на сервере;
- исправлено отображение диапазонов портов в правилах файрвола;
- исправлено скачивания баз контент-фильтра при выключенном модуле контентной фильтрации;
- добавлена возможность позволяющая интегрировать Ideco NGFW в домен Microsoft Windows 2025 (при возникновении ошибки входа в домен необходимо выполнить в терминале NGFW команду "touch /run/ideco-ad-backend/ldap-passwd");
- повышена надежность БД отчетности;
- исправлена обработка событий изменения наличия пользователя в группах безопасности AD/ALD для сессий личного кабинета (теперь при удалении пользователя из группы для которой предоставлен доступ сессия будет автоматически разрываться);
- исправлено создание кластера при наличии loopback-интерфейсов;
- небольшие исправления веб-интерфейса и логирования служб.

Примечания к 19-му релизу
С версии 18.8 и релиза 19-ой версии профили контроля приложений и предотвращения вторжений проверяют и локальный сетевой трафик между сегментами (могут его блокировать в зависимости от настроек правил файрвола). Проверьте настройки фильтрации трафика после обновления.

Новая функциональность

структурированный журнал трафика (файрвол (включая DNAT и SNAT), IPS, контроль приложений);
netflow-сенсор для передачи информации netflow коллектору;
портал SSL VPN (публикация HTTPS, HTTP, SSH, RDP-ресурсов);
отправка журналов на Ideco Center;
ГОСТ VPN для site-to-site между Ideco NGFW;
аппаратная фильтрация трафика по MAC-адресам (для поддерживаемых сетевых карт);
Обработка трафика файрволом на основе ACL (настраивается по API): до 100 000 записей суммарно во всех ACL, максимальное количество записей в одном ACL 10 000.

Ideco Client

2FA в интерфейсе Ideco Client;
балансировка подключений к серверам;
подключение к доступным серверам перебором SRV-записей в DNS;
кастомная настройка конфигурации (запрет “сохранения пароля”, предустановленные профили, настройка профиля по-умолчанию);
улучшенное журналирование подключения в системный журнал.

Сеть

возможность использования пула IP-адресов для SNAT;
loopback-интерфейс для GRE, GRE/IPsec-туннелей;
возможность фильтрации трафика между локальными интерфейсами с помощью профилей контроля приложений и IPS.

Оптимизации

ускорена работа с большим количеством объектов Active Directory;
ускорена работа веб-интерфейса с большим количеством пользователей и правил;
уменьшено потребление ОЗУ модулями;
добавлена поддержка ESN в IPSec (лучше производительность при больших объемах трафика);
ускорена установка.

Обновления

обновление ядра Linux (до версии 6.11) и ключевых используемых пакетов;
обновлен модуль контроля приложений;
обновлен модуль предотвращения вторжений.

Разное

убран модуль "Квоты" для работы с квотами трафика;
добавлено поле "Комментарий" в разделе Мониторинг аренды DHCP-сервера;
возможность добавления системных доверенных сертификатов;
в логах авторизации пользователей теперь указывается и логин;
добавлена кнопка "Сбросить блокировки по IP" в меню Управление сервером - Дополнительно;
добавлена колонка "Расположение" в мониторинг сессий администраторов (по GeoIP);
возможность публикации веб-интерфейса как внутреннего сервиса через обратный прокси-сервер;
возможность указания конкретного контроллера домена Active Directory для подключения NGFW;
добавлена возможность восстановления на предыдущую версию из раздела "Обновления";
возможность аутентификации пользователей из Active Directory по RADIUS;
в антиспаме Касперского включена проверка SPF и DMARC для лучшей фильтрации спама и фишинговых писем;
при включении заблокированного пользователя в Active Directory он разблокируется в Ideco NGFW (ранее нужно было разблокировать вручную). Отключена возможность ручной "блокировки" авторизации пользователей Active Directory в Ideco NGFW;
добавлена возможность выключения "теста скорости" для личного кабинета пользователей;
многочисленные исправления и улучшения веб-интерфейса.

2024

Безопасность

профили контроля приложений и предотвращения вторжений в правилах файрвола;
предварительная фильтрация в файрволе с возможностью проверки TCP-флагов (syn, ack, fin, rst, urg, psh) и размера пакетов;
возможность фильтрации по HTTP-методам (get, post, put, delete, head, options, patch, trace) и MIME-типам;
морфологический анализ в контент-фильтре;
интеграция с песочницей по ICAP;
улучшенная устойчивость веб-интерфейса и SSH от DoS-атак;
улучшенная ролевая модель администрирования (добавлены роли Администратор информационной безопасности, Администратор файрвола, Администратор настройки доступов);
профили безопасности WAF для опубликованных веб-приложений (включая наборы сигнатур, белые и черные списки по источникам (в т.ч. GeoIP), исключения);
возможность указания порта источника в файрволе;
авторизация администраторов через RADIUS, группы безопасности Active Directory и ALD Pro;
загрузка собственных сигнатур в систему предотвращения вторжений;
обновление ядра Linux (до версии 6.8) и ключевых используемых пакетов.

Сетевая функциональность

инструмент проверки прохождения трафика через МЭ;
расширенная функциональность VCE;
зеркалирование портов SPAN;
исключение адресов из маршрутов передаваемых VPN-пользователям;
loopback-интерфейс;
оптимизация производительности обработки трафика.

Ideco Client

поддержка VPN для клиента MacOS;
авторизация устройств по сертификату (Device VPN);
возможность добавления DNS-суффикса подключения при подключении по VPN;
возможность создания туннеля при подключении из локальной сети;
Ideco Client для Alt Linux, Astra Linux, Red OS, Fedora, Debian, Ubuntu.

Разное

удалена возможность авторизации пользователей по PPPoE;
удален антивирус для веб-трафика ClamAV;
для использования кластера требуется отдельная лицензия на модуль;
возможность загрузить оффлайн-лицензию из файла;
загрузка обновлений баз данных фильтрации и NGFW оффлайн;
в мониторинг добавлена возможность просмотра текущих сессий администраторов;
в отчеты добавлен отчет по авторизациям администраторов;
компактный веб-интерфейс.

Примечания к релизу
Если вы используете Центральную Консоль управления Ideco NGFW версии 17.1, то при обновлении NGFW до версии 17.5 правила файрвола перестанут синхронизироваться с ЦК (старые полученные правила будут работать). Необходимо обновить ЦК до версии Ideco CC 17.6, для возможности полноценной работы с Ideco NGFW 17.5.

Безопасность

roundcube, использующийся для доступа к почте через веб-интерфейс, обновлен до версии 1.6.7 (с исправлением уязвимостей CVE-2024-42009, CVE-2024-42008, CVE-2024-42010).

Исправления и изменения

в правила файрвола добавлена возможность назначения профилей приложений, данные правила заработают после обновления на 18-ую версию и сделаны для переноса настроек на новую версию (старые правила контроля приложений при обновлении до 18-ой версии будут удалены);
добавлена возможность полностью отключить автоматические обновления на новые версии;
оптимизирован резолвинг DNS-запросов;
исправлена работа с пользователями в правилах при быстром восстановлении из бэкапов;
исправлена отправка логов по syslog если сообщения в логах очень длинное;
обновлен ключ антивируса Касперского для веб-трафика (будет работать до июля 2025 года);
время синхронизации нод кластера теперь указывается в часовом поясе сервера;
исправлено отключение сортировки спама в режиме почтового релея, сейчас спам будет поступать на почтовый сервер с пометкой в теме письма;
косметические исправления веб-интерфейса.

Исправления и изменения

увеличено число почтовых адресов в правилах переадресации до 1200 адресов (ранее было 100);
исправлена работа сайтов jitsi.org и asana.com при включенной расшифровке HTTPS-трафика;
исправлены ошибки в журналах запуска logrotate;
улучшена блокировка отправки информации в vk.com при включенной блокировке активности в соц.сетях в контент-фильтре;
косметические исправления веб-интерфейса;
исправлена работы VCE на Hyper-V с использованием VLAN-интерфейсов;
исправлено удаление переименованных протоколов в "Контроле приложений" при обновлении с 16-ой версии;
улучшена синхронизация вложенных групп безопасности Active Directory / ALD Pro;
исправлено обновление с 16-ой версии с просроченными SSL-сертификатами;
исправлена работа с правилами из Центральной консоли после мгновенного восстановления из бекапов;
исправлена синхронизация бекапов в режиме кластера;
исправлена излишняя частота перевыпуска сертификатов Lets Encrypt;
исправлены разрывы соединения Ideco Client с включенными HIP-профилями;
исправлено определение данных о HIP-устройстве при восстановлении из мгновенного бекапа;
удалена интеграция с Next DNS, рекомендуем использовать интеграцию с SkyDNS для фильтрации DNS-трафика;
добавлены дополнительные операторы фильтрации ("содержит", "не содержит", "равен", "не равен") в таблицы журналов и авторизации пользователей;
добавлено предупреждение о необходимости лицензирования кластеризации с 18-ой версии (в текущих коммерческих лицензиях данная возможность будет оставлена в рамках их действия);
добавлена возможность работы интеграции с ALD Pro версии 2.3;
исправлена защита от подбора паролей в личный кабинет пользователя;
исправлена возможная потеря части статического ответа при интеграции по ICAP с внешними системами;
"температура процессора" в графиках загруженности и панели мониторинга переименована в "температура", т.к. включает в себя все температурные датчики системы;
исправлено создание GRE-туннелей между Ideco NGFW и Cisco.

Новые возможности

виртуальные контексты VCE (аналог VSX, VDOM, позволяет создавать виртуальные Ideco NGFW на одном сервере с независимыми друг от друга сетью, управлением и политиками безопасности);
режим кластера с синхронизацией сессий;
аутентификация VPN-пользователей через RADIUS-сервер;
GRE over IPSec, GRE-туннели;
ZTNA - проверка клиентом домена, антивируса, версии ОС, наличия пакетов обновлений и др. Использование профилей устройств в политиках файрвола;
Ideco Client авторизации для MacOS (без удаленного подключения по VPN);
время окончания действий правил файрвола;
время действия правил контент-фильтра;
добавлен формат CEF и выбор TCP/UDP для интеграции с внешними сервисами (SIEM и др.) по syslog;
восстановление бекапа конфигурации возможно без перезагрузки сервера;
возможность выдавать IP-адреса из разных подсетей разным группам VPN-пользователей;
в DHCP-сервер добавлена возможность автоматической раздачи настроек прокси-сервера клиентам (WPAD);
в отчеты добавлен журнал работы веб-антивируса;
имя сервера добавлено в названия бэкапов, передается по syslog и SNMP;
возможность управления доступом группам пользователей в личный кабинет;
возможность выбора OU при интеграции с Active Directory из которых будут выбраны пользователи и группы (рекомендуется использовать при очень большом количестве объектов в Active Directory);
экономичный режим работы процессора (настраивается в Управление сервером - Дополнительно).

Обновления

платформа на ядре Linux 6.7.9;
обновленная версия системы предотвращения вторжений;
обновлен модуль контроля приложений, улучшено определение приложений (добавлены новые приложения: ELECTRONICARTS, HL7, IEEE_C37118, MONERO, CEPH, DOTA2, RADMIN, TENCENTGAMES, OPENFLOW).

Исправления и изменения

информация о IPSec-туннелях на дашборде и в мониторинге (загрузка канала, потеря пакетов, джиттер);
добавлена разавторизация администраторов из веб-интерфейса через 8 часов не активности;
тонкие настройки WCCP;
изменены настройки публикации внутренних сервисов NGFW (личный кабинет, веб-интерфейс почты) в обратном прокси-сервере;
добавлена поддержка встроенных графических контроллеров процессоров Intel 13-го поколения;
добавлена информация о времени синхронизации нод в кластере;
многочисленные улучшения веб-интерфейса.

Примечание к релизу
Если вы используете встроенный веб-интерфейс почты в Ideco NGFW, необходимо проверить доступ к нему после обновления. Из-за изменения типа публикации ресурса в обратном прокси-сервере (новый тип "внутренние сервисы") в некоторых случаях потребуется перенастройка публикации.
Централизованное управление версией возможно только через Ideco Center 17-ой версии. Если вы используете Ideco CC 16, обновление политик фильтрации с нее будет невозможно (возможен только доступ в веб-интерфейс)

Безопасность

обновлен модуль системы предотвращения вторжений с исправлением критических уязвимостей (CVE-2024-23839, CVE-2024-23836, CVE-2024-23837);
исправлена утечка памяти в модуле WAF при большой нагрузке;
усилены правила защиты от брутфорса VPN-сервера (блокировка при 5 попытках подбора паролей в течении 10 минут на 40 минут, ранее было при 8 неуспешных попытках);
устранена уязвимость типа «межсайтовый скриптинг» (XSS) на веб-странице двухфакторной аутентификации.

Исправления и изменения

исправлена валидация доменов в списке правил почтового релея (увеличена возможная длина доменов);
исправлены исходящие IPSec-соединения по нескольким IP-адресам;
повышена стабильность IPSec-подключений при переключении каналов;
оптимизирована производительность обработки веб-трафика;
исправлено обновление базы контент-фильтра (иногда БД могла не оптимизироваться после обновления);
добавлены указания DNS-суффиксов домена в powershell-скрипты создания клиентских подключений;
исправлена обработка доменов ALD Pro при входе в домен;
исправлена публикация веб-почты через обратный прокси-сервер при обращении по IP из локальной сети;
исправлена работа модулей обработки трафика при более чем 64 ядер CPU;
исправлена работа Discord при расшифровке HTTPS-трафика;
исправлена блокировка загрузки исполняемых файлов с некоторых ресурсов;
в категорию "файлы" контент-фильтра добавлены расширения файлов ПО "Мой офис" (xodt,xods,xodp,xott,xots).

2023

Новые возможности

новая платформа на основе ядра Linux 6.3;
Zone Based Firewall (зоны в правилах файрвола, включая IPSec и клиентские VPN-подключения);
авторизация пользователей терминальных серверов на прокси-сервере;
интеграция с Astra ALD Pro (включая авторизацию пользователей);
защита от DoS для опубликованных веб-ресурсов (в обратном прокси-сервере);
журнал веб-доступа в отчетах по трафику;
улучшенная настройка VPN-авторизации пользователей (включая 2FA);
возможность выдавать произвольный шлюз по DHCP и любые опции;
возможность создания маршрутов для IPSec-подключений;
возможность настройки BGP соседства в IPSec-подключениях;
использование всего дискового пространства;
авторизация пользователей доверенных доменов Active Directory;
возможность включить/выключить модуль подсчета квот трафика;
существенно увеличена производительность модулей глубокого анализа трафика;
добавлена поддержка протоколов АСУ ТП модулем "Контроль приложений" (EtherSIO, FINS, HART-IP, Modbus, OPC-UA, UMAS).

Исправления и изменения

продукт переименован в Ideco NGFW (лицензия на Ideco UTM действительна для Ideco NGFW);
удалена возможность создания IPSec-подключений между “филиалом и главным офисом” (все подключения осуществляются через “устройства”, настройки из старых версий будут перенесены автоматически при обновлении);
Ideco Agent переименован в Ideco Client;
убран раздел “Мониторинг - VPN пользователи” (информацию о VPN-пользователях можно посмотреть в разделе “Мониторинг - Авторизованные пользователи”, в т.ч. с использованием быстрого фильтра);
существенно ускорено обновление системы.

Новые возможности

обновленная платформа на базе ядра Linux 6.1.18;
возможность использования расширенной базы правил предотвращения вторжений от Лаборатории Касперского (требует дополнительного лицензирования);
балансировка трафика на несколько серверов обратным прокси-сервером;
IGMP Proxy (пропуск мультикаст-трафика);
вход в домен ALD Pro;
интеграция с Samba DC (в т.ч. BaseALT Linux);
аудит действий администраторов;
WCCP L2/L3;
интеграция с сервисом "Мультифактор" для 2FA;
перехват NTP-запросов к внешним серверам (в настройках NTP-сервера);
выгрузка отчетов из раздела "Трафик" в формате csv;
в Контроль приложений добавлены протоколы: ADS_Analytic (рекламные трекеры), AdultContent (сервисы распространения порно-контента), SRTP. Улучшено определение приложений.

Исправления и изменения

удален "старый" VPN_агент и агент авторизации (нужно перейти на использование нового агента для авторизации пользователей локальной сети и VPN);
ускорена обработка трафика DPI-модулями в многоядерных конфигурациях;
журналы и настройки syslog перенесены в раздел "Отчеты и журналы";
добавлено количество сессий в виджете top5 в главном дашборде;
обновлен модуль системы предотвращения вторжений.

Новые возможности

просмотр журналов системы в веб-интерфейсе (Мониторинг - Журналы);
DHCP relay;
настройка времени аренды адреса для DHCP-сервера;
DDNS (интеграция с сервисом nic.ru);
новая версия модуля контроля приложений (улучшено определение протоколов, новые протоколы сервисов VK и Яндекс);
двухфакторная аутентификация VPN-пользователей по SMS и TOTP;
в доверенные добавлен сертификат Минцифры.

Безопасность

обновлен антивирус ClamAV до версии 0.103.8 (включающей исправление CVE-2023-20032).

Исправления и изменения

исправлены ошибки в Мониторе трафика;
увеличено максимальное количество установившихся соединений на серверах с большим количеством оперативной памяти;
исправлен приоритет правила перенаправления в контент-фильтре;
исправлены ошибки связанные с кэшем браузера при обновлении с прошлых версий;
исправлено удаление кэша авторизаций по логам безопасности контроллеров домена при отключении данной функции;
исправлена валидация URL в пользовательских категориях контент-фильтра;
оптимизирована работа с группами безопасности Active Directory при их большом количестве;
исправлено сохранение настроек антиспама Касперского после обновления Ideco UTM;
оптимизирована нагрузка на процессор при большом количестве установленных соединений;
исправлены некоторые ошибки;
небольшие доработки веб-интерфейса.

Обязательно ознакомьтесь с примечаниями к релизу при обновлении с версий 13.х.

Новые возможности

раздача NTP-сервера по DHCP (NTP-сервер на Ideco UTM должен быть включен);
изменена логика создания IPsec-подключения: IPSec-подключения создаются через внешние адреса всех настроенных провайдеров;
опции TFTP (PXE Boot), DNS-суффикс в DHCP-сервере;
возможность просмотра оставшейся квоты трафика в личном кабинете пользователя;
добавлена возможность управлять метрикой маршрута в OSPF;
добавлена передача VPN-сетей Ideco UTM в OSPF;
добавлена колонка "Пользователь" в монитор трафика;
добавлена настройка сохранения пароля в Ideco агент.

Исправления и изменения

исправлен DNAT с не основного внешнего интерфейса;
исправлена ошибка авторизации по VPN для пользователей Active Directory;
исправлена валидация масок для URL/доменов в собственных категориях контент-фильтра;
обновлен список MIME-типов файлов в контент-фильтре;
добавлена колонка "пользователь" в мониторе трафика;
исправлено подключение по VPN с помощью Ideco агента при большом количестве маршрутов в системе;
в отчетность по трафику ("Список адресов") добавлены столбцы "Дата и время", "URL", "Общий трафик", "Входящий трафик", "Исходящий трафик";
исправлен запуск "Контроля приложений" на некоторых сетевых картах;
многочисленные небольшие улучшения веб-интерфейса;
исправлено создание PTR-зон в DNS для локальных сетей;
исправления небольших ошибок.

2022