О новой версии межсетевого экрана PT NGFW 1.10
Компания Positive Technologies представила новую версию своего межсетевого экрана нового поколения — PT NGFW 1.10. Этот релиз стал важным шагом в развитии продукта, нововведения делают решение еще более надежным и удобным для администраторов крупных распределенных сетей.
Ключевые новшества версии 1.10
Разработка версии 1.10 велась с прицелом на три главные цели: дать администраторам больше контроля над сетью, упростить управление сложными политиками безопасности и обеспечить бесшовную работу в гетерогенной ИТ-инфраструктуре.
1. Полная прозрачность сети: SNMP и захват трафика
В PT NGFW появилась полноценная поддержка протокола SNMP (версий v2c и v3) для мониторинга состояния устройств. Это позволяет легко встроить межсетевые экраны в существующие системы мониторинга предприятия (например, Zabbix). Поддерживаются стандартные MIB (MIB II, HOST-RESOURCES-MIB, IF-MIB), а также собственный MIB от Positive Technologies, который будет расширяться в будущих версиях. Администраторы могут гибко настраивать сообщества (communities) для SNMPv2c и пользователей с разными уровнями защиты (noAuthNoPriv, authNoPriv, authPriv) для SNMPv3.
Еще одним важным инструментом для сетевых инженеров стал захват трафика (packet-capture) прямо на дата-интерфейсах межсетевого экрана через командную строку (CLI). Теперь можно прямо на устройстве задать фильтры по IP-адресам, портам, протоколам и направлениям, сохранить результат в формате PCAP и проанализировать его.
Еще одним важным инструментом для сетевых инженеров стал захват трафика (packet-capture) прямо на дата-интерфейсах межсетевого экрана через командную строку (CLI). Теперь можно прямо на устройстве задать фильтры по IP-адресам, портам, протоколам и направлениям, сохранить результат в формате PCAP и проанализировать его.
2. Революция в управлении: LDAP для администраторов и централизованные обновления
Безопасность самой системы управления вышла на новый уровень. В версии 1.10 реализована авторизация администраторов системы управления через LDAP. Это значит, что учетные записи администраторов теперь можно централизованно хранить и аутентифицировать в корпоративном каталоге (например, Active Directory), избавляясь от необходимости управлять локальными «учетками».
Кроме того, процесс поддержания защиты в актуальном состоянии стал максимально простым благодаря централизованному обновлению баз контента. Теперь базы протоколов и приложений, IPS- и антивирусных сигнатур, URL-категорий и GeoIP можно загружать и устанавливать прямо из интерфейса системы управления, причем сам PT NGFW может не иметь доступа в интернет. Администратор может гибко управлять процессом: установить обновления на саму систему управления, отправить их на устройства для отложенной установки или выполнить обновление немедленно.
Кроме того, процесс поддержания защиты в актуальном состоянии стал максимально простым благодаря централизованному обновлению баз контента. Теперь базы протоколов и приложений, IPS- и антивирусных сигнатур, URL-категорий и GeoIP можно загружать и устанавливать прямо из интерфейса системы управления, причем сам PT NGFW может не иметь доступа в интернет. Администратор может гибко управлять процессом: установить обновления на саму систему управления, отправить их на устройства для отложенной установки или выполнить обновление немедленно.
3. Улучшенная диагностика и надежность VPN
Для специалистов, управляющих большими сетями филиалов, добавлены новые команды CLI для диагностики IPsec site-to-site VPN. Команды show ike sa, show ipsec sa, clear ike sa и clear ipsec sa позволяют быстро получать информацию о состоянии ассоциаций безопасности и сбрасывать их при необходимости, не прибегая к перезагрузке сервисов. Также улучшена работа с IPsec VPN при использовании статических маршрутов через интерфейсы VTI.
4. Гибкость и мощь IPS
Система предотвращения вторжений (IPS) стала еще более адаптируемой. Теперь действие и режим журналирования задаются для группы сигнатур непосредственно в IPS-профиле. Это позволяет использовать одну и ту же группу сигнатур в разных профилях с разными политиками, избегая дублирования. Появилась возможность изменять приоритет групп простым перетаскиванием, а также клонировать профили и группы. Добавлена детальная карточка каждого профиля и группы с итоговым набором сигнатур и информацией о том, где они используются.
5. Интеграция с Active Directory: отказоустойчивость и многопоточность
Агент Identity Control, отвечающий за связь с AD, получил важные улучшения для работы в крупных доменах. Во-первых, теперь можно настроить одновременный сбор событий с нескольких источников WinRM/WEC одного домена, что повышает скорость и надежность получения информации о пользователях. Во-вторых, для резервирования подключений к LDAP добавлена возможность настройки нескольких серверов в одном источнике — при потере связи с основным агент автоматически переключится на следующий.
Множество улучшений для повседневной работы
Разработчики не обошли вниманием и мелкие, но важные детали:
- Количество возможных причин завершения сессий в журнале трафика увеличено с 16 до 43, что значительно упрощает поиск неисправностей.
- Добавлена поддержка детектирования протокола SSTP.
- В журнал антивируса добавлено поле Threat name.
- Оптимизирована работа сборщика журналов для аппаратных моделей MNGT-1000 и LOG-1000.
Изменения, на которые стоит обратить внимание
При переходе на версию 1.10 важно учесть несколько ключевых изменений:
- Группы сигнатур: предустановленные группы PT-Detect и PT-Protect объединены в новую группу Default. При этом в профиле PT-Detect для нее установлено действие "Разрешить", а в PT-Protect — "Рекомендованное". Все предустановленные группы теперь имеют тип predefined и защищены от изменений, что гарантирует корректное обновление в будущем.
- Безопасность подключения: между межсетевым экраном и системой управления теперь автоматически настраивается mTLS (взаимная TLS-аутентификация) вместо одностороннего TLS.
- Серийный номер: он теперь считывается автоматически при старте устройства. Если после обновления серийный номер изменился (это можно проверить командой show version), его потребуется обновить и в системе управления.
- Передача метрик: изменен принцип передачи метрик для статистики и мониторинга — теперь они отдаются по TCP-сокету, а не пишутся на диск, что повышает производительность.
Заключение
PT NGFW версии 1.10 — это зрелый и надежный продукт, который закрывает потребности самого широкого круга заказчиков Обновление уже доступно для всех пользователей с действующей подпиской на техническую поддержку.
