Совсем недавно компания «Код Безопасности» официально объявила о релизе новой версии межсетевого экрана следующего поколения (NGFW) «Континент 4» (версия 4.2).

Пришло время актуализировать информацию из нашей статьи Новые функции версии «Континент 4.2». Мы изучили новую версию и поделимся самыми важными изменениями — от долгожданного IPsec VPN до интеграции с RADIUS и улучшений в мониторинге.

В этом материале вас ждёт актуальная информация о том, какие функции были добавлены в новой версии релиза.

Первое и, наверное, наиболее значимое обновление функционала в новой версии – это добавление IPsec VPN: Policy-based и Route-based.

Теперь комплекс Континент 4 может строить VPN-туннели как с гостовым шифрованием (IKEv2), так и с использованием иностранной криптографии RSA/AES.

Для ГОСТ шифрования для обеих фаз поддерживаются алгоритмы Кузнечик и Магма с длиной ключа 256 и 512 бит.

Для алгоритма RSA поддерживаются версии протокола и IKEv1 и IKEv2.

Алгоритмы шифрования:

• AES-128;
• AES-256;
• AES-GCM-128;
• AES-GCM-256.

Алгоритмы целостности:

• SHA1;
• SHA-256;
• SHA-384;
• SHA-512.

Также имеется возможность дополнительной настройки временных интервалов обновления ключей для первой и второй фаз IPsec и других параметром, в числе которых включение и отключение использования автоматической маршрутизации для Policy-based VPN.

В совокупности, это позволяет строить Site-to-Site VPN со многими другими российскими и иностранными решениями. Например, мы в TS Solution уже протестировали построение туннелей с MikroTik, решениями Usergate, Fortigate, Checkpoint, а так же c устройствами с Libreswan.

Помимо этого, в версии 4.2 была добавлена функция «межсетевого взаимодействия», которая позволяет строить VPN-туннели между УБ под управлением разных ЦУС, как это было в 3.9. Для аутентификации устройств могут быть использованы PSK и сертификат. Мы уже протестировали данный функционал на своих стендах, и он работает.

В новой версии была добавлена возможность аутентификации пользователей по протоколу RADIUS, что расширяет возможности по интеграции Континент 4 в инфраструктуру предприятия, и позволяет настраивать 2fa аутентификацию практически с любыми решениями данного класса. Наши инженеры уже проверили работу Континент 4.2 с Multifactor на своих стендах.

Существенных изменений в работе RA VPN в этой версии не произошло, но добавлена возможность ограничения подключений по GeoIP. Это позволит отфильтровывать VPN-подключения из недружественных стран.

В предыдущих версиях Континента для пользователей выделялся единый пул адресов и существовала опция назначать отдельным пользователям конкретные ip-адреса. Теперь же, в новой версии, так же была добавлена возможность назначать пулы адресов для отдельно для каждой из LDAP-групп, что расширяет возможности по разграничению доступа удалённых пользователей.

Добавлена возможность создания кастомной страницы блокировки веб-ресурсов, что может упростить работу администраторов по поиску причин блокировок тех или иных ресурсов.

Добавлена возможность создания кастомной страницы блокировки веб-ресурсов, что может упростить работу администраторов по поиску причин блокировок тех или иных ресурсов.

Также в новой версии добавлена возможность просматривать в логах название сработавшего правила. Раньше в журнале сетевой безопасности мы могли увидеть только идентификатор отработавшей сигнатуры (номер в списке правил МЭ), что затрудняло идентификацию правила, и иногда вводило в заблуждение при изменении их очередности во время настройки. Нововведение значительно упрощает взаимодействие с системой мониторинга, поиск ошибок в конфигурации правил или причин блокировок пользовательского трафика – облегчает работу администратора.

Помимо этого, была добавлена возможность выбора журнала для передачи на внешний syslog-сервер. Это позволяет отправлять только необходимые журналы системам мониторинга или корреляции событий ИБ, не создавая избыточность данных в канале связи.

Помимо описанных ранее улучшений, которые можно назвать «существенными», в версии 4. 2 так же были внесены следующие изменения:

• добавлена возможность фильтрации логов по подсетям в системе веб-мониторинга;
• добавлена возможность обновления ПО через локальное меню;
• объединены базовый и расширенный контроли приложений;
• ранее на скриншоте могли заметить, что в свойствах ЦУС на вкладке «Дополнительно» появилась возможность редактировать некоторые системные параметры Континента – это облегчит решение некоторых проблем технической поддержкой;
• добавлена возможность отправки отчётов из системы мониторинга по расписанию;
• добавлен DHCP-relay, поддержка нескольких серверов;
• добавлена динамическая маршрутизация (BFD, BGP, OSPF) через VPN при route-based VPN.

На этом основные изменения заканчиваются.

Уже получена выписка (N149/3/2/2-2137 от 10.07.2025) из Заключения о соответствии основным требованиям СКЗИ "Комплекс безопасности". Версия 4" (исполнение2) (сборка 4.2.1.653) за N 149/3/2/21340 от 07.07.2025 по классу КС2. Заключение действует до 26.06.2030 года.

После сертификации ФСБ Континент 4 можно будет использовать в ГИС и других защищённых системах.

Изменения в новой версии по большей части оказались направлены на развитие удобства использования продукта и расширение имеющегося функционала. Но среди них есть и по-настоящему значительные. Мы наконец-то получили долгожданный IPsec, и возможность строить VPN-туннели с множеством других решений на рынке. Получили RADIUS и возможность интеграции с большинством решений 2FA. Это несомненно шаги в направлении более глубокой интеграции Континента в существующие системы.

Выход новой версии будет сопровождаться выпуском новой платформы R5000,

Отметим, что обновление на новую версию 4.2.1 возможно только с версии 4.1.9.2585.

Но предупреждаем. Платформы, которые приобретались с версиями 4.1.5 и 4.1.7 не обладают программно-аппаратным модулем Соболь, и с их обновлением могут возникнуть сложности, т. к. требуется либо перепрошивать BIOS, либо доустановить Соболь на платформу. По этому и другим вопросам вы можете обращаться к нам.

До встречи в новых статьях на портале!