Компания UserGate, ведущий российский разработчик экосистемы ИБ-решений, представила новое поколение решений класса NGFW — линейку высокопроизводительных межсетевых экранов следующего поколения для крупных корпоративных заказчиков и центров обработки данных UserGate DCFW (Data Center Firewall).
Экспертиза UserGate в области разработки собственных технологий позволила инженерам компании добиться высоких для российских решений показателей производительности и вывести их на уровень ведущих мировых производителей: 200 Гбит/с для функций межсетевого экрана и 30 Гбит/с при включении функций контроля приложений и предотвращения вторжений. Результаты подтверждены в ходе нагрузочного тестирования, о чём рассказали партнёры UserGate, участники нагрузочного тестирования из компаний «Инфосистемы Джет» и «Линза», в ходе презентации новых решений.
Компания UserGate вплотную подошла к созданию мощных решений, производительность которых может достигнуть 1 Тбит/с в перспективе нескольких лет. По показателю стоимости защиты 1 Мбит/с решения вендора уже сейчас превосходят ближайшего конкурента почти в два раза.
UserGate DCFW — специализированный высокопроизводительный межсетевой экран следующего поколения (Next-Generation Firewall, NGFW) для заказчиков, нуждающихся в высокопроизводительном, функциональном и отказоустойчивом решении для защиты корпоративных сетей и ЦОДов. В нём реализованы функции межсетевого экрана с контролем состояния сессий (FW L3/L4) и приложений (FW L7), система предотвращения вторжений (IPS) и трансляция сетевых адресов (NAT). Также в новинке реализованы функции Identity Firewall, что даёт возможность идентифицировать пользователя и генерируемый им трафик.
Для максимально простого встраивания UserGate DCFW в корпоративную сеть реализованы широкие сетевые функции: статическая и динамическая (OSPF, BGP, RIP, PIM) маршрутизация, протоколы для маршрутизации и балансировки нагрузки (PBR, VRF, ECMP, BFD), логическое разбиение сети на уровне L2 модели OSI (VLAN), WCCP, DHCP.
Одно из ключевых нововведений UserGate DCFW — собственная технология векторного файрвола. Она позволяет обрабатывать до 131 тыс. правил межсетевого экрана без линейного падения производительности, что является абсолютным рекордом среди российских NGFW.
По словам Ивана Чернова, руководителя технического маркетинга компании UserGate, такое количество правил применяется только у самых крупных заказчиков. На одном из пилотных проектов по замене зарубежного NGFW на периметре сети для ведущей нефтедобывающей компании было успешно протестировано 85 тыс. правил средней сложности (пять элементов). При этом производительность FW L3/L4 и IPS оказалась на 40% выше требований заказчика.
Другое важное отличие UserGate DCFW — применение первого в России аппаратного ускорителя на базе FPGA для NGFW. Схемотехника ускорителя разработана специалистами UserGate. С его помощью обрабатываются функции FW L3/L4/L7* и IPS, что обеспечивает качественный скачок показателей производительности без роста себестоимости решения. FPGA также позволяет обрабатывать Elephant Flows — непрерывные и чрезвычайно объёмные потоки, например, данные от большого парка видеокамер. Обычные NGFW без FPGA часто не могут с ними справиться, так как Elephant Flows перегружают центральный процессор устройства.
Ещё одна функция UserGate DCFW — создание виртуальных систем. Она позволяет логически делить ПАК UserGate на обособленные независимые друг от друга виртуальные NGFW. Количество виртуальных систем архитектурно не ограничено. Эта функция также будет интересна операторам дата-центров, так как позволяет строить гибкие схемы с участием множества виртуальных устройств. Аналогом «виртуальных систем» от UserGate являются VSYS от Palo Alto, VDOM от Fortinet и виртуальные контексты от Cisco.
В UserGate DCFW изначально поддерживается развитая отказоустойчивость — кластер Active-Passive на две ноды и кластер Active-Active на две, три или четыре ноды. Централизованное управление осуществляется с помощью отдельного решения UserGate Management Center, поддерживающее управление всей экосистемой продуктов UserGate SUMMA (NGFW, DCFW, SIEM, Log Analyzer, Client). Доступно управление более 10 тыс. устройств.
Решение реализовано в виде программно-аппаратного комплекса (ПАК) на базе платформ UserGate E1010, E3010, F8010, FG, а также устройства из новой линейки — G9300, которое сочетает в себе решения платформы FG и платформ E1010, E3010, F8010.
Во всех представленных моделях реализованы блоки питания и вентиляторы с функцией горячей замены. Вентиляторы спроектированы UserGate и могут работать как на вдув, так и на выдув, что может иметь большое значение для операторов ЦОД. Проводятся работы по внесению платформ E1010 и E3010 в Реестр Минпромторга. Для платформ F8010 и FG этот процесс уже завершён.
UserGate DCFW на платформе FG с FPGA готов к официальным поставкам с 25 ноября 2024 года. Коммерческие поставки устройства позволят потенциальным заказчикам закрыть потребность в высокопроизводительном NGFW для выполнения Указа президента России №250.
Во втором квартале 2025 года заказчикам станут доступны модели G9100 (E1010+FG) и G9800 (F8010+FG). Последняя из-за высоких технических характеристик должна обеспечить существенно более высокие показатели производительности.
