Новая страница в истории российского NGFW-строения: обзор UserGate DCFW

Компания UserGate, ведущий российский разработчик экосистемы ИБ-решений, представила новое поколение решений класса NGFW — линейку высокопроизводительных межсетевых экранов следующего поколения (Next-Generation Firewall) для крупных корпоративных заказчиков и центров обработки данных UserGate DCFW (Data Center Firewall). В статье рассмотрим особенности нового продукта, его функции и преимущества.

Запрос рынка

Рынок ИБ остается одним из наиболее динамично развивающихся направлений IT-сферы. Компании увеличивают бюджеты на информационную безопасность. В первую очередь — это организации, связанные с госзаказом и признанные объектами КИИ.

Отношение коммерческих компаний к ИБ тоже меняется. Инвестиции в ИБ рассматриваются как инвестиции в устойчивость бизнеса, в повышение доверия клиентов и партнеров, и минимизация рисков, которые могут поставить под вопрос существование самой компании.

NGFW — один из самых быстрорастущих сегментов рынка информационной безопасности. Если раньше NGFW в нашей стране большей частью были представлены иностранными вендорами, то после их ухода с отечественного рынка, компании перешли на решения российских производителей.

По оценке Ideco количество российских разработок NGFW за 2022-2024 годы выросло в шесть раз. Конкуренция в сегменте NGFW выросла: сейчас на рынке представлены десятки отечественных решений, еще больше находятся в разработке. Спрос на NGFW продолжает расти, но рынок все еще далек от насыщения.

«Не секрет, что на рынке есть производители, которые предлагают два класса решений: файерволл функциональный и файерволл высокопроизводительный. На мой взгляд, компания UserGate сейчас ближе всего подошла к тому, чтобы объединить эти решения и предложить рынку единый функциональный, производительный и надежный продукт», — отметил Николай Затерюкин, руководитель группы сетевой безопасности, компания «Линза».

Что такое UserGate DCFW

UserGate Data Center Firewall (DCFW) — высокопроизводительный межсетевой экран следующего поколения с широкими функциональными возможностями и высокой отказоустойчивостью для защиты дата-центров и крупных корпоративных сетей. По словам вендора, новая продуктовая линейка создана по запросу клиентов. Разработка продукта была начата еще до 2022 года, потому что ряд технологий требуют как минимум трех лет работы, чтобы они стали зрелыми и их могли использовать.

Главные требования к продукту, которые озвучивались заказчиками:

• отказоустойчивость;
• функциональность;
• производительность.

Решение предназначено для тех, кому требуется защита сетей с трафиком, исчисляемым в десятках гигабит в секунду: корпоративные сервисы крупного бизнеса, государственные информационные системы, ЦОДы, интернет-провайдеры.

Основные функции

UserGate Data Center Firewall (DCFW) — одно из самых функциональных решений на российском рынке. Продукты из новой линейки предназначены для защиты ЦОДов и позволяют решать задачи защиты в сети на периметре и в сегментах инфраструктур очень крупных компаний. В первую очередь, это stateful firewall, то есть L3, L4 модели OSI, это контроль приложений, система предотвращения вторжений, NAT и аутентификация сотрудников.

Функции безопасности уровня ЦОД:

• Контроль состояния сессий (FW L3/L4);
• Контроль приложений (FW L7);
• Предотвращение вторжений (IPS);
• Трансляция сетевых адресов (SNAT, DNAT);
• Аутентификация сотрудников (Identity Firewall).

Этих функций достаточно, чтобы решать задачи крупных заказчиков, но в дальнейшем компания планирует реализовать все функции, которые есть в UserGate NGFW.

В UserGate Data Center Firewall оставлены все сетевые функции, которые позволяют безболезненно встраивать решение в корпоративную сеть. К ним относятся:

• Статическая маршрутизация;
• Динамическая маршрутизация: OSPF, BGP, RIP, PIM
• Маршрутизация, оптимизация, балансировка: Fullview, PBR, VRF, ECMP, BFD, WCCP, DHCP
• Сегментация и масштабирование сетей: VLAN, VXLAN
• Управление качеством обслуживания (QoS)

Продукт поддерживает все протоколы, которые нужны, чтобы решение бесшовно работало в IT-инфраструктуре.

Собственная технология векторного фаервола

Одно из ключевых нововведений UserGate DCFW — появилась собственная технология векторного фаервола. Она позволила обрабатывать до 130 000 правил межсетевого экрана без линейного падения производительности. На данный момент, это рекорд среди отечественных решений в РФ. Такое решение подойдет для самых крупных заказчиков. Представители UserGate сообщили, что во время пилотных тестирований продукта максимальное количество по запросам заказчиков составляло 85 000 правил.

Единственный NGFW, который использует аппаратное ускорение

Еще одно важное нововведение, собственная разработка компании — аппаратный ускоритель на базе FPGA. Благодаря этому UserGate DCFW стал первым NGFW с FPGA в России.

Функции stateful firewall (FW L3/L4/L7) и контроль приложений (IPS) переходят на FPGA, это позволяет достичь принципиально новых уровней по скоростям обработки трафика без роста себестоимости решения. Кроме того, с помощью FPGA обрабатываются Elephant flows — несколько крупных непрерывных потоков трафика, например, информация от большого парка видеокамер. Обычные NGFW без FPGA часто не могут с ними справиться, так как Elephant Flows перегружают центральный процессор устройства.

Функция «Виртуальные системы»

Важная особенность UserGate DCFW — возможность делить физическое устройство на несколько виртуальных NGFW и работать с ними как с абсолютно независимыми виртуальными устройствами. При этом архитектура UserGate DCFW позволяет делать любое количество виртуальных систем. Что идеально подойдет для ЦОДов, потому что позволяет строить сложные виртуальные конструкции и работать с ними.

Отказоустойчивость уровня ЦОД и удобство управления

Все функции, которые были в UserGate NGFW, перешли в UserGate DCFW. Включая кластер Active-Passive на 2 ноды, кластер Active-Active на 2-4 ноды, резервирование канала, агрегацию каналов (LACP), синхронизацию узлов (GARP), синхронизацию сессий между узлами кластера, а также VRRP. Все, что нужно, чтобы обеспечить надежную работу, даже если откажет один узел.

Централизованное управление осуществляется с помощью отдельного решения UserGate Management Center, поддерживающее управление всей экосистемой продуктов UserGate SUMMA (NGFW, DCFW, SIEM, Log Analyzer, Client). Можно строить отказоустойчивые кластеры, что важно для заказчиков уровня enterprise. Поддерживается мультитенантность и гибкая ролевая модель. Доступно управление более 10 000 устройств.

Производительность

Экспертиза UserGate в области разработки собственных технологий: операционной системы UG OS и аппаратных платформ с применением аппаратного ускорения, — позволила инженерам компании добиться беспрецедентных для российских решений показателей производительности и вывести их на уровень ведущих мировых производителей: 200 Гбит/с для функций межсетевого экрана и 30 Гбит/с при включении функций контроля приложений и предотвращения вторжений. Результаты подтверждены в ходе нагрузочного тестирования. Новые платформы E1010, E3010, F8010 значительно превосходят своих предшественников по производительности (в среднем от 40 до 150% в зависимости от модели), в первую очередь благодаря использованию современных процессоров AMD EPYC. В F8010 используется 2 CPU этого семейства, каждый из которых содержит 48 ядер.

E1010

E3010

F8010

В старших моделях используется FPGA:

• До 200 Гбит/с FW L3/L4 на трафике UDP 1500 байт
• До 120 Гбит/с FW L7 на трафике EMIX
• До 30 Гбит/с FW L7 + IPS на трафике EMIX

Также компания UserGate анонсировала новую высокопроизводительное устройство G9300. Ее особенность — сочетание платформы FG и платформы E3010.

FG

Разделение data plane и control plane вместе с применением FPGA в FG обеспечивает существенный скачок в производительности.

Новая модель UserGate G9300

Заключение

Решение реализовано в виде программно-аппаратного комплекса (ПАК) на базе платформ UserGate E1010, E3010, F8010, FG, а также устройства из новой линейки — G9300. Все платформы уже внесены в Реестр Минпромторга. Коммерческие поставки UserGate DCFW начнутся во 2 квартале 2025 и позволят потенциальным заказчикам закрыть потребность в высокопроизводительном NGFW для выполнения указа президента №250. Платформа UserGate FG с FPGA доступна для покупки уже сейчас.

«Выход UserGate DCFW — крайне значимое событие для российского ИБ-рынка. Главный фактор, в корне меняющий ситуацию — платформа UserGate FG, которую мы создавали 5 лет. Реализованные в ней подходы впервые в России обеспечивают аппаратное ускорение функций безопасности. А также позволяют реализовать еще более производительные версии UserGate DCFW. Они будут состоять из нескольких устройств (блейдов), выполняющих функции control plane и data plane. Таким образом, компания UserGate первой из российских производителей NGFW вплотную подошла к созданию действительно мощных решений, производительность которых в режиме FW L7 + IPS может достигнуть 1 Тбит/с в перспективе нескольких лет», — прокомментировал новость менеджер по развитию UserGate NGFW Кирилл Прямов.

erid: 2SDnjf3gPqM

* Реклама, Рекламодатель ООО «Юзергейт», ИНН 5408308256