UserGate представила Data Center Firewall для крупных корпоративных сетей

Компания UserGate представила новое поколение решений класса NGFW — линейку высокопроизводительных межсетевых экранов следующего поколения (Next-Generation Firewall) для крупных корпоративных заказчиков и центров обработки данных UserGate DCFW (Data Center Firewall).

Экспертиза UserGate в области разработки собственных технологий: операционной системы UG OS и аппаратных платформ с применением аппаратного ускорения, — позволила инженерам компании добиться беспрецедентных для российских решений показателей производительности и вывести их на уровень ведущих мировых производителей: 200 Гбит/с для функций межсетевого экрана и 30 Гбит/с при включении функций контроля приложений и предотвращения вторжений.

Результаты подтверждены в ходе нагрузочного тестирования. Компания вплотную подошла к созданию мощных решений, производительность которых может достигнуть 1 Тбит/с в перспективе нескольких лет. При этом уже сейчас по показателю стоимости защиты 1 Мбит/с UserGate превосходит ближайшего конкурента почти в 2 раза.

Решение реализовано в виде программно-аппаратного комплекса (ПАК) на базе платформ UserGate E1010, E3010, F8010, FG, а также устройства из новой линейки — G9300. UserGate DCFW на платформе FG готов к официальным поставкам с 25 ноября 2024 года.

Особенности UserGate DCFW

UserGate DCFW — специализированный NGFW для заказчиков, нуждающихся в высокопроизводительном, функциональном и отказоустойчивом решении для защиты корпоративных сетей и ЦОДов. В нем реализованы функции межсетевого экрана с контролем состояния сессий (FW L3/L4) и приложений (FW L7), система предотвращения вторжений (IPS) и трансляция сетевых адресов (NAT). Также в новинке реализованы функции Identity Firewall, не имеющие аналогов среди российских NGFW, что дает возможность идентифицировать пользователя и генерируемый им трафик.

Для максимально простого встраивания UserGate DCFW в корпоративную сеть реализованы широкие сетевые функции: статическая и динамическая (OSPF, BGP, RIP, PIM) маршрутизация, протоколы для маршрутизации и балансировки нагрузки (PBR, VRF, ECMP, BFD), логическое разбиение сети на уровне L2 модели OSI (VLAN), WCCP, DHCP.

Одно из ключевых нововведений UserGate DCFW — собственная технология векторного файрвола. Она позволяет обрабатывать до 131 000 правил межсетевого экрана без линейного падения производительности. На сегодня это абсолютный рекорд среди российских NGFW. Такое количество правил применяется только в самых крупных заказчиках. На одном из пилотных проектов по замене зарубежного NGFW на периметре сети для ведущей нефтедобывающей компании было успешно протестировано 85 000 правил средней сложности (5 элементов). При этом производительность FW L3/L4 и IPS оказалась на 40% выше требований заказчика.

Другое важное отличие UserGate DCFW — применение первого в России аппаратного ускорителя на базе FPGA для NGFW. Схемотехника ускорителя разработана специалистами UserGate. С его помощью обрабатываются функции FW L3/L4/L7* и IPS, что обеспечивает качественный скачок показателей производительности без роста себестоимости решения. FPGA также позволяет обрабатывать Elephant Flows — непрерывные и чрезвычайно объемные потоки, например, данные от большого парка видеокамер. Обычные NGFW без FPGA часто не могут с ними справиться, так как Elephant Flows перегружают центральный процессор устройства.

Еще одна примечательная функция UserGate DCFW — создание виртуальных систем. Она позволяет логически делить ПАК UserGate на обособленные независимые друг от друга виртуальные NGFW. Количество виртуальных систем архитектурно не ограничено. Эта функция также будет интересна операторам дата-центров, так как позволяет строить гибкие схемы с участием множества виртуальных устройств. Аналогом «виртуальных систем» от UserGate являются VSYS от Palo Alto, VDOM от Fortinet и виртуальные контексты от Cisco.

В UserGate DCFW изначально поддерживается развитая отказоустойчивость – кластер Active-Passive на 2 ноды и кластер Active-Active на 2, 3 или 4 ноды. Централизованное управление осуществляется с помощью отдельного решения UserGate Management Center, поддерживающее управление всей экосистемой продуктов UserGate SUMMA (NGFW, DCFW, SIEM, Log Analyzer, Client). Реализованы мультитенантность, гибкая ролевая модель и возможность создания отказоустойчивого кластера. Доступно управление более 10 000 устройств.

Для обеспечения высокой производительности UserGate DCFW анонсированы новые платформы – E1010, E3010, F8010. E1010 призвана заменить E1000 и в среднем на 40-50% производительнее. E3010 заменяет E3000 и в среднем на 100-150% быстрее. Обе платформы обладают 4 слотами расширения для интерфейсов RJ45, SFP, SFP+ и QSFP. F8010 заменяет F8000, производительнее ее в среднем в 2-3 раза, и обладает 8 слотами расширения. При проведении нагрузочного тестирования F8010 при использовании 131 000 правил (проходятся все до последнего) достигнуты значения в 40 Гбит/с для FW L3/L4 и 20 Гбит/с для FW L7 + IPS (трафик EMIX).

Также завершены все этапы подготовки к официальным поставкам платформы FG с FPGA. Он позволяет достичь выдающейся производительности FW L3/L4 — 150 Гбит/с на трафике UDP с пакетами 1518 байт, и 90 Гбит/с на трафике EMIX. При этом устройство способно поддерживать 22 000 000 одновременных TCP-сессий и создавать 84 000 новых сессий в секунду. На сегодня доступна работа с 10 000 правил межсетевого экрана. Ко второму кварталу 2025 года на FPGA будут переведены функции FW L7 и IPS, а количество правил — доведено до 131 000. Платформа выполнена в формфакторе 1 RU и обладает 16 интерфейсами SFP+ 10 Гбит/с и 2 интерфейсами QSFP28 100 Гбит/с. Коммерческие поставки устройства начнутся 25 ноября 2024 и позволят потенциальным заказчикам закрыть потребность в высокопроизводительном NGFW для выполнения указа президента №250.

Во всех представленных моделях реализованы блоки питания и вентиляторы с функцией горячей замены. Вентиляторы спроектированы UserGate и могут работать как на вдув, так и на выдув, что может иметь большое значение для операторов ЦОД. Проводятся работы по внесению платформ E1010 и E3010 в Реестр Минпромторга. Для платформ F8010 и FG этот процесс уже завершен.

Жемчужиной новой линейки стала высокопроизводительная модель G9300. Ее особенность — сочетание платформы FG и платформ E1010, E3010, F8010. Разделение data plane и control plane вместе с применением FPGA в FG обеспечивает существенный скачок в производительности. Полученные значения для G9300 — 200 Гбит/с для функций FW L3/L4 на трафике TCP/UDP 1518 байт, и 30 Гбит/с для функций FW L7 + IPS на трафике EMIX. Результаты получены при применении 10 000 правил файрвола и 8 000 сигнатур и приложений IPS. Максимальное количество одновременных TCP-сессий – 24 000 000, новых сессий — 400 000 в секунду. Управление G9300 осуществляется как едиными устройством, через CLI или веб-интерфейс.

Во втором квартале 2025 года заказчикам также станут доступны модели G9100 (E1010+FG) и G9800 (F8010+FG). Последняя из-за высоких технических характеристик должна обеспечить существенно более высокие показатели производительности. Возможна докупка устройств E1010/3010, F8010 или FG для их объединения в устройство G9100/9300/9800, а также объединение нескольких устройств серии G в отказоустойчивый кластер.

«Выход UserGate DCFW — крайне значимое событие для российского ИБ-рынка. Главный фактор, в корне меняющий ситуацию — платформа UserGate FG, которую мы создавали 5 лет. Реализованные в ней подходы впервые в России обеспечивают аппаратное ускорение функций безопасности. А также позволяют реализовать еще более производительные версии UserGate DCFW. Они будут состоять из нескольких устройств (блейдов), выполняющих функции control plane и data plane. Таким образом, компания UserGate первой из российских производителей NGFW вплотную подошла к созданию действительно мощных решений, производительность которых в режиме FW L7 + IPS может достигнуть 1 Тбит/с в перспективе нескольких лет, — прокомментировал новость менеджер по развитию UserGate NGFW Кирилл Прямов. — Стоит отметить, что это не просто «погоня» за производительностью. Мы нацелены на самую низкую стоимость защиты 1 Мбит/с. Согласно данным нашего внутреннего исследования рынка, сейчас по этому показателю мы опережаем ближайшего конкурента почти в 2 раза».

«UserGate — компания визионеров. Много лет назад мы поняли, что необходимо инвестировать в развитие NGFW, когда еще никто толком об этом не знал. Идти проторенной дорожкой мы категорически не хотели, поскольку понимали, что это неэффективно и в итоге заведет нас в тупик. Мы осознанно отказались от использования Open Source шаблонов в наших решениях и стали самостоятельно разрабатывать аппаратную часть. Подобное сочетание собственных софтверных и хардверных технологий, с одной стороны, позволяет нам полностью контролировать наши решения, что невозможно при использовании готового стороннего кода. С другой – дает необходимую свободу и гибкость в разработке, возможность реализовывать те идеи и подходы, которые мы считаем нужными, и при этом использовать гораздо более широкий спектр поставщиков комплектующих, что немаловажно в текущей геополитической ситуации. Представленное сегодня решение с его выдающимися характеристиками производительности – это закономерный результат нашей многолетней работы, важная веха не только в развитии UserGate, но и российской технологической отрасли в целом», — убежден Иван Чернов, руководитель технического маркетинга UserGate.

Производительность, подтвержденная экспертами рынка

Компания UserGate провела нагрузочное тестирование с привлечением экспертов рынка, имеющих большой опыт испытаний, внедрения и эксплуатации решений для обеспечения сетевой безопасности российского и иностранного производства, в том числе глобальных лидеров этого рынка.

«Я был приятно удивлен результатами тестирования. Особенно с учетом того, что оно проходило в режиме реального времени. Это действительно качественный шаг вперед, а не просто обещания. Мы увидели вполне осязаемое будущее, которое уже в целом наступило, и продукт, которым в самое ближайшее время уже можно будет пользоваться, — прокомментировал тестирование Александр Джаганян, руководитель направления сетевой безопасности, компании «Инфосистемы Джет». — Нам будет очень интересно провести нагрузочные испытания нового решения UserGate в нашей лаборатории и поделиться результатами со всеми участниками рынка».

«Не секрет, что на рынке есть производители, которые предлагают два класса решений: файрвол функциональный и файрвол высокопроизводительный. На мой взгляд, компания UserGate сейчас ближе всего подошла к тому, чтобы объединить эти решения и предложить рынку единый функциональный, производительный и надежный продукт, — сказал Николай Затерюкин, руководитель группы сетевой безопасности, компания «Линза». — По результатам проведенного тестирования, новое решение UserGate полностью соответствует заявленным характеристикам. Нам, безусловно, очень интересно изучить его более подробно, прогнать через наши тесты, изучить все параметры. Но то, что я увидел, меня более чем удовлетворило».

UserGate DCFW на платформе FG готов к официальным поставкам с 25 ноября 2025 года. Остальные платформы станут доступны во втором квартале 2025 года.