Компания UserGate, отвечая на запрос крупных российских компаний получить отечественный высокопроизводительный, отказоустойчивый, многофункциональный NGFW, разработала семейство межсетевых экранов следующего поколения UserGate Data Center Firewall (DCFW), ориентированных на защиту сложных сетевых инфраструктур, включая сети уровня ЦОД. Об этом рассказали менеджер по развитию UserGate NGFW Кирилл Прямов и руководитель технического маркетинга компании UserGate Иван Чернов.
Кирилл Прямов пояснил, что набор сетевых возможностей UserGate DCFW полностью унаследован от решений UserGate NGFW, что позволяет гибко встраивать UserGate DCFW в корпоративную инфраструктуру. Эти возможности включают: статическую и динамическую маршрутизации (протоколы OSPF, BGP, RIP, PIM); маршрутизацию и балансировку нагрузки (технологии BPR, VRF, ECMP, BFD); технологию VLAN и VXLAN; протоколы WCCP и DHCP.
По словам Кирилла Прямова, несмотря на отсутствие (пока) в UserGate DCFW возможностей контентной фильтрации, реализованный к настоящему времени набор функций ИБ уже позволяет решать задачи защиты сети для клиентов уровня enterprise, обращающихся сегодня к компании UserGate за решением NGFW. Из функций безопасности в UserGate DCFW в настоящее время реализованы:
- контроль состояния сессий (FW L3/L4);
- контроль приложений (FW L7);
- предотвращение вторжений (IPS);
- трансляция сетевых адресов (SNAT, DNAT);
- аутентификация сотрудников (Identity Firewall);
- защищенная передача данных (S2S VPN);
- защищенный удаленный доступ (RA VPN);
- антивирусная защита (NAV).
В UserGate DCFW использован первый в России для NGFW аппаратный ускоритель с FPGA (Field-Programmable Gate Array, программируемая пользователем вентильная матрица). Работу над его созданием, сообщил Кирилл Прямов, вендор вел коло трех лет. На FPGA переведены функции FW L3/L4, IPS и контроля приложений (FW L7), что позволило значительно повысить производительность устройства. Благодаря FPGA UserGate DCFW также может обрабатывать большие потоки данных (также называемые Elephant Flows) без перегрузки ЦП NGFW.
Кирилл Прямов обращает внимание потенциальных заказчиков на добавленные в UserGate DCFW новые функции. Так, векторный межсетевой экран реализует собственную технологию UserGate, которая позволяет перейти на более производительный уровень обработки правил межсетевого экранирования. Сегодня он архитектурно ограничен 130 тыс. правил (что, по оценкам UserGate, является рекордом среди российских NGFW). К настоящему времени на инфраструктуре одного из заказчиков проведено успешное тестирование поддержки 85 тыс. правил с превышением на 40% требований заказчика по производительности.
Функция создания виртуальных систем позволяет разделять физические ПАКи на ограниченное только мощностью их «железа» количество независимых виртуальных NGFW. Благодаря этому с помощью виртуальных систем в ЦОДах можно выстраивать конструкции, востребованной заказчиком сложности (эта функция, пояснил Кирилл Прямов, аналогична возможностям VSYS в решениях Palo Alto, VDOM в решениях Fortinet и виртуальным контекстам в решениях Cisco).
Отказоустойчивость UserGate DCFW тоже унаследована от UserGate NGFW: две ноды Active-Passive; две, три или четыре ноды Active-Active; синхронизация сессий, синхронизация узлов кластера (GARP), агрегирование каналов (LACP), резервирование канала. Для резервирования используется протокол VRRP, который формирует из нескольких физических маршрутизаторов виртуальный, поддерживающий автоматическое переключение между физическими устройствами при отказе.
Централизованное управление UserGate DCFW реализовано на отдельном, обслуживающем всю экосистему продуктов UserGate SUMMA решении UserGate Management Center. Без архитектурных ограничений оно в состоянии обслуживать более 10 тыс. устройств, поддерживает мультитенантность и гибкую ролевую модель управления доступом. Функция UserID дает возможность идентифицировать пользователей и генерируемый ими трафик.
Решение UserGate DCFW реализованы на платформах UserGate FG (с модулем аппаратного ускорения FPGA), E1010, E3010, F8010, а также платформах серии G.
Модель UserGate FG (шасси 1U) имеет 16 портов 10GbE SFP+ и два порта 100GbE QSFP28. Пропускная способность функции FW L3/L4 достигает 150 Гбит/с на трафике UDP с пакетами 1518 байт и 90 Гбит/с на трафике EMIX; с функцией L7-фильтрации (трафик EMIX) производительность составляет 45 Гбит/с (доступно со второго квартала 2025г.), с функцией L7-фильтрации и системой IPS она равна 25 Гбит/с (доступно со второго квартала 2025г.). Ведется тестирование максимального числа сессий в секунду (CPS) в 80 тыс. и максимального количества одновременных TCP сессий в 22 млн/с.
При поступлении сетевого трафика на центральный процессор (CPU) устройства UserGate FG формируются только правила обработки трафика, после чего поток, минуя CPU, направляется на FPGA. Сегодня доступна работа с 10 тыс. правил межсетевого экрана. Ко второму кварталу 2025г. на FPGA будут переведены функции FW L7 и IPS, а количество правил доведено до 130 тыс., т.е. будет, как у всех других устройств серии DCFW.
Модель UserGate FG можно использовать как самостоятельное устройство, так и в паре с другими новыми моделями компании. Это позволяет разделить control plane от data plane и масштабировать производительность объединенного NGFW-решения. Модель G9300 как раз представляет собой комбинацию моделей FG и E3010, которая управляется как единое устройство. Производительность модели G9300 достигает 200 Гбит/с для FW L3/L4 на трафике TCP/UDP с пакетами 1518 байт и 30 Гбит/с для функций FW L7 + IPS на трафике EMIX. Результаты получены при применении 10 тыс. правил FW и 8 тыс. сигнатур и приложений IPS. Максимальное количество одновременных TCP-сессий — 24 млн, новых сессий (CPS) — 400 тыс./c. Компания UserGate ожидает увеличения показателей производительности после адаптации ПО к новым платформам и доработки аппаратного ускорения функций FW L7 и IPS.
Производительность модели E1010 на трафике EMIX в режиме FW L3/L4 составляет 38 Гбит/с; с функцией L7-фильтрации производительность составляет 16 Гбит/с; с функцией L7-фильтрации и системой IPS ее производительность равна 5 Гбит/с. У модели E3010 эти показатели соответственно равны 70 Гбит/с, 40 Гбит/с и 18 Гбит/с.
С набором опций NGFW (FW L3/L4/7 + IPS + контентная фильтрация (CF)) у модели E1010 производительность составляет 1 Гбит/с, у E3010 2,5 Гбит/с. У E1010 максимальное число одновременных сессий в секунду (CPS) равно 100 тыс.; у E3010 180 тыс. Максимальное количество одновременных TCP-сессий у E1010 равно 4 млн.;у E3010 — 12 млн.
Производительность модели F8010 на трафике EMIX составляет: в режиме FW L3/L4 — 80 Гбит/с; с функцией L7-фильтрации — 47 Гбит/с; с функцией L7-фильтрации и IPS — 30 Гбит/с; с набором опций NGFW — 3,5 Гбит/с. Максимальное число сессий в секунду (CPS) составляет 320 тыс.; максимальное количество одновременных сессий TCP — 24 млн. F8010 имеет высоту 2U и предлагает восемь посадочных мест слотов расширения .
Как сказал Иван Чернов, модель UserGate FG уже доступна для заказчиков; UserGate DCFW с полностью реализованным функционалом компания обещает поставлять, начиная со второго квартала 2025г. Он также сообщил, что платформы E1010, E3010, F8010 и FG уже внесены в реестр российской промышленной продукции Минпромторга России.
По словам Ивана Чернова, проведенные UserGate исследования дают компании основания полагать, что цена за 1 Мбит/с защищаемого трафика при использовании модели G почти в два раза ниже, чем у ближайшего конкурента. Он также сообщил, что платформы семейства UserGate DCFW внесены в реестр российской промышленной продукции Минпромторга России.
Компания UserGate, рассказал Иван Чернов, разрабатывает и производит свою продукцию на территории России — в конструкторском бюро в Новосибирске и на контрактном заводе в Санкт-Петербурге. Это обеспечивает ей полный контроль над ПАК UserGate, снижает санкционные риски и позволяет полнее выполнять требования импортозамещения.
