Компания UserGate, ведущий российский разработчик экосистемы ИБ-решений, объявляет об официальном запуске нового продукта — UserGate Data Center Firewall (UserGate DCFW). Это высокопроизводительный межсетевой экран нового поколения (NGFW) для защиты дата-центров и сетевого периметра организаций уровня Enterprise. Отличительная особенность UserGate DCFW — поддержка до 130 000 правил межсетевого экрана без существенного снижения производительности.
Первый анонс UserGate DCFW состоялся в ноябре 2024 года. Уже тогда NGFW выдержал тестирование на 100 000+ правил межсетевого экрана в режиме реального времени в присутствии экспертов ИБ-рынка — компаний «Инфосистемы Джет» и «Линза». После этого продукт прошел этап финальной доводки и пилотирования у крупных заказчиков и уже внедрен в одной из российских корпораций в качестве альтернативы лидерам мирового рынка NGFW. В частности, в ЦОД заказчика эксплуатируется более 30 флагманских платформ UserGate DCFW F8010, а всего сеть защищает около 300 устройств UserGate.
В основе UserGate DCFW лежит собственная реализация векторного межсетевого экрана, разработанная в Лаборатории UserGate — специальном подразделении компании, где проводится разработка инновационных технологий. В настоящее время эта технология позволяет обрабатывать до 130 000 правил межсетевого экрана (обычный запрос корпораций — около 50 000 правил). При этом увеличение количества обрабатываемых правил не приводит к линейному падению производительности. В следующих версиях продукта при наличии запросов от заказчиков максимальное количество поддерживаемых правил может быть увеличено.
В UserGate DCFW уже реализованы все функции безопасности, необходимые для работы в сценариях защиты корпоративного периметра и дата-центров: межсетевой экран с контролем состояния сессий (FW L4), контроль приложений (FW L7, 1 800+ приложений), предотвращение вторжений (IPS, 12 000+ сигнатур), трансляция сетевых адресов (NAT). Также доступны функции создания виртуальных частных сетей для организации безопасного доступа удаленных сотрудников (RA VPN) и защищенной передачи данных между площадками (S2S VPN) по протоколу IPsec.
Кроме этого, в UserGate DCFW уже реализованы возможности Identity firewall для идентификации и аутентификации пользователей, объединенные под названием UserID. UserID сопоставляет IP-адреса с учетными записями при помощи различных подходов и методик вне зависимости от текущего местоположения пользователей или используемой ими ОС. Это позволяет однозначно связать пользователя и генерируемый им трафик, что повышает видимость действий конкретного пользователя и упрощает настройку политик. Поддерживаются протоколы RADIUS, TACACS+, Kerberos, NTML, мультифакторная аутентификация, интеграция со службами каталогов Microsoft Active Directory, LDAP, ALD Pro и FreeIPA. Для прозрачной аутентификации реализована поддержка сообщений RADIUS Accounting с NAS-серверов, импорт данных других серверов по syslog, импорт журналов событий контроллера домена AD через WMI, агент на контроллере домена Microsoft Active Directory, а также сборщик событий из Windows Event Collector.
Для интеграции UserGate DCFW в сложные и зрелые ИТ-инфраструктуры, свойственные крупным заказчикам, в продукте уже есть широкий набор сетевых технологий: OSPF, BGP, RIP, PIM, PBR, ECMP, BFD, VLAN, VXLAN, VRF, LACP и ряд других. Поддерживается работа в кластере отказоустойчивости в режиме Active-Passive и Active-Active (до 4 нод). Возможна работа с популярными российскими балансировщиками.
Управление осуществляется через веб-интерфейс (GUI) или командную строку (CLI). Для централизованного управления распределенными инсталляциями UserGate DCFW может использоваться UserGate Management Center, предназначенный для управления UserGate NGFW и всеми продуктами экосистемы UserGate SUMMA, а для централизованного сбора и анализа логов — UserGate Log Analyzer (оба продукта — начиная с версии 7.4).
Для переноса конфигураций с популярных иностранных NGFW реализованы инструменты миграции, в том числе с Check Point, FortiGate, Palo Alto, Huawei и Cisco ASA/Firepower. Для интеграции с другими средствами защиты и ИТ-продуктами доступен открытый документированный API и протоколы syslog, SPAN и SNMP.
UserGate DCFW имеет два исполнения: виртуальный апплайнс и ПАК. Во втором случае поддерживается работа на новых платформах UserGate E1010, E3010, F8010, а также флагманской платформе предыдущего поколения — F8000. Все платформы внесены в реестры российской продукции Минпромторга России (ПП 719 и ПП 878). К началу 2026 года планируется завершить работы по поддержке платформы UserGate FG с аппаратным ускорением и гибридных устройств на ее основе (G9300, G9800).
По результатам тестирования UserGate DCFW на старшей платформе F8010 при задействовании 100 000 правил межсетевого экрана, 4 500 сигнатур IPS и 1 500 сигнатур приложений на трафике EMIX при загрузке CPU 70% были достигнуты следующие показатели: в режиме FW L4 — 145 Гбит/с при 185 000 CPS, в режиме FW L7 — 43 Гбит/с при 180 000 CPS, в режиме FW L7 + IPS — 13 Гбит/с при 165 000 CPS. Максимальное количество одновременных TCP-сессий в режиме FW L4 — 34 000 000. Предельная конструктивная пропускная способность платформы — до 400 Гбит/с.
UserGate DCFW сертифицирован ФСТЭК России по 4-му уровню доверия, как межсетевой экран по профилям защиты А, Б и Д 4-го класса, а также как система обнаружения вторжений уровня сети 4-го класса защиты (сертификат № 3905). Это позволяет использовать продукт в АИС до класса защищенности 1Г, ЗО КИИ I категории, ИСПДн 1 го уровня защищенности, ГИС 1-го класса защищенности, АСУ ТП 1-го класса защищенности, а также ИСОП II класса. UserGate DCFW внесен в реестр ПО Минцифры России. Кроме того, ведутся работы по внесению платформ с DCFW в реестр Минцифры в качестве ПАК.
«Коммерческий релиз UserGate DCFW открывает для нашей компании сегмент Enterprise, где до сих пор массово применяются зарубежные NGFW. Теперь мы можем предложить заказчикам российскую альтернативу со зрелыми технологиями и производительностью корпоративного уровня. Выделение UserGate DCFW в качестве отдельного продукта позволяет гибко развивать его исключительно под требования крупнейших организаций. Например, в ближайших релизах мы реализуем виртуальные контексты, которые ждут от нас многие заказчики, — говорит Кирилл Прямов, менеджер по развитию NGFW в UserGate. — В дальнейшем UserGate DCFW станет поддерживать платформы с аппаратным ускорением, в том числе новую модель с расчетной производительностью до 800 Гбит/с в режиме FW L4, которую мы планируем выпустить к 2027 году».
Источник: habr.com