СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыОбучениеВакансии
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Реклама Политика ПДн
Главное
CISOCLUB
29 июля
#Обзоры #Dev#ИБ#Инфра

Выдержать море трафика и не захлебнуться: обзор UserGate DCFW, нового межсетевого экрана для центров обработки данных

Выдержать море трафика и не захлебнуться: обзор UserGate DCFW, нового межсетевого экрана для центров обработки данных

Российский разработчик решений по информационной безопасности, компания UserGate – лидер на отечественном рынке межсетевых экранов нового поколения (первое место с 23% продаж в 2024 году, согласно данным Центра Стратегических Разработок). Поэтому, как и подобает лидеру, компания не просто улучшает версии существующих продуктов, но продумывает и создает новые классы и подклассы решений. В частности, в текущем обзоре мы рассмотрим новый продукт UserGate Data Center Firewall (DCFW), специально спроектированный для задач уровня центров обработки данных.

В чем особенность UserGate DCFW? Это не просто «UserGate NGFW на мощном железе». Операционная система и ПО DCFW спроектированы так, чтобы на уровне архитектуры быть высокопроизводительным решением, обрабатывающим огромные потоки трафика. Вам может прийти в голову UserGate FG, другая производительная разработка UserGate – но там новация в аппаратной части, где скорость достигается за счет выделенных подпроцессоров. И сейчас идет работа над тем, чтобы FG тоже начал поддерживать DCFW.

В отличие от UserGate NGFW, ориентированного на малый и средний бизнес, DCFW нужен для крупных корпораций и ЦОД.

Ключевые отличия DCFW и NGFW

Чтобы не мучить читателей, сразу раскроем главную интригу: главным отличием новой архитектуры стал векторный межсетевой экран, собственная разработка UserGate (не имеющая отношение к технологии с похожим именем VPP). Обычный NGFW, в основе которого лежит iptables, имел ограничение порядка 3000 правил, а векторный межсетевой экран позволяет обрабатывать до 130 000 правил межсетевого экранирования без деградации производительности. Это особенно актуально для крупных организаций с комплексными политиками безопасности, где средняя политика может включать 50 000 правил одновременно. Пока DCFW и NGFW отличаются еще и набором возможностей (у DCFW сейчас нет контентной фильтрации, потокового антивируса и VPN), однако это планируется добавить в 2025-2026 годах.

Функционал и возможности

1. Межсетевое экранирование (FW L3/L4/L7) и предотвращение вторжений (IPS)

UserGate DCFW демонстрирует одну из самых высоких производительностей среди российских NGFW, обрабатывая до 200 Гбит/с правилами межсетевого экрана уровня сети (L3/L4) и до 45 Гбит/с правилами уровня приложений (L7) и IPS. Это достигается за счет использования аппаратных платформ нового поколения и оптимизированного программного обеспечения.

2. Отказоустойчивый кластер

Вторая важнейшая для ЦОДов возможность после большой пропускной способности – отказоустойчивость. UserGate DCFW обеспечивает отказоустойчивость уровня центра обработки данных, поддерживая до 4 узлов в отказоустойчивом кластере, работающем в режиме Active-Active, и до 2 узлов в кластере Active-Passive. Это гарантирует непрерывность работы и доступность сервисов даже при выходе из строя одного или нескольких компонентов кластера. Для увеличения пропускной способности можно агрегировать сетевые каналы узлов через протокол LACP.

3. Централизованное управление

Управление UserGate DCFW, наряду с другими продуктами экосистемы UserGate SUMMA, может осуществляться из единой веб-консоли UserGate Management Center, что значительно упрощает администрирование, развертывание политик и мониторинг состояния безопасности по всей инфраструктуре. Этот отдельный продукт поддерживает отказоустойчивый кластер, мультитенантность, гибкую ролевую модель и может управлять более чем 10 000 NGFW, снижая операционные издержки и повышая эффективность работы ИТ-персонала. Скорость применения конфигурации UserGate Management Center на устройства выше, чем в предыдущих версиях UserGate NGFW.

4. Идентификация пользователей и управление трафиком на ее основе

Функция Identity Firewall связывает сетевой трафик с конкретными пользователями, что позволяет применять персонализированные политики безопасности на основе идентификации пользователя. Аутентификация пользователей может быть организована через внутренние базы или внешние каталоги Microsoft AD, LDAP, ALD Pro, LDAP, FreeIPA. Реализована интеграция с RADIUS, TACACS, Kerberos, NTML.

5. VPN «филиал-филиал» (Sitetosite VPN) и «клиент-филиал» (remote access VPN)

Функции VPN в UserGate DCWF предоставляет защищенный канал связи между удаленными пользователями и корпоративной сетью, обеспечивая безопасный доступ к внутренним ресурсам из любой точки мира. Встроенный VPN-сервер поддерживает современные протоколы, включая IKEv2 и L2TP, что позволяет гибко настраивать соединения под различные сценарии использования – от временного подключения сотрудников на удаленке до постоянной связности филиалов. Интеграция VPN с другими модулями безопасности UserGate DCFW – фильтрацией трафика, обнаружением вторжений и контролем приложений – позволяет реализовать централизованную политику информационной безопасности даже для распределенных команд.

Алгоритм настройки UserGate DCFW для Site-to-site VPN (слева) и для Remote Access VPN (справа)

6. Сетевые функции

Помимо функций безопасности, UserGate DCFW поддерживает стандартные для межсетевых экранов сетевые функции:

  • Трансляция сетевых адресов (SNAT и DNAT) для модификации IP-адресов и портов в пакетах данных при прохождении через DCFW.
  • Статическая и динамическая маршрутизация (OSPF, BGP, RIP, PIM). Позволяет межсетевому экрану управлять потоками данных, выбирать оптимальные маршруты и адаптироваться к изменениям в сети в реальном времени.
  • Логическая сегментация сети (VLAN, VXLAN): Повышает безопасность и упрощает управление трафиком внутри одной физической сети, изолируя различные сегменты.
  • Автоматическое распределение IP-адресов (DHCP).
  • Протокол обмена данными веб-кэша (WCCP). Оптимизирует веб-трафик, направляя запросы через кэширующие серверы для ускорения доступа к часто запрашиваемым ресурсам.

7. Миграция с других решений

Для облегчения миграции с зарубежных решений (все же десятки тысяч правил невозможно скопировать вручную) UserGate предоставляет инструменты для конвертации конфигураций Fortinet, Check Point, Cisco ASA, Cisco FPR, Blue Coat, Huawei и MikroTik в формат UserGate.

Roadmap

Не можем не упомянуть об одной функции, которая пока не реализована, но должна будет пойти в релиз до конца этого года. Виртуальные контексты позволят логически разделить программно-аппаратный комплекс UserGate DCFW на независимые виртуальные межсетевые экраны – как будто вместо одного мощного устройства в стойку установлено много независимых NGFW. Каждый контекст будет иметь собственные настройки, включая количество сессий, CPS и правила FW. Эта функция полезна для сервис-провайдеров или компаний с множеством изолированных подразделений, так как каждый виртуальный межсетевой экран может управляться независимо со своими собственными политиками безопасности.

Также в планах разработчиков перевести обработку FW L7 и VPN на FPGA, что многократно ускорит их работу, и добавить функцию контентной фильтрации.

Аппаратные платформы

Для UserGate DCFW используются те же высокопроизводительные платформы серий E, F, G платформах, что и для обычного NGFW. Эти платформы внесены в реестры Минпромторга России (ПП 719 и ПП 878).

  1. E1010 и E3010. Развитие платформ E1000 и E3000 соответственно. Обеспечивают значительный прирост производительности по сравнению с предыдущими моделями. Например, E3010 показывает прирост производительности FW L7+IPS до +170% по сравнению с E3000.
  2. F8000 и F8010. Более мощные платформы для крупных инсталляций. F8010, развитие платформы F8000, уже доступен и демонстрирует, например, прирост производительности FW L7 + IPS на 181%.
  3. Платформа FG с аппаратным ускорением. Это будет первый российский NGFW с FPGA, обеспечивающий FW L4 до 200 Гбит/с (EMIX) и FW L4 + IPS до 40 Гбит/с (EMIX). Поддержка UserGate DCFW на платформе FG ожидается до конца текущего года.
  4. Ожидаемые платформы G9300 и G9800. Высокопроизводительные решения с ожидаемой пропускной способностью FW L4 (EMIX) до 300 Гбит/с и поддержкой до 130 000 правил.

Для всех перечисленных платформ UserGate доступны сетевые карты (NIC) с портами SFP/SFP+/QSFP/QSFP и QSFP28 (до 100 Гбит/c).

Предварительные тесты DCFW на платформах E3010 и F8010 с 50 000 и 100 000 правил показали высокую производительность. Например, недавно при тестировании в одном из крупных банков UserGate DCFW F8010 с 50 000 правил продемонстрировал 120+ Гбит/с для FW L4 на более тяжелом, чем EMIX, трафике. Загрузка CPU при этом составила 65,6%, CPS = 252 000.

Лицензирование и поддержка

Стоимость базовой лицензии UserGate NGFW (и, соответственно, DCFW) зависит от:

  • модели аппаратной платформы (для ПАК)
  • количества виртуальных ядер процессора (для виртуального исполнения).

Лицензия предоставляется бессрочно. Дополнительно приобретаются модули:

  • Cluster. Позволяет объединять устройства в кластер отказоустойчивости (Active-Passive или Active-Active). Действует бессрочно.
  • Подписка Security Update (SU). Необходима для получения обновлений ПО, сигнатур IPS и приложений (FW L7), а также для доступа к технической поддержке. Приобретается на 1, 2 или 3 года.
  • Stream Antivirus. Собственный сигнатурный антивирус UserGate. Требует активной подписки SU.

Сертификация

UserGate DCFW сертифицирован ФСТЭК России:

  • по 4 уровню доверия (УД4),
  • по требованиям к межсетевым экранам (профили А4, Б4, Д4),
  • по требованиям к системам обнаружения вторжений уровня сети 4-го класса защиты).

Такой уровень сертификации позволяет использовать решения UserGate в государственных информационных системах (ГИС) до 1 класса защищенности, в автоматизированных системах управления технологическими процессами (АСУ ТП) 1 класса защищенности, в информационных системах персональных данных (ИСПДн) до 1 уровня защищенности и в значимых объектах критической информационной инфраструктуры (КИИ) 1 категории.

Заключение

UserGate DCFW представляет собой значительный шаг вперед для отечественного рынка NGFW. Выход UserGate DCFW является ответом на растущие требования российских компаний к высокопроизводительным решениям по сетевой безопасности.

Благодаря новой векторной архитектуре, высокой производительности и поддержке большого количества правил, UserGate DCFW оптимально подойдет крупным организациям и центрам обработки данных, которым требуется надежная защита больших сетевых потоков.

Реклама. ООО «ЮЗЕРГЕЙТ», ИНН: 5408308256, Erid: 2SDnjcVtip6

CISOCLUB
Автор: CISOCLUB
Редакция CISOCLUB. Официальный аккаунт. CISOCLUB - информационный портал и профессиональное сообщество специалистов по информационной безопасности.
Комментарии: