Компания UserGate, российский разработчик экосистемы ИБ-решений, объявила об официальном запуске нового продукта — UserGate Data Center Firewall (UserGate DCFW). Это высокопроизводительный межсетевой экран нового поколения (NGFW) для защиты дата-центров и сетевого периметра организаций уровня Enterprise. Отличительная особенность UserGate DCFW — поддержка до 130 000 правил межсетевого экрана без существенного снижения производительности.
Первый анонс UserGate DCFW состоялся в ноябре 2024 года. Уже тогда NGFW выдержал тестирование на 100 000+ правил межсетевого экрана в режиме реального времени в присутствии экспертов ИБ-рынка — компаний «Инфосистемы Джет» и «Линза». После этого продукт прошел этап финальной доводки и пилотирования у крупных заказчиков и уже внедрен в одной из российских корпораций в качестве альтернативы лидерам мирового рынка NGFW. В частности, в ЦОД заказчика эксплуатируется более 30 флагманских платформ UserGate DCFW F8010, а всего сеть защищает около 300 устройств UserGate.
В основе UserGate DCFW лежит собственная реализация векторного межсетевого экрана, разработанная в Лаборатории UserGate — специальном подразделении компании, где проводится разработка инновационных технологий. В настоящее время эта технология позволяет обрабатывать до 130 000 правил межсетевого экрана (обычный запрос корпораций — около 50 000 правил). При этом увеличение количества обрабатываемых правил не приводит к линейному падению производительности. В следующих версиях продукта при наличии запросов от заказчиков максимальное количество поддерживаемых правил может быть увеличено.
В UserGate DCFW уже реализованы все функции безопасности, необходимые для работы в сценариях защиты корпоративного периметра и дата-центров: межсетевой экран с контролем состояния сессий (FW L4), контроль приложений (FW L7, 1 800+ приложений), предотвращение вторжений (IPS, 12 000+ сигнатур), трансляция сетевых адресов (NAT). Также доступны функции создания виртуальных частных сетей для организации безопасного доступа удаленных сотрудников (RA VPN) и защищенной передачи данных между площадками (S2S VPN) по протоколу IPsec.
Кроме этого, в UserGate DCFW уже реализованы возможности Identity firewall для идентификации и аутентификации пользователей, объединенные под названием UserID. UserID сопоставляет IP-адреса с учетными записями при помощи различных подходов и методик вне зависимости от текущего местоположения пользователей или используемой ими ОС. Это позволяет однозначно связать пользователя и генерируемый им трафик, что повышает видимость действий конкретного пользователя и упрощает настройку политик. Поддерживаются протоколы RADIUS, TACACS+, Kerberos, NTML, мультифакторная аутентификация, интеграция со службами каталогов Microsoft Active Directory, LDAP, ALD Pro и FreeIPA. Для прозрачной аутентификации реализована поддержка сообщений RADIUS Accounting с NAS-серверов, импорт данных других серверов по syslog, импорт журналов событий контроллера домена AD через WMI, агент на контроллере домена Microsoft Active Directory, а также сборщик событий из Windows Event Collector.
Для интеграции UserGate DCFW в сложные и зрелые ИТ-инфраструктуры, свойственные крупным заказчикам, в продукте уже есть широкий набор сетевых технологий: OSPF, BGP, RIP, PIM, PBR, ECMP, BFD, VLAN, VXLAN, VRF, LACP и ряд других. Поддерживается работа в кластере отказоустойчивости в режиме Active-Passive и Active-Active (до 4 нод). Возможна работа с популярными российскими балансировщиками.
Управление осуществляется через веб-интерфейс (GUI) или командную строку (CLI). Для централизованного управления распределенными инсталляциями UserGate DCFW может использоваться UserGate Management Center, предназначенный для управления UserGate NGFW и всеми продуктами экосистемы UserGate SUMMA, а для централизованного сбора и анализа логов — UserGate Log Analyzer (оба продукта — начиная с версии 7.4).
Для переноса конфигураций с популярных иностранных NGFW реализованы инструменты миграции, в том числе с Check Point, FortiGate, Palo Alto, Huawei и Cisco ASA/Firepower. Для интеграции с другими средствами защиты и ИТ-продуктами доступен открытый документированный API и протоколы syslog, SPAN и SNMP.
UserGate DCFW имеет два исполнения: виртуальный апплайнс и ПАК. Во втором случае поддерживается работа на новых платформах UserGate E1010, E3010, F8010, а также флагманской платформе предыдущего поколения — F8000. Все платформы внесены в реестры российской продукции Минпромторга России (ПП 719 и ПП 878). К началу 2026 года планируется завершить работы по поддержке платформы UserGate FG с аппаратным ускорением и гибридных устройств на ее основе (G9300, G9800).
По результатам тестирования UserGate DCFW на старшей платформе F8010 при задействовании 100 000 правил межсетевого экрана, 4 500 сигнатур IPS и 1 500 сигнатур приложений на трафике EMIX при загрузке CPU 70% были достигнуты следующие показатели: в режиме FW L4 — 145 Гбит/с при 185 000 CPS, в режиме FW L7 — 43 Гбит/с при 180 000 CPS, в режиме FW L7 + IPS — 13 Гбит/с при 165 000 CPS. Максимальное количество одновременных TCP-сессий в режиме FW L4 — 34 000 000. Предельная конструктивная пропускная способность платформы — до 400 Гбит/с.
UserGate DCFW сертифицирован ФСТЭК России по
«Коммерческий релиз UserGate DCFW открывает для нашей компании сегмент Enterprise, где до сих пор массово применяются зарубежные NGFW. Теперь мы можем предложить заказчикам российскую альтернативу со зрелыми технологиями и производительностью корпоративного уровня. Выделение UserGate DCFW в качестве отдельного продукта позволяет гибко развивать его исключительно под требования крупнейших организаций. Например, в ближайших релизах мы реализуем виртуальные контексты, которые ждут от нас многие заказчики, — отметил Кирилл Прямов, менеджер по развитию NGFW в UserGate. — В дальнейшем UserGate DCFW станет поддерживать платформы с аппаратным ускорением, в том числе новую модель с расчетной производительностью до 800 Гбит/с в режиме FW L4, которую мы планируем выпустить к 2027 году».
