Смогут ли UserGate DCFW завоевать рынок NGFW благодаря FPGA-ускорителям

Устройства UserGate DCFW предназначены для крупных компаний и ЦОДов. Их выпуск нацелен на замену высокопроизводительных межсетевых экранов следующего поколения (NGFW) ушедших с российского рынка вендоров. Станут ли отечественные продукты полноценной заменой?

 

 

 

 

 

 

1. Введение
2. Новая линейка UserGate DCFW
3. NGFW для российских заказчиков: ожидания
4. Векторное ускорение обработки пакетов
5. Виртуальные NGFW
6. Отказоустойчивость
   
   
   1. 6.1. Конструкционное направление
   2. 6.2. Программные меры
7. Локализация производства серверов UserGate
8. Аппаратное ускорение функций NGFW
9. Нагрузочные испытания
10. Выводы

Введение

Большинство российских заказчиков вскоре окажутся перед непростым выбором, который нельзя будет обойти «временными мерами». Требования регулятора по переходу на отечественные решения затронут в первую очередь объекты КИИ. Это уже само по себе немало, но проблемы будут нарастать и с другой стороны, вовлекая в зону риска значительно больше российских компаний. Источник нарастающих проблем — это выход на предельные сроки эксплуатации аппаратных межсетевых экранов нового поколения. Вынужденный отказ от их использования недопустим, потому что на NGFW возложены фундаментальные функции современной защиты.

Формально, в предложениях NGFW от отечественных вендоров сейчас недостатка не будет. Однако предоставление как минимум базового набора функций NGFW при обеспечении высокой производительности может стать критическим требованием. Многие отечественные решения трудно отнести к типу «High Enterprise» из-за несоответствия реальным потребностям заказчиков. 

На выбор отечественного решения NGFW также влияют используемая балльная оценка уровня локализации, требования указов Президента РФ № 250 от 01.05.2022 «О дополнительных мерах по обеспечению информационной безопасности Российской Федерации» и № 166 от 30.03.2022 «О мерах по обеспечению технологической независимости и безопасности критической информационной инфраструктуры Российской Федерации». 

В результате выбор сужается. Но выбирать всё равно придётся, потому что быстрого возврата западных вендоров на российский рынок не предвидится.

Новая линейка UserGate DCFW

Новая линейка высокопроизводительных межсетевых экранов следующего поколения UserGate DCFW (Data Center Firewall) была анонсирована совсем недавно — в ноябре-декабре 2024 года. Вендор вынес её в отдельное направление для оснащения центров обработки данных и инфраструктур крупных заказчиков, отделив от классического направления UserGate NGFW, ориентированного в том числе на задачи малого и среднего бизнеса.

 

Рисунок 1. Новые устройства UserGate DCFW (UserGate, 13.11.2024)

 

Для новой линейки UserGate DCFW представлены программно-аппаратные комплексы (ПАК) E1010, E3010, F8010 и FG. Платформа FG уже готова к официальным поставкам, остальные станут доступны в феврале 2025 года. В будущем году также появится ещё одно устройство старшего уровня — модель G9300.

Главными требованиями со стороны заказчиков Кирилл Прямов, менеджер по развитию продукта NGFW, назвал следующие:

• производительность;
• отказоустойчивость;
• функциональность.

UserGate не говорит прямо, с какими решениями будут конкурировать её новые продукты. Можно предположить, что, если не брать в расчёт разработки компаний Palo Alto и Fortinet, которые ушли с российского рынка, реальными конкурентами по части оснащения ЦОДов и сетевых инфраструктур крупных компаний могут выступать устройства израильской компании Check Point, которая продолжает работать на российском рынке. 

Новые устройства UserGate ориентированы на следующий уровень производительности:

• до 200 Гбит/с для функций межсетевого экрана (FW L3 / L4); 
• до 120 Гбит/с при включении функций контроля приложений (FW L7);
• до 30 Гбит/с при включении функций FW L7 и IPS (предотвращение вторжений).

На производительность NGFW этого класса могут также оказывать влияние функции по трансляции сетевых адресов (SNAT, DNAT) и аутентификации сотрудников (Identity FW), но реальная оценка сильно зависит от инфраструктуры, поэтому здесь не упоминается. По данным UserGate, функции Identity Firewall, обеспечивающие идентификацию пользователя и генерируемого им трафика, не имеют аналогов среди возможностей NGFW других российских производителей.

 

Рисунок 2. Кирилл Прямов, менеджер по развитию продукта NGFW

 

Перед самым анонсом новой линейки DCFW были проведены собственные нагрузочные испытания с участием партнёров — компаний «Линза» и «Инфосистемы Джет». Как первые, так и заключительные результаты будут приведены ниже.

NGFW для российских заказчиков: ожидания

Год назад мы уже разбирали базовые требования для защиты корпоративной сети, соответствие которым российские пользователи и регулятор видели в будущих NGFW на старте 2024 года.

Компания UserGate давно занимается разработкой устройств NGFW, поэтому их функциональный набор — один из самых широких. Среди сетевых функций сейчас выделяют в первую очередь следующий набор, который заказчики ожидают встретить в любых устройствах NGFW:

• статическая маршрутизация;
• динамическая маршрутизация (OSPF, BGP, RIP, PIM);
• протоколы для маршрутизации и балансировки нагрузки (PBR, VRF, ECMP, BFD);
• средства логического разбиения сети на уровне L2 (VLAN);
• поддержка протокола перенаправления контента — Web Cache Communication Protocol (WCCP), который обеспечивает работу механизма перераспределения потока трафика в настоящем времени и имеет собственные функции масштабирования, балансировки нагрузки и высокой доступности;
• DHCP (Dynamic Host Configuration Protocol) — средства автоматизации процесса назначения сетевых настроек клиентам в локальной сети. 

Ответ на вопрос о том, какой NGFW — с какими характеристиками и какой функциональностью — хочет получить отечественный заказчик, можно узнать из онлайн-дискуссии в рамках эфира AM Live, который состоялся в конце декабря 2024 года.

ВСТАВКА ВИДЕО<iframe width="1277" height="718" src="https://www.youtube.com/embed/oH3kf9Ru8K0" title="Могут ли облака повысить информационную безопасность бизнеса?" frameborder="0" allow="accelerometer; autoplay; clipboard-write; encrypted-media; gyroscope; picture-in-picture; web-share" referrerpolicy="strict-origin-when-cross-origin" allowfullscreen></iframe> 

Важно отметить, что с самого начала разработки своего NGFW-решения UserGate делала ставку на параллельное развитие собственных программных и аппаратных платформ. Осуществить это помог опыт компании в разработке микроэлектронных компонентов. Именно сочетание собственного «железа» и софта, созданных, по сути, друг под друга с учётом всех особенностей и задач, позволило инженерам произвести тонкую настройку и добиться высоких показателей производительности при минимальном потреблении ресурсов, что недостижимо при использовании готовых шаблонов даже с учётом их оптимизации. 

Векторное ускорение обработки пакетов

Одним из ключевых новшеств в UserGate DCFW стала поддержка технологии по мотивам векторной обработки пакетов (VPP) — одного из наиболее популярных направлений в развитии NGFW последнего времени. VPP позволяет значительно повысить производительность без применения более мощного процессора. Она добавляется как надстройка над DPDK (Data Plane Development Kit) и обеспечивает параллельную обработку за один проход серии пакетов (8 или 16), полученных из разных сессий. Эффект прироста производительности достигается за счёт переноса обработки TCP-пакетов с уровня ядра ОС в пользовательское пространство.

Однако проект DPDK управляется Linux Foundation, поэтому, чтобы не ставить разработку в зависимость от планов развития DPDK и избежать возможных противоречий в долгосрочной перспективе, в UserGate реализовали похожую технологию за счёт собственного кода. 

Компания сообщает, что благодаря внедрению этой технологии удалось устранить деградацию производительности при расширении массива правил NGFW. Нагрузочные испытания показали надёжную обработку 130 000 правил без существенного снижения производительности. Поддержка таких огромных по размеру массивов была доступна до сих пор, по оценкам UserGate, только для топовых западных решений. 

Впрочем, о готовности добавить нечто подобное уже говорил ряд российских вендоров NGFW. Например, похожая технология, нацеленная на ускорение обработки сетевых пакетов через их отражение на пользовательскую область памяти, появилась в архитектуре PT NGFW. В этом же направлении движутся разработки Ideco и Kaspersky. Можно утверждать, что процесс внедрения VPP в отечественные продукты уже запущен.

Применение VPP позволяет снять прежние ограничения, которые накладывались на обработку сетевых пакетов на уровне многоядерного процессора. При использовании 64-байтовых пакетов одно процессорное ядро было способно обработать не более 10 Гбит трафика в секунду. Для перехода на сети со скоростью 100 Гбит/с раньше требовалось применять параллельную загрузку сразу большого числа ядер. Теперь нужный результат может быть достигнут программным путём — через применение технологии VPP.

 

Рисунок 3. Преимущество VPP перед последовательной пакетной обработкой

 

Какое решение окажется эффективнее и надёжнее — VPP или собственное от UserGate, — покажет время. Однако независимость используемого кода даёт компании определённое преимущество.

Виртуальные NGFW

Следующая новинка в UserGate DCFW, которая призвана обеспечить повышение гибкости применения этих устройств, — возможность создания виртуальных NGFW. 

Смысл понятен из названия: одно физическое устройство можно поделить на несколько обособленных виртуальных, которые логически будут работать независимо друг от друга. 

Согласно спецификации, количество создаваемых виртуальных устройств не ограничено. Это — выгодное архитектурное решение. Оно позволяет выстраивать систему безопасности с возможностью дробления по разным задачам и / или группам пользователей. Новая возможность наверняка будет интересна для крупных организаций и дата-центров. 

Отметим, что принцип виртуализации NGFW не является чем-то принципиально новым. Давно известны зарубежные аналоги: VSYS (Palo Alto), VDOM (Fortinet), виртуальные контексты (Cisco). Однако в продуктах UserGate данная функция появилась впервые, и это — важный шаг вперёд.

 

Рисунок 4. Презентация устройств UserGate DCFW (UserGate, 13.11.2024)

 

Отказоустойчивость

Как показывает опыт эксплуатации устройств NGFW в крупных компаниях, их работа нередко связана с высокой пульсацией рабочей нагрузки, в результате которой возникают пики перегрузки, нередко приводящие к отказу или перезагрузке аппаратных NGFW-систем. Этот риск очень трудно оценить заранее, но в архитектуре NGFW должны быть заложены контрмеры против него, позволяющие обеспечить отказоустойчивость. 

Существует два направления для решения данной задачи: конструкционные и программные меры. Их элементы можно найти и в устройствах UserGate NGFW.

Конструкционное направление

Все модели новой линейки UserGate DCFW оснащены блоками питания с функцией «горячей» замены, а модель FG — ещё и заменяемыми вентиляторами. Интересная особенность последних — возможность выбора типа: есть работающие на вдув и на выдув. Это может оказаться существенным преимуществом при эксплуатации в инфраструктуре дата-центра. 

К конструкционным мерам можно отнести также широкий набор поддерживаемых протоколов для подключаемых сетевых карт. В случае перекоммутации не возникает проблем с выбором сетевого интерфейса (RJ45, SFP, SFP+, QSFP). 

 

Рисунок 5. Результаты тестирования UserGate DCFW в нефтяной компании (август 2024 г.)

 

Программные меры

Здесь можно выделить развитые возможности по формированию кластеров. Доступны кластеры «active — passive» на две ноды и кластеры «active — active» на две, три или четыре ноды. Управление нодами осуществляется централизованно через UserGate Management Center, что позволяет рассматривать устройства UserGate NGFW как часть единой экосистемы продуктов UserGate SUMMA (NGFW, DCFW, SIEM, Log Analyzer, Client) с общей консолью управления. Это — ещё один важный признак отказоустойчивости.

Локализация производства серверов UserGate

Учитывая риски иностранных рестрикций, регулятор стремится усиливать позиции российских аппаратных вендоров. Это явно должно привлекать внимание к устройствам компании UserGate. 

Один из признаков этого явления — ввод балльной системы для оценки доли локализации при производстве оборудования. Ради этих же целей приняты указы Президента РФ № 250 «О дополнительных мерах по обеспечению информационной безопасности Российской Федерации» и № 166 «О мерах по обеспечению технологической независимости и безопасности критической информационной инфраструктуры Российской Федерации».

Как отметил Иван Чернов, руководитель технического маркетинга в компании UserGate, «вопросам локализации производства оборудования уделяется должное внимание». Новые платформы серий B, C и D, а также платформа FG выпускаются на заводе контрактного производства «Макро ЭМС», запущенном в 2021 году в Санкт-Петербурге в промышленной зоне «Обухово». Он оснащён двумя современными линиями автоматического монтажа с суммарной производительностью в 160 тыс. компонентов в час. Цеха оборудованы станками для селективной пайки, есть современный участок ручного монтажа, необходимое тестовое оборудование. Проводится автоматический оптический и рентген-контроль качества для 100 % выпускаемой продукции.

 

Рисунок 6. Иван Чернов, руководитель технического маркетинга в компании UserGate

 

Пока что платформы UserGate серий E и F, а также комплектующие (ЦП, ОЗУ) выпускаются за рубежом, но весь входной контроль и монтаж выполняются в России, что позволило внести их в реестр Минпромторга.

Схемотехника, дизайн и производство новых платформ (X10, B50, C150, D250 и FG) — полностью российские. При этом самое мощное решение (FG) уже способно выдавать производительность в 150 Гбит/с на трафике UDP 1500. Других российских устройств такого рода, обладающих аналогичной производительностью, нет.

Новые платформы E2050, E3050 и F8050 уже прошли стадию разработки дизайна и схемотехники. Их выпуск планируется начать через 1–1,5 года.

Аппаратное ускорение функций NGFW

Уникальным преимуществом старших моделей в линейке UserGate DCFW является наличие аппаратного ускорения. На платформе UserGate FG оно реализовано через установку FPGA-ускорителя. Разработанная инженерами UserGate схемотехника позволяет передавать отдельные функции NGFW на обработку в ускоритель.

 

Рисунок 7. Аппаратный FPGA-ускоритель для UserGate DCFW

 

В настоящее время FPGA-подсистема умеет обрабатывать функции Stateful Firewall (FW L3 / L4) — осуществлять проверку легитимности трафика. На I квартал 2025 года запланировано обновление платформы UserGate FG, где среди намеченных новинок числится передача FPGA-ускорителю обработки функций DPI (FW L7) и IPS без обновления аппаратной начинки.

В чём состоит польза от применения аппаратного ускорителя на базе FPGA? Прежде всего, он обеспечивает существенный рост производительности NGFW без катастрофического роста себестоимости (например, вследствие перехода на дорогие мощные процессоры). 

Применение аппаратного ускорения также ценно при работе с непрерывным и очень объёмным сетевым трафиком (т. н. «elephant flow»), возникающим, в частности, при обслуживании большого парка видеокамер, при выполнении репликации БД или сохранении крупного бэкапа. Обычные устройства NGFW без FPGA-ускорителей часто не справляются с такой нагрузкой: под обработку каждой сессии выделяется только одно ядро, поэтому из-за её возросшего размера ядро может перегрузиться при усложнении набора правил.

Платформа UserGate FG, содержащая в своём составе аппаратный FPGA-ускоритель, станет также составной частью устройств серии G, выпуск которых намечен на II квартал 2025 года. Это будут спаренные устройства: уже существующие модели E1010, E3010 и F8010 будут применяться в качестве управляющего слоя (control plane), а платформа FG с аппаратным FPGA-ускорителем — в качестве передающего слоя (data plane).

 

Рисунок 8. Связка из двух устройств (FG и E3010) с единым управлением

 

Согласно планам, в линейке появится модель G9300. Она будет представлять собой связку из двух устройств — FG и E3010 — с единым управлением ими. Из связки FG и E1010 появится модель G9100, из связки FG и F8010 — G9800. Важно, что если у заказчика уже есть одна из моделей, то он сможет докупить платформу FG и собрать из них устройство G. Таким образом, в модельном ряду появится «FPGA-мостик» для всех моделей E и F в линейке UserGate DCFW.

Будут ли свои FPGA-ускорители у других российских вендоров NGFW? Уже известно, что аналог должен появиться в продукте «InfoWatch ARMA Стена». Другие отечественные производители считают подобное решение избыточным. 

Нагрузочные испытания

Созданная серия устройств с ПО UserGate DCFW прошла нагрузочные испытания в лаборатории UserGate в присутствии представителей партнёров — компаний «Линза» и «Инфосистемы Джет». Ожидается, что после выпуска новых продуктов в серию будут проведены нагрузочные испытания в независимой лаборатории «Инфосистем Джет». Это должно способствовать росту доверия к новым продуктам со стороны заказчиков.

Стоит отметить, что ранее лаборатория «Инфосистем Джет» уже проводила тестирование другого решения UserGate — NGFW 7.1.0 Release Candidate. Евгений Пузаков отметил, что результаты продемонстрировали вполне богатую функциональность. «Из заявленного для релиза набора функций, по результатам нашего независимого исследования, поддерживается 81 %. Это свидетельствует о высокой степени готовности решения NGFW к использованию в большинстве типовых сценариев… Также заслуживает внимания наличие развитой функциональности централизованного управления и мониторинга».

 

Рисунок 9. Итоги внутреннего тестирования устройств UserGate DCFW 

 

Что касается производительности, официально UserGate называет следующие показатели для топовой модели G9300 (начало поставок во II квартале 2025 г.):

• 200 Гбит/с для функций FW L3 / L4 на трафике TCP / UDP при размере пакета в 1500 байт.
• 120 Гбит/с для функций FW L7 на трафике EMIX.
• 30 Гбит/с для функций FW L7 + IPS на трафике EMIX.

Результаты были получены при применении 10 000 правил файрвола и 8 000 сигнатур и приложений IPS. Максимальное количество одновременных TCP-сессий — 24 000 000, новых сессий — 400 000 в секунду. Видеозапись о тестировании доступна здесь.

При нагрузочном тестировании топовой модели F8010, которая станет доступна в феврале 2025 года, были зарегистрированы следующие результаты:

• 78 000 сессий в секунду при 131 000 правил для функций FW L3 / L4 на однобайтовом трафике HTTP.
• 65 Гбит/с при 131 000 правил для функций FW L3 / L4 на 524-килобайтовом трафике HTTP.
• 40 Гбит/с при 131 000 правил для функций FW L3 / L4 на трафике EMIX.
• 20 Гбит/с при 131 000 правил для функций FW L3 / L4 + IPS на трафике EMIX.

Рисунок 10. Результаты нагрузочного тестирования (UserGate, 13.11.2024) 

 

Было отмечено, что развитие ПО под модель F8010 продолжается и UserGate планирует достичь ещё более высокой производительности. Более того, компания уже вплотную подошла к созданию мощных решений с производительностью до 1 Тбит/с, которые могут появиться в перспективе нескольких ближайших лет. 

Выводы

UserGate давно развивает своё решение класса NGFW, в основе которого лежат собственные разработки программной и аппаратной частей. До 2022 года на российском рынке решений для обеспечения сетевой безопасности доминировали иностранные производители. Однако тот факт, что они в нарушение контрактных обязательств оставили своих заказчиков в России без обновлений и техподдержки, заставил многие компании пересмотреть отношение к российским вендорам. Последние не упустили этот шанс и серьёзно нарастили объём разработки и производства, а также вышли на качественно новый технологический уровень. Этому способствовало в том числе большое количество реализованных проектов, каждый из которых — возможность получить обратную связь и учесть её при дальнейшей разработке. 

Преимуществом компании UserGate является то, что за ней сейчас — половина рынка установленных российских NGFW, большой задел в разработке программных функций, опыт подтверждённой эксплуатации. Западные решения ушедших вендоров отличались более высокой производительностью, и направление аппаратных FPGA-ускорителей UserGate нацелено как раз на высвобождающуюся часть российского рынка, где привычны и ожидаются именно высокопроизводительные NGFW. Там проблема замещения иностранных решений отечественными ощущается наиболее остро.

Если посмотреть на каталог западной продукции и выбрать там топовые модели NGFW, то российские изделия по производительности пока проигрывают. Однако новые решения UserGate DCFW позволяют существенно сократить этот разрыв, а в перспективе — заметно приблизиться к нужному для полноценного импортозамещения уровню.