Обзор UserGate DCFW, высокопроизводительного межсетевого экрана нового поколения

1. Введение
2. Функциональные возможности UserGate DCFW
   1. 2.1. Функции безопасности уровня ЦОД
   2. 2.2. Сетевые функции
   3. 2.3. Векторный межсетевой экран
   4. 2.4. Аппаратное ускорение
   5. 2.5. Виртуальные системы
   6. 2.6. Отказоустойчивость уровня ЦОД
   7. 2.7. Централизованное управление
   8. 2.8. Производительность
3. Архитектура технических решений в основе UserGate DCFW
   1. 3.1. Аппаратная составляющая
   2. 3.2. Программная составляющая
4. Системные требования UserGate DCFW
5. Применение UserGate DCFW
   1. 5.1. Результаты тестирования UserGate DCFW
6. Выводы

Введение

В современном мире информационных технологий задачи по обеспечению сетевой безопасности становятся более сложными и требуют таких решений, которые сочетали бы в себе высокую производительность, отказоустойчивость и многофункциональность. UserGate изучила запросы крупных заказчиков и разработала межсетевой экран следующего поколения UserGate Data Center Firewall (UserGate DCFW).

Новая линейка адресована крупным корпоративным заказчикам и операторам центров обработки данных (ЦОД), для которых важны скорость работы, надёжность и гибкость встраивания в существующую инфраструктуру. Использование аппаратного ускорения на базе FPGA, векторного файрвола и других передовых технологий позволяет UserGate DCFW конкурировать с зарубежными аналогами.

Вендор организовал нагрузочное тестирование своего нового решения при участии экспертов с богатым опытом оценки, внедрения и эксплуатации систем сетевой безопасности как российского, так и зарубежного производства, включая продукты мировых лидеров отрасли. Итоги тестирования подтвердили полное соответствие решения UserGate заявленным характеристикам.  

На момент публикации статьи ведутся подготовительные работы по сертификации UserGate DCFW в системе ФСТЭК России.

Функциональные возможности UserGate DCFW

UserGate DCFW — это межсетевой экран нового поколения, разработанный под потребности крупных корпоративных сетей и ЦОД. Продукт объединяет в себе несколько ключевых направлений обеспечения безопасности.

Рисунок 1. Интерфейс UserGate DCFW

Функции безопасности уровня ЦОД

Для защиты сетевого трафика, данных и инфраструктуры дата-центра от угроз UserGate DCFW использует комплекс технологий. 

1. Фильтрация и контроль трафика обеспечиваются как на уровне сессий (L3 / L4), так и на уровне приложений (L7). 
2. SNAT и DNAT (Source / Destination Network Address Translation) позволяют изменять IP-адреса и порты в пакетах данных, проходящих через устройство, чтобы адаптировать их для разных сетевых сценариев.
3. Identity Firewall связывает сетевой трафик с конкретными пользователями, что даёт возможность применять политики безопасности персонализированно.
4. Интеграция IPS обеспечивает своевременное обнаружение и блокировку угроз, таких как попытки эксплуатации уязвимостей и сетевые атаки. 

Функции позволяют блокировать несанкционированный доступ, выявлять аномалии в трафике и предотвращать атаки до проникновения злоумышленника в инфраструктуру ЦОД.

При запуске во II квартале 2025 года в продукте будут реализованы сетевой антивирус собственной разработки, SSL-инспекция для проверки зашифрованного трафика и шифрование каналов связи (site-to-site VPN). В планах вендора также есть организация защищённой удалённой работы сотрудников (Remote Access VPN).

Сетевые функции

Сетевые функции расширяют возможности межсетевого экрана, превращая его из простого фильтра трафика в полноценный инструмент для управления сетевой инфраструктурой:

1. Статическая и динамическая маршрутизация (OSPF, BGP, RIP, PIM) позволяют межсетевому экрану управлять потоками данных, выбирая оптимальные маршруты и адаптируясь к изменениям в сети в режиме реального времени.
2. Логическое разбиение сети (VLAN) улучшает безопасность и упрощает управление трафиком внутри одной физической сети.
3. WCCP (Web Cache Communication Protocol) оптимизирует работу с веб-трафиком, направляя запросы через кеширующие серверы для ускорения доступа.
4. Автоматическая раздача IP-адресов (DHCP) упрощает управление устройствами в сети, обеспечивая их корректное подключение и взаимодействие.

Сетевые функции также подразумевают использование протоколов маршрутизации и балансировки нагрузки.

• PBR (Policy-Based Routing): маршрутизация на основе политики обеспечивает гибкость, направляя трафик по определённым маршрутам в зависимости от заданных критериев.
• VRF (Virtual Routing and Forwarding): логическая сегментация маршрутов позволяет изолировать трафик для различных клиентов или сервисов.
• ECMP (Equal-Cost Multi-Path): увеличивает пропускную способность, распределяя трафик между несколькими оптимальными маршрутами.
• BFD (Bidirectional Forwarding Detection): быстрое обнаружение сбоев соединения помогает предотвратить простои.

Эти возможности делают UserGate DCFW центральным элементом управления сетью, способным обеспечить её безопасность, производительность и адаптивность.

Векторный межсетевой экран

Одним из достижений вендора стала разработка технологии векторного файрвола, решающей следующие задачи:

1. Эффективная обработка большого числа правил. Технология поддерживает до 130 000 правил межсетевого экрана, не снижая производительность.
2. Оптимизация обработки правил. В отличие от традиционных подходов, где производительность может падать линейно с ростом числа правил, векторный подход распределяет нагрузку, обходясь без задержек и перегрузок.
3. Поддержка сложных сценариев. Функция подходит для реализации сложных политик безопасности, включая многоуровневые проверки, фильтрацию по множественным параметрам и интеграцию с другими системами безопасности.

В рамках пилотного проекта для замены зарубежного NGFW в сети крупной нефтедобывающей компании было успешно протестировано 85 000 правил средней сложности (с пятью элементами). При этом производительность модулей FW L3 / L4 и IPS превысила требования заказчика (10 Гбит/с) на 40 %.

Аппаратное ускорение

Благодаря использованию FPGA-ускорителей ключевые функции безопасности, такие как FW L3 / L4 / L7 и IPS, выполняются значительно быстрее, без увеличения нагрузки на центральный процессор.

Этот подход позволяет обрабатывать огромные объёмы данных, включая сложные потоки, такие как «elephant flows», с которыми традиционные NGFW часто не могут эффективно справляться. Аппаратное ускорение также обеспечивает минимальные задержки при выполнении операций, что особенно важно для высоконагруженных сетей и критически важных приложений.

Виртуальные системы

Функция предоставляет возможность разделять одно устройство на несколько изолированных виртуальных межсетевых экранов (NGFW), функционирующих независимо друг от друга. Каждая виртуальная система при этом имеет свои настройки, правила и ресурсы; администраторы могут настраивать политики безопасности индивидуально для каждой виртуальной системы.

Одна физическая платформа заменяет несколько устройств, сокращая затраты на оборудование, обслуживание и энергопотребление. Количество виртуальных систем не ограничено архитектурно, что позволяет адаптировать инфраструктуру под растущие потребности бизнеса.

Благодаря указанной функции продукт позволяет крупным организациям и операторам дата-центров создавать гибкие архитектуры, где каждая виртуальная система обслуживает определённого клиента, подразделение или проект.

Отказоустойчивость уровня ЦОД

Функция обеспечивает надёжность и стабильность работы сетевой инфраструктуры, гарантируя доступность сервисов даже в случае отказа отдельных компонентов системы. Поддерживается кластеризация «актив — пассив» и «актив — актив». Резервирование канала гарантирует постоянный доступ к сети даже при сбоях в основных каналах связи. VRRP (Virtual Router Redundancy Protocol) создаёт виртуальный маршрутизатор с несколькими физическими устройствами, обеспечивая автоматическое переключение между ними при отказе.

Эти механизмы отказоустойчивости позволяют UserGate DCFW защищать корпоративные сети и центры обработки данных от простоев, повышая надёжность и стабильность работы всей инфраструктуры.

Централизованное управление

Функция предоставляет компаниям мощный инструмент эффективного администрирования комплексной сетевой инфраструктуры, упрощая управление даже масштабными экосистемами.

Платформа обеспечивает централизованное администрирование всех продуктов UserGate, включая NGFW, DCFW, SIEM и другие, через единый интерфейс для настройки и мониторинга. Отказоустойчивый кластер позволяет построить надёжную систему управления, гарантируя непрерывность работы даже при сбое одного из узлов. Поддерживается разделение инфраструктуры для нескольких клиентов или подразделений (мультиарендность), что особенно важно для операторов ЦОД или крупных организаций с распределённой структурой.

Гибкая ролевая модель предоставляет возможность детальной настройки прав доступа, что упрощает распределение обязанностей и повышает безопасность управления.

Поддержка более чем 10 000 устройств позволяет масштабировать инфраструктуру, сохраняя контроль даже в условиях резкого роста числа подключённых узлов.

Производительность

Благодаря новому модельному ряду и использованию FPGA в старших устройствах решения UserGate демонстрируют хорошие показатели. Обновлённые платформы обеспечивают прирост производительности до 150 % по сравнению с предыдущими поколениями, удовлетворяя потребности даже самых требовательных заказчиков.

На уровне FW L3 / L4 производительность достигает 200 Гбит/с, на уровне FW L7 — 120 Гбит/с при обработке сложного трафика, включая контроль приложений. С функцией IPS обеспечивается скорость до 30 Гбит/с.

Архитектура технических решений в основе UserGate DCFW

UserGate DCFW представляет собой программно-аппаратный комплекс, разработанный с акцентом на производительности, масштабируемости и независимости от иностранных технологий. Его архитектура сочетает передовые аппаратные платформы с собственными программными разработками.

Аппаратная составляющая

Для реализации UserGate DCFW используются платформы серий E, F, FG и G. Каждая из них адаптирована под разные сценарии использования. Например, серия FG отличается наличием встроенного аппаратного ускорителя на базе FPGA (программируемой логической интегральной схемы), а также чётким разделением уровня управления (control plane) и уровня обработки данных (data plane). Эта архитектура обеспечивает FG высокую производительность и возможность интеграции с другими устройствами, что делает серию ключевой для масштабных и сложных сетевых решений.

Программная составляющая

Весь программный стек UserGate DCFW состоит из собственных разработок компании. Это означает полный контроль над кодовой базой, а также возможность её модификации и адаптации под запросы заказчиков. Среди ключевых компонентов:

• операционная система, разработанная специально для решения задач безопасности;
• векторный межсетевой экран;
• система категоризации контента;
• IPS с интегрированным глубоким анализом пакетов (DPI);
• сетевой антивирус.

Использование собственных технологий исключает зависимость от иностранных решений и гарантирует надёжность и актуальность программного обеспечения. 

Подход компании, основанный на комбинации аппаратных ускорителей и собственных программных решений, демонстрирует перспективное направление развития сетевой безопасности без использования дорогостоящих зарубежных технологий, сохраняя производительность на высоком уровне.

Системные требования UserGate DCFW

При внедрении UserGate DCFW ключевую роль играют не требования к инфраструктуре заказчика, а, наоборот, способность продукта адаптироваться к уже существующей сети. Это связано с тем, что каждая ИТ-инфраструктура уникальна и предъявляет свои условия для работы продуктов, чтобы обеспечить их бесшовную интеграцию.

Основная задача при внедрении UserGate DCFW — обеспечить поддержку всех ключевых протоколов и механизмов, которые используются в сети заказчика. Например, статическая и динамическая маршрутизация (BGP, OSPF, RIP) позволяет гибко управлять потоками данных, а механизмы вроде PBR помогают перенаправлять трафик в зависимости от заданных политик. Для крупных сетей может быть необходима поддержка виртуальных маршрутизаторов (VRF), балансировки нагрузки (ECMP), а также резервирования каналов связи через VRRP. Кроме того, протоколы быстрого обнаружения неисправностей (BFD) важны для минимизации простоев.

Если в сети используются технологии виртуализации, то необходима совместимость с VLAN, а для подключения сетевых устройств пригодится поддержка LACP (агрегация каналов). Управление качеством сервиса (QoS) также играет важную роль, позволяя приоритизировать трафик для критически важных приложений.

Преимущество UserGate DCFW — в том, что он поддерживает все перечисленные технологии. Это позволяет интегрировать его практически в любую инфраструктуру без необходимости внесения сложных изменений. Как следствие, требования к инфраструктуре заказчика минимальны: главное — понимать, какие функции и протоколы уже используются в сети. UserGate DCFW обеспечивает их поддержку «из коробки», что позволяет гибко подстраиваться под условия заказчика. 

Применение UserGate DCFW

UserGate DCFW поставляется в виде программно-аппаратного комплекса (ПАК) на базе платформ UserGate E1010, E3010, F8010, FG, а также устройства из новой линейки — G9300. При необходимости модули вентилятора могут быть инвертированы. Также есть возможность модификации платформы на другие комбинации портов. 

Рисунок 2. UserGate DCFW на базе платформы UserGate E1010

Рисунок 3. UserGate DCFW на базе платформы UserGate E3010

Рисунок 4. UserGate DCFW на базе платформы UserGate E8010

Рисунок 5. UserGate DCFW на базе платформы UserGate FG

Для моделей с FPGA вендор поддерживает два типа внедрения. 

В режиме «Standalone» в отказоустойчивом кластере могут работать две модели FG. В текущей реализации пока поддерживается два узла.

Рисунок 6. Схема кластера в режиме «Standalone»

В режиме «G» за уровень управления отвечает модель E1010, E3010 или F8010, а за уровень данных — модель FG. 

Рисунок 7. Схема кластера в режиме «G»

Результаты тестирования UserGate DCFW

Вендор в августе 2024 года провёл тестирование UserGate DCFW для крупной нефтяной компании. Требования заказчика — замена зарубежного продукта из нейтральной страны на периметре сети: обработка 85 000 правил FW средней сложности (пять элементов), скорость FW и IPS — не менее 10 Гбит/с. Результаты тестирования на прототипе DCFW показали следующее: у платформы UserGate F8010 — 12 Гбит/с, у UserGate FG — 14 Гбит/с. 

Разработчики поделились и другим случаем применения продукта, где заказчику необходимо было заменить иностранный межсетевой экран в ЦОД, который обрабатывал потоки с видеокамер. Из-за того что эти потоки были тяжёлыми (elephant flows), классические NGFW с ними не справлялись: одна сессия обрабатывалась на одном ядре процессора, и видеопоток полностью его забивал. UserGate DCFW справился с этим, потому что устроен иначе.

FPGA работает как конвейер. Это значит, что каждый входящий пакет данных мгновенно проходит через запрограммированные вентили (логические элементы), используя всю доступную производительность устройства. Нет «узких мест»: данные обрабатываются быстро и непрерывно, словно движутся по ленте. В типичной архитектуре, где данные поступают в конкретное ядро процессора, пакет может «застрять» в очереди и не обработаться вовремя, если ядро уже перегружено другими задачами.

Выводы

UserGate DCFW представляет собой высокопроизводительное решение класса NGFW, ориентированное на защиту крупных корпоративных сетей и ЦОД. Функциональные возможности продукта делают его мощным инструментом для обработки интенсивных сетевых потоков и защиты от угроз на разных уровнях, от межсетевого экранирования до контроля приложений.

Компания смогла достичь высоких показателей производительности: до 200 Гбит/с для базовых функций и до 30 Гбит/с при активных функциях контроля приложений и IPS. Применение FPGA для аппаратного ускорения даёт значительное преимущество в обработке больших и непрерывных потоков данных. Система также демонстрирует высокую отказоустойчивость и гибкость, поддерживает виртуализацию и различные архитектуры кластеров.

Таким образом, с выходом UserGate DCFW российский рынок информационной безопасности получает конкурентоспособный продукт, который благодаря собственной аппаратной и программной разработке обеспечивает не только высокую производительность, но и низкую стоимость защиты. 

Достоинства:

• Высокая производительность: до 200 Гбит/с для функций межсетевого экрана (FW L3 / L4), до 30 Гбит/с для функций контроля приложений и предотвращения вторжений (FW L7 + IPS).
• Собственная операционная система UGOS.
• Аппаратное ускорение на базе FPGA, впервые применённое в российских NGFW.
• Уникальная технология векторного файрвола для обработки до 130 000 правил без линейной потери производительности.
• Поддержка функций Identity Firewall для идентификации пользователей и трафика.
• Широкий набор сетевых функций (OSPF, BGP, VRF, VLAN и так далее).
• Виртуализация: создание независимых виртуальных NGFW без ограничений по количеству систем.
• Обработка больших потоков данных (elephant flows) без перегрузки ЦП.
• Централизованное управление всей экосистемой UserGate SUMMA, поддержка управления более чем 10 000 устройств.

Недостатки:

• Нет развитых возможностей контентной фильтрации.
• Не реализован ICAP для взаимодействия с другими средствами защиты информации.
• Не используются данные киберразведки (TI) от сторонних поставщиков.
• Сертификация продукта в системе ФСТЭК России, а также внесение платформ E1010 и E3010 в реестр Минпромторга к настоящему моменту не завершены.