UserGate DCFW (Data Center Firewall)

Основные статьи:

• Межсетевой экран (Firewall)
• NGFW (Next Generation Firewall)

2025: Официальный запуск UserGate Data Center Firewall

Компания UserGate 2 сентября 2025 года сообщила об официальном запуске продукта — UserGate Data Center Firewall (UserGate DCFW). Это межсетевой экран нового поколения (NGFW) для защиты дата-центров и сетевого периметра организаций уровня Enterprise. Отличительная особенность UserGate DCFW — поддержка до 130 000 правил межсетевого экрана без существенного снижения производительности.

𝓲

Фото: UserGate

Первый анонс UserGate DCFW состоялся в ноябре 2024 года. Уже тогда NGFW выдержал тестирование на 100 000+ правил межсетевого экрана в режиме реального времени в присутствии экспертов ИБ-рынка — компаний «Инфосистемы Джет» и «Линза». После этого продукт прошел этап финальной доводки и пилотирования у крупных заказчиков и уже внедрен в одной из российских корпораций в качестве альтернативы лидерам мирового рынка NGFW. В частности, в ЦОД заказчика эксплуатируется более 30 флагманских платформ UserGate DCFW F8010, а всего сеть защищает около 300 устройств UserGate.

В основе UserGate DCFW лежит собственная реализация векторного межсетевого экрана, разработанная в Лаборатории UserGate — специальном подразделении компании, где проводится разработка инновационных технологий. На сентябрь 2025 года эта технология позволяет обрабатывать до 130 000 правил межсетевого экрана (обычный запрос корпораций — около 50 000 правил). При этом увеличение количества обрабатываемых правил не приводит к линейному падению производительности. В следующих версиях продукта при наличии запросов от заказчиков максимальное количество поддерживаемых правил может быть увеличено.В «Т1» — большое укрупнение. TAdviser составил карту активов холдинга 12.6 т

В UserGate DCFW уже реализованы все функции безопасности, необходимые для работы в сценариях защиты корпоративного периметра и дата-центров: межсетевой экран с контролем состояния сессий (FW L4), контроль приложений (FW L7, 1 800+ приложений), предотвращение вторжений (IPS, 12 000+ сигнатур), трансляция сетевых адресов (NAT). Также доступны функции создания виртуальных частных сетей для организации безопасного доступа удаленных сотрудников (RA VPN) и защищенной передачи данных между площадками (S2S VPN) по протоколу IPsec.

Кроме этого, в UserGate DCFW уже реализованы возможности Identity firewall для идентификации и аутентификации пользователей, объединенные под названием UserID. UserID сопоставляет IP-адреса с учетными записями при помощи различных подходов и методик вне зависимости от текущего местоположения пользователей или используемой ими ОС. Это позволяет однозначно связать пользователя и генерируемый им трафик, что повышает видимость действий конкретного пользователя и упрощает настройку политик.

Поддерживаются протоколы RADIUS, TACACS+, Kerberos, NTML, многофакторная аутентификация, интеграция со службами каталогов Microsoft Active Directory, LDAP, ALD Pro и FreeIPA. Для прозрачной аутентификации реализована поддержка сообщений RADIUS Accounting с NAS-серверов, импорт данных других серверов по syslog, импорт журналов событий контроллера домена AD через WMI, агент на контроллере домена Microsoft Active Directory, а также сборщик событий из Windows Event Collector.

Для интеграции UserGate DCFW в сложные и зрелые ИТ-инфраструктуры, свойственные крупным заказчикам, в продукте уже есть набор сетевых технологий: OSPF, BGP, RIP, PIM, PBR, ECMP, BFD, VLAN, VXLAN, VRF, LACP и ряд других. Поддерживается работа в кластере отказоустойчивости в режиме Active-Passive и Active-Active (до 4 нод). Возможна работа с популярными российскими балансировщиками.

Управление осуществляется через веб-интерфейс (GUI) или командную строку (CLI). Для централизованного управления распределенными инсталляциями UserGate DCFW может использоваться UserGate Management Center, предназначенный для управления UserGate NGFW и всеми продуктами экосистемы UserGate SUMMA, а для централизованного сбора и анализа логов — UserGate Log Analyzer (оба продукта — начиная с версии 7.4). Для переноса конфигураций с популярных иностранных NGFW реализованы инструменты миграции, в том числе с Check Point, FortiGate, Palo Alto, Huawei и Cisco ASA/Firepower. Для интеграции с другими средствами защиты и ИТ-продуктами доступен открытый документированный API и протоколы syslog, SPAN и SNMP.

UserGate DCFW имеет два исполнения: виртуальный апплайнс и ПАК. Во втором случае поддерживается работа на новых платформах UserGate E1010, E3010, F8010, а также флагманской платформе предыдущего поколения — F8000. Все платформы внесены в реестры российской продукции Минпромторга России (ПП 719 и ПП 878). К началу 2026 года планируется завершить работы по поддержке платформы UserGate FG с аппаратным ускорением и гибридных устройств на ее основе (G9300, G9800).

По результатам тестирования UserGate DCFW на старшей платформе F8010 при задействовании 100 000 правил межсетевого экрана, 4 500 сигнатур IPS и 1 500 сигнатур приложений на трафике EMIX при загрузке CPU 70% были достигнуты следующие показатели: в режиме FW L4 — 145 Гбит/с при 185 000 CPS, в режиме FW L7 — 43 Гбит/с при 180 000 CPS, в режиме FW L7 + IPS — 13 Гбит/с при 165 000 CPS. Максимальное количество одновременных TCP-сессий в режиме FW L4 — 34 000 000. Предельная конструктивная пропускная способность платформы — до 400 Гбит/с.

UserGate DCFW сертифицирован ФСТЭК России по 4-му уровню доверия, как межсетевой экран по профилям защиты А, Б и Д 4-го класса, а также как система обнаружения вторжений уровня сети 4-го класса защиты (сертификат № 3905). Это позволяет использовать продукт в АИС до класса защищенности 1Г, ЗО КИИ I категории, ИСПДн 1 го уровня защищенности, ГИС 1-го класса защищенности, АСУ ТП 1-го класса защищенности, а также ИСОП II класса. UserGate DCFW внесен в реестр ПО Минцифры России. Кроме того, ведутся работы по внесению платформ с DCFW в реестр Минцифры в качестве ПАК.

Коммерческий релиз UserGate DCFW открывает для нашей компании сегмент Enterprise, где до сих пор массово применяются зарубежные NGFW. Теперь мы можем предложить заказчикам российскую альтернативу со зрелыми технологиями и производительностью корпоративного уровня. Выделение UserGate DCFW в качестве отдельного продукта позволяет гибко развивать его исключительно под требования крупнейших организаций. Например, в ближайших релизах мы реализуем виртуальные контексты, которые ждут от нас многие заказчики, — сказал Кирилл Прямов, менеджер по развитию NGFW в UserGate. — В дальнейшем UserGate DCFW станет поддерживать платформы с аппаратным ускорением, в том числе новую модель с расчетной производительностью до 800 Гбит/с в режиме FW L4, которую мы планируем выпустить к 2027 году.

2024: Анонс UserGate DCFW

Компания UserGate, ведущий российский разработчик экосистемы ИБ-решений, в ноябре 2024 года представила новое поколение решений класса NGFW — линейку высокопроизводительных межсетевых экранов следующего поколения (Next-Generation Firewall) для крупных корпоративных заказчиков и центров обработки данных UserGate DCFW (Data Center Firewall).

Экспертиза UserGate в области разработки собственных технологий: операционной системы UG OS и аппаратных платформ с применением аппаратного ускорения, — позволила инженерам компании добиться беспрецедентных для российских решений показателей производительности и вывести их на уровень ведущих мировых производителей: 200 Гбит/с для функций межсетевого экрана и 30 Гбит/с при включении функций контроля приложений и предотвращения вторжений. Результаты подтверждены в ходе нагрузочного тестирования. Компания вплотную подошла к созданию мощных решений, производительность которых может достигнуть 1 Тбит/с в перспективе нескольких лет. При этом уже сейчас по показателю стоимости защиты 1 Мбит/с UserGate превосходит ближайшего конкурента почти в 2 раза.

Решение реализовано в виде программно-аппаратного комплекса (ПАК) на базе платформ UserGate E1010, E3010, F8010, FG, а также устройства из новой линейки — G9300. UserGate DCFW на платформе FG готов к официальным поставкам с 25 ноября 2024 года. Подробнее здесь.