Журнал "Information Security/ Информационная безопасность" #6, 2024

Рынок российских NGFW развивается столь стремительно, что разработчики вынуждены все чаще запускать новые ветки своих продуктов, чтобы учитывать разнообразные специфические запросы. Так и компания UserGate, отвечая на потребности заказчиков с масштабными инфраструктурами, выбрала путь отдель- ной внутренней ветки разработки, сосре- доточенной на создании максимально мощного NGFW. С 2022 г. спрос на подобные решения начал расти с неве- роятной скоростью, словно снежный ком, набирающий объем и силу. Этот сегмент рынка предъявляет исключи- тельные требования: если обычно из триады "производительность, отказо- устойчивость и функциональность" при- ходится жертвовать одним из элементов, то крупные заказчики ожидают их без- упречного сочетания. Именно эти высо- кие ожидания задают тон развитию инновационных технологий в отрасли. UserGate Data Center Firewall Результатом масштабной и кропотли- вой работы стала модель UserGate Data Center Firewall (DCFW) – это межсетевой экран следующего поколения, созданный специально для решения задач, харак- терных для центров обработки данных. Этот продукт воплощает в себе передо- вые технологии, высокую производи- тельность и надежность, необходимые для защиты сложных и нагруженных сетевых инфраструктур. UserGate DCFW сочетает в себе широ- кий функционал, передовые технологии и высокую производительность, предо- ставляя надежное решение для задач уровня ЦОД. Он является одним из самых функ- циональных решений на рынке. Это под- тверждают и внутренние тесты, и иссле- дования независимой лаборатории, и пилоты в реальной инфраструктуре клиентов. Новая модель во многом переосмыс- ляет подход к построению NGFW. Раз- работчики постарались сохранить все основные функции безопасности, кото- рые уже присутствуют в других линейках продуктов, однако у центров обработки данных и крупных заказчиков есть свои особые потребности, на которых и целе- сообразно было сосредоточиться. Этим объясняется, что в текущей вер- сии UserGate DCFW пока отсутствует контент-фильтрация. Эти возможности разработчики планируют добавить позже. Тем не менее сегодняшняя функцио- нальность уже позволяет решать ключе- вые задачи клиентов уровня Enterprise. Повнимательнее посмотрим, что под капотом у UserGate DCFW. Сетевые возможности Что касается сетевых возможностей, здесь все осталось на уровне полноцен- ного UserGate NGFW. Продукт поддер- живает статическую и динамическую маршрутизацию (OSPF, BGP, RIP, PIM), логическое разбиение сети на уровне L2 модели OSI (VLAN), WCCP, DHCP, чтобы интеграция нового решения в корпоративные сети была максимально удобной и простой. Векторный файрвол Теперь остановимся на нескольких новых функциях, которые появились в UserGate DCFW. Одной из ключевых разработок стала технология векторного файрвола. Стоит заметить, что у рос- сийских производителей этот подход становится все более популярным. Это и понятно, ведь векторное управ- ление политиками файрвола – это более современный подход к организации и обработке правил, отличающийся от традиционного своей гибкостью и эффективностью. В отличие от таб- личной структуры, где правила прове- ряются последовательно сверху вниз, векторное управление основывается на обработке деревьев или графов, что позволяет получать более высокую про- изводительность за счет выполнения только тех правил, которые применимы к обрабатываемой сетевой сессии. На данный момент архитектура User- Gate DCFW поддерживает до 130 тыс. правил, что покрывает потребности боль- шинства заказчиков. На практике разработчики проводили тесты с 85 тыс. правил на инфраструк- туре одного своего крупного клиента из добывающей отрасли. Результаты ока- зались впечатляющими: DCFW спра- вился с задачей уверенно, причем про- изводительность превысила ожидания заказчика на 40%. Аппаратное ускорение Одним из ключевых отличий Data Center Firewall стало использование собственного аппаратного ускорителя. Эта разработка – результат кропотливой работы, которую UserGate ведет уже более трех лет. Создание собственной схемотехники – процесс долгий и слож- ный, но именно он открывает принципи- ально новые возможности. Разработчики перенесли функции Sta- teful Firewall, контроль приложений и систе- му предотвращения вторжений на FPGA, что сразу обеспечило значительный рост производительности. Этот, надо сказать, прорывной шаг для российского рынка NGFW. На данный момент UserGate чуть ли не единственный российский произво- дитель NGFW, кто внедрил аппаратное ускорение в свои решения. Это не просто технологическое улучшение – это шаг, который, без преувеличения, открывает новую главу в развитии отрасли. Виртуальные системы Еще одна важная и интересная функ- ция – возможность создания виртуаль- ных систем. Эта технология позволяет логически разделять физическое устрой- ство на несколько виртуальных межсе- тевых экранов, суммарно ограниченных только производительностью оборудо- вания. Это одна из ключевых особенно- стей, которая делает UserGate DCFW особенно востребованным для приме- нения в центрах обработки данных. Данная функция предоставляет заказ- чикам свободу в создании сложных архитектур и адаптации инфраструктуры под конкретные задачи. Функционально это аналог VSYS от Palo Alto, VDOM от Fortinet и виртуальных контекстов от Cisco, но с учетом собственных разра- боток и подходов компании UserGate. Отказоустойчивость В части отказоустойчивости разра- ботчики сохранили все преимущества UserGate NGFW: поддерживаются режимы Active-Passive для двух узлов и Active-Passive для двух, трех или четы- рех узлов, а также резервирование кана- лов связи. Все эти возможности обес- печивают надежность и соответствие требованиям самых требовательных Enterprise-заказчиков. 18 • СПЕЦПРОЕКТ Обзор новинок UserGate конца 2024 года омпания UserGate обычно радует рынок своими новинками в апреле, но в этом году решила, что ждать весны слишком долго, и выстрелила новыми продуктами уже в ноябре. Темп инноваций лишний раз напоминает, что улучшение безопасности – это вопрос не календаря, а готовности разработчиков удивлять своих клиентов. К