Компания UserGate представила новую серию межсетевых экранов DCFW (Data Center Firewall) — высокопроизводительных программно-аппаратных комплексов, разработанных для обеспечения надёжной защиты масштабной инфраструктуры уровня ЦОД. Новая серия включает модель UserGate FG с FPGA-модулем, а также модели E1010, E3010, F8010 и G9300. Новинки по соотношению Мбит/с на рубль почти вдвое опережают решения конкурентов.
Межсетевой экран E1010 приходит на смену модели E1000. По оценкам компании, E1010 превосходит предшественника по скорости примерно на 40 %. В свою очередь, E3010 заменит модель E3000, превосходя её по скорости примерно в два раза. Отличительной чертой обеих моделей является наличие четырёх модулей расширения, которые позволяет гибко сконфигурировать интерфейсы: RJ45, SFP, SFP+, QSFP.
Производительность E1010 в режиме FW L3/L4 — 38 Гбит/с, у E3010 — 70 Гбит/с; с функцией L7-фильтрации (трафик EMIX) производительность составляет 16 Гбит/с, у E3010 — 40 Гбит/с. С функцией L7-фильтрации и системой предотвращения вторжений (IPS) у E1010 производительность равна 5 Гбит/с, у E3010 — 18 Гбит/с.
Источник изображений: UserGate
С набором опций NGFW (FW+DPI+IPS+CF) у E1010 производительность составляет 1 Гбит/с, у E3010 — 2,5 Гбит/с. У E1010 максимальное число одновременных сессий в секунду (CPS) — 100 тыс.; 180 тыс. — у E3010. Максимальное количество одновременных TCP-сессий — 4 млн у E1010 и 12 млн у E3010.
Производительность модели F8010 составляет: в режиме FW L3/L4 — 80 Гбит/с, с функцией L7-фильтрации (трафик EMIX) — 47 Гбит/с, с функцией L7-фильтрации и системой предотвращения вторжений (IPS) равна 30 Гбит/с, с набором опций NGFW (FW+DPI+IPS+CF) — 3,5 Гбит/с. Максимальное число сессий в секунду (CPS) составляет 320 тыс., максимальное количество одновременных TCP сессий — 24 млн. Модель F8010 вышла на замену F8000.
F8010 имеет высоту 2U и предлагает сразу восемь посадочных мест для модулей сетевых портов (RJ45, SFP, SFP+, QSFP). Межсетевой экран F8010 уже внесён в реестр российской промышленной продукции Минпромторга России, а E1010 и E3010 будут внесены в этом месяце. В реестр попал и ещё один, уникальный для российского рынка продукт — UserGate FG, высокопроизводительный программно-аппаратный комплекс, разработанный для обеспечения безопасности высоконагруженных систем и объектов КИИ как коммерческих, так и государственных предприятий.
UserGate FG подходит для защиты ядра сети, объединения всех зон безопасности и обеспечения безопасного прохождения трафика между сегментами. Благодаря способности обрабатывать огромное количество трафика UserGate FG, в том числе т.н. потоков Elephant Flow, например, с IP-камер, он подойдёт для защиты высоконагруженных систем, таких как целый ЦОД, инфраструктура телеком-операторов и т.д. 1U-шасси UserGate FG предлагает 16 10GbE-портов SFP+ и пару 100GbE-портов QSFP28.
Пропускная способность модуля FW (L3/L4) у UserGate FG достигает рекордного значения в 150 Гбит/с на трафике UDP с пакетами 1518 байт и 90 Гбит/с на трафике EMIX. С функцией L7-фильтрации (трафик EMIX) производительность составляет 45 Гбит/с (со II квартала 2025 года), с функцией L7-фильтрации и системой предотвращения вторжений (IPS) она равна 25 Гбит/с (со II квартала 2025 года). Максимальное число сессий в секунду (CPS) составляет 84 тыс., максимальное количество одновременных TCP сессий — 22 млн.
изображения (3)
Секрет высокой производительности UserGate FG кроется в использовании FPGA. При поступлении сетевого потока на CPU лишь формируется правило для обработки трафика, после чего поток направляется на FPGA и в дальнейшем минует CPU. Впрочем, пока есть некоторые ограничения. На сегодня доступна работа с 10 тыс. правил межсетевого экрана. Ко II кварталу 2025 года на FPGA будут переведены функции FW L7 и IPS, а количество правил доведено до 131 тыс., т.е. как у всех остальных новинок серии DCFW. Свежие прошивки для FPGA будут поставляться вместе с обновлениями программной платформы.
UserGate FG можно использовать как отдельно, так и с другими новыми платформами компании. Это позволяет отделить control plane от data plane и легко масштабировать производительность. Одна из новинок серии DCFW, модель G9300, как раз и представляет собой комбинацию моделей E3010 и FG, которая управляется как единое целое. Её рроизводительность достигает 200 Гбит/с для FW L3/L4 на трафике TCP/UDP с пакетами 1518 байт и 30 Гбит/с — для функций FW L7 + IPS на трафике EMIX. Результаты получены при применении 10 тыс. правил файрвола и 8 000 сигнатур и приложений IPS. Максимальное количество одновременных TCP-сессий – 24 млн, новых сессий (CPS) — 400 тыс. в секунду.
Во II квартале 2025 года появятся модели G9100 (E1010+FG) и G9800 (F8010+FG). Но в целом будет доступна возможность докупить и объединить E1010/3010, F8010 или FG для формирования G9100/9300/9800, а также объединение нескольких устройств серии G в отказоустойчивый кластер. Серия DCFW изначально поддерживает формирование кластеров Active–Passive на два узла или Active–Active на два, три или четыре узла. Есть поддержка OSPF/BGP/RIP/PIM, а также PBR/VRF/ECMP/BFD. Доступны VLAN, WCCP, DHCP.
Отличительной чертой DCFW является функция Identity Firewall, т.е. возможность идентифицировать пользователя и генерируемый им трафик. По словам компании, ни один другой отечественный NGFW такую функцию предложить не может. Кроме того, в DCFW реализована функция виртуальных систем, позволяющая разделить ПАК на отдельные, независимо управляемые сегменты. Правда, для модели FG поддержка этой функции появится в I квартале 2025 года, а возможность разгрузки трафика таких виртуальных систем на FPGA появится ближе к середине года.
Централизованное управление всеми устройствами UserGate осуществляется с помощью отдельного решения UserGate Management Center, поддерживающее управление всей экосистемой продуктов UserGate SUMMA (NGFW, DCFW, SIEM, Log Analyzer, Client). Реализованы мультитенантность, гибкая ролевая модель и возможность создания отказоустойчивого кластера. Доступно управление более 10 тыс. устройств. В целом, экосистема компании готова к интеграции практически в любую инфраструктуру.
Компания гордится тем, что разрабатывает и производит свои решения на территории России, в Новосибирске. Это обеспечивает полный контроль над аппаратными платформами, снижает санкционные риски и позволяет в более полной мере удовлетворить все требования в области импортозамещения. Кроме того, это даёт большую свободу при разработке и возможность учесть реальные требования заказчиков. В частности, в серии DCFW есть BMC для управления платформой и используются блоки питания и вентиляторы с поддержкой «горячей» замены. Вентиляторы могут работать и на вдув, и на выдув — их UserGate разработала сама.
С 25 ноября 2024 года по предзаказу будет доступна модель UserGate FG, а остальные новинки с функциональностью в полном объёме будут доступны со II квартала 2025 года.
Источник:
