Компания UserGate является первым отечественным разработчиком межсетевых экранов нового поколения (NGFW). Она начала свою деятельность в этом направлении 15 лет назад. В настоящий момент она является лидером по доле рынка в России в данном сегменте — только в 2022–2023 гг. было реализовано более 5000 внедрений. Решения успешно используются в крупных государственных и коммерческих структурах как в России, так и за рубежом.
Разработчик уделяет особое внимание максимальной локализации своих продуктов. В межсетевых экранах используется собственная операционная система UGOS и реализация таких технологий, как IPS, DPI и антивирус. Непосредственно про рассматриваемый в этой статье UserGate C150 также важно отметить, что дизайн и схемотехника были разработаны специалистами компании, а выпуск устройства проводится на контрактном производстве в Ленинградской области. Для определённых заказчиков важным моментом может быть включение решения в Реестр Минпромторга России и наличие сертификата ФСТЭК России.
Модельный ряд
В каталоге решений NGFW компании представлены продукты различного класса по производительности и аппаратной конфигурации — начиная с решений для филиалов и IoT и заканчивая моделями для центров обработки данных. Последние способны обрабатывать трафик на скоростях до 200 Гбит/с в режиме межсетевого экрана и 30 Гбит/с с активными функциями контроля приложений и предотвращения вторжений. Также предусмотрена поставка решения в формате виртуальной машины для всех распространенных платформ, что может быть интересно как для малого бизнеса, так и для размещения в облачных сервисах. Для требующих высокой доступности сервисов есть возможность использования устройств в кластерах Active – Passive или Active – Active.
UserGate C150
Кроме непосредственно NGFW, компания также поставляет специализированные решения для хранения и обработки журналов событий UserGate Log Analyzer и для централизованного управления несколькими устройствами UserGate Management Center. Конечно, есть в портфолио и программный продукт UserGate Client для защиты конечных устройств и обеспечения безопасного доступа к инфраструктуре с реализацией таких актуальных технологий, как EDR, NAC и ZTNA.
Лицензирование
Для связанного с кибербезопасностью оборудования своевременное обновление и полнота баз угроз является одной из ключевых характеристик. И вполне ожидаемо, что этот сервис предоставляется по формату годовой подписки, причем предусмотрены несколько вариантов, что позволяет подобрать оптимальный комплект по требованиям заказчика. Базовый вариант Security Update (SU) включает в себя обновление встроенного ПО, сигнатур системы обнаружения вторжений и сигнатур приложений. Расширение Advanced Threat Protection (ATP) добавляет фильтрацию URL по категориям, фильтрацию URL по спискам, обновление морфологических баз, сервис веб-безопасности. Расширение Mail security позволяет использовать проверку почтового трафика для определения спама. Потоковый антивирус UserGate используется для проверки трафика на вирусы на лету.
Для использования двух устройств в режиме кластера также понадобится приобрести одноимённый пакет. Последняя опция — контроль доступа в сеть на уровне межсетевого экрана — необходима при использовании схемы контроля конечных устройств UserGate Client. Добавить новые подписки можно в любой момент. Штрафов при возобновлении оплаты за подписки не предусмотрено. Стоимость подписок также зависит от количества сетевых устройств, трафик которых будет проходить через межсетевой экран.
Активация лицензий и обновление списка активных модулей происходит при регистрации устройства, для чего ему необходимо обеспечить интернет-доступ. В дальнейшем статус будет перепроверяться раз в сутки. При работе в закрытом контуре предусмотрена активация через прокси-сервер. В новых версиях прошивки предусмотрена и офлайн-активация лицензии.
Сервис, поддержка, помощь при миграции
Поставки межсетевых экранов проводятся по стандартной цепочке производитель → дистрибьютор → интегратор → заказчик. Ценовая политика компании основана на индивидуальном подходе, так что в свободном доступе цен нет.
Кроме подписок на обновления, компания предлагает несколько планов технической поддержки. Они различаются оперативностью реагирования, набором услуг и, конечно, стоимостью. Кроме того, есть и разовые услуги, такие как проектирование, внедрение, резервирование аппаратного обеспечения, тренинги и обучения, помощь при миграции с решений других производителей, аудит защищённости сети заказчика, обновление и настройка стороннего оборудования.
На портале техподдержки в публичном доступе представлена документация (руководства пользователя по моделям и по возможностям и настройкам ПО) и ответы на часто задаваемые вопросы с группировкой по категориям.
При регистрации заказчик получает доступ в личный кабинет, где можно скачивать обновления программного обеспечения и взаимодействовать с поддержкой производителя. Штатный режим обновления прошивки — онлайн с сохранением конфигурации. В случае использования кластера обеспечивается непрерывность работы при обновлении ПО.
Комплект поставки
Предоставленная на тест модель UserGate C150 поставляется в стандартной картонной коробке. Внутри устройство защищено вставками из вспененного материала. В комплект поставки входят сам межсетевой экран, внешний блок питания с сетевым кабелем, один патч-корд, кабель для подключения к консоли и листовка с условиями гарантии и ссылками на документацию. Отсылка пользователя на сайт для получения информации об устройстве сегодня более предпочтительна, чем комплектация печатной документацией, поскольку продукты постоянно развиваются.
Блок питания от известного бренда Mean Well отдаёт 12 В 5 А и имеет несъёмный кабель длиной 1 м со стандартным круглым штекером. Для подключения к сети питания установлен также стандартный C14 для комплектного кабеля с вилкой Shuko (при необходимости кабель можно поменять на C13-C14 для подключения к ИБП или PDU). Патч-корд категории 5e имеет длину 1 м. Метровый же консольный кабель снабжён разъёмами USB Type-C и USB Type-A. И блок питания, и консольный кабель не являются уникальными для модели, что можно отнести к плюсам, поскольку при необходимости не будет проблем с подбором замены.
Внешний вид
Межсетевой экран выполнен в крепком металлическом корпусе серого цвета и внешне ничем не выделяется в сегменте современного сетевого оборудования. Внутри нет никаких обслуживаемых пользователем компонент, так что корпус опечатан. Высота корпуса стандартная для стоечного оборудования. Однако штатно предусмотрен вариант установки только на резиновых ножках, которые увеличивают фактическую высоту на 7 мм. Опционально компания предлагает специальное крепление, позволяющее установить в серверную стойку на 1U два межсетевых экрана данной модели вместе с блоками питания.
| Характеристики UserGate C150 | |
|---|---|
| Процессор | 8 ядер, Arm, 1,6 ГГц |
| Оперативная память | 16 Гбайт |
| Системный накопитель | SSD 128 Гбайт |
| Размеры | 205 × 185 × 55 мм |
| Вариант установки | настольный |
| Масса | 1,2 кг |
| Питание | два входа DC 12 В, до 36 Вт |
| Охлаждение | активное |
| Рабочие температуры | 0 °C – 40 °C |
| Сетевые интерфейсы | 8 × 1GbE |
| Консоль | USB Type-C |
| OOB-управление | выделенный порт 100 Mbps |
| Дополнительно | порт USB 3.0 Type A |
Ширина корпуса составляет 205 мм. На правой стороне находится решётка вентилятора (кстати, от Delta). Забор воздуха для вентиляции производится через решётки на левой боковой стороне корпуса. Глубина корпуса — 185 мм. При этом необходимо добавить ещё минимум 40 мм сзади на подключение питания (если использовать комплектный блок питания с прямым штекером) и примерно столько же спереди для сетевых кабелей. Масса устройства — 1,2 кг.
Несмотря на позиционирование для СМБ и филиалов, устройство штатно имеет возможность подключения двух блоков питания, что позволяет реализовать резервирование. Но для этого потребуется докупить ещё один блок питания. Также сзади есть винтовая клемма для подключения заземления. На передней панели устройства, слева, расположен блок из восьми гигабитных портов для медного кабеля. Каждый имеет индикаторы скорости и активности. Далее идут порт USB 3.0 для подключения накопителя, выделенный сетевой порт 100 Мбит/с для OOB-управления, консольный порт USB Type C и четыре многоцветных светодиодных индикатора.
Технические характеристики
UserGate C150 имеет аппаратную платформу с восьмиядерным процессором Arm с частотой работы 1,6 ГГц, 16 Гбайт оперативной памяти и SSD на 128 Гбайт для ПО. Решение оборудовано восемью гигабитными портами для медного кабеля для обрабатываемого трафика и одним выделенным портом для управления. Потребляемая мощность устройства не превышает 36 Вт. Диапазон рабочих температур — от 0 до 40°C.
| Производительность UserGate C150 | |
|---|---|
| Пропускная способность | |
| На трафике Emix в режиме МЭ | 3,8 Гбит/c |
| На трафике UDP с размером пакета 1518 байт в режиме МЭ | 8 Гбит/c |
| На профиле трафика Emix в режиме МЭ с включённой функцией определения приложений L7 | 2,8 Гбит/c |
| На профиле трафика Emix в режиме МЭ с включённой функцией определения приложений L7 и СОВ | 400 Мбит/c |
| Фильтрации трафика HTTP с размером транзакции 256 КБ | 800 Мбит/c |
| Инспектирования трафика HTTPS на размере ответа 256 КБ, TLSv1.2 | 200 Мбит/c |
| На профиле трафика Emix, при включении всех механизмов защиты | 120 Мбит/c |
| Максимальное количество сессий | |
| Сессий для протокола TCP в режиме МЭ | 2 400 000 |
| Новых сессий в секунду CPS в режиме МЭ | 19 000 |
| Новых сессий в секунду CPS в режиме МЭ с включённой функцией определения приложений L7 и СОВ | 2 400 |
UserGate C150 разработчик рекомендует использовать для обслуживания не более 150 пользователей. Для рассматриваемого типа оборудования реальная производительность существенно зависит от используемых технологий проверки трафика и управления им, и выбор оптимальной модели необходимо проводить с привлечением специалистов и/или пилотного запуска. Существенно изменить что-то по скорости уже не получится — если её не будет хватать, то придётся или отказываться от каких-то проверок, что не всегда допустимо, или менять модель на более производительную. Возможности провести обновление с компенсацией за заменяемое устройство и переносом подписок нет.
Возможности встроенного программного обеспечения
Для первоначального подключения и настройки есть сразу три варианта — можно использовать консольный порт, который эмулирует через USB традиционный последовательный интерфейс, можно подключиться к выделенному порту управления с доступом по ssh или же использовать port0 и веб-интерфейс. Первые два консольных варианта применяются преимущественно для настройки IP-адресов с последующим переходом к третьему способу доступа через браузер. Кстати, веб-интерфейс работает на нестандартном порту 8001 и по https.
 |
 |
 |
 |
 |
В целом первые шаги традиционны для данного оборудования: выбираем язык (есть русский и английский), часовой пояс (важно для корректной работы связанных с временем сервисов), принимаем условия лицензионного соглашения, задаём пароль главного администратора. Далее будет необходимо обеспечить устройству выход в интернет для проведения регистрации.
Основной вариант ручного взаимодействия с устройством — веб-интерфейс в любом современном браузере. Для реализации определённых сценариев может быть полезно наличие REST API для работы с устройством. Например, можно самостоятельно реализовать регистрацию пользователей.
Для мониторинга текущего состояния устройства используются две панели. Одна показывает ситуацию с точки зрения сетевой нагрузки, включая статус портов, загрузку процессора и оперативной памяти, трафик по портам, интенсивность запросов DNS и HTTP, статистику VPN-подключений. Вторая отражает данные по системам безопасности — пользователи, приложения, домены, атаки и так далее. Более подробные инструменты мониторинга и диагностики собраны в одноимённом разделе. Здесь можно посмотреть текущие сессии, таблицу маршрутизации, подключения пользователей по VPN.
Для диагностики предусмотрены как традиционные инструменты ping, traceroute и DNS Loockup, так и более сложные — захват пакетов, проверка прохождения трафика по правилам, проверка работы LLDP.
В этом же разделе настраиваются правила оповещений (поддерживается SMTP и SMPP) и протокол SNMP.
Большое внимание уделено журналированию работы устройства. При этом можно настроить отправку событий на другие системы по syslog, FTP или SSH. В правилах пересылки выбираются требуемые журналы, формат сообщений и расписание.
Не забыта и такая важная функция, как автоматическое составление отчётов. В списке шаблонов представлено более 100 готовых вариантов. Среди них — отчёты по трафику, доменам, приложениям, пользователям, атакам.
Меню настроек устройства насчитывает более шестидесяти страниц, так что рекомендуется провести обучение специалистов компании, если планируется использовать собственных сотрудников для обслуживания межсетевого экрана.
В первом разделе представлены общие настройки, такие как время, служебные доменные имена, модули, обновления и так далее. Обратим внимание на возможность настройки входа в веб-интерфейс не только по паролю, но и по сертификату. В целом аутентификация администраторов может работать как с локальными аккаунтами, так и через внешний сервис LDAP. При этом можно иметь и несколько различных профилей (ролей) для них с разными доступами и правами.
Также полезными будут встроенные средства резервного копирования конфигурации на внешние серверы. Конечно, есть и страница управления сертификатами, используемыми как для доступа к устройству, так и для работы функции инспекции SSL.
По сетевым настройкам здесь есть востребованные в сегменте возможности — можно создавать дополнительные интерфейсы (в частности VLAN, мост, бонд, VPN, VXLAN), распределять их по зонам, настраивать маршрутизацию через шлюзы.
Предусмотрены функции серверов DHCP и DNS. Для более производительных моделей может быть интересна возможность организации независимых виртуальных маршрутизаторов.
Для работы с аккаунтами пользователей и групп в дополнение к локальным аккаунтам предусмотрена интеграция с каталогами AD, LDAP, RADIUS и другими. Есть возможность входа через Captive-портал и поддержка MFA (TOTP, электронная почта, SMS).
Для обработки трафика есть две группы политик. Первая относится непосредственно к сетевым уровням — задаются правила для традиционного межсетевого экрана, правила маршрутизации (поддерживается как статическая маршрутизация, так и динамические протоколы RIP, OSPF, BGP и другие) и трансляции адресов, а также управления полосой пропускания.
Дополнительно здесь же реализованы функции балансировщика нагрузки по протоколам TCP/UDP и через обратный прокси.
Политики безопасности уже относятся к более высоким уровням сетевого обмена. Фильтрация контента работает с наиболее распространенным сегодня веб-трафиком. В его правилах можно использовать категории URL из обновляемой базы, а также фильтровать контент с использованием морфологии.
Как и в других аналогичных решениях, для упрощения настройки сервисов и политик используется технология объектов (в терминологии производителя — библиотек). В частности, это касается сетевых адресов, сервисов, профилей, приложений, типов контента, расписаний и так далее. При этом часть из них может быть встроенными и с автоматическим обновлением от вендора.
Веб-безопасность позволяет ограничить использование браузера по времени, автоматически блокировать рекламу и социальные сети, а также использовать безопасный поиск. Устройство умеет инспектировать трафик и в некоторых типах туннелей, что повышает общий уровень защиты.
Решение поддерживает как традиционный межсетевой экран уровня L3/L4, так и возможность обнаружения приложений на уровне L7. Обновляемая база сигнатур приложений позволяет строить правила для строгого контроля работы пользователей и сервисов. На момент подготовки материала в списке было представлено более 1700 программ (полный список доступен на сайте разработчика).
С учётом повсеместного шифрования трафика SSL (для сайтов, электронной почты и других сервисов) в межсетевом экране не обойтись без функции его расшифровки и проверки. Однако это может мешать работе некоторых приложений, а также создаёт высокую нагрузку. Так что администратор может создать специальные правила для исключения доверенных источников из проверки. Отдельно отметим здесь поддержку алгоритмов ГОСТ. Предусмотрены и специальные настройки для протокола SSH, включая блокировку SFTP и выполнения команд. Аналогичным образом настраиваются и правила работы системы обнаружения вторжений — с учётом зон, адресов и сервисов.
Сценарии позволяют более гибко настраивать работу устройства благодаря автоматизации определённых действий. В качестве примера разработчики приводят схему, когда для пользователя ограничивается полоса пропускания при обнаружении запуска им определённых приложений.
Обработка почтового трафика включает в себя защиту от спама как по спискам DNSBL, так и встроенным агентом. Дополнительно предусмотрена возможность пересылки трафика на внешние сервера ICAP, например для проверки системой DLP.
Две последние страницы в этом разделе — настройка системы защиты от DoS. В правилах указываются источник, получатель, пользователь, расписание и другие параметры. А в профиле уже назначаются пороги уведомлений и отбрасывания пакетов для SYN, UDP и ICMP. Можно также ограничить сверху общее число сессий.
Для реализации удалённого доступа к защищённым сервисам используется технология порталов, на которых можно опубликовать ресурсы различных типов и протоколов. В этом же разделе настраиваются правила и серверы обратных прокси.
Объединение локальных сетей или подключение удалённых пользователей может осуществляться с использованием технологий VPN на базе протокола IPSec. Есть несколько предустановленных профилей, что упрощает подключение к оборудованию других производителей.
Заключение
Обеспечение сетевой безопасности сегодня является одной из важных задач для ИТ-подразделений организаций. Решения UserGate предоставляют администраторам широкие возможности по управлению трафиком, контролю доступа и защите локальных сетей и конечных устройств от современных угроз. С точки зрения сетевого администрирования здесь есть все актуальные для данного сегмента технологии. При этом продукты обеспечиваются регулярными обновлениями баз и сигнатур, а также имеют встроенные средства для автоматизации реакции на события информационной безопасности.
Модельный ряд межсетевых экранов нового поколения UserGate позволяет подобрать устройство под любой уровень нагрузки. Напомним также, что продукты могут функционировать не только в автономном режиме, но и быть включены в экосистему кибербезопасности для более эффективной и разносторонней защиты всех компонентов ИТ-инфраструктуры. В плюсы решений отнесём также поддержку отечественных стандартов, наличие сертификатов от контролирующих организаций и включение в реестры российской продукции.
