UserGate DCFW — специализированный NGFW для заказчиков, нуждающихся в высокопроизводительном, функциональном и отказоустойчивом решении для защиты корпоративных сетей и ЦОДов. В нем реализованы функции межсетевого экрана с контролем состояния сессий (FW L3/L4) и приложений (FW L7), система предотвращения вторжений (IPS) и трансляция сетевых адресов (NAT). Также в новинке реализованы функции Identity Firewall, не имеющие аналогов среди российских NGFW, что дает возможность идентифицировать пользователя и генерируемый им трафик.
Для максимально простого встраивания UserGate DCFW в корпоративную сеть реализованы широкие сетевые функции: статическая и динамическая (OSPF, BGP, RIP, PIM) маршрутизация, протоколы для маршрутизации и балансировки нагрузки (PBR, VRF, ECMP, BFD), логическое разбиение сети на уровне L2 модели OSI (VLAN), WCCP, DHCP.
Одно из ключевых нововведений UserGate DCFW — собственная технология векторного файрвола. Она позволяет обрабатывать до 131 000 правил межсетевого экрана без линейного падения производительности. На сегодня это абсолютный рекорд среди российских NGFW. Такое количество правил применяется только в самых крупных заказчиках. На одном из пилотных проектов по замене зарубежного NGFW на периметре сети для ведущей нефтедобывающей компании было успешно протестировано 85 000 правил средней сложности (5 элементов). При этом производительность FW L3/L4 и IPS оказалась на 40% выше требований заказчика.
Другое важное отличие UserGate DCFW — применение первого в России аппаратного ускорителя на базе FPGA для NGFW. Схемотехника ускорителя разработана специалистами UserGate. С его помощью обрабатываются функции FW L3/L4/L7 и IPS, что обеспечивает качественный скачок показателей производительности без роста себестоимости решения. FPGA также позволяет обрабатывать Elephant Flows — непрерывные и чрезвычайно объемные потоки, например, данные от большого парка видеокамер. Обычные NGFW без FPGA часто не могут с ними справиться, так как Elephant Flows перегружают центральный процессор устройства.
Еще одна примечательная функция UserGate DCFW — создание виртуальных систем. Она позволяет логически делить ПАК UserGate на обособленные независимые друг от друга виртуальные NGFW. Количество виртуальных систем архитектурно не ограничено. Эта функция также будет интересна операторам дата-центров, так как позволяет строить гибкие схемы с участием множества виртуальных устройств. Аналогом «виртуальных систем» от UserGate являются VSYS от Palo Alto, VDOM от Fortinet и виртуальные контексты от Cisco.
В UserGate DCFW изначально поддерживается развитая отказоустойчивость – кластер Active-Passive на 2 ноды и кластер Active-Active на 2, 3 или 4 ноды. Централизованное управление осуществляется с помощью отдельного решения UserGate Management Center, поддерживающее управление всей экосистемой продуктов UserGate SUMMA (NGFW, DCFW, SIEM, Log Analyzer, Client). Реализованы мультитенантность, гибкая ролевая модель и возможность создания отказоустойчивого кластера. Доступно управление более 10 000 устройств.
Для обеспечения высокой производительности UserGate DCFW анонсированы новые платформы – E1010, E3010, F8010. E1010 призвана заменить E1000 и в среднем на 40-50% производительнее. E3010 заменяет E3000 и в среднем на 100-150% быстрее. Обе платформы обладают 4 слотами расширения для интерфейсов RJ45, SFP, SFP+ и QSFP. F8010 заменяет F8000, производительнее ее в среднем в 2-3 раза, и обладает 8 слотами расширения. При проведении нагрузочного тестирования F8010 при использовании 131 000 правил (проходятся все до последнего) достигнуты значения в 40 Гбит/с для FW L3/L4 и 20 Гбит/с для FW L7 + IPS (трафик EMIX).
Также завершены все этапы подготовки к официальным поставкам платформы FG с FPGA. Он позволяет достичь выдающейся производительности FW L3/L4 — 150 Гбит/с на трафике UDP с пакетами 1518 байт, и 90 Гбит/с на трафике EMIX. При этом устройство способно поддерживать 22 000 000 одновременных TCP-сессий и создавать 84 000 новых сессий в секунду. На сегодня доступна работа с 10 000 правил межсетевого экрана. Ко второму кварталу 2025 года на FPGA будут переведены функции FW L7 и IPS, а количество правил — доведено до 131 000. Платформа выполнена в форм-факторе 1 RU и обладает 16 интерфейсами SFP+ 10 Гбит/с и 2 интерфейсами QSFP28 100 Гбит/с. Коммерческие поставки устройства начнутся 25 ноября 2024 и позволят потенциальным заказчикам закрыть потребность в высокопроизводительном NGFW для выполнения указа президента №250.
Во всех представленных моделях реализованы блоки питания и вентиляторы с функцией горячей замены. Вентиляторы спроектированы UserGate и могут работать как на вдув, так и на выдув, что может иметь большое значение для операторов ЦОД. Проводятся работы по внесению платформ E1010 и E3010 в Реестр Минпромторга. Для платформ F8010 и FG этот процесс уже завершен.
Жемчужиной новой линейки стала высокопроизводительная модель G9300. Ее особенность — сочетание платформы FG и платформ E1010, E3010, F8010. Разделение data plane и control plane вместе с применением FPGA в FG обеспечивает существенный скачок в производительности. Полученные значения для G9300 — 200 Гбит/с для функций FW L3/L4 на трафике TCP/UDP 1518 байт, и 30 Гбит/с для функций FW L7 + IPS на трафике EMIX. Результаты получены при применении 10 000 правил файервола и 8 000 сигнатур и приложений IPS. Максимальное количество одновременных TCP-сессий – 24 000 000, новых сессий — 400 000 в секунду. Управление G9300 осуществляется как едиными устройством, через CLI или веб-интерфейс.
Во втором квартале 2025 года заказчикам также станут доступны модели G9100 (E1010+FG) и G9800 (F8010+FG). Последняя из-за высоких технических характеристик должна обеспечить существенно более высокие показатели производительности. Возможна докупка устройств E1010/3010, F8010 или FG для их объединения в устройство G9100/9300/9800, а также объединение нескольких устройств серии G в отказоустойчивый кластер.
UserGate DCFW на платформе FG готов к официальным поставкам с 25 ноября 2025 года. Остальные платформы станут доступны во втором квартале 2025 года.