UserGate wprowadził nową serię zapór ogniowych DCFW (Data Center Firewall) – wysokowydajnych systemów sprzętowych i programowych zaprojektowanych w celu zapewnienia niezawodnej ochrony infrastruktury dużych centrów danych. W nowej serii dostępny jest model UserGate FG z modułem FPGA, a także modele E1010, E3010, F8010 i G9300. Nowe produkty pod względem stosunku Mbit/s na rubel są niemal dwukrotnie wyższe od rozwiązań konkurencji.
Zapora ogniowa E1010 zastępuje E1000. Firma szacuje, że E1010 jest o około 40% szybszy od swojego poprzednika. Z kolei E3010 zastąpi model E3000, przewyższając go szybkością około dwukrotnie. Cechą charakterystyczną obu modeli jest obecność czterech modułów rozszerzeń, które umożliwiają elastyczną konfigurację interfejsów: RJ45, SFP, SFP+, QSFP.
Wydajność E1010 w trybie FW L3/L4 wynosi 38 Gbit/s, w przypadku E3010 jest to 70 Gbit/s; z funkcją filtrowania L7 (ruch EMIX) wydajność wynosi 16 Gbit/s, dla E3010 jest to 40 Gbit/s. Dzięki systemowi filtrowania i zapobiegania włamaniom L7 (IPS) model E1010 zapewnia prędkość 5 Gb/s, a model E3010 – 18 Gb/s.
Dzięki zestawowi opcji NGFW (FW+DPI+IPS+CF) E1010 ma wydajność 1 Gbit/s, a E3010 ma wydajność 2,5 Gbit/s. Maksymalna liczba jednoczesnych sesji na sekundę (CPS) E1010 wynosi 100 tysięcy; 180 tys. – za E3010. Maksymalna liczba jednoczesnych sesji TCP wynosi 4 miliony dla E1010 i 12 milionów dla E3010.
Wydajność modelu F8010 wynosi: w trybie FW L3/L4 – 80 Gbit/s, z funkcją filtrowania L7 (ruch EMIX) – 47 Gbit/s, z funkcją filtrowania L7 i systemem zapobiegania włamaniom (IPS) wynosi 30 Gbit/s , z zestawem opcji NGFW (FW+DPI+IPS+CF) – 3,5 Gbit/s. Maksymalna liczba sesji na sekundę (CPS) wynosi 320 tysięcy, maksymalna liczba jednoczesnych sesji TCP to 24 miliony. Model F8010 zastąpił model F8000.
F8010 ma wysokość 2U i oferuje osiem gniazd na moduły portów sieciowych (RJ45, SFP, SFP+, QSFP). Zapora ogniowa F8010 została już wpisana do rejestru rosyjskich produktów przemysłowych rosyjskiego Ministerstwa Przemysłu i Handlu, a modele E1010 i E3010 zostaną dodane w tym miesiącu. W rejestrze znalazł się także inny, unikalny na rynku rosyjskim produkt – UserGate FG, wysokowydajny system sprzętowo-programowy zaprojektowany w celu zapewnienia bezpieczeństwa mocno obciążonych systemów i obiektów CII zarówno przedsiębiorstw komercyjnych, jak i rządowych.
UserGate FG nadaje się do ochrony rdzenia sieci, konsolidacji wszystkich stref bezpieczeństwa i zapewnienia bezpiecznego przepływu ruchu pomiędzy segmentami. Dzięki możliwości przetwarzania ogromnej ilości ruchu UserGate FG, w tym tzw. Elephant Flow np. z kamer IP, nadaje się do ochrony systemów o dużym obciążeniu, takich jak całe centrum danych, infrastruktura operatora telekomunikacyjnego itp. Obudowa UserGate FG o wysokości 1U oferuje 16 portów 10GbE SFP+ i parę portów 100GbE QSFP28.
Przepustowość modułu FW (L3/L4) UserGate FG osiąga rekordową wartość 150 Gbit/s w ruchu UDP przy pakietach 1518 bajtów i 90 Gbit/s w ruchu EMIX. Przy filtrowaniu L7 (ruch EMIX) wydajność wynosi 45 Gb/s (od drugiego kwartału 2025 r.), a przy filtrowaniu L7 i systemie zapobiegania włamaniom (IPS) wynosi 25 Gb/s (od drugiego kwartału 2025 r.). Maksymalna liczba sesji na sekundę (CPS) to 84 tysiące, maksymalna liczba jednoczesnych sesji TCP to 22 miliony.
UserGate_DCFW_00008.png UserGate_DCFW_00009.png Zobacz wszystkie obrazy (3)
Sekret wysokiej wydajności UserGate FG leży w zastosowaniu FPGA. Gdy strumień sieciowy dociera do procesora, tworzona jest jedynie reguła przetwarzania ruchu, po czym strumień jest przesyłany do układu FPGA i następnie omija procesor. Jednak nadal istnieją pewne ograniczenia. Dziś możesz pracować z 10 tysiącami reguł zapory sieciowej. Do drugiego kwartału 2025 roku funkcje FW L7 i IPS zostaną przeniesione do FPGA, a liczba reguł wzrośnie do 131 tys., tj. jak wszystkie inne nowości z serii DCFW. Najnowsze oprogramowanie sprzętowe dla układów FPGA zostanie dostarczone wraz z aktualizacjami platformy oprogramowania.
UserGate FG można używać zarówno osobno, jak i z innymi nowymi platformami firmy. Pozwala to oddzielić płaszczyznę sterowania od płaszczyzny danych i łatwo skalować wydajność. Jeden z nowych produktów w serii DCFW, model G9300, jest właśnie połączeniem modeli E3010 i FG, który jest sterowany jako jedno urządzenie. Jego wydajność osiąga 200 Gbit/s dla FW L3/L4 w ruchu TCP/UDP z pakietami 1518 bajtów i 30 Gbit/s dla funkcji FW L7 + IPS w ruchu EMIX. Wyniki uzyskano przy użyciu 10 tys. reguł firewalla oraz 8 tys. sygnatur i aplikacji IPS. Maksymalna liczba jednoczesnych sesji TCP wynosi 24 miliony, nowych sesji (CPS) to 400 tysięcy na sekundę.
W drugim kwartale 2025 roku pojawią się modele G9100 (E1010+FG) i G9800 (F8010+FG). Ale ogólnie rzecz biorąc, będzie można kupić i połączyć E1010/3010, F8010 lub FG, tworząc G9100/9300/9800, a także połączyć kilka urządzeń serii G w klaster pracy awaryjnej. Seria DCFW natywnie obsługuje tworzenie klastrów Active-Passive dla dwóch węzłów lub klastrów Active-Active dla dwóch, trzech lub czterech węzłów. Obsługuje OSPF/BGP/RIP/PIM, a także PBR/VRF/ECMP/BFD. Dostępne VLAN, WCCP, DHCP.
Cechą wyróżniającą DCFW jest funkcja Identity Firewall, tj. możliwość identyfikacji użytkownika i generowanego przez niego ruchu. Według firmy żaden inny krajowy NGFW nie może zaoferować takiej funkcji. Dodatkowo DCFW implementuje funkcję systemów wirtualnych, która pozwala podzielić PAC na osobne, niezależnie zarządzane segmenty. Co prawda w przypadku modelu FG wsparcie dla tej funkcji pojawi się w pierwszym kwartale 2025 roku, a możliwość odciążenia ruchu z takich wirtualnych układów do FPGA pojawi się bliżej połowy roku.
Scentralizowane zarządzanie wszystkimi urządzeniami UserGate odbywa się za pomocą osobnego rozwiązania UserGate Management Center, które wspiera zarządzanie całym ekosystemem produktów UserGate SUMMA (NGFW, DCFW, SIEM, Log Analyzer, Client). Zaimplementowano wielodostępność, elastyczny wzór do naśladowania i możliwość tworzenia klastra pracy awaryjnej. Dostępne jest zarządzanie ponad 10 tysiącami urządzeń. Ogólnie rzecz biorąc, ekosystem firmy jest gotowy do integracji z niemal każdą infrastrukturą.
Firma jest dumna, że rozwija i produkuje swoje rozwiązania w Rosji, w Nowosybirsku. Zapewnia to pełną kontrolę nad platformami sprzętowymi, zmniejsza ryzyko sankcji i pozwala pełniej spełnić wszelkie wymagania w zakresie substytucji importu. Dodatkowo daje to większą swobodę rozwoju i możliwość uwzględnienia realnych wymagań klientów. W szczególności seria DCFW ma BMC do zarządzania platformą i wykorzystuje zasilacze i wentylatory z możliwością wymiany podczas pracy. Wentylatory mogą pracować zarówno na nadmuch jak i nadmuch – UserGate opracował je samodzielnie.
Od 25 listopada 2024 r. model UserGate FG będzie dostępny w przedsprzedaży, a pozostałe nowości z pełną funkcjonalnością będą dostępne od drugiego kwartału 2025 r.
Powiązane materiały:
Kaspersky Lab zaprezentował wersję beta zapory sieciowej Kaspersky NGFW InfoTeKS opracował zaporę sieciową ViPNet xFirewall dla kanałów 200–400 Gbit/s Zapora sieciowa Solar NGFW otrzymała zoptymalizowany stos sieciowy i obsługę protokołu SNMP Ministerstwo Spraw Wewnętrznych: uszkodzonych serwerów na Elbrusie nie da się szybko wymienić Huawei skrzyżował dysk SSD z taśmą w napędzie MED: w związku z sankcjami firma nie może już polegać na dostawach dysków twardych