UserGate DCFW как ядро сети
Введение
Большинство российских компаний в течение последних нескольких лет сталкиваются с увеличивающимися вызовами в области защиты сети: требования регуляторов к безопасности и производительности в современных корпоративных сетях и центрах обработки данных (ЦОД) постоянно растут (в первую очередь это касается объектов КИИ). А надежная защита инфраструктуры, эффективная обработка трафика и масштабируемость решений становятся ключевыми аспектами выбора сетевого оборудования.
Крупные компании и дата-центры нуждаются в высокопроизводительных решениях с поддержкой современных технологий защиты, которые смогут альтернативой аналогичным иностранным продуктам.
В этом материале мы рассмотрим отечественный продукт UserGate Data Center Firewall (DCFW), который является конкурентоспособной заменой зарубежным высокопроизводительным межсетевым экранам следующего поколения.
Но перед его обзором мы опишем, что подразумеваем под уровнем сети, изучим принципы защиты, способы сегментации и точки терминации, а также выделим типовые схемы построения сети. И в конце материала расскажем о том, почему наша статья носит именно такое название: «UserGate DCFW как ядро сети».
Итак, начнем.
Крупные компании и дата-центры нуждаются в высокопроизводительных решениях с поддержкой современных технологий защиты, которые смогут альтернативой аналогичным иностранным продуктам.
В этом материале мы рассмотрим отечественный продукт UserGate Data Center Firewall (DCFW), который является конкурентоспособной заменой зарубежным высокопроизводительным межсетевым экранам следующего поколения.
Но перед его обзором мы опишем, что подразумеваем под уровнем сети, изучим принципы защиты, способы сегментации и точки терминации, а также выделим типовые схемы построения сети. И в конце материала расскажем о том, почему наша статья носит именно такое название: «UserGate DCFW как ядро сети».
Итак, начнем.
Принципы защиты на уровне сети
Стратегия защиты на уровне сети (т.е. уже внутри) очень схожа с защитой периметра.
Чтобы это увидеть, давайте вспомним два типа трафика в любой инфраструктуре:
1. Север-Юг: любой трафик между локальной сетью компании и Интернетом. Такой трафик еще называют «вертикальным»;
2. Запад-Восток: любой трафик внутри локальной сети, который не выходит за периметр компании (а иногда и за пределы одного сегмента).Такой трафик часто называют «горизонтальным».
Чтобы это увидеть, давайте вспомним два типа трафика в любой инфраструктуре:
1. Север-Юг: любой трафик между локальной сетью компании и Интернетом. Такой трафик еще называют «вертикальным»;
2. Запад-Восток: любой трафик внутри локальной сети, который не выходит за периметр компании (а иногда и за пределы одного сегмента).Такой трафик часто называют «горизонтальным».
Стрелки на картинке показывают векторы сетевого взаимодействия. Разный цвет для них используется неспроста.
Традиционно считается, что трафик «Север-Юг» наиболее опасен для корпоративной сети, т.к. взаимодействие идёт с недоверенной зоной. Именно на этот трафик применяют наибольшее кол-во средств защиты. В большинстве случаев задача сводится к максимальному ограничению трафика (URL/Application фильтрация) и глубокой проверке разрешенного (Antivirus, IPS, Sandbox и т. д.).
Трафик «Запад-Восток» считается не таким опасным, т.к. взаимодействие вроде бы идет между доверенных зон. Казалось бы, чего там проверять? Это заблуждение приводит к тому, что многие компании вообще никак не контролируют происходящее внутри.
Ситуация осложняется еще и тем, что «горизонтальный» трафик почти всегда ЗНАЧИТЕЛЬНО больше, чем «вертикальный». Существует не так много организаций, у которых Интернет канал превышал бы 1−2 Гбит/с. А вот внутренние сети у большинства уже давно перешагнули 10 или даже 100 Гбит/с (ЦОД-ы в счет не берем, там еще больше).
В результате мы имеем огромное слепое пятно внутри сети, там, где идет самое активное взаимодействие. При успешном взломе злоумышленник сможет свободно перемещаться внутри сети, а мы этого даже не заметим, ведь у нас нет инструментов для этого. NGFW на периметре просто не увидит этот трафик, т.к. он до него и не доходит.
Что с этим делать?
Да, почти тоже самое, что и на периметре для вертикального трафика, но со спецификой горизонтального:
1. Ограничить доступ (Access Control). Мы должны постараться максимально уменьшить площадь возможной атаки. Главный принцип — разрешать только действительно НЕОБХОДИМЫЙ трафик;
2. Проверять трафик внутри (Threat Detection). Согласно принципу нулевого доверия (zero trust) — разрешённый трафик не значит, что он безопасен. Мы должны непрерывно его анализировать. Здесь уже не обойтись без специализированных средств защиты. DPI, NetFlow, IDS, NTA, поведенческий анализ, статистика и прочие вещи.
Традиционно считается, что трафик «Север-Юг» наиболее опасен для корпоративной сети, т.к. взаимодействие идёт с недоверенной зоной. Именно на этот трафик применяют наибольшее кол-во средств защиты. В большинстве случаев задача сводится к максимальному ограничению трафика (URL/Application фильтрация) и глубокой проверке разрешенного (Antivirus, IPS, Sandbox и т. д.).
Трафик «Запад-Восток» считается не таким опасным, т.к. взаимодействие вроде бы идет между доверенных зон. Казалось бы, чего там проверять? Это заблуждение приводит к тому, что многие компании вообще никак не контролируют происходящее внутри.
Ситуация осложняется еще и тем, что «горизонтальный» трафик почти всегда ЗНАЧИТЕЛЬНО больше, чем «вертикальный». Существует не так много организаций, у которых Интернет канал превышал бы 1−2 Гбит/с. А вот внутренние сети у большинства уже давно перешагнули 10 или даже 100 Гбит/с (ЦОД-ы в счет не берем, там еще больше).
В результате мы имеем огромное слепое пятно внутри сети, там, где идет самое активное взаимодействие. При успешном взломе злоумышленник сможет свободно перемещаться внутри сети, а мы этого даже не заметим, ведь у нас нет инструментов для этого. NGFW на периметре просто не увидит этот трафик, т.к. он до него и не доходит.
Что с этим делать?
Да, почти тоже самое, что и на периметре для вертикального трафика, но со спецификой горизонтального:
1. Ограничить доступ (Access Control). Мы должны постараться максимально уменьшить площадь возможной атаки. Главный принцип — разрешать только действительно НЕОБХОДИМЫЙ трафик;
2. Проверять трафик внутри (Threat Detection). Согласно принципу нулевого доверия (zero trust) — разрешённый трафик не значит, что он безопасен. Мы должны непрерывно его анализировать. Здесь уже не обойтись без специализированных средств защиты. DPI, NetFlow, IDS, NTA, поведенческий анализ, статистика и прочие вещи.
Типы сегментирования
Прежде чем перейти к перечислению типовых сегментов сети и отрисовке наиболее популярного дизайна, хотелось бы обсудить еще один вопрос — сегментацию. Она бывает разная.
Есть два основных типа сегментирования:
1. Физическое сегментирование. Согласно лучшим практикам харденинга — периметральное оборудование должно быть отделено от локальной сети физически. NGFW как ПАК, свои DMZ серверы, свои коммутаторы;
2. Логическое сегментирование. Обычно реализуется с помощью VLAN-ов.
В реальной жизни чаще всего эти два типа сегментации совмещают. Как минимум: периметр стараются отделить именно физически, установив выделенные ПАКи (например, NGFW). А вот внутреннюю сегментацию большинство уже делает именно логическую.
Есть два основных типа сегментирования:
1. Физическое сегментирование. Согласно лучшим практикам харденинга — периметральное оборудование должно быть отделено от локальной сети физически. NGFW как ПАК, свои DMZ серверы, свои коммутаторы;
2. Логическое сегментирование. Обычно реализуется с помощью VLAN-ов.
В реальной жизни чаще всего эти два типа сегментации совмещают. Как минимум: периметр стараются отделить именно физически, установив выделенные ПАКи (например, NGFW). А вот внутреннюю сегментацию большинство уже делает именно логическую.
Ключевые сегменты сети
Теперь обсудим довольно спорный вопрос: сегменты, которые должны быть в каждой сети. Скорее всего, вы не найдете ни одного стандарта по данной теме. Есть только общие принципы сегментирования, которых стоит придерживаться.
Выделить можно три основные задачи:
1. Контроль трафика К сегменту и ОТ него (access lists);
2. Логическая модульность сети. Структурированную сеть гораздо проще администрировать;
3. Соответствие требованиям регуляторов и федеральным законам.
Сегменты создаются для удобства управления и контроля доступа между сегментами, а также для реализации требований. Но по какому принципу формируются эти сегменты? Какой трафик нам нужно изолировать и потом «рулить» им?
Есть несколько основных методов:
1. По функциональности;
2. По отделам и подразделениям;
3. По типу устройств;
4. По уровням доступа или безопасности;
5. По локации.
Какой вариант лучше? Чаще используется комбинация первого (по функциональности) и четвертого варианта (по уровням безопасности).
То есть: мы выделяем в сегмент некую группу, в состав которой входят устройства или сервисы с похожей функциональностью или ролью, а также с похожим уровнем критичности с точки зрения безопасности.
Теперь мы приведем пример наиболее распространённых сегментов, которые присутствуют практически в любой типовой корпоративной сети.
Если говорить максимально просто, то можно выделить следующие большие сегменты:
1. Интернет. Сегмент, который чаще всего выделяется именно физически;
2. DMZ. Сегмент, куда помещаются публичные ресурсы компании;
3. Серверный. Сегмент, куда помещаются серверы и сервисы компании;
4. Пользовательский. Как правило, самый крупный сегмент, где располагаются устройства сотрудников. Именно пользователи генерируют больше всего проблем с безопасностью, и их трафик однозначно должен контролироваться в любом направлении — и в интернет (север-юг), и к локальным серверам (запад-восток).
Если ваша сеть сегментирована хотя бы таким образом, то это уже неплохо и есть потенциал для грамотного применения защитных мер!
Выделить можно три основные задачи:
1. Контроль трафика К сегменту и ОТ него (access lists);
2. Логическая модульность сети. Структурированную сеть гораздо проще администрировать;
3. Соответствие требованиям регуляторов и федеральным законам.
Сегменты создаются для удобства управления и контроля доступа между сегментами, а также для реализации требований. Но по какому принципу формируются эти сегменты? Какой трафик нам нужно изолировать и потом «рулить» им?
Есть несколько основных методов:
1. По функциональности;
2. По отделам и подразделениям;
3. По типу устройств;
4. По уровням доступа или безопасности;
5. По локации.
Какой вариант лучше? Чаще используется комбинация первого (по функциональности) и четвертого варианта (по уровням безопасности).
То есть: мы выделяем в сегмент некую группу, в состав которой входят устройства или сервисы с похожей функциональностью или ролью, а также с похожим уровнем критичности с точки зрения безопасности.
Теперь мы приведем пример наиболее распространённых сегментов, которые присутствуют практически в любой типовой корпоративной сети.
Если говорить максимально просто, то можно выделить следующие большие сегменты:
1. Интернет. Сегмент, который чаще всего выделяется именно физически;
2. DMZ. Сегмент, куда помещаются публичные ресурсы компании;
3. Серверный. Сегмент, куда помещаются серверы и сервисы компании;
4. Пользовательский. Как правило, самый крупный сегмент, где располагаются устройства сотрудников. Именно пользователи генерируют больше всего проблем с безопасностью, и их трафик однозначно должен контролироваться в любом направлении — и в интернет (север-юг), и к локальным серверам (запад-восток).
Если ваша сеть сегментирована хотя бы таким образом, то это уже неплохо и есть потенциал для грамотного применения защитных мер!
Точки терминации сегментов
Как мы обозначили ранее, есть некая зависимость применяемых мер защиты от типа сегмента. Чем недоверенней трафик, тем больше механизмов проверки безопасности нам нужны. Это очень ярко отражается на том, где в итоге эти сегменты терминируются.
Что же такое терминация? По-сути, это точки маршрутизации, т. е. устройства (физические или виртуальные), которые являются дефолтным шлюзом для наших сегментов. Трафик из одного VLAN-а не может попасть в другой, не пройдя через какое-то устройство, которое умеет маршрутизировать (и желательно контролировать) — L3 устройство. Такое «межвланное» взаимодействие еще называется interVLAN routing.
Мы рассмотрим разные варианты терминации в главе «Референсные схемы».
Но глобально можно выделить три наиболее очевидных точки терминации сегментов:
1. Периметр. Здесь, как правило, терминируются такие сегменты, как Интернет, WAN, DMZ. Периметр обслуживает трафик «Север-Юг» и обычно организован на NGFW решении;
2. Ядро. Это главная точка терминации. Здесь самый большой трафик «Запад-Восток». Как правило, здесь терминируются сегменты: Пользовательский, WiFi, Управляющий и Серверный. В качестве ядра может выступать L3 коммутатор или NGFW.
Для визуализации этих двух точек давайте еще раз вспомним схему:
Что же такое терминация? По-сути, это точки маршрутизации, т. е. устройства (физические или виртуальные), которые являются дефолтным шлюзом для наших сегментов. Трафик из одного VLAN-а не может попасть в другой, не пройдя через какое-то устройство, которое умеет маршрутизировать (и желательно контролировать) — L3 устройство. Такое «межвланное» взаимодействие еще называется interVLAN routing.
Мы рассмотрим разные варианты терминации в главе «Референсные схемы».
Но глобально можно выделить три наиболее очевидных точки терминации сегментов:
1. Периметр. Здесь, как правило, терминируются такие сегменты, как Интернет, WAN, DMZ. Периметр обслуживает трафик «Север-Юг» и обычно организован на NGFW решении;
2. Ядро. Это главная точка терминации. Здесь самый большой трафик «Запад-Восток». Как правило, здесь терминируются сегменты: Пользовательский, WiFi, Управляющий и Серверный. В качестве ядра может выступать L3 коммутатор или NGFW.
Для визуализации этих двух точек давайте еще раз вспомним схему:
3. Серверы. В крупных сетях с большим количеством серверов можно встретить дополнительную точку терминации трафика — Серверная. То есть маршрутизация и контроль серверного сегмента выносится с Ядра на дополнительное выделенное решение — L3-коммутатор или NGFW.
Бывают и обратные ситуации, когда сеть небольшая и все сегменты сети могут терминироваться в одной единственной точке (например, NGFW).
Итак, мы с вами рассмотрели, какие точки терминации трафика бывают, где они расположены архитектурно, какие сегменты терминируют и на чем это может быть реализовано (L3-коммутатор или NGFW). Понимание этой темы крайне важно, т.к. мы будем базироваться на этих знаниях, когда начнем обсуждать точки мониторинга и проверки трафика с помощью различных DPI-средств.
Бывают и обратные ситуации, когда сеть небольшая и все сегменты сети могут терминироваться в одной единственной точке (например, NGFW).
Итак, мы с вами рассмотрели, какие точки терминации трафика бывают, где они расположены архитектурно, какие сегменты терминируют и на чем это может быть реализовано (L3-коммутатор или NGFW). Понимание этой темы крайне важно, т.к. мы будем базироваться на этих знаниях, когда начнем обсуждать точки мониторинга и проверки трафика с помощью различных DPI-средств.
Референсные схемы
Теперь давайте рассмотрим озвученные выше примеры более предметно и отразим три типовых дизайна сети. При этом мы подсветим, где терминируются наши основные сегменты.
Сразу стоит заметить, что схемы здесь структурные. По ним проще всего понять, как «ходит» трафик и как выглядит «скелет» сети.
1. Базовый вариант
Данный вариант можно встретить в небольших компаниях или филиалах. Характерен он тем, что вся сеть сегментируется на едином устройстве NGFW (одно устройство или кластер).
Естественно, такой вариант возможен лишь при небольшом трафике, как внешнем, так и внутреннем.
Сразу стоит заметить, что схемы здесь структурные. По ним проще всего понять, как «ходит» трафик и как выглядит «скелет» сети.
1. Базовый вариант
Данный вариант можно встретить в небольших компаниях или филиалах. Характерен он тем, что вся сеть сегментируется на едином устройстве NGFW (одно устройство или кластер).
Естественно, такой вариант возможен лишь при небольшом трафике, как внешнем, так и внутреннем.
В целом приведенная схема абсолютно рабочая.
В ней есть и плюсы, и минусы:
— Ключевое преимущество такого варианта: глубокая проверка внутреннего трафика средствами NGFW. Как минимум здесь будут полезны и возможность управлять трафиком на уровне приложений (L7), и проверка его безопасности с помощью IPS;
- Главные минусы такой схемы: сложность масштабирования и единая точка отказа.
Как видите, даже в небольшой компании или филиале можно заложить хорошую архитектуру, которая станет основой для следующих защитных мер.
2. Стандартный вариант
Теперь перейдем к более интересному и более распространенному варианту.
При этом его популярность связана даже не с безопасностью, а с общими правилами построения модульных и отказоустойчивых сетей. Ключевое отличие от предыдущего варианта — две точки терминации сегментов: Периметр и Ядро сети.
В ней есть и плюсы, и минусы:
— Ключевое преимущество такого варианта: глубокая проверка внутреннего трафика средствами NGFW. Как минимум здесь будут полезны и возможность управлять трафиком на уровне приложений (L7), и проверка его безопасности с помощью IPS;
- Главные минусы такой схемы: сложность масштабирования и единая точка отказа.
Как видите, даже в небольшой компании или филиале можно заложить хорошую архитектуру, которая станет основой для следующих защитных мер.
2. Стандартный вариант
Теперь перейдем к более интересному и более распространенному варианту.
При этом его популярность связана даже не с безопасностью, а с общими правилами построения модульных и отказоустойчивых сетей. Ключевое отличие от предыдущего варианта — две точки терминации сегментов: Периметр и Ядро сети.
NGFW на периметре образует четыре ключевых физических сегмента:
— Интернет;
— DMZ;
— WAN;
— Внутренние сети.
А что с Ядром в этой схеме? Здесь уже выполняется физическое и логическое выделение основных внутренних сегментов:
— Серверные сегменты;
— Пользовательские сегменты;
— Корпоративный WiFi;
— Управляющий сегмент.
Тут в целом все понятно. Главный вопрос: на каком типе устройств происходит это внутреннее сегментирование?
И здесь нет однозначного ответа. Исторически: L3 коммутатор. Современный тренд: NGFW или хотя бы устройство со Stateful Packet Inspection. Мы подробно распишем, что это и почему именно так, уже в следующей главе.
3. Продвинутый вариант
Возможно, кому-то «Стандартный вариант» кажется избыточным. А кому-то и этого не хватает. Особенно при большом количестве серверов и виртуальных машин разного предназначения.
Как мы уже обозначили выше: в определенных сценариях может получиться так, что межсерверный трафик значительно превышает весь остальной и требует выделения своего собственного устройства для терминирования сегментов.
Такой вариант представлен на картинке ниже:
— Интернет;
— DMZ;
— WAN;
— Внутренние сети.
А что с Ядром в этой схеме? Здесь уже выполняется физическое и логическое выделение основных внутренних сегментов:
— Серверные сегменты;
— Пользовательские сегменты;
— Корпоративный WiFi;
— Управляющий сегмент.
Тут в целом все понятно. Главный вопрос: на каком типе устройств происходит это внутреннее сегментирование?
И здесь нет однозначного ответа. Исторически: L3 коммутатор. Современный тренд: NGFW или хотя бы устройство со Stateful Packet Inspection. Мы подробно распишем, что это и почему именно так, уже в следующей главе.
3. Продвинутый вариант
Возможно, кому-то «Стандартный вариант» кажется избыточным. А кому-то и этого не хватает. Особенно при большом количестве серверов и виртуальных машин разного предназначения.
Как мы уже обозначили выше: в определенных сценариях может получиться так, что межсерверный трафик значительно превышает весь остальной и требует выделения своего собственного устройства для терминирования сегментов.
Такой вариант представлен на картинке ниже:
Тут мы видим дополнительное устройство для сегментации серверного трафика. Это может быть виртуальное устройства или ПАК. NGFW или L3 коммутатор.
Такое выделение «Ядра ЦОД-а» заодно позволяет держать абсолютно разный набор политик доступа, а иногда и разные команды администрирования, что может повысить общий уровень защищенности (а может и существенно понизить, как мы сможем убедиться дальше).
Как и в предыдущем случае, тут может возникнуть аналогичный вопрос: «Что же здесь использовать? NGFW или L3 коммутатор?». И здесь тоже нет однозначного ответа. Разве что банальное: «Зависит от задачи». Но подобная модульность в терминации сегментов (Периметр, Ядро, Серверы) дает нам бОльшую гибкость, когда для разного типа трафика мы можем использовать разные типы устройств. Весьма часто такой подход оказывается и более экономичным.
В завершении главы ещё раз хочется заметить, что все схемы выше — это просто примеры. В реальной жизни количество оборудования, количество сегментов и их комбинация могут сильно отличаться. Мы лишь отражаем некий идеализированный пример, на основе которого будем рассматривать всю дальнейшую логику и смысл применения конкретных мер защиты.
Такое выделение «Ядра ЦОД-а» заодно позволяет держать абсолютно разный набор политик доступа, а иногда и разные команды администрирования, что может повысить общий уровень защищенности (а может и существенно понизить, как мы сможем убедиться дальше).
Как и в предыдущем случае, тут может возникнуть аналогичный вопрос: «Что же здесь использовать? NGFW или L3 коммутатор?». И здесь тоже нет однозначного ответа. Разве что банальное: «Зависит от задачи». Но подобная модульность в терминации сегментов (Периметр, Ядро, Серверы) дает нам бОльшую гибкость, когда для разного типа трафика мы можем использовать разные типы устройств. Весьма часто такой подход оказывается и более экономичным.
В завершении главы ещё раз хочется заметить, что все схемы выше — это просто примеры. В реальной жизни количество оборудования, количество сегментов и их комбинация могут сильно отличаться. Мы лишь отражаем некий идеализированный пример, на основе которого будем рассматривать всю дальнейшую логику и смысл применения конкретных мер защиты.
UserGate DCFW
Теперь, когда основа концепции была описана, вернемся к теме статьи: «UserGate как ядро сети», а точнее, к конкретной модели DCFW.
Линейка высокопроизводительных межсетевых экранов следующего поколения UserGate DCFW (Data Center Firewall) была анонсирована вендором в ноябре-декабре 2024 года. Разработчик добавил её в отдельное направление для оснащения центров обработки данных и инфраструктур крупных заказчиков, отделив от UserGate NGFW.
Межсетевой экран нового поколения UserGate Data Center Firewall (UserGate DCFW) разработан с учётом современных вызовов и способен выступать в качестве ядра сети, объединяя функции NGFW и высокопроизводительного маршрутизатора. DCFW работает на платформах серии E, F, FG и G. Если говорить про модели FG и G, то они используют в качестве аппаратного ускорителя FPGA-процессор, который способен качественно улучшать производительность устройства с расчетом на требования заказчиков.
Почему UserGate DCFW подходит для роли ядра сети
Отметим основные преимущества устройства, которые помогут ответить на вопрос, почему UserGate DCFW подходит для этой роли с учетом описанной выше концепции.
1. Высокая пропускная способность и производительность
UserGate DCFW может обеспечить производительность до 200 Гбит/с на уровне межсетевого экрана L3/L4, а также до 120 Гбит/с при глубоком анализе трафика на уровне L7. Эти показатели позволяют использовать решение в самых нагруженных корпоративных сетях и ЦОД.
2. Гибкость маршрутизации и управления трафиком
UserGate DCFW поддерживает ключевые сетевые протоколы:
3. Встроенные механизмы безопасности
UserGate DCFW обеспечивает всестороннюю защиту сетевой инфраструктуры:
Технологические особенности UserGate DCFW
1. Аппаратное ускорение на FPGA
Использование программируемых логических интегральных схем (FPGA) позволяет разгружать центральный процессор и ускорять выполнение ключевых функций (межсетевой экран, IPS). Это даёт преимущество при обработке высоконагруженного трафика и предотвращает узкие места в системе.
2. Технология векторного файрвола
UserGate DCFW способен обрабатывать до 130 000 правил без снижения производительности. В отличие от традиционных решений, где скорость обработки падает с увеличением числа правил, векторный файрвол оптимизирует выполнение политик безопасности.
3. Виртуальные системы
UserGate DCFW позволяет создавать виртуальные системы, полностью изолированные друг от друга. Это даёт возможность крупным организациям и операторам ЦОД сегментировать сеть по подразделениям или клиентам.
4. Разделение Data plane и Control plane
UserGate DCFW может быть в двух режимах внедрения:
① Standalone, в этом режиме DCFW состоит из отказоустойчивого кластера FG. Схема в этом случае выглядит следующим образом
Линейка высокопроизводительных межсетевых экранов следующего поколения UserGate DCFW (Data Center Firewall) была анонсирована вендором в ноябре-декабре 2024 года. Разработчик добавил её в отдельное направление для оснащения центров обработки данных и инфраструктур крупных заказчиков, отделив от UserGate NGFW.
Межсетевой экран нового поколения UserGate Data Center Firewall (UserGate DCFW) разработан с учётом современных вызовов и способен выступать в качестве ядра сети, объединяя функции NGFW и высокопроизводительного маршрутизатора. DCFW работает на платформах серии E, F, FG и G. Если говорить про модели FG и G, то они используют в качестве аппаратного ускорителя FPGA-процессор, который способен качественно улучшать производительность устройства с расчетом на требования заказчиков.
Почему UserGate DCFW подходит для роли ядра сети
Отметим основные преимущества устройства, которые помогут ответить на вопрос, почему UserGate DCFW подходит для этой роли с учетом описанной выше концепции.
1. Высокая пропускная способность и производительность
UserGate DCFW может обеспечить производительность до 200 Гбит/с на уровне межсетевого экрана L3/L4, а также до 120 Гбит/с при глубоком анализе трафика на уровне L7. Эти показатели позволяют использовать решение в самых нагруженных корпоративных сетях и ЦОД.
2. Гибкость маршрутизации и управления трафиком
UserGate DCFW поддерживает ключевые сетевые протоколы:
- Статическую и динамическую маршрутизацию (OSPF, BGP, RIP, PIM)
- Маршрутизацию на основе политик (Policy-Based Routing)
- Виртуальные маршрутизаторы (VRF) для разделения сетей
- Равномерную балансировку трафика (ECMP)
- Резервирование каналов и отказоустойчивость (VRRP, BFD)
3. Встроенные механизмы безопасности
UserGate DCFW обеспечивает всестороннюю защиту сетевой инфраструктуры:
- Statefull Firewall
- Фильтрация трафика на уровнях L3/L4/L7
- IPS
- Identity Firewall — привязка трафика к конкретным пользователям
Технологические особенности UserGate DCFW
1. Аппаратное ускорение на FPGA
Использование программируемых логических интегральных схем (FPGA) позволяет разгружать центральный процессор и ускорять выполнение ключевых функций (межсетевой экран, IPS). Это даёт преимущество при обработке высоконагруженного трафика и предотвращает узкие места в системе.
2. Технология векторного файрвола
UserGate DCFW способен обрабатывать до 130 000 правил без снижения производительности. В отличие от традиционных решений, где скорость обработки падает с увеличением числа правил, векторный файрвол оптимизирует выполнение политик безопасности.
3. Виртуальные системы
UserGate DCFW позволяет создавать виртуальные системы, полностью изолированные друг от друга. Это даёт возможность крупным организациям и операторам ЦОД сегментировать сеть по подразделениям или клиентам.
4. Разделение Data plane и Control plane
UserGate DCFW может быть в двух режимах внедрения:
① Standalone, в этом режиме DCFW состоит из отказоустойчивого кластера FG. Схема в этом случае выглядит следующим образом
Ключевые особенности данного внедрения:
② “G”, в этом режиме Data plane(DP) и Control plane(CP) разнесены на разные устройство, DP – модель FG, CP – модели Е1010, Е3010, F8010. Схема выглядит следующим образом:
- Control Plane(CP): встроенный CPU модели FG
- Data Plane(DP): модель FG
- Связь CP и DP: внутренняя шина
- Кластерное соединение CP (Active) - CP (Standby) – 1G port0/port1
- На данный момент поддерживается кластеризация 2-ух узлов DP FG в режиме Active/Standby
② “G”, в этом режиме Data plane(DP) и Control plane(CP) разнесены на разные устройство, DP – модель FG, CP – модели Е1010, Е3010, F8010. Схема выглядит следующим образом:
Ключевые особенности этого режима следующие:
Платформа UserGate SUMMA предоставляет централизованный интерфейс управления всеми компонентами сети, включая NGFW, SIEM и другие средства защиты. Поддержка управления более чем 10 000 устройств делает продукт масштабируемым для крупных организаций.
- Control Plane(CP) - выделенное устройство Е1010/Е3010/F8010
- Data Plane(DP) - модель FG
- Связь CP и DP – 2х10G
- Кластерное соединение CP (Active) - CP (Standby) – 10G
- На данный момент поддерживается кластеризация 2-ух узлов DP FG в режиме Active/Standby
Платформа UserGate SUMMA предоставляет централизованный интерфейс управления всеми компонентами сети, включая NGFW, SIEM и другие средства защиты. Поддержка управления более чем 10 000 устройств делает продукт масштабируемым для крупных организаций.
Заключение
В данном материале мы постарались как можно подробнее раскрыть вопрос использования UserGate DCFW в качестве ядра сети и то, как это позволяет объединить маршрутизацию, балансировку нагрузки и сетевую безопасность в одном мощном решении.
Благодаря высокой производительности, аппаратному ускорению, поддержке современных технологий защиты и централизованному управлению продукт становится конкурентоспособной альтернативой зарубежным аналогам и идеально подходит для крупных корпоративных заказчиков и дата-центров.
Больше материалов о решениях UserGate вы можете найти в разделе «Учебные материалы» на нашем портале: Все учебные материалы (логин)
Автор статьи: Ярослав Ярушин, Team Lead направления UserGate в TS Solution
Благодаря высокой производительности, аппаратному ускорению, поддержке современных технологий защиты и централизованному управлению продукт становится конкурентоспособной альтернативой зарубежным аналогам и идеально подходит для крупных корпоративных заказчиков и дата-центров.
Больше материалов о решениях UserGate вы можете найти в разделе «Учебные материалы» на нашем портале: Все учебные материалы (логин)
Автор статьи: Ярослав Ярушин, Team Lead направления UserGate в TS Solution