На Хабре уже было интервью про Next Generation Firewall (NGFW) от компании Solar, которое затрагивало технические аспекты разработки таких решений. Также выходил материал про NGFW от Positive Technologies, про стык разработки open source решений и собственных разработок. Чтобы лучше проследить историю развития NGFW в России и показать разные подходы ИБ‑компаний, я решил провести интервью с одной из старейших компаний‑разработчиков NGFW в РФ — UserGate.

UserGate начала разрабатывать NGFW ещё в 2009 году. Мы пообщались с менеджером по развитию UserGate NGFW Кириллом Прямовым. Основное внимание было уделено тому, как начинался проект, с какими задачами и ограничениями сталкивалась компания и какие решения были выпущены в 2024 году. Приятного чтения!

Как давно компания UserGate занимается разработкой NGFW?

Мы начали разработку NGFW в 2009 году, то есть более 15 лет назад. Это был значимый момент для компании, так как мы решили не просто выпустить новый продукт, а создать конкурентоспособное решение, способное стать частью российской экосистемы сетевой безопасности.

Когда мы выпустили свой первый межсетевой экран следующего поколения, рынок NGFW в России был полностью захвачен зарубежными производителями, а локальные аналоги отсутствовали. Мы понимали, что это будет сложный путь, потому что NGFW — крайне капиталоёмкий продукт. Не только из‑за интеграции множества функций, таких как контроль приложений, предотвращение вторжений и так далее. Это другой подход к архитектуре плюс глубокая работа с аппаратным обеспечением, если хочется достигнуть хотя бы удовлетворительных показателей производительности для крупного бизнеса. Мы понимали, что потребуется значительное время и ресурсы, чтобы предложить заказчикам подобное решение, но сознательно пошли на этот шаг, задолго до начала событий, после которых глобальные вендоры закрыли свой бизнес в России.

Почему компания решила заняться именно NGFW?

NGFW был и остаётся ключевым элементом сетевой безопасности. По сравнению с традиционными межсетевыми экранами NGFW предлагает расширенные функции, такие как глубокий анализ трафика, контроль приложений, предотвращение вторжений, сетевой антивирус и интеграцию с другими средствами защиты, такими как Sandbox, DLP‑ и SIEM‑системы.

Когда мы выпустили свой первый NGFW, рынок в России только начал массово осознавать, что классические межсетевые экраны уже не справляются с задачами обеспечения безопасности в современных сетях. Объём трафика рос, угрозы становились сложнее, и компаниям требовалось решение, которое могло бы не просто блокировать подозрительный трафик, но и выявлять его причины, анализировать события и предоставлять дополнительные средства защиты. Мы видели, что на российском рынке нет локальных решений, которые могли бы предложить такую функциональность. Поэтому решили заполнить эту нишу.

Какова была ситуация на российском рынке NGFW, когда вы выпустили своё первое решение?

На российском рынке доминировали зарубежные компании, такие как Check Point, Cisco, Palo Alto, Fortinet, WatchGuard. Они полностью контролировали как рынок устройств для небольших заказчиков, так и сегмент NGFW для крупных заказчиков, включая банки, нефтедобывающие и промышленные компании, телеком и государственные структуры. При этом уже начал появляться запрос на локальные продукты. Мы понимали, что эта тенденция будет только усиливаться, особенно в связи с началом перехода к импортозамещению и усложнением ландшафта киберугроз.

А как насчёт других российских компаний?

На тот момент большинство российских вендоров выпускали обычные межсетевые экраны с каким‑то дополнительным функционалом, например, VPN, но это было далеко от полноценного NGFW. Не только из‑за наличия или отсутствия определенных функций, но с первую очередь из‑за производительности, отказоустойчивости, масштабируемости. Среди отечественных разработчиков, предлагавших многофункциональное сетевое решение (UTM), можно отметить компании «АльтЭль» и «Айдеко». Но никто не мог предложить конкурентоспособного NGFW для крупного бизнеса. Только после событий февраля 2022 году в России начали массово появляться продукты, которые причисляли себя к классу NGFW.

Когда вы начали разработку NGFW, ориентировались ли вы на зарубежные аппаратные платформы или сразу выбрали локализацию?

Бизнес мы начинали с использования зарубежных аппаратных платформ. Но при создании NGFW мы с самого начала приняли решение последовательно двигаться к собственным платформам, так как понимали, что зависимость от зарубежных решений может стать критическим фактором в будущем. Локализация была стратегическим выбором.

Кроме того, мы хотим контролировать весь процесс: от проектирования до производства. Конечно, это требовало дополнительных затрат и усилий, но в долгосрочной перспективе это решение оказалось правильным. Сегодня мы уже можем предложить нашим заказчикам собственные решения, полностью соответствующие требованиям импортозамещения, включая как платформы для небольших организаций (UserGate C150), так и платформу UserGate FG cо встроенным аппаратным ускорителем на базе FPGA для решения задач самых крупных заказчиков.

С какими вызовами вы столкнулись на этапе разработки?

Один из ключевых вызовов это создание команды, которая могла бы справиться с задачей такого уровня. Мы искали специалистов, которые разбираются не только в сетевой безопасности, но и в разработке аппаратных решений. Кроме того, мы начали работы по созданию упомянутой мной ранее платформы UserGate FG с FPGA. В ней мы реализовали собственный дизайн и схемотехнику, а также свой код для FPGA. Весь процесс от идеи до производства, доработок и первых продаж занял 5 лет.

Ещё одним вызовом была необходимость обеспечить высокую производительность наших решений. NGFW требует мощного оборудования для обработки больших объёмов трафика, а это значит, что нужно было разрабатывать архитектуру, способную эффективно справляться с такими нагрузками.

Как обстояли дела с поставками комплектующих раньше и как это выглядит в 2024 году?

Понятно, что раньше логистика и поставки комплектующих были гораздо проще. Мы могли выбирать из широкого спектра зарубежных поставщиков, и это позволяло нам быстрее реализовывать наши идеи.

К 2024 году ситуация значительно поменялась. Ограничения на поставки комплектующих, рост цен и проблемы с логистикой стали вызовами для всей отрасли. Но российский рынок адаптировался: появились новые поставщики, развиваются локализованные производства, мы смогли выстроить надёжные цепочки поставок и создать большие запасы платформ на складах. Конечно, это требует больших усилий и затрат, но мы справляемся.

Вся ли схемотехника разрабатывается внутри компании?

На данный момент нет. Сейчас в список наших платформ входят B50, C150, C151, D250, FG и X10. Серии E и F пока базируются на зарубежных платформах, но мы активно работаем над их замещением — наши собственные платформы E1050, E2050, E3050 и F8050 сейчас активно тестируются и дорабатываются. К 2026 году эти платформы будут производиться в России на основе нашего дизайна и схемотехники.

Как вы оцениваете уровень локализации вашего производства?

Локализация у нас высокая. Мы разрабатываем дизайн и схемотехнику устройств, а производство осуществляется на контрактном заводе под Санкт‑Петербургом. Текстолит для плат заказывается у российских поставщиков, компоненты монтируются на производстве, там же осуществляются контроль качества, сборка и тестирование готового устройства.

Мы даже проводим экскурсии на завод для ключевых заказчиков, чтобы показать, как именно производится наше оборудование. Это помогает убедить их в том, что наши решения действительно соответствуют требованиям локализации и качества. К тому же это визит на производство действительно завораживает и оказывает сильное эмоциональное воздействие — всё же в отношении российских производителей существует большой скепсис, многие заказчики до сих пор уверены, что происходит просто переклеивание шильдика.

Какие функции реализованы в вашем новом NGFW?

UserGate NGFW включает широкий набор функций безопасности: ставший уже традиционным межсетевой экран с контролем состояния сессий (FW L3/L4), контроль приложений (FW L7), сетевой антивирус, целый блок функций Identity Firewall, который мы объединяем под названием User ID, и с помощью которого может связать сетевой трафик с конкретными пользователями. Также у нас есть джентльменский набор сетевых функций: статической и динамическая (BGP, OSPF, RIP) маршрутизация, VLAN, PBR, VRF, ECMP, BFD, WCCP, DHCP, QoS, резервирование канала и т. д. Они позволяют максимально безболезненно встроить NGFW в существующую инфраструктуру заказчика. Плюс функции отказоустойчивости (Active‑Passive, Active‑Active), централизованное управление, причем не только NGFW, но и всей нашей экосистемой (SIEM, EDR/NAC/VPN‑клиент).

Мы также поддерживаем интеграцию с Active Directory, LDAP, Samba, FreeIPA и другими системами, в том числе с помощью открытого API.

Какие компетенции требуются для работы с вашим NGFW?

Работа с NGFW требует базовых знаний в области сетевой безопасности, без этого никак не обойтись. Мы понимаем, что не все специалисты имеют достаточный опыт работы с нашим продуктом, поэтому создали целое подразделение, которое отвечает за образовательную деятельность — Академию UserGate. Там можно пройти обучение, сдать экзамены и получить сертификаты, которые признаются наравне с зарубежными аналогами, такими как Cisco.

Как осуществляется настройка NGFW?

Настройка может выполняться через веб‑интерфейс или CLI. CLI предоставляет расширенные возможности, включая использование нашего языка UserGate Policy Language для описания политик межсетевого экрана. Для IPS у нас предусмотрен отдельный язык настройки, что позволяет задавать правила с высокой степенью детализации.

Чего, на ваш взгляд, не хватает российским NGFW?

Основной вызов — достичь уровня функциональности и производительности лидирующих зарубежных решений. Хотя некоторые компании утверждают, что уже сделали это, правда такова, что догнать мировых лидеров с бюджетами с миллиарды долларов, научным потенциалом тысяч сотрудников и многолетним опытом решения задач крупнейших заказчиков из разных отраслей — задача нетривиальная. Но выполнимая. Мы активно работаем над увеличением производительности, расширением функциональности и расширением экосистемы продуктов. Нам важно, чтобы наши решения удовлетворяли запросы даже самых требовательных заказчиков. В новом NGFW для решения задач уровня ЦОД, который мы назвали UserGate Data Center Firewall, мы реализовали все наши новые наработки, в том числе векторный межсетевой экран на 130 тысяч правил. Выход продукта намечен на 2 квартал 2025 года.

Ваши решения представлены только в аппаратной версии или есть программные аналоги?

Мы предлагаем как аппаратные, так и виртуальные версии NGFW. Аппаратные апплайенсы востребованы в крупных компаниях, но мы видим рост интереса к виртуализированным решениям и Firewall as a Service. Активно сотрудничаем с провайдерами сервисов кибербезопасности (MSSP), выручка от этого сегмента показывает уверенный ежегодный рост.

Какие процессоры используются в ваших устройствах?

На данный момент мы используем процессоры x86 от Intel и AMD, а также ARM. Рассматривали возможность использования российских процессоров, таких как Байкал и Эльбрус, но их производительность пока не удовлетворяет нашим требованиям.

Рассматриваете ли вы переход на ARM‑процессоры?

Мы видим в этой архитектуре большой потенциал благодаря её энергоэффективности и гибкости. Планируем использовать ARM в будущих моделях, которые будут производиться в России.

Как вы оцениваете перспективы NGFW в России?

Сегмент NGFW уже самый большой из всех сегментов российского ИБ‑рынка. И он будет расти дальше, так как все больше заказчиков будут переходить с традиционных межсетевых экранов на продукты этого класса. Кроме этого, возникнет отложенный спрос, связанный с заменой зарубежного оборудования, особенно со стороны самых крупных заказчиков, так как срок службы сетевого оборудования обычно составляет 5–7 лет. Поставка в виде ПАК сохранит свою главенствующую роль, но мы видим растущий интерес к виртуализированным решениям, в том числе в виде сервисов, и их доля в общих поставках будет расти. Если оценивать наше положение на рынке, мы твердо стоим на ногах, уверены в своих силах и намерены и дальше сохранять статус лидера рынка, который подтвердило актуальное исследование рынка сетевой безопасности от Центра стратегических разработок.

На примере UserGate можно проследить трансформацию российского рынок сетевой безопасности от локальных решений до повсеместного участия в импортозамещении. Как понятно NGFW остаётся базовым элементом защиты современных сетей. По мере того как рынок отходил от традиционных межсетевых экранов, такие решения становятся не просто фильтрами трафика, а многофункциональными инструментами, способными анализировать поведение, предотвращать угрозы и интегрироваться с другими системами безопасности.

Перспективы использования ARM‑процессоров и перехода к более энергоэффективным и гибким архитектурам пока неясны, так как многие решения находятся на стадии тестирования. Однако я заметил тенденцию: уже несколько ИБ‑компаний пристально следят за процессорами на архитектуре ARM. Поэтому подождем и посмотрим. Спасибо за прочтение!