Привет, Хабр! Я Александр из OXYGEN Data Centers and Clouds. В статье ниже рассказываю про NGFW (Next-Generation Firewall) UserGate: как и почему это решение стало практически единственным на российском рынке NGFW и как живется нам с UserGate в 2025 году.
Поговорим отдельно про плюсы и минусы: что удалось пофиксить, а с чем приходится мириться до сих пор. А еще расскажу про то, как обстоят дела на рынке NGFW сейчас, какие новые решения уже готовятся потеснить UserGate и за счет чего. Будет интересно!
Введение: вакуум, который нужно было заполнить
До 2022 года российский рынок межсетевых экранов нового поколения (NGFW) был занят зарубежными вендорами, ключевых игроков было трое – Palo Alto Networks, Fortinet и Check Point. Российских аналогов, способных составить им полноценную конкуренцию, практически не существовало. Были решения класса UTM или гостовские шифраторы, но не полнофункциональные NGFW.
Весна 2022 года кардинально изменила ландшафт. Ведущие международные вендоры один за другим объявили о приостановке продаж и поддержки в России. Рынок, привыкший к проверенным решениям, оказался в шоковом состоянии. Из крупных игроков лишь Check Point остался «одной ногой» в стране, но его будущее виделось крайне неопределенным. У компаний возникла острая потребность в замене, ведь безопасность – это деньги.
Именно в этот момент на сцену вышел не слишком известный широкой публике российский вендор — UserGate.
В нужном месте в нужное время
История UserGate началась еще до 2022 года, когда компания разрабатывала прокси-решения для контроля доступа в интернет. Этот опыт стал фундаментом для быстрого создания полноценного NGFW-продукта. Пока другие отечественные разработчики только начинали пилить свои решения «с нуля», UserGate оперативно адаптировал уже существовавший продукт под новые рыночные требования. Вообще NGFW у UserGate существует с 2016, а разработка его началась еще раньше – в далеком уже 2009 году!
Для многих инженеров и интеграторов, включая и специалистов OXYGEN, UserGate в 2022 году стал «темным лошадкой». О нем мало кто слышал, а его прокси-прошлое не вызывало особого доверия. Однако выбора практически не было. Сравнительный анализ цен показал, что даже оставшийся Check Point был в среднем на 30% дороже своего российского аналога. А главное — сохранялись риски его полного ухода в любой момент.
Решение о партнерстве с UserGate было во многом вынужденным, но стратегическим. Мы, как и многие другие интеграторы, прошли обучение и начали первые внедрения. Одним из первых наших пилотов стал проект клиента, который как раз искал замену неустойчивому в тех условиях Check Point. UserGate предложил более привлекательную цену и главное — гарантию, что вендор не уйдет с рынка.
Взлет монополиста: маркетинг и необходимость
Стоит признать, что UserGate блестяще воспользовался сложившейся ситуацией. Вендор запустил мощную маркетинговую кампанию, позиционируя себя как единственного полноценного заменителя ушедших гигантов. И это сработало. За считанные месяцы продукт стал отраслевым стандартом де-факто.
Ключевые преимущества, которые определили его успех:
простота развертывания и управления. В отличие от более сложного с точки зрения архитектуры Check Point, где требуется отдельный менеджмент-сервер и специализированное ПО, развертывание UserGate сводится к нескольким кликам в веб-интерфейсе. Это напомнило многим привычный и любимый интерфейс Palo Alto;
весь функционал — в одной веб-консоли. Все настройки, от сетевых интерфейсов до политик безопасности, производятся в едином веб-интерфейсе. Изменения применяются мгновенно;
активное и отзывчивое комьюнити. UserGate создал одно из самых больших и активных профессиональных сообществ в Telegram. Тысячи инженеров помогают друг другу решать проблемы, а представители вендора оперативно реагируют на жалобы и запросы прямо в чате;
документация. Продукт хорошо документирован. Пошаговых руководств и гайдов по интеграции с другими системами достаточно для самостоятельного освоения.
Другая сторона этого стремительного взлета – фактическая монополия. К 2024 году UserGate занимал доминирующую позицию на рынке. Это позволило компании диктовать условия и, что самое заметное для клиентов, — ежегодно значительно повышать цены. Если в первый год покупки решение было выгоднее Check Point, то к третьему году эксплуатации его стоимость уже превышала затраты на израильский аналог. Объяснения вендора стандартны: рост штата разработчиков, удорожание компонентов и развитие продукта.
Суровая реальность эксплуатации: технические вызовы
Скажем сразу – идеальной картинки жизни с UserGate не получилось. Три года активной эксплуатации выявили ряд технических проблем, с которыми столкнулись и мы, и многие другие интеграторы.
Основные минусы UserGate:
нестабильность аппаратной платформы. Особенно это касается флагманской E-серии. Проблемы с жесткими дисками и RAID-контроллерами были массовыми. Кластеры из двух устройств для обеспечения отказоустойчивости могли выходить из строя одновременно из-за проблем с синхронизацией. Только к концу 2024 года вендор начал кампанию по замене HDD на SSD в рамках гарантийного обслуживания;
критическая проблема с IPsec VPN. Туннели "site-to-site" работают нестабильно: обрываются, не поднимаются или требуют постоянных «танцев с бубном» и ручных перезапусков. Проблема известна давно, но кардинального решения до сих пор нет;
завышенные требования к ресурсам. Если сравнивать параметры даташитов, то UserGate при той же производительности требует больших аппаратных ресурсов, чем конкуренты. Для замены, например, FortiGate с 4 ядрами и 8 ГБ ОЗУ зачастую требовался UserGate с 8 ядрами и 12-16 ГБ ОЗУ для аналогичной нагрузки.
Поддержка от вендора работает, но ее качество сильно зависит от статуса партнера. Как MSSP-партнер мы имеем приоритетный доступ в формате VIP-поддержки: прямое общение с инженерами, ускоренная реакция на критичные инциденты и оперативная замена оборудования. Для рядовых клиентов с базовой поддержкой сроки решения проблем могут быть значительно дольше.
Ландшафт меняется: на горизонте появились конкуренты
К 2024-2025 году на рынок начали выходить другие российские разработчики.
PT NGFW от Positive Technologies. Один из самых перспективных претендентов. Заявляет об экстремальной оптимизации и высокой производительности на скромном железе. Однако продукт в активной стадии развития: отсутствуют ключевые функции (например, VPN), а его заявленные преимущества лучше всего видны на тестах по методике самого вендора.
Solar NGFW от «Ростелеком-Солар». Крупный игрок с серьезными амбициями. Активно предлагает пилотные проекты.
Kaspersky NGFW от «Лаборатории Касперского». Известный вендор с опытом создания комплексных решений для кибербезопасности. Если судить по даташитам, продукт очень технологичный, с большим набором функций.
Другие решения: На втором эшелоне находятся такие продукты, как VipNet xFirewall (от «ИнфоТеКС»), Континент 4 (от «Код Безопасности») и Ideco NGFW. Пока они не составляют прямой конкуренции флагманам.
Появление конкуренции — благо для рынка. Это заставляет UserGate активнее развивать продукт (ходят слухи, что они наконец-то займутся решением проблем с VPN) и сдерживать аппетиты в ценообразовании.
Взгляд в будущее: что ждет рынок
Через три года после массового исхода зарубежных вендоров российский рынок NGFW все еще находится в стадии формирования. Ожидается, что он разделится на три эшелона:
Топ-лига: UserGate, PT NGFW, Kaspersky NGFW и, возможно, Solar NGFW.
Второй эшелон: Решения от крупных вендоров, специализирующихся на смежных областях (криптография, СЗИ).
Нишевые продукты.
Главный вопрос для всех — сертификация. ФСТЭК ужесточил требования именно к классу NGFW, и первым их новым требованиям соответствовал именно PT NGFW. Остальным вендорам, включая UserGate, предстоит доработать свои продукты для соответствия этим стандартам.
Несмотря на все трудности, UserGate совершил настоящую революцию. Он не только заполнил вакуум, но и создал целую экосистему и сообщество вокруг этой экосистемы.
Да, продукт далек от идеала, но он работает и закрывает базовые потребности в безопасности. А его главная заслуга в том, что он дал рынку время — время дождаться появления альтернатив и начать новую, уже здоровую конкурентную гонку.
Именно в этой гонке и рождаются по-настоящему качественные и стабильные продукты. Самое интересное для российского рынка NGFW только начинается.
Мы в OXYGEN за годы работы с UserGate обзавелись опытом укрощения этого продукта с минимизацией всех его недостатков. Поэтому клиентам мы готовы предоставить действительно лучшую версию отечественного NGFW – без «подводных камней», неожиданностей и с лучшей технической поддержкой. Все подробности, цены и варианты работы с NGFW собрали для вас по ссылке.
И подписывайтесь на канал OXYGEN в Telegram! Там есть главные новости из мира облаков, дата-центров и решений кибербезопасности, а еще мы там рассказываем про закулисную часть хранения и обработки данных. Такого вы в других каналах не найдете)
Комментарии (21)
novikovalejandro
13.10.2025 14:10И так начнем: 1) usergate не умеет делать несколько шлюзов по умолчанию для нескольких VRF хотя они заявляют что это "виртуальные маршрутизаторы с изоляцией на уровне сети" 2) не умеет работать со службой dns, ntp кроме как для маршрутизатора по умолчанию. 3) политики ids применяются только на уровне файрволла, а встроенный reverse proxy пропускает все и вся. 4) журналирование для встроенных служб не работает. Ну как не работает разрешенные пакеты регистрирует,отброшенные нет.единстаення фишка это веб портал. Огромная надежда на нового игрока - ngfw от Касперского который умерет пыл и жадность текущих игроков рынка!
Andreich95
13.10.2025 14:10У нас стоит UG, не советую его использовать, особенно когда вы работаете со своими серверами.
mad_cat_prog
13.10.2025 14:10а чем вам Ideco не подошел? Обновились на 21-ю в инфре, маршрутизация хорошо управляется на новом стеке у них. Да и по остальным упомянутым вами пунктам проблем нет.
YaroKam
13.10.2025 14:10А кто может про NGFW ИКС сказать? Используем их программу ИКС в качестве межсетевого экрана давно, теперь они свои решения ПАК предлагают. Для бюджетных организаций вроде бы цена не заоблачная...
Volodaka
13.10.2025 14:10Топ-лига: UserGate, PT NGFW, Kaspersky NGFW и, возможно, Solar NGFW.
Топовых решений в инфраструктуру этому господину
Andreich95
13.10.2025 14:10У нас на работе стоит это добро! Если вы не умеете его настраивать, то лучше не ставить, это палки в колёса
xBrowser
13.10.2025 14:10Я лишь тезисно опишу с чем мы столкнулись при запуске и эксплуатации ПАК D500 и, естественно, не решили
Космические цены на решения из двух ПАК D500 в кластере с необходимыми лицензиями, в то время как ПАКи, мягко говоря, не блещут производительностью. В них стоят магнитные накопители, не особо производительные процессоры. Мы отвалили что-то вроде 4млн за эти два заурядных писишника. Например, не настроенная железка с завода в простое может занимать 60-80% CPU.
Обновление ПАК может длиться часами, а иногда и вовсе не завершиться успешно. Реанимационная бригада должна дежурить прям в серверной, которой самой в пору вызывать реанимационную бригаду в период ожидания. Обновление между версиями иногда требует настройки с нуля, конфигурации не всегда совместимы.
"Кластер" UG это по факту не кластер, это VRRP ("кластер" отказоустойчивости в терминологии вендора) + синхронизатор не всей конфигурации, а только ее части. Часть настроек вроде IP-адресации - не синхронизируются. Отсюда вытекает главная беда - вы не сможете полноценно использовать VRRP-адрес как адрес кластера, т.к. зачастую нода будет "долбить" со своего собственного адреса, а не с адреса VRRP. Плюс собственный трафик устройства, зачастую, ходит каким-то непредсказуемым образом, его не видно в логах и многие вещи вообще не поддаются конфигурации и воздействию.
VPN стал самой большой болью в нашем сетапе. Было поднято ikev1 потому, что внезапно ikev2 на ластовых прошивках и не поддерживал psk. Заработал он не сразу, без бубна не обошлось. Когда заработал начали накидывать префиксы. Оказывается, он поддерживает только одну пару защищаемых префиксов и барабанная дробь (!) - вы не пропишите 0.0.0.0/0, т.к. это тоже не поддерживается. Ответ поддержки: -"А зачем вам?". Есть признанный нерешаемым вендором тикет.
Софт, который именитый вендор не назовет даже альфой - тут идет в прод как "стабильный". Многие лютые, общеизвестные баги не решаются даже с выходом новых прошивок, например с недавним не отображением логов. Зато подъезжает вагон новых. Это сюр, каждую новую прошивку в чате бедолаги-админы вынюхивали друг у друга, отображаются ли теперь логи или ещё нет.
Сумасшедшее время тратится на внедрение и поддержку. У нас запуск с учетом пары вылетов на локацию занял около 4 месяцев. В итоге от греха никакие опции ngfw мы даже не включили, т.к. он не справляется даже с базовыми функциями вроде VPN. В таком режиме его заменил бы микротик тысяч за 50. Ну ок, можно было бы поставить 2 штуки в VRRP за 100к. Там бы и VPN заработал как часы даже под высокой нагрузкой. Был бы предсказуемый packet flow и stateful firewall.
Проблемы с NAT. Часть трафика пролезает сквозь правило, не подпадая по NAT, хотя через правило должен проходить весь трафик. Есть признанный нерешаемым вендором тикет.
Часть собственного трафика железки не подлежит переопределению. Например, порт управления консолью администратора. Там есть прям целый диапазон портов, с которыми вы ничего не сможете сделать. И логично предположить, что на форвардинге такого не будет? Будет! Вы не сможете сделать форвардинг на какой-то внутренний сервак пока не займете UG внешний адрес в directly connected сегменте. Иначе правило форвардинга просто не заработает. То есть ПО UG до ластовой версии не в силах включать proxy-arp для определенных адресов из правил файервола.
Тикеты в поддержку, в которых они признаются, что не могут не чем помочь и проблема не решаема - через некоторое время автоматически помечаются в системе как решенные. Наверное, именно поэтому такой подход к новому софту. Нуаче, если в трекере все решено, то зачем париться над ПО?
И много чего ещё. В итоге уже обосновали замену на fortigate.
tpedko
13.10.2025 14:10Добавлю отсебятины.
Глючный софт, каждый релиз велика вероятность то что работало без проблем, сломается. Чинить это будут до следующего релиза это ± пару месяцев. И не факт что починят. Как ты будешь решать проблему, в целом UG не волнует.
Уже не раз просили в известном телеграм чате UG чтобы они сосредоточились не на новых фичах (привет 7.4), а на чистке багов. Но нет, вендор до сих пор не слышит.
Стабильность работы, это отдельная наверно тема. Коробка может сама по себе утилизировать CPU на 100%, съесть всю память и swap и ребутнуться. ТП в ответ разведет руками с обещаниями починить в следующем релизе. Какой нить mikrotik с его бета версий работает гораздо стабильнее.
Поддержка порой чудит, может по нескольку раз пытаться закрыть не решенный тикет. SLA на простых проблемах еще работает, что сложное это уже мимо.
Сотрудники UG все время обещают что вот вот в следующем релизе все проблемы решим, но по факту получается далеко не так.
До сих пор на 7 версии софта нет реально стабильной версии, любая версия не дает расслабиться
Платформа на которой собираются UG, это старое Г 2015-16 года которое можно купить за пачку сухарей, но они продают за бешенные деньги.
Обновление коробок, тоже игра в рулетку. Обновление 3х одинаковых коробок может занимать разное время. ТП может легко предложить сбросить в ноль и заново настроить железку.
По итогу 10 месячного внедрения и порядка 40 заведенных тикетов, решено возвращать оборудование и смотреть не российского вендора.
Может быть через пару лет если в UG что то поменяется, то это будет интересный продукт. Но к тому времени подтянутся другие игроки российского рынка и будут ли они конкурентные это вопрос.
xBrowser
13.10.2025 14:10Мы тоже попытались вернуть оборудование, но поставщик после консультации с заводом отказался, т.к. в свою очередь завод отказался принимать оборудование. Есть опыт возврата?
diksrv
13.10.2025 14:10Чекпоинт сложен лишь на первый взгляд. Уж извините но до него как до луны. Единственный повод с него уходить - требования регуляторов. Чем крупнее инфраструктура - тем больше понимаешь насколько он удобен. Политика единая для нескольких кластеров например(пограничный+ядро), шикарная отказоустойчивость ClusterXL, справляется с логированием практически всего трафика.. Site2site работает настолько стабильно, что порой забываешь про них.
Юзергейт смотрели в 22 году - было очень сыро.
Ideco NGFW - довольно динамично развивается, но глюков хватает.
Eltex ESR FSTEC с натяжкой можно отнести к NGFW, настройку через CLI оценят старперы)
xmagsoft
13.10.2025 14:10Usergate один из самых больших глюков современного ПО. Последняя версия которая была стабильна это 6. За последние два года я не получил от UG ни одной нормальной сборки!
Десятки тикетов, последние 3 месяца компания не смогла предоставить ничего рабочего (не смотря на общение с ведущими менеджерами). Как нибудь выкрою время и напишу большую статью где я, хочу видеть данное ПО и списки всех тикетов, ответов и прочее, прочее. При попытке вернуть все это ( с-100, с-150, два D-200 что должны были работать в кластер и обеспечивать стабильность)... Тишина , в то же время, что они не могут предоставить мне стабильную версию с момента выхода 7 версии. UserGate это Зря выкинутые деньги. Да, пользуюсь UG более 5 лет, посление два года безуспешно.
MGren
13.10.2025 14:10Это скорее UG не конкурент Ideco, а не наоборот. :)
nolirpaf
13.10.2025 14:10чуть меньше лагает?))
На днях скачал версию novum или как ее там.
Попробовал добавить собственную сигнатуру в сурикату, правило создалось. а при добавление в профиль меня накормили портянкой js ошибок)) Так и не смог добавить)
mad_cat_prog
Не ожидал увидеть настолько некомпетентную статью от вроде достаточно крупной компании:
а) автор статьи совсем не разбирается в сертификации ФСТЭК и тем более не в курсе, кто первым смог сертифицироваться из Российских вендоров, да и вцелом абзац про сертификацию предвзят
б) можно узнать у автора, если он конечно не ИИ, что за продукт iCore NGFW (от «АйДек») о котором не знает ни один поисковик в сети? Если настолько некомпетентно было изкажено название компании и продукта Ideco, то это воистину статья позорящая сам Oxygen Cloud Platform, их отдел маркетинга и ответственного за статью технического специалиста
... хотел написать объемную портянку из ряда пунктов, но решил остановиться и оставить только один еще в) учитывая низкую техническую компетентность статьи, оторванную от реальности, крайне не рекомендую пользоваться услугами Oxygen Cloud Platform - ибо предположу, что уровень их как интегратора примерно такой как уровень написанной ими статьи.
Shaman_RSHU
Сразу бросилось в глаза VipNet вместо ViPNet - кто действительно в курсе данной темы, тот знает почему и где заглавные :)
OxygenDC
Спасибо вам за развернутый комментарий и отдельное спасибо, что заметили и обратили наше внимание на ошибку с Ideco! Исправили. С другой стороны, вы вот написали "вцелом" и "изкажено", но от этого ваш комментарий не стал менее ценным для читателей и для нас, да и ваши компетенции от этого не пострадали. Так признаем же право друг друга на ошибки? :)
По поводу ФСТЭКа - подскажите, кто первый смог пройти процедуру сертификации по новым требованиям ФСТЭК, предъявляемым к многофункциональным межсетевым экранам уровня сети?
И про наши компетенции - вызов принят!
Мы пару раз в год проводим в нашем дата-центре различные митапы, в том числе посвященные ИБ. Приглашаем вас на первое же мероприятие в 2026, в числе первых гостей. Там вы и с нашими компетенциями познакомитесь — мы кулуарно разбираем кейсы, без "воды", и в дискуссиях с другими участниками пообщаетесь, и по ЦОДу погуляете с экскурсией, оцените наш подход к делу, и даже выступите со своим кейсом, если есть что сказать. Или нас со сцены поругаете, мы конструктивной критике со стороны профессионалов всегда рады.
Пишите в личку, состыкуемся, серьезно.