К сожалению, ФСТЭК России сертифицирует конкретные конфигурации решений и не подразумевает возможности собирать произвольные конфигурации из отдельных «пакетов» по своему усмотрению.
Справедливости ради стоит сказать, что сам термин NGFW появился еще в 2008 году, прижился на рынке и с тех пор, несмотря на солидный возраст, активно применяется для описания сетевых средств защиты подобного класса. Причем во всем мире ). Это не в плане «поумничать» )), а скорее про то, что мы используем общепринятую терминологию. Ни больше ни меньше! )
Добрый день! Мы согласны, что выбор - это всегда хорошо ). Но если вдруг Вы захотите протестировать наши решения и составить для себя более объективную картину, то с удовольствием Вам их предоставим: https://ngfw.usergate.com
Спасибо за Ваш комментарий. Но по Вашими пожеланиям требуются некоторые уточнения:
1. Что Вы понимаете под прозрачной? И под потоковой? Сейчас какая?
2. В чем сейчас негибкость и непрозрачность кастомизированных правил? И что не так с текущими структурами?
3. Над потоковой дешифровкой без задержек мы сейчас активно работаем. В том числе с применением специализированных сопроцессоров.
4. 120 Гбит/с на EMIX можно считать потоковой?
5. Не очень понятна цель описанных действий? Для горизонтального масштабирования есть другие способы.
6. Обещаем подумать над подобной функциональностью, если объясните зачем она нужна?
7. Мы в процессе переработки документации. Но если подскажете, что именно не устраивает в текущей и к чему нам стоит стремиться, то будем очень благодарны.
1. У нас есть модели с 2 блоками питания с горячей заменой и 6 вентиляторами с горячей заменой, причем их можно поставить как на вдув, так и на выдув. В слот расширения для сетевых карт (NIC) аппаратных платформ серий D можно поставить 4 х SFP+ 10 Гбит/с, в 3 слота в серии E - до 12 SFP+ 10 Гбит/с, доступны и карты 2 x QSFP28 100 Гбит/с. У серии F - 4 встроенных порта SFP+ и 6 слотов расширения, можно поставить до +24 SFP+. В платформе FG с аппаратным ускорением 16 встроенных SFP+ и 2 QSFP28.
2. Мы используем свою ОС на базе Линукса. Есть полноценный CLI.
3. SMTP с DKIM у нас нет (.
4. BGP, OSPF есть. Сетевую маршрутизацию делаем свою, но многие функции аналогичны FRR.
5. Не очень понятны Ваши критерии "человечности" лица DNS...)) Но у нас есть фильтрация DNS-запросов.
6. Нет. Как ответил комментатор ниже, тогда дистрибутив перестанет быть «православным» ).
Маркетолога, конечно же,... уволим наградим! ) А иначе как бы мы подняли все эти насущные проблемы и смогли бы получить от Вас столько полезной для размышления и исправления информации? )
Теперь давайте по пунктам:
Технические статьи тоже будут. Причем не только про продукты. Не судите строго, мы только настраиваемся на верный лад, ищем темы и авторов. Все будет. В том числе с Вашей помощью ).
Дата-шиты и сайт в процессе модернизации. Скоро все будет красиво и по делу. Работаем над этим!
Спасибо ваш за ответ и пояснения! Правильно мы понимаем, что вы настаиваете на том, что на странице с нашим предложением для КИИ должно остаться только 3 наших аппаратных платформы - F8000 и F8010 для UserGate NGFW и F25 для UserGate Log Analyzer? Так как именно они являются «доверенным ПАК» (согласно ПП1912»), которые можно закупать КИИ после 1 сентября 2024 года, так как сейчас только они включены в «Единый реестр российской радиоэлектронной продукции».
Объясните, пожалуйста, почему закупка оборудования после 1 сентября 2024 года как-то ограничивает нас для поставок в объекты КИИ? В ПП 1912 указано, что переход объектами КИИ на доверенные ПАКи осуществляется в срок до 2030 года. Как видите, мы активно работаем в этом направлении, уже добавив в реестр 3 позиции. При этом F8000 и F8010 – мощные 2U платформы, способные работать под нагрузкой уровня ЦОДа. Реестр РЭП является одним из методов получения заключения Минпромторга о соответствии производства продукции на территории РФ. Всего есть три пути: Акт (по ПП 719), СТ-1 и ТОРП (реестр РЭП по ПП 878). Путь выбирается исходя из кода продукции. У нас информационная безопасность, поэтому для нас большее значение имеет ПП 719. Также сейчас активно объединяют реестр ЕРРРП и РЭП, и возможно, ПП 1912 скорректируют формулировки.
Добрый день! Спасибо за вопрос! Да, субъекты КИИ являются одними из потенциальных клиентов. Но не единственными. К нам обращаются компании, не относящиеся с КИИ. Причина — даже если есть возможность покупать зарубежные NGFW, есть риск, что это не навсегда, и заказчики активно прорабатывают план Б. В том числе зарубежные компании, которые до сих пор работают в РФ и пока используют решения из нейтральных к России стран. В настоящее время в Реестр Минпромторга внесены 4 модели для UserGate NGFW: C150, F8000, F8010, FG (c аппаратным ускорением) и 1 для UserGate Log Analyzer – F25. Платформы F8000, F8010 и FG являются самыми производительными в линейке, подходят под требования крупных заказчиков, обязанных выполнить указ №250. F8000 и FG уже доступны для закупки, F8010 официально начнет поставляться с февраля 2025, но в виде исключения можно обсуждать поставки уже в этом году. Модели D200, D500, E1000, E1010, E3000, E3010 будут внесены в Реестр Минпромторга до конца 2024 года, модели X10, B50, C151, D250 – в 1 квартале 2025. Одна из фич платформы FG – объединение с другими моделями для создания устройства из нескольких платформ (серия G) с разделением data plane и control plane. Работает и управляется как единое целое. Например, можно объединить FG c F8010 для создания устройства G9800 с производительностью 300+ Гбит/с в режиме statefull firewall на трафике EMIX. Цифры предварительные, так как еще проводим доводку и тестирования. Поэтому наша страница «специально для объектов КИИ» хоть и несколько устарела (работаем над новой версией сайта), но сам UserGate NGFW использоваться в КИИ может.
С одно стороны да, это так. С другой — такие решения нужно сначала разработать, а потом развивать и поддерживать, так как требования заказчика растут, ИТ-среда изменяется, а конкуренты не сидят на месте. С точки зрения инвестиций и возврата на капитал, это очень затратная история. Мы потратили 5 лет и круглую сумму, чтобы сделать свою схемотехнику платформ, интегрировать туда FPGA, написать для него свой код, нанять для этого редких и дорогостоящих экспертов, а потом удерживать их в команде. Гораздо легче было бы масштабировать стандартную и простую технологию, и просто отгружать что есть, ничего не меняя.
Спасибо за то, что вы провели с нами 8 лет. Просим прощения, что наш продукт доставил вам описанные выше неудобства. За последние 2 года мы провели целый ряд организационных изменений, нацеленных на повышение качества разработки и работы технической поддержки. Около 70% ресурса разработки сейчас тратится на повышение стабильности работы и закрытие технического долга. Посмотрите, пожалуйста, изменения в последних версиях NGFW 7 в нашей Базе знаний: https://docs.usergate.com/izmeneniya-v-ngfw-7-243/ Если там нет решение тех проблем, которые вы описали, можете написать нам, что конкретно не работает, и/или прислать тикеты из техподдержки. Здесь или в личке - как Вам будет удобнее!
Добрый день! Спасибо за комментарий! Да, вы правы, есть случаи, когда большое количество правил - следствие особенностей бизнес-процессов организации: новые правила МЭ создаются по заявке, а старые скапливаются и не удаляются. Но это данность, которая выражается в требованиях заказчиков по обработке десятков тысяч правил. И теперь мы можем им соответствовать.
Спасибо за вопрос. Да, действительно, с кластером возникали проблемы. 8 ноября 2024 мы выпустили бету версии 7.2, в которой уделили большое внимание исправлению ошибок, в том числе связанных с кластером отказоустойчивости. Планируем перевести 7.2 в стабильный релиз в конце ноября. Посмотреть подробный список изменений в 7.2 и предыдущих версиях можно здесь - https://docs.usergate.com/usergate-720(build-72060375r-07112024)_1588.html
Сожалеем, если у вас был неприятный опыт общения с нашей технической поддержкой. В 2022-23 году количество запросов на наш NGFW выросло в несколько десятков раз, и нас немного задедосили. В прошлом году мы сменили тикетную систему, штат техподдержки значительно расширен, появлась отдельная команда по ЧС, которая оперативно делает патчи. Если ваши тикеты остались без ответа, пришлите его сюда, пожалуйста. Мы найдем их и скажем, что с ним случилось.
Верить или не верить видео – это Ваше абсолютное право! Сами такие – предпочитаем все проверять)). Если есть желание протестировать самостоятельно, в лаборатории одного из партнеров или у нас, пожалуйста, обращайтесь. Все покажем и расскажем! )
По поводу Вашей проблемы – пришлите, пожалуйста, номер тикета (сюда или в личку). Окажем максимальное содействие в ее разрешении.
FPGA реализован в платформе G9300. Нужно смотреть на тест по производительности файервола L3/L4 для этой модели, так как сейчас FPGA ускоряет только это функцию. В 2025 году ускоряться будут также функции контроля приложений и IPS. Низкую загрузку CPU видно в ролике примерно с 1:37:30. Утилизация CPU - около 40%, при скорости FW L3/L4 - 80 Гбит/с, на трафике EMIX.
Насколько мы поняли вопрос, речь идет о Elephant flows - продолжительных и очень тяжелых по весу (в байтах) потоках трафика, которые перегружают CPU. В наших старших устройствах используется аппаратный ускоритель на базе FPGA, который с такими потоками легко справляется.
К сожалению, ФСТЭК России сертифицирует конкретные конфигурации решений и не подразумевает возможности собирать произвольные конфигурации из отдельных «пакетов» по своему усмотрению.
Справедливости ради стоит сказать, что сам термин NGFW появился еще в 2008 году, прижился на рынке и с тех пор, несмотря на солидный возраст, активно применяется для описания сетевых средств защиты подобного класса. Причем во всем мире ).
Это не в плане «поумничать» )), а скорее про то, что мы используем общепринятую терминологию. Ни больше ни меньше! )
Добрый день!
Мы согласны, что выбор - это всегда хорошо ).
Но если вдруг Вы захотите протестировать наши решения и составить для себя более объективную картину, то с удовольствием Вам их предоставим: https://ngfw.usergate.com
Спасибо за Ваш комментарий. Но по Вашими пожеланиям требуются некоторые уточнения:
1. Что Вы понимаете под прозрачной? И под потоковой? Сейчас какая?
2. В чем сейчас негибкость и непрозрачность кастомизированных правил? И что не так с текущими структурами?
3. Над потоковой дешифровкой без задержек мы сейчас активно работаем. В том числе с применением специализированных сопроцессоров.
4. 120 Гбит/с на EMIX можно считать потоковой?
5. Не очень понятна цель описанных действий? Для горизонтального масштабирования есть другие способы.
6. Обещаем подумать над подобной функциональностью, если объясните зачем она нужна?
7. Мы в процессе переработки документации. Но если подскажете, что именно не устраивает в текущей и к чему нам стоит стремиться, то будем очень благодарны.
Спасибо за Ваш список требований! )
Отвечаем по порядку:
1. У нас есть модели с 2 блоками питания с горячей заменой и 6 вентиляторами с горячей заменой, причем их можно поставить как на вдув, так и на выдув. В слот расширения для сетевых карт (NIC) аппаратных платформ серий D можно поставить 4 х SFP+ 10 Гбит/с, в 3 слота в серии E - до 12 SFP+ 10 Гбит/с, доступны и карты 2 x QSFP28 100 Гбит/с. У серии F - 4 встроенных порта SFP+ и 6 слотов расширения, можно поставить до +24 SFP+. В платформе FG с аппаратным ускорением 16 встроенных SFP+ и 2 QSFP28.
2. Мы используем свою ОС на базе Линукса. Есть полноценный CLI.
3. SMTP с DKIM у нас нет (.
4. BGP, OSPF есть. Сетевую маршрутизацию делаем свою, но многие функции аналогичны FRR.
5. Не очень понятны Ваши критерии "человечности" лица DNS...)) Но у нас есть фильтрация DNS-запросов.
6. Нет. Как ответил комментатор ниже, тогда дистрибутив перестанет быть «православным» ).
Спасибо за обратную связь!
Маркетолога, конечно же,...
уволимнаградим! ) А иначе как бы мы подняли все эти насущные проблемы и смогли бы получить от Вас столько полезной для размышления и исправления информации? )Теперь давайте по пунктам:
Технические статьи тоже будут. Причем не только про продукты. Не судите строго, мы только настраиваемся на верный лад, ищем темы и авторов. Все будет. В том числе с Вашей помощью ).
Дата-шиты и сайт в процессе модернизации. Скоро все будет красиво и по делу. Работаем над этим!
Добрый день!
Да, конечно: https://www.masterlab.ru/news/15058.html
Решающим для всех является заключение МПТ. Оно у нас есть. Внесение во все реестры происходит на его основании.
Спасибо ваш за ответ и пояснения!
Правильно мы понимаем, что вы настаиваете на том, что на странице с нашим предложением для КИИ должно остаться только 3 наших аппаратных платформы - F8000 и F8010 для UserGate NGFW и F25 для UserGate Log Analyzer? Так как именно они являются «доверенным ПАК» (согласно ПП1912»), которые можно закупать КИИ после 1 сентября 2024 года, так как сейчас только они включены в «Единый реестр российской радиоэлектронной продукции».
Объясните, пожалуйста, почему закупка оборудования после 1 сентября 2024 года как-то ограничивает нас для поставок в объекты КИИ? В ПП 1912 указано, что переход объектами КИИ на доверенные ПАКи осуществляется в срок до 2030 года. Как видите, мы активно работаем в этом направлении, уже добавив в реестр 3 позиции. При этом F8000 и F8010 – мощные 2U платформы, способные работать под нагрузкой уровня ЦОДа.
Реестр РЭП является одним из методов получения заключения Минпромторга о соответствии производства продукции на территории РФ. Всего есть три пути: Акт (по ПП 719), СТ-1 и ТОРП (реестр РЭП по ПП 878). Путь выбирается исходя из кода продукции. У нас информационная безопасность, поэтому для нас большее значение имеет ПП 719.
Также сейчас активно объединяют реестр ЕРРРП и РЭП, и возможно, ПП 1912 скорректируют формулировки.
Добрый день!
Спасибо за вопрос! Да, субъекты КИИ являются одними из потенциальных клиентов. Но не единственными. К нам обращаются компании, не относящиеся с КИИ. Причина — даже если есть возможность покупать зарубежные NGFW, есть риск, что это не навсегда, и заказчики активно прорабатывают план Б. В том числе зарубежные компании, которые до сих пор работают в РФ и пока используют решения из нейтральных к России стран.
В настоящее время в Реестр Минпромторга внесены 4 модели для UserGate NGFW: C150, F8000, F8010, FG (c аппаратным ускорением) и 1 для UserGate Log Analyzer – F25. Платформы F8000, F8010 и FG являются самыми производительными в линейке, подходят под требования крупных заказчиков, обязанных выполнить указ №250. F8000 и FG уже доступны для закупки, F8010 официально начнет поставляться с февраля 2025, но в виде исключения можно обсуждать поставки уже в этом году. Модели D200, D500, E1000, E1010, E3000, E3010 будут внесены в Реестр Минпромторга до конца 2024 года, модели X10, B50, C151, D250 – в 1 квартале 2025.
Одна из фич платформы FG – объединение с другими моделями для создания устройства из нескольких платформ (серия G) с разделением data plane и control plane. Работает и управляется как единое целое. Например, можно объединить FG c F8010 для создания устройства G9800 с производительностью 300+ Гбит/с в режиме statefull firewall на трафике EMIX. Цифры предварительные, так как еще проводим доводку и тестирования.
Поэтому наша страница «специально для объектов КИИ» хоть и несколько устарела (работаем над новой версией сайта), но сам UserGate NGFW использоваться в КИИ может.
Спасибо! Мы стараемся! )
В целом, считаем, что конкуренция - это хорошо. Производителей держит в тонусе, а заказчику дает выбор.
С одно стороны да, это так. С другой — такие решения нужно сначала разработать, а потом развивать и поддерживать, так как требования заказчика растут, ИТ-среда изменяется, а конкуренты не сидят на месте. С точки зрения инвестиций и возврата на капитал, это очень затратная история. Мы потратили 5 лет и круглую сумму, чтобы сделать свою схемотехнику платформ, интегрировать туда FPGA, написать для него свой код, нанять для этого редких и дорогостоящих экспертов, а потом удерживать их в команде. Гораздо легче было бы масштабировать стандартную и простую технологию, и просто отгружать что есть, ничего не меняя.
Спасибо за то, что вы провели с нами 8 лет. Просим прощения, что наш продукт доставил вам описанные выше неудобства. За последние 2 года мы провели целый ряд организационных изменений, нацеленных на повышение качества разработки и работы технической поддержки. Около 70% ресурса разработки сейчас тратится на повышение стабильности работы и закрытие технического долга. Посмотрите, пожалуйста, изменения в последних версиях NGFW 7 в нашей Базе знаний: https://docs.usergate.com/izmeneniya-v-ngfw-7-243/ Если там нет решение тех проблем, которые вы описали, можете написать нам, что конкретно не работает, и/или прислать тикеты из техподдержки. Здесь или в личке - как Вам будет удобнее!
Добрый день! Спасибо за комментарий! Да, вы правы, есть случаи, когда большое количество правил - следствие особенностей бизнес-процессов организации: новые правила МЭ создаются по заявке, а старые скапливаются и не удаляются. Но это данность, которая выражается в требованиях заказчиков по обработке десятков тысяч правил. И теперь мы можем им соответствовать.
Спасибо за вопрос. Да, действительно, с кластером возникали проблемы. 8 ноября 2024 мы выпустили бету версии 7.2, в которой уделили большое внимание исправлению ошибок, в том числе связанных с кластером отказоустойчивости. Планируем перевести 7.2 в стабильный релиз в конце ноября. Посмотреть подробный список изменений в 7.2 и предыдущих версиях можно здесь - https://docs.usergate.com/usergate-720(build-72060375r-07112024)_1588.html
Сожалеем, если у вас был неприятный опыт общения с нашей технической поддержкой. В 2022-23 году количество запросов на наш NGFW выросло в несколько десятков раз, и нас немного задедосили. В прошлом году мы сменили тикетную систему, штат техподдержки значительно расширен, появлась отдельная команда по ЧС, которая оперативно делает патчи. Если ваши тикеты остались без ответа, пришлите его сюда, пожалуйста. Мы найдем их и скажем, что с ним случилось.
Верить или не верить видео – это Ваше абсолютное право! Сами такие – предпочитаем все проверять)).
Если есть желание протестировать самостоятельно, в лаборатории одного из партнеров или у нас, пожалуйста, обращайтесь. Все покажем и расскажем! )
По поводу Вашей проблемы – пришлите, пожалуйста, номер тикета (сюда или в личку). Окажем максимальное содействие в ее разрешении.
Можно еще пошерстить базу знаний (https://docs.usergate.com/243/#usergate-720(build-72060375r-07112024)). Возможно, ваша проблема уже давно решена в одном из релизов.
FPGA реализован в платформе G9300. Нужно смотреть на тест по производительности файервола L3/L4 для этой модели, так как сейчас FPGA ускоряет только это функцию. В 2025 году ускоряться будут также функции контроля приложений и IPS. Низкую загрузку CPU видно в ролике примерно с 1:37:30. Утилизация CPU - около 40%, при скорости FW L3/L4 - 80 Гбит/с, на трафике EMIX.
Насколько мы поняли вопрос, речь идет о Elephant flows - продолжительных и очень тяжелых по весу (в байтах) потоках трафика, которые перегружают CPU. В наших старших устройствах используется аппаратный ускоритель на базе FPGA, который с такими потоками легко справляется.