Привет, Хабр! Я Александр из OXYGEN Data Centers and Clouds. В статье ниже рассказываю про NGFW (Next-Generation Firewall) UserGate: как и почему это решение стало практически единственным на российском рынке NGFW и как живется нам с UserGate в 2025 году.
Поговорим отдельно про плюсы и минусы: что удалось пофиксить, а с чем приходится мириться до сих пор. А еще расскажу про то, как обстоят дела на рынке NGFW сейчас, какие новые решения уже готовятся потеснить UserGate и за счет чего. Будет интересно!
Введение: вакуум, который нужно было заполнить
До 2022 года российский рынок межсетевых экранов нового поколения (NGFW) был занят зарубежными вендорами, ключевых игроков было трое – Palo Alto Networks, Fortinet и Check Point. Российских аналогов, способных составить им полноценную конкуренцию, практически не существовало. Были решения класса UTM или гостовские шифраторы, но не полнофункциональные NGFW.
Весна 2022 года кардинально изменила ландшафт. Ведущие международные вендоры один за другим объявили о приостановке продаж и поддержки в России. Рынок, привыкший к проверенным решениям, оказался в шоковом состоянии. Из крупных игроков лишь Check Point остался «одной ногой» в стране, но его будущее виделось крайне неопределенным. У компаний возникла острая потребность в замене, ведь безопасность – это деньги.
Именно в этот момент на сцену вышел не слишком известный широкой публике российский вендор — UserGate.
В нужном месте в нужное время
История UserGate началась еще до 2022 года, когда компания разрабатывала прокси-решения для контроля доступа в интернет. Этот опыт стал фундаментом для быстрого создания полноценного NGFW-продукта. Пока другие отечественные разработчики только начинали пилить свои решения «с нуля», UserGate оперативно адаптировал уже существовавший продукт под новые рыночные требования. Вообще NGFW у UserGate существует с 2016, а разработка его началась еще раньше – в далеком уже 2009 году!
Для многих инженеров и интеграторов, включая и специалистов OXYGEN, UserGate в 2022 году стал «темным лошадкой». О нем мало кто слышал, а его прокси-прошлое не вызывало особого доверия. Однако выбора практически не было. Сравнительный анализ цен показал, что даже оставшийся Check Point был в среднем на 30% дороже своего российского аналога. А главное — сохранялись риски его полного ухода в любой момент.
Решение о партнерстве с UserGate было во многом вынужденным, но стратегическим. Мы, как и многие другие интеграторы, прошли обучение и начали первые внедрения. Одним из первых наших пилотов стал проект клиента, который как раз искал замену неустойчивому в тех условиях Check Point. UserGate предложил более привлекательную цену и главное — гарантию, что вендор не уйдет с рынка.
Взлет монополиста: маркетинг и необходимость
Стоит признать, что UserGate блестяще воспользовался сложившейся ситуацией. Вендор запустил мощную маркетинговую кампанию, позиционируя себя как единственного полноценного заменителя ушедших гигантов. И это сработало. За считанные месяцы продукт стал отраслевым стандартом де-факто.
Ключевые преимущества, которые определили его успех:
простота развертывания и управления. В отличие от более сложного с точки зрения архитектуры Check Point, где требуется отдельный менеджмент-сервер и специализированное ПО, развертывание UserGate сводится к нескольким кликам в веб-интерфейсе. Это напомнило многим привычный и любимый интерфейс Palo Alto;
весь функционал — в одной веб-консоли. Все настройки, от сетевых интерфейсов до политик безопасности, производятся в едином веб-интерфейсе. Изменения применяются мгновенно;
активное и отзывчивое комьюнити. UserGate создал одно из самых больших и активных профессиональных сообществ в Telegram. Тысячи инженеров помогают друг другу решать проблемы, а представители вендора оперативно реагируют на жалобы и запросы прямо в чате;
документация. Продукт хорошо документирован. Пошаговых руководств и гайдов по интеграции с другими системами достаточно для самостоятельного освоения.
Другая сторона этого стремительного взлета – фактическая монополия. К 2024 году UserGate занимал доминирующую позицию на рынке. Это позволило компании диктовать условия и, что самое заметное для клиентов, — ежегодно значительно повышать цены. Если в первый год покупки решение было выгоднее Check Point, то к третьему году эксплуатации его стоимость уже превышала затраты на израильский аналог. Объяснения вендора стандартны: рост штата разработчиков, удорожание компонентов и развитие продукта.
Суровая реальность эксплуатации: технические вызовы
Скажем сразу – идеальной картинки жизни с UserGate не получилось. Три года активной эксплуатации выявили ряд технических проблем, с которыми столкнулись и мы, и многие другие интеграторы.
Основные минусы UserGate:
нестабильность аппаратной платформы. Особенно это касается флагманской E-серии. Проблемы с жесткими дисками и RAID-контроллерами были массовыми. Кластеры из двух устройств для обеспечения отказоустойчивости могли выходить из строя одновременно из-за проблем с синхронизацией. Только к концу 2024 года вендор начал кампанию по замене HDD на SSD в рамках гарантийного обслуживания;
критическая проблема с IPsec VPN. Туннели "site-to-site" работают нестабильно: обрываются, не поднимаются или требуют постоянных «танцев с бубном» и ручных перезапусков. Проблема известна давно, но кардинального решения до сих пор нет;
завышенные требования к ресурсам. Если сравнивать параметры даташитов, то UserGate при той же производительности требует больших аппаратных ресурсов, чем конкуренты. Для замены, например, FortiGate с 4 ядрами и 8 ГБ ОЗУ зачастую требовался UserGate с 8 ядрами и 12-16 ГБ ОЗУ для аналогичной нагрузки.
Поддержка от вендора работает, но ее качество сильно зависит от статуса партнера. Как MSSP-партнер мы имеем приоритетный доступ в формате VIP-поддержки: прямое общение с инженерами, ускоренная реакция на критичные инциденты и оперативная замена оборудования. Для рядовых клиентов с базовой поддержкой сроки решения проблем могут быть значительно дольше.
Ландшафт меняется: на горизонте появились конкуренты
К 2024-2025 году на рынок начали выходить другие российские разработчики.
PT NGFW от Positive Technologies. Один из самых перспективных претендентов. Заявляет об экстремальной оптимизации и высокой производительности на скромн��м железе. Однако продукт в активной стадии развития: отсутствуют ключевые функции (например, VPN), а его заявленные преимущества лучше всего видны на тестах по методике самого вендора.
Solar NGFW от «Ростелеком-Солар». Крупный игрок с серьезными амбициями. Активно предлагает пилотные проекты.
Kaspersky NGFW от «Лаборатории Касперского». Известный вендор с опытом создания комплексных решений для кибербезопасности. Если судить по даташитам, продукт очень технологичный, с большим набором функций.
Другие решения: На втором эшелоне находятся такие продукты, как VipNet xFirewall (от «ИнфоТеКС»), Континент 4 (от «Код Безопасности») и Ideco NGFW. Пока они не составляют прямой конкуренции флагманам.
Появление конкуренции — благо для рынка. Это заставляет UserGate активнее развивать продукт (ходят слухи, что они наконец-то займутся решением проблем с VPN) и сдерживать аппетиты в ценообразовании.
Взгляд в будущее: что ждет рынок
Через три года после массового исхода зарубежных вендоров российский рынок NGFW все еще находится в стадии формирования. Ожидается, что он разделится на три эшелона:
Топ-лига: UserGate, PT NGFW, Kaspersky NGFW и, возможно, Solar NGFW.
Второй эшелон: Решения от крупных вендоров, специализирующихся на смежных областях (криптография, СЗИ).
Нишевые продукты.
Главный вопрос для всех — сертификация. ФСТЭК ужесточил требования именно к классу NGFW, и первым их новым требованиям соответствовал именно PT NGFW. Остальным вендорам, включая UserGate, предстоит доработать свои продукты для соответствия этим стандартам.
Несмотря на все трудности, UserGate совершил настоящую революцию. Он не только заполнил вакуум, но и создал целую экосистему и сообщество вокруг этой экосистемы.
Да, продукт далек от идеала, но он работает и закрывает базовые потребности в безопасности. А его главная заслуга в том, что он дал рынку время — время дождаться появления альтернатив и начать новую, уже здоровую конкурентную гонку.
Именно в этой гонке и рождаются по-настоящему качественные и стабильные продукты. Самое интересное для российского рынка NGFW только начинается.
Мы в OXYGEN за годы работы с UserGate обзавелись опытом укрощения этого продукта с минимизацией всех его недостатков. Поэтому клиентам мы готовы предоставить действительно лучшую версию отечественного NGFW – без «подводных камней», неожиданностей и с лучшей технической поддержкой. Все подробности, цены и варианты работы с NGFW собрали для вас по ссылке.
И подписывайтесь на канал OXYGEN в Telegram! Там есть главные новости из мира облаков, дата-центров и решений кибербезопасности, а еще мы там рассказываем про закулисную часть хранения и обработки данных. Такого вы в других каналах не найдете)
