UserGate ya no puede considerarse solo un proveedor de un cortafuegos. Alrededor del producto principal ha crecido una plataforma rusa de seguridad de red: un cortafuegos de nueva generación, un cortafuegos para centros de datos, WAF, un gateway de seguridad web, gestión centralizada, análisis de registros, SIEM, cliente de acceso remoto y herramientas para probar cambios antes de implementarlos en la red de producción.
En el centro de esta línea se mantiene UserGate NGFW. Es un cortafuegos de nueva generación —no solo analiza direcciones IP y puertos, sino que tiene en cuenta usuarios, grupos, aplicaciones, categorías web, conexiones VPN, firmas de ataques, archivos maliciosos y tráfico cifrado cuando la empresa habilita la inspección SSL. Para el administrador la diferencia es notable: las reglas se pueden construir alrededor del comportamiento real de empleados y servicios, y no alrededor de una tabla infinita de puertos. Vamos a desglosarlo: a qué se dedica la empresa, qué es exactamente este NGFW y qué hace que este producto sea tan singular en el mercado ruso.
Cómo llegó UserGate al NGFW
UserGate desarrolla productos de seguridad de red desde hace más de diez años. Los primeros prototipos de su propio NGFW aparecieron a principios de la década de 2010, y la versión comercial UserGate NGFW llegó al mercado en 2016. Tras 2022 la demanda de cortafuegos rusos aumentó bruscamente, pero UserGate no llegó a este momento con la vitrina vacía: la empresa ya contaba con UGOS, plataformas hardware, ejecución virtual, gestión centralizada y certificación.
Sustituir un cortafuegos extranjero rara vez se reduce a comprar un nuevo dispositivo. Hay que migrar políticas, VPN, NAT, grupos de usuarios, reglas de aplicaciones, inspección SSL, integraciones con directorios y SIEM. En proyectos así, el producto debe ser no solo ruso, sino suficientemente maduro para una migración compleja.
UserGate promueve la idea de una arquitectura de confianza en la red. En la práctica esto significa que el acceso a recursos depende del usuario, del dispositivo, de la aplicación, del estado de la conexión, de la política de seguridad y del contexto. En ese esquema, el NGFW actúa como uno de los nodos centrales de control.
Qué puede hacer UserGate NGFW
El cortafuegos clásico verifica si el tráfico puede pasar de una dirección a otra por un puerto concreto. UserGate NGFW va más allá: reconoce aplicaciones a nivel L7, aplica políticas a usuarios, inspecciona el tráfico en busca de ataques de red, filtra el acceso web, construye VPN, analiza archivos y envía eventos a otros sistemas de seguridad.
- Cortafuegos L3/L4: filtrado de tráfico por zonas, direcciones, servicios y reglas de acceso.
- DPI y control de aplicaciones: reconocimiento de aplicaciones incluso cuando un mismo puerto alberga distintos servicios.
- IPS: detección y bloqueo de ataques de red mediante firmas.
- Antivirus de red: comprobación en flujo de archivos en el tráfico de red.
- Proxy y filtrado web: gestión del acceso a sitios y categorías de recursos.
- UserID: vinculación de reglas a usuarios y grupos mediante Kerberos, RADIUS, NTLM y eventos LDAP.
- VPN: túneles seguros para sucursales y acceso remoto de empleados.
- Integraciones: syslog, ICAP, LDAP, autenticación multifactor y API.
En una red real esto ayuda a describir reglas más cercanas a la lógica de negocio. A contabilidad se le pueden permitir servicios bancarios y correo corporativo, pero bloquear VPN alternativos y servicios de intercambio de archivos sospechosos. A los desarrolladores se les puede abrir Git, repositorios y API externas. La Wi‑Fi de invitados puede quedar en internet, pero aislada de los servidores internos. En un cortafuegos antiguo, esas políticas se vuelven pronto pesadas de mantener.
Rendimiento, certificación y formas de entrega
UserGate NGFW se suministra como un paquete hardware‑software y también en ejecución virtual. Para las plataformas superiores en la página oficial del producto se indica un rendimiento de hasta 90 Gbit/s en modo de cortafuegos L3/L4 con tráfico EMIX y hasta 30 Gbit/s en modo FW L7 + IPS. Se admiten clústeres Active‑Passive y Active‑Active, y para un gran parque de dispositivos se usa gestión centralizada.
Para clientes rusos la certificación es crítica. El certificado de conformidad del FSTEC de Rusia nº 3905 confirma que UserGate cumple los requisitos de nivel de confianza 4, así como los requisitos para cortafuegos y sistemas de detección de intrusiones. La validez del certificado se ha prorrogado hasta el 26 de marzo de 2031. Esto permite usar el producto en entornos regulados donde la conformidad formal es tan importante como la funcionalidad técnica.
En 2026 la empresa lanzó uNGFW 7.5 LTS. Esta opción interesa a clientes que prefieren un ciclo de vida predecible y soporte a largo plazo por encima de actualizaciones frecuentes de funciones. Para infraestructuras grandes, la estabilidad a veces vale más que la última novedad.
Productos recientes y hacia dónde se dirige la ecosistema
Una ampliación notable de la línea es UserGate SWG. Es un gateway de seguridad web para controlar el acceso de empleados a recursos y servicios web. Inspecciona tráfico HTTP y HTTPS, aplica políticas de acceso, realiza filtrado de contenido, inspección SSL y bloquea recursos de phishing, maliciosos y no deseados. El objetivo del SWG es externalizar la seguridad web a una capa separada y reducir la carga sobre el NGFW cuando todo el tráfico de internet de usuarios pasa por un único perímetro.
Otra dirección es el ГОСТ VPN. El producto está pensado para clientes que necesitan cifrado del tráfico conforme a los requisitos de los reguladores rusos. En la descripción de UserGate se menciona un SCE de clase KC3 y cifrado a nivel L3. Ese VPN puede suministrarse en versión software junto con UserGate NGFW o como una configuración hardware‑software.
Para centros de datos se desarrolla UserGate DCFW. Su objetivo es proteger segmentos de alta carga, donde decenas de miles de reglas y grandes volúmenes de tráfico pronto alcanzan los límites de un cortafuegos perimetral común. En materiales públicos la empresa también ha hablado de planes para añadir funciones antivirus y sistemas virtuales al DCFW, de modo que el producto cubra más escenarios de perímetros de gran escala.
Destaca además uInfraTwin. Es un gemelo digital de un segmento de red: una copia virtual del entorno donde se pueden probar de forma segura configuraciones, actualizaciones y escenarios de usuario antes de aplicarlos a la infraestructura productiva. Es mejor romper una ruta, una regla o una actualización en el modelo virtual que reparar el entorno operativo de noche.
En hardware UserGate desarrolla plataformas superiores y aceleración de IPS. Para cargas grandes la empresa prepara el acelerador FPGA Katun‑2, que debería descargar el procesamiento de firmas IPS. Según los parámetros anunciados, un módulo aporta alrededor de 12 Gbit/s de aceleración IPS sobre miles de firmas, y al instalar varios módulos el rendimiento se suma. Esto es una parte importante de la arquitectura: el IPS activado suele volverse una función exigente en recursos.
Cómo elegir el producto UserGate para la tarea
| Solución | Dónde usar | Qué cubre | Qué tener en cuenta |
|---|---|---|---|
| UserGate NGFW | Oficinas, sucursales, perímetro, redes corporativas medianas | Cortafuegos, VPN, IPS, filtrado web, control de aplicaciones, antivirus de tráfico | Se necesitan zonas claras, roles de usuarios y un procedimiento para modificar reglas |
| UserGate DCFW | Centros de datos, perímetros grandes, redes de alta carga | Filtrado de alto rendimiento y protección de segmentos de centro de datos | Requiere diseño cuidadoso y pruebas de carga |
| UserGate SWG | Empresas con alto volumen de tráfico web de usuarios | Control HTTP/HTTPS, inspección SSL, filtrado de contenido, protección contra phishing | Hay que planear excepciones y la política de descifrado de tráfico con antelación |
| UserGate WAF | Sitios públicos, áreas de clientes, API, servicios web internos | Protección de aplicaciones web frente a ataques a nivel de aplicación | No sustituye la corrección de vulnerabilidades en el código |
| UserGate Management Center | Redes distribuidas con múltiples dispositivos UserGate | Gestión centralizada, plantillas, roles y control de configuraciones | Especialmente útil para redes con sucursales y grandes parques de dispositivos |
| UserGate Log Analyzer | Infraestructuras que necesitan almacenar y analizar eventos | Recolección, almacenamiento y visualización de registros de productos UserGate | Se necesita una política de retención de registros y entender qué eventos son relevantes |
| UserGate SIEM | SOC, grandes empresas, entornos regulados | Correlación de eventos, monitorización, respuesta, IRP/SOAR | Requiere fuentes de eventos apropiadas y trabajo de analistas |
Puntos fuertes de UserGate NGFW
UserGate NGFW se adapta bien a proyectos rusos regulados. Para organismos estatales, objetos de infraestructura crítica de información, operadores de datos personales, industria, banca y grandes empresas, la certificación a menudo deja de ser un bono agradable y se convierte en la entrada al proyecto. Sin ella, discutir la funcionalidad a veces carece de sentido.
El producto se puede desplegar en distintas formas: paquete hardware‑software, ejecución virtual, instalaciones de distinta escala, sucursales, oficina central y centro de datos. Cuando una empresa construye una política de red unificada, es más conveniente mantener una lógica de gestión similar en distintos niveles de la infraestructura, en lugar de ensamblar todo a partir de soluciones no integradas.
En UserGate la parte de rendimiento está claramente en desarrollo. NGFW, DCFW, plataformas hardware superiores, la rama LTS, SWG y la aceleración hardware del IPS muestran que el proveedor mira más allá de reemplazar cortafuegos extranjeros retirados y se centra también en altas cargas. Para grandes clientes esto es crucial: activar IPS, inspección SSL y control de aplicaciones es fácil en una presentación, pero en una red real esas funciones exigen margen en el hardware y una arquitectura adecuada.
La ecosistema también juega a favor de UserGate. NGFW, DCFW, WAF, SWG, SIEM, Log Analyzer, Management Center y uInfraTwin cubren distintas capas de una misma tarea: permitir tráfico legítimo, bloquear el peligroso, ver los eventos, gestionar configuraciones y probar cambios antes de aplicarlos. No es obligatorio comprar todo de una vez, pero disponer de una línea integrada facilita la evolución de la infraestructura.
Dónde hay limitaciones
UserGate NGFW no arreglará una arquitectura de red deficiente. Si los segmentos están descritos de forma caótica, los responsables de reglas son desconocidos y los accesos se habilitaron durante años por peticiones temporales de "abrir todo", cualquier cortafuegos se convertirá en una costosa tabla de excepciones. Antes de implementar hace falta definir zonas, roles, grupos de usuarios, un esquema de enrutamiento claro y un procedimiento de aprobación de cambios.
Migrar desde Palo Alto, Fortinet, Check Point, Cisco u otras soluciones rara vez es una simple importación de configuración. Hay que mapear objetos, NAT, VPN, servicios, grupos, reglas de inspección SSL, perfiles IPS, excepciones y peculiaridades de enrutamiento. Una migración correcta comienza con un piloto y un segmento de prueba, no con el corte nocturno de toda la compañía.
El equipo también tendrá que aprender. Incluso un administrador experimentado de cortafuegos no empezará a trabajar con confianza con UserGate en una noche si antes vivía en otra ecosistema. Hay que entender la lógica de políticas, diagnóstico de tráfico, clústeres, VPN, actualizaciones, registros e integraciones. Esto no es un defecto del producto, sino el coste habitual del cambio de plataforma, que conviene tener en cuenta por adelantado.
A quién le conviene UserGate
UserGate NGFW debe considerarse por empresas que necesitan un cortafuegos ruso con certificación, gestión centralizada y capacidad de crecimiento. Tiene especial sentido en el sector público, la industria, las finanzas, telecomunicaciones, educación, salud, venta al por menor, entre proveedores y en organizaciones con sucursales.
Para pequeñas empresas UserGate también puede ser útil si existe una necesidad concreta: habilitar VPN, filtrar tráfico web, limitar accesos de usuarios, sustituir un dispositivo extranjero o proteger varias sedes. Pero comprar un NGFW sin entender las políticas futuras no tiene sentido. Un cortafuegos de nueva generación es valioso donde realmente se necesitan reglas y hay alguien que las gestionará.
FAQ
¿UserGate NGFW es solo un cortafuegos? No. Además del filtrado por direcciones y puertos, trabaja con aplicaciones, usuarios, VPN, IPS, filtrado web, comprobación antivirus del tráfico e integraciones con otras herramientas de protección.
¿En qué se diferencia UserGate SWG del NGFW? El NGFW ofrece protección amplia de la red, mientras que el SWG se centra en el acceso web seguro: HTTP/HTTPS, inspección SSL, filtrado de contenido, phishing y políticas de acceso a recursos web.
¿Para qué sirve UserGate DCFW? DCFW está pensado para centros de datos y redes grandes con mucho tráfico, reglas y requisitos de rendimiento. No sustituye al cortafuegos de oficina; es una solución para escenarios más exigentes.
¿Qué aporta uInfraTwin? uInfraTwin crea un gemelo digital de un segmento de red donde se pueden probar configuraciones, actualizaciones y escenarios antes de aplicarlos en la infraestructura productiva.
Idea principal: UserGate NGFW ya no debe verse solo como un reemplazo ruso de un cortafuegos extranjero. Es el núcleo de una plataforma de seguridad de red en desarrollo, alrededor de la cual aparecen SWG, DCFW, WAF, ГОСТ VPN, SIEM, Log Analyzer, Management Center y herramientas para probar cambios de forma segura. Pero el resultado final depende de la arquitectura de red, de la calidad de las reglas y del equipo que lo mantenga.