论文部分内容阅读
近日,著名的网络安全产品与解决方案提供商Fortinet在北京举行了公司成立十周年的盛大庆典。以总裁兼首席执行官谢青为首的公司高层悉数到场,体现了Fortinet对国内业务发展的高度重视。作为一个中国人在美创办的高科技企业,Fortinet十年内从无到有,在竞争激烈的信息安全领域站稳脚跟并发展壮大,谱写了一段传奇历程。
与UTM共同成长
十年前,应用层安全的概念还并未被人们所熟知,当时的网络与应用条件也暂不需要部署在网络边缘的安全设备能提供4层以上的安全特性。但从各方发展角度看,安全攻防向应用层转移又是不可逆转的趋势,谁能在产品研发和市场培育上占得先机,谁就有可能在未来获得回报。Fortinet就是在这样的背景下成立的,该公司回避了当时颇受关注的防火墙性能大战,将重点放在了新一代安全产品的研发上。
实际上,并无任何证据可以证明是Fortinet第一个推出了集成多种安全功能(包括应用层安全)的设备,但可以肯定的是,该公司的产品在功能、性能和稳定性等方面终于满足了用户需求,得到市场的认可。2004年,IDC经过长期跟踪,正式将这类新兴产品定义为UTM,并明确要求此类产品必须在单一硬件中至少提供防火墙、IPS和网关防病毒功能。毫无疑问地,Fortinet推出的FortiGate系列产品成为了UTM的第一个范本。
随着时间的推移,应用层安全的重要性日益提升,有越来越多的用户认识到自己的网络系统需要全方位的安全防护,高集成度、低成本的UTM显然是很合适的选择。与此同时,技术发展导致了UTM综合性能的大幅提升,加之可以大幅简化体系架构或方案的复杂度,连行业用户和运营商都开始部署此类产品。所以据统计,全球UTM市场近年来保持着高速增长,并有望在不久的将来达到数十亿美金的规模。而对于UTM产品收入占到整体收入90%的Fortinet来说,自然是受益颇丰,企业也因此得以快速发展。
时至今日,Fortinet成功晋级为全球范围内的一线网络安全产品与解决方案提供商。该公司目前拥有一千多名员工,建立了全球化的销售服务体系,并于2009年年底在美国纳斯达克成功上市,近期市值高达25亿美元。在保持UTM领域领导者地位的同时,Fortinet也加强了其他产品线的建设,目前可提供包括Web应用安全、邮件安全、数据库安全、终端安全和安全管理在内的多套独立产品解决方案。
特立独行的产品架构
很多业内人士认为,在应用层安全时代,“ASIC已死,多核当立”。Fortinet则不这么看,该公司深谙技术为用户需求服务的道理,在产品设计方面有着自己独特的思路。作为旗下最受市场认可的产品,FortiGate系列UTM虽然一直在推陈出新,逻辑结构却从未改变。除了部分低端桌面级产品,包括采用ATCA架构产品的处理板在内的所有中高端型号均采用了通用处理器搭配自主知识产权的FortiASIC专有加速芯片的方式,实现安全业务的高性能处理。此外的网络、安全业务和设备的管理,则通过FortiOS软件系统完成。
由于网络层安全业务和应用层安全业务的处理机制有着很大不同,加速芯片也需做有针对性的设计。FortiASIC-NP网络处理器采用在线模式工作,直接处理数据包,对防火墙和VPN功能进行加速。此外,该芯片还具有基于异常的入侵防御及流量整形的功能,基本上涵盖了网络层安全的所有方面。FortiASIC-CP内容层处理器则工作在旁路模式,受通用处理器调用,协助实现高速的加解密和基于特征的匹配工作。
以今年发布的新产品FortiGate-3040B为例,该产品采用2U冗余电源设计,内置8个万兆SFP 、10个千兆SFP和2个千兆RJ45接口,拥有10万/秒的新建链接和400万的最大并发链接能力。得益于最新一代的FortiASIC-NP4网络处理器,FortiGate-3040B在任何情况下的防火墙吞吐量都能稳定在40Gbps,且IPSec性能高达16Gbps;FortiASIC-CP7的存在也显著提升了应用层安全业务的处理能力,该产品IPS模块的性能用UDP/HTTP流量测得的数据分别为5Gbps/1.2Gbps;HTTP流量测得的病毒过滤性能则为1.2Gbps。
在最高端的产品设计上,Fortinet采用了分布式处理的思路,借助标准的ATCA机框推出了3种规格的FG5000集群式安全平台。其中最高端的型号具有14个扩展槽位,最多可插入12块逻辑结构相同的处理板,以负载分摊的方式作用于剩余的接口模块,实现性能的线性增长。在满配情况下,FG5000将拥有160Gbps的防火墙吞吐量、超过10Gbps的IPS、病毒过滤性能、80万/秒的新建链接能力和最大8000万个并发连接,可以满足任何高端用户的需求。
与UTM共同成长
十年前,应用层安全的概念还并未被人们所熟知,当时的网络与应用条件也暂不需要部署在网络边缘的安全设备能提供4层以上的安全特性。但从各方发展角度看,安全攻防向应用层转移又是不可逆转的趋势,谁能在产品研发和市场培育上占得先机,谁就有可能在未来获得回报。Fortinet就是在这样的背景下成立的,该公司回避了当时颇受关注的防火墙性能大战,将重点放在了新一代安全产品的研发上。
实际上,并无任何证据可以证明是Fortinet第一个推出了集成多种安全功能(包括应用层安全)的设备,但可以肯定的是,该公司的产品在功能、性能和稳定性等方面终于满足了用户需求,得到市场的认可。2004年,IDC经过长期跟踪,正式将这类新兴产品定义为UTM,并明确要求此类产品必须在单一硬件中至少提供防火墙、IPS和网关防病毒功能。毫无疑问地,Fortinet推出的FortiGate系列产品成为了UTM的第一个范本。
随着时间的推移,应用层安全的重要性日益提升,有越来越多的用户认识到自己的网络系统需要全方位的安全防护,高集成度、低成本的UTM显然是很合适的选择。与此同时,技术发展导致了UTM综合性能的大幅提升,加之可以大幅简化体系架构或方案的复杂度,连行业用户和运营商都开始部署此类产品。所以据统计,全球UTM市场近年来保持着高速增长,并有望在不久的将来达到数十亿美金的规模。而对于UTM产品收入占到整体收入90%的Fortinet来说,自然是受益颇丰,企业也因此得以快速发展。
时至今日,Fortinet成功晋级为全球范围内的一线网络安全产品与解决方案提供商。该公司目前拥有一千多名员工,建立了全球化的销售服务体系,并于2009年年底在美国纳斯达克成功上市,近期市值高达25亿美元。在保持UTM领域领导者地位的同时,Fortinet也加强了其他产品线的建设,目前可提供包括Web应用安全、邮件安全、数据库安全、终端安全和安全管理在内的多套独立产品解决方案。
特立独行的产品架构
很多业内人士认为,在应用层安全时代,“ASIC已死,多核当立”。Fortinet则不这么看,该公司深谙技术为用户需求服务的道理,在产品设计方面有着自己独特的思路。作为旗下最受市场认可的产品,FortiGate系列UTM虽然一直在推陈出新,逻辑结构却从未改变。除了部分低端桌面级产品,包括采用ATCA架构产品的处理板在内的所有中高端型号均采用了通用处理器搭配自主知识产权的FortiASIC专有加速芯片的方式,实现安全业务的高性能处理。此外的网络、安全业务和设备的管理,则通过FortiOS软件系统完成。
由于网络层安全业务和应用层安全业务的处理机制有着很大不同,加速芯片也需做有针对性的设计。FortiASIC-NP网络处理器采用在线模式工作,直接处理数据包,对防火墙和VPN功能进行加速。此外,该芯片还具有基于异常的入侵防御及流量整形的功能,基本上涵盖了网络层安全的所有方面。FortiASIC-CP内容层处理器则工作在旁路模式,受通用处理器调用,协助实现高速的加解密和基于特征的匹配工作。
以今年发布的新产品FortiGate-3040B为例,该产品采用2U冗余电源设计,内置8个万兆SFP 、10个千兆SFP和2个千兆RJ45接口,拥有10万/秒的新建链接和400万的最大并发链接能力。得益于最新一代的FortiASIC-NP4网络处理器,FortiGate-3040B在任何情况下的防火墙吞吐量都能稳定在40Gbps,且IPSec性能高达16Gbps;FortiASIC-CP7的存在也显著提升了应用层安全业务的处理能力,该产品IPS模块的性能用UDP/HTTP流量测得的数据分别为5Gbps/1.2Gbps;HTTP流量测得的病毒过滤性能则为1.2Gbps。
在最高端的产品设计上,Fortinet采用了分布式处理的思路,借助标准的ATCA机框推出了3种规格的FG5000集群式安全平台。其中最高端的型号具有14个扩展槽位,最多可插入12块逻辑结构相同的处理板,以负载分摊的方式作用于剩余的接口模块,实现性能的线性增长。在满配情况下,FG5000将拥有160Gbps的防火墙吞吐量、超过10Gbps的IPS、病毒过滤性能、80万/秒的新建链接能力和最大8000万个并发连接,可以满足任何高端用户的需求。