近日,著名的网络安全产品与解决方案提供商Fortinet在北京举行了公司成立十周年的盛大庆典。以总裁兼首席执行官谢青为首的公司高层悉数到场,体现了Fortinet对国内业务发展的高度重视。作为一个中国人在美创办的高科技企业,Fortinet十年内从无到有,在竞争激烈的信息安全领域站稳脚跟并发展壮大,谱写了一段传奇历程。
与UTM共同成长
十年前,应用层安全的概念还并未被人们所熟知,当时的网络与应用条件也暂不需要部署在网络边缘的安全设备提供4层以上的安全特性。但从各方发展角度看,安全攻防向应用层转移又是不可逆转的趋势,谁能在产品研发和市场培育上占得先机,谁就有可能在未来获得回报。Fortinet就是在这样的背景下成立的,该公司回避了当时颇受关注的防火墙性能大战,将重点放在了新一代安全产品的研发上。
实际上,并无任何证据可以证明是Fortinet第一个推出了集成多种安全功能(包括应用层安全)的设备,但可以肯定的是,该公司的产品在功能、性能和稳定性等方面终于满足了用户需求,得到市场的认可。2004年,IDC经过长期跟踪,正式将这类新兴产品定义为UTM,并明确要求此类产品必须在单一硬件中至少提供防火墙、IPS和网关防病毒功能。毫无疑问地,Fortinet推出的FortiGate系列产品成为了UTM的第一个范本。
随着时间的推移,应用层安全的重要性日益提升,有越来越多的用户认识到自己的网络系统需要全方位的安全防护,高集成度、低成本的UTM显然是很合适的选择。与此同时,技术发展导致了UTM综合性能的大幅提升,加之可以大幅简化体系架构或方案的复杂度,连行业用户和运营商都开始部署此类产品。所以据统计,全球UTM市场近年来保持着高速增长,并有望在不久的将来达到数十亿美金的规模。而对于UTM产品收入占到整体收入90%的Fortinet来说,自然是受益颇丰,企业也因此得以快速发展。
时至今日,Fortinet成功晋级为全球范围内的一线网络安全产品与解决方案提供商。该公司目前拥有一千多名员工,建立了全球化的销售服务体系,并于2009年年底在美国纳斯达克成功上市,近期市值高达25亿美元。在保持UTM领域领导者地位的同时,Fortinet也加强了其他产品线的建设,目前可提供包括Web应用安全、邮件安全、数据库安全、终端安全和安全管理在内的多套独立产品解决方案。
特立独行的产品架构
很多业内人士认为,在应用层安全时代,“ASIC已死,多核当立”。Fortinet则不这么看,该公司深谙技术为用户需求服务的道理,在产品设计方面有着自己独特的思路。作为旗下最受市场认可的产品,FortiGate系列UTM虽然一直在推陈出新,逻辑结构却从未改变。除了部分低端桌面级产品,包括采用ATCA架构产品的处理板在内的所有中高端型号均采用了通用处理器搭配自主知识产权的FortiASIC专有加速芯片的方式,实现安全业务的高性能处理。此外的网络、安全业务和设备的管理,则通过FortiOS软件系统完成。
由于网络层安全业务和应用层安全业务的处理机制有着很大不同,加速芯片也需做有针对性的设计。FortiASIC-NP网络处理器采用在线模式工作,直接处理数据包,对防火墙和VPN功能进行加速。此外,该芯片还具有基于异常的入侵防御及流量整形的功能,基本上涵盖了网络层安全的所有方面。FortiASIC-CP内容层处理器则工作在旁路模式,受通用处理器调用,协助实现高速的加解密和基于特征的匹配工作。
以今年发布的新产品FortiGate-3040B为例,该产品采用2U冗余电源设计,内置8个万兆SFP+、10个千兆SFP和2个千兆RJ45接口,拥有10万/秒的新建链接和400万的最大并发链接能力。得益于最新一代的FortiASIC-NP4网络处理器,FortiGate-3040B在任何情况下的防火墙吞吐量都能稳定在40Gbps,且IPSec性能高达16Gbps;FortiASIC-CP7的存在也显著提升了应用层安全业务的处理能力,该产品IPS模块的性能用UDP/HTTP流量测得的数据分别为5Gbps/1.2Gbps;HTTP流量测得的病毒过滤性能则为1.2Gbps。
在最高端的产品设计上,Fortinet采用了分布式处理的思路,借助标准的ATCA机框推出了3种规格的FG5000集群式安全平台。其中最高端的型号具有14个扩展槽位,最多可插入12块逻辑结构相同的处理板,以负载分摊的方式作用于剩余的接口模块,实现性能的线性增长。在满配情况下,FG5000将拥有160Gbps的防火墙吞吐量、超过10Gbps的IPS、病毒过滤性能、80万/秒的新建链接能力和最大8000万个并发连接,可以满足任何高端用户的需求。
|
华赛的UTM+都出来了!
如果能在这篇文章后加入自己的思考就好了,明显的广告贴在这儿不受欢迎。
个人感觉飞塔继承了中国人的优秀传统,指标虚高情况严重。如果真把这些指标当回事儿,比着指标选产品,特别是防病毒,这设备绝对扛不住。特别是“HTTP流量测得的病毒过滤性能则为1.2Gbps”,这指标连他们自己的销售都不敢在实际环境中测试。
另,华赛的UTM+个人感觉也很令人失望。好像UTM性能也做不上去。
原以为凭借强大的华为研发能在UTM性能上有所突破,估计还要等几年。
我还真没测试过Fortinet的产品,文章中只是分析,最近正打算弄来研究下。防火墙相关指标应该不会虚高吧?NP做了那么多东西。AV、IPS性能,Datasheet上都标注了是用什么方式测出来的。敢问针对AV、IPS性能测试,又有什么公认的、地位如2544、3511那样的标准?
我与谢青吃过一次饭。Ken请的客。很和气的说。。。。。。Fortinet,NetScreen,Hillstone,Palo Alto Netoworks。。。江湖呀。。。。。
AV、IPS的测试,目前整个就是瞎扯淡。
这是因为病毒和入侵是不停更新的,
要提高检出率,就要针对测试样本做优化,
而这些样本其实已经老旧不堪。。。
吞吐量更是自说自话,
就看怎么测了。。
1 willchen提到的 “HTTP流量测得的病毒过滤性能则为1.2Gbps”,华赛的设备我不敢妄谈,但从技术上并非难以实现;
2 例如,曾在某次测试中有如下测试结果(摘要):
硬件环境:
DDR2 667 REG 4G内存 × 4
AMD OPTERON 2378 2.4G 95W CPU × 2
网卡一:intel 82545 PCI-X
网卡二:intel82572GI PCI-E
软件环境:
Linux;内核:2.6.9-8.11
GCC:
网络环境:
实际字节流量:1.90 Gbps以上
每秒包数:39万到43万
TCP和UDP的传输包数比例:1比1 ~ 2比3
病毒库规则数量:500w+
行为检测规则数:100+
URL检测规则数:200+
功能全部开启:文件还原检测、URL检测、特征匹配检测
运行线程数量:4
持续时长:96小时
PPS:419705;处理包数:95720540087;处理字节数:54615366347585
检测出所有100+病毒文件传输行为
部分数据,仅供参考
1.2Gbps不是很大的问题
有关这两个指标,说点感想
1. UDP吞吐:从64-1518的测试,这个是大家最为熟悉的了。这个部分基本上测试的是IPS的两个能力,小包要着力在I/O能力,大包着力在衡量解码匹配能力。文中提到的IPS 5G的数据,大包用X86的高端可以轻松达到,不用加任何匹配加速。小包部分,就要看各个厂商的软件功力了。
2. http吞吐:这个部分在很多实现中是代码路径最长的,因为http的攻击很多,病毒文件传输就更多。如果在ips/av全开情况下,我个人觉得这里可能是个最坏性能点,当然每家的实现可能不尽相同。协议的测法也有两种,一种是http 1.0的测法,即所有链接都新建一次,并且下载一次文件,另外一种是http 1.1,一个session内测多次请求。前者对I/O的考验比较大,如果基础平台有问题,吞吐就上不去,后者则考验的是匹配解码能力部分。另外测试时候使用的文件大小,以及文件内容对结果也有影响,使用32k和1M页面是两个比较有代表性的测试方法。
至于大家总爱和用户提到的病毒signatur数目,一般现在除了十六进制签名,大家也都在用MD5,以及URL list, 客户交流时候经常把MD5和十六进制signature数目相加。
从客户的角度看目前IPS,AV嵌入在UTM里面的解决方案都很不给力,这方面的性能都是浮云。
目前现状是查杀率不高,特征库更新不及时,实际应用层处理性能也不理想。
这两类能力还没有看见哪个公司具备。
用过几次FORTINET的FW,说实话,用户易用性做得太差,有些特征如IPSEC VPN应用起来就是浮云,没有人知道到底是什么结果。
楼上:
笼统的否定不解决问题,AV目前的技术流派主要是两种,proxy-based和streaming-based,前者的新建/并发/延迟都会遇到一些问题,但是检出率好,后者嘛,检出率差,但是性能指标好些。
IPS方面,现在国内的测试方法的确是有些问题,还都在用Blade,TrafficIQ都少人用。国内评测机构可以去NSS/ICSA取经下呗,反正出国经费也不少 :p
有人插楼,我回的是9楼…
目前解决问题的方案还是:
loadblance + 专业IPS、AV scanner
各家在测试AV性能的时候大多采用http和udp两种协议测试。真实环境中,估计http和mail协议更加容易传播病毒。目前udp大家都能做到1G以上,但对实际应用没啥帮助。
还是那句话,真实场景太复杂,测评指标太简单。
记得2001年亲手调试过netscreen的防火墙,那时候ns500的性能真能达到400M,并且在CPU占用率达到90%的时候传的视频居然不断,只是不停的马赛克…那时候真是敬仰啊
扯远了,其实现在用户经常问:为什么我一个10M的出口要放个千兆UTM?我的并发根本没有百万级别啊?啥时候大家能问心无愧的回答这些问题,这个行业才算健康了点。
Ken XIE & Michael XIE 蛮NB的
期待老韩提供拆机图~, 这样神马ASIC/NP就能让大家见识见识了.
To willchen:
AV时候测UDP?IPS吧?
十分八卦才是专业人士。
但是测AV和IPS都要应该用HTTP来测。
那位说指标虚高,性能上不去的,我请问你一下,测AV和IPS的吞吐量,你知道应该用哪种仪器吗?哈哈!
ASIC是方向,想不通呀! 不看好
在那工作的朋友都说那工作环境不错,同事之前关系简单,好相处。
ips和av不是一个等级,
ips可以基于流,容易多了
基于流的av,根本不能用。
可以忽悠客户。symantec和mcafee专家的一致观点。
ips,
tipping point和mcafee做的最好,
tipping point可以做到线速,
使用了硬件加速。fortinet一般般。
不是行业内部的测试报告,
不用看
各家都在作假。
nss的测试也能作假,而且样本也很旧。
测试厂家亲口告诉俺的。
ips.av的吞吐量和signatrue的条数关系不大,
这个是多模式检测原理决定的。
其实条数多也没什么意义,
能减少条数才真的需要能力。
ips有个开源项目snort,
signature是free的,
av有个开源项目clamav,
虽然signature加密,稍稍搞搞就可以拿出来了。
估计这两个养活了国内不少安全公司。
这两个signature都很多,但是没意义
要能广布探测器,侦查现网的流量确定特征库才行,这个就要化银子了。
tipping point的IPS好,业界一直不缺乏这种声音。可是为啥华三接触过TP的兄弟都是TP太垃圾呢?
H3C的安全一般般吧,TP的还不错
媒体人写的文章不如首席这样非媒体的真媒体人弄得文章好啊。
值得反思,值得深思啊。
反正老子不是干媒体的……
老韩,内部人也未必清楚产品,
不知道你接触的人在什么场合,基于什么方面评价的TP..俺接触的华三对TP评价很高。
IPS的能力嘛,重要的是实时响应,
而不是一堆特征库,测试没人用的攻击样本。
这个厂商都不说,反正用户也是懵懵懂懂的。
mcafee,symantec这些大厂,都在全世界建设探测器,同时有团队实时分析,保证了它的响应能力。
在gartner的行业分析里面,
TP可是技术,执行第一流,
超过mcafee,cisco..
今年极光漏洞很热闹啊。
有心人可以看看各个厂商的响应能力。
To 26:
我只是动手写了个新闻普及贴而已,因为在网上找关于Fortinet在国内情况的文章长期未果。以前我在弯曲说过他们的问题,我一在CCW带安全的,小两年时间不知道Fortinet该联系谁,以及公关公司是哪家。完全与世隔绝。
你在CNW的时候和他们接触多么?
to 29,
你想找fortinet哪位?关于什么的,呵呵。看看能否帮助你一下!
To 30:已经联系上了,得到一些官方资料,才写的这篇。多谢。
最新的gartner关于IPS的魔术象限图里,mcafee在横轴和纵轴都遥遥领先。第一象限里还有HP(TP)和sourcefire.而且sourcefire在横轴前瞻性上上已经领先HP不少了。
美国fortinet公司欺诈员工!!!!Fortinet 是多层威胁防御系统的创新者和先锋。该系统能够为业务通信提供最佳安全、优秀性能和低总体占用成本。 Fortinet获奖众多的安全系统和预订服务在世界各地已经拥有多达两万余用户,包括最大型的电信运营商、服务提供商和各种规模的企业。
Fortinet由Ken Xie(谢青)在2000年创建。Ken Xie曾经是NetScreen公司(后为Juniper公司以35 亿多美元并购)有远见的创始人、总裁和CEO。 Fortinet由一支强大的、在网络和安全领域富有丰富经验的管理团队领导。 处于领先地位的Fortinet,作为一家私有网络安全公司得到工业界资深的风险基金投资超过一亿美元。
但是就是这样一家纳斯达克上市公司,屡次欺骗员工!且不说管理层上的混乱,任人唯亲, 公司的股票从年初10几块钱涨到30多块钱,但是员工卖的股票钱却始终不能发到员工手里。由于fortinet今年管理策略变动,致使很多员工被迫离职,至今卖的股票钱没有到账!本人多次询问公司的HR,财务,但是均以种种借口推迟,说很快到了。最后一次说12月31日前肯定能到,但是呢,已经2011年了,钱仍然没有到账!公司又给出新的理由,说外汇局不给钱,这是什么理由?难道从美国账户转到国内的账户这么难吗?一直没有一个合适的理由!为什么马来西亚研发的员工早就拿到钱了,而中国区的员工却始终拿不到这笔钱,很多人等着这笔钱,结婚,买房。但是却始终不给!这种行为就是一种欺诈逃避的行为!
最后,告诉fortient和想来fortient公司的员工,你们和公司签的期权,股票即使卖掉(无论多少钱),或者你都不会拿到!因为在谢青,谢华的公司就是一个欺诈的公司!不负责任的公司!
哈哈
由于fortinet今年管理策略变动,致使很多员工被迫离职
————————————–
完全瞎说,至少中国区最近一年离职的大部分员工我都认识,很多都是自己想离开forti,嫌弃forti工资低的或没发展的。或者自己表现很差的,自动走人的。
至今卖的股票钱没有到账!
————————————–
不仅是你离职的股票没有到帐,所有在职的卖了部分股票的都没有到帐。中国区税务那边是出了点问题。承诺12.31日是因为HR答应和财务没有协商好,日期弄错了。
最后,告诉fortient和想来fortient公司的员工,你们和公司签的期权,股票即使卖掉(无论多少钱),或者你都不会拿到!因为在谢青,谢华的公司就是一个欺诈的公司!不负责任的公司!
————————————–
以点带面的结论,我以曾经为你的同事而感到羞耻。一点钱嘛,急成那样,你还能超过2K股?F~CK
围观~
35楼不会是枪手吧?
Fortinet这两年都撤掉多少个组了。。。真不明白你到底是谁,说离职的你都认识,但是连这点基本的事情都不知道
干过好几家公司,Fortinet是唯一让我深刻体会到给资本家打工是什么样的:能压榨就压榨!
Fortinet产品确实不错,但是不能说明他是个好的employer。
为什么市场上它的声音越来越小,并且代理的渠道也很少碰到,个人认为其没有以前好了在国内。公司或许出现了问题,而且UTM功能我看到的用户真用的很少。
utm中其实用的最多的还是防火墙的,小环境下顺便用vpn,恶意代码过滤等
UTM是什么都想干,结果什么都干不好
我说点公平的话,fortinet在全球各国家销售的非常好,如果产品真的如以上所说,外国人都是傻子吗? fortinet早期的产品确实不怎么样,但现在的确做的很有特色。具我了解的产品中真正UTM产品确实做的比较好,在FW,AV,IPS,WF,VPN方面每个独立功能都非常完善,绝不是其他产品那种蜻蜓点水式的产品。
有位弟兄说VPN不好,我说的话呢VPN是fortigate特性中做的非常好的地方,功能丰富,可配置参数很多,性能也非常高,不知道你用的什么年代的软件了。 HTTP 病毒检测目前有代理和流扫描两种,流之派系是忽悠用户的,不同的压缩文件层次根本检测不出来。 代理模式才是解决知道。1.2G 是开启病毒检测时get 一个32K http page的HTTP性能。用过的设备,可以到达 700M 以上,这个1.2G也正常。测试时同时发送带病毒的网页或者文件,系统可以检测出来。不用 eicar之流的测试,很多垃圾厂家对EICAR做了特殊处理。
fortinet在中国的问题是渠道发展的太差了,人换的频繁,得罪的人也多。现在安全市场圈里有N多公司的人都在 FORTINET做过,这些人能说fortinet好吗?我说的是公平话,公司管理的不好,但产品确实不错。 对于多核和ASIC/NP之争,各有优势,关键是提供的设备能为用户做什么,有什么用,什么价格。这才是实际。
40楼的评价非常中肯,希望谢总能看到
to:palmone
希望大家言语中注意,不要激动而误伤他人。
你写的内容中我有些小经验一起探讨一下:
我是2001年就做过ntescreen的产品。飞塔的VPN据我所看还是停留在netscreen当年的层面上。无论是速度还是配置项的丰富程度,比起现在的netscreen系列还是差得很远。
防病毒测试中你的指标怎么测的我没法验证,也没有第三方验证。飞塔的防病毒速度快是有口碑的,这个我很佩服。但你把别人说成“垃圾厂家”非常被我鄙视。出口成脏的人自己的心也是脏的。
最后一点个人认为只是说出了飞塔的内因。从外部环境上看,国家大政策对国外厂商的屏蔽恐怕也是很大的原因。
1.2G 是开启病毒检测时get 一个32K http page的HTTP性能。用过的设备,可以到达 700M 以上,这个1.2G也正常。测试时同时发送带病毒的网页或者文件,系统可以检测出来。不用 eicar之流的测试,很多垃圾厂家对EICAR做了特殊处理。
—————————————
这个吹的大了。。
能到1.2G的几分之一就很牛了。
只问你怎么测试的?随机网页?
病毒样本?signature样本?
to:willchen.
呵呵,也许是我用词不准确,但目前国内的安全市场确实太乱了,你看看现在国内产品谁在网上公布很详细的性能参数呢??这是个很奇怪但被中国市场接受的潜规则,具体的性能根据用户的要求写就是了,这对用户来说不是个好事情。
关于VPN,不知道你用过现在的飞塔设备的软件版本没有 。 netscreen原来的设备到5.0之前我都配置过,如果你说飞塔的VPN比netscreen 差很多,实在有不同看法。也许你用的是很老的软件了。就配置丰富程度上来讲,从网上下载两家产品的最新使用手册,比较下就能看出来了。
TO :天外有天
测试方法遵循 Avalanche 的 HTTP测试标准。
配置100个不同的 client/server, server端配置不通http page,每个page大小是32K。 开启病毒HTTP代理,抽取某个IP地址用debug 命令观察设备对HTTP的代理过程和病毒扫描处理过程。 可以在Avalanche的 HTTP page上传病毒文件。在设备测试过程中可以同时用其他主机浏览外部的HTTP服务器的多层压缩的病毒文件,设备应给出病毒检测告警。
FortiGate中高端设备是可以在以上测试条件下达到1G 以上的HTTP流量性能的。
to:palmone
安全圈子的乱谁人不知。但你敢说你就没有违心的做过应答么?咱们都是俗人,也就别五十步笑百步了。
对于VPN来说,配置的方便性和丰富度个人有个人的感觉吧。我确实很久没用过这两家的产品了。所以我前面的结论有些臆想,非常抱歉。
只记得netscreen当时配置的丰富度确实让我整整脱产学习了一周。随之而来也必然是易用性的下降。当然netscreen考虑到这一点,推出了一款VPN管理设备。在2003年就实现了通过集中管理端的图形页面拖拽方式直接生成VPN策略并下发。只不过其平台选择了当时性能很差的SUN服务器+JAVA,导致平台不太稳定。飞塔最大的优势就是对国内环境的适应能力。其配置方式相对于国内用户,应该是非常好了。易用性强于netscreen是肯定的。
而在性能上,netscreen无论是当年还是现在,都始终站在最前端。不知道这一点你是否还有不同意见?
昨天一个在Forti的朋友告诉我,他们公司卖掉股票的人,昨天钱都发到手了,他们头卖了一小部分税后 130W RMB,他们组绝大部分人都在税后10-40W RMB,少部分卖的少的或者早的,都在税后1-5W左右,他自己卖掉了1/3,14W,羡慕啊。。。。。国内的没见过啥世面的码农我表示严重羡慕啊。。。。。
FU..K,怎么同样是码农,我挣点钱怎么就怎么难啊。。。
所以说,遇事不要轻易阴谋论,把人往坏处想;dark side。上次来弯曲骂Ken的弟兄应该反思一下了。世界上许多事情没有想象的那么坏。。。做人要厚道。。。
可以在Avalanche的 HTTP page上传病毒文件。在设备测试过程中可以同时用其他主机浏览外部的HTTP服务器的多层压缩的病毒文件,设备应给出病毒检测告警。
————————————
什么样的文件?多层压缩的?
还是只是指http流量1.2g,其实没有传大量的文件?
负责任的说,http流量1.2g,已经不错了。
文件1.2g,如果还是多层压缩的,现在没设备能实现。
我也不信1.2G流量,多层压缩能实现,10年之内有没有设备能实现,我都怀疑
标准测试一般采取5~10层进行测试(我个人认为这种测试毫无意义),严格一点的会用rar和zip交叉压缩。
而rar就算你用16个核来跑,能不能跑100Mbyte/s能很不一定。
我猜测这个测试主要是非压缩数据,混入了一两个压缩数据吧。
还有更无意义和变态的测试方法,用一个样本文件配一个全零的10G文件,压tar包,然后bzip压缩,然后混入第二个样本文件,加一个全零的,再加一层zip压缩,如此类推搞5层,别说1.2G了,如果能做到10M,这个设备就算不错了。 几年前做这个测试的时候,大部分不是挂了,就是卡住了。
说的都这么好,46楼的朋友所在的组真好啊,飞塔还真是国人创办的企业,跟国情也一样,贫富差距真大呀!我们这些平头百姓干个三四年,还是那么几百股。
年前最新消息,飞塔在国内的UTM组撤掉了。。。
楼上说的是国内的研发部分吧?我怎么听说市场这块还要加强呢。有请Fortinet的朋友辟谣……
fortinet北京快关张了,钱是到账了,但是走的人没一个说飞塔好的,产品确实不错,但是管理层不敢恭维,比如MAYGUO,kevin确实不错,销售那边不太了解,那个飞塔的枪手,你认识谁,老子在飞塔干了那么多年,研发这边基本没有不认识的。
基本骂飞塔的 都是R&D这边的 因为fortinet的国内策略是裁剪研发特别是测试,加强市场和销售。飞塔在国内的主要目的是卖产品,R&D的裁撤缩编也就是必然了。53楼的兄弟,俨然是义愤大过理智了,飞塔北京关张,这句话欠考虑…研发这边你认识人不少,但是销售市场那条线,估计你还不太熟悉吧?
Fortinet两年间销售这条线人几乎加了3倍,开发不了解
先进厂商的R&D都在伟大首都?