Fortinet:黃金十年

近日，著名的網絡安全產品與解決方案提供商Fortinet在北京舉行了公司成立十周年的盛大慶典。以總裁兼首席執行官謝青為首的公司高層悉數到場，體現了Fortinet對國內業務發展的高度重視。作為一個中國人在美創辦的高科技企業，Fortinet十年內從無到有，在競爭激烈的信息安全領域站穩腳跟并發展壯大，譜寫了一段傳奇歷程。

與UTM共同成長

十年前，應用層安全的概念還并未被人們所熟知，當時的網絡與應用條件也暫不需要部署在網絡邊緣的安全設備能提供4層以上的安全特性。但從各方發展角度看，安全攻防向應用層轉移又是不可逆轉的趨勢，誰能在產品研發和市場培育上占得先機，誰就有可能在未來獲得回報。Fortinet就是在這樣的背景下成立的，該公司回避了當時頗受關注的防火墻性能大戰，將重點放在了新一代安全產品的研發上。

實際上，并無任何證據可以證明是Fortinet第一個推出了集成多種安全功能（包括應用層安全）的設備，但可以肯定的是，該公司的產品在功能、性能和穩定性等方面終于滿足了用戶需求，得到市場的認可。2004年，IDC經過長期跟蹤，正式將這類新興產品定義為UTM，并明確要求此類產品必須在單一硬件中至少提供防火墻、IPS和網關防病毒功能。毫無疑問地，Fortinet推出的FortiGate系列產品成為了UTM的第一個范本。

隨著時間的推移，應用層安全的重要性日益提升，有越來越多的用戶認識到自己的網絡系統需要全方位的安全防護，高集成度、低成本的UTM顯然是很合適的選擇。與此同時，技術發展導致了UTM綜合性能的大幅提升，加之可以大幅簡化體系架構或方案的復雜度，連行業用戶和運營商都開始部署此類產品。所以據統計，全球UTM市場近年來保持著高速增長，并有望在不久的將來達到數十億美金的規模。而對于UTM產品收入占到整體收入90%的Fortinet來說，自然是受益頗豐，企業也因此得以快速發展。

時至今日，Fortinet成功晉級為全球范圍內的一線網絡安全產品與解決方案提供商。該公司目前擁有一千多名員工，建立了全球化的銷售服務體系，并于2009年年底在美國納斯達克成功上市，近期市值高達25億美元。在保持UTM領域領導者地位的同時，Fortinet也加強了其他產品線的建設，目前可提供包括Web應用安全、郵件安全、數據庫安全、終端安全和安全管理在內的多套獨立產品解決方案。

特立獨行的產品架構

很多業內人士認為，在應用層安全時代，“ASIC已死，多核當立”。Fortinet則不這么看，該公司深諳技術為用戶需求服務的道理，在產品設計方面有著自己獨特的思路。作為旗下最受市場認可的產品，FortiGate系列UTM雖然一直在推陳出新，邏輯結構卻從未改變。除了部分低端桌面級產品，包括采用ATCA架構產品的處理板在內的所有中高端型號均采用了通用處理器搭配自主知識產權的FortiASIC專有加速芯片的方式，實現安全業務的高性能處理。此外的網絡、安全業務和設備的管理，則通過FortiOS軟件系統完成。

由于網絡層安全業務和應用層安全業務的處理機制有著很大不同，加速芯片也需做有針對性的設計。FortiASIC-NP網絡處理器采用在線模式工作，直接處理數據包，對防火墻和VPN功能進行加速。此外，該芯片還具有基于異常的入侵防御及流量整形的功能，基本上涵蓋了網絡層安全的所有方面。FortiASIC-CP內容層處理器則工作在旁路模式，受通用處理器調用，協助實現高速的加解密和基于特征的匹配工作。

以今年發布的新產品FortiGate-3040B為例，該產品采用2U冗余電源設計，內置8個萬兆SFP+、10個千兆SFP和2個千兆RJ45接口，擁有10萬/秒的新建鏈接和400萬的最大并發鏈接能力。得益于最新一代的FortiASIC-NP4網絡處理器，FortiGate-3040B在任何情況下的防火墻吞吐量都能穩定在40Gbps，且IPSec性能高達16Gbps；FortiASIC-CP7的存在也顯著提升了應用層安全業務的處理能力，該產品IPS模塊的性能用UDP/HTTP流量測得的數據分別為5Gbps/1.2Gbps；HTTP流量測得的病毒過濾性能則為1.2Gbps。

在最高端的產品設計上，Fortinet采用了分布式處理的思路，借助標準的ATCA機框推出了3種規格的FG5000集群式安全平臺。其中最高端的型號具有14個擴展槽位，最多可插入12塊邏輯結構相同的處理板，以負載分攤的方式作用于剩余的接口模塊，實現性能的線性增長。在滿配情況下，FG5000將擁有160Gbps的防火墻吞吐量、超過10Gbps的IPS、病毒過濾性能、80萬/秒的新建鏈接能力和最大8000萬個并發連接，可以滿足任何高端用戶的需求。