产业调研:深信服产品理念越来越像PaloAlto
产业调研系列
深信服近期做了下一代防火墙的技术升级,作为国内防火墙的领先企业之一,深信服的产品升级思路值得好好学习。本次升级核心的变化有两点:
1、搭载自己研发的操作系统Sangfor OS。
2、依赖Sangfor OS架构实现的多重解耦能力,保证了产品高可靠、易运维和强大的网络适应性。
第一个解耦是操作系统和硬件的解耦,这样实现新的硬件适配速度将加快两倍以上。
第二个是操作系统和安全能力的解耦,让网络转发和安全检测完全的隔离,做到了产品的四到七层互不影响。
第三个是安全模块间的能力解耦,这样防火墙的产品安全能力可以快速迭代更新。
架构作为可靠性的基座,而在系统设计上面,通过产品的平面分离设计,保证了产品在功能设计上是足够稳定可靠的,满足了业务的高连续性的要求。深信服防火墙将产品的运维管理平面、安全检测平面以及数据转发平面进行了平面的分离设计,实现了分层独立和并行的工作模式,保证了高效可靠的数据报文处理。即使产品发生了一些不可预料的突发情况,也可以根据优先保证网络转发的原则,业务数据不受中断。
深信服不仅在架构系统进程层面做了可靠性设计,还提供了过载保护的技术。在日常的业务开展过程中,可能会存在偶尔的业务流量突增,导致业务访问卡慢甚至中断的情况发生。为了解决这个问题,这次升级将过载保护技术应用到了产品的数据转发功能上面,软件上重新定义了防火墙的CPU、网卡、内存、磁盘等关键组件的过载运行模式,保障了在偶发性的业务特征的时候,也可以满足核心的网络转发需求。目前在深信服的实验室里,在200%的流量压力测试下,原有的会话能保证100%的转发成功,新增的会话能保证80%的业务访问成功。
产品的稳定性不仅依赖的是产品的软件,同时产品的硬件可靠性也是重中之重。深信服下一代防火墙在硬件上增加了多种可靠性设计。首先,在用户的网络核心部署节点上,通过防火墙的双机部署,可以在产品或者链路发生故障情况下,实现500毫秒内完成双机切换;其次,为了实时掌控产品的硬件运行情况,在产品的硬件故障发生的时候可以提前预警,深信服下一代防火墙集成了独立的BMC硬件芯片,通过这个芯片可以对产品的CPU、硬盘、网卡、内存总线等核心的零部件进行实时的监控,在产品零部件发生异常故障的时候,可以及时告警,运维人员可以快速的处置,从而提升业务安全的连续性;最后,产品也具备了多种的硬件模块冗余设计,包括电源、磁盘、网卡以及关键的元器件等硬件模块,通过冗余设计,在保证了产品的稳定性的基础上,可以满足不同客户的个性化需求。
除了软硬可靠的特性,深信服下一代防火墙还支持了丰富的管理方式,满足不同规模网络下的安全运维要求。产品的管理界面集成了大量的安全可视化元素,用户可以通过自定义的图形化界面,快速了解当前的安全问题和设备情况。其次一些用户比如金融大企业,他们可以根据使用习惯,通过命令行的方式对防火墙产品进行管理,满足日常的运维要求。在一些中大型的运行场景中,自动化运营是必不可少的。深信服防火墙是支持全功能的API接口,实现了第三方的管理平台接入,提高了日常的运营的工作效率。
在运营方面,防火墙的另外一个难题是安全策略的管理和调优。随着防火墙使用时间的推移,安全策略会越来越多,为管理带来了极大的困扰。为了解决这个难题,深信服产品应用了安全策略智能化管理的技术,运维的效率提升了两倍以上。
在安全有效方面,深信服防火墙通过了与云端平台联动和主动防御的能力,实现了安全的范式升级,构建了协同的防御体系。为提升整体的安全防御有效性,深信服防火墙通过与云端平台的联动,持续赋能,大幅度提升未知威胁的检测能力,同时和多种的深信服安全产品联动防御,其中包括终端EDR平台、内网的NDR平台,能高效的拦截常见的漏洞入侵、恶意软件、病毒木马等网络威胁,解决传统安全产品单品检测能力不足的问题。
在主动防御方面,深信服防火墙集成了云端蜜罐的联动能力。在黑客对关键业务进行扫描和攻击的同时,深信服的云端蜜罐系统会自动接管与黑客的对抗流量,完成了实时的攻击拦截。通过产品和与蜜罐的联动协作,不仅提升了黑客的攻击成本,同时提升了对高级威胁攻击的捕获能力。通过溯源黑客的指纹信息,自动阻断后续的攻击行为,大幅度的降低用户业务遭受入侵的风险。
深信服防火墙的发展趋势:平台化。对防火墙的定位不仅仅是一个硬件的防火墙,其实更多的定位是客户威胁防护的平台,而作为平台,未来会不断的增强安全的能力,在各种的场景下帮助客户应对各种的威胁类型。对于中等的IT规模,会持续叠加SASE和云端的联动能力,帮助客户实现数据泄露保护和威胁的组织闭环。面向大型的IT规模下,会全面融合SD-WAN和威胁情报能力,结合零信任平台将防火墙升级为零信任安全网关。为了适应业务的连续性和可扩展性需求,会持续增加产品的可靠性和分布式的集群能力。
可以看到,深信服的防火墙发展理念越来越有PaloAlto的影子:防火墙、云端威胁检测、终端安全协同运作的云边端一体化思想。
合规声明:本文主要观点来自深信服下一代防火墙架构升级发布会,属于公开资料,如需会议纪要全文请后台留言。
网络安全相关报告
6. 为什么教育和医疗行业未来两年是网安公司必争之地?| 产业调研
16.网络安全产品从入门到精通
17.海外专题:寻找中国网络安全公司中的Palo Alto(深度)
22. Zscaler:云安全服务与接入领头羊(30页PPT)
23. Okta:身份认证独角兽(深度)
30.奇安信:创新业务实力强大,助推公司成为全球网安龙头(深度)
33.数据安全法带来的一些变化
41. 网安公司三季报分化之谜
42. 深信服:重构防火墙,用意深远
43. 读完Fortinet三季报,我对网安行业又有了信心(附纪要)
44. Palantir:野心贼大,想做世界的创新引擎(附纪要)
46. 为什么中国没有真正的云安全公司?
49. 产业调研:威努特董事长谈工控安全
50. 产业调研:再论数据安全
54. 安恒信息:数据安全领头羊(深度)
55. 产业调研:HW具体怎么做?
60. 产业调研:奇安信研发平台详解
- end -
欢迎加入产业交流群!
欢迎所有对计算机产业研究和投资感兴趣的盆友(包括云计算、网络安全、医疗IT、金融科技、人工智能、自动驾驶等)后台留言加入我们的产业交流群。我们的目标是建立系统的计算机产业研究框架,提高整个A股的IT行业研究水平,减少韭菜数量,普度众生。
法律声明
本订阅号发布内容仅代表作者个人看法,并不代表作者所属机构观点。涉及证券投资相关内容应以所属机构正式发布的研究报告内容为准。市场有风险,投资需谨慎。在任何情况下,本订阅号中信息或所表述的意见均不构成对任何人的投资建议。在决定投资前,如有需要,投资者务必向专业人士咨询并谨慎决策。本订阅号运营团队不对任何人因使用本订阅号所载任何内容所引致的任何损失负任何责任。本订阅号所载内容为原创。订阅人对本订阅号发布的所有内容(包括文字、影像等)进行复制、转载的,需明确注明出处,且不得对本订阅号所载内容进行任何有悖原意的引用、删节和修改。