网络架构变得越复杂,就越能体现Fortinet的优势;网络环境变得越复杂,Fortinet好像就越有办法。这就像《雪中悍刀行》,轩辕敬城说的那句台词:“你是指玄,我便用指玄杀你。你是天象境,我便用陆地神仙。”
从“指玄境”到“天象境”
Fortinet赶上了第一代防火墙的尾巴,也是最早抛弃第一代防火墙的企业。
第一代防火墙出现在上世纪90年代,但在本世纪初的那几年,明显被“魔高一尺”压制。黑客们从“指玄境”,上升到“天象境”,他们绕过第一代防火墙把守的“网络层”,开始利用蠕虫病毒、木马、DDoS等新式武器,对“应用层”发起攻击。
Fortinet就诞生于这个年代,而且从成立那天开始,这家公司就明确了两个主攻方向:一是防火墙要有“芯”,不管付出多高的研发成本,防火墙都要有专用的ASIC芯片;二是确定了防守的主要方向,要从“网络连接安全”延伸到“网络内容安全”。
之后的事情众所周知。
Fortinet的创始人谢青,之后被称为“UTM之父”。Fortinet独有的基于FortiASIC处理器的网络安全架构,一举解决了芯片设计、网络通信速度、安全防御,以及内容分析等诸多行业难题。
Fortinet一炮而红。
随便说一句,UTM以及此后演进出的NGFW,被正式定义为第二代防火墙。
“天门”何止一处又何妨?
但不管怎么说,第二代防火墙的境界,只是有点像《雪中悍刀行》中的桃花剑神邓太阿——人间之上,天门之外。邓太阿一剑镇守天门,管你是不是仙人,敢迈出天门一步,就无一例外地斩为四散而落的谪仙人。
只不过,此时的“天门”又何止一处。
2006年出现的云计算概念,重新定义了IT基础设施架构;2007年发布的iPhone,推动了移动互联网的发展。越来越多的企业考虑在云上建设IT系统,远程办公、业务协同、分支互联等业务需求也快速发展。
或者说,此时企业的网络边界逐渐泛化,这也导致基于边界的传统安全架构不再可靠。当然,不得不佩服Fortinet敏锐的市场嗅觉。
正是在此阶段,Fortinet收购了交换机制造商Woven Systems,收购了企业级应用交付供应商Coyote Point;收购了Wi-Fi硬件公司Meru Networks,以及IT安全、监控和分析软件供应商 AccelOps,基本完成了在“安全组网”领域的业务布局。
更进一步,Fortinet开始涉足SD-WAN领域。而且是同样的配方,熟悉的味道。Fortinet首先推出了业内首款SD-WAN ASIC芯片。相比与单纯依靠软件调优的企业,这无疑拥有巨大的优势,实现了高达10倍的性能提升。
更重要的是,Fortinet的SD-WAN与防火墙同根同源,同样采用FortiGate平台,同样采用FortiOS操作系统。这使其具有SSL检测、内容过滤、IPS、反僵尸网络、反病毒、应用控制等一系列安全能力。
“统一SASE”才是未来
是不是感觉,Fortinet的这一步走得很丝滑?其实,Fortinet以后的发展更丝滑。
SD-WAN再向前走一步就是SASE。企业建立分支机构离不开SASE,企业出海也离不开SASE,而此时网络环境变得更复杂——企业面临混合办公模式、分布式应用程序、海量IoT设备等带来的安全挑战。
面对这些挑战,Fortinet中国区技术总监张略说:
Fortinet一贯主张的‘安全网络’的理念恰逢其时,通过Convergence(融合)与Consolidation(整合),Fortinet将安全融入网络的每个节点,并实现了单一平台下的统一安全管理。
其实,SASE有点像《雪中悍刀行》中,藏尽天下武学典籍的“听潮亭”。准确地说,SASE不是一项技术,而是一套完整的解决方案,它包括软件定义的广域网(SD-WAN)、安全Web网关(SWG)、防火墙即服务(FWaaS)、云访问安全代理(CASB)和零信任网络访问(ZTNA)等多种安全功能,实现了网络与安全的无缝融合。
与此对比,Fortinet的SASE解决方案不仅是“演进”,更体现了Fortinet产品融合。Fortinet是以FotiGate NGFW为控制点,扩展至安全SD-WAN优化广域网、SD-Branch保障局域网安全,以及SASE和ZTNA保护远程访问和应用程序,整个过程顺滑演进,整个体系环环相扣。
更重要的是,Fortinet特别强调自己的产品是“统一SASE”。在Gartner的定义中,SASE分为三类:一是不同供应商,不同产品的SASE;二是单一供应商、不同产品的SASE;三是单一供应商、单一产品的“统一SASE”。
在此不去评价“用生态去编制产品碎片”的解决方案,只是张略特别强调:“SASE的未来一定是‘统一SASE’,不论从AI的发展,还是从降低网络复杂度需要,用户都会更倾向于‘统一SASE’。”
在此之前,Fortinet已在加快SASE解决方案的布局,除坚持90%以上的产品自研之外,他还先后收购了安全访问服务边缘(SASE)云提供商OPAQ 网络、自动化事件管理公司Panopta、应用程序安全公司 Sken.Ai、云和网络安全公司ShieldX,以及企业数据安全服务商Next DLP。
这些产品都已充实到Fortinet的“统一SASE”的解决方案中。对此,张略说:“即便是收购,Fortinet也是先技术消化再产品整合,才推送给用户完整的解决方案。”
不仅如此。
目前,Fortinet已在全球范围内部署了超过100个SASE PoP节点。2025年,Fortinet在中国大陆也将启动SASE PoP节点的部署工作,而Fortinet SD-WAN POP融合SASE、CASB、DLP等之后,也成为统一SASE架构的基础。
当然,Fortinet解决方案里也没忘记ASIC芯片。Fortinet的原则是,别对用户抠搜地将就。“只要能使用硬件加速,就尽量使用。因为Fortinet有自研的ASIC芯片。”张略:“如此,给到用户的体验是,打开安全功能后,网络速度依然那么快,成本也没那么高。”
大屏好看不好用
除此以外,“安全运营”也是Fortinet战略业务之一。想起“安全运营”就会想起“运营大厅”、“运营大屏”,但大屏好看,但并不一定好用,至少工程师不一定感觉好用。尤其在故障定位、故障排错时。
Fortinet的“安全运营”主打一个轻松好用。在深度融合了人工智能技术后,Fortinet打造出全新的安全助手——FortiAI。
FortiAI价值就如《雪中悍刀行》中,李淳罡的那句“剑来”。只要运营工程师能理解运营流程,FortiAI就能帮他们处理复杂的工作,就能够迅速捕捉威胁动态、做出精确无误的决策,并显著缩短处理复杂安全任务的时间周期。工程师再也不用调用不同的运维工具,也不用再翻看一级菜单和二级菜单。
而对于FortiAI的底层,Fortinet中国区首席攻防专家王涛也特别强调,FortiAI已成功与国内一众顶尖大模型实现对接。这一成就标志着国内用户现在能够享受到更加贴合本土语言场景的大模型本地化运营服务。
一条明线和一条暗线
上述即是Fortinet 的业务主线。对于这些业务主线,Fortinet也有话说。
“成立于2000年的Fortinet,年复合增长率超过15%。”随着技术迭代和需求变化,科技企业的起起伏伏也实属正常。但Fortinet中国区总经理李宏凯并没有只切出一段“好日子”说事,这在安全企业中应属相当少见的“稳健”。
尤其是近几年,Fortinet的表现那是相当的不错——年复合增长率达到23%;全球客户已超80万;全球防火墙出货量占比更是超过50%。“这得益于,Fortinet聚焦安全运营(SecOps)、统一SASE(Unified SASE),以及安全组网三大战略。”李宏凯说的一条明线。
“三大战略”就是Fortinet业务成长的一条明线。过去三年间,Fortinet在“安全组网”、“Unified SASE(统一SASE)”、“安全运营”三大核心业务中,同比平均增长14.6%、21.7%、22.3%,远超行业同期的9%、19%、14%。
当然,还有一条暗线。
Fortinet从成立之初就坚持自研ASIC芯片,这使其在UTM市场一战成名,也使其SD-WAN 产品,实现了高达10倍的性能提升,更使其SASE解决方案拥有了最好的应用体验。
同时,不管是自研产品,还是收购产品,Fortinet全面支持统一操作系统FortiOS、统一终端软件FortiClient、统一集中管理平台FortiManager,以及统一威胁情报云FortiGuard。这也是 Fortinet区别于其他网络安全厂商的所在。
正因如此。回到文章开篇的观点,Fortinet从防火墙到SASE不断顺滑演进,不断引领着网络安全的变革之旅。而且网络架构变得越复杂,就越能体现Fortinet的优势;网络环境变得越复杂,Fortinet好像就越有办法。
