Netscreen的岁月
在Netscreen的日子里是我生命中最重要的一段时光。我从一个懵懵懂懂的初级工程师,成长为Juniper中国研发中心的总监,期间收获巨大。
早期的岁月里,每天工作12-14个小时,总有干不完的活,但是心情却很愉快,因为每次都学到很多。前几天接受一个前IBM资深讲师的培训,说到每个人在成长过程中都会有一段Trash Time,就是别人总把各种各样的垃圾工作(Trash)扔给你,你就好像一只垃圾桶一样。有些人会怨天尤人,期望换个环境规避,殊不知这是自己成长的最重要的阶段。如果你没有经历过这个阶段,你就无法迈入职业生涯中的更高境界。
06年自己创业,创办了Hillstone山石网科,在国内安全界算是后起之秀。接触许多优秀的年轻人,在他们的期待下,写出这段经验,和大家分享。
97年的春夏之时,我接到邓锋一个电话,问我有画图的软件没有。我找出来后,他约我一起见见。
第一次见面好像是在一个中餐馆里,邓锋身材高大,相貌英俊,也善于谈吐。他解释说他和两个同学准备创业,要做防火墙。那时我对网络的概念一点都没有,当时接触的多是电信上的东西。他介绍说Cisco就是靠把路由器变成Appliance而成功,他们要做的就是防火墙硬件化。随即他邀请我加入。我其实没有任何概念,加上当时业余时间也没有什么事,就随口答应了。
既然要加入,总得个面试程序,虽然他们还没有成立公司。我们约好在Mountain View的一家粥店与他的另一个伙伴谢青见面。去之前邓锋给我简单介绍了他们的情况,当时邓锋在Intel担任Mobile Chipset开发小组的经理;谢青在Healthon任IT总监;第三个创始人,柯严,在Cisco是ATM产品的软件架构师。他们的创始团队里还有一个人,不是创始人,算是第一个员工,Charles Shao。邓锋,柯严,谢青都是清华大学无线电系81级的同班同学,后来谢青因为身体原因,休学一年,和82级一起毕业。Charles是无线电系80级的,是当时学校里赫赫有名的学生勤工俭学三联公司的总经理。面试没有什么印象了,随后安排开始工作。
这里有个情况向大家介绍一下,我当时是拿H1-B签证,也就是工作签证。美国的劳工法很严,不允许非法打工。拿工作签证的只允许在当初申请签证的公司工作。因此我在邓锋那里,只算是帮忙,不能拿报酬,何况当时他们也没有钱付我薪水。
第一次上工是在邓锋家里。他刚在West San Jose买了房子,记得客厅里木头地板刚打过腊,光亮光亮地,有趣的是,每个椅子的腿都套了个袜子,看得出来他很爱惜,怕家具挪来挪去,划伤了地板。一进门,见到了一个老朋友,五字班(清华85级)的Jian Gong。Gong和我在学校里在同一个教研组做毕业设计,他比我高一班,因此相识。邓锋曾经担任过五字班的辅导员。
Gong是湖南人,和我算是老乡,个头不高,但是很能干。他在负责原型机电路板的PCB设计。我的工作主要是帮邓锋看他设计的原理图,板子回来后参加调试。
就这样,我和开始邓锋认识,并一起共事七年。
没有多久,几个创始人决定租一个办公室。地点就选在Sunnyvale Downtown的一个台湾人拥有的商务楼里。
房间很小,大概和一个宾馆的标间差不多。空调还是窗式的,晚上和周末都不开。我们每个人都有工作,只能下班后过来,常常一干就是到晚上十一二点。邓锋先向代理商借了一块MIPS CPU的开发板,柯严做软件。
柯严是John Hopkins的高材生,相貌堂堂,出身高知家庭,比较文雅。第一次见面,我问他准备用什么操作系统。那时Linux还不出名,流行的是Wind River的VxWorks, 号称实时操作系统。他很轻松地告诉我,准备自己搞一个,”OS很简单,我读研究生时就写过一个”。这个有点草率的决定,为后来无数的麻烦埋下了伏笔,那是后话。
有一天,他们两个都来的比较晚,原来是参加一个朋友的庆功宴去了。那个朋友刚把公司卖了。“立马两个Million进口袋了”, 柯严一脸羡慕的样子说,还做了做往口袋放钱的动作。
这几个创始人刚起步的时候,其实并没有远大的理想。大家盼望的仅仅是财务独立而已。我们周末午餐,经常去旁边的“台湾小调”,实际上是一个很小的餐馆,只有五六张桌子,而且有趣的是,要先买饭票。在去台湾小调的路上,大家也会聊聊自己的梦想。那时邓锋的理想就是搞一辆Lexus的LS400轿车,用邓锋的话来讲,“那车既豪华又低调,不像宝马那么骚包”。特别要提到的是,邓锋那时开的是一辆破旧的花冠。多年以后,他始终没有兑现当年的理想,而是买了一台比宝马还骚包的Mercedes SL500白色敞篷。
公司准备要融资了,先得取个名,用的是Egis Communications。“Egis是希腊神话中宙斯的盾”,邓锋这样解释说。
我至今还保留有当时的商业计划书,号称要做基于ASIC的防火墙。其实邓锋整天忙于做板子,那时Gong也不来了,大家都明白,芯片开始只是个噱头,所以邓锋的重心都在第一块电路板的设计上了。
不管怎样,还是得有颗芯片的样子,那就来颗FPGA。邓锋请来一对朋友夫妻帮忙,算是合同工Contractor, 写FPGA代码。据说他们俩专门接这类活,现钱赚了不少。不过几年后回想起来,一定肠子都悔青了。
板子回来的第一次上电,就通了。只不过两个独立的DRAM bank, 只有一个工作。也管不得那么多,Charles搞来几个黑色铝合金的壳,算是外壳。
这时候,谢青又领了另外一个人过来。他乍一看像中国人,其实是白人,叫Richard Hanke, 性情很温和。原来他的太太和谢青的太太是同事,都是台湾人,他过来负责Marketing。
时间一晃几个月过去了,邓锋他们几个决定从原来的公司辞职,全力投入到Egis里来。邓锋和我谈起来办H1的事情。我有点犹豫,公司还没有人投资,就靠三个创始人每人5万美元的启动资金,一旦失业了,连在美合法居留都是问题;当时邓锋也觉得我全职过来风险太大,因此劝我办个Part time的H1工作许可。不过在加入以后,要干两份工作,每天晚上加班,晚上睡不好觉,人也有点疲了,就提出干脆回去休息一段再说。邓锋挽留再三,还提出加股票,但看我比较坚决,就算了。
两个月后,又在停车场里遇到邓锋,他很热情地邀请我回去看看。说已经搬到Santa Clara的Great America附近。这时,公司已经从几个台湾人那里拿到了第一笔100万美元的天使投资,改名叫Netscreen。邓锋后来告诉我这也是他取的名字,因为投资人觉得Egis比较拗口。
台湾人的资金进来以后,管理格局也有变化。之前哥仨个是这么分赃的,邓锋任CEO,谢青当CFO,柯严做CTO。不过投资人觉得谢青做CEO比较合适,但是三个人的职务没有明确,最后的名片上印的是Principle,有点象美国中小学校长的职务 : )
Netscreen已经搬到位于Santa Clara的Old Ironside Dr. 的一个写字楼里,大概300平米的套间。
回到办公室,老朋友Charles等都纷纷过来打招呼。大家很热情,我也就不好意思再说什么,先留下来干吧。
邓锋投了十几块板子,为了省钱,只有IC是到厂里焊的,小零件电阻电容等,都是请一个叫Lean的越南女工手焊,所以成品率不高。我回来后第一项任务就是修板子。修板子这件活大伙都不爱干,其实最锻炼人。邓锋没事的时候,也跑过来帮我一起调。到后来,一般的SMT IC,我也学会了用烙铁,轻轻一划就焊上。
第二天,遇到一个个头不高,有点微胖的年轻人。他很热情,拉着我的手到过道里说了半天,大力向我推荐他刚在Milpitas买的Town House. 他叫Yuming Mao,因此我们常叫他老毛。我和老毛都有一个共同的爱好,就是喜欢逛附近的电脑电器城Fry's,买大减价的小电子玩意,因此很快成了好友。
老毛很健谈,喜欢发牢骚,这一点也和我臭味相投。他是南开大学毕业,后在斯坦福计算机系读硕士,和谢青算是同学。老毛很聪明,后来成为Netscreen的系统架构师,负责ASIC的架构,是Netscreen事实上的首席。不过那时他刚来,当时负责WebUI的设计,业余时间,还带着一个台湾女孩为公司设计了第一款logo(见下图)。
一天晚上,我正在埋头修板子,来一个电话,找邓锋的(当时没有足够的工位,我就和邓锋共享一个,兼作我们的硬件实验室)。仔细一问,原来是我大学隔壁班的同学,Edward Ping。他当时还在惠州,邓锋的一个同学推荐过来。我和他聊了几句,问了我这边的情况。我如实说了,他告诉我在深圳接到一个offer, 是惠州的一个全国性的家电公司要成立一个芯片公司,李总的助理出来领头,上门邀请他入伙。我对广东那边的情况不太了解,还是竭力劝他来美国,说到后来,我也没说服他。过了会,邓锋回来后,我如实转告。邓锋一听,急了,立马打长途回去。不知说了些什么,最终Edward接受了offer。
几周以后,邓锋告诉我,要招一名做芯片验证的工程师。那人过来一聊,原来是我三字班的学长,叫罗东平。他在Cypress Semiconductor工作,跟我一样,也是业余时间来帮忙。东平人很忠厚,也不计较待遇,主要负责第一颗FPGA的功能验证工作。就这样,七七八八,硬件团队算是凑齐了。
有一天,公司里来了个年轻人,长得和谢青几乎一样。旁人介绍说,他是谢青的弟弟Michael。Michael在加拿大工作,他给我们带来一个重大的消息。我们做的是包过滤的防火墙,说白了和交换机里的ACL规则差不多;而现在Checkpoint早就在做基于状态检测的防火墙了。这真叫人郁闷啊,尤其是芯片,都是用来实现所谓规则检查算法。改成基于连接的,那这点规则就没有必要用硬件去实现了。而且,为了让每个包都可以用芯片过滤,还专门采用了很贵的双端口SRAM。
还好,公司还小,所谓船小好掉头。大家立即着手修改,硬件已经木已成舟,来不及了,只好将错就错
很快,我的工作重心就转移到设计第一块量产的产品,基本上是基于邓锋原来设计的原型机架构,但是换成了QED设计的MIPS处理器和Gallieo Tech(后被Marvell买去)的主控芯片,还要解决原型机DRAM只有一个Bank工作的问题。Charles找到据说替Cisco加工机壳的工厂,仿照2500做了一个铁壳子。当时也不懂散热设计,就在底部装了一个60mm的风扇。因为风扇太大,只好斜着躺在机壳底板上。这就是第一代的NS-100。
虽然产品还没有准备好,公司已经开始招销售了。第一个销售来自于Netcom, 当时在美国做拨号上网的ISP,还是很有名的。他又陆续介绍了财务总监,一个白人,很nice,不过我现在记不住他的名字了。重要的是,他介绍了好几个工程师加入。其中一个叫Roger Lian,过来担任软件开发经理。
我那一年才30岁,比较愤青。当时每天晚餐Richard的台湾太太也会过来蹭盒饭,我就常常和这两个xx分子辩论统独议题。大家都是各持己见,老毛有时会过来打圆场。不过辩论过后,大家该干嘛还是干嘛,政治和工作,友情分得比较开。
那时,公司也就十几二十人,每周都有一个中午,大家聚在一起,轮流讲各部门的情况。一天销售很兴奋地说,第一台NS-100卖出去了。我们连忙问是哪个客户,他却支支吾吾的,有点不好意思,原来客户是在旧金山的一个色情网站。我们大笑:都进入信息时代,人们几千年来的基本需求还是没有什么大的改变。
四月份,是美国一年一度的Interop Show。当时正逢网络行业的高速发展,Interop Show是高科技界最重要的展会之一,热到连Las Vegas最大的Convention Center还容纳不下。初出茅庐的Netscreen把当时最快的100Mbps防火墙NS-100拿去参展,引起了轰动。
一天下午,一向穿着随意的邓锋,谢青他们突然西装革履地回到办公室。原来鼎鼎有名的Cisco请他们去聊了聊。
据邓锋讲,来了十几个VP, 问这问那,其中有一个问邓锋,Netscreen有没有计划开发Gigabit Firewall。98年Gigabit Ethernet还刚刚出现,这位仁兄就憨憨地回答说没有。后来回想起来,第一个被并购的机会就这样错过了,而且是当时硅谷同学们人人向往的Cisco啊。13年后,我从一个思科人的口里听到Cisco很后悔Netscreen让Juniper给买去了,真所谓三十年的河东四十年的河西。
虽然错过了Cisco, 不过展会上的优越表现还是引起VC们的注意。半年前引入一百万美元天使投资这时已经
风投的钱进来了,先是搬到一个十倍大的办公室,位于Hwy 101和San Thomas Express Way旁边,和Nvidia很近。
Netscreen 1998年 2860 San Thomas Express way, Santa Clara, CA95054
第二件事就是请高管。Sequoia投过一堆网络公司,当然最成功的还是Cisco。他们的理念是这帮创始人工程师都还不成熟,所以要外面找个CEO。等一下,这句话是不是听起来很熟悉?是的,本世纪初如日中天的Google也遭到了同样的境遇。
CEO不是那么好找的,先进来的是负责市场和销售的两个VP, David Flynn和Mark Smith。David文文雅雅的,说起话来细声细气,他来自3Com,在3Com的软件部门当Marketing VP。当然那时候3Com还没有今天那么衰,不过也不是在最佳状态了。
比起David,销售VP Mark就是个粗人了,第一次和我们工程师一起吃晚饭,听说我们在做VPN,立刻大声嚷嚷,说那玩意不好卖,他之前的公司就是卖这个的,搞得邓锋他们十分尴尬。
不过这两个VP的能力还都很强。这就是中美之间的差距了。硅谷经过半个多世纪的沉淀,不仅聚集了大量资本,更重要的是积攒了各种不同层次的人才。有一个好的方向,VC进入后,会迅速帮你组建一支全面的团队,这样公司的成长就会非常快。
新CEO Robert Thomas是九八年十一月份才进来的。Robert是澳大利亚人,在SUN是负责软件BU国际市场的总经理。据内线打听,老头子当时已经没有下属了,估计在SUN也干不了几天。Robert进来之前一直是Ken(谢青)做CEO兼President,Robert进来之后就很尴尬。邓锋那时的头衔也不是后来的工程部副总,而是很奇怪的系统工程部副总裁(VP of System Engineering),应该是主要管硬件吧,之前软件一直是柯严负责。
这就给了Robert可乘之机,他招来一个有点秃头的白人小老头,叫Jim。Jim进来的时候也没有什么Title,好像算Robert的顾问,Robert先让他负责项目管理,因此每个研发项目会,他都来听。那段时间邓锋很不开心,甚至和我私下透露有离开公司的可能。很久以后才知道,Robert属意让Jim来顶邓锋 。
几个月后,事情有了分晓,毕竟Netscreen工程师都是大陆人,邓锋也很有威望和号召力,当然老Jim也不太顶用。Robert给大家发了一封邮件,正式任命邓锋为研发部副总裁(VP of Engineering),Jim改任VP of Support。
谢青的离职很突然。99年的一天,我看到Robert铁青着脸,陪着他收拾完个人物品离开了。随后我们收到一份没头没尾的邮件,就是说Ken已经离开公司了。具体原因版本很多,我的职位低,也不清楚,不过好像不是很愉快就是了。
谢青离开Netscreen,一定是憋了一口气,因此又立即拉着Charles,Frank Ip等几个同事出来创办了ServGate。不过听说后来好像分手时也同样闹得不太愉快。随后他又重新创办Fortinet,十年后在NASDAQ上市,市值到了三十几亿美金,应该是非常成功了。
我的H1转签是98年8月份才终于批下来了,干了近一年的黑工,这才正式转正。
后来我还把Raymond Wei拉了进来。Raymond虽然是邓锋同学,但是一直没有正式进来,我看出邓锋很想请他。正好Raymond太太是我的大学同年级同学,我们两家一起吃了个饭,我趁机忽悠了几句,Raymond夫妻俩才正式下决心让Raymond加入Netscreen。Raymond进来后就担任ASIC小组的经理,我也被提拔为硬件组经理。测试组的经理,Ting Tan,也在同一时期加入。Ting是马来西亚华人,之前在Cisco担任测试经理,他是我们的一个台湾天使投资人推荐的。我一直以为他姓谭,后来才知道是陈的广东话拼音。至此,Netscreen研发部最初的四大功能,软件,芯片,硬件,测试才算齐全。
99年初邓锋当上研发部副总后,找到我和Raymond,说他软件方面不熟,要依靠Roger和Ting, 因此要提拔他俩做总监(Director),要我们俩支持一下。我和Raymond都是邓锋的校友,也不好意思和他争,谁知我俩这个Manager就一直当到04年被Juniper并购以后。柯严只负责新技术开发,老毛也被提拔为系统架构师,负责软件flow和芯片的架构设计。
柯严为人还是很厚道的,只保留了一个总监的Title,手下也只有老毛带领的一个团队。在这件事情上他很顾大局,虽然邓锋的管理能力是大家公认的。
Netscreen的研发工程师来自五湖四海,不像外边传说的清一色清华毕业生。相反,Netscreen创业的时候,招人很难,毕竟当时networking上牛逼的新公司多了去了,像是Foundry, Extreme, ONI, 连老牌公司如Ciena,Nortel都焕发青春。所以邓锋先是忽悠我们这帮学弟学妹们,例如Changming Liu, Shalang Li等都是这样陆续被忽悠进来的。不过也有例外,当时邓锋非常看好的一个五字班学生,就拒绝了Netscreen的offer。他在Foundry上市的前夜加入Foundry,两个月后身家就过了千万美金,让我们羡慕不已。虽然后来股价一落千丈,但那是后话。
所以创始人们就到处拉人,像是当时的大牛,Guangsong Huang,人称老黄,就是当年邓锋在外打黑工时认识的。老黄是国防科大毕业的,后来在涿州的一个石油系统工作,在他的介绍下,有许多他的老同事像是Lin Chen,Jia Ma等,陆续加入Netscreen。
老毛也介绍了他在南开的同学,Shuhua Ge,过来负责平台软件。Shuhua是我的死党,后来一直留在Juniper美国,并担任高端SRX产品线的研发资深总监,也是很有成就。
Raymond进来后,又推荐他太太在索尼的同事Frank Zou加入公司。Frank是大连理工的博士,一进来先是到硬件组写硬件老化测试程序。那一天早上找到我说板子上的EEPROM不好使,试了几块都坏了。仔细问过他,原来这老兄做了个循环读写测试程序,不断地擦写EEPROM,搞一晚上,循环几百万次,当然就写坏了。后来Frank转到软件组,曾经一度担任ScreenOS 5.0的项目负责人,我离开Juniper后,又接任中国研发中心,后来被提拔为研发中心VP,应该是目前大陆人在Juniper担任的最高职务了。
研发团队里也有不少台湾人,如Michael Hsie等,他们的表现也非常优秀。
事实上,正是这样一支杂牌军,在邓锋的领导下,创造了世界网络安全史上的一个奇迹。
Netscreen的产品,一直以ASIC和高性能著称。真正的ASIC产品,其实是在第三代芯片,也就是Saturn出现后才实现。之前的两代ASIC, Pluto和Neptune,都只实现了ACL规则搜索和VPN加密的功能,根本没有实现防火墙的核心---流转发。不过时间不等人,我们必须要推出下一代千兆防火墙。
99年的春天,邓锋把柯严,老毛,老黄和我叫到会议室里,讨论怎样实现千兆性能。当时的处理器性能很低,总线也是个瓶颈,32位的PCI总线也就能实现最多700Mbps的数据通过能力。后来我的方案最终被大家接受,就是用10个NS-100处理板,前面放上一个负载均衡处理器,就可以实现千兆处理能力。最终这个项目由老黄和我负责,老黄做软件,我做硬件。
接着问题又来了,负载均衡的处理性能要求很高,必须用FPGA来实现。可是当时ASIC组的人都在忙Neptune,根本没有人力去做这个FPGA。我看到邓锋很为难,自告奋勇由我来做这个FPGA和转发接口板。我之前没有学过任何高级芯片编程语言,最多也就是用ABEL写CPLD。买了本VHDL的书,一边学一边写,还要做板子设计。最后总算是不辱使命,一直到这个产品的生命终结,都是我在维护这个FPGA。
这是我第一次接触千兆光纤端口设计,其中涉及125MHz的GMII和1.25G的差分对信号线。第一个原型机出来后,基本上都正常。但是负责软件的老黄很快发现,板间的数据转发光纤端口会出现大量的CRC错误。我先是怀疑差分对的信号质量不好,但是当时我们没有钱买仪器,示波器是最低端的Tek100,到网上读了许多资料,修改PCB设计情况都没有好转。
CRC问题拖了好几个月,我的压力非常大。那时销售们一直在要求尽快出NS-1000,项目拖延的症结也明显在硬件。好在邓锋从不催我,他大概帮我顶住了许多压力。
事情的转机是非常偶然的。我从当时Motorola的网站上读到一篇技术文章,提到时钟抖动和误码率的关系。这一下提醒了我,之前我已经试了无数种可能,几乎已经山穷水尽,就是没有怀疑过晶振。立马到Digikey找了一款Epson的低抖动晶振,结果是药到病除。
这段时间是我硬件设计水平提高最快的阶段。之前基本上是知其然不知其所以然,懵懵懂懂的。为了解决这个问题,我把能读到的技术文章都通读了一遍,遇到原厂FAE,也抓过来问一通;做FPGA设计,对时序,状态机,DRAM接口都理解得更为透彻。有时回过头来想,困难真是最好的老师。
NS-1000是基于CPCI架构,选择CPCI,是因为有现成的机箱可以使用。产品经理们一直抱怨我们的面板设计太简陋,因此前盖板的设计工作就分配给生产部。最终拿回来的前面板让我们大吃一惊,它是用整个的铝锭蚀刻切削而成,成本每块三千美金。后来有好事者把这个面板置换到一个微型冰箱的面板上,倒也非常合适。10年以后,我发现Apple居然盗用了我们的创意,iPad的背壳也是用整块铝锭切出来的,可惜当年没有申请专利。
NetScreen-1000
回过头来看,NS-1000初期设计非常草率,当时没有串行背板的技术,邓锋的主意是用千兆光纤在前面板把处理板和交换板连接起来。打开前面板,用户可以看到几十根飞得乱七八糟的光纤电缆,可以说没有任何美感可言。因为要冲进度,软件质量也不稳定,到客户那里一塌糊涂。
然而,当时NS-1000的快速推出,奠定了Netscreen在防火墙市场上的一哥位置。其实当时Netscreen的研发团队水平一般,我在做这个项目之前,对信号完整性简直是一无所知;软件也好不到那里去。不过我们都有一种初生牛犊不怕虎的精神,也就是老美所说的 “can do”的工作态度。通过这么一个远谈不上完美,甚至有很多缺陷的产品,为后来一系列真正领先的架构和技术奠定了坚实的基础。
老黄负责软件,NS-1000让他吃了不少苦头。因为要支持处理板的板间冗余,会话同步非常麻烦,费了好大劲才稳定下来,但还是有不少bug。这也促使Netscreen 下一颗伟大的芯片Saturn的诞生。
我们和其他硅谷的起步公司没有什么两样,基本上每天9:30前到公司,工作到晚上10:00下班回家,周六还要来加班,当然也没有加班工资,过节也没有水果,食油发,唯一的福利是周一到周四的晚餐和周六的午餐都免费。
离公司不远的地方,有家中餐馆,中文名叫“状元楼”,英文名China Stix, 我们就直译为“中国筷子楼”。邓锋每个周末都喜欢带我们去状元楼,这是有原因的。一是那儿的韭菜盒子等点心做得不错,二是总可以蹭点免费的点心。
筷子楼有个女招待,据说是前省乒乓球队的。每次我们去,坐一大桌子,她总是趁主管没看见,多送几样点心给我们吃。我们都猜她一定是看上邓锋了。邓锋人高大,长得又帅,运动也不错,在学校里就是女生追求的对象,不幸的是他选择了清华,所以后来还是娶了北大女生为妻。
Netscreen的工作很苦,因此每天晚上我们吃饭的时候都喜欢拿邓锋各种各样的“女朋友”开玩笑。当然,这些女朋友都是我们臆测的,谁也没有真凭实据。他也不辩白,听着我们的编造总是在旁边暧昧地笑着(此处省略7个字)。这就成了我们两大乐趣之一。
第二大乐趣是在公司里玩各种球。起初是乒乓球,有Ting, 老马(Jia Ma),老黄(Guangsong Huang)和Raymond四大高手。有一次他们真的把筷子楼的女招待请来了,车轮大战的结果是罗生门。老黄说女生当然打不过男生;老马说毕竟人家是省队的,握拍姿势就比咱标准,反正到现在我还搞不清楚那场比赛谁赢了,只知道后来再也没有人提议邀请她来打球。
另一个是台球。有一天突然公司出现了一张台球桌,还是标准尺寸,很高档的那种。听说是销售和CEO打赌,业绩完成了赢的。我们一帮工程师,不像销售整天在外边跑,因此近水楼台先得月,把球桌给占了。不过大家都是大陆出来的,没有人会打。幸好我们还有台湾同胞,Kavin Wang。他原来是我们代工厂Flash的生产工艺经理,后来被我们给挖过来了。据称他少年时代在台北西门汀帮老大看场子,算是地下职业选手。他教我们如何握杆,如何击球,各种规则,不厌其烦,因此我们都叫他校长。
到后来流行的是桌面足球,一到吃饭时间,餐厅里就人声鼎沸,各种呼喊声,助威声不断。一直到上市以后,工程师们都乐此不疲,我也不懂那玩意怎么会有那么大吸引力。
2000年春节后的一天,我们所有人突然被通知到Santa Clara的Biltmore Hotel开会。一进会场,每个人都领到一件T恤衫和一支笔。奇怪的是,衣服上印的不是Netscreen而是Efficient Networks。Robert和一个陌生的白人,站在前台。
谜底很快解开了,我们让Efficient给并购了。据Robert讲,并购的价格在9个多亿美金,等于12亿美金的IPO (因为IPO都会发行新股)。
回到办公室,就炸开了锅。老葛(Shuhua Ge, 老毛南开同学)把Efficient的家底研究了个透。这个公司是做DSL Modem起家的,近几个月股票大涨,一直涨到近200美元一股,100亿美元的市值。老葛忿忿地说,“这个公司根本没什么价值,Robert一点眼光都没有”。
事情还真让老葛说中了。几个星期下来,Efficient的股票从近200美元,掉落到120美元,最后到了40美元。刚开始,高管们还在信心满满,吹嘘这个合并有多么好,而且Efficient手里还有7个多亿的现金呢。等掉到100美元以下以后,人人脸色都不好看,当然最难受的是VC了。
研发的人心开始浮动。我们都在考虑换个工作,反正Netscreen也就这样了。2000年是硅谷的黄金时代,NASDAQ指数冲过5000点,Cisco号称要成为第一个市值万亿美金的公司。当时最热门的是光纤网络公司,工作也很好找。我,Raymond还有许多人都跑出去面试一圈,每个人都拿了4、5个offer回来,工资也远比Netscreen为高。邓锋知道后,找到我们,说:“你们别急,给我一点时间,事情会变化的”。
这是Netscreen历史上最大的一次危机,关键的时候,邓锋的领袖力就出来了。如果不是他,恐怕我们早就散了,也不会有后来的光辉岁月。
结果,用当下时髦的话来说,Robert他们做了个艰难但是正确的决定,因为公司面临散伙的危险 (应该和支付宝有一拼吧)。不过在美国契约精神还是很重要的,幸亏Netscreen请了硅谷当时最好的律师事务所,高手们在并购协议中找到了一个漏洞。最终,在2000年6月5日,双方同时宣布并购取消,Netscreen也不必付分手费,总算有了个我们满意的结局。
这已经不是第一次并购失败了。之前99年上半年,Redback就考虑以4.8亿美金收购Netscreen,连他们的财务都过来清点我们的资产了。当时大家都很高兴可以兑现股票了。最后,对方后悔了,给了一个据说是侮辱性的价格,让所有人都很失望。
这两次折腾,让兄弟们开始找风水上的原因了。你说地方不好吧,旁边的Network Appliance,生意一天比一天火,连每天来拉货的卡车都从皮卡换成了大集装箱,股价也一天比一天高。后来还是老黄发言把大家镇住了:我们公司正门在侧边,一般很难发现,大家平时都走后门,属于旁门左道,因此正经的上市不搞,老想卖掉,结果越卖越差。黄半仙的判断让我们都点头称是。后来不知怎么传到Robert耳朵里去了,这个白人老儿居然最后也成了风水的信徒,咱们中华文化的强大生命力可见一斑。
公司再次搬家了,这次搬到Central Express Way和Oakmead Parkway的一栋二层旧楼。听到消息,我们鼓动老黄先去看风水。老黄回来告诉我们这栋楼倒是方方正正,大门靠路边,虽然朝西,但还算过得去。大概不是坐北朝南的缘故,最后Netscreen还是卖给Juniper,没有成为百年老店,风水上是有些欠缺的,不过当时我们也想不了那么多了。
Netscreen的上市过程也是一波三折。创始人和早前请来的高管,都没有什么钱,或者用今天的话来讲,就是没有财务独立,因此大家都想把公司卖了。卖公司没有禁售期,大量股票可以立马兑现,也没有人想过卖了之后干什么。后来两次没有卖成,这条路眼看着走不通了,这才开始认认真真做上市的准备。
2000年Robert请了一个CFO, 叫Peter,原先在一家上市的连锁零售店做CFO。美国还是很看重资历的,因此上市公司CFO的光环很有吸引力。随后请四大之一的安永做审计。审计的结果让大家大吃一惊,结论是财务问题太多,不建议上市。据说董事会上吵得很厉害,当时的董事长叫Frank Marshall,邓锋他们仰慕他是Cisco的第一任VP of Engineering,因此把他请来。Frank在会上就问Peter,DSO(Days Sales Outstanding)是什么意思。老头支支吾吾了半天,答不上来,Frank大怒:连我这个工程师出身的都懂,TNND,你一个CFO还整不明白。可怜的老头当场就给辞退了。嗨,当初面试的时候都不知干嘛去了。
01年重整上市,当年的烂帐一定要先清理。公司新请了个finance controller,Paul Carney ,到任后又马上任命为VP of finance。Paul个头不高,一副精明强干的样子,他是Robert招募到比较让大家心服口服的为数不多的两个高管之一,另一个是负责亚太区销售的Hansen Chen。
Paul来Netscreen之前在Google就担任controller,不过当时Google还没有今天那么牛逼,也不知道哪天能上市,所以Paul就到Netscreen来了。Paul还推荐了他之前的老板,Remo Canessa,来做CFO。和老Peter不同,Remo为人很和气,面对工程师们有时有些无礼的询问也能慢悠悠地回答,而且解释得清清楚楚,这让大家很服气。
Paul和Remo这一对搭档还是很不错的,很快就把多年累计下来的问题清理干净了。那一段时间,安永的姑娘小伙子们早早就来了,到晚上10点多我们下班的时候,他们还在,成天憋在会议室,埋头于一大堆财务报表里不出来。我们这帮工程师平时就爱发牢骚,老觉得自己干的多拿的少,看过这阵势,才知道自己还是挺幸福的。
9月份,开始路演了。高管们成天不在家,都在天上飞来飞去。11号早晨,我刚起床,我岳父叫我到电视机前。天哪,又在演灾难片吗?定睛一看,是真实的现况,还是现场直播,眼看着一架波音飞机直挺挺地冲进世贸大楼。
当天股票市场一片混乱,路演也没戏了,Robert一行人决定打道回府,可是飞机也禁飞了,只好租了辆车开回来。
911之前NASDAQ曾经冲到了疯狂的5000点,周边的同学朋友们个个都是百万富翁。我和Raymond经常在一起发发牢骚,抱怨自己都没脸去见同学了。可是2000年以后,股市就像坐上了Great America游乐场的自由落体Free Fall,一路跌破到2000点,911之后更是雪上加霜。真是印证了那两句古诗:飞流直下三千尺,奔腾到海不复回。
当年许多公司没有清晰的商业模式,亏损得一塌糊涂,就靠融资支撑,只要混到上市就算成功。老毛之前在网上买了一辆Acura TL,三万多美元的车,cars.com愣给倒贴了三千美元,还免费送车到府外加一把鲜花,真是神奇的时代啊。(和今天的大宋也很像不是?)
不过出来混,早晚是要还的。这一下子,当年所有牛哄哄的光纤公司和互联网公司全完了,那些纸上的财富也顷刻间烟消云散。倒是Netscreen一直脚踏实地做企业,销售额节节攀升,最终还是老实人靠谱。
后来局势慢慢地稳定下来。我还清楚地记得上市的那一天,是2001年12月12号,Netscreen在NASDAQ首发成功,当天就大涨了近70%,号称911后第一个高科技IPO。公司内部临时架起一个大屏幕电视机,上面滚动显示着Netscreen的股价。邓锋的太太从来不去公司,这次也来了。旁边的老美看我在和她聊天,问我是不是新来的员工,我笑着告诉他,这是我们的大股东。
公司上市了,我们的生活还是没有什么变化。因为有6个月的禁售期,我们的股票都没有套现,大家还是老老实实地工作。只有Ting耐不住气,跑到宝马dealer那里买了辆M5,因为心急,现车只有一辆死红死红的猪肝色,也给买回来了。
最初的NS-100已经支撑了四年,虽然其中历经了NS-100+, NS-100P等静悄悄的硬件升级,性能已经比当初提高了不少,不过只有三个百兆端口,已经不能满足市场的需求了。
在这个背景下,设计一款全新的产品,提高竞争力已经是当务之急。公司新来的产品经理,Lee Klarich,具体负责这个产品。Lee很瘦削,不苟言笑,经常和我们这帮工程师争吵,一付美国愤青的样子。
当时项目多,硬件工程师也排不过来,因此还是由我来负责硬件设计。经过NS-1000项目,我对硬件的理解和掌握提高了很多。之前Neptune芯片一直用双端口SRAM,RAM的另一边接到系统控制芯片(Marvell)的Local bus上,所有的包都用DMA引擎传输到这片SRAM上。但是原本系统控制器的Local bus是用来连接启动ROM等低速芯片的,CPU存取这片空间存在性能瓶颈。
我的第一个设想是用CPLD来模拟DRAM接口,这样SRAM就可以直接接到DRAM总线上,不仅总线带宽由32位加宽到64位,而且支持同步burst模式,数据包的存取性能一下子提高了八倍。
第二个想法是充分利用两条独立的PCI总线,把8个MAC设备分别挂到两条总线上去,这样PCI的传输速度又提高了一倍。
老毛是个电脑爱好者,对台湾产的主板能够超频交口称赞,一直鼓捣我也在硬件上加入这个功能。我被他的喋喋不休给弄烦了,这次就依他所愿,也加入软件超频的功能。
板子设计非常成功,第一个版本就全部验证通过,而且FCC/UL测试都没有问题,直接可以投产。这是Netscreen历史上绝无仅有的一次。而且性能测试超出所有人的预料,NS-200用一个低端350MHz MIPS CPU,把NS-500的配有L2缓存的高端系统给干掉了。
我和老毛开始玩超频,发现把PCI的时钟从33MHz超频到37.5MHz,小包性能一下子从60Mbps升到100Mbps的线速,哥俩都非常得意。正准备拿出去测试忽悠一下,让另一个产品经理Gregory知道了,在公司里面大声嚷嚷说我们俩作假,只有Yuming的代码才能跑那么快。Gregory也是元老级员工,让他这么大嘴嚷嚷,结果这一“伟大”的功能无疾而终。
NS-200顺利投产,Lee根据两种不同的配置,分别命名为NS-204和NS-208。因为性价比较高,客户很快接受了这款产品,公司开始大量出货。
3个月后,不少客户发现在流量大的时候会突然出现不断的系统重启,可是测试部根本无法复现。情况开始变得比较紧急,Ting怀疑是硬件问题,邓锋决定派我去客户现场处理。
时间紧迫,客户是位于华盛顿特区的Verisign公司,我出发时已经是下午6点,转了一次机,等飞到Dulles机场,正好是当地时间早上7点。一分钟不能耽搁,销售过来接我到Verisign,他们刚刚上班。客户见到我很高兴,说终于等来了带示波器的家伙。在客户现场确实可以看到系统重启的过程,不过我还是一筹莫展。下午,Ting打来电话,说已经可以复现了。原来之前一直是用Smartbit灌流量,后来才想到用一个实际网络模拟软件Chariot很快就能复现。
我又急忙赶回去。已经两天一夜没合眼,困得要命,还好买到了直达航班的票,而且由于时差的缘故,下午6点的航班到旧金山是晚上8点。到了机场,没有回公司的车,打了个的,结果刚出机场计价器就跳个不停,到了San Mateo, 我心里实在承受不住了,要求司机找个路口下车。然后打电话让老葛过来接。夜里9点多了,老葛还没下班。他负责平台软件,因此和我是一条绳上的蚂蚱。到了公司,才知道之前不能复现还有一个原因,测试组用的是第一批生产的平台,而只有最近出厂的产品才有问题。
我把注意力都集中在两者的差别。最后还是我们的元器件工程师Alex,一个和蔼可亲的俄国佬,发现新批次的Marvell芯片是B3版本的,而最初的产品用的是B0版本的。
这就好办了,老葛把寄存器全部dump出来,我们一个个地对比。终于发现DRAM控制器的一个比特位有变化。原来这个寄存器大家都没动过,用的是原厂的初始值。没想到芯片版本更换之后,可恶的Marvell把那个宝贵的初始值改了,害死了我们。
找到问题,解决变得轻而易举。软件立即着手编译版本,一直忙到第二天凌晨。新的软件一发布,这个重大问题立马解决,总算有了个圆满的结局。
2002年我开始构思下一代高端平台。NS-5400和Saturn毕竟有许多先天的不足。这段时间公司并购了一家做IPS的公司,叫OneSecure。 OneSecure的创始人是Nir Zuk, 一个以色列人,之前在Checkpoint干过。我就在考虑如何能够在一个系统里同时支持Firewall和IPS,甚至包括和Trend Micro合作的病毒防护功能。把别人的软件融合到ScreenOS里是不现实的,软件升级很麻烦,bug又多,还把整体性能给拖下来了。
因此我设想规划四个内部处理模块,除了防火墙主控CPU外,还可以支持另外三个CPU板,板间通过Xilinx FPGA的Rocket I/O串行总线相连,拿ASIC和一颗大FPGA组成交换总线板,前面板还有固定端口和4个接口扩展槽 。有了三个CPU板,类似IPS和AV的处理功能就可以跑在各自独立的操作系统上了。事后证明,这是一个非常优越和超前的设计。后来Netscreen的IPS主要通过这个平台销售,始料未及的是,客户大多买的是独立的IPS系统,因为通过三块双CPU卡加速的IPS性能已经可以与一些专业硬件加速的平台相竞争。
我给这个项目取了一个代码名,叫Tasmania。 原因是公司每年都有President Club,拉业绩优异的销售去风景优美的地方有吃有玩,让我们一帮工程师十分眼热。他们也请工程师,不过只请支持过项目的工程师,而且每年就一个名额,那就只有测试组的人才有资格参加。那一年,他们去的是澳大利亚的Tasmania岛,我留了这个私心,希望产品大卖的时候那帮销售能够想起我来,不过到我离开,这个心愿也没有实现。
这个设计构想没有异议地得到了大家的支持。不过后来Raymond找到邓锋,担心Rocket I/O技术太新,会有风险。在他俩的坚持下,第一版还是用传统的FIFO bus作为主数据通道,但是我还是要求FPGA一定要支持Rocket I/O,可以不用但是生产时要可以测试。多年后,我离开了Juniper,老兄弟聚会的时候,有人还提起幸好当年留下了Rocket I/O,解决了板间互联的性能问题,这个平台才能支撑那么久。屈指一算,ISG-2000在市场上活跃了八年,可谓长寿矣。
这次做ISG-2000,软件方面又是老搭档老黄来负责。其实当时整个软件部门也在讨论大的改变。创业时柯严写的ScreenOS操作系统,修修补补多年,已经不敷使用。首先要解决的是内存保护的问题,不然一个飞指针就能把系统搞死,太可怕了,尤其是代码量越来越大,新手不断进入,这个问题非解决不可。
2000年底,老毛介绍了他的南开学弟陈怀临加入Netscreen。陈怀临就是现在大名鼎鼎弯曲评论的创始人,不过当时他既不姓陈,也不叫怀临。他在这个项目上的工作就是给ScreenOS加上内存保护,基本上是改变直接寻址的模式,转而用虚地址和MMU映射,一旦发生内存overwrite,CPU会启动Exception,这样就可以定位问题了。
ISG-2000用的是PowerPC G4,而且麻烦的是,为了追求性能,我设计了两片处理器,跑在一个LVTTL并行总线上。从电路设计上,这是我遇到最难的一个,原因是信号的终结termination非常麻烦,因为是T形总线。后来的串行技术,就算速率再高,比起这个几乎就没有太大技术含量了。
当时我还年轻,火气也比较大,遇事不服输,系统不稳定,陈怀临怀疑是硬件问题,我就和他争辩。他吵不过,干脆要port一个Linux来验证。邓锋是学并行计算出身的,他推荐我读了一本处理器原理的权威著作,最后我也弄明白了Cache, MMU的工作原理,因此能够读懂Exception寄存器的含义了,算是一大收获。
这个项目上我基本上只负责架构,我们硬件组的Edward, Scott Chastain和机构工程师Eugene负责具体的设计。技术的挑战最终提升了整个团队的个人和团队协同作战能力,这是第二个收获。
几经周折,这个系统终于发布了,而且大获成功。
市之后,大家都松了口气,晚上和周末加班的人越来越少,停车场上的豪车也越来越多。不过出于惯性,加上911后外面的机会很少,我们就继续这么呆着,错过了中国经济起飞的最好时代。
邓锋还是很有追求的。他应该早就看出一些问题:上市后,为了维持股价,满足贪婪的华尔街对利润的追求,Robert他们减少了在研发上的投入,邓锋也无能为力。不久,我们发现这个老兄居然拿起一本GMAT的书,在办公室里做题。他倒也不避讳,直言准备读MBA,后来被最有名的宾州大学的Wharton School录取。
他也在主动寻找替代自己的人。Frank Marshall向他推荐了Cisco的一个VP,Anson Chen。Anson是台湾人,在Cisco算是中国人级别最高的一个。他来后,首先邀请我们品尝了一圈雪茄,然后推荐大家去买名表,整个一个富家公子气。接下来是搞新操作系统。当时Cisco推出高端产品时,拿出了一个基于QNX的新IOX操作系统。我们也跃跃欲试,陈怀临也是当时的QNX鼓吹者之一。
不过新的操作系统还没整出来,04年公司就被Juniper以四十亿美金的高价收购了,整个项目无疾而终。那时邓锋已经转任首席战略官,这项并购应该就是他操的盘吧。
并购之后,Robert, Mark Smith, David Flynn ,邓锋,柯严相继退出了,我赶上了一个机会,为Juniper在中国创办研发中心,从此开始了海归的生涯。
Fortinet(股票代码NASDAQ: FTNT)由Ken Xie(谢青)在2000年创建,总部设在:桑尼维尔市- 加利福尼亚州,首次产品发布:2002年5月,雇员数量1,600+,设备销售总量:900,000+,客户数量:125,000+ 个用户,市场领导力:全球 UTM 市场销量第一 全球4大网络安全设备厂商之一。Ken Xie曾经是NetScreen公司(后为Juniper公司以35 亿多美元并购)有远见的创始人、总裁和CEO。 Fortinet由一支强大的、在网络和安全领域富有丰富经验的管理团队领导。 处于领先地位的Fortinet,作为一家私有网络安全公司得到工业界资深的风险基金投资超过一亿美元。
公司总部设在美国加州Sunnyvale,在北美、欧洲、亚洲地区都设有客户支持、开发和销售办公室, 以支持客户持续不断的成功。Fortinet通过世界各地的渠道合作伙伴网络来销售产品系统和预订服务。
Fortinet 解决方案提供具有竞争力的安全功能、性能和总体占用成本TCO
Fortinet 提供一组多层威胁防御系统解决方案,以便为各种规模的单位提供一个安全和干净的通信环境,迎接安全的挑战。 Fortinet是唯一能够建造从底层向上提供多层威胁防御和管理综合平台的一家公司。 这意味着通过集成、“由未来-证实”的解决方案,系统提供的安全性可以方便地满足用户扩展业务的需求。
基于Fortinet的ASIC创新和性能加速能力,FortiGate™系统能实时地、不影响网络性能地主要从邮件和Web流量中检测和清除具有破环性的基于内容的威胁, 例如病毒/蠕虫、入侵、不合适的Web内容等。 FortiGate™ 集成了当前工业界覆盖面最广的一整套安全防护,包括提供防火墙、虚拟专用网(VPN)、 防病毒、入侵防御(IPS), Web内容、反垃圾邮件、反间谍件功能和流量管理等功能。这些功能既可以单独开启应用,也可以作为统一威胁管理系统(UTM)解决方案而综合应用。
编辑本段公司优势
全面的内容保护
Fortinet为当今不断发展的网络提供完整的内容保护。在过去的10至15年里,网络威胁已经从基于连接转换到基于内容了。传统的安全技术没有跟上威胁演变的步伐,并且无法辨别恶意和合法内容的区别。
网络威胁可以通过一些常见的应用进入你的网络,如电子邮件,网页浏览器以及最新的社交网络工具。当今的网络威胁需要完整的内容保护,不仅限于简单地识别应用和控制流量。它是应用程序的控制,加上对所有内容实施基于识别的策略。
我们高性能的统一威胁管理解决方案提供你需要的可视性来检测隐藏在合法内容,甚至是受信任源和授权应用程序中的威胁。这种无与伦比的保护意味着您可以允许新的应用程序进入您的网络,但会自动阻止任何恶意内容和行为。
市场领导地位
Fortinet是统一威胁管理的市场领导者,所提供的专用的解决方案,能提高性能,增强保护且降低成本。我们为全球10万多位客户提供网络安全保护,包括全球财富500强企业中的大多数。许多全球最大和最成功的组织以及服务提供商都依靠Fortinet的技术来保护他们的网络和数据安全,包括:美洲财富榜10强企业中有8个
EMEA地区财富榜10强企业中有9个
APAC地区财富榜10强企业中有9个
通讯企业财富榜中的前10名企业
金融企业财富榜前10强中有9个
业界认证
严格的第三方认证,验证了Fortinet的综合安全能力 FortiGate解决方案是目前唯一一家同时获得NSS的IPS和UTM认证产品的UTM解决方案供应商。这些独立认证,证明了我们有能力将多种安全技术整合到单一设备上,同时还能满足性能和精确度的最高标准。我们的认证包括:
5项ICSA Labs安全认证
NSS UTM 认证
ISO 9001:2008 认证
12 病毒公报(VB) 100% 奖项
FortiOS 4.0的IPv6认证
FortiOS 4.0 EAL 4+ 认证
FIPS PUB140-2
NEBS 级别3
无与伦比的性能
Fortinet专用硬件提供高吞吐量和低延迟 Fortinet特制的硬件和软件,为最苛刻的网络环境提供业界领先的性能。我们开发的集成架构,专门提供极高的吞吐量和极低的延迟。我们独特的方案最大限度的减少数据包处理,同时准确的扫描有威胁的数据。
定制的FortiASIC™ 处理器提供多千兆位的速度,满足你检测恶意内容的需求。其他安全技术不能防御当今基于内容和基于连接的威胁,因为他们依赖于通用的CPUs,造成了一个危险的性能差距,无法在高速网络环境中实现对应用层的攻击和病毒进行有效的阻断。FortiASIC处理器所带来性能提高,使得用户可以在网络安全解决方案不至于成为网络安全的瓶颈前提下,可以随时阻断最新的病毒和安全威胁,满足严格的第三方认证。
全球化攻击响应和支持
FortiGuard® 全球的网络安全威胁的实验室研究人员在不断的监测变化着的威胁格局。我们FortiGuard团队有超过125名实验室研究团队提供全天候的网络覆盖,以确保您的网络受到保护。FortiGuard提供快速的产品更新和详细的安全知识,提供应对新的和正在出现的威胁的保护。我们的客户服务部门可以为Fortinet产品提供全球化的技术支持,其服务团队分布于美洲,欧洲和亚洲。
Fortinet 优势: 综合的安全技术, 硬件加速性能和全球化攻击响应与支持
Fortigate
FortiManager和FortiAnalyzer可以实现集中的管理、日志和报表等功能。FortiGuard升级服务是由Fortinet的专业团队进行维护和升级的,它为新发现和爆发的病毒提供及时、高效的解决方案。
目前在各种复杂的环境都部署了Fortinet产品。典型的应用涵盖了核心网、远程和分支机构、交换结构、边缘部署和终端等。下面给出的图表阐述了如何将设备如数于大型的、分布式网络环境中。
行业领导
业内认可 - Fortinet已经荣获了80多个奖项,其中包括年度最佳安全产品和最佳安全解决方案等。企业创建和领导了UTM市场,也是目前唯一一家采用ASIC加速的UTM产品。FortiGate产品结合FortiGuard服务,为企业、服务运营商、和中小企业提供了全面的安全解决方案——最好的性能,无可匹敌的功能。
UTM市场的领导者 - Fortinet创造出了业内最好的产品,获得网络安全界最多的奖项,其中有 年度安全产品. 企业创建和领导了 UTM 市场,是实时的ASIC-加速的网络安全平台的唯一供货商。我们产品结合我们FortiGuard服务为企业,安全服务商和 SMB 用户提供了最高性价比的产品。
业界认证 - Fortinet获得了多项著名的业内认证,比如FIPS 140-2、Common Criteria EAL4+ 和多个ICSA认证( SSL-TLS (VPN)、IPSec、基于网络的IPS、防病毒、防火墙)。FortiGate解决方案也是目前唯一一家同时获得NSS的IPS和UTM认证产品。
技术领先
我们的专利涵盖了Fortinet的FortiASIC™ 硬件加速、FortiOS™ 多层安全套件、智能桥接技术、网络安全和内容分析技术。
FortiASIC - FortiASIC是由Fortinet公司开发出来的独有的硬件技术。FortiASIC是一系列产品,它基于目标设计,能够实现高性能的网络和内容层处理,从而加速了对计算性能要求很高的安全服务。
统一威胁管理和完全的内容层防御需要强大的处理能力。FortiASIC采用了Fortinet正在申请专利的检测技术,在提供单一功能或者是全面的安全服务上,都可以达到业内最高的处理性能;那些将第三方软件安装在传统PC架构上的设备将不可避免地遇到性能瓶颈。
FortiOS - FortiOS专用的硬件化的操作系统,它是FortiGate平台的软件基础。FortiASIC硬件加速技术和专门优化的FortiOS配合实现高速的、实时的内容层扫描,以及对攻击的异常检测。
FortiOS本身就具有多种功能,防火墙、IPSec VPN、SSL-VPN、IPS、防病毒、Web过滤、反垃圾邮件和应用控制(即时通讯和P2P),以及带宽控制。FortiOS和FortiManager、FortiAnalyzer紧密地结合在一起,实现集中管理和日志,完成命令控制、网络流量和攻击的报表和分析等功能。FortiGuard网络确保了FortiGate能够稳定地获得最新的升级数据包,使FortiOS能够提供给客户有效的全面解决方案。
产品参数
中小型企业
中小型企业系列产品/适合于家庭办公室和中小企业的 FortiGate; 安全平台
FortiGate–50B、60系列、100A、200A 和 300A 病毒防火墙是功能强大,多
合一的网络安全解决方案。本系列的产品适合于小型办公室、家庭办公室、
中小企业、分公司办公室等等客户。产品管理界面简单易操作,为客户降
低了使用成本和超额的价值。 本产品具有多种安全功能 – 包括防病毒、防
火墙、VPN、入侵检测/防御、内容过滤和流量控制等。现在我们的企业客户
能够在不降低网络性能和不增加成本的基础上,享受网络安全服务。 FortiG
ate的安装向导可以帮助客户经过简单的几步,几分钟内就可以完成安装和运
转。设备的吞吐量从30Mbps到200Mbps。FortiGate-50B、60 系列、100A、
200A 和 300A 能够保护企业的网络,使其免受网络的攻击与威胁。
FortiGate-50B 5 10/100 ,并发25000新建2000,50M/48,20VPN
FortiGate-50B 可以满足小型办公室/家庭办公(SOHO)应用需求。安装向导使得安装部署简便易行,几分钟内就可以让FortiGate-50B运行起来。FortiGate-50B 功能全面,可以抵御混合攻击,适合于10个以内人员的远程办公和小公司的使用。
对与远程办公室、零售店面、远程办公和企业应用来说是非常理想的。
可以在基于网络的病毒、Web和邮件的内容过滤、VPN、防火墙、网络入侵与防护、流量整形等方面,立体构成网络防御体系。
FortiGate-60/60M
FortiGate-60/60M 支持双WAN接入,实现冗余 7 10/100 ,并发50000新建2000,70M/20,50VPN
的Internet连接。FortiGate-60M还支持模拟modem,实现线路的备份。
采用了硬件加速、基于ASIC加速,实现极高的性能和稳定性
对于需要防火墙、防病毒、VPN和入侵检测与防御等多种安全的功能的企业来说是非常理想。
FortiGate-60 ADSL 7 10/100 ,并发50000新建2000,70M/20,50VPN
FortiGate-60 ADSL 集成了ADSL modem。它支持多种ADSL标准,包括ANSI T1.413 issue 2, ITU G.dmt and ITU G.lite, 以及Annex A。
在外地办公室和远程办公通过ADSL连接到总部这种环境下,该产品提供了一个完整的安全解决方案
所集成的4个交换接口减少了额外的交换机和HUB的需求,节省了资源和管理成本
FortiWifi-60A/60AM
FortiWifi-60 是第一款为无线环境提供一体化安全解决方案的产品,它是中小企业、零售连锁店、远程办公的最佳选择。
支持802.11a/b/g无线和有线接入,这样可以对无线和有线接入都部署防病毒、防火墙、VPN、内容过滤、入侵检测与阻断等网络安全服务
对WLAN可以实现IPSEC加密VPN和WEP,实现了无线接入的安全体系
FortiWifi-60AM 集成了一个模拟Modem,用作线路备份
FortiGate-100A 8 10/100 ,并发200000新建4000,100M/40,80VPN
FortiGate-100A 是小公司的理想的选择。支持双WAN连接,可以实现Internet接入冗余,集成的4个交换接口,可以替代一个交换机或HUB。
双 DMZ接口,方便服务器的部署
双WAN接口实现了多ISP的冗余、负载均衡
FortiGate-200A 8 10/100 ,并发400000新建4000,150M/70,200VPN
FortiGate-200A 适用于中小型企业。FortiGate-200A支持双WAN连接,可以实现冗余的Internet接入,集成的4个交换接口,可以替代一个交换机或HUB。
中小型企业和组织的高性能的、实时的解决方案
四个可路由的10/100接口和4个内部交换接口
FortiGate-224B
FortiGate-224B 是Fortinet将立体多层安全防护与网络登陆集成在一起的首款产品。FortiGate-224B实现的端口级别的访问控制,是将2层交换设备与传统的FortiOS技术集成在一起的产品。它是全面的有效的局域网的安全解决方案。
将网络安全策略部署于接口级别上,强化了网络安全体系。FortiGate-224B是针对入侵攻击、病毒、蠕虫、拒绝服务攻击、间谍软件。
把安全体系与网络交换功能整合在一起,降低了部署的复杂性。
自动地响应和自我修复性隔离,降低了网络管理的运行成本。
FortiGate-300A 4 10/100.2 G ,并发400000新建10000,400M/120,1500VPN
FortiGate-300A 病毒防火墙的性能、灵活性和安全足以满足中小规模的网络的需求。FortiGate-300A平台具有两个10/100/1000 三速以太网接口,适合于千兆网络和要升级到千兆网络的环境。
和市场上其它产品来比,其性能、价格、功能都值得称道
有两个千兆接口和四个用户可定义的10/100接口
企业级的UTM防火墙
FortiGate; 企业级系列产品包括 FortiGate-400、400A、500、500A和800,能够满足普通企业的对性能、可用性和可靠性的需求。它们和其他型号产品一样具有所有主要功能,比如集成的防病毒、防火墙、VPN、IPS和流量整形等功能。企业级产品的吞吐量最大可以达到1Gbps,具有高可用性(会话级别切换),多个安全区等功能,因此说它们是企业的关键应用的最佳选择。
FortiGate-400 并发会话数400000,新建会话数10000,处理能力500M,3DES处理能力140M,1500个VPN通道
2 GE and 4 10/100 以太接口
FortiGate-400 病毒防火墙为企业级的网络安全设备。能够即时监测病毒与蠕虫、过滤网络数据包内容,并提供高效能之防火墙、VPN、和流量监控等功能。FortiGate-400病毒防火墙具备所谓的高可用性(HA)和故障恢复功能,完全可以满足企业的关键业务的安全需求。
本产品为中型企业提供全方位的网络防护的最佳解决方案。
多重安全区的管理可以实现完了国分段的功能,网络管理者可以针对所属安全区的子网络制定完善的安全策略和网络流量控制。
FortiGate-400A 病毒防火墙为日益扩大的企业用户提供了高性能、高安全的,部署灵活的安全防护体系。FortiGate-400A的系统平台具有2个10/100/1000通讯接口,为扩展到千兆环境预留了空间,4个可用户定义的10/100通讯接口,可以实现冗余的WAN接入。本系统具有高可用性与多个安全区管理的功能,网络管理者可以针对所属的区域定制完善的安全策略和网络流量控制。
本产品具有2个千兆以太网接口和4个可用户定义的10/100个接口,可以满足中型企业的扩展性要求。
可以作为高性能的病毒和内容过滤的网关;或者作为企业网络的防火墙,提供所属的网络的全面的内容防护功能,其包括入侵检测和防御与等功能。
FortiGate-500
FortiGate-500 病毒防火墙是多个区域的安全解决方案。本系统可以将企业的网络划分成不同的独立区域,在每个区域内都可以定义所属的安全策略。FortiGate-500 病毒防火墙具有12个可定义的网络接口,1U高,实现比其它系统更为经济、高密度、低成本的安全解决方案。
本系统有12个10/100M以太网接口,和多个安全区的功能,部署最为灵活。
本系统能够实现屡获殊荣的各个网络安全功能,包括网络病毒防护、防火墙、VPN和入侵检测/阻断等。
FortiGate-500A 并发会话数400000新建会话数10000,处理能力600M/3DES处理能力150M,3000个VPN通道
2 GE, 4 10/100 接口, 4 个交换接口
FortiGate-500A 病毒防火墙为日益扩大的企业用户提供了高性能、高安全、富有弹性的安全防护体系。FortiGate-500A系统平台具有两个 10/100/1000通讯接口,为企业扩展到千兆环境提供了便利。并提供 4个用户可以定义的 10/100通讯接口,支持冗余的WAN接口,高可用性和多个安全区域等等。网络管理员可以针对所属的区域制定完善的安全策略和网络流量控制。此外,本系统还有4个交换接口,方便用户使用。
特别适合企业级的网络架构,提供高速的传输率,高性能和低成本的安全解决方案。
具有6个10/100M的网络接口和4个10/100M交换接口,满足未来灵活部署的需要。
FortiGate-800 并发400000新建10000,1000M/200,3000VPN
4 GE SAU SFP, 4 10/100 ports
FortiGate-800 病毒防火墙为大型企业提供了高性能、高安全性、灵活的网络安全系统。FortiGate-800可作为高效率的病毒和内容过滤的网关;或者作为企业网络的防火墙,实现所属网络的完全内容防护,包括入侵检测/防御和 等功能。FortiGate-800系统具有四个10/100/1000网络接口,4个用户定义的10/100接口,实现细粒度的多区域的安全,网络管理员可以把他的网络划分为多个区域,在区域之间创建策略。
具有4个10/100/1000 以太网络接口,为企业升级到千兆网络提供了便利。
是大型企业的理想解决方案,实现性能高、部署灵活、可细粒度控制网络流量等特点。
FortiGate-1000A 和 FortiGate-1000AFA2
FortiGate-1000A 病毒防火墙是一个能够达到千兆吞吐量的高性能解决方案,
可以满足大型企业对可靠性的需求。可选的FortiGate-1000AFA2装备有采用
了FortiAccel技术的2个接口,可以大幅度提高小包的处理能力。FortiGate-1
000A产品可以很容易部署于现有网络,可以作为病毒和内容层的过滤,也可
以作为一个全面的解决方案。对HA的支持和热插拔电源,确保了关键业务的
不间断运行。
FGT-1000A 有10个10/100/1000M 的三速Base-T接口
FGT-1000AFA2 有10个三速接口和2个可拔插的小包线速接口,是VoIP用
户的理想选择。