新的 FortiGates
本周，这家安全供应商加大了赌注，推出了 FortiGate 3700F，它将多个 400Gbitc 端口打包到一个更小的 2U 机箱中。尽管防火墙确实失去了原始容量——以 600Gbit/秒的速度进入。

Shah 承认，3700F 并不适合所有人。它面向处理私有和云数据中心内部和之间的大量敏感数据的客户。

“他们正在为需要[满足]合规性和性能要求的特定应用程序构建这个超大规模数据中心，”他解释说。

医疗保健是 Shah 认为对高性能防火墙需求强劲的市场之一，因为它们通常背负着大量高度敏感的数据，这些数据可能需要在数据中心或云之间移动以执行 AI/ML 工作负载。

与此同时，金融机构——尤其是那些从事高频交易的机构——需要一种能够跟上每秒数百万个延迟敏感连接的安全设备，Shah 说。“超低延迟同样重要。”

新防火墙支持低至 2 微秒的延迟，据 Shah 称，这使得 3700F 等防火墙非常适合这些环境。

虽然目前对这类防火墙的需求仅限于少数特定行业，但 Shah 表示，他预计大多数数据中心最终会走上类似的道路。

数据中心的零信任
除了支持更大的数据流之外，Shah 还将防火墙视为将零信任原则扩展到数据中心更深处的一种手段。

“这是我们认为数据中心中的网络防火墙发挥关键作用的地方，”他说。“我们认为这将对 ZTNA 的普遍执行发挥重要作用。”

虽然零信任网络访问 (ZTNA) 在很大程度上被视为远程访问 VPN 的替代品，但 Shah 认为该技术也可以应用于保护数据中心到数据中心的流量。与此同时，微分段——一种经常用于零信任架构以确保只有那些应该相互通信的工作负载才能进行的技术——为保护数据中心内的应用程序到应用程序的流量提供了一种途径。

“现在是[开始]在数据中心使用微分段的时候了，而防火墙仍然是其中的核心部分，”他说。

总的来说，Shah 认为，通过在防火墙中完成所有这些操作，客户可以消除管理多个平台以实现零信任架构的复杂性。

分布式防火墙势头强劲
Fortinet 以防火墙为中心的数据中心安全方法很快就会受到新型安全设备的挑战。

来自英特尔、英伟达和 Marvell 等公司的数据处理单元 (DPU) 为客户提供了一种替代方案，通过正确的软件，在每台服务器中安装一个小型防火墙。去年夏天，竞争对手的防火墙供应商 Palo Alto Networks通过在 Nvidia 的 BlueField-2 DPU 上部署其虚拟防火墙平台来演示此功能。

DPU 的功能类似于协处理器，从 CPU 卸载和加速 Palo Alto Networks 的数据包过滤和转发功能。而且，与 Fortinet 的超大规模防火墙一样，Nvidia 声称这种方法可以实现以前认为不可能或不切实际的数据流。

当被问及设计自己的网络和安全 ASIC 的 Fortinet 是否会采用类似的分类方法来开发防火墙时，Shah 拒绝发表评论——但不排除这种可能性。根据 ZK Research 的 Zeus Kerravala 的说法，这样的产品——也许是 FortiDPU——不会那么令人惊讶。

“有了 BlueField，Palo Alto Networks 必须将软件移植到它上面。他们必须确保它经过优化，可以在 BlueField 上运行，”他告诉The Register。“Fortinet 的安全处理单元是针对他们的工作进行了优化的芯片。它为他们提供了巨大的性价比优势。”

Kerravala 补充说，Fortinet 安全结构提供了另一个优势，它为操作员提供了一种集中管理和扩展每个设备的策略的方法。“现在我们已经进入了这个所有东西都是分布式的混合世界，这确实是创建织物要解决的问题。”