GlobalProtect 的极简之道

什么是 GlobalProtect？

在外企工作过的的，很有可能听过这个软件，一般公司配发的电脑默认都会装这么一个玩意，如果是苹果的系统，右上角会有这样一个地球🌏的小图标，如下图所示：

这个小软件可以说是办公必备软件之一，访问公司的一些内部系统时都要求启用它。简单来说，它就是个企业内部的 VPN，方便远程用户安全地连接到企业内部系统。

这也是我对这一软件最初的印象，过于基础，所以存在感太低，就像你每天都会喝水，但并不会去想水龙头的背后有着什么样的设计和系统。直到来了制造这个软件的公司，Paloalto，自己动手搭建了一套 GP，才发现原来小小的软件背后有着很精美的小设计。

网络的复杂

在 SDN 出现之前，网络天生是一种分布式架构，分布式使得网络天生具备高度的容错性和可靠性，但也带来了相当的复杂性，尤其是牵扯到广域网互联的时候。

安全问题

转控分离

portal 和 gateway的设计。

传统的 VPN 很多都是独立管理，每个节点做主备高可用，这就导致用户使用的时候，有一堆清单，比如下图。

但是用户需要知道这些吗？

全球网络加速

现在一些公司走向互联网之后，为了更好地为分布在各地的用户提供优质的服务，都会使用 CDN 等技术来提供就近访问，简单来说，就是为了将网站分布式“放在”多个数据中心。

而站在 VPN 角度，实际上也会有这样的需求，让用户能更快地访问到他所需的资源，这时候就需要把 VPN 也做成分布式的，为用户就近提供服务。

做成分布式之后有几个问题需要解决：

统一认证
节点选择
骨干网的搭建

这些在传统的方式下很是复杂，而 GP 的设计逻辑很简单

哪里能获得？

以防有人想知道，怎么部署 GP 呢？很简单，买一台 PA 的防火墙即可，对于小型企业，一台 PA-400 系列的防火墙就够了，开启七层安全防护的功能下，可以达到上 G 的吞吐，远大于一般企业互联网专线的带宽。如果需要分布式节点，可以在各大云服务商部署 gateway 节点，部分云厂商直接可以在 marketplace 中找到。