（一）扑倒那个 Boy

"我踏马受够你了！"

一个妹子尖利的喊声划破了旧金山格伦公园图书馆的宁静。

群众惊呆了，纷纷抬头。显然，眼前情侣吵架的戏码要比手头的科幻小说更燃。

就在邻桌，一位挂着胡茬的阳光大男孩乌布利希也抑制不住八卦的心，把视线从眼前的电脑屏幕移开。

说时迟那时快，不知从哪里窜出一哥们，一把把他的电脑夺走，跑得比兔子还快。

乌布利希大喊："肿么个意思？"弹射起来想要夺回电脑。不料，同桌的六个"读者"一拥而上，闪电般锁住他的喉咙，反剪双手，把他扑倒在地。

乌布利希舌头都快被勒出来了：I 。。。can't breath。。。

刚刚吵架的那对"情侣"秒级和好，也冲过来，给乌布利希戴上手铐，簇拥着他走出图书馆。

图书管理员听到这边稀里哗啦，赶过来处理，被这帮人呵止。十来个人一齐脱下便装外套，露出了 FBI 的制服，对围观群众说：Surprise！

群众呆麻了。。。

乌布利希没来得及砸碎的电脑上，登录着一个管理员界面——Dread Pirate Roberts（可怕海盗罗伯茨）。

这是当时FBI拍的图片，后来被作为呈堂证供。

铁证如山，他就是被称为"暗黑界亚马逊"的"丝绸之路"创始人。

过去几年，无数毒品、枪支、假钞甚至买凶杀人的交易，都与"丝绸之路"网站和这个看上去人畜无害的23岁年轻人有关。

乌布利希

暗网、极客、药品、暴力、自由主义，围绕乌布利希的这些讨论都直击灵魂，但那些中哥今天都不聊。

咱们聊一个剑走偏锋的细节。

先给你来个灵魂拷问：

乌布利希是坏人，这没错。那给他提供了 Wi-Fi 的图书馆是帮凶还是受害者？

我觉得大部分浅友都会说：图书馆招谁惹谁了，肯定是受害者啊！

再来第二个灵魂拷问：

既然是受害者，那乌布利希利用图书馆的网络做坏事的时候，图书馆有多大概率发现？

你可能会说：什么嘛，图书馆是借书看书的地方，每天那么多人都蹭 Wi-Fi，变态杀人狂脸上又不写字，这也太难为人了！

再来第三个灵魂拷问：

假设乌布利希在谷歌上班，他每天利用公司的网络做杀人越货的坏事，公司有多大概率发现并且制止他？

你可能会犹豫：谷歌公司就不一样了吧。。。他们肯定有很多大数据、网络安全系统神马的，估计早晚会发现。乌布利希脑子正常的话，应该不会这么干吧。。。

你看，不知不觉中，你已经替大家总结出了一个真相：

组织规模越大，越有能力发现网络中的威胁；反之，组织规模越小，面对威胁越束手无策。

背后的原因，就是个简单的经济账：

大组织可以投资很多安全系统，什么防火墙、入侵检测、大数据威胁情报、高级威胁检测，能上的都上，平摊到每个人头上成本也能承受；

但小组织里，总共就两个半人，根本负担不起全套安全系统。

就像一个大小区，安防系统可以有很多，大家共享；但如果你独自住在郊外，自己建立一套安防系统就很贵了。

所以，哇咖喱贡，乌布利希才不是因为穷才去图书馆蹭网（说实在的，如果不是他的比特币被充公，身家妥妥可以进"服不服排行榜"）。

他了解图书馆这样的"小网络节点"，根本没办法配备专业的网络安全审计产品，是妥妥的弱鸡，更利于他的隐匿。

你看他多有钱。

但厉害的中哥不想把讨论停止于此。

这个真相背后隐藏了一个深层的问题——"安全权利"的不平等。

（二）小节点活该被搞吗？

其实，咱们身边的"小节点"特别多。

比如刚提到的图书馆、网吧这样的单体公共场所；还有麦当劳、星巴克这样的连锁店；还有大公司的分支机构，比如乌龟快递在每个县市的集散点，酸梨手机在各个地区的直营店等等。。。

我搜索了一下"麦当劳"，你感受一下小节点的密度。

真被锤的话，这样的小节点网络比妙脆角还脆。

关键是，这种攻击最终会落在你我这样真实的人头上。

咱们分两种情况讨论：

第一种情况，假设你只是在麦当劳里蹭网的群众。

一来，黑客可以通过拿下 Wi-Fi，进而偷窥你上网的一举一动；

二来，黑客也可以向你发送攻击程序，拿下你的电脑权限。你就成了黑客的"傀儡"，以后你无论去哪，他都可以利用你的身份做坏事。

第二种情况，假设你是一个分公司的打工人。

一来，黑客干掉办公网，你电脑里面的工作数据（还有浏览器记录）都被看光光；

三来，你的电脑还可能被黑客植入"挖矿程序"。每天你的风扇嗷嗷叫，黑客却躺着收钱。更严重的还可能给你植入勒索病毒， 交钱才能解锁电脑。。。

你发现了没，同样是打工人，作为分支机构的员工，就天然更容易被黑客搞，也更容易成背锅侠，被老板骂，这不公平啊。。。

到后来，分支机构多的公司，只有两种选择：

第一、给每个小节点都武装到牙齿，不计成本；

就像下图，狮子比节点还大↓↓↓

第二、干脆不让小节点员工直连总部，以防他们被黑客攻陷连累母体。

就像下图↓↓↓

当然，大部分公司选择的是第二种。

讲到这，灵魂拷问终于来了：

小节点和小节点里的人，难道天生低人一等，永远要在"可能被黑客入侵"和"不方便"之间做二选一吗？

"No！安得广厦千万间，大庇天下寒士俱欢颜！"

老林把桌子锤得砰砰响。

他这么激动，原因很简单。

第一，作为技术控，他坚信：节点不论大小，都应该平等地享受人类顶尖安全技术的保护。

第二，他本人在深信服公司负责一个产品，就专门解决这个"安全权力不平等"问题，必须站台带货啊！

我们做的这个东西，就叫：SASE。

为了发清楚这个音，他说得咬牙切齿，恨不得喷一脸。。。

我听了半天，才听明白，这玩意儿的读音其实是"Sasy"（就是把"仨四姨"连起来读）。

SASE 到底是怎么做到"大庇天下寒士"的呢？

老林喝了口咖啡，开始给我科普。

老林

（三）"爱奇艺"模式 

"你买不买得起周杰伦的所有歌的版权？"他问。

"那买不起。"我说。

"你买不买得起网易云音乐的会员？"他问。

"买得起。"我说。

"你买不买得起综艺节目的版权？"他问。

"买不起。"我说。

"你买不买得起爱奇艺的会员？"他问。

"买得起。"我说。

"解释完毕。"他说。

我揪住他："你给我好好说明白！"

很简单，人们需要的是安全能力，不一定是安全产品本身，对不对？

所以，我们把深信服的各种网络安全产品都放在云端。无论你的网络有多小，哪怕节点里只有一台办公电脑，只要"开个会员"，我们的安全产品就和你连通，在"云上"保护你啦。

这样是双赢的：

对客户来说，不用给每个小网络都买一堆很贵的安全产品，还省去了部署所需的人力，省钱；对我们来说，还可以错峰把一台设备的安全能力分配给好多人共享，也能省钱。

你说，这个不就跟网易云音乐、爱奇艺开会员是一个道理吗？

他一口气说完，挑挑眉毛。

我大概明白了，SASE 就是把购买安全能力变成订阅安全能力。

原来是大院门口才能摆两个石狮子当保安，现在我家小，买石狮子太浪费，就订阅一个"云上石狮子"帮我看家。如果需要，我就一直订阅，如果哪天我搬家了，也可以随时停。

没有一生一世的厮守，有需要就在一起，没需要就说再见，标准的"渣男渣女"模式。

想想居然有点小兴奋呢。

"云上石狮子"就像这样。

说到这，估计又会有人吐槽：这不就跟小时候去录像厅租碟一个意思吗？也没啥先进的，这么多年怎么就没人搞这种模式呢？

客官有所不知，和"歌曲、视频"不一样，把"企业级安全产品"做成订阅制服务，最难的不是模式创新，而是要克服好多难以想象的技术难题。。。。

先举个例子你尝一下：

原来的安全产品是这样工作的：一个网络里的电脑A，想要对电脑C说句话，它的这句话要先说给网络安全产品B听，B分析完没问题，才会放行给C。

此时，A电脑、B设备、C电脑可能就在一栋大楼里，信号传输的速度根本不用考虑，稳定性一般也没问题。

现在换成 SASE。

A要说一句话，就得先经过网络传到云端的B设备，B审阅后再传回来给C。虽然信号传输逻辑没区别，但传输距离可是天壤之别。

A电脑和C电脑都在北京，B设备在深圳的云机房里。两个电脑说句话，信号还得绕深圳一趟，来回的延迟谁受得了？

这咋办？

老林告诉我，不仅是深信服，整个业内解决这个"距离难题"都在用一个最笨的方法：追着客户跑，就近建立服务站。

1、比如，北京，上海、深圳、成都各建一个机房，里面的云计算上都跑着网络安全的系统。

2、华东的客户就自动连到上海机房，华南的客户就交给深圳服务，以此类推。

这就像电动车充电站一样，站点越多越密，我开到充电站的距离就越近，体验也更好。

用行话讲，这些节点就叫"PoP 节点"（Point of Presence）。

这不，这两年为了支持 SASE 这类订阅产品发展，深信服已经在全国建立了20多个 PoP 节点了。

所有的PoP节点组成了一张网（示意图，不代表PoP节点的真实数量和位置）

讲到这里，中哥才松口气——铺垫了这么多，终于把 SASE 的大致原理科普清楚了。

现在，我可以理直气壮地告诉你 SASE 的全称了。

SASE 的全称叫做"Secure Access Service Edge"安全访问服务边缘。它的意思是：每个电脑都可以通过一个边缘引流器连接到最近的 PoP 节点，然后就可以享受节点提供的安全保护。

不仅如此，人们还能借助这张网络（这是软件定义网络）快速地在各个分支之间传递信息。

所以，你可以认为 SASE 有两个属性：1）安全，2）网络。

合起来，就是"一张自带安全 Buff 的网络"。 

我画张图，你感受一下↓↓↓

任何地方的电脑，都能接入 SASE，安全地相互传递信息。

以后的年轻人，肯定不会满头大汗地在实体服务器上配置安全产品了，只要订购云上的安全能力就够了。

你不可能让年轻人白天鼓捣服务器，晚上回家爱奇艺，这太分裂了。

老林摊摊手。

不明觉厉的感觉萦绕在我身边，我还看不太懂，但大受震撼。

不过我很快发现，老林之所以今天能喝着咖啡在我对面吹牛，是因为经过努力，深信服的 SASE 已经走上正轨，可以开门见客了。

就在前两年，呵呵，SASE 的情况可谓"惨不忍睹"。

（四）价值百万的"石狮子"

一听要讲到"血泪史"，另一位同学马上不困了。

他就是深信服 SASE 的运营负责人华哥。

华哥

提到华哥，同事们都津津乐道他价值一百万的"高光时刻"。

那是2018年春天，他和团队站在深信服年会的领奖台上，手里握着一年一度的"百万创新大奖"。

这个奖非常牛X，它大概等于所有同事集体认证：你们是过去一年全公司最靓的崽。（当然，得奖人也可以不在乎浮华的荣誉，但这100w奖金可是实实在在的。）

这群人之所以能拿到这个奖，就是因为在2017年开发出了 SASE 产品。（只不过当时 SASE 还叫其他的名字，为了防止混乱我就统一叫 SASE 了。）

这是当时领奖的照片。

做出一个"云上石狮子"就能拿100w？是个啥道理呢？

说到这，还得补充一个背景。

2018年的深信服，跟2021年的画风完全不同。

那时候，他们的明星产品几乎都是纯纯的"物理石狮子"，也就是放在公司网络内部使用的安全产品。这种产品的形态就是把一套系统塞进一个服务器里，被大伙儿开玩笑称为"盒子"。

这是深信服的"全网行为管理产品"

但如果你是深信服，你就笑不出来了。。。天天被说卖盒子，一点儿想象空间都没有，深信服不喜欢这个定位，也不认同这个定位。

他们一直在饥渴地探索新的方向。