Zedmos
ENDE
Loslegen
DIE ENGINE

Ein einziges Binary, das jedes Paket sieht, jeden Flow versteht und jede Richtlinie durchsetzt.

Keine Kopie pro Produkt. Kein Umweg über Kernel-Sockets. Eine Shared-Memory-Pipeline, die Deep Inspection, Richtlinien-Auswertung und Routing vereint — mit atomaren Updates und Latenz unter einer Millisekunde.

InlineL7-InspektionPolicy-EngineMehrfachmodusatomare Updates
ENGINE-ARCHITEKTUR

Drei Ebenen. Ein Durchlauf. Jedes Paket.

Die Datenebene bleibt von der Leitung bis zum Ausgang auf Shared-Memory-Ringen. Die Steuerebene liefert Policy, Intel und Health an den Match-Punkt. Observability greift jede Stufe ab, ohne sie zu bremsen.

STEUEREBENEDATENEBENEOBSERVABILITYPolicyThreat-IntelHealth-ProbesLEITUNGAUSGANGErfassenLeitungs-EingangParsenL2 → L7KlassifizierenApp · Flow · HostAuswertenPolicy-MatchEntscheidenAktion wählenDurchsetzenWeiterleiten · Drop · RouteEvents · Metriken · AuditBATCH256 PaketeLATENZ P500,74 msDURCHSATZ14 Gbit/sCPU2,5 %UPDATESatomar
Zero-Copy-Eingang
Pakete gelangen über Shared-Memory-Ringe herein. Keine Kernel-Puffer-Allokation, keine Socket-Warteschlange.
Flow-Cache pro Kern
Eine 5-Tupel-Tabelle für zehntausend Flows pro Worker. CPU-Affinität hält den Cache warm.
Suffix-Trie für SNI
Wildcard-Domain-Muster werden in logarithmischer Zeit mit gemeinsam genutzten Präfixen aufgelöst.
Atomares Hot-Reload
Richtlinien, Feeds und Routen wechseln die Generation, ohne ein einziges Paket zu verlieren.
POLICY-ENGINE

14 Aktionen. Ein Entscheidungsbaum.

Jeder Treffer mündet in eine — oder eine Verkettung — von vierzehn möglichen Aktionen. Keine Sonderverdrahtung: dieselbe Laufzeit bedient NGFW-Sperrung, SASE-Steuerung, WAF-Umleitung und SOAR-Eskalation.

Status:NGFW · GASASE · TestSD-WAN · TestWAF · Roadmap
FLOW TRIFFT EINApp=SaaSSNI=*.example.com · Nutzer=aliceRichtlinieMatch-Engineerlaubendurch den Fast-Path lassenloggennur EVE-Eintragverwerfenstiller DropresetTCP-RST auf beiden SeitenshapenBandbreitenlimitumleiten403-Seite oder PortalQuarantäneGerät isolierenTarpitAngreifer verlangsamenscannenPayload prüfenumschreibenURL- / Header-ÄnderungausführenSidecar-SkriptAPI aufrufenSOAR-WebhookmarkierenTag + RisikoanhebungeskalierenPage- / SIEM-Alarm
Match-Dimensionen
  • Anwendung
  • Kategorie
  • SNI / Domain
  • TLS-Fingerprint
  • IP · CIDR · Port
  • Nutzer · Gruppe · Gerät
  • Geografie · Zeitplan
Aktions-Verben
  • erlauben · loggen
  • verwerfen · reset
  • shapen · Tarpit
  • umleiten · umschreiben
  • scannen · Quarantäne
  • ausführen · API aufrufen
  • markieren · eskalieren
Verkettungs-Semantik
  • deterministische, geordnete Auswertung
  • mehrere Aktionen pro Treffer
  • versionierte Generationen
  • atomares Hot-Reload
  • alte und neue Regelsätze koexistieren
BETRIEBSMODI

Dieselbe Engine. Drei Wege, sie zu verdrahten.

Der Übergang von Beobachtung zu Durchsetzung zu Steuerung erfordert kein Umschreiben der Konfiguration. Die Pipeline bleibt intakt — nur die Interaktion mit dem Netzwerk ändert sich.

Monitor
Modus · monitor
Passive Beobachtung, kein Risiko
  • Nur-Empfang-Abgriff an einer gewählten Schnittstelle
  • Keine Paketmodifikation; leitet unverändert durch den Kernel
  • Ideal für Baselining, Audit und Compliance
  • Empfohlene erste Bereitstellung vor der Durchsetzung
Jeden Flow sehen, ohne etwas zu verändern.
Bridge
Modus · bridge
Inline-Durchsetzung auf Layer 2
  • Transparente Bridge zwischen zwei Schnittstellen
  • Vollständige DPI, TLS-Inspektion und Policy-Auswertung mit 14 Aktionen
  • Fail-Open durch Pass-Through bei Worker-Ende
  • Erhält die bestehende Layer-3-Topologie — keine Routing-Änderungen
Durchsetzen, ohne das Netzwerk umzubauen.
Routed
SD-WAN · Test
Modus · routed
Richtlinienbasiertes Routing auf Layer 3
  • Routing-Entscheidungen pro Flow, von Richtlinien gesteuert
  • Integration mit der Kernel-FIB und der SD-WAN-Peer-Auswahl
  • Strategie-basierte Übertragungsschicht mit optionalem SNAT
  • Ermöglicht SASE-Durchsetzung im Hub-Spoke bei Leitungsgeschwindigkeit
Steuern statt nur filtern — pro Anwendung, pro Nutzer.
HOT-RELOAD

Eine Richtlinienänderung einspielen. Ohne ein einziges Paket zu verlieren.

Richtlinien-, Threat-Intelligence- und Routing-Aktualisierungen werden auf der laufenden Steuerungsebene als atomare Generationswechsel übernommen. Kein Neustart, kein Re-Bind, kein Wartungsfenster.

Zwei-Generationen-Zustand
Die Engine hält jederzeit die aktuelle und die vorbereitete Generation im Speicher. Laufende Flows enden auf der alten Generation, neue landen auf der neuen.
Garantierte Konsistenz
Zeiger-Wechsel sind atomar und geordnet. Richtlinien, Feeds und Routen ändern sich gemeinsam — oder gar nicht.
Operator-freundlich
Aktualisierungen werden vor dem Staging validiert. Eine abgelehnte Generation wird ohne Aufsehen zurückgerollt; der Grund ist auf der Steuerungsebene klar nachvollziehbar.
Wechsel-Latenz< 5 ms
Verlorene Pakete0
Wartungsfensterkeines
Rollbackautomatisch bei Validierungsfehler