Zedmos
ENDE
Loslegen
Engine v0.0.1 · GAHub v2.4.1SD-WAN · TestSASE · TestWAF · Roadmap

Eine Engine. Ein Fenster.
Jede Netzwerkebene.

Zedmos ist eine Inline-Security-Engine, die Routing, Verschlüsselung und Deep Inspection in einer einzigen Datenebene verschmilzt. Als OPNsense-Plugin installiert, integriert sie sich nahtlos in eine bestehende Appliance. Dieselben Richtlinien, dieselbe Datenebene, dieselbe Oberfläche.

Auf OPNsense betreiben →SASE-Architektur ansehen
ZEDMOS-KONSOLE · EIN ZENTRALES FENSTERRichtlinienIdentitätenCTI-HubSLA / SD-WANEventsNGFW + DPIL7 · TLS · IDS/IPSSD-WANRouting pro RichtlinieTESTCTI-HubSASETESTIdentitätAD · Azure · SCIMEIN ENGINE-BINARY · INLINE-FAST-PATHErfassenParsenKlassifizierenTI-LookupAuswertenEntscheidenDurchsetzenINOUT
WAS EINE NGFW LEISTEN MUSS

Jede Schicht, die eine moderne Firewall bieten sollte — in einer einzigen Engine

Statt ein IDS, eine DPI-Schicht, einen TLS-Proxy, einen Content-Scanner und ein separates SASE-Overlay mühsam zusammenzunähen, liefert Zedmos ein einziges Binary, das jede Schicht auf demselben Zero-Copy-Pfad ausführt.

Paket und Protokoll
  • Stateful Packet Inspection
    Engine-interne Flow-Tabelle
    GA
  • Deep Packet Inspection
    über 200 Protokolle
    GA
  • TLS- / SSL-Inspektion
    SNI · TLS-Fingerprinting · Bump
    GA
  • QUIC-, DoT- und DoH-Kontrolle
    GA
  • IDS / IPS
    Aho-Corasick mit binärem Regelwerk
    GA
Zugriff und Routing
  • Anwendungskontrolle
    GA
  • URL- und Web-Filterung
    Suffix-Trie plus TI-Feeds
    GA
  • Identitätsbewusste Richtlinien (ZTNA)
    AD · Azure · SCIM
    GA
  • Verschlüsseltes VPN-Overlay
    Native Fast-Path-Integration
    GA
  • SD-WAN-Steuerung pro Richtlinie
    SLA-bewusstes Failover
    Test
  • Zentralisiertes SASE Hub-Spoke
    Test
Inhalte und Bedrohungen
  • Anti-Malware (Inline)
    Streaming-Prüfung der Payload
    GA
  • Threat-Intelligence-Feeds
    IP · Domain · URL · TLS-Fingerprint
    GA
  • WAF / Reverse Proxy
    Entwurf abgeschlossen, Auslieferung in einer späteren Version
    Roadmap
  • Datei- und MIME-Typ-Filter
    GA
Betrieb
  • Zentrales Management (ein Fenster)
    GA
  • Failover unter 10 s
    Daemon im Prozess
    GA
  • Hot-Reload für Richtlinien und Feeds
    Kein Paketverlust
    GA
  • Export nach SIEM, S3 oder Kafka
    einheitliche Log-Ebene
    GA
ZWEI BEREITSTELLUNGEN, EINE ENGINE

Zedmos auf Ihrer eigenen Hardware oder als zentral verwaltetes Mesh betreiben

Dasselbe Binary. Dieselben Richtlinien. Der einzige Unterschied liegt darin, wo der Paketpfad läuft — auf Ihrer eigenen OPNsense-Appliance oder an verteilten verschlüsselten Hubs, in die sich Ihre Spokes einwählen.

Konsolen-ModusOPNsense-Appliance vor Ort

Jedes Paket bleibt auf Ihrer Appliance. Keine Cloud-Abhängigkeit.

  • Ausgeliefert als signiertes OPNsense-Modul
  • Monitor-, Bridge- oder Routed-Modus auf Ihren Schnittstellen
  • Lokaler Ereignisspeicher — Daten verlassen den Perimeter nicht
  • Verwaltungsoberfläche direkt von der Appliance ausgeliefert
  • Atomares Hot-Reload für Richtlinien und Threat Intelligence
Konsolen-Architektur öffnen
SASE-ModusTESTVerschlüsseltes Hub-Spoke-Overlay

Dieselben Richtlinien an verteilten Hubs zentral durchsetzen.

  • Ein zentraler Orchestrator verteilt Richtlinien und Topologie
  • Spokes wählen sich über ein verschlüsseltes Overlay in den nächsten Hub ein
  • Die Zedmos-Engine setzt Richtlinien inline am Hub durch
  • Kontinuierliches Failover zwischen Hub-Paaren in unter zehn Sekunden
  • Identitätsbewusster Zugriff über Active Directory, Entra und SCIM
SASE-Architektur öffnen
FUNKTIONEN

Wählen Sie einen beliebigen Baustein. Er läuft auf derselben Pipeline.

Jede Funktion unten ist ein aktives Merkmal der Engine — dokumentiert und heute einsetzbar. Klicken Sie auf eine Karte für den technischen Deep-Dive: Architektur, Konfigurationsbeispiele und Benchmarks.

GA
Plattform
Zero-Copy-Fast-Path

Paketringe im gemeinsamen Speicher umgehen den Kernel-Socket-Pfad. ~14 Gbps auf einem einzelnen Kern.

14 Gbit/sMehr erfahren →
GA
Inspektion
TLS-Inspektion + Fingerprinting

SNI-Extraktion, vollständiges Client- und Server-Fingerprinting, Forward-Proxy mit kurzlebiger CA.

65K FingerprintsMehr erfahren →
GA
Inspektion
L7-Anwendungsklassifikation

200+ Anwendungsprotokolle, Kategorie-Paare, Heuristiken für verschlüsselten Verkehr — alles auf dem Fast-Path.

200+ Proto.Mehr erfahren →
GA
Sicherheit
Mehrfach-Aktions-Policy-Engine

Erlauben / Verwerfen / Reset / Shapen / Umleiten / Quarantäne / Tarpit / Scannen / Umschreiben / Ausführen / Markieren / Eskalieren / Routen / Loggen.

14 AktionenMehr erfahren →
Test
Routing
SD-WAN-Steuerung pro Richtlinie

Routen pro Anwendung, Kategorie, SNI, Nutzer oder Geo. Strategie-basierte Übertragung mit SNAT und Kernel-FIB.

Multi-WANMehr erfahren →
GA
Sicherheit
Feed-gesteuerte Threat Intelligence

Sperrlisten für IPs, Domains, URLs und TLS-Fingerprints. Suffix-Trie-Matching. Atomarer Hot-Swap über das Control-Socket.

Mehr erfahren →
GA
Identität
Identitäts- und Geräteerkennung

AD-DC-Agent, Azure-Graph-Abruf, SCIM-Anbindung, ARP/DHCP-Fingerprinting. Nutzer-Tags pro Flow.

AD · Azure · SCIMMehr erfahren →
Test
Routing
SASE-Failover unter 10 s

ICMP-, HTTP- und DNS-Probes, zusammengesetzter Gesundheitswert, atomarer Peer-Wechsel. Hysterese-bewusst.

< 10 sMehr erfahren →
GA
Plattform
Hot-Reload-Steuerungsebene

SIGHUP- und UNIX-Socket-Befehle tauschen Richtlinien, Feeds und Routen ohne einen einzigen verlorenen Paketkopf aus.

Mehr erfahren →
GA
Sicherheit
Inline-Dateiprüfung

Protokollbewusste Payload-Reassemblierung über Web-, Mail- und Datei-Traffic hinweg — mit Content-Type-Erkennung und Deduplizierung pro Flow.

Mehr erfahren →
GA
Sicherheit
QUIC-, DoT- und DoH-Kontrolle

Verschlüsselte Umgehungspfade pro Richtlinie sperren oder herabstufen. Wirksamkeit: 90 % QUIC, 85 % DoT.

Mehr erfahren →
GA
Routing
Verschlüsseltes Overlay auf dem Fast-Path

Der Kerneltreiber ist so angepasst, dass verschlüsselte Overlay-Peers denselben Fast-Path nutzen können. Auf Bare-Metal-Umgebungen optional aktivierbar; der Standard-SASE-Pfad bleibt weiterhin der Kernel-Socket-Weg.

Mehr erfahren →
GA
Observability
Einheitliche Log-Ebene

Lock-freier Shared-Memory-Ring, der in einen dedizierten Writer-Daemon läuft. Heute mit Datei-, Syslog-, SQLite- und Elasticsearch-Zielen — inklusive Write-Ahead-Log, Circuit Breaker und adaptivem Sampling unter Last.

Mehr erfahren →
GA
Plattform
Hardware-Beschleunigung

Intel 1/10 GbE Multi-Queue, NIC-Preflight, CPU-Affinität — 10-fach reduzierte Cache-Misses.

Mehr erfahren →