國(guó)產(chǎn)廠商硬件防火墻對(duì)比解析綜述

國(guó)產(chǎn)廠商硬件防火墻對(duì)比解析綜述防火墻從形式上可分為軟件防火墻和硬件防火墻。此次，我們主要介紹硬件防火墻。防火墻一般是通過網(wǎng)線連接于外部網(wǎng)絡(luò)接口與內(nèi)部服務(wù)器或企業(yè)網(wǎng)絡(luò)之間的設(shè)備。它又分為普通硬件級(jí)別防火墻和“芯片”級(jí)硬件防火墻兩種。所謂“芯片”級(jí)硬件防火墻，是指在專門設(shè)計(jì)的硬件平臺(tái)，其搭建的軟件也是專門開發(fā)的，并非流行的操作系統(tǒng)，因此可以達(dá)到較好的安全性能保障。目前，在這一層面我們介紹國(guó)內(nèi)幾家廠商，天融信、啟明星辰、聯(lián)想網(wǎng)御、華為、安氏領(lǐng)信等廠商。此次，我們將以100~500人的規(guī)模為應(yīng)用對(duì)象，對(duì)各廠商的適應(yīng)的“芯片”級(jí)硬件防火墻進(jìn)行對(duì)比分析，分別從廠商概述、產(chǎn)品定位、應(yīng)用領(lǐng)域、產(chǎn)品特點(diǎn)和功能、運(yùn)行環(huán)境、典型應(yīng)用、產(chǎn)品推薦和市場(chǎng)價(jià)格等多方面進(jìn)行橫向?qū)Ρ确治觥Ｆ鋵?shí)，選購和討論硬件防火墻并不能單純以規(guī)模來判斷，還應(yīng)該考慮防火墻產(chǎn)品結(jié)構(gòu)、數(shù)據(jù)吞吐量和工作位置、性能級(jí)別、應(yīng)用功能等諸多因素。一、廠商概述國(guó)內(nèi)硬件防火墻的品牌較多，但較早一批專注于信息安全的廠商卻不多，尤其是“芯片”級(jí)的防火墻更少了。如果以架構(gòu)劃分，芯片級(jí)防火墻基于專門的硬件平臺(tái)，專有的ASIC芯片使它們比其他種類的防火墻速度更快，處理能力更強(qiáng)，性能更高，因此漏洞相對(duì)比較少。不過價(jià)格相對(duì)較貴，做這類防火墻的國(guó)內(nèi)廠商并不多，如天融信。另外一種方式是以X86平臺(tái)為代表的通用CPU芯片，是目前使用較廣泛的一種方式。這類型廠商較多，如啟明星辰、聯(lián)想網(wǎng)御、華為等。一般而言，產(chǎn)品價(jià)格相對(duì)上一種較低。第三類就是網(wǎng)絡(luò)處理器(NP)，一般只被用于低端路由器、交換機(jī)等數(shù)據(jù)通信產(chǎn)品，由于開發(fā)難度和開發(fā)成本低，開發(fā)周期短等原因，因此，進(jìn)入這一門檻的標(biāo)準(zhǔn)相對(duì)較低，也擁有部分客戶群體。1.天融信以ASIC平臺(tái)產(chǎn)品為主國(guó)產(chǎn)份額第一天融信的自主防火墻系統(tǒng)，首次提出TOPSEC聯(lián)動(dòng)技術(shù)體系。網(wǎng)絡(luò)衛(wèi)士防火墻歷經(jīng)了包過濾、應(yīng)用代理、核檢測(cè)等技術(shù)階段。目前，以安全操作系統(tǒng)TOS為基礎(chǔ)，開發(fā)了NGFW4000-UF及NGFW4000系列，融合了防火墻、防病毒、入侵檢測(cè)、VPN、身份認(rèn)證等多種安全解決方案。其TopASIC芯片，采用SoC(SystemonChip)技術(shù)，內(nèi)置硬件防火墻單元、7層數(shù)據(jù)分析、VPN加密、硬件路由交換單元、快速報(bào)文緩存MAC等眾多硬件模組。開發(fā)出了從第一代到第二代產(chǎn)品(內(nèi)部稱為獵豹I、獵豹II)，芯片轉(zhuǎn)發(fā)容量從5Gbps到10Gbps，可達(dá)到全部千兆網(wǎng)口的全線速小包轉(zhuǎn)發(fā)速率。除了以ASIC平臺(tái)為主的產(chǎn)品外，X86和NP平臺(tái)的產(chǎn)品也面向不同需求用戶。據(jù)IDC2007年的報(bào)告顯示，天融信防火墻產(chǎn)品以16.2%的市場(chǎng)份額，排名網(wǎng)絡(luò)安全產(chǎn)品首位。2.啟明星辰采用高性能X86硬件架構(gòu)一體化網(wǎng)關(guān)技術(shù)1996年成立的啟明星辰，承擔(dān)國(guó)家級(jí)重點(diǎn)項(xiàng)目企業(yè)，擁有國(guó)家級(jí)網(wǎng)絡(luò)安全技術(shù)研發(fā)基地。2003年，成為國(guó)內(nèi)僅有的兩家可以查看微軟Windows操作系統(tǒng)源代碼廠商之一。截至2007年，啟明星辰共發(fā)布了59個(gè)windows、linux、unix操作系統(tǒng)的安全漏洞，居亞洲首位，用戶遍及32個(gè)省、市。網(wǎng)絡(luò)安全產(chǎn)品共有七大系列，其中推出新一代的UTM產(chǎn)品——天清漢馬USG一體化安全網(wǎng)關(guān)。采用高性能的硬件架構(gòu)和一體化的軟件設(shè)計(jì)，集防火墻、VPN、入侵防御(IPS)、防病毒、外聯(lián)控制、抗拒絕服務(wù)攻擊(Anti-DoS)、內(nèi)容過濾、反垃圾郵件、NetFlow等多種安全技術(shù)于一身。目前，產(chǎn)品涉及從大型企業(yè)、電信級(jí)千兆骨干網(wǎng)到小型分支機(jī)構(gòu)的百兆型網(wǎng)絡(luò)的USG10個(gè)產(chǎn)品。3.聯(lián)想網(wǎng)御PowerV產(chǎn)品系列多萬兆級(jí)網(wǎng)關(guān)—KingGuard聯(lián)想網(wǎng)御1999年進(jìn)入信息安全行業(yè)，擁有眾多的核心技術(shù)、專利50項(xiàng)，涵蓋全系列防火墻、VPN、UTM、IDS、IPS、防病毒網(wǎng)關(guān)、安全隔離網(wǎng)閘、安全管理共計(jì)8個(gè)大類，350多款產(chǎn)品，并參與和制定了多項(xiàng)國(guó)家安全等級(jí)保護(hù)制度。2007年，率先推出“下一代安全架構(gòu)”的技術(shù)。并在08年一舉收購了艾克斯通公司(SSLVPN專業(yè)廠商)，還是國(guó)內(nèi)較早發(fā)布了萬兆安全網(wǎng)關(guān)產(chǎn)品以及萬兆的UTM解決方案的廠商。聯(lián)想網(wǎng)御防火墻分為三大系列：SpuerV、PowerV、SmartV，共計(jì)40多款。擁有創(chuàng)新的VSP、USE、MRP等安全關(guān)鍵技術(shù)，其產(chǎn)品在眾多領(lǐng)域已經(jīng)部署了4萬臺(tái)以上，市場(chǎng)占有率名列前茅。今年6月，聯(lián)想網(wǎng)御發(fā)布了萬兆級(jí)安全網(wǎng)關(guān)產(chǎn)品——金剛安全網(wǎng)關(guān)KingGuard。該款產(chǎn)品成為迄今為止業(yè)界處理性能最高的萬兆安全網(wǎng)關(guān)產(chǎn)品，它首創(chuàng)在信息安全產(chǎn)品中應(yīng)用矩陣式并行計(jì)算系統(tǒng)——Windrunner。4.華為技術(shù)為主質(zhì)量有保障華為業(yè)務(wù)領(lǐng)域涉獵眾多，在網(wǎng)絡(luò)安全方面，Eudemon防火墻系列產(chǎn)品基于電信級(jí)的硬件平臺(tái)以及專用VRP軟件平臺(tái)，在攻擊防范、VPN、NAT以及P2P應(yīng)用監(jiān)控等方面都有卓越的表現(xiàn)。基于網(wǎng)絡(luò)處理器NP的高速防火墻Eudemon300/500/1000和專業(yè)的硬件平臺(tái)以及VRP軟件平臺(tái)的Eudemon100E/200/200S。值得一提的是，華為的Eudemon防火墻無故障間隔時(shí)間為37年。二、產(chǎn)品定位國(guó)內(nèi)市場(chǎng)上硬件防火墻的發(fā)展，經(jīng)歷了一系列變革。國(guó)內(nèi)用戶普遍接受的是硬件防火墻，從單一主機(jī)防火墻、路由集成式防火墻和分布式防火墻;性能上也從百兆級(jí)向千兆級(jí)防火墻發(fā)展;在架構(gòu)方面，從最初的X86架構(gòu)向NP以及ASIC架構(gòu)發(fā)展。廠商在各自的產(chǎn)品布局上，考慮了不同行業(yè)需求，在產(chǎn)品設(shè)計(jì)上，首先明確產(chǎn)品定位，從高端復(fù)雜結(jié)構(gòu)的電信級(jí)別、大流量數(shù)據(jù)中心的骨干級(jí)，到中型企業(yè)的網(wǎng)絡(luò)級(jí)中端產(chǎn)品，直至低端的小型企業(yè)、甚至是SOHO用戶。我們可以看到國(guó)內(nèi)的廠商對(duì)不同級(jí)別產(chǎn)品都有所涉獵，這種產(chǎn)品縱向延展的定位思路，各家有所側(cè)重。從目前的產(chǎn)品銷售來看，國(guó)內(nèi)的網(wǎng)絡(luò)安全產(chǎn)品有一共同點(diǎn)，即備受聯(lián)想網(wǎng)御基于VSP的通用安全平臺(tái)，將時(shí)實(shí)操作、網(wǎng)絡(luò)處理、安全技術(shù)等結(jié)合在一起。采用創(chuàng)新的USE統(tǒng)一安全引擎，它將狀態(tài)檢測(cè)、協(xié)議檢測(cè)、深度過濾、應(yīng)用過濾、用戶認(rèn)證等多個(gè)子系統(tǒng)進(jìn)行了集成。具有強(qiáng)安全性、強(qiáng)適用性、強(qiáng)可靠性、強(qiáng)擴(kuò)展性和強(qiáng)管理性等五大特性。聯(lián)想網(wǎng)御金剛安全網(wǎng)關(guān)KingGuard是聯(lián)想網(wǎng)御自05年推出多NP架構(gòu)萬兆防火墻，以來第二代萬兆級(jí)的安全產(chǎn)品。也是處理性能最高的萬兆安全網(wǎng)關(guān)產(chǎn)品。華為Eudemon300/500/1000采用先進(jìn)的動(dòng)態(tài)檢測(cè)技術(shù)(ASPF)，具備電信級(jí)高性能和高可靠性，還有VPN(虛擬專用網(wǎng))功能、NAT(網(wǎng)絡(luò)地址轉(zhuǎn)換)功能。Eudemon100E/200/200S具備優(yōu)異的攻擊防范處理能力，提供對(duì)多種VPN的支持和組網(wǎng)，靈活的地址轉(zhuǎn)換和地址映射功能。該系列產(chǎn)品還支持豐富的多媒體協(xié)議、路由協(xié)議以及QoS特性，為用戶提供多種組網(wǎng)方式的便利。

五、產(chǎn)品功能經(jīng)過對(duì)多家廠商的產(chǎn)品功能進(jìn)行了對(duì)比。在網(wǎng)絡(luò)安全方面，各家充分考慮了內(nèi)容過濾、防病毒;在可靠性上，從產(chǎn)品設(shè)計(jì)上(如熱插)到雙機(jī)熱備兼有考慮;在適應(yīng)性上，逐步支持透明、路由、混合三種模式。在安全管理性上，允許各類認(rèn)證和系統(tǒng)日志。

六、運(yùn)行環(huán)境與國(guó)家標(biāo)準(zhǔn)在節(jié)能方面，硬件防火墻都在標(biāo)準(zhǔn)的辦公環(huán)境中可以使用，電壓充分考慮了110V和220V兩類的不同電壓，頻率在50Hz，功率和普通PC的相當(dāng)，系列產(chǎn)品的功率也會(huì)因?yàn)槊鎸?duì)用戶數(shù)量不同，而在功率上有所差別。

在我國(guó)，防火墻作為一種信息安全產(chǎn)品，其進(jìn)入市場(chǎng)并不是隨意的，有相關(guān)的國(guó)家標(biāo)準(zhǔn)，也有相應(yīng)的認(rèn)證中心。國(guó)家于1999年通過了關(guān)于放火墻的相關(guān)國(guó)家標(biāo)準(zhǔn)，并且從2000年9月起執(zhí)行下面的三個(gè)新的國(guó)家標(biāo)準(zhǔn)。這個(gè)檢測(cè)是強(qiáng)制的，必須通過這個(gè)檢測(cè)，才能夠進(jìn)入市場(chǎng)。國(guó)家標(biāo)準(zhǔn)：GB/T18336-2001——信息技術(shù)安全技術(shù)信息技術(shù)安全性評(píng)估準(zhǔn)則GB/T18019-1999——信息技術(shù)包過濾防火墻安全技術(shù)要求GB/T18020-1999——信息技術(shù)應(yīng)用級(jí)防火墻安全技術(shù)要求安全規(guī)范及標(biāo)準(zhǔn)：GB4943-2001七、典型應(yīng)用國(guó)內(nèi)幾家的硬件防火墻廠商，在產(chǎn)品的應(yīng)用上，都有較為翔實(shí)的案例和豐富的經(jīng)驗(yàn)。典型的應(yīng)用組網(wǎng)方式，一般分為兩大類：一類是以客戶類型的應(yīng)用組網(wǎng)方式，如面向企業(yè)、政府、教育;另一類是根據(jù)功能應(yīng)用而組網(wǎng)的形式，如用于安全防范、負(fù)載、備份、監(jiān)控、熱備等。

八、產(chǎn)品推薦1.天融信天融信的自主知識(shí)產(chǎn)權(quán)的防火墻系統(tǒng)——TopGuard，率先提出TOPSEC聯(lián)動(dòng)技術(shù)體系，領(lǐng)先的TopASIC自主安全芯片，在包過濾、應(yīng)用代理、核檢測(cè)等方面都有一定突破。我們對(duì)天融信廠商的技術(shù)工程師、以及幾家主要的經(jīng)銷商作了咨詢，總結(jié)有以下三種，用戶可以根據(jù)自身的網(wǎng)絡(luò)環(huán)境來加以選擇。1)：用戶如只做基本的防火墻用，很少用到應(yīng)用層面的功能(如內(nèi)容過濾、網(wǎng)關(guān)、IPSECVPN等)，可以選擇X86的平臺(tái)的兩款TG-4424/4324，兩者都是1U高的防火墻主機(jī)，標(biāo)配4個(gè)10/100BASE-TX口，2個(gè)接口擴(kuò)展插槽，不同之處在于TG-4424用來支持小包線速，而TG-4324是大包線速。2)：用戶如考慮到網(wǎng)絡(luò)帶寬流量和以小包線速為主，追求較高的信息流處理能力，可以選擇ASIC平臺(tái)的獵豹I系列的TG-4628產(chǎn)品，1U機(jī)型、標(biāo)配12個(gè)端口：其中8個(gè)10/100BASE-TX兩個(gè)千兆COMBO接口，1個(gè)10/100/1000BASE-T專用HA口，1個(gè)10/100BASE-TX管理口小包線速，支持140萬并發(fā)連接。3)：如考慮到未來還有升級(jí)的可能，也可以考慮4000-UF系列中的專用平臺(tái)TG-5044，融合了防火墻、防病毒、入侵檢測(cè)、VPN、身份認(rèn)證等多種安全解決方案，可以帶到一千臺(tái)終端電腦。由于用戶數(shù)量的限制，我們能看到并沒有推薦NP(網(wǎng)絡(luò)處理器)平臺(tái)的產(chǎn)品。以下是天融信三款產(chǎn)品型號(hào)推薦：

2.啟明星辰廠商的技術(shù)人員針對(duì)100~500的用戶特點(diǎn)，推薦了2款高端百兆(準(zhǔn)千兆網(wǎng)絡(luò))產(chǎn)品——USG800A和800C。由于是UTM的一體化產(chǎn)品，集合了多種模塊，其中的VPN、入侵防御(IPS)、防病毒(AV)三個(gè)模塊，經(jīng)過授權(quán)后，可以單獨(dú)購買，其他的防火墻的一些功能，如內(nèi)容過濾、反垃圾郵件等一并打包合算在了一起。如果對(duì)以上的功能都打開，則性能肯定會(huì)下降，廠商人員坦誠(chéng)的說：屆時(shí)吞吐量可能會(huì)下降到850M。因此，還是要根據(jù)用戶的實(shí)際使用情況，而做出選擇。

3.聯(lián)想網(wǎng)御聯(lián)想網(wǎng)御的售前人員，推薦了PowerV的兩款產(chǎn)品，基于X86架構(gòu)，都屬于準(zhǔn)千兆級(jí)別產(chǎn)品。其中122A有10個(gè)10/100/1000端口，可最多增加2個(gè)SFP端口;而3A26自身標(biāo)配帶6個(gè)10/100/1000端口，最多10個(gè)SFP端口。兩款產(chǎn)品都是最新的產(chǎn)品。

4.華為如果不考慮VPN等功能，用戶可以選擇E200S，5個(gè)10/100M以太網(wǎng)口，沒有擴(kuò)展插卡，功率32W。如果考慮到擴(kuò)容和其他功能的應(yīng)用，可以選擇定位更高端的Eudemon300。九、產(chǎn)品價(jià)格防火墻的產(chǎn)品售價(jià)極為懸殊，從數(shù)萬元到數(shù)十萬元，甚至到百萬元。報(bào)價(jià)的差異和以下幾點(diǎn)有關(guān)：1)用戶數(shù)量;2)用戶安全要求;3)功能要求不同，因此防火墻的價(jià)格也不盡相同。市場(chǎng)中，我們能問到的價(jià)格分為兩類，一類是市場(chǎng)公開價(jià)，另一類為實(shí)際市場(chǎng)成交價(jià)格。前一類公開價(jià)格，是相對(duì)統(tǒng)一的價(jià)格，各家經(jīng)銷經(jīng)商大致相同。后一類市場(chǎng)價(jià)格，各家經(jīng)銷商之間存在差異，廠商和經(jīng)銷商之間也有差價(jià)。僅就我們選擇的這幾款產(chǎn)品而言，比較后，市價(jià)的成交價(jià)格是公開報(bào)價(jià)2~3折。另外，還應(yīng)當(dāng)注意，在報(bào)價(jià)中包括標(biāo)準(zhǔn)化的模塊，如果增加其他功能，還需要另外增加費(fèi)用。此次，我們選擇的100~500的和用戶數(shù)量，這個(gè)區(qū)間主要為中型企業(yè)網(wǎng)、重要網(wǎng)站、ISP、ASP、數(shù)據(jù)中心等使用。這個(gè)區(qū)間的防火墻應(yīng)當(dāng)較多考慮高容量、高速度、低延遲、高可靠性以及防火墻本身的健壯性等特點(diǎn)。這個(gè)區(qū)間的防火墻報(bào)價(jià)一般在20萬元左，實(shí)際的成交價(jià)格一般僅在數(shù)萬元。天融信，我們就市場(chǎng)中的3家經(jīng)銷商給出的價(jià)格分析，之間的差距還是很明顯，最大的在1.5萬元，少則幾千元。在實(shí)際的調(diào)查過程中，天融信的經(jīng)銷商一般給出的是折扣后的價(jià)格，就此次調(diào)查的中端產(chǎn)品而言，折扣在3~3.7折之間。啟明星辰廠商給出的是公開價(jià)的2.2折，另外AV、IPS和VPN三個(gè)功能模塊是分開報(bào)價(jià)的，前兩個(gè)公開報(bào)價(jià)是2.7萬，后一個(gè)公開報(bào)價(jià)是2.4萬，同樣享受2.2的折扣。免費(fèi)服務(wù)一年，用戶可以通過網(wǎng)上自動(dòng)和手動(dòng)設(shè)置相結(jié)合的兩種方式，對(duì)每年對(duì)病毒和漏洞庫進(jìn)行升級(jí)。聯(lián)想網(wǎng)御的廠商銷售針對(duì)PowerV系列，分別給出2.7和3折。華為廠商的折扣價(jià)格分別在2.4折合2.1折。十、銷售模式與客戶采購從對(duì)防火墻廠商和經(jīng)銷商的了解來看，有越來越多的廠商進(jìn)入到這一領(lǐng)域中，廠商之間競(jìng)爭(zhēng)激勵(lì)，產(chǎn)品的銷售方式，主要以廠商直銷和經(jīng)銷商代理銷售相結(jié)合為主。防火墻市場(chǎng)相對(duì)與其他硬件IT廠商的銷售模式具有以下幾個(gè)特點(diǎn)：一、銷售渠道接近于垂直。主要表現(xiàn)在：經(jīng)銷商數(shù)量有限;廠商有專職人員負(fù)責(zé)產(chǎn)品的垂直銷售;廠商分區(qū)域進(jìn)行管理和銷售。其實(shí)，這種銷售模式的選擇，是根據(jù)產(chǎn)品自身特點(diǎn)而考慮的，首先防火墻產(chǎn)品定價(jià)較高，采用垂直管理模式，有助于減少中間的流通環(huán)節(jié)、節(jié)約銷售成本。其次，防火墻這一產(chǎn)品專業(yè)性較強(qiáng)，通過廠商直銷人員的參與，可以幫助用戶更好的分析需求、宣傳產(chǎn)品、方案選擇與推薦與。二、代理模式多元化。部分經(jīng)銷商兼有多家防火墻廠商的產(chǎn)品代理和銷售;因此，用戶在咨詢某家的經(jīng)銷商時(shí)，往往可以聽到多個(gè)品牌和產(chǎn)品的介紹，使得用戶能有更多的選擇和比較的機(jī)會(huì)。三、銷售的價(jià)格體系不透明。無論是廠商直銷還是代理