國產硬件防火墻橫向解析與導購

/國產硬件防火墻橫向解析和導購防火墻從形式上可分為軟件防火墻和硬件防火墻。此次，我們主要介紹硬件防火墻。防火墻一般是通過網線連接于外部網絡接口和內部服務器或企業(yè)網絡之間的設備。它又分為一般硬件級別防火墻和“芯片”級硬件防火墻兩種。所謂“芯片”級硬件防火墻，是指在特地設計的硬件平臺，其搭建的軟件也是特地開發(fā)的，并非流行的操作系統(tǒng)，因此可以達到較好的平安性能保障。目前，在這一層面我們主要介紹國內四家廠商：天融信、啟明星辰、聯(lián)想網御、華為。此次，我們將以100~500人的規(guī)模為應用對象，對各廠商的適應的“芯片”級硬件防火墻進行對比分析，分別從廠商概述、產品定位、應用領域、產品特點和功能、運行環(huán)境、典型應用、產品舉薦和市場價格等多方面進行橫向對比分析。其實，選購和探討硬件防火墻并不能單純以規(guī)模來推斷，還應當考慮防火墻產品結構、數(shù)據吞吐量和工作位置、性能級別、應用功能等諸多因素。一、廠商概述國內硬件防火墻的品牌較多，但較早一批專注于信息平安的廠商卻不多，尤其是“芯片”級的防火墻更少了。假如以架構劃分，芯片級防火墻基于特地的硬件平臺，專有的ASIC芯片使它們比其他種類的防火墻速度更快，處理實力更強，性能更高，因此漏洞相對比較少。不過價格相對較貴，做這類防火墻的國內廠商并不多，如天融信。另外一種方式是以X86平臺為代表的通用CPU芯片，是目前運用較廣泛的一種方式。這類型廠商較多，如啟明星辰、聯(lián)想網御、華為等。一般而言，產品價格相對上一種較低。第三類就是網絡處理器(NP)，一般只被用于低端路由器、交換機等數(shù)據通信產品，由于開發(fā)難度和開發(fā)成本低，開發(fā)周期短等緣由，因此，進入這一門檻的標準相對較低，也擁有部分客戶群體。1.天融信以ASIC平臺產品為主國產份額第一

天融信的自主防火墻系統(tǒng)，首次提出TOPSEC聯(lián)動技術體系。網絡衛(wèi)士防火墻歷經了包過濾、應用代理、核檢測等技術階段。目前，以平安操作系統(tǒng)TOS為基礎，開發(fā)了NGFW4000UF及NGFW4000系列，融合了防火墻、防病毒、入侵檢測、VPN、身份認證等多種平安解決方案。其TopASIC芯片，接受SoC(SystemonChip)技術，內置硬件防火墻單元、7層數(shù)據分析、VPN加密、硬件路由交換單元、快速報文緩存MAC等眾多硬件模組。開發(fā)出了從第一代到其次代產品(內部稱為獵豹I、獵豹II)，芯片轉發(fā)容量從5Gbps到10Gbps，可達到全部千兆網口的全線速小包轉發(fā)速率。除了以ASIC平臺為主的產品外，X86和NP平臺的產品也面對不同需求用戶。據IDC2007年的報告顯示，天融信防火墻產品以16.2%的市場份額，排名網絡平安產品首位。2.啟明星辰接受高性能X86硬件架構一體化網關技術1996年成立的啟明星辰，擔當國家級重點項目企業(yè)，擁有國家級網絡平安技術研發(fā)基地。2003年，成為國內僅有的兩家可以查看微軟Windows操作系統(tǒng)源代碼廠商之一。截至2007年，啟明星辰共發(fā)布了59個windows、linux、unix操作系統(tǒng)的平安漏洞，居亞洲首位，用戶遍及32個省、市。網絡平安產品共有七大系列，其中推出新一代的UTM產品——天清漢馬USG一體化平安網關。接受高性能的硬件架構和一體化的軟件設計，集防火墻、VPN、入侵防衛(wèi)(IPS)、防病毒、外聯(lián)限制、抗拒絕服務攻擊(Anti-DoS)、內容過濾、反垃圾郵件、NetFlow等多種平安技術于一身。目前，產品涉及從大型企業(yè)、電信級千兆骨干網到小型分支機構的百兆型網絡的USG10個產品。3.聯(lián)想網御PowerV產品系列多萬兆級網關—KingGuard聯(lián)想網御1999年進入信息平安行業(yè)，擁有眾多的核心技術、專利50項，涵蓋全系列防火墻、VPN、UTM、IDS、IPS、防病毒網關、平安隔離網閘、平安管理共計8個大類，350多款產品，并參和和制定了多項國家平安等級愛惜制度。2007年，領先推出“下一代平安架構”的技術。并在08年一舉收購了艾克斯通公司(SSLVPN專業(yè)廠商)，還是國內較早發(fā)布了萬兆平安網關產品以及萬兆的UTM解決方案的廠商。聯(lián)想網御防火墻分為三大系列：SpuerV、PowerV、SmartV，共計40多款。擁有創(chuàng)新的VSP、USE、MRP等平安關鍵技術，其產品在眾多領域已經部署了4萬臺以上，市場占有率名列前茅。今年6月，聯(lián)想網御發(fā)布了萬兆級平安網關產品——金剛平安網關KingGuard。該款產品成為迄今為止業(yè)界處理性能最高的萬兆平安網關產品，它首創(chuàng)在信息平安產品中應用矩陣式并行計算系統(tǒng)——Windrunner。4.華為技術為主質量有保障華為業(yè)務領域涉獵眾多，在網絡平安方面，Eudemon防火墻系列產品基于電信級的硬件平臺以及專用VRP軟件平臺，在攻擊防范、VPN、NAT以及P2P應用監(jiān)控等方面都有卓越的表現(xiàn)?；诰W絡處理器NP的高速防火墻Eudemon300/500/1000和專業(yè)的硬件平臺以及VRP軟件平臺的Eudemon100E/200/200S。值得一提的是，華為的Eudemon防火墻無故障間隔時間為37年。二、產品定位國內市場上硬件防火墻的發(fā)展，閱歷了一系列變革。國內用戶普遍接受的是硬件防火墻，從單一主機防火墻、路由集成式防火墻和分布式防火墻;性能上也從百兆級向千兆級防火墻發(fā)展;在架構方面，從最初的X86架構向NP以及ASIC架構發(fā)展。廠商在各自的產品布局上，考慮了不同行業(yè)需求，在產品設計上，首先明確產品定位，從高端困難結構的電信級別、大流量數(shù)據中心的骨干級，到中型企業(yè)的網絡級中端產品，直至低端的小型企業(yè)、甚至是SOHO用戶。我們可以看到國內的廠商對不同級別產品都有所涉獵，這種產品縱向延展的定位思路，各家有所側重。從目前的產品銷售來看，國內的網絡平安產品有一共同點，即備受政府部門青睞。主要緣由是政府部門、機關、部隊、公安、事業(yè)單位基于平安意識考慮，似乎更情愿選購 國內廠商的硬件防火墻。天融信系列產品以中高端市場定位為目標，形成了適用于中小企業(yè)級到電信級多網絡應用需求的NGFWARES、NGFW4000、NGFW4000-UF三大系列、60多個型號的防火墻產品。按其內部的技術人員的劃分來說，分有4個級別，從高到低依次為：高端的并行多處理器產品(可達萬兆)，中高端的ASICII和ASICI(千兆和千兆/百兆混合)，中端的X86產品(百兆)，低端的NP產品(百兆)。啟明星辰的產品定位更為明晰，產品面對高端電信級(1款)、大中型企業(yè)(3款千兆)，中型企業(yè)(3款千兆)，中小型企業(yè)(2款百兆)，低端的小型企業(yè)(1款百兆)，USG系列產品共10個型號。聯(lián)想網御三個系列的防火墻定位從高至低，依次是面對電信級的KingGuard(萬兆)、電信級高端的SuperV(千兆)，中端企業(yè)級PowerV(百兆+千兆)，以及集成防火墻、VPN、交換機功能于一身的SmartV(百兆)，其中有機架和桌面兩種產品類型，定位在小型企業(yè)。華為的兩大產品系列，其中Eudemon300/500/1000是基于網絡處理器NP技術的硬件高速狀態(tài)防火墻，定位于電信級別及企業(yè)高端用戶。Eudemon100E/200/200S，基于專業(yè)的硬件平臺以及VRP軟件平臺，是中小型企業(yè)志向的選擇。三、應用領域下表是幾家廠商的產品定位及其應用領域。細致比較，我們能發(fā)覺兩個共同點：

1)各家廠商的產品應用領域較廣，從高端到中低端都有覆蓋;

2)網絡應用從千兆到百兆，產品針對性較強。用戶可依據實際需求靈敏選擇——針對行業(yè)應用特點及產品不同性能。防火墻依據性能凹凸，適用網絡環(huán)境不同，面對的用戶也不盡相同，我們列舉出市場中幾家主力廠商的防火墻，以幫助用戶整體認知和選擇。天融信防火墻在政府、金融、電信、教化、能源、交通等各行業(yè)普遍應用。其中，NGFW4000-UF是中高端產品，適用于結構困難、高帶寬、大流量的電信機房、金融數(shù)據中心等大中型企業(yè)骨干級網絡環(huán)境;NGFW4000是中端產品，適用于網絡困難、應用豐富的政府、金融、學校、中型企業(yè)等網絡環(huán)境;NGFWARES是為分支機構、中小型企業(yè)、非骨干節(jié)點院校、單位內部的部門級等中小用戶開發(fā)的平安平臺，也可供應小巧的桌面產品。天清漢馬USG一體化平安網關產品線豐富，可為政府、教化、金融、企業(yè)、運營商、能源等用戶供應所須要的系列平安防護產品。聯(lián)想網御的三大系列產品，可為各種規(guī)模的企業(yè)和政府機構網絡系統(tǒng)供應相適應的產品。其防火墻已經在稅務、公安、軍隊、能源、交通、電信、金融、制造等行業(yè)廣泛運用。Kingguard的運用群體規(guī)模較大，學校是很大一部分群體，用于教化網應用。還有就是運營商，例如小區(qū)寬帶運營商。另外還適合大型的企事業(yè)單位。華為Eudemon防火墻是電信、政府、金融、教化、能源和軍隊等機構志向的選擇。對于有VoIP等多媒體的應用，Eudemon防火墻也能夠供應完善的應用層愛惜。

四、產品特點1、核心技術天融信接受SoC(SystemonChip)技術，芯片內置硬件防火墻單元、7層數(shù)據分析單元、VPN加密單元、硬件路由交換單元、快速報文緩存MAC等眾多硬件模組。啟明星辰接受高性能多核CPU，配以自主研發(fā)的分布式軟件運算。通過對X86硬件架構，選擇了基于高倍PCI總線的X86硬件架構，網關接受64位的PCI-X和PCI-E(PCI-Express)總線，在CPU處理實力上，USG網關接受多線程高性能CPU進行數(shù)據處理，二級緩存可達1M，用L2Cache加速整機性能，保障千兆USG的數(shù)據處理性能。聯(lián)想網御接受了獨創(chuàng)的較為先進技術-深度核過濾技術，即基于OS內核的深度內容過濾技術。結合強大的多核級硬件處理實力和先進的DDR內存訪問處理機制，使得PowerV系列具有高效的處理實力。而在KingGuard的網關產品中，CPU是用來做網絡處理的，用來處理網絡流量，除了繼承了多核心外，還增加了很多的預處理網絡流量的功能，可以更好的支配網絡流量，是專為處理網絡流量的多核CPU。華為Eudemon防火墻，100和200接受的是多核CPU，500和1000接受的是NP網絡處理器。兩者配置基本相同。具有先進的硬件加速系統(tǒng)，Eudemon防火墻將限制層面和轉發(fā)層面的業(yè)務分別。而針對數(shù)據業(yè)務的處理全部都由NP來處理，這樣的體系設計使得Eudemon防火墻將NP的處理實力得到發(fā)揮。2、產品特點我們所介紹的硬件網絡平安產品，都基于專用的硬件平臺，如天融信接受TOS操作系統(tǒng);在平安性、適用性、牢靠性、擴展性和管理性上，如VNP組網、防病毒、過濾等方面都有各自的特性。天融信的TopGuard接受自主學問產權的平安操作系統(tǒng)TOS(TopsecOperatingSystem)，TOS擁有優(yōu)秀的模塊化設計架構，有效保障了防火墻、VPN、防病毒、內容過濾、抗攻擊、流量整形等模塊的優(yōu)異性能，其良好的擴展性為將來快速擴展更多特性供應了無限可能。啟明星辰USG一體化平安網關主要由以下幾部分組成：USG網關、USG集中管理中心、USG數(shù)據中心。接受高倍PCI總線的X86硬件架構，軟件優(yōu)化對于特征庫的統(tǒng)一。尤其在關鍵技術上，接受了多項技術，為確保多種平安實力的融合，性能的持續(xù)穩(wěn)定也起到了作用。聯(lián)想網御基于VSP的通用平安平臺，將時實操作、網絡處理、平安技術等結合在一起。接受創(chuàng)新的USE統(tǒng)一平安引擎，它將狀態(tài)檢測、協(xié)議檢測、深度過濾、應用過濾、用戶認證等多個子系統(tǒng)進行了集成。具有強平安性、強適用性、強牢靠性、強擴展性和強管理性等五大特性。聯(lián)想網御金剛平安網關KingGuard是聯(lián)想網御自05年推出多NP架構萬兆防火墻，以來其次代萬兆級的平安產品。也是處理性能最高的萬兆平安網關產品。華為Eudemon300/500/1000接受先進的動態(tài)檢測技術(ASPF)，具備電信級高性能和高牢靠性，還有VPN(虛擬專用網)功能、NAT(網絡地址轉換)功能。Eudemon100E/200/200S具備優(yōu)異的攻擊防范處理實力，供應對多種VPN的支持和組網，靈敏的地址轉換和地址映射功能。該系列產品還支持豐富的多媒體協(xié)議、路由協(xié)議以及QoS特性，為用戶供應多種組網方式的便利。五、產品功能經過對多家廠商的產品功能進行了對比。在網絡平安方面，各家充分考慮了內容過濾、防病毒;在牢靠性上，從產品設計上(如熱插)到雙機熱備兼有考慮;在適應性上，逐步支持透亮、路由、混合三種模式。在平安管理性上，允許各類認證和系統(tǒng)日志。六、運行環(huán)境和國家標準在節(jié)能方面，硬件防火墻都在標準的辦公環(huán)境中可以運用，電壓充分考慮了110V和220V兩類的不同電壓，頻率在50Hz，功率和一般PC的相當，系列產品的功率也會因為面對用戶數(shù)量不同，而在功率上有所差別。在我國，防火墻作為一種信息平安產品，其進入市場并不是隨意的，有相關的國家標準，也有相應的認證中心。國家于1999年通過了關于放火墻的相關國家標準，并且從2000年9月起執(zhí)行下面的三個新的國家標準。這個檢測是強制的，必需通過這個檢測，才能夠進入市場。國家標準：GB/T183362001——信息技術平安技術信息技術平安性評估準則GB/T180191999——信息技術包過濾防火墻平安技術要求GB/T180201999——信息技術應用級防火墻平安技術要求平安規(guī)范及標準：GB49432001

七、典型應用國內幾家的硬件防火墻廠商，在產品的應用上，都有較為翔實的案例和豐富的閱歷。典型的應用組網方式，一般分為兩大類：一類是以客戶類型的應用組網方式，如面對企業(yè)、政府、教化;另一類是依據功能應用而組網的形式，如用于平安防范、負載、備份、監(jiān)控、熱備等。八、產品舉薦1.天融信天融信的自主學問產權的防火墻系統(tǒng)——TopGuard，領先提出TOPSEC聯(lián)動技術體系，領先的TopASIC自主平安芯片，在包過濾、應用代理、核檢測等方面都有確定突破。我們對天融信廠商的技術工程師、以及幾家主要的經銷商作了詢問，總結有以下三種，用戶可以依據自身的網絡環(huán)境來加以選擇。1)：用戶如只做基本的防火墻用，很少用到應用層面的功能(如內容過濾、網關、IPSECVPN等)，可以選擇X86的平臺的兩款TG-4424/4324，兩者都是1U高的防火墻主機，標配4個10/100BASE-TX口，2個接口擴展插槽，不同之處在于TG-4424用來支持小包線速，而TG-4324是大包線速。2)：用戶如考慮到網絡帶寬流量和以小包線速為主，追求較高的信息流處理實力，可以選擇ASIC平臺的獵豹I系列的TG-4628產品，1U機型、標配12個端口：其中8個10/100BASE-TX兩個千兆COMBO接口，1個10/100/1000BASE-T專用HA口，1個10/100BASE-TX管理口小包線速，支持140萬并發(fā)連接。3)：如考慮到將來還有升級的可能，也可以考慮4000-UF系列中的專用平臺TG-5044，融合了防火墻、防病毒、入侵檢測、VPN、身份認證等多種平安解決方案，可以帶到一千臺終端電腦。由于用戶數(shù)量的限制，我們能看到并沒有舉薦NP(網絡處理器)平臺的產品。以下是天融信三款產品型號舉薦：2.啟明星辰廠商的技術人員針對100~500的用戶特點，舉薦了2款高端百兆(準千兆網絡)產品——USG800A和800C。由于是UTM的一體化產品，集合了多種模塊，其中的VPN、入侵防衛(wèi)(IPS)、防病毒(AV)三個模塊，經過授權后，可以單獨購買，其他的防火墻的一些功能，如內容過濾、反垃圾郵件等一并打包合算在了一起。假如對以上的功能都打開，則性能確定會下降，廠商人員坦誠的說：屆時吞吐量可能會下降到850M。因此，還是要依據用戶的實際運用狀況，而做出選擇。3.聯(lián)想網御聯(lián)想網御的售前人員，舉薦了PowerV的兩款產品，基于X86架構，都屬于準千兆級別產品。其中122A有10個10/100/1000端口，可最多增加2個SFP端口;而3A26自身標配帶6個10/100/1000端口，最多10個SFP端口。兩款產品都是最新的產品。4.華為假如不考慮VPN等功能，用戶可以選擇E200S，5個10/100M以太網口，沒有擴展插卡，功率32W。假如考慮到擴容和其他功能的應用，可以選擇定位更高端的Eudemon300。九、產品價格防火墻的產品售價極為懸殊，從數(shù)萬元到數(shù)十萬元，甚至到百萬元。報價的差異和以下幾點有關：1)用戶數(shù)量;2)用戶平安要求;3)功能要求不同，因此防火墻的價格也不盡相同。市場中，我們能問到的價格分為兩類，一類是市場公開價，另一類為實際市場成交價格。前一類公開價格，是相對統(tǒng)一的價格，各家經銷經商大致相同。后一類市場價格，各家經銷商之間存在差異，廠商和經銷商之間也有差價。僅就我們選擇的這幾款產品而言，比較后，市價的成交價格是公開報價2~3折。另外，還應當留意，在報價中包括標準化的模塊，假如增加其他功能，還須要另外增加費用。此次，我們選擇的100~500的和用戶數(shù)量，這個區(qū)間主要為中型企業(yè)網、重要網站、ISP、ASP、數(shù)據中心等運用。這個區(qū)間的防火墻應當較多考慮高容量、高速度、低延遲、高牢靠性以及防火墻本身的健壯性等特點。這個區(qū)間的防火墻報價一般在20萬元左，實際的成交價格一般僅在數(shù)萬元。天融信，我們就市場中的3家經銷商給出的價格分析，之間的差距還是很明顯，最大的在1.5萬元，少則幾千元。在實際的調查過程中，天融信的經銷商一般給出的是折扣后的價格，就此次調查的中端產品而言，折扣在3~3.7折之間。啟明星辰廠商給出的是公開價的2.2折，另外AV、IPS和VPN三個功能模塊是分開報價的，前兩個公開報價是2.7萬，后一個公開報價是2.4萬，同樣享受2.2的折扣。免費服務一年，用戶可以通過網上自動和手動設置相結合的兩種方式，對每年對病毒和漏洞庫進行升級。聯(lián)想網御的廠商銷售針對PowerV系列，分別給出2.7和3折。華為廠商的折扣價格分別在2.4折合2.1折。

十、銷售模式和客戶選購 從對防火墻廠商和經銷商的了解來看，有越來越多的廠商進入到這一領域中，廠商之間競爭激勵，產品的銷售方式，主要以廠商直銷和經銷商代理銷售相結合為主。防火墻市場相對和其他硬件IT廠商的銷售模式具有以下幾個特點：一、銷售渠道接近于垂直。主要表現(xiàn)在：經銷商數(shù)量有限;廠商有專職人員負責產品的垂直銷售;廠商分區(qū)域進行管理和銷售。其實，這種銷售模式的選擇，是依