国产厂商硬件防火墙对比解析综述

国产厂商硬件防火墙对比解析综述防火墙从形式上可分为软件防火墙和硬件防火墙。此次，我们主要介绍硬件防火墙。防火墙一般是通过网线连接于外部网络接口与内部服务器或企业网络之间的设备。它又分为普通硬件级别防火墙和“芯片”级硬件防火墙两种。所谓“芯片”级硬件防火墙，是指在专门设计的硬件平台，其搭建的软件也是专门开发的，并非流行的操作系统，因此可以达到较好的安全性能保障。目前，在这一层面我们介绍国内几家厂商，天融信、启明星辰、联想网御、华为、安氏领信等厂商。此次，我们将以100~500人的规模为应用对象，对各厂商的适应的“芯片”级硬件防火墙进行对比分析，分别从厂商概述、产品定位、应用领域、产品特点和功能、运行环境、典型应用、产品推荐和市场价格等多方面进行横向对比分析。其实，选购和讨论硬件防火墙并不能单纯以规模来判断，还应该考虑防火墙产品结构、数据吞吐量和工作位置、性能级别、应用功能等诸多因素。一、厂商概述国内硬件防火墙的品牌较多，但较早一批专注于信息安全的厂商却不多，尤其是“芯片”级的防火墙更少了。如果以架构划分，芯片级防火墙基于专门的硬件平台，专有的ASIC芯片使它们比其他种类的防火墙速度更快，处理能力更强，性能更高，因此漏洞相对比较少。不过价格相对较贵，做这类防火墙的国内厂商并不多，如天融信。另外一种方式是以X86平台为代表的通用CPU芯片，是目前使用较广泛的一种方式。这类型厂商较多，如启明星辰、联想网御、华为等。一般而言，产品价格相对上一种较低。第三类就是网络处理器(NP)，一般只被用于低端路由器、交换机等数据通信产品，由于开发难度和开发成本低，开发周期短等原因，因此，进入这一门槛的标准相对较低，也拥有部分客户群体。1.天融信以ASIC平台产品为主国产份额第一天融信的自主防火墙系统，首次提出TOPSEC联动技术体系。网络卫士防火墙历经了包过滤、应用代理、核检测等技术阶段。目前，以安全操作系统TOS为基础，开发了NGFW4000-UF及NGFW4000系列，融合了防火墙、防病毒、入侵检测、VPN、身份认证等多种安全解决方案。其TopASIC芯片，采用SoC(SystemonChip)技术，内置硬件防火墙单元、7层数据分析、VPN加密、硬件路由交换单元、快速报文缓存MAC等众多硬件模组。开发出了从第一代到第二代产品(内部称为猎豹I、猎豹II)，芯片转发容量从5Gbps到10Gbps，可达到全部千兆网口的全线速小包转发速率。除了以ASIC平台为主的产品外，X86和NP平台的产品也面向不同需求用户。据IDC2007年的报告显示，天融信防火墙产品以16.2%的市场份额，排名网络安全产品首位。2.启明星辰采用高性能X86硬件架构一体化网关技术1996年成立的启明星辰，承担国家级重点项目企业，拥有国家级网络安全技术研发基地。2003年，成为国内仅有的两家可以查看微软Windows操作系统源代码厂商之一。截至2007年，启明星辰共发布了59个windows、linux、unix操作系统的安全漏洞，居亚洲首位，用户遍及32个省、市。网络安全产品共有七大系列，其中推出新一代的UTM产品——天清汉马USG一体化安全网关。采用高性能的硬件架构和一体化的软件设计，集防火墙、VPN、入侵防御(IPS)、防病毒、外联控制、抗拒绝服务攻击(Anti-DoS)、内容过滤、反垃圾邮件、NetFlow等多种安全技术于一身。目前，产品涉及从大型企业、电信级千兆骨干网到小型分支机构的百兆型网络的USG10个产品。3.联想网御PowerV产品系列多万兆级网关—KingGuard联想网御1999年进入信息安全行业，拥有众多的核心技术、专利50项，涵盖全系列防火墙、VPN、UTM、IDS、IPS、防病毒网关、安全隔离网闸、安全管理共计8个大类，350多款产品，并参与和制定了多项国家安全等级保护制度。2007年，率先推出“下一代安全架构”的技术。并在08年一举收购了艾克斯通公司(SSLVPN专业厂商)，还是国内较早发布了万兆安全网关产品以及万兆的UTM解决方案的厂商。联想网御防火墙分为三大系列：SpuerV、PowerV、SmartV，共计40多款。拥有创新的VSP、USE、MRP等安全关键技术，其产品在众多领域已经部署了4万台以上，市场占有率名列前茅。今年6月，联想网御发布了万兆级安全网关产品——金刚安全网关KingGuard。该款产品成为迄今为止业界处理性能最高的万兆安全网关产品，它首创在信息安全产品中应用矩阵式并行计算系统——Windrunner。4.华为技术为主质量有保障华为业务领域涉猎众多，在网络安全方面，Eudemon防火墙系列产品基于电信级的硬件平台以及专用VRP软件平台，在攻击防范、VPN、NAT以及P2P应用监控等方面都有卓越的表现。基于网络处理器NP的高速防火墙Eudemon300/500/1000和专业的硬件平台以及VRP软件平台的Eudemon100E/200/200S。值得一提的是，华为的Eudemon防火墙无故障间隔时间为37年。二、产品定位国内市场上硬件防火墙的发展，经历了一系列变革。国内用户普遍接受的是硬件防火墙，从单一主机防火墙、路由集成式防火墙和分布式防火墙;性能上也从百兆级向千兆级防火墙发展;在架构方面，从最初的X86架构向NP以及ASIC架构发展。厂商在各自的产品布局上，考虑了不同行业需求，在产品设计上，首先明确产品定位，从高端复杂结构的电信级别、大流量数据中心的骨干级，到中型企业的网络级中端产品，直至低端的小型企业、甚至是SOHO用户。我们可以看到国内的厂商对不同级别产品都有所涉猎，这种产品纵向延展的定位思路，各家有所侧重。从目前的产品销售来看，国内的网络安全产品有一共同点，即备受联想网御基于VSP的通用安全平台，将时实操作、网络处理、安全技术等结合在一起。采用创新的USE统一安全引擎，它将状态检测、协议检测、深度过滤、应用过滤、用户认证等多个子系统进行了集成。具有强安全性、强适用性、强可靠性、强扩展性和强管理性等五大特性。联想网御金刚安全网关KingGuard是联想网御自05年推出多NP架构万兆防火墙，以来第二代万兆级的安全产品。也是处理性能最高的万兆安全网关产品。华为Eudemon300/500/1000采用先进的动态检测技术(ASPF)，具备电信级高性能和高可靠性，还有VPN(虚拟专用网)功能、NAT(网络地址转换)功能。Eudemon100E/200/200S具备优异的攻击防范处理能力，提供对多种VPN的支持和组网，灵活的地址转换和地址映射功能。该系列产品还支持丰富的多媒体协议、路由协议以及QoS特性，为用户提供多种组网方式的便利。

五、产品功能经过对多家厂商的产品功能进行了对比。在网络安全方面，各家充分考虑了内容过滤、防病毒;在可靠性上，从产品设计上(如热插)到双机热备兼有考虑;在适应性上，逐步支持透明、路由、混合三种模式。在安全管理性上，允许各类认证和系统日志。

六、运行环境与国家标准在节能方面，硬件防火墙都在标准的办公环境中可以使用，电压充分考虑了110V和220V两类的不同电压，频率在50Hz，功率和普通PC的相当，系列产品的功率也会因为面对用户数量不同，而在功率上有所差别。

在我国，防火墙作为一种信息安全产品，其进入市场并不是随意的，有相关的国家标准，也有相应的认证中心。国家于1999年通过了关于放火墙的相关国家标准，并且从2000年9月起执行下面的三个新的国家标准。这个检测是强制的，必须通过这个检测，才能够进入市场。国家标准：GB/T18336-2001——信息技术安全技术信息技术安全性评估准则GB/T18019-1999——信息技术包过滤防火墙安全技术要求GB/T18020-1999——信息技术应用级防火墙安全技术要求安全规范及标准：GB4943-2001七、典型应用国内几家的硬件防火墙厂商，在产品的应用上，都有较为翔实的案例和丰富的经验。典型的应用组网方式，一般分为两大类：一类是以客户类型的应用组网方式，如面向企业、政府、教育;另一类是根据功能应用而组网的形式，如用于安全防范、负载、备份、监控、热备等。

八、产品推荐1.天融信天融信的自主知识产权的防火墙系统——TopGuard，率先提出TOPSEC联动技术体系，领先的TopASIC自主安全芯片，在包过滤、应用代理、核检测等方面都有一定突破。我们对天融信厂商的技术工程师、以及几家主要的经销商作了咨询，总结有以下三种，用户可以根据自身的网络环境来加以选择。1)：用户如只做基本的防火墙用，很少用到应用层面的功能(如内容过滤、网关、IPSECVPN等)，可以选择X86的平台的两款TG-4424/4324，两者都是1U高的防火墙主机，标配4个10/100BASE-TX口，2个接口扩展插槽，不同之处在于TG-4424用来支持小包线速，而TG-4324是大包线速。2)：用户如考虑到网络带宽流量和以小包线速为主，追求较高的信息流处理能力，可以选择ASIC平台的猎豹I系列的TG-4628产品，1U机型、标配12个端口：其中8个10/100BASE-TX两个千兆COMBO接口，1个10/100/1000BASE-T专用HA口，1个10/100BASE-TX管理口小包线速，支持140万并发连接。3)：如考虑到未来还有升级的可能，也可以考虑4000-UF系列中的专用平台TG-5044，融合了防火墙、防病毒、入侵检测、VPN、身份认证等多种安全解决方案，可以带到一千台终端电脑。由于用户数量的限制，我们能看到并没有推荐NP(网络处理器)平台的产品。以下是天融信三款产品型号推荐：

2.启明星辰厂商的技术人员针对100~500的用户特点，推荐了2款高端百兆(准千兆网络)产品——USG800A和800C。由于是UTM的一体化产品，集合了多种模块，其中的VPN、入侵防御(IPS)、防病毒(AV)三个模块，经过授权后，可以单独购买，其他的防火墙的一些功能，如内容过滤、反垃圾邮件等一并打包合算在了一起。如果对以上的功能都打开，则性能肯定会下降，厂商人员坦诚的说：届时吞吐量可能会下降到850M。因此，还是要根据用户的实际使用情况，而做出选择。

3.联想网御联想网御的售前人员，推荐了PowerV的两款产品，基于X86架构，都属于准千兆级别产品。其中122A有10个10/100/1000端口，可最多增加2个SFP端口;而3A26自身标配带6个10/100/1000端口，最多10个SFP端口。两款产品都是最新的产品。

4.华为如果不考虑VPN等功能，用户可以选择E200S，5个10/100M以太网口，没有扩展插卡，功率32W。如果考虑到扩容和其他功能的应用，可以选择定位更高端的Eudemon300。九、产品价格防火墙的产品售价极为悬殊，从数万元到数十万元，甚至到百万元。报价的差异和以下几点有关：1)用户数量;2)用户安全要求;3)功能要求不同，因此防火墙的价格也不尽相同。市场中，我们能问到的价格分为两类，一类是市场公开价，另一类为实际市场成交价格。前一类公开价格，是相对统一的价格，各家经销经商大致相同。后一类市场价格，各家经销商之间存在差异，厂商和经销商之间也有差价。仅就我们选择的这几款产品而言，比较后，市价的成交价格是公开报价2~3折。另外，还应当注意，在报价中包括标准化的模块，如果增加其他功能，还需要另外增加费用。此次，我们选择的100~500的和用户数量，这个区间主要为中型企业网、重要网站、ISP、ASP、数据中心等使用。这个区间的防火墙应当较多考虑高容量、高速度、低延迟、高可靠性以及防火墙本身的健壮性等特点。这个区间的防火墙报价一般在20万元左，实际的成交价格一般仅在数万元。天融信，我们就市场中的3家经销商给出的价格分析，之间的差距还是很明显，最大的在1.5万元，少则几千元。在实际的调查过程中，天融信的经销商一般给出的是折扣后的价格，就此次调查的中端产品而言，折扣在3~3.7折之间。启明星辰厂商给出的是公开价的2.2折，另外AV、IPS和VPN三个功能模块是分开报价的，前两个公开报价是2.7万，后一个公开报价是2.4万，同样享受2.2的折扣。免费服务一年，用户可以通过网上自动和手动设置相结合的两种方式，对每年对病毒和漏洞库进行升级。联想网御的厂商销售针对PowerV系列，分别给出2.7和3折。华为厂商的折扣价格分别在2.4折合2.1折。十、销售模式与客户采购从对防火墙厂商和经销商的了解来看，有越来越多的厂商进入到这一领域中，厂商之间竞争激励，产品的销售方式，主要以厂商直销和经销商代理销售相结合为主。防火墙市场相对与其他硬件IT厂商的销售模式具有以下几个特点：一、销售渠道接近于垂直。主要表现在：经销商数量有限;厂商有专职人员负责产品的垂直销售;厂商分区域进行管理和销售。其实，这种销售模式的选择，是根据产品自身特点而考虑的，首先防火墙产品定价较高，采用垂直管理模式，有助于减少中间的流通环节、节约销售成本。其次，防火墙这一产品专业性较强，通过厂商直销人员的参与，可以帮助用户更好的分析需求、宣传产品、方案选择与推荐与。二、代理模式多元化。部分经销商兼有多家防火墙厂商的产品代理和销售;因此，用户在咨询某家的经销商时，往往可以听到多个品牌和产品的介绍，使得用户能有更多的选择和比较的机会。三、销售的价格体系不透明。无论是厂商直销还是代理