防火墙产品市场调研

防火墙产品市场调研

防火墙指的是一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障，是一种获取安全性方法的形象说法，它是一种计算机硬件和软件的结合，使Internet与Intranet之间建立起一个安全网关，从而保护内部网免受非法用户的侵入。防火墙主要由服务访问规则、验证工具、包过滤和应用网关4个部分组成。防火墙就是一个位于计算机和它所连接的网络之间的软件或硬件。该计算机流入流出的所有网络通信均要经过此防火墙。

一、防火墙的未来发展趋势

未来防火墙的发展趋势是朝高速、多功能化、更安全的方向发展。从国内外历次测试的结果都可以看出，目前防火墙一个很大的局限性是速度不够。应用ASIC、FPGA和网络处理器是实现高速防火墙的主要方法，其中以采用网络处理器最优，因为网络处理器采用微码编程，可以根据需要随时升级，甚至可以支持IPV6，而采用其它方法就不那么灵活。实现高速防火墙，算法也是一个关键，因为网络处理器中集成了很多硬件协处理单元，因此比较容易实现高速。对于采用纯CPU的防火墙，就必须有算法支撑，例如ACL算法。目前有的应用环境，动辄应用数百乃至数万条规则，没有算法支撑，对于状态防火墙，建立会话的速度会十分缓慢。受现有技术的限制，目前还没有有效的对应用层进行高速检测的方法，也没有哪款芯片能做到这一点。因此，防火墙不适宜于集成内容过滤、防病毒和IDS功能(传输层以下的IDS除外，这些检测对CPU消耗小)。对于IDS，目前最常用的方式还是把网络上的流量镜像到IDS设备中处理，这样可以避免流量较大时造成网络堵塞。此外，应用层漏洞很多，攻击特征库需要频繁升级，对于处在网络出口关键位置的防火墙，如此频繁地升级也是不现实的。这里还要提到日志问题，根据国家有关标准和要求，防火墙日志要求记录的内容相当多。

随着网络流量越来越大，庞大的日志对日志服务器提出了很高的要求。目前，业界应用较多的SYSLOG 日志，采用的是文本方式，每一个字符都需要一个字节，对防火墙的带宽也是一个很大的消耗。二进制日志可以大大减小数据传送量，也方便数据库的存储、加密和事后分析。所以，支持二进制格式和日志数据库，是未来防火墙日志和日志服务器软件的一个基本要求。多功能也是防火墙的发展方向之一，鉴于目前路由器和防火墙价格都比较高，组网环境也越来越复杂，一般用户总希望防火墙可以支持更多的功能，满足组网和节省投资

的需要。例如，防火墙支持广域网口，并不影响安全性，但在某些情况下却可以为用户节省一台路由器；支持部分路由器协议，如路由、拨号等，可以更好地满足组网需要；支持 IP SEC VPN，可以利用因特网组建安全的专用通道，既安全又节省了专线投资。未来防火墙的操作系统会更安全。随着算法和芯片技术的发展，防火墙会更多地参与应用层分析，为应用提供更安全的保障。

1.我国防火墙市场的现状和发展趋势：

我国防火墙市场正处于高速发展阶段中国防火墙市场正处于高速发展阶段。市场的重点是政府、银行、保险、证券、能源、交通、电信、新闻出版等行业，其中金融、电信及政府采购将占防火墙总体市场的70%。政府上网工程、网上审批工程、电子政务工程等工程的实施，将政府内部网、企业内网、电子商务网与Internet互联是必须的，防“黑客”入侵攻击成为信息安全的重要任务，我国防火墙产品市场需求率增长明显。

2.国产防火墙的技术现状和发展趋势：

目前国内市场上流行的硬件防火墙产品，其硬件平台基本上采用通用PC或工业PC架构，即在通用PC或工业PC架构中插入2块、3块甚至多块网络卡，构成防火墙的基础硬件平台。为了提高防火墙引擎的信息处理能力，一方面选用高性能CPU和大容量内存的PC，另一方面选用千兆网络卡。由于PC机的CPU、内存和网卡的技术进步很快，实现百兆防火墙的线速处理能力是毫无技术障碍的。这也是我国百兆防火墙技术进步的重要因素。防火墙的操作系统平台采用改造的LINUXLA来构造安全操作系统。防火墙从包过滤向混合型过渡。

纵观国内外防火墙的发展史，从第一代的包过滤防火墙到第二代的代理网关型防火墙，最后发展到混合型防火墙。我国防火墙的发展历史也走了这条路。我国还有相当一部分产品仍处在第一代，即包过滤防火墙（含匹配包头信息的包过滤和状态检测的包过滤）的水平。也有些防火墙实现了代理网关功能，正在向混合型防火墙过渡。千兆防火墙的体系结构从PC架构向网络处理器NP过渡。网络处理器NP，作为一种可编程器件，它具有高性能、高灵活性以及高可靠性的特点，它已经成为新一代网络设备的核心处理器。网络处理器以其杰出的包处理性能及可编程性成为构筑转发引擎的重要基础。

3.与传统的处理器相比，网络处理器具有以下的优势：

（1）网络处理器可以提供数据包的线速转发功能，包括数据包的分类、统计和转发。另外还可以根据用户程序的要求进行数据包的重组和分拆；

（2）网络处理器可以根据用户需要进行带宽的分配和优先级定义，实现对各类用户数

据包的分类管理；

（3）实现对三层及三层以上协议的分析、过滤。总的来说，网络处理器一方面保持了基于CPU设计的灵活性，另一方面消除了传统CPU的瓶颈问题。在采用网络处理器的条件下，可以构建一种速度可与专用ASIC相媲美的完全可编程的架构。

另外，使用NPU，软硬件都易于升级，软件可以支持新的标准和协议，硬件支持更高的网络速度，从而使产品的生命周期更长，企业的投资得到保护。

二、如何进行选择适合自己企业的防火墙设备？

正如购买其他电子设备需要了解很多性能参数一样，选购一台防火墙也需要了解众多的的性能指标。那么作为防火墙的四项基本性能指标——吞吐、时延、新建、并发，都意味着什么，如何测算得出，到底可以带给用户什么好处？有什么意义？在此将为您解读防火墙四大指标的含义以及测试方法。

吞吐量（Throughput）

吞吐量是衡量一款防火墙或者路由交换设备的最重要的指标，它是指网络设备在每一秒内处理数据包的最大能力。吞吐量意味这台设备在每一秒以内所能够处理的最大流量或者说每一秒内能处理的数据包个数。设备吞吐量越高，所能提供给用户使用的带宽越大，就像木桶原理所描述的，网络的最大吞吐取决于网络中的最低吞吐量设备，足够的吞吐量可以保证防火墙不会成为网络的瓶颈。举一个形象的例子，一台防火墙下面有100个用户同时上网，每个用户分配的是10Mbps的带宽，那么这台防火墙如果想要保证所有用户全速的网络体验，必须要有至少1Gbps的吞吐量。

吞吐量的计量单位有两种方式：常见的就是带宽计量，单位是Mbps（Megabitspersecond）或者Gbps（Gigabitspersecond），另外一种是数据包处理量计量，单位是pps （packetspersecond），两种计量方式是可以相互换算的。在进行对一款设备进行吞吐性能测试时，通常会记录一组从64字节到1518字节的测试数据，每一个测试结果均有相对应的pps数。64字节的pps数最大，基本上可以反映出设备处理数据包的最大能力。所以从64字节的这个数，基本上可以推算出系统最大能处理的吞吐量是多少。

很多路由设备的性能指标有一点就是标称xxMpps，所指的就是设备处理64字节的pps 数。比如64字节的pps为100000pps，吞吐量通过换算为100000×(64+20)×8/1000000=67.2Mbps，拿这个结果计算1518字节的数据为100000×(1518+20)×8/100000=1230.4Mbps。其中的20字节是指12字节的帧间距（IPG）以及8字节的前导码（7字节同步+1字节起始），测试每一个字节的吞吐量都需要将这20字节计算在内。通过前面