国产硬件防火墙横向解析
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
国产硬件防火墙横向解析
防火墙从形式上可分为软件防火墙和硬件防火墙。
此次,我们主要介绍硬件防火墙。
防火墙一般是通过网线连接于外部网络接口与内部服务器或企业网络之间的设备。
它又分为普通硬件级别防火墙和“芯片”级硬件防火墙两种。
所谓“芯片”级硬件防火墙,是指在专门设计的硬件平台,其搭建的软件也是专门开发的,并非流行的操作系统,因此可以达到较好的安全性能保障。
目前,在这一层面我们主要介绍国内四家厂商:天融信、启明星辰、联想网御、华为。
此次,我们将以100~500人的规模为应用对象,对各厂商的适应的“芯片”级硬件防火墙进行对比分析,分别从厂商概述、产品定位、应用领域、产品特点和功能、运行环境、典型应用、产品推荐和市场价格等多方面进行横向对比分析。
其实,选购和讨论硬件防火墙并不能单纯以规模来判断,还应该考虑防火墙产品结构、数据吞吐量和工作位置、性能级别、应用功能等诸多因素。
一、厂商概述
国内硬件防火墙的品牌较多,但较早一批专注于信息安全的厂商却不多,尤其是“芯片”级的防火墙更少了。
如果以架构划分,芯片级防火墙基于专门的硬件平台,专有的ASIC芯片使它们比其他种类的防火墙速度更快,处理能力更强,性能更高,因此漏洞相对比较少。
不过价格相对较贵,做这类防火墙的国内厂商并不多,如天融信。
另外一种方式是以X86平台为代表的通用CPU芯片,是目前使用较广泛的一种方式。
这类型厂商较多,如启明星辰、联想网御、华为等。
一般而言,产品价格相对上一种较低。
第三类就是网络处理器(NP),一般只被用于低端路由器、交换机等数据通信产品,由于开发难度和开发成本低,开发周期短等原因,因此,进入这一门槛的标准相对较低,也拥有部分客户群体。
1. 天融信以ASIC平台产品为主国产份额第一
天融信的自主防火墙系统,首次提出TOPSEC联动技术体系。
网络卫士防火墙历经了包过滤、应用代理、核检测等技术阶段。
目前,以安全操作系统TOS为基础,开发了NGFW4000-UF及NGFW4000系列,融合了防火墙、防病毒、入侵检测、VPN、身份认证等多种安全解决方案。
其Top ASIC芯片,采用SoC (System on Chip) 技术,内置硬件防火墙单元、7层数据分析、VPN加密、硬件路由交换单元、快速报文缓存MAC等众多硬件模组。
开发出了从第一代到第二代产品(内部称为猎豹I 、猎豹II),芯片转发容量从5Gbps到10Gbps,可达到全部千兆网口的全线速小包转发速率。
除了以ASIC平台为主的产品外,X86和NP平台的产品也面向不同需求用户。
据IDC 2007年的报告显示,天融信防火墙产品以16.2%的市场份额,排名网络安全产品首位。
2.启明星辰采用高性能X86硬件架构一体化网关技术
1996年成立的启明星辰,承担国家级重点项目企业,拥有国家级网络安全技术研发基地。
2003年,成为国内仅有的两家可以查看微软Windows操作系统源代码厂商之一。
截至2007年,启明星辰共发布了59个windows、linux、unix操作系统的安全漏洞,居亚洲首位,
用户遍及32个省、市。
网络安全产品共有七大系列,其中推出新一代的UTM产品——天清汉马USG一体化安全网关。
采用高性能的硬件架构和一体化的软件设计,集防火墙、VPN、入侵防御(IPS)、防病毒、外联控制、抗拒绝服务攻击(Anti-DoS)、内容过滤、反垃圾邮件、NetFlow等多种安全技术于一身。
目前,产品涉及从大型企业、电信级千兆骨干网到小型分支机构的百兆型网络的USG10个产品。
3.联想网御Power V 产品系列多万兆级网关—KingGuard
联想网御1999年进入信息安全行业,拥有众多的核心技术、专利50项,涵盖全系列防火墙、VPN、UTM、IDS、IPS、防病毒网关、安全隔离网闸、安全管理共计8个大类,350多款产品,并参与和制定了多项国家安全等级保护制度。
2007年,率先推出“下一代安全架构”的技术。
并在08年一举收购了艾克斯通公司(SSL VPN专业厂商),还是国内较早发布了万兆安全网关产品以及万兆的UTM解决方案的厂商。
联想网御防火墙分为三大系列:Spuer V、Power V、Smart V,共计40多款。
拥有创新的VSP、USE、MRP等安全关键技术,其产品在众多领域已经部署了4万台以上,市场占有率名列前茅。
今年6月,联想网御发布了万兆级安全网关产品——金刚安全网关KingGuard。
该款产品成为迄今为止业界处理性能最高的万兆安全网关产品,它首创在信息安全产品中应用矩阵式并行计算系统——Windrunner。
4.华为技术为主质量有保障
华为业务领域涉猎众多,在网络安全方面,Eudemon 防火墙系列产品基于电信级的硬件平台以及专用VRP软件平台,在攻击防范、VPN、NAT以及P2P应用监控等方面都有卓越的表现。
基于网络处理器NP的高速防火墙Eudemon 300/500/1000和专业的硬件平台以及VRP软件平台的Eudemon 100E/200/200S。
值得一提的是,华为的Eudemon 防火墙无故障间隔时间为37年。
二、产品定位
国内市场上硬件防火墙的发展,经历了一系列变革。
国内用户普遍接受的是硬件防火墙,从单一主机防火墙、路由集成式防火墙和分布式防火墙;性能上也从百兆级向千兆级防火墙发展;在架构方面,从最初的X86架构向NP以及ASIC架构发展。
厂商在各自的产品布局上,考虑了不同行业需求,在产品设计上,首先明确产品定位,从高端复杂结构的电信级别、大流量数据中心的骨干级,到中型企业的网络级中端产品,直至低端的小型企业、甚至是SOHO 用户。
我们可以看到国内的厂商对不同级别产品都有所涉猎,这种产品纵向延展的定位思路,各家有所侧重。
从目前的产品销售来看,国内的网络安全产品有一共同点,即备受政府部门青睐。
主要原因是政府部门、机关、部队、公安、事业单位基于安全意识考虑,似乎更愿意采购国内厂商的硬件防火墙。
天融信系列产品以中高端市场定位为目标,形成了适用于中小企业级到电信级多网络应用需求的NGFWARES、NGFW4000、NGFW4000-UF三大系列、60多个型号的防火墙产品。
按其内部的技术人员的划分来说,分有4个级别,从高到低依次为:高端的并行多处理器产
品(可达万兆),中高端的ASIC II和ASIC I(千兆和千兆/百兆混合),中端的X86产品(百兆),低端的NP产品(百兆)。
启明星辰的产品定位更为明晰,产品面向高端电信级(1款)、大中型企业(3款千兆),中型企业(3款千兆),中小型企业(2款百兆),低端的小型企业(1款百兆),USG系列产品共10个型号。
联想网御三个系列的防火墙定位从高至低,依次是面向电信级的KingGuard(万兆)、电信级高端的Super V (千兆),中端企业级Power V (百兆+千兆),以及集成防火墙、VPN、交换机功能于一身的Smart V (百兆),其中有机架和桌面两种产品类型,定位在小型企业。
华为的两大产品系列,其中Eudemon 300 / 500 / 1000是基于网络处理器NP技术的硬件高速状态防火墙,定位于电信级别及企业高端用户。
Eudemon 100E / 200 / 200S,基于专业的硬件平台以及VRP软件平台,是中小型企业理想的选择。
三、应用领域
下表是几家厂商的产品定位及其应用领域。
仔细比较,我们能发现两个共同点:
1)各家厂商的产品应用领域较广,从高端到中低端都有覆盖;
2)网络应用从千兆到百兆,产品针对性较强。
用户可根据实际需求灵活选择——针对行业应用特点及产品不同性能。
防火墙根据性能高低,适用网络环境不同,面向的用户也不尽相同,我们列举出市场中几家主力厂商的防火墙,以帮助用户整体认知和选择。
天融信防火墙在政府、金融、电信、教育、能源、交通等各行业普遍应用。
其中,NGFW4000-UF是中高端产品,适用于结构复杂、高带宽、大流量的电信机房、金融数据中心等大中型企业骨干级网络环境;NGFW4000是中端产品,适用于网络复杂、应用丰富的政府、金融、学校、中型企业等网络环境;NGFWARES是为分支机构、中小型企业、非骨干节点院校、单位内部的部门级等中小用户开发的安全平台,也可提供小巧的桌面产品。
天清汉马USG一体化安全网关产品线丰富,可为政府、教育、金融、企业、运营商、能源等用户提供所需要的系列安全防护产品。
联想网御的三大系列产品,可为各种规模的企业和政府机构网络系统提供相适应的产品。
其防火墙已经在税务、公安、军队、能源、交通、电信、金融、制造等行业广泛使用。
Kingguard 的使用群体规模较大,学校是很大一部分群体,用于教育网应用。
还有就是运营商,例如小区宽带运营商。
另外还适合大型的企事业单位。
华为Eudemon 防火墙是电信、政府、金融、教育、能源和军队等机构理想的选择。
对于有VoIP等多媒体的应用,Eudemon防火墙也能够提供完善的应用层保护。
四、产品特点
1、核心技术
天融信采用SoC (System on Chip) 技术,芯片内置硬件防火墙单元、7层数据分析单元、VPN加密单元、硬件路由交换单元、快速报文缓存MAC等众多硬件模组。
启明星辰采用高性能多核CPU,配以自主研发的分布式软件运算。
通过对X86硬件架构,选择了基于高倍PCI总线的X86硬件架构,网关采用64位的PCI-X和PCI-E(PCI-Express)总线,在CPU处理能力上,USG网关采用多线程高性能CPU进行数据处理,二级缓存可达1M,用L2 Cache加速整机性能,保障千兆USG的数据处理性能。
联想网御采用了独创的较为先进技术-深度核过滤技术,即基于OS内核的深度内容过滤技术。
结合强大的多核级硬件处理能力和先进的DDR内存访问处理机制,使得Power V系列具有高效的处理能力。
而在King Guard的网关产品中,CPU是用来做网络处理的,用来处理网络流量,除了继承了多核心外,还增加了很多的预处理网络流量的功能,可以更好的分配网络流量,是专为处理网络流量的多核CPU。
华为Eudemon防火墙,100和200采用的是多核CPU,500和1000采用的是NP网络处理器。
两者配置基本相同。
具有先进的硬件加速系统,Eudemon防火墙将控制层面和转
发层面的业务分离。
而针对数据业务的处理全部都由NP来处理,这样的体系设计使得Eudemon防火墙将NP的处理能力得到发挥。
2、产品特点
我们所介绍的硬件网络安全产品,都基于专用的硬件平台,如天融信采用TOS操作系统;在安全性、适用性、可靠性、扩展性和管理性上,如VNP组网、防病毒、过滤等方面都有各自的特性。
天融信的Top Guard采用自主知识产权的安全操作系统TOS(Topsec Operating System),TOS 拥有优秀的模块化设计架构,有效保障了防火墙、VPN、防病毒、内容过滤、抗攻击、流量整形等模块的优异性能,其良好的扩展性为未来迅速扩展更多特性提供了无限可能。
启明星辰USG一体化安全网关主要由以下几部分组成:USG网关、USG集中管理中心、USG数
据中心。
采用高倍PCI总线的X86硬件架构,软件优化对于特征库的统一。
尤其在关键技术上,采用了多项技术,为确保多种安全能力的融合,性能的持续稳定也起到了作用。
联想网御基于VSP的通用安全平台,将时实操作、网络处理、安全技术等结合在一起。
采用创新的USE统一安全引擎,它将状态检测、协议检测、深度过滤、应用过滤、用户认证等多个子系统进行了集成。
具有强安全性、强适用性、强可靠性、强扩展性和强管理性等五大特性。
联想网御金刚安全网关KingGuard是联想网御自05年推出多NP架构万兆防火墙,以来第二代万兆级的安全产品。
也是处理性能最高的万兆安全网关产品。
华为Eudemon 300/500/1000采用先进的动态检测技术(ASPF),具备电信级高性能和高可靠性,还有VPN(虚拟专用网)功能、NAT(网络地址转换)功能。
Eudemon 100E/200/200S具备优异的攻击防范处理能力,提供对多种VPN的支持和组网,灵活的地址转换和地址映射功能。
该系列产品还支持丰富的多媒体协议、路由协议以及QoS特性,为用户提供多种组网方式的便利。
五、产品功能
经过对多家厂商的产品功能进行了对比。
在网络安全方面,各家充分考虑了内容过滤、防病毒;在可靠性上,从产品设计上(如热插)到双机热备兼有考虑;在适应性上,逐步支持透明、路由、混合三种模式。
在安全管理性上,允许各类认证和系统日志。
六、运行环境与国家标准
在节能方面,硬件防火墙都在标准的办公环境中可以使用,电压充分考虑了110V和220V 两类的不同电压,频率在50Hz,功率和普通PC的相当,系列产品的功率也会因为面对用户数量不同,而在功率上有所差别。
在我国,防火墙作为一种信息安全产品,其进入市场并不是随意的,有相关的国家标准,也有相应的认证中心。
国家于1999年通过了关于放火墙的相关国家标准,并且从2000年9月起执行下面的三个新的国家标准。
这个检测是强制的,必须通过这个检测,才能够进入市场。
国家标准:
GB/T183362001 ——信息技术安全技术信息技术安全性评估准则
GB/T180191999 ——信息技术包过滤防火墙安全技术要求
GB/T180201999 ——信息技术应用级防火墙安全技术要求
安全规范及标准:GB49432001
七、典型应用
国内几家的硬件防火墙厂商,在产品的应用上,都有较为翔实的案例和丰富的经验。
典型的应用组网方式,一般分为两大类:一类是以客户类型的应用组网方式,如面向企业、政府、教育;另一类是根据功能应用而组网的形式,如用于安全防范、负载、备份、监控、热备等。
八、产品推荐
1. 天融信
天融信的自主知识产权的防火墙系统——Top Guard,率先提出TOPSEC联动技术体系,领先的TopASIC自主安全芯片,在包过滤、应用代理、核检测等方面都有一定突破。
我们对天融信厂商的技术工程师、以及几家主要的经销商作了咨询,总结有以下三种,用户可以根据自身的网络环境来加以选择。
1):用户如只做基本的防火墙用,很少用到应用层面的功能(如内容过滤、网关、IPSEC VPN 等),可以选择X86的平台的两款TG-4424 /4324,两者都是1U高的防火墙主机,标配4个10/100BASE-TX口,2个接口扩展插槽,不同之处在于TG-4424用来支持小包线速,而TG-4324是大包线速。
2):用户如考虑到网络带宽流量和以小包线速为主,追求较高的信息流处理能力,可以选择ASIC平台的猎豹I 系列的TG-4628产品,1U机型、标配12个端口:其中8个10/100BASE-TX两个千兆COMBO接口,1个10/100/1000BASE-T专用HA口,1个10/100BASE-TX 管理口小包线速,支持140万并发连接。
3):如考虑到未来还有升级的可能,也可以考虑4000-UF系列中的专用平台TG-5044,融合了防火墙、防病毒、入侵检测、VPN、身份认证等多种安全解决方案,可以带到一千台终端电脑。
由于用户数量的限制,我们能看到并没有推荐NP(网络处理器)平台的产品。
以下是天融信三款产品型号推荐:
2. 启明星辰
厂商的技术人员针对100~500的用户特点,推荐了2款高端百兆(准千兆网络)产品——USG 800A和800C。
由于是UTM的一体化产品,集合了多种模块,其中的VPN、入侵防御(IPS)、防病毒(AV)三个模块,经过授权后,可以单独购买,其他的防火墙的一些功能,如内容过滤、反垃圾邮件等一并打包合算在了一起。
如果对以上的功能都打开,则性能肯定会下降,厂商人员坦诚的说:届时吞吐量可能会下降到850M。
因此,还是要根据用户的实际使用情况,而做出选择。
3. 联想网御
联想网御的售前人员,推荐了Power V的两款产品,基于X86架构,都属于准千兆级别产品。
其中122A有10个10/100/1000端口,可最多增加2个SFP端口;而3A26自身标配带6个10/100/1000端口,最多10个SFP端口。
两款产品都是最新的产品。
4. 华为
如果不考虑VPN等功能,用户可以选择E200S,5个10/100M以太网口,没有扩展插卡,功率32W。
如果考虑到扩容和其他功能的应用,可以选择定位更高端的Eudemon 300。
九、产品价格
防火墙的产品售价极为悬殊,从数万元到数十万元,甚至到百万元。
报价的差异和以下几点有关:1)用户数量;2)用户安全要求;3)功能要求不同,因此防火墙的价格也不尽相同。
市场中,我们能问到的价格分为两类,一类是市场公开价,另一类为实际市场成交价格。
前一类公开价格,是相对统一的价格,各家经销经商大致相同。
后一类市场价格,各家经销商之间存在差异,厂商和经销商之间也有差价。
仅就我们选择的这几款产品而言,比较后,市价的成交价格是公开报价2~3折。
另外,还应当注意,在报价中包括标准化的模块,如果增加其他功能,还需要另外增加费用。
此次,我们选择的100~500的和用户数量,这个区间主要为中型企业网、重要网站、ISP、ASP、数据中心等使用。
这个区间的防火墙应当较多考虑高容量、高速度、低延迟、高可靠性以及防火墙本身的健壮性等特点。
这个区间的防火墙报价一般在20万元左,实际的成交价格一般仅在数万元。
天融信,我们就市场中的3家经销商给出的价格分析,之间的差距还是很明显,最大的在1.5万元,少则几千元。
在实际的调查过程中,天融信的经销商一般给出的是折扣后的价格,就此次调查的中端产品而言,折扣在3~3.7折之间。
启明星辰厂商给出的是公开价的2.2折,另外AV、IPS和VPN三个功能模块是分开报价的,前两个公开报价是2.7万,后一个公开报价是2.4万,同样享受2.2的折扣。
免费服务一年,用户可以通过网上自动和手动设置相结合的两种方式,对每年对病毒和漏洞库进行升级。
联想网御的厂商销售针对Power V 系列,分别给出2.7和3折。
华为厂商的折扣价格分别在2.4折合2.1折。
十、销售模式与客户采购
从对防火墙厂商和经销商的了解来看,有越来越多的厂商进入到这一领域中,厂商之间竞争激励,产品的销售方式,主要以厂商直销和经销商代理销售相结合为主。
防火墙市场相对与其他硬件IT厂商的销售模式具有以下几个特点:一、销售渠道接近于垂直。
主要表现在:经销商数量有限;厂商有专职人员负责产品的垂直销售;厂商分区域进行管理和销售。
其实,这种销售模式的选择,是根据产品自身特点而考虑的,首先防火墙产
品定价较高,采用垂直管理模式,有助于减少中间的流通环节、节约销售成本。
其次,防火墙这一产品专业性较强,通过厂商直销人员的参与,可以帮助用户更好的分析需求、宣传产品、方案选择与推荐与。
二、代理模式多元化。
部分经销商兼有多家防火墙厂商的产品代理和销售;因此,用户在咨询某家的经销商时,往往可以听到多个品牌和产品的介绍,使得用户能有更多的选择和比较的机会。
三、销售的价格体系不透明。
无论是厂商直销还是代理商,对于报价这一环节,大多表现出“神秘”状。
其实,导致这种原因一方面是,客户的需求和应用很难一次了解清楚,因此产品选型和一些附加功能的报价就存在不确定因素。
另一方面,各家经销商和厂商之间也存在竞争关系,前期的报价相对保守,但留给客户较大下调价格的空间。
为了避免“撞单”的发生,一般采用客户信息“报备”的制度。
对于上百种的硬件级别的防火墙,对于客户如何能选择到适合自己的产品呢,以下给出一些意见可供参考。
1)防火墙的前期准备一定要充足,定位要准确,否则开发过程中会出现种种意外的问题;
2)采购防火墙一定要考虑到可升级性的问题,如果防火墙不能升级,那它的可用性和可选择余地势必要大打折扣;建议选择易于升级、支持大量协议、易于管理和功能可扩展的产品。
3)对于众多的厂商,产品的价格并不是唯一的选择标准,遵循简单易用性的原则,关注以往行业成功案例很关键。
4)一般最终采购确定好之后,其报价才会最终敲定,价格还会有下降空间;因此,哪些功能得实现,哪些功能不必实现、哪些功能可以在后期实现,一定要清楚,否则费用会远远超出预计。
总结:
以上是对防火墙市场和产品的一些简介,各个方面都有涉及,但并未深入到位。
只能算是一个较为全面的综述。
从技术的角度上看,未来的防火墙的发展暂时不会有太大的突破。
从市场的角度更多的是关注产品的价格和应用,以及如何选择产品。
但我们相信,依靠厂商的不断的努力、经销渠道的不断完善,以及用户认知的能力的加强,硬件级别的防火墙市场会不断成熟的。