国产厂商硬件防火墙对比解析综述

国产厂商硬件防火墙对比解析综述防火墙从形式上可分为软件防火墙和硬件防火墙。此次，我们主要介绍硬件防火 墙。防火墙一般是通过网线连接于外部网络接口与内部服务器或企业网络之间的 设备。它又分为普通硬件级别防火墙和“芯片”级硬件防火墙两种。所谓“芯 片”级硬件防火墙，是指在专门设计的硬件平台，其搭建的软件也是专门开发的， 并非流行的操作系统，因此可以达到较好的安全性能保障。目前，在这一层面我 们介绍国内几家厂商，天融信、启明星辰、联想网御、华为、安氏领信等厂商。此次，我们将以 100500 人的规模为应用对象，对各厂商的适应的“芯片” 级硬件防火墙进行对比分析，分别从厂商概述、产品定位、应用领域、产品特点 和功能、运行环境、典型应用、产品推荐和市场价格等多方面进行横向对比分析。 其实，选购和讨论硬件防火墙并不能单纯以规模来判断，还应该考虑防火墙产品 结构、数据吞吐量和工作位置、性能级别、应用功能等诸多因素。一、厂商概述国内硬件防火墙的品牌较多，但较早一批专注于信息安全的厂商却不多，尤 其是“芯片”级的防火墙更少了。如果以架构划分，芯片级防火墙基于专门的硬 件平台，专有的 ASIC 芯片使它们比其他种类的防火墙速度更快，处理能力更强， 性能更高，因此漏洞相对比较少。不过价格相对较贵，做这类防火墙的国内厂商 并不多，如天融信。另外一种方式是以X86平台为代表的通用CPU芯片，是目前 使用较广泛的一种方式。这类型厂商较多，如启明星辰、联想网御、华为等。一 般而言，产品价格相对上一种较低。第三类就是网络处理器(NP), 般只被用于 低端路由器、交换机等数据通信产品,由于开发难度和开发成本低，开发周期短 等原因，因此，进入这一门槛的标准相对较低，也拥有部分客户群体。1. 天融信以 ASIC 平台产品为主 国产份额第一天融信的自主防火墙系统，首次提出TOPSEC联动技术体系。网络卫士防火 墙历经了包过滤、应用代理、核检测等技术阶段。目前，以安全操作系统 TOS 为基础，开发了 NGFW4000-UF及NGFW4000系列，融合了防火墙、防病毒、入侵 检测、VPN身份认证等多种安全解决方案。其Top ASIC芯片，采用SoC (System on Chip)技术，内置硬件防火墙单元、7层数据分析、VPN加密、硬件路由交换 单元、快速报文缓存MAC等众多硬件模组。开发出了从第一代到第二代产品(内 部称为猎豹I、猎豹II)，芯片转发容量从5Gbps到lOGbps，可达到全部千兆 网口的全线速小包转发速率。除了以ASIC平台为主的产品外,X86和NP平台的产品也面向不同需求用户。 据IDC 2007年的报告显示，天融信防火墙产品以16.2%的市场份额，排名网络 安全产品首位。2启明星辰 采用高性能X86硬件架构一体化网关技术1996 年成立的启明星辰，承担国家级重点项目企业，拥有国家级网络安全 技术研发基地。2003年，成为国内仅有的两家可以查看微软Windows操作系统 源代码厂商之一。截至2007年，启明星辰共发布了 59个windows、linux、unix 操作系统的安全漏洞，居亚洲首位，用户遍及32个省、市。网络安全产品共有七大系列，其中推出新一代的UTM产品一一天清汉马USG 一体化安全网关。采用高性能的硬件架构和一体化的软件设计，集防火墙、 VPN、 入侵防御(IPS)、防病毒、外联控制、抗拒绝服务攻击(An ti-DoS)、内容过滤、 反垃圾邮件、Net Flow等多种安全技术于一身。目前，产品涉及从大型企业、电 信级千兆骨干网到小型分支机构的百兆型网络的USG10个产品。3. 联想网御Power V产品系列多 万兆级网关一KingGuard联想网御1999年进入信息安全行业，拥有众多的核心技术、专利50项，涵 盖全系列防火墙、VPN、UTM、IDS、IPS、防病毒网关、安全隔离网闸、安全管理 共计8个大类，350多款产品，并参与和制定了多项国家安全等级保护制度。2007 年，率先推出“下一代安全架构”的技术。并在 08年一举收购了艾克斯通公司 (SSL VPN专业厂商)，还是国内较早发布了万兆安全网关产品以及万兆的UTM解 决方案的厂商。联想网御防火墙分为三大系列：SpuerV、Power V、Smart V,共计40多款。 拥有创新的 VSP、 USE、 MRP 等安全关键技术，其产品在众多领域已经部署了 4 万台以上，市场占有率名列前茅。今年6月，联想网御发布了万兆级安全网关产 品金刚安全网关KingGuard。该款产品成为迄今为止业界处理性能最高的万兆安全网关产品，它首创在信息安全产品中应用矩阵式并行计算系统 Windrunner。4. 华为 技术为主 质量有保障华为业务领域涉猎众多，在网络安全方面， Eudemon 防火墙系列产品基于电 信级的硬件平台以及专用VRP软件平台，在攻击防范、VPN、NAT以及P2P应用 监控等方面都有卓越的表现。基于网络处理器NP的高速防火墙Eudemon 300/500/1000和专业的硬件平台以及VRP软件平台的Eudemon 100E/200/200S。 值得一提的是，华为的Eudemon防火墙无故障间隔时间为37年。二、产品定位国内市场上硬件防火墙的发展，经历了一系列变革。国内用户普遍接受的是 硬件防火墙，从单一主机防火墙、路由集成式防火墙和分布式防火墙;性能上也 从百兆级向千兆级防火墙发展;在架构方面，从最初的X86架构向NP以及ASIC 架构发展。厂商在各自的产品布局上，考虑了不同行业需求，在产品设计上，首 先明确产品定位，从高端复杂结构的电信级别、大流量数据中心的骨干级，到中 型企业的网络级中端产品，直至低端的小型企业、甚至是SOHO用户。我们可以 看到国内的厂商对不同级别产品都有所涉猎，这种产品纵向延展的定位思路，各 家有所侧重。从目前的产品销售来看，国内的网络安全产品有一共同点，即备受 政府部门青睐。主要原因是政府部门、机关、部队、公安、事业单位基于安全意 识考虑，似乎更愿意采购国内厂商的硬件防火墙。天融信系列产品以中高端市场定位为目标，形成了适用于中小企业级到电信 级多网络应用需求的 NGFWARES、NGFW4000、NGFW4000-UF 三大系列、60 多个型 号的防火墙产品。按其内部的技术人员的划分来说，分有4 个级别，从高到低依 次为：高端的并行多处理器产品（可达万兆）中高端的ASIC II和ASIC 1（千兆 和千兆/百兆混合），中端的X86产品（百兆），低端的NP产品（百兆）。启明星辰的产品定位更为明晰，产品面向高端电信级（1款）、大中型企业（3 款千兆），中型企业（3款千兆），中小型企业（2款百兆），低端的小型企业（1款 百兆），USG系列产品共10个型号。联想网御三个系列的防火墙定位从高至低，依次是面向电信级的KingGuard（万兆）、电信级高端的Super V （千兆），中端企业级Power V （百兆+ 千兆），以及集成防火墙、VPN、交换机功能于一身的Smart V （百兆），其中有 机架和桌面两种产品类型，定位在小型企业。华为的两大产品系列，其中 Eudemon 300 / 500 / 1000是基于网络处理器 NP技术的硬件高速状态防火墙，定位于电信级别及企业高端用户。EudemonlOOE / 200 / 200S，基于专业的硬件平台以及VRP软件平台，是中小型企业理想的选 择。三、应用领域下表是几家厂商的产品定位及其应用领域。仔细比较，我们能发现两个共同 点： 1）各家厂商的产品应用领域较广，从高端到中低端都有覆盖;2）网络应用从 千兆到百兆，产品针对性较强。用户可根据实际需求灵活选择针对行业应用 特点及产品不同性能。防火墙根据性能高低，适用网络环境不同，面向的用户也 不尽相同，我们列举出市场中几家主力厂商的防火墙，以帮助用户整体认知和选 择。天融信防火墙在政府、金融、电信、教育、能源、交通等各行业普遍应用。 其中， NGFW4000-UF 是中高端产品，适用于结构复杂、高带宽、大流量的电信机 房、金融数据中心等大中型企业骨干级网络环境;NGFW4000是中端产品，适用于 网络复杂、应用丰富的政府、金融、学校、中型企业等网络环境;NGFWARES是为 分支机构、中小型企业、非骨干节点院校、单位内部的部门级等中小用户开发的 安全平台，也可提供小巧的桌面产品。天清汉马USG 体化安全网关产品线丰富，可为政府、教育、金融、企业、 运营商、能源等用户提供所需要的系列安全防护产品。联想网御的三大系列产品，可为各种规模的企业和政府机构网络系统提供相 适应的产品。其防火墙已经在税务、公安、军队、能源、交通、电信、金融、制 造等行业广泛使用。Kingguard的使用群体规模较大，学校是很大一部分群体，用于教育网应用。还有就是运营商，例如小区宽带运营商。另外还适合大型的企 事业单位。华为 Eudemon 防火墙是电信、政府、金融、教育、能源和军队等机构理想 的选择。对于有VoIP等多媒体的应用，Eudemon防火墙也能够提供完善的应用 层保护。厂0紬ffl區帝岳走血1珏启皤ii天M礙卫士NGf4000UFi 圭哇干eTG中BHTXJ甲丽-幅I：平會2) TO5*6&-平合附Mi构1訣.礙丰翻诡 丈湼的电牯札虏.金用蓉实中呑豹 丈中遛全业*干逊阿址碗NGFWflilSlil1 TC-4?S頑址理爲平is3TC CJi-X86 平甘适用于丙聯i曲5S应用苹甜闽 JH.舍龜 K-中出全业等阿涪幵IdGFWARfSNG FLARE Si$S行;W；?机曲中2注业，材U帝 蚱骨于H廉嵯抉.单位内當的郡门 讣灣中护用尸可出慣貝嗣严品E碟貝辰USOUSG1 USG 52BQD2 USG4BflOW4OCOD/36OOC申ffiSf丈甲左左蝴 千it陶磴屛1 USG 2000C2 USG SOOAflOC申譌中31企业这干兆醉压用 中粗主业建青死冋路座用1 USG 600W600C2 U3G 3DQB中申范企业百死呼書应用 讯便业甜更机14百至嗓晦附Kjn( GuardKing Guard电砒可兇译干冋皓董全EE护严品Su|4rV(NPWS1C架构平夷)电吊谋北3至业的干丸姬蔺克墙Fewer VPowsrvooo式申自左业吝功隠門关.至叮用阳火堆PorrV3OOO千売中环P(MFV4QQPcwerVSOQ百此中翠PorrtffiirV2O0SmartV1凤架由鱼丽疝菇工备至I,仙企业融趣虫日材EudemonEudemonEudemon 100D戈粗圣业集也运噫启丈53註1E中耳EudeiTiDn 500申KK丈甲説企业富暫般数JE中0Eudemon MB企业式粗另支机构R*4炖*讯sttir爲我常ft*n AflH.址开再応2iaitw:n.应时耀k氏丹幵卄:feWi hjiyAAdi- i1）最昭内绘静打氏2）3）务件谡注韌町* IfMiH印左贏再NfiT血 打土H内常口娄显 和壬盯張1S壷晏于曹H如田曲用宦島Pi轴S：童起畀松灵号由saHK/f莉基性臓向VPM FS咼倩黑hat叱并It5序呵嵐慢旳阱曲嚳6） 押盘再民射五、产品功能经过对多家厂商的产品功能进行了对比。在网络安全方面，各家充分考虑了 内容过滤、防病毒;在可靠性上，从产品设计上（如热插）到双机热备兼有考虑; 在适应性上，逐步支持透明、路由、混合三种模式。在安全管理性上，允许各类 认证和系统日志。天910h 书 EJEitSPS栋lopfkrardUGPmwf VEiKlBimin 3UUsaw5E手国R式/边诚能曲稹过也二主内容竝逸 集疑荃于USE域一引談IDSSYN FLOOD 35 &D&SS击 电遣逮SB灵Ml股KI耒啣M朋SHK 击 1 MAT全五砒竝圾邮件防详玫击棒宝列譚过連拄幣Pff CC Ki 圧虫隅诃St路由吧诽我鼻蛊控亲饶Nel Flow立卄邀弘玮商總舍三肄山讯StfS由.13啄温制1孟心H性囲科PSP EfcSflEWSM祐扫.咀雲何CIF 1心聃ISLWLAJJH.321J MGCPWISiMfeAPR/DHCP翊廉帧JU眩件JEW?DHCP1炉的吏mem ALG KiMSSL VPW炸h柯叙if庭m逢it送n英用iftjfit拈SffflH, ESr数矗旺馆户按祝* 应用烹捋半*的手段f弟活的社35JSJf SSU VFN无咅尸UK阍里宝 主齐式3tJ5l_2TPVFN IPSet VPNIPSECVPNtfr讪M碗件磁制的政击KkUE加算爲岸刃踊加悲11筮禹连储件加兽悚故哥圧!施道认远illiBFLffiSUfJJ*SSLVPWPSftt VPM MFJffi用DES- 3DES, AES,Jt注尊苗持Jti逶RfiiSStiF5用还用童羽Ti#宝全庫人L2TW PP7PL2TPOPEx PPTR LJTF*fiLJTP- IPSetJJffVPNSX证书辖式无否尸5Ht丼的rftb认込AARAOHJS. MTRCAC U证型邑方CA疋也亡砒三：j CAswat于坡至录皆血壬甬用户跌的日吉抬畏:功皑SHE全应用J日芒J推鄭甲!火Jffi 和VFNM晒労如身舟认证僵恨晏全昶动摄口卩帖狂网黄 宮|联动：寧抚日蓉SififlftilSitifeiliSSs?州正书1聲尹ifllt熔住臭为亞対5K安至1T谨崇tt翊1联动QdS眨空用您先SSSftWff,逞JE2S蹄看于. /P2P 闸I 曲测邮MX 口事份丿長氐均简 XffsanR-)&a 口谀班乳杖35玛*歹评爭辟hWTJff用 史序电燥配空力式尙寿行审中甘沖处圮豪中迓爸骼9shwfjSSHtV-誉理馳卷览議祜电賀技EftWEBKittff珈界融SH粘弗爭着紀畳S MTP 旳I：&脑 ZW? Pnfl六、运行环境与国家标准在节能方面，硬件防火墙都在标准的办公环境中可以使用，电压充分考虑了 110V和220V两类的不同电压，频率在50Hz，功率和普通PC的相当，系列产品 的功率也会因为面对用户数量不同，而在功率上有所差别。At天曲豪豐网解JDOfrUfTO胡42卯4益JTG-4208J4ZC7USGBODWCPflWrV122AJ JA26Eudemon 300砒60v1C0-265V190T2MV90-24W10th 2WB5r2&iv類車JJ-6XI4?-63HZ50-60KZ50-64HZ50-6O-IZ50-&1HZIftAmiASO/5JOA3.0A3.0A$3列灼aSjK35QW260W2GQW?D0W250Wi 35OW105W云鈕盛o-x0-平苇o-A(rc在我国，防火墙作为一种信息安全产品，其进入市场并不是随意的，有相关 的国家标准，也有相应的认证中心。国家于 1 999年通过了关于放火墙的相关国 家标准，并且从2000年9月起执行下面的三个新的国家标准。这个检测是强制 的，必须通过这个检测，才能够进入市场。国家标准：GB/T18336-2001 信息技术安全技术信息技术安全性评估准则GB/T18019-1999 信息技术包过滤防火墙安全技术要求GB/T18020-1999 信息技术应用级防火墙安全技术要求安全规范及标准：GB4943-2001七、典型应用国内几家的硬件防火墙厂商，在产品的应用上，都有较为翔实的案例和丰富 的经验。典型的应用组网方式，一般分为两大类：一类是以客户类型的应用组网 方式，如面向企业、政府、教育;另一类是根据功能应用而组网的形式，如用于 安全防范、负载、备份、监控、热备等。*s4Q皿禾列N讲艸U盹 0OOA/CPower VE松険TOS2.801?14。万XS旅*用平皆）TG-24 M 324TQS8QOM9T120 5目范2. 启明星辰厂商的技术人员针对100500的用户特点，推荐了2款高端百兆（准千兆网 络）产品USG 800A和800C。由于是UTM的一体化产品，集合了多种模块，其 中的VPN、入侵防御（IPS）、防病毒（AV）三个模块，经过授权后，可以单独购买, 其他的防火墙的一些功能，如内容过滤、反垃圾邮件等一并打包合算在了一起。 如果对以上的功能都打开，则性能肯定会下降，厂商人员坦诚的说：届时吞吐量 可能会下降到850M。因此，还是要根据用户的实际使用情况，而做出选择。3. 联想网御联想网御的售前人员，推荐了 Power V的两款产品，基于X86架构，都属于 准千兆级别产品。其中122A有10个10/100/1000端口，可最多增加2个SFP 端口；而3A26自身标配带6个10/100/1000端口，最多10个SFP端口。两款产 品都是最新的产品。r号尿蜒卸1僅躍口PowarVI22AVSP11.5G.-2DO3JX663A26VSP7U2盼io-r4. 华为如果不考虑 VPN 等功能，用户可以选择 E200S，5 个 10/100M 以太网口，没 有扩展插卡，功率32W。如果考虑到扩容和其他功能的应用，可以选择定位更高 端的 Eudemon 300。厂n平合吞吐号tWJtSdEuiJemoriNP3RDVRP3U1.QG31万詹千海X86E2UD85(IDM諦万九、产品价格防火墙的产品售价极为悬殊，从数万元到数十万元，甚至到百万元。报价的 差异和以下几点有关：1）用户数量;2）用户安全要求;3）功能要求不同，因此防火 墙的价格也不尽相同。市场中，我们能问到的价格分为两类，一类是市场公开价， 另一类为实际市场成交价格。前一类公开价格，是相对统一的价格，各家经销经 商大致相同。后一类市场价格，各家经销商之间存在差异，厂商和经销商之间也 有差价。仅就我们选择的这几款产品而言，比较后，市价的成交价格是公开报价 23 折。另外，还应当注意，在报价中包括标准化的模块，如果增加其他功能， 还需要另外增加费用。此次，我们选择的 100500 的和用户数量，这个区间主要为中型企业网、重 要网站、ISP、ASP、数据中心等使用。这个区间的防火墙应当较多考虑高容量、 高速度、低延迟、高可靠性以及防火墙本身的健壮性等特点。这个区间的防火墙 报价一般在 20万元左，实际的成交价格一般仅在数万元。天融信，我们就市场中的3家经销商给出的价格分析，之间的差距还是很明 显，最大的在 1.5 万元，少则几千元。在实际的调查过程中，天融信的经销商一 般给出的是折扣后的价格，就此次调查的中端产品而言，折扣在 33.7折之间。启明星辰厂商给出的是公开价的2.2折，另外AV、IPS和VPN三个功能模块 是分开报价的，前两个公开报价是2.7万，后一个公开报价是2.4万，同样享受 2.2 的折扣。免费服务一年，用户可以通过网上自动和手动设置相结合的两种方 式，对每年对病毒和漏洞库进行升级。联想网御的厂商销售针对Power V系列，分别给出2.7和3折。华为厂商 的折扣价格分别在2.4折合2.1折。厂曲耒列4i&SA 4空 JflftMUM 1eA3NH3FW400D-UF用平台TG-50441B.BS6.?7.1万NGFW4000asic( m 1 :TO4fi2B13.8 S5.35 KK86C *用平台JT6-4 424 /432413.8 S4Jb90.3 日万4 75J4.0J55.2f4.5 万4.14T3.54S启明見陨USGX861 USG 300A10万3曲万AtWfffWclPSiRfflK A73X86USG 9Q0C询万3.96 万咖S再加盯方：诃N功羅加DS甘Powei VX8612 2A29 3?8SH963A朗舁万啊2万EudenwNP30fl3 3万诙石7.66MagE1D03*i 7i5.953.0 75T十、销售模式与客户采购从对防火墙厂商和经销商的了解来看，有越来越多的厂商进入到这一领域 中，厂商之间竞争激励，产品的销售方式，主要以厂商直销和经销商代理销售相 结合为主。防火墙市场相对与其他硬件IT厂商的销售模式具有以下几个特点：一、销 售渠道接近于垂直。主要表现在：经销商数量有限;厂商有专职人员负责产品的 垂直销售;厂商分区域进行管理和销售。其实，这种销售模式的选择，是根据产 品自身特点而考虑的，首先防火墙产品定价较高，采用垂直管理模式，有助于减 少中间的流通环节、节约销售成本。其次，防火墙这一产品专业性较强，通过厂 商直销人员的参与，可以帮助用户更好的分析需求、宣传产品、方案选择与推荐 与。二、代理模式多元化。部分经销商兼有多家防火墙厂商的产品代理和销售; 因此，用户在咨询某家的经销商时，往往可以听到多个品牌和产品的介绍，使得 用户能有更多的选择和比较的机会。三、销售的价格体系不透明。无论是厂商直 销还是代理商，对于报价这一环节，大多表现出“神秘”状。其实，导致这种原 因一方面是，客户的需求和应用很难一次了解清楚，因此产品选型和一些附加功 能的报价就存在不确定因素。另一方面，各家经销商和厂商之间也存在竞争关系， 前期的报价相对保守，但留给客户较大下调价格的空间。为了避免“撞单”的发 生，一般采用客户信息“报备”的制度。对于上百种的硬件级别的防火墙，对于客户如何能选择到适合自己的产品 呢，以下给出一些意见可供参考。1）防火墙的前期准备一定要充足，定位要准确，否则开发过程中会出现种种 意外的问题;2）采购防火墙一定要考虑到可升级性的问题，如果防火墙不能升级，那它的 可用性和可选择余地势必要大打折扣;建议选择易于升级、支持大量协议、易于 管理和功能可扩展的产品。3）对于众多的厂商，产品的价格并不是唯一的选择标准，遵循简单易用性的 原则，关注以往行业成功案例很关键。4）一般最终采购确定好之后，其报价才会最终敲定，价格还会有下降空间; 因此，哪些功能得实现，哪些功能不必实现、哪些功能可以在后期实现，一定要 清楚，否则费用会远远超出预计。总结：以上是对防火墙市场和产品的一些简介，各个方面都有涉及，但并未深入到 位。只能算是一个较为全面的综述。从技术的角度上看，未来的防火墙的发展暂 时不会有太大的突破。从市场的角度更多的是关注产品的价格和应用，以及如何 选择产品。但我们相信，依靠厂商的不断的努力、经销渠道的不断完善，以及用 户认知的能力的加强，硬件级别的防火墙市场会不断成熟的。