国产硬件防火墙横向解析.docx

国产硬件防火墙横向解析防火墙从形式上可分为软件防火墙和硬件防火墙此次，我们主要介绍硬件防火墙防火墙一般是通过网线连接于外部网络接口与内部服务器或企业网络之间的设备它又分为普通硬件级别防火墙和“芯片”级硬件防火墙两种所谓“芯片” 级硬件防火墙，是指在专门设计的硬件平台，其搭建的软件也是专门开发的，并非流行的操作系统，因此可以达到较好的安全性能保障目前，在这一层面我们主要介绍国内四家厂商：天融信、启明星辰、联想网御、华为此次，我们将以 100~500 人的规模为应用对象，对各厂商的适应的“ 芯片”级硬件防火墙进行对比分析，分别从厂商概述、产品定位、应用领域、产品特点和功能、运行环境、典型应用、产品推荐和市场价格等多方面进行横向对比分析其实，选购和讨论硬件防火墙并不能单纯以规模来判断，还应该考虑防火墙产品结构、数据吞吐量和工作位置、性能级别、应用功能等诸多因素一、厂商概述国内硬件防火墙的品牌较多，但较早一批专注于信息安全的厂商却不多，尤其是“芯片”级的防火墙更少了如果以架构划分，芯片级防火墙基于专门的硬件平台，专有的 ASIC 芯片使它们比其他种类的防火墙速度更快，处理能力更强，性能更高，因此漏洞相对比较少。

不过价格相对较贵，做这类防火墙的国内厂商并不多，如天融信另外一种方式是以 X86平台为代表的通用 CPU 芯片，是目前使用较广泛的一种方式这类型厂商较多，如启明星辰、联想网御、华为等一般而言，产品价格相对上一种较低第三类就是网络处理器(NP)，一般只被用于低端路由器、交换机等数据通信产品，由于开发难度和开发成本低，开发周期短等原因，因此，进入这一门槛的标准相对较低，也拥有部分客户群体1. 天融信以 ASIC 平台产品为主 国产份额第一天融信的自主防火墙系统，首次提出 TOPSEC 联动技术体系网络卫士防火墙历经了包过滤、应用代理、核检测等技术阶段目前，以安全操作系统 TOS 为基础，开发了NGFW4000UF 及 NGFW4000 系列，融合了防火墙、防病毒、入侵检测、VPN、身份认证等多种安全解决方案其 Top ASIC 芯片，采用 SoC (System on Chip) 技术，内置硬件防火墙单元、7 层数据分析、VPN 加密、硬件路由交换单元、快速报文缓存 MAC 等众多硬件模组开发出了从第一代到第二代产品(内部称为猎豹 I 、猎豹 II)，芯片转发容量从 5Gbps 到10Gbps，可达到全部千兆网口的全线速小包转发速率。

除了以 ASIC 平台为主的产品外，X86 和 NP 平台的产品也面向不同需求用户据 IDC 2007 年的报告显示，天融信防火墙产品以 16.2%的市场份额，排名网络安全产品首位2.启明星辰 采用高性能 X86 硬件架构 一体化网关技术1996 年成立的启明星辰，承担国家级重点项目企业，拥有国家级网络安全技术研发基地2003 年，成为国内仅有的两家可以查看微软 Windows 操作系统源代码厂商之一截至 2007 年，启明星辰共发布了 59 个 windows、linux、unix 操作系统的安全漏洞，居亚洲首位，用户遍及 32 个省、市网络安全产品共有七大系列，其中推出新一代的 UTM 产品——天清汉马 USG 一体化安全网关采用高性能的硬件架构和一体化的软件设计，集防火墙、VPN、入侵防御(IPS)、防病毒、外联控制、抗拒绝服务攻击(Anti-DoS)、内容过滤、反垃圾邮件、NetFlow 等多种安全技术于一身目前，产品涉及从大型企业、电信级千兆骨干网到小型分支机构的百兆型网络的 USG10 个产品3.联想网御 Power V 产品系列多 万兆级网关— KingGuard联想网御 1999 年进入信息安全行业，拥有众多的核心技术、专利 50 项，涵盖全系列防火墙、VPN、UTM 、IDS、IPS、防病毒网关、安全隔离网闸、安全管理共计 8 个大类，350 多款产品，并参与和制定了多项国家安全等级保护制度。

2007 年，率先推出“ 下一代安全架构”的技术并在 08 年一举收购了艾克斯通公司(SSL VPN 专业厂商)，还是国内较早发布了万兆安全网关产品以及万兆的 UTM 解决方案的厂商联想网御防火墙分为三大系列：Spuer V、Power V、Smart V，共计 40 多款拥有创新的 VSP、USE、MRP 等安全关键技术，其产品在众多领域已经部署了 4 万台以上，市场占有率名列前茅今年 6 月，联想网御发布了万兆级安全网关产品——金刚安全网关KingGuard该款产品成为迄今为止业界处理性能最高的万兆安全网关产品，它首创在信息安全产品中应用矩阵式并行计算系统—— Windrunner4.华为 技术为主 质量有保障华为业务领域涉猎众多，在网络安全方面，Eudemon 防火墙系列产品基于电信级的硬件平台以及专用 VRP 软件平台，在攻击防范、 VPN、NAT 以及 P2P 应用监控等方面都有卓越的表现基于网络处理器 NP 的高速防火墙 Eudemon 300/500/1000 和专业的硬件平台以及 VRP 软件平台的 Eudemon 100E/200/200S值得一提的是，华为的 Eudemon 防火墙无故障间隔时间为 37 年。

二、产品定位国内市场上硬件防火墙的发展，经历了一系列变革国内用户普遍接受的是硬件防火墙，从单一主机防火墙、路由集成式防火墙和分布式防火墙;性能上也从百兆级向千兆级防火墙发展;在架构方面，从最初的 X86 架构向 NP 以及 ASIC 架构发展厂商在各自的产品布局上，考虑了不同行业需求，在产品设计上，首先明确产品定位，从高端复杂结构的电信级别、大流量数据中心的骨干级，到中型企业的网络级中端产品，直至低端的小型企业、甚至是 SOHO 用户我们可以看到国内的厂商对不同级别产品都有所涉猎，这种产品纵向延展的定位思路，各家有所侧重从目前的产品销售来看，国内的网络安全产品有一共同点，即备受政府部门青睐主要原因是政府部门、机关、部队、公安、事业单位基于安全意识考虑，似乎更愿意采购国内厂商的硬件防火墙天融信系列产品以中高端市场定位为目标，形成了适用于中小企业级到电信级多网络应用需求的 NGFWARES、NGFW4000、NGFW4000-UF 三大系列、 60 多个型号的防火墙产品按其内部的技术人员的划分来说，分有 4 个级别，从高到低依次为：高端的并行多处理器产品(可达万兆)，中高端的 ASIC II 和 ASIC I(千兆和千兆/百兆混合 )，中端的 X86 产品(百兆) ，低端的 NP 产品 (百兆)。

启明星辰的产品定位更为明晰，产品面向高端电信级(1 款)、大中型企业(3 款千兆)，中型企业(3 款千兆) ，中小型企业(2 款百兆)，低端的小型企业(1 款百兆) ，USG 系列产品共10 个型号联想网御三个系列的防火墙定位从高至低，依次是面向电信级的 KingGuard(万兆)、电信级高端的 Super V (千兆)，中端企业级 Power V (百兆+千兆)，以及集成防火墙、VPN、交换机功能于一身的 Smart V (百兆 )，其中有机架和桌面两种产品类型，定位在小型企业华为的两大产品系列，其中 Eudemon 300 / 500 / 1000 是基于网络处理器 NP 技术的硬件高速状态防火墙，定位于电信级别及企业高端用户Eudemon 100E / 200 / 200S，基于专业的硬件平台以及 VRP 软件平台，是中小型企业理想的选择三、应用领域下表是几家厂商的产品定位及其应用领域仔细比较，我们能发现两个共同点：1)各家厂商的产品应用领域较广，从高端到中低端都有覆盖;2)网络应用从千兆到百兆，产品针对性较强用户可根据实际需求灵活选择— —针对行业应用特点及产品不同性能防火墙根据性能高低，适用网络环境不同，面向的用户也不尽相同，我们列举出市场中几家主力厂商的防火墙，以帮助用户整体认知和选择。

天融信防火墙在政府、金融、电信、教育、能源、交通等各行业普遍应用其中，NGFW4000-UF 是中高端产品，适用于结构复杂、高带宽、大流量的电信机房、金融数据中心等大中型企业骨干级网络环境;NGFW4000 是中端产品，适用于网络复杂、应用丰富的政府、金融、学校、中型企业等网络环境;NGFWARES 是为分支机构、中小型企业、非骨干节点院校、单位内部的部门级等中小用户开发的安全平台，也可提供小巧的桌面产品天清汉马 USG 一体化安全网关产品线丰富，可为政府、教育、金融、企业、运营商、能源等用户提供所需要的系列安全防护产品联想网御的三大系列产品，可为各种规模的企业和政府机构网络系统提供相适应的产品其防火墙已经在税务、公安、军队、能源、交通、电信、金融、制造等行业广泛使用Kingguard 的使用群体规模较大，学校是很大一部分群体，用于教育网应用还有就是运营商，例如小区宽带运营商另外还适合大型的企事业单位华为 Eudemon 防火墙是电信、政府、金融、教育、能源和军队等机构理想的选择对于有 VoIP 等多媒体的应用，Eudemon 防火墙也能够提供完善的应用层保护　　四、产品特点1、核心技术天融信采用 SoC (System on Chip) 技术，芯片内置硬件防火墙单元、7 层数据分析单元、VPN 加密单元、硬件路由交换单元、快速报文缓存 MAC 等众多硬件模组。

启明星辰采用高性能多核 CPU，配以自主研发的分布式软件运算通过对 X86 硬件架构，选择了基于高倍 PCI 总线的 X86 硬件架构，网关采用 64 位的 PCI-X 和 PCI-E(PCI-Express)总线，在 CPU 处理能力上， USG 网关采用多线程高性能 CPU 进行数据处理，二级缓存可达1M，用 L2 Cache 加速整机性能，保障千兆 USG 的数据处理性能联想网御采用了独创的较为先进技术-深度核过滤技术，即基于 OS 内核的深度内容过滤技术结合强大的多核级硬件处理能力和先进的 DDR 内存访问处理机制，使得 Power V系列具有高效的处理能力而在 King Guard 的网关产品中， CPU 是用来做网络处理的，用来处理网络流量，除了继承了多核心外，还增加了很多的预处理网络流量的功能，可以更好的分配网络流量，是专为处理网络流量的多核 CPU华为 Eudemon 防火墙， 100 和 200 采用的是多核 CPU，500 和 1000 采用的是 NP 网络处理器两者配置基本相同具有先进的硬件加速系统，Eudemon 防火墙将控制层面和转发层面的业务分离而针对数据业务的处理全部都由 NP 来处理，这样的体系设计使得Eudemon 防火墙将 NP 的处理能力得到发挥。

2、产品特点我们所介绍的硬件网络安全产品，都基于专用的硬件平台，如天融信采用 TOS 操作系统; 在安全性、适用性、可靠性、扩展性和管理性上，如 VNP 组网、防病毒、过滤等方面都有各自的特性天融信的 Top Guard 采用自主知识产权的安全操作系统TOS(Topsec Operating System)，TOS 拥有优秀的模块化设计架构，有效保障了防火墙、VPN、防病毒、内容过滤、抗攻击、流量整形等模块的优异性能，其良好的扩展性为未来迅速扩展更多特性提供了无限可能启明星辰 USG 一体化安全网关主要由以下几部分组成：USG 网关、USG 集中管理中心、USG 数据中心采用高倍 PCI 总线的 X86 硬件架构，软件优化对于特征库的统一尤其在关键技术上，采用了多项技术，为确保多种安全能力的融合，性能的持续稳定也起到了作用联想网御基于 VSP 的通用安全平台，将时实操作、网络处理、安全技术等结合在一起采用创新的 USE 统一安全引擎，它将状态检测、协议检测、深度过滤、应用过滤、用户认证等多个子系统进行了集成具有强安全性、强适用性、强可靠性、强扩展性和强管。