防火墙产品市场调研

防火墙产品市场调研防火墙指的是一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障，是一种获取安全性方法的形象说法，它是一种计算机硬件和软件的结合，使Internet与Intranet之间建立起一个安全网关，从而保护内部网免受非法用户的侵入。防火墙主要由服务访问规则、验证工具、包过滤和应用网关4个部分组成。防火墙就是一个位于计算机和它所连接的网络之间的软件或硬件。该计算机流入流出的所有网络通信均要经过此防火墙。一、防火墙的未来发展趋势未来防火墙的发展趋势是朝高速、多功能化、更安全的方向发展。从国内外历次测试的结果都可以看出，目前防火墙一个很大的局限性是速度不够。应用ASIC、FPGA和网络处理器是实现高速防火墙的主要方法，其中以采用网络处理器最优，因为网络处理器采用微码编程，可以根据需要随时升级，甚至可以支持IPV6，而采用其它方法就不那么灵活。实现高速防火墙，算法也是一个关键，因为网络处理器中集成了很多硬件协处理单元，因此比较容易实现高速。对于采用纯CPU的防火墙，就必须有算法支撑，例如ACL算法。目前有的应用环境，动辄应用数百乃至数万条规则，没有算法支撑，对于状态防火墙，建立会话的速度会十分缓慢。受现有技术的限制，目前还没有有效的对应用层进行高速检测的方法，也没有哪款芯片能做到这一点。因此，防火墙不适宜于集成内容过滤、防病毒和IDS功能(传输层以下的IDS除外，这些检测对CPU消耗小)。对于IDS，目前最常用的方式还是把网络上的流量镜像到IDS设备中处理，这样可以避免流量较大时造成网络堵塞。此外，应用层漏洞很多，攻击特征库需要频繁升级，对于处在网络出口关键位置的防火墙，如此频繁地升级也是不现实的。这里还要提到日志问题，根据国家有关标准和要求，防火墙日志要求记录的内容相当多。随着网络流量越来越大，庞大的日志对日志服务器提出了很高的要求。目前，业界应用较多的SYSLOG日志，采用的是文本方式，每一个字符都需要一个字节，对防火墙的带宽也是一个很大的消耗。二进制日志可以大大减小数据传送量，也方便数据库的存储、加密和事后分析。所以，支持二进制格式和日志数据库，是未来防火墙日志和日志服务器软件的一个基本要求。多功能也是防火墙的发展方向之一，鉴于目前路由器和防火墙价格都比较高，组网环境也越来越复杂，一般用户总希望防火墙可以支持更多的功能，满足组网和节省投资的需要。例如，防火墙支持广域网口，并不影响安全性，但在某些情况下却可以为用户节省一台路由器；支持部分路由器协议，如路由、拨号等，可以更好地满足组网需要；支持IPSECVPN，可以利用因特网组建安全的专用通道，既安全又节省了专线投资。未来防火墙的操作系统会更安全。随着算法和芯片技术的发展，防火墙会更多地参与应用层分析，为应用提供更安全的保障。1.我国防火墙市场的现状和发展趋势：我国防火墙市场正处于高速发展阶段中国防火墙市场正处于高速发展阶段。市场的重点是政府、银行、保险、证券、能源、交通、电信、新闻出版等行业，其中金融、电信及政府采购将占防火墙总体市场的70%。政府上网工程、网上审批工程、电子政务工程等工程的实施，将政府内部网、企业内网、电子商务网与Internet互联是必须的，防“黑客”入侵攻击成为信息安全的重要任务，我国防火墙产品市场需求率增长明显。2.国产防火墙的技术现状和发展趋势：目前国内市场上流行的硬件防火墙产品，其硬件平台基本上采用通用PC或工业PC架构，即在通用PC或工业PC架构中插入2块、3块甚至多块网络卡，构成防火墙的基础硬件平台。为了提高防火墙引擎的信息处理能力，一方面选用高性能CPU和大容量内存的PC，另一方面选用千兆网络卡。由于PC机的CPU、内存和网卡的技术进步很快，实现百兆防火墙的线速处理能力是毫无技术障碍的。这也是我国百兆防火墙技术进步的重要因素。防火墙的操作系统平台采用改造的LINUXLA来构造安全操作系统。防火墙从包过滤向混合型过渡。纵观国内外防火墙的发展史，从第一代的包过滤防火墙到第二代的代理网关型防火墙，最后发展到混合型防火墙。我国防火墙的发展历史也走了这条路。我国还有相当一部分产品仍处在第一代，即包过滤防火墙（含匹配包头信息的包过滤和状态检测的包过滤）的水平。也有些防火墙实现了代理网关功能，正在向混合型防火墙过渡。千兆防火墙的体系结构从PC架构向网络处理器NP过渡。网络处理器NP，作为一种可编程器件，它具有高性能、高灵活性以及高可靠性的特点，它已经成为新一代网络设备的核心处理器。网络处理器以其杰出的包处理性能及可编程性成为构筑转发引擎的重要基础。3.与传统的处理器相比，网络处理器具有以下的优势：（1）网络处理器可以提供数据包的线速转发功能，包括数据包的分类、统计和转发。另外还可以根据用户程序的要求进行数据包的重组和分拆；（2）网络处理器可以根据用户需要进行带宽的分配和优先级定义，实现对各类用户数据包的分类管理；（3）实现对三层及三层以上协议的分析、过滤。总的来说，网络处理器一方面保持了基于CPU设计的灵活性，另一方面消除了传统CPU的瓶颈问题。在采用网络处理器的条件下，可以构建一种速度可与专用ASIC相媲美的完全可编程的架构。另外，使用NPU，软硬件都易于升级，软件可以支持新的标准和协议，硬件支持更高的网络速度，从而使产品的生命周期更长，企业的投资得到保护。二、如何进行选择适合自己企业的防火墙设备？正如购买其他电子设备需要了解很多性能参数一样，选购一台防火墙也需要了解众多的的性能指标。那么作为防火墙的四项基本性能指标——吞吐、时延、新建、并发，都意味着什么，如何测算得出，到底可以带给用户什么好处？有什么意义？在此将为您解读防火墙四大指标的含义以及测试方法。吞吐量（Throughput）吞吐量是衡量一款防火墙或者路由交换设备的最重要的指标，它是指网络设备在每一秒内处理数据包的最大能力。吞吐量意味这台设备在每一秒以内所能够处理的最大流量或者说每一秒内能处理的数据包个数。设备吞吐量越高，所能提供给用户使用的带宽越大，就像木桶原理所描述的，网络的最大吞吐取决于网络中的最低吞吐量设备，足够的吞吐量可以保证防火墙不会成为网络的瓶颈。举一个形象的例子，一台防火墙下面有100个用户同时上网，每个用户分配的是10Mbps的带宽，那么这台防火墙如果想要保证所有用户全速的网络体验，必须要有至少1Gbps的吞吐量。吞吐量的计量单位有两种方式：常见的就是带宽计量，单位是Mbps（Megabitspersecond）或者Gbps（Gigabitspersecond），另外一种是数据包处理量计量，单位是pps（packetspersecond），两种计量方式是可以相互换算的。在进行对一款设备进行吞吐性能测试时，通常会记录一组从64字节到1518字节的测试数据，每一个测试结果均有相对应的pps数。64字节的pps数最大，基本上可以反映出设备处理数据包的最大能力。所以从64字节的这个数，基本上可以推算出系统最大能处理的吞吐量是多少。很多路由设备的性能指标有一点就是标称xxMpps，所指的就是设备处理64字节的pps数。比如64字节的pps为100000pps，吞吐量通过换算为100000×(64+20)×8/1000000=67.2Mbps，拿这个结果计算1518字节的数据为100000×(1518+20)×8/100000=1230.4Mbps。其中的20字节是指12字节的帧间距（IPG）以及8字节的前导码（7字节同步+1字节起始），测试每一个字节的吞吐量都需要将这20字节计算在内。通过前面的算式可以看出，我们即使不测试1518字节，也能够大致推算出设备最大的吞吐量是多少。但最终的结果只能小于这个结果。为什么会小于呢？因为很多设备因为接口数或者内部器件带宽的原因，限制了最大的带宽，这样设备的最大吞吐量就会远远低于推算的数值。不过既然得出了64字节的pps数，那么只要厂商标称的最大吞吐量低于推算的带宽，就基本可以认为这个标称值是可信的。时延（Latency）时延是系统处理数据包所需要的时间。防火墙时延测试指的就是计算它的存储转发（StoreandForward）时间，即从接收到数据包开始，处理完并转发出去所用的全部时间。在一个网络中，如果我们访问某一台服务器，通常不是直接到达，而是经过大量的路由交换设备。每经过一台设备，就像我们在高速公路上经过收费站一样都会耗费一定的时间，一旦在某一个点耗费的时间过长，就会对整个网络的访问造成影响。如果防火墙的延时很低，用户就完全不会感觉到它的存在，提升了网络访问的效率。时延的单位通常是微秒，一台高效率防火墙的时延通常会在一百微秒以内。时延通常是建立在测试完吞吐量的基础上进行的测试。测试时延之前需要先测出每个包长下吞吐量的大小，然后使用每个包长的吞吐量结果的90%-100%作为时延测试的流量大小。一般时延的测试要求不能够有任何的丢包。因为如果丢包，会造成时延非常大，结果不准确。我们测试一般使用最大吞吐量的95%或者90%进行测试。测试结果包括最大时延，最小时延，平均时延，一般记录平均时延。新建连接速率（MaximumTCPConnectionEstablishmentRate）新建连接速率指的是在每一秒以内防火墙所能够处理的HTTP新建连连接请求的数量。用户每打开一个网页，访问一个服务器，在防火墙看来会是1个甚至多个新建连接。而一台设备的新建连接速率越高，就可以同时给更多的用户提供网络访问。比如设备的新建连接速率是1万，那么如果有1万人同时上网，那么所有的请求都可以在一秒以内完成，如果有1万1千人上网的话，那么前1万人可以在第一秒内完成，后1千个请求需要在下一秒才能完成。所以，新建连接速率高的设备可以提供给更多人同时上网，提升用户的网络体验。新建连接速率虽然英文用的是TCP，但是为了更接近实际用户的情况，通常会采用HTTP来进行测试，测试结果以连接每秒（connectionspersecond）作为单位。为什么针对防火墙要测试这个数据呢？因为我们知道防火墙是基于会话的机制来处理数据包的，每一个数据包经过防火墙都要有相应的会话来对应。会话的建立速度就是防火墙对于新建连接的处理速度。新建连接的测试采用4-7层测试仪来进行，模拟真实的用户和服务器之间的HTTP教过过程：首先建立三次握手，然后用户到HTTP服务器去Get一个页面，最后采用三次握手或者四次握手关闭连接。测试仪通过持续地模拟每秒大量用户连接去访问服务器以测试防火墙的最大极限新建连接速率。并发连接数（ConcurrentTCPConnectionCapacity）最后介绍的是并发连接数，并发连接数就是指防火墙最大能够同时处理的连接会话个数。并发连接数指的是防火墙设备最大能够维护的连接数的数量，这个指标越大，在一段时间内所能够允许同时上网的用户数越多。随着web应用复杂化以及P2P类程序的广泛应用，每个用户所产生的连接越来越多，甚至一个用户的连接数就有可能上千，更严重的是如果用户中了木马或者蠕虫病毒，更会产生上万个连接。所以显而易见，几十万的并发连接数已经不能够满足网络的需求了，目前主流的防火墙都要求能够达到几十万甚至上千万的并发连接以满足一定规模的用户需求。并发连接数虽然英文用的是TCP，但是为了更接近实际用户的情况，通常会采用HTTP来进行测试。它是个容量的单位，而不是速度。测试结果以连接（connections）作为单位。基本测试的方法和HTTP新建连接速率基本一致，主要的区别在于新建连接测试会立刻拆除建立的连接，而并发连接数测试不会拆除连接，所有已经建立的连接会保持住直到达到设备的极限。安全市场产品众多，把防火墙数据公开供用户选择的厂商寥寥无几。用户选择一款产品不仅仅要知道防火墙的各个指标到底代表了什么含义，而且还明白什么样的产品是“我”所需要的，什么样的厂商是值得信赖的。高性能安全产品带给用户的不仅仅是性能的提升，而更体现了厂商对待产品以及对待用户的态度。就像开篇讲到的一样，购买任何产品我们都要做到明明白白消费，挑选真正“好”的产