|
国产万兆防火墙仍处于起步阶段,产品如何寻找定位,厂商如何进入新市场都成为杰出必须要解决的问题
【电脑商网专稿】从2007年开始,众多安全厂商,尤其是国内安全厂商“不约而至”地推出了多核多线程硬件架构的万兆防火墙。这不由得使记者产生了疑问,万兆防火墙推出的背景是什么?国内厂商推出万兆防火墙的目的是什么?万兆防火墙是否能改变现有的格局?万兆防火墙将向何方向发展?带着这些疑问,记者进行了采访。
谁是驱动力?
天融信选择了2007年9月11日,推出了“银河”系列万兆防火墙。几乎与此同时,华为赛门铁克(华赛)、H3C等一系列厂商也推出了自己的万兆级产品。值得注意的是,各厂商在产品硬件设计有类似之处,只是支持CPU的数量上有所不同。
为什么国内安全企业大多选择了多核多线程的硬件架构?据业内人士透露:这主要取决于上游硬件平台厂商的技术发展趋势。在安全领域,硬件工控机供货商主要有五家,部分国内厂商与这些厂商合作,上游的技术发展决定了下游产品走势。从2004年开始,上游硬件平台厂商开始在国内建立办事处,国内安全厂商也开始与其探讨基于多核多线程硬件架构量产万兆防火墙的可能性。
技术驱动,尤其是上游硬件平台厂商的技术驱动是万兆级防火墙产生的重要原因,但这并不是唯一原因,市场变化也驱动了国产万兆级防火墙的发展。
万兆防火墙的出现有其必然性,或者说万兆防火墙已经滞后于网络产品的发展。“千兆到桌面、万兆做骨干”已经不是新概念,近两年推出的高端交换机和路由器大多拥有高密度、大容量端口。在这种趋势下,防火墙成为网络的瓶颈。在此之前,为了不影响网络性能,防火墙只能旁接出挂在网络中,万兆产品的出现使防火墙能串联进网络。
据了解,万兆级防火墙主要应用在以下几个市场:一是电信市场。国内电信IDC机房数据流量小的有1Gbps、大的超过10Gbps。同时,从2007年开始,电信运营商开始强调IDC安全增值服务。这些需求都促进了万兆防火墙的发展。二是金融市场。2007年,银行的“数据大集中运动”搞得轰轰烈烈,防火墙是银行数据中心安全的基本屏障,“小盒子” 防火墙肯定无法满足需求。三是Web网站。Web网站数据中心有庞大的服务器群,随着Web2.0概念的出现,新业务的增加对安全提出了新挑战。此外,电力行业的三级网、四级网和大型居民小区也都有万兆需求。华赛相关人事士和H3C安全研发部部长孙松儿同时表示这些用户大多需要电信级的安全产品,企业级产品和电信级产品在功能上没有特殊区别,但电信级产品更强调产品稳定性和大容量,如双电源、电扇冗余。当然这几类用户对万兆防火墙需求也有差异。如电信IDC需要对不同用户提供安全增值服务,用户更看重防火墙的虚拟特性。
既然万兆防火墙是市场和技术双轮驱动的产物,就有一个问题值得思考,究竟哪种驱动力起到主导作用。在采访中,华赛和天融信认为市场因素是主导力量。目前,据调研公司的数据显示,5万美元以上的高端防火墙约占整体市场的20%左右,当然其中高性千兆防火墙占相当大的比重。华赛认为,到2009年,万兆产品将占高端防火墙整体市场的50%以上,此后万兆端口可能成为高端防火墙的标准配置。对此,天融信市场战略中心总监任思国表示,几年前,市场中已经出现许多万兆防火墙的需求,国内安全厂商没有推出产品是因为上游厂商提供的硬件架构不过关。同时,万兆防火墙也不一定非要应用在万兆的网络。从2004年开始,重点高校由于内部访问量巨大,已经开始考虑在千兆网络中搭配万兆服务器和万兆防火墙,实现万兆局域网。
网御神州产品营销部总经理倪县乐对此问题持不同态度。倪县乐表示,从2006年开始,网御神州就开始跟踪多核多线程处理器的万兆防火墙技术,但公司在很长一段时期内没有正式进行产品立项,这是因为没有看到市场中有实质的启动迹象。中国用户需要的是低成本、高性能的万兆产品,市场容量决定产品成本。早期其他厂商推出的产品大多是在技术驱动下产生的。2007年初,网御神州正式进行产品立项,自主完成全面硬件设计, 并很快推出了产品。
也许在万兆防火墙市场中厂商的准直销力度还较强,渠道商现在也没看到万兆商机。天津市开创恒信科技有限公司总经理任志刚表示,天津市除了几家重点科研单位,其他用户都可以继续使用千兆防火墙。北京网域万通科技有限公司总经理邱召强分析,即使万兆防火墙产品已经找到了固定且合适的市场,但其只能占防火墙整体市场份额的2%~3%。
是防火墙还是UTM?
多核多线程硬件架构在高端市场被制造为万兆防火墙,在中端市场,部分处理单元可以被分配来处理VPN等业务,万兆防火墙摇身一变成为UTM。这样的UTM将会对市场产生哪些影响?联想网御公司副总裁于海波表示,安全产品的多样化实际上代表着用户可以基于自己的特殊需求,更主动地选择产品。但正是因为这样,用户的网络边界动辄串联四、五台硬件网关设备,多核架构安全平台的出现使用户不再需要“糖葫芦”式的安全解决方案,产品线较全的安全企业正在将更多的产品功能整合在同一个硬件平台中。孙松儿从产品性能上分析了这一问题。其表示,毫不夸张地说,以前如果打开UTM的深度报文检测功能,防火墙的处理性能可能从1000M迅速降低到100M,多核多线程硬件架构更适合并行处理多业务,因此多核技术的出现会导致网关类产品的整合,在中端产品中,尤其是千兆产品中整合趋势更明显,而在5Gbps流量以上的应用中整合趋势并不明显。在50M~2G流量区间内,H3C有全系列的多功能安全网关,在此之上,H3C只考虑专业化的防火墙产品。
听了上述意见,是否会产生误解,万兆防火墙在中端市场是否就是UTM?对此任思国认为,网关类产品的整合与万兆防火墙没有必然联系,只是两者都在使用多核多线程硬件架构,多核多线程硬件架构为网关类产品的整合提供了必要的硬件条件。倪县乐表示,多核多线程硬件架构的出现对网关类产品的整合有一定的促进作用,但不是决定性作用。在此基础上推出的UTM也不会对防病毒、反垃圾邮件产品销量产生太大冲击,网御神州主要将多核安全硬件平台定位在以抗攻击为主的万兆防火墙。
从2007年开始,在防火墙领域开始流行定制概念,厂商将防火墙设计成开放的平台,渠道商可以根据具体用户的需求任意增减功能。如增减流量管理、病毒探测、网络监控等功能。但孙松儿表示,万兆防火墙往往处于网络的核心位置,不适合在万兆防火墙中体现开放的应用。
|
