什么是硬件防火墙
大名鼎鼎的硬件防火墙竟然如此平常?究竟什么是硬件防火墙?记者继续追踪。
防火墙分为软件防火墙和硬件防火墙两种。软件防火墙是安装在PC平台的软件产品,它通过在操作系统底层工作来实现网络管理和防御功能的优化。但对国内市场上的硬件防火墙产品介绍仔细研读后,记者发现,对于硬件防火墙的定义,厂商们似乎仍莫衷一是。大多数厂商对产品的介绍,往往用大量的篇幅向消费者灌输产品的防护功能,而关于防火墙的实际配置,则基本没有提及。记者通过电话向厂商咨询,对方或语焉不详,或拒绝回答。
厂商们的讳莫如深,让“硬件防火墙”更添了几分神秘。
记者查阅了国内外大量资料后,发现硬件防火墙一般有着这样的核心要求:它的硬件和软件都需要单独设计,有专用网络芯片来处理数据包;同时,采用专门的操作系统平台,从而避免通用操作系统的安全性漏洞。对软硬件的特殊要求,使硬件防火墙的实际带宽与理论值基本一致,有着高吞吐量、安全与速度兼顾的优点。
而国内市场的硬件防火墙,大部分都是所谓的“软硬件结合的防火墙”,采用的是定制机箱+X86硬件架构+防火墙软件模块(大多数是基于UNIX类系统下开发的),而且是PC BOX结构。这种防火墙的核心技术实际上仍然是软件,吞吐量不高,容易造成带宽瓶颈。并且PC架构本身就不稳定,更不可能长时间运行。这种防火墙一般只能满足中低带宽的安全要求,在高流量环境下往往会造成网络堵塞甚至系统崩溃。
“以软充硬”的背后
既然这些防火墙产品并非真正意义上的硬件防火墙,厂商们为什么要在宣传中一再强化“硬件防火墙”的概念呢?
记者采访了国内一些专家,他们指出,随着宽带网络的迅速发展,软件防火墙在大数据流量面前显得力不从心。当企业选购防火墙时,自然就把目光锁定在新兴的硬件防火墙上。而随着硬件防火墙市场的风生水起,国内外厂商采用了截然不同的做法。
国外著名厂商一般采用将软件运算硬件化的做法,同时采用专门设计的网络芯片。而国内厂商为了节约成本,往往采用通用PC架构或工业PC架构部分,在提高硬件性能方面所做的工作,仅仅是提升系统CPU的处理能力,增大内存容量而已。
在软件性能方面,国外厂商一般采用专用的操作系统,自行设计防火墙。而国内厂商一般采用UNIX类操作系统+防火墙软件,各厂家的区别仅仅是对操作系统本身和防火墙部分做的改动不同。
这样,国内部分厂商生产的“硬件防火墙”就与国际上通行的“硬件防火墙”在速度、安全性能方面存在着很大的差别,但二者在市场上的售价基本却相同。因为打上了“硬件防火墙”的标志,售价就直逼国外著名品牌的硬件防火墙。
国内防火墙产品巨大价格落差的背后,自然是巨大的利润,因此它们往往会以低于报价很多的价格卖给用户。在实际的交易过程中,同样的产品价格差异很大,浮动幅度往往在50~80%之间。记者暗访过程中,听到最多的是这句话:“我们是有表示的。”惊人的价格差让厂商、销售商和采购人员得以“利益均沾”,心照不宣地维护着这个市场规则。
随着互联网的高速发展,人类的工作、生活已经越来越依赖网络。攻击网络的手段层出不穷,网络安全的重要性日益凸显出来。据统计,2002年,我国网络安全产品的市场销售额达到了5.22亿元,其中防火墙是最主要的安全产品,销售额达到了2.03亿元,占整个市场的38.9%。
如此巨额的投入,自然是希望能够营造出安全的网络环境。但如果我们选择的防火墙产品,已经不能适应网络要求,依靠它来捍卫网络的安全,恐怕只能是自欺欺人。我们企盼,有一面坚固的盾牌来保护我们可贵的网络资源,也希望安全设备厂商们能够潜心制造,早日使真正的硬件防火墙走进中国用户的生活。