企业信息安全电信级防火墙发展趋势研究

社会主义好

随着国内安全厂商的不断发展和壮大，国内防火墙市场已经不再是以前”洋品牌吃遍天下”的局面，根据IDC的权威统计，2006年国内防火墙市场占有率前三名中，国内厂商占了两席。

　　然而，在取得巨大进步的同时，我们注意到在高端电信级防火墙市场依然是国外巨头的天下。为什么国产防火墙难以进入电信级市场呢？主要原因是电信级用户相对企业级用户来说，对于防火墙设备的高可用性、高性能和业务高可扩展性等方面有着更高的要求，在这些方面，国内厂商和国外厂商还存在一定的距离。

　　如何才能缩小我们与国外巨头的差距甚至迎头赶上？针对电信级高端防火墙的应用特点，笔者认为，国内防火墙应该在软件和硬件上同时取得突破――软硬(件)兼施方可长足发展：


　　◆ 提高硬件开发设计能力。硬件开发设计能力决定了防火墙产品的处理性能和硬件高可用性。国内大部分安全厂商由于缺乏硬件开发设计经验积累，无法实现硬件平台的自行开发，所以往往直接采用IPC供应商提供的X86工控机作为防火墙硬件平台，但在千兆环境下，X86架构的防火墙64字节小包极限吞吐率仅为30%左右，根本无法完成线速转发。同时，X86工控机架构在网络接口的可扩展设计(如10GE接口)、关键部件(如风扇)冗余设计、机箱温度监控等方面也力不从心。

　　解决之道：必须在专用处理器开发设计方面多做一些技术积累，自行研制出成熟稳定的电信级防火墙硬件平台，让防火墙产品的性能和硬件稳定性再上一个台阶。

　　◆ 提高软件平台设计能力。国内很多安全厂商通过包装和裁减开源Linux软件做为防火墙软件平台，但Linux做为个人终端/小型服务器操作系统，无法满足平台稳定性、安全性和健壮性等多方面需求。同时，开源Linux对于IP V6/MPLS/BGP等电信环境中经常使用的网络协议支持有限。

　　解决之道：采用自主开发的专用操作系统，充分评估实际网络运行中用户安全需求，并不断引入国际标准组织最新发布的协议和标准，从而全面提高防火墙软件平台的稳定性、安全性、健壮性和可扩展性。

　　◆ 加强防火墙设备在攻击防御/应用识别方面的能力。随着网络攻击越来越多的向应用层发展，国内厂商与国外厂商在应用识别/应用安全方面技术积累的差距渐渐显露出来。国内厂商需要长期跟踪最新的攻击/应用，一旦出现新型的攻击方式或者病毒等，能够马上对防火墙进行业务扩展从而实现零日攻击的防范，而出现新的协议或者应用的时候，也需要能够马上对防火墙进行业务扩展进行识别控制。

　　解决之道:成立专门的安全分析团队，提升安全应用应急反应能力。

　　电信级高端防火墙技术的发展不仅仅关系到某个厂商的市场份额，更关系到我国信息安全领域的未来发展。令人欣喜的是，部分国内安全领导厂商已于今年推出了基于业界最新多核处理器技术的电信级防火墙产品，H3C更是凭借多年电信级硬件产品开发经验，依托稳定性、可靠性位居业界前茅的Comware平台和全球最优秀的IPS应用安全分析团队，成功打造出新一代电信级防火墙,在不久前进行的电信级防火墙集采测试中，H3C公司的电信级防火墙各项指标均达到了国际领先水平。我们相信，在这些敢于创新、敢于突破的国内安全厂商带动下，我国信息安全产业和技术将得到迅速发展，国产优秀电信级防火墙产品必将在很短的时间内覆盖国内高端市场，让我们拭目以待！