为什么说国产防火墙不可靠- -
只 要接触信息安全行业,总能听到、看到大量如此传播的信息,就是国产防火墙都是不行的,只有进口产品才是合格的。可事情真的是这样吗?我把这些文章都仔细读 一下,却发现没有一份是详实有据地说明国产防火墙是不可靠的,充其量只是局部现象,编编成为国产防火墙不可靠的证明,这到底是什么回事?
只要接触 信息安全行业,总能听到、看到大量如此传播的信息,就是国产防火墙都是不行的,只有进口产品才是合格的。可事情真的是这样吗?我把这些文章都仔细读一下, 却发现没有一份是详实有据地说明国产防火墙是不可靠的,充其量只是局部现象,编编成为国产防火墙不可靠的证明,这到底是什么回事?
象有一份已经碾转转贴了三年多的文章,名为《我眼中的某国产防火墙》,作者显然是一位售后工程师,说出了他看见国产防火墙内部后的感受。这位先生没有点名 (恐怕这是中国传媒的最大特点,批评时不敢点名,全是某人,某厂,某公司,某局,......,在国个外,不敢点名的批评是造谣,是犯法的),所以很容易 被所有读者理解成这就是指所有的国产防火墙,(这偏偏也是中国人的习惯思维),他指出他所经手的这款防火墙,实际上是一台中档PC,装个RedHat Linux后弄出来的。作为过来人,我可以理解一位初出道的大学生刚刚理解某样开始以为神秘莫测的东西时,突然感到的那种"噢,原来只是这样"的心情;但 同时也要指出,这是在三年多以前,那时侯的国产防火墙技术和今天如天壤之别。而且,从描述看,那台防火墙明显是装机出货的产品,即每出一台防火墙就装 Linux装apache......这样一台台出货的产品,而不是总体研发批量生产的防火墙。
另一份类似的文章,那是重庆《电 脑报》在今年四月份左右出版的名为《看不懂的硬件防火墙》,同样转得满世界都是。别以为此文说的是硬件防火墙,实际上说的仍然是国产的硬件防火墙。与前一 篇的作者亲历亲闻相比,该文作者显得似内行又似外行。说他外行,是因为他证明国产防火墙不可靠的理由,是因为他发现国产防火墙中用的是他熟悉的CPU(英 特),(也许还有硬盘网卡什么的),于是他一算:俺DIY一台PC才多少钱?妈的这防火墙瞧着不也象俺家的电脑吗?干吗卖这么贵?他根本没有算软件的 钱!!要知道,防火墙主要价值是软件,对于防火墙生产商来说(中间商不算),硬件甚至是可以白送的,只要软件卖得物有所值!但他有些地方又说得象是内行 (估计是抄回来的),说:网关产品是最关键的地方,需要超级稳定,国外都是使用芯片级技术实现硬件防火墙的;象国产防火墙使用LInux是不可靠的。这 样,这位作者就得出结论,国产防火墙都没有使用他说的芯片级防火墙技术,都是骗人的。
这样一份似是而非的文章登在全国知名的IT 大报上,然后在各种媒体包括互联网传来传去,会造成什么影响,可想而知。为什么我说他是似是而非呢?就因为世界上采用"芯片级防火墙技术"的,只有一家, 就是Netscreen,说穿了,就是ASIC。但我想说的是,世界上除了Netscreen还有上百家的知名防火墙,包括PIX,CISCO还有上百家 防火墙厂商,他们都没有"芯片级"什么玩意,包括象 Netsonic(19万台出货量),watchguard这些知名的防火墙,使用的都是Linux;几乎所有的厂商,或多或少都是基于X86主机架构 的。而这位作者所说的话,实际上相当于这样的意思:只有Netscreen才是合格的防火墙,其他的都是骗人的,(所以我猜说原话的是一个 Netscreen的代理商一类,Netscreen自已是不会这样说话的)。
以上两份是最具代表性的两份文章。那么国产防火墙的真实情况到底如何呢?
应该看到,国产防火墙是一个很广泛的概念,可以说大林子里什么鸟都有。因此很难用一句国产防火墙是好的还是坏的、可靠还是不可靠以蔽之的。事实上,目前所 谓的国产防火墙,至少超过一半以上是贴牌的进口防火墙。举个例子,如果用户注意一下,有许多"国产"防火墙的产品说明中常常有"ASIC",防病毒这类的 话,这就说明这些防火墙很可能就是用Fortigate来贴牌的,因为,ASIC是Netscreen 的专利硬件技术,不可能被国内产品商引用的。这种防火墙充其量只是价格混乱,服务不能保障,而不会比原装原厂的产品不稳定,或者更便宜。
中国目前的软件业仍是一个个人英雄主义时代,很少有超过十人的团队可以有效合作的。这大大限制了国内开发象高级防火墙这样复杂的软件项目。早几年,当用户 要求还相对简单时,很多公司使用将Linux(或BSD)的内置防火墙管理工具,一般是 ipchains,用Web+ssl调用或者是远程服务管理的方式,开发出第一代的简易型防火墙。由于利润的确可观(可以想像几千元请几个"高手"奋战几 个月的php编程,却可以卖每台十几万元是什么滋味),许多原来只做个人电脑的厂商,也随便买个不知名的产品贴上自已的牌子,然后利用自已的渠道和品牌 "进军"防火墙市场,一跃而为前几名的国产防火墙厂商。上文《我眼中的国产防火墙》相信就是这一代产品。但这个等级的防火墙今天在中国已经没有生存的余 地,(太落后了),有些厂家虽然靠这个级次的产品出了名,但现在能够提供的却是个人防火墙,或者就是干脆找个进口防火墙贴个牌(OEM),继续赚剩下的 钱。剔除掉这一部分的厂家后,按保守估计,中国目前真正拥有知识产权的企业级防火墙生产商,不会超过十家,甚至不超过五家。
开发 一个完整的企业级防火墙产品,从规划、设计到开发、软件硬件的定制、优化,到完成各种测试,投资远远超过《看不懂的硬件防火墙》作者的想象,至少需要 1000万元人民币。在目前中国的软件产业水平而言,接近于是最大、最复杂的软件项目。这也是为什么拥有自已开发的国产防火墙如此少的原因。这些防火墙与 大量如netsonic等的进口防火墙的方案、架构甚至软件成熟度都是非常接近的。事实上,除非英特处理器不稳定,除非PC服务器不稳定,除非Linux 不稳定,否则,这些防火墙不存在不稳定不可靠的地方。这不同于依靠个人高手开发的防火墙。而两种防火墙的不同,很多时侯看看操作界面和命令行接口就可以看 出其成熟度的差别。这种防火墙在百兆环境,与进口产品相比,不会有任何问题。
另一方面,由于我国市场出货量的限制,我国的国产防 火墙厂商极难定制自已的专用硬件。这就极大的抑制了国产防火墙在千兆级产品的发展潜力。因为在千兆级防火墙,依靠的主要已经不是软件功能,而是硬件系统的 潜能,象众所周知的PCI系统总线对吞吐量的限制。因此,国产防火墙目前基本上不可能推出自已的千兆级专用硬件,充其量只能使用通用的服务器,象 Nokia的IP系列。这就是目前国产千兆防火墙性能不及使用专用硬件的进口防火墙的原因,但就稳定性和可靠性而已,两者仍是处于同一个等级的。
因此,国产防火墙,特别是百兆防火墙是完全可以信赖的,部分产品的性能价格比明显超过进口品牌。如果用户对使用国产防火墙有过不愉快的经历,也只能说是选 错了厂家(可以对号入座看看是上述那一类国产防火墙),而不能称为国产防火墙不可靠。所以,国产防火墙不可靠,更多是一个公关形象的问题。但这恐怕不仅仅 是国产防火墙,而是国产的高科技产品,整体公关形象都不容乐观。
