看不懂的硬體防火牆(轉)

看不懂的硬體防火牆(轉)[@more@]

　　一臺報價二十幾萬的硬體防火牆，最終卻以8萬元的價格成交。這巨大的價格落差背後，隱藏著怎樣的真實？而市場上越來越熱的硬體防火牆，又是否真的物有所值？記者開始調查。

　　硬體防火牆的“真面目”

　　在某企業，記者見到了這臺價值20餘萬元人民幣的國內某知名品牌的硬體防火牆。它號稱支援100M頻寬、併發12000個連線。然而，拆開這臺產品，記者驚訝地發現，這臺防火牆的外殼下，有著普通PC的“平常芯”：PIII的CPU、ASUS主機板、D-LINK網路卡、希捷硬碟、KingMax記憶體……記者幾乎以為自己開啟了一臺組裝的PC機。

　　記者看到，這臺硬體防火牆的網路卡與普通網路卡沒有任何區別，拆下網路卡，安裝在普通PC機中，電腦能夠識別、使用；再拆下硬碟，裝進PC機，電腦可以啟動，並進入了防火牆的命令列模式。看來，這根本就是一臺普通的PC機，惟一的區別在於它安裝了一套UNIX系統＋軟體防火牆模組。

　　與此同時，北京也傳來訊息：一位網路安全專家打電話告訴記者，他也應邀拆開了國內另一知名品牌的硬體防火牆，發現它採用普通膝上型電腦的架構：賽揚900MHz的CPU、128MB的膝上型電腦記憶體、10GB的IBM膝上型電腦硬碟，以及四合一的82559網路卡，甚至主機板上預留的USB介面也還赫然在目。

　　相距千里的兩地，記者和安全專家看到的情形卻驚人相似：兩臺“硬體防火牆”不過是多網路卡的PC機而已，只是採用了UNIX類作業系統，並定製了一個特殊的機箱——“盒子”，就身價百倍。

　　追蹤硬體防火牆

　　大名鼎鼎的硬體防火牆竟然如此平常？究竟什麼是硬體防火牆？記者繼續追蹤。

　　防火牆分為軟體防火牆和硬體防火牆兩種。軟體防火牆是安裝在PC平臺的軟體產品，它透過在作業系統底層工作來實現網路管理和防禦功能的最佳化。但對國內市場上的硬體防火牆產品介紹仔細研讀後，記者發現，對於硬體防火牆的定義，廠商們似乎仍莫衷一是。大多數廠商對產品的介紹，往往用大量的篇幅向消費者灌輸產品的防護功能，而關於防火牆的實際配置，則基本沒有提及。記者透過電話向廠商諮詢，對方或語焉不詳，或拒絕回答。

　　廠商們的諱莫如深，讓“硬體防火牆”更添了幾分神秘。

　　記者查閱了國內外大量資料後，發現硬體防火牆一般有著這樣的核心要求：它的硬體和軟體都需要單獨設計，有專用網路晶片來處理資料包；同時，採用專門的作業系統平臺，從而避免通用作業系統的安全性漏洞。對軟硬體的特殊要求，使硬體防火牆的實際頻寬與理論值基本一致，有著高吞吐量、安全與速度兼顧的優點。

　　而國內市場的硬體防火牆，大部分都是所謂的“軟硬體結合的防火牆”，採用的是定製機箱+X86硬體架構＋防火牆軟體模組（大多數是基於UNIX類系統下開發的），而且是PC BOX結構。這種防火牆的核心技術實際上仍然是軟體，吞吐量不高，容易造成頻寬瓶頸。並且PC架構本身就不穩定，更不可能長時間執行。這種防火牆一般只能滿足中低頻寬的安全要求，在高流量環境下往往會造成網路堵塞甚至系統崩潰。

　　“以軟充硬”的背後

　　既然這些防火牆產品並非真正意義上的硬體防火牆，廠商們為什麼要在宣傳中一再強化“硬體防火牆”的概念呢？

　　記者採訪了國內一些專家，他們指出，隨著寬頻網路的迅速發展，軟體防火牆在大資料流量面前顯得力不從心。當企業選購防火牆時，自然就把目光鎖定在新興的硬體防火牆上。而隨著硬體防火牆市場的風生水起，國內外廠商採用了截然不同的做法。

　　國外著名廠商一般採用將軟體運算硬體化的做法，同時採用專門設計的網路晶片。而國內廠商為了節約成本，往往採用通用PC架構或工業PC架構部分，在提高硬體效能方面所做的工作，僅僅是提升系統CPU的處理能力，增大記憶體容量而已。

　　在軟體效能方面，國外廠商一般採用專用的作業系統，自行設計防火牆。而國內廠商一般採用UNIX類作業系統＋防火牆軟體，各廠家的區別僅僅是對作業系統本身和防火牆部分做的改動不同。

　　這樣，國內部分廠商生產的“硬體防火牆”就與國際上通行的“硬體防火牆”在速度、安全效能方面存在著很大的差別，但二者在市場上的售價基本卻相同。因為打上了“硬體防火牆”的標誌，售價就直逼國外著名品牌的硬體防火牆。

　　國內防火牆產品巨大價格落差的背後，自然是巨大的利潤，因此它們往往會以低於報價很多的價格賣給使用者。在實際的交易過程中，同樣的產品價格差異很大，浮動幅度往往在50~80%之間。記者暗訪過程中，聽到最多的是這句話：“我們是有表示的。”驚人的價格差讓廠商、銷售商和採購人員得以“利益均沾”，心照不宣地維護著這個市場規則。

　　隨著網際網路的高速發展，人類的工作、生活已經越來越依賴網路。攻擊網路的手段層出不窮，網路安全的重要性日益凸顯出來。據統計，2002年，我國網路安全產品的市場銷售額達到了5.22億元，其中防火牆是最主要的安全產品，銷售額達到了2.03億元，佔整個市場的38.9%。

　　如此鉅額的投入，自然是希望能夠營造出安全的網路環境。但如果我們選擇的防火牆產品，已經不能適應網路要求，依靠它來捍衛網路的安全，恐怕只能是自欺欺人。我們企盼，有一面堅固的盾牌來保護我們可貴的網路資源，也希望安全裝置廠商們能夠潛心製造，早日使真正的硬體防火牆走進中國使用者的生活。