寻找功能与性能的平衡点

转载自:2001年第12期的《电子商务世界》产品与技术栏目


目前市场上存在着各种各样的网络安全工具,而技术最成熟、最早产品化的就是防火墙,由于防火墙技术的针对性很强,它已成为实现网络安全的最重要的保障之一。

两种基本结构

防火墙最重要的作用就是在网络边界实现保护作用,保护能力与防火墙体系结构和运行机制有直接的关系,历史上每一次体系结构上的演变都会带来防火墙功能的质的飞跃。防火墙的基本结构可以分为包过滤和应用代理两种。包过滤技术关注的是网络层和传输层的保护,而应用代理则更关心应用层的保护。

包过滤是历史最久远的防火墙技术,从实现上分,又可以分为简单包过滤和状态检测的包过滤两种。简单包过滤的产品由于其保护的不完善(主要由于不能跟踪TCP的状态),1999年开始已经很少在主流产品中出现了。状态检测的包过滤利用状态表跟踪每一个网络会话的状态,对每一个包的检查不仅根据规则表,更考虑了数据包是否符合会话所处的状态,因而提供了更完整的对传输层的控制能力。其中基于状态检测机制的防火墙以CheckPoint 和Cisco的产品比较著名,国内厂商也先后于2000年推出了此类产品。

应用代理防火墙可以说就是为防范应用层攻击而设计的。应用代理也算是一个历史比较长的技术,通常的表现形式是一组代理的集合。代理的原理是彻底隔断两端的直接通信,所有通信都必须经应用层的代理转发,访问者任何时候都不能与服务器建立直接的TCP连接,应用层的协议会话过程必须符合代理的安全策略的要求。针对各种应用协议的代理防火墙提供了丰富的应用层的控制能力。

防火墙的技术更新基本以年为单位,今年各厂家又纷纷推出了枸架在新技术上的新型产品:中网公司结合包过滤和应用代理的特点,提出了复合型防火墙的概念,并声称找到了用户可接受的平衡点;而东软则提出了架构在状态检测基础上的信息流过滤的技术,并且有望申请国家专利,其最大的优势就是在安全性达到应用代理型防火墙标准的情况下,还能够实现在透明方式下的对应用层协议的控制能力。

走出性能误区

很多人错误的把防火墙性能和速度划上等号,其实一般防火墙的性能指标包括吞吐量、包延迟和丢包率,其中吞吐量是指防火墙在不丢包的情况下能够达到的最大速率,是衡量防火墙速度的主要标准。防火墙在处理长包的时候可以达到较高的吞吐量,性能比较好的防火墙可达100%,而在处理小包(64byte)时对性能的消耗较大,可能会下降70%-80%。

另外可用性和可靠性也是衡量防火墙性能的两个重要标准。可用性是指防火墙安装后,用户是否能够在短时间内掌握使用方法,曾经有一个用户向我诉苦,他同网络设备一同采购的防火墙是命令行的界面,他根本不会用,只好将其束之高阁,再买一台新的。防火墙的作用就是保证网络的安全,但如果防火墙本身都不安全,又何谈网络安全呢?所以可靠性对于防火墙来说是极其重要也是最基本的。比如很多防火墙虽然支持双机热备份功能,但如果从主防火墙切换到备份防火墙需要30秒钟,甚至更长的时间,就失去了双机热备份的作用。

天平的两边

随着防火墙的大规模应用,很多重点行业的核心应用都依赖于防火墙的性能指标,特别是在电信、金融等数据传输量较大的领域。人们对性能的追求也是应用代理型防火墙陷入困境的主要原因,虽然它的功能强大,但当用户对内外网络网关的吞吐量要求比较高时,代理防火墙就会成为内外网络之间的瓶颈。

但实际上防火墙的性能和功能是不可兼得的,某项功能的增加势必会造成性能的下降,有统计表明当防火墙加入VPN功能时性能一般要下降50%左右;而因优秀的性能被业界广泛认可的NetScreen防火墙,其功能也不近人意。性能与功能熟重熟轻?如何找到一个最佳的平衡点?所有防火墙厂商都在摸索前进。

东软网络安全咨询顾问王虎认为寻找平衡点首先要从客户需求出发。东软除了开发团队外还专门设立了技术支持团队,并在东软全国的30多个分支机构中配备了NetEye工程师,他们会将客户对NetEye防火墙的满意程度反馈回总部,总部再根据反馈情况进行产品的研发和更新。NetEye1.0产品没有NAT(网络地址转换)功能,因为当时大部分路由器集成了该功能;但经过使用,用户普遍反映将NAT集成在防火墙中更易于管理,由此造成的性能损失也在可以接受的范围内,所以东软在随后的产品中加入了此功能。这就是根据客户需求达到功能与性能平衡的最好例子。另外王虎还指出保证技术先进性也是功能与性能兼顾的必要条件,因为只有采用先进的技术才能使防火墙的性能最大化。

钢铁是这样炼成的:

东软1995年进入安全领域,依托我国计算机软件国家工程研究中心——东北大学软件中心成立了安全实验室,1996年承担国家95攻关项目——具有信息分析功能的防火墙,1998年此项目结题并移植到东软(当时还称东大阿尔派)进行产品化,1999年东软防火墙NetEye系列第一版产品问世,随后东软以每年升级一次的速度推出新版本的产品,直到今年5月份推出NetEye3.0的版本。王虎不无骄傲的称:“东软是国内唯一一家连续三年每年产品都有大版本的升级,并且每个版本均通过公安部认证的安全厂商。”

在电子商务在我国还没有完全普及的情况下,作为电子商务基础的安全领域没有形成一个良好的发展空间,但国内绝大多厂商还是看好它的前景,不惜投入巨资在此抢滩登陆,东软就是其中之一。背靠上市公司的强大技术和资金支持,东软对安全领域的投入是全面的、连续的,这就保证了可持续发展的能力。

为了让读者对我国防火墙市场有一个更全面的了解,我们摘录了IDC2000年网络安全产品市场研究报告:

1999年和2000年世界网络安全产品的市场规模分别达到44.9和59.7亿美元,2001年将达到78.2亿美元,2004年将达到155.8亿美元,年复合增长率达28.3%。在网络安全产品市场中,增长最快的是防火墙设备,其年复合增长率达48.4%,增长最慢的是加密软件,仅为13%。

截止目前,国内网络安全产品市场尚属早期成长阶段,安全产品是以防火墙和杀病毒产品为主,因为这两种产品是当今用于网络安全的发展较快、且技术相对成熟的产品,故各大网络安全厂商均以此作为客户网络安全的主要解决方案。对于行业用户而言,对防火墙产品的需求目前是以防火墙硬件设备产品为主,而对杀病毒软件的需求则以网络版为主。随着政府上网工程的深入、企业信息化建设的实施及电子商务潮流的推进,安全认证、信息加密、入侵监测及网络安全评估等安全技术也越来越多地用于用户的网络安全整体解决方案。

网络安全产品的行业分布也较为集中,主要在金融、电信、IT行业、政府及一些大的制造业,之所以如此,也是因为这些行业信息程度较高,网络的安全意识较强且资金较为充沛。NetScreen由于产品具有高速的特点,受到多数网站的欢迎,2000年其网站方面的销售占其总额的30%,在电信和企业方面各占20%,银行方面仅占10%。东软股份50%以上的销售额来自其传统行业:电信、电力、政府、军队、金融、保险等。

目前国内的防火墙几乎被国外的品牌占据了一半的市场,国产品牌的生存空间受到较大威胁。国外品牌的优势主要是在技术和知名度上比国内产品高。而国内防火墙厂商对国内用户了解更加透彻,且具有政策优势,因此发展前景将非常好。东软股份、天融信等已取得可喜的成果。防火墙产品中,国外厂商占60%,国内厂商占40%,国外主流厂商为Cisco、CheckPoint、NetScreen等,国内主流厂商为东软股份、天融信等。用户在购买安全产品时,对于防火墙,选择Cisco公司的最多占到了总数的24。4%,其次是CheckPoint和东软股份,分别为22%和16%,天融信位居第四为14.5%。

最近两年进入该市场的国内防火墙生产厂商受资金和技术所限,其产品主要限于中低端产品,也有一些国内厂商开始开发高端产品,如东软股份,天融信等,东软股份已经推出千兆防火墙,并已有一些用户。

2001年初我们调查了12家网络安全产品厂商,他们是:Cisco(思科)、CheckPoint、东软股份、Net Screen(网屏)、天融信、NAI(美国网络联盟)、安氏(iS-One)、CA(冠群)、东方龙马、冠群金辰、联想、北大方正。在对用户进行底厂商知名度调查中,排在前三名的是Cisco、东软股份、CA,其中Cisco以绝对优势排在第一名,这也得益于Cisco的整体Internet战略,其PIX防火墙产品同其路由器等网络产品捆绑销售的量非常大。东软股份排在第二名,这充分说明其市场营销及产品本身具有较大的优势;同时,本次报告显示,在2000年度防火墙产品的领域内,与众多的国内网络安全厂商相比,东软股份的销量占到了第一。




联系我们

欢迎致电4006556789,或通过在线方式与我们联系

close

关闭