SMB防火墙市场渺茫

(本文转载于2003-09-01日的《计算机产品与流通》)

　　防火墙，一个稍微了解网络安全的人都知道的设备，在中小企业市场却遭遇到发展的坚冰。

　　原因很多，但是归结起来，却不外乎两点：价格以及需求的迫切性。

　　让我们来听听系统集成商以及厂商们的声音吧。

　　“我们年初预测今年中小型企业的销量将会有很大提升，但半年多过去以后，出货几乎全部在大型企业的单子上。”孔祥兴说道。孔先生是南京优创公司的总经理，这家系统集成公司销售东软公司的“NetEye”防火墙产品。

　　孔祥兴把中小型企业出货不利的主要原因归结于当地SMB企业信息化应用相对滞后以及防火墙产品价格偏贵。“企业信息化应用还没有到达那个程度，很多中小型企业营业额不算小，但是计算机应用这里不行，本身网络加上几台机器还不如一台防火墙值钱，当地企业通常是买个多功能的ADSL宽带路由器，利用路由器本身的代理网关。整个江苏地区都是这种情况。”

　　“目前一台普通中低端防火墙的售价大概在2万元人民币左右，这个价格和双路至强CPU的服务器价格接近，对于中小型企业来说，买服务器的感觉比买防火墙更好，服务器上那么多应用是时时刻刻可以感受得到的，而网络安全的设备，平时你是几乎感觉不出来它的存在。”孔祥兴的这番话或许可以道出大多数用户的心态。 易尚公司的防火墙产品经理郑文波先生也同样对于中小企业今年的销售行情不看好。“防火墙市场的主流用户依然为大型的行业用户，与供应商和渠道商的预期相差很远—SMB用户需求根本没有起来，对安全厂商来讲这类用户只是一个鸡肋。”

　　SMB用户真正安全需求在哪里？

　　上面这个小标题的内容也许和本文的主题有些脱节，但记者还是想把它写下来，请那些还没有攻破SMB市场坚冰的防火墙经销商仔细看看。

　　“从实际情况看，黑客对SMB用户进行攻击的概率很小，因此对于这类用户来说防毒比防黑更重要。”易尚郑文波先生的话可以说明一点问题：SMB用户当前安全的重点在于防毒，而不是防攻击。

　　仔细分析一下原因不难找到解释：SMB客户基于网络的业务不多，他们不必考虑太多的网络攻击，稍微正常一点的黑客也不会对那么多的中小型企业感兴趣—他们的焦点在于可以展现自己实力并且可能会有意外收获的大型企业。

　　相反，防毒设备，才是众多SMB企业在安全方面迫切需要的。比如本刊近两期介绍防毒墙时候所言，当前企业受攻击的大部分途径是通过邮件感染。如果我们再回忆一下整个8月通过邮件传输的“冲击波”病毒对国内众多企业的冲击：导致无数个企业内部网络瘫痪，严重影响正常工作。相信在饱受病毒摧残中，SMB客户想到的是防毒墙等类似产品，而不是防火墙—防火墙对病毒几乎是无能为力。

　　“还有很多中小企业客户实际上把防火墙当做VPN产品在用，”郑文波说，“SMB用户中存在一个另类群体，即大型行业用户的分支机构。这类中小用户的安全级别与其公司总部是一样，只是要求产品价格要低，对产品的性能要求也略低（如网络节点数很小）。这类用户多数要求防火墙产品具有VPN功能。因为分支机构与总部以及各分支机构之间进行通讯时，若数据以明码的形式进行传输，很容易被监听，所以对VPN的需求越来越迫切。”

　　在这些大企业分支用户的实际使用中，防火墙功能已经逐渐淡化，里面属于“附加”的VPN功能却正在受到重视—进行数据加密传输符合用户实际业务需求。可以预测，那种价格低廉、功能单一却非常实用的VPN设备将会受到这种特殊SMB用户的青睐。

　　防火墙的发展趋势是什么？

　　硬件化：东软股份网络安全产品营销中心市场总监王虎先生认为，未来防火墙可能会采用全硬件的产品，比如在处理器上采取专用的NP芯片（网络处理器，代表者如Intel公司的IXP系列、IBM公司的NP4GS3以及SiByte公司的SB1250成熟产品），或者说采用ASIC硬件加速技术。

　　北京中科网威信息技术有限公司刘兵先生也认同这个观点。他认为，在下一阶段，性能将成为防火墙产品的竞争焦点，也是国内外厂商、用户关注的热点。对于提高性能来说，硬件技术是关键。高速网络环境下千兆防火墙产品的数据处理包括过滤、内容检查、高速交换、加解密等诸多方面，没有高性能的硬件就不能保证千兆以上的线速处理，而缺乏灵活性就不能满足千兆防火墙产品对网络协议进行二到七层处理的需求。这就需要使用具有高性能、高灵活性以及高可靠性的专用网络设备。网络处理器以其杰出的包处理性能及可编程性成为构筑网络转发引擎不可替代的核心，它已经成为新一代网络设备的核心处理器，是未来网络设备的发展趋势。

　　防火墙产品模块化：产品的模块化有两种概念。一种是防火墙做为一种网络模块可以接到其他网络设备上去，比如说思科公司的中低端模块化路由器产品就支持防火墙模块。

　　另外一种概念是以后可能会有专门的“集成式、模块化”安全设备，它会以机架式出现，上面有若干模块插槽，可以分别插入防火墙、防毒墙、IDS等专业的网络安全模块。这样做的好处不仅是节省空间，节省企业投资，更主要的是可能实现联动。 “这样避免了不同厂商产品联动的障碍。”陆融通达公司张小姐如是说。

　　不要把联动当卖点！

　　不要把联动当做卖点！东软股份王虎认为，防火墙的联动性不能算是一个新的卖点，根据目前的技术发展和实现上看还不适合在用户网络中大规模使用，国外用户很少有真正使用联动的，因为IDS本身的弱点：误报和漏报，对于防火墙产生规则和业务影响很明显，IDS检测出来后告诉防火墙信息，有可能造成新的DOS攻击，致使合法用户无法使用网络资源，技术层面上还没有发展到那一步。

　　南京优创的孔祥兴先生持相同观点：“联动目前不可能实现，现有情况下讲防火墙和入侵检测系统IDS的联动只是所谓的卖点，但是实施起来困难，因为模式匹配难以解决，用户对于是IDS的误报还是真正攻击难以控制，起码，在IDS的误报率居高不下解决之前无法实现联动。”

　　相信很多有防火墙联动实施经验的系统集成商都会有联动“玩弄”过的经历。“联动目前情况下只能算是个销售的噱头，如果真碰到了认真的用户，把你累得要死不说，你很有可能名声扫地！”一位系统集成商的老兄如是警告。

以上内容详情请参看： http://www.cnet.com.cn/sp/index/article.php?storyid=666