防火墙作为网络安全中最主要和最基本的基础设施，应该说其重要性是在众多安全产品中首先得到用户普遍认同的，它也是目前发展得最成熟的安全技术和产品。据统计，在今年初，国内做防火墙的厂商就已经超过了百家。但是，我们的防火墙产品距离世界先进水平还是有差距，这种差距到底有多大，我们的防火墙究竟“薄”在哪？让我们听一听来自业界的声音。

　　防火墙的发展使其形成了一个相对独立的系统，这对防火墙整体也提出了更高要求，这主要体现在：高性能、高稳定可靠性和高应用适应能力三方面。

　　差别一，性能效率上的差距

　　如此多功能的实现自然必然要求系统具有高效的处理能力。通常，性能提高主要集中在这两方面：硬件和软件，这也与防火墙的类型有关。软件防火墙要在软件设计上下工夫，并对系统平台提出更高的要求。软件方面的性能提高，主要体现在操作系统和应用系统的结构和实现上。

　　国外产品设计采用专用系统

　　国外厂商的产品大多数做的很精小，效率也比较高。如某国外防火墙，尽管其使用的硬件平台性能并不高(奔腾200、32M内存)，但同比性能却很好。硬件防火墙则需要同时在软件和硬件两方面做出努力，对此，国外防火墙厂商的通常做法是软件运算硬件化，其所设计或选用的运行平台本身的性能可能并不高，但它将主要的运算程序(查表运算是防火墙的主要工作)做成芯片，以减少对主机器系统CPU的运算压力。这样做的效果往往很好，这也是国外厂商的优势之一。

　　国内产品大多架在Linux之上

　　国内厂商的防火墙主要为硬件形态，硬件平台往往采用通用PC系统(直接原因是可以节省硬件开发成本)，所以硬件性能的提高往往直接表现为提升系统CPU的处理能力，增大内存容量。

　　在软件性能方面，国内厂商下大工夫的就不多了，几乎所有厂家的软件系统都是基于Linux，其区别仅在于，对Linux中固有的防火墙程序改动量的多少，当然还有一个明显的区别就是管理界面的不同，甚至有些产品还特意在管理界面上寻求产品突破点。但事实上，仅仅只对Linux原有防火墙做改动，并不可能太多提高系统性能。Linux系统本身毕竟为一通用的操作系统，其中与防火墙相关的网络通信和防火墙应用仅为整体系统很小的一部分，其设备支持部分和文件系统，对防火墙来说完全不必如此复杂和庞大。

　　正因为如此，与国外防火墙系统相比，国产防火墙的性能有一定差距。有的仅做了一个界面，其它基本照搬Linux的源程序。这一点在产品的使用上可以很简单就看出来，如有的防火墙在其界面中选取“日志”，在界面上显示的不是防火墙本身的日志，而是“Sendmail/Syslog/Klog/Apache/Bind……”等操作系统日志(或应用程序日志)，那么至少可以判断出该防火墙没有自己的日志，也就是说该防火墙在Linux的OS中改动很少。事实上，对Linux OS改动量的大小往往意味着软件性能的提升程度。

　　当然，国内也有厂家在此方面做出了很大的努力，例如设计的防火墙系统基本上完全自己实现，软件系统总共减小至不到2M，并申报了全部源代码由国家托管。据相关权威部门测试，其产品同比性能比较高，有些指标甚至超过国外产品。

　　差别二，稳定可靠性的差距

　　防火墙系统为高效所做的努力往往也直接影响了其稳定可靠性的指标，一个纷繁复杂系统的可靠性是很难让人信任的，而可靠性对用户来说至关重要，甚至是致命的。频繁故障的系统让网络管理员胆颤心惊，在重要系统中所造成的损失也是无法承受的，这在金融证券应用中尤为突出。

　　国内用PC做“墙基”

　　防火墙的可靠性同样也体现在两方面：硬件和软件。国外的厂商往往在硬件方面有比较多的经验和配套能力，所以其硬件方面的可靠性一般也较高；而国内的情况则大相径庭，大多直接使用PC系统，有些选用工控机，网络接口直接使用网卡，有些所选用的网卡还属于低端产品。

　　但是PC系统毕竟不是网络设备，在使用目标上存在很大的差别，一个是通用开放的，一个是专用固定的。PC的固有属性往往会给设备带来很多不可靠性，防火墙产品需要能够保证连续运行一周、一月或一年，必须长年累月不停顿地运行。

　　国外产品采用专用PC结构

　　国外厂家在此方面做得较好，尽管其也使用Intelx86PC结构，但通常他们做了如下处理：基本系统完全集成在一块电路板(PCB)上，这主要体现在所使用的网络接口Intel82559芯片直接集成在板上，存储器也使用Flash直接贴片到PCB上，这样一来，自然提高了产品的可靠性。存储器使用电子存储，而非机械式磁介质存储，其可靠性的提高显而易见，无论是抗震还是对温度和湿度的适应能力，以及长时期的运行，其芯片都要可靠得多。

　　可喜的是，国内防火墙厂家也开始设计使用独立专用的硬件平台。例如，北京天融信公司推出的硬件产品一开始就使用了高可靠性的电子存储器，并投入了很大的物力和财力设计制造了防火墙专用全集成硬件系统，极大地提高了硬件可靠性。

　　当然，软件可靠性的提高也是防火墙优劣的主要差别所在。安全需求和网络应用的不断发展，使防火墙一直处于不停的扩充和修订中，这为提高其可靠稳定性带来了很大的难度。一般地，一次小的修订都需要对防火墙进行完整的测试和应用检测，但往往受市场等各种因素的限制，许多防火墙产品并未经过严格测试就给了用户。

　　差别三，适应能力上的差距

　　防火墙的应用适应能力是产品使用和推广到一定阶段必然面临的问题，这主要体现在产品的使用灵活性上。

　　其实，灵活性往往不是设计师所设计出来的，而是用户使用出来的。满足用户的一次应用要求，产品的使用灵活性就可能前进一步，因此，一个产品的成熟是需要时间的。产品使用的灵活性是相对于一定的使用环境的，这也形成了国内用户对防火墙使用的特殊要求。国内厂商对这种需求的认识上还需要提高，灵活性上表现也略逊一筹。

　　在管理上，国外厂商通常将防火墙直接纳入通用网络设备的管理，所以往往支持网管协议SNMP；国内产品则更多强调防火墙产品管理的特殊性，在管理机制和安全性上做了很多努力。

　　国内防火墙在高适应能力上与国外防火墙的最大差距集中表现在对网络应用的支持上，国外先进的防火墙有的可以支持上千种网络应用，在这一点上，国内的防火墙还有很长的路要走。当然，这也与国内外计算机技术和网络技术的发展水平成正比。

　　需要说明的是，防火墙产品化是需要过程的，产品的稳定可靠性和适用性需要时间的考验。

　　编者的话

　　以上意见只是给诸多做防火墙产品的厂商们提个醒，这些“差别”并非存在于所有国产防火墙中。本广的作者发表以上意见也并非是为了“长他人志气，灭自己威风”，而是想通过这种方式，让我们能够“有则改之，无则加勉”，为促进我国安全产业健康、快速地发展而添一块砖。(邱阳)

　　短信发送，浪漫搞笑言语传情
　　订科技短信第一时间掌握IT业界动态
　　点击此处订阅手机短信NASDAQ最新行情