国产厂商硬件防火墙对比解析综述

国产厂商硬件防火墙对比解析综述国产厂商硬件防火墙对比解析综述防火墙从形式上可分为软件防火墙和硬件防火墙。

此次，我们主要介绍硬件防火墙。

防火墙一般是通过网线连接于外部网络接口与内部服务器或企业网络之间的设备。

它又分为普通硬件级别防火墙和“芯片”级硬件防火墙两种。

所谓“芯片”级硬件防火墙，是指在专门设计的硬件平台，其搭建的软件也是专门开发的，并非流行的操作系统，因此可以达到较好的安全性能保障。

目前，在这一层面我们介绍国内几家厂商，天融信、启明星辰、联想网御、华为、安氏领信等厂商。

此次，我们将以100~500人的规模为应用对象，对各厂商的适应的“芯片”级硬件防火墙进行对比分析，分别从厂商概述、产品定位、应用领域、产品特点和功能、运行环境、典型应用、产品推荐和市场价格等多方面进行横向对比分析。

其实，选购和讨论硬件防火墙并不能单纯以规模来判断，还应该考虑防火墙产品结构、数据吞吐量和工作位置、性能级别、应用功能等诸多因素。

一、厂商概述国内硬件防火墙的品牌较多，但较早一批专注于信息安全的厂商却不多，尤其是“芯片”级的防火墙更少了。

如果以架构划分，芯片级防火墙基于专门的硬件平台，专有的ASIC芯片使它们比其他种类的防火墙速度更快，处理能力更强，性能更高，因此漏洞相对比较少。

不过价格相对较贵，做这类防火墙的国内厂商并不多，如天融信。

另外一种方式是以X86平台为代表的通用CPU芯片，是目前使用较广泛的一种方式。

这类型厂商较多，如启明星辰、联想网御、华为等。

一般而言，产品价格相对上一种较低。

第三类就是网络处理器(NP)，一般只被用于低端路由器、交换机等数据通信产品，由于开发难度和开发成本低，开发周期短等原因，因此，进入这一门槛的标准相对较低，也拥有部分客户群体。

1. 天融信以ASIC平台产品为主国产份额第一天融信的自主防火墙系统，首次提出TOPSEC联动技术体系。

网络卫士防火墙历经了包过滤、应用代理、核检测等技术阶段。

Single-Rule Bi 序号6412825651215181安氏领信防火墙66.489.9798.2498.81002CISCO PIX525防火墙29.6348.8579.7199.811003FORTIGATE(F400)防火墙18.7531.936099.0399.984NETSCREEN208防火墙36.2962.711001001005诺基亚IP530防火墙39.1660.7378.5896.2999.426NORTEL ASF185FE 防火墙25.5345.0583.511001007SERVGATE EdgeForce 防火墙10.519.3937.8352.821008联想防火墙33.1555.1589.4799.4499.429龙马卫士防火墙36.2960.4799.4699.4499.4210蓝盾防火墙47.6475.0385.1699.8110011上海方正防火墙12.1921.2638.0267.8499.4212天融信防火墙21.2736.9166.3599.4499.4213亿阳信通防火墙37.2162.5899.8299.8199.98100 Rules Bi序号6412825651215181安氏领信防火墙66.484.7799.4699.441002CISCO PIX525防火墙29.2746.6579.711001003FORTIGATE(F400)防火墙17.530.3558.1798.8999.984NETSCREEN208防火墙33.858.271001001005诺基亚IP530防火墙46.0663.067895.6499.426NORTEL ASF185FE 防火墙25.5345.0583.511001007SERVGATE EdgeForce 防火墙91626.2641.2998.768联想(LEGEND)防火墙30.9750.7483.8999.4499.42防火墙性能测试——吞吐量比较列表帧长（Bytes ）平均吞吐率（%）产品帧长（Bytes ）平均吞吐率（%）产品0%20%40%60%80%Sin 010203040506070100 Ru99%99%99%100%100%100%1Single-Rule Bi 1518帧吞吐率安氏领信防火墙CISCO PIX525防火墙FORTIGATE(F400)防火墙NETSCREEN208防火墙诺基亚IP530防火墙NORTEL ASF185FE 防火墙SERVGATE EdgeForce 防火墙联想防火墙龙马卫士防火墙蓝盾防火墙上海方正防火墙天融信防火墙亿阳信通防火墙9龙马卫士防火墙36.2959.899.4699.4499.4210蓝盾防火墙46.0668.067895.6410011上海方正(FOUNDER)防火墙11.8821.2637.0268.1699.4212天融信(TOPSEC)防火墙21.937.8167.5699.4499.4213亿阳信通(BOCO)防火墙37.562.2599.8299.8199.98序号6412825651215181安氏领信防火墙89.3699.6699.4699.441002CISCO PIX525防火墙52.0184.0999.4699.441003FORTIGATE(F400)防火墙3036.0190.0595.0897.54NETSCREEN208防火墙64.621001001001005诺基亚IP530防火墙48.584.9499.4699.4499.426NORTEL ASF185FE 防火墙26.0192.211001001007SERVGATE EdgeForce 防火墙1319.0137.52671008联想(LEGEND)防火墙56.9594.5799.4699.4499.429龙马卫士防火墙67.4798.3499.199.5399.7810蓝盾防火墙86.0996.699.8299.8110011上海方正(FOUNDER)防火墙22.7339.1566.3599.8199.4212天融信(TOPSEC)防火墙45.0475.1399.8299.9199.9813亿阳信通(BOCO)防火墙70.5999.6699.8299.8199.98帧长（Bytes ）平均吞吐率（%）产品0204060801001201512帧长100 Rules Bi 512帧长吞吐率9898.298.498.698.89999.299.499.699.8100100.211518帧长100 Rules Bi 1518帧长吞吐率安氏领信防火墙CISCO PIX525防火墙FORTIGATE(F400)防火墙NETSCREEN208防火墙诺基亚IP530防火墙SERVGATE EdgeForce 防火墙联想(LEGEND)防火墙龙马卫士防火墙蓝盾防火墙上海方正(FOUNDER)防火墙天融信(TOPSEC)防火墙亿阳信通(BOCO)防火墙102030405060708090Single-Rul 020*********Single-Rule(NAT)256帧吞吐率9696.59797.59898.59999.5100Single-Rule(NAT)1518帧吞吐率安氏领信防火墙CISCO PIX525防火墙FORTIGATE(F400)防火墙NETSCREEN208防火墙诺基亚IP530防火墙NORTEL ASF185FE 防火墙SERVGATE EdgeForce 防火墙联想(LEGEND)防火墙龙马卫士防火墙蓝盾防火墙01256帧长9611518帧长蓝盾防火墙上海方正(FOUNDER)防火墙天融信(TOPSEC)防火墙亿阳信通(BOCO)防火墙%%%%%1Single-Rule Bi 64帧吞吐量率安氏领信防火墙CISCO PIX525防火墙FORTIGATE(F400)防火墙NETSCREEN208防火墙诺基亚IP530防火墙NORTEL ASF185FE 防火墙SERVGATE EdgeForce 防火墙联想防火墙龙马卫士防火墙蓝盾防火墙上海方正防火墙天融信防火墙亿阳信通防火墙0%20%40%60%80%100%1Single-Rule Bi 128帧吞吐率安氏领信防火墙CISCO PIX525防火墙FORTIGATE(F400)防火墙NETSCREEN208防火墙诺基亚IP530防火墙NORTEL ASF185FE 防火墙SERVGATE EdgeForce 防火墙联想防火墙龙马卫士防火墙蓝盾防火墙上海方正防火墙天融信防火墙亿阳信通防火墙0%20%40%60%80%100%1Single-Rule Bi 256帧吞吐率安氏领信防火墙CISCO PIX525防FORTIGATE(F400NETSCREEN208防诺基亚IP530防火NORTEL ASF185F SERVGATE EdgeF 联想防火墙龙马卫士防火墙蓝盾防火墙上海方正防火墙天融信防火墙亿阳信通防火墙0%20%40%60%80%100%1Single-Rule Bi 256帧吞吐率安氏领CISCO FORTI NETSC 诺基亚NORTE SERVG 联想防龙马卫蓝盾防上海方天融信亿阳信11128帧长天融信(TOPSEC)防火墙亿阳信通(BOCO)防火墙0204060801001201256帧长100 Rules Bi 256帧长吞吐率安氏领信防火墙CISCO PIX525防火墙FORTIGATE(F400)防火墙NETSCREEN208防火墙诺基亚IP530防火墙SERVGATE EdgeForce 防火墙联想(LEGEND)防火墙龙马卫士防火墙蓝盾防火墙上海方正(FOUNDER)防火墙天融信(TOPSEC)防火墙亿阳信通(BOCO)防火墙率安氏领信防火墙CISCO PIX525防火墙FORTIGATE(F400)防火墙NETSCREEN208防火墙诺基亚IP530防火墙SERVGATE EdgeForce 防火墙联想(LEGEND)防火墙龙马卫士防火墙蓝盾防火墙上海方正(FOUNDER)防火墙天融信(TOPSEC)防火墙亿阳信通(BOCO)防火墙164帧长e-Rule(NAT)64帧吞吐率安氏领信防火墙CISCO PIX525防火墙FORTIGATE(F400)防火墙NETSCREEN208防火墙诺基亚IP530防火墙NORTEL ASF185FE 防火墙SERVGATE EdgeForce 防火墙联想(LEGEND)防火墙龙马卫士防火墙蓝盾防火墙上海方正(FOUNDER)防火墙天融信(TOPSEC)防火墙亿阳信通(BOCO)防火墙0204060801001128帧长Single-Rule(NAT)128帧吞吐率安氏领信防火墙CISCO PIX525防火墙FORTIGATE(F400)防火墙NETSCREEN208防火墙诺基亚IP530防火墙NORTEL ASF185FE 防火墙SERVGATE EdgeForce 防火联想(LEGEND)防火墙龙马卫士防火墙蓝盾防火墙上海方正(FOUNDER)防火天融信(TOPSEC)防火墙亿阳信通(BOCO)防火墙安氏领信防火墙CISCO PIX525防火墙FORTIGATE(F400)防火墙NETSCREEN208防火墙诺基亚IP530防火墙NORTEL ASF185FE 防火墙SERVGATE EdgeForce 防火墙联想(LEGEND)防火墙龙马卫士防火墙蓝盾防火墙020406080100Single-Rule(NAT)512帧吞吐率安氏领信防火墙CISCO PIX525防火墙FORTIGATE(F400)防火墙NETSCREEN208防火墙诺基亚IP530防火墙NORTEL ASF185FE 防火墙SERVGATE EdgeForce 防火墙联想(LEGEND)防火墙龙马卫士防火墙蓝盾防火墙蓝盾防火墙上海方正(FOUNDER)防火墙天融信(TOPSEC)防火墙亿阳信通(BOCO)防火墙01256帧长蓝盾防火墙上海方正(FOUNDER)防火墙天融信(TOPSEC)防火墙亿阳信通(BOCO)防火墙防火墙525防火墙(F400)防火墙208防火墙30防火墙185FE防火墙EdgeForce防火墙防火墙防火墙火墙防火墙安氏领信防火墙CISCO PIX525防火墙FORTIGATE(F400)防火墙NETSCREEN208防火墙诺基亚IP530防火墙NORTEL ASF185FE防火墙SERVGATE EdgeForce防火墙联想防火墙龙马卫士防火墙蓝盾防火墙上海方正防火墙天融信防火墙亿阳信通防火墙。

12款防火墙比较评测报告《网络世界》评测实验室作为企业用户首选的网络安全产品，防火墙一直是用户和厂商关注的焦点。

为了能够为用户从眼花缭乱的产品中选择出满足需求的防火墙提供客观依据，《网络世界》评测实验室对目前市场上主流的防火墙产品进行了一次比较评测。

《网络世界》评测实验室依然本着科学、客观公正的原则，不向厂商收取费用，向所有希望参加评测的厂商开放。

我们此次评测征集的产品包括百兆和千兆防火墙两个系列。

此次送测产品有来自国内外12家厂商的14款产品，其中百兆防火墙包括来自安氏互联网有限公司的LinkTrust CyberWall -100Pro、方正数码的方正方御FGFW，联想网御2000，NetScreen-208、清华得实NetST2104 、ServGate公司的SG300、神州数码的DCFW-1800、天融信网络卫士NGFW4000、三星SecuiWall 防火墙以及卫士通龙马的龙马卫士防火墙，千兆防火墙包括北大青鸟JB-FW1、NetScreen-5200、Servgate SG2000H和阿姆瑞特的F600+。

三星SecuiWall防火墙和北大青鸟JB-FW1防火墙性能测试尚未全部完成就自行退出本次比较测试。

在我们评测工程师的共同努力下，顺利完成了对其他12款产品的评测任务。

测试内容主要涵盖性能、防攻击能力以及功能三个方面，这其中包括按照RFC2504、RFC2647以及我国标准进行的定量测试和定性测试。

我们性能测试和防攻击能力主要采用Spirent公司的SmartBits 6000B测试仪作为主要测试设备，利用SmartFlow和WebSuite Firewall测试软件进行测试。

在测防攻击能力时，为准确判定被攻击方收到的包是否是攻击包，我们还使用NAI公司的Sniffer Pro 软件进行了抓包分析。

在功能测试方面，我们的评测工程师则以第一手的感受告诉读者防火墙在易用性、可管理性、VPN、加密认证以及日志审计等多方面功能。

最好的ARP防火墙，国内六款ARP防火墙比较2008-09-16 09:07ARP欺骗是个很老的话题了，自从有了TCP/IP协议的那一刻起它就存在了。

曾起何时，ARP不过是大学校园的“赖皮”学生用来争抢IP的一种技术手段而已！而现在利用ARP攻击方式盗取密码的事情数见不鲜！而现在利用ARP攻击方式盗取密码的事情数见不鲜！由于ARP攻击导致频繁掉线的事情频频出现，让人很恼火。

本文将着力对国内六款主流的ARP防火墙进行横向评测。

什么是ARPARP是地址转换协议（Address Resolution Protocol）的英文缩写，它是一个链路层协议，工作在OSI模型的第二层，在本层和硬件接口间进行联系，同时对上层（网络层）提供服务。

二层的以太网交换设备并不能识别32位的IP地址，它们是以48位以太网地址（就是我们常说的MAC地址）传输以太网数据包的。

也就是说IP数据包在局域网内部传输时并不是靠IP地址而是靠MAC地址来识别目标的，因此IP地址与MAC地址之间就必须存在一种对应关系，而ARP协议就是用来确定这种对应关系的协议。

Windows操作系统，在命令行窗口输入"arp -a"命令可查看本机当前的ARP缓存表，ARP缓存表保存的就是IP地址与MAC地址的对应关系。

ARP欺骗的种类及危害ARP欺骗根据欺骗对象的不用可以分为三种：1. 只欺骗受害主机。

2. 只欺骗路由器、网关。

3. 双向欺骗，即前面两种欺骗方法的组合使用。

ARP欺骗带来的危害可以分为几大类，1.网络异常。

具体表现为：掉线、IP冲突等。

2.数据窃取。

具体表现为：个人隐私泄漏（如MSN聊天记录、邮件等）、账号被盗用（如QQ账号、银行账号等）。

3. 数据篡改。

具体表现为：访问的网页被添加了恶意内容，俗称“挂马”。

4. 非法控制。

具体表现为：网络速度、网络访问行为（例如某些网页打不开、某些网络应用程序用不了）受第三者非法控制。

一、公司整体介绍山石网科成立于2006年，专注于网络安全领域的前沿技术创新，为企业级和运营商用户提供智能化、高性能、高可靠、简单易用的网络安全解决方案。

山石网科(北京山石网科信息技术有限公司)以网络安全的需求变化为创新基点，立志为全球用户打造安全的网络环境，成为世界第一流的受人尊敬的安全厂商。

目前山石网科已拥有员工600人，在北京、苏州、美国分别成立了研发中心，建立了20多个销售分支机构，成为网络安全领域的领导企业。

山石网科的旗舰产品下一代智能防火墙在业界首次用智能的关联分析方法实现基于信誉的安全管理控制，帮助用户在应对各种安全威胁的基础上，提升企业防范风险的能力，最大程度保障企业业务可用性。

山石网科的数据中心安全产品，以分离式的硬件架构结合分布式的全并行处理，将性能和容量的弹性扩展提升到一个新的高度。

山石网科的安全产品基于其独创的64位全并行实时安全操作系统StoneOS®。

山石网科拥有几十项国内外发明专利。

山石网科2014年4月被Gartner列入企业级防火墙公司竞争魔力象限报告中。

据国际权威市场研究机构IDC发布的“2013年度中国IT安全硬件市场分析报告”显示，Hillstone以13.6%的市场份额占据中国UTM硬件市场第二，在世界500强公司和重要行业客户中得到了广泛的应用和部署。

2012年，山石网科被创投界的“硅谷圣经”——《RedHerring》杂志授予“2012全球创新百强企业”，全球知名咨询公司Frost& Sullivan授予山石网科“2014中国区下一代防火墙技术领导奖”。

公司综合实力对比山石网科深信服公司成立时间2006年2000年注册资金约2800万6000万公司人数≤1000≥2000年销售额≤5亿≥13亿研发中心北京、苏州、美国北京、深圳、美国国内分支机构数量2048海外分支机构数量无7专利数量国内外专利≤100项233国内专利，10项国外专利山石核心研发来自NetScreen技术实力值得肯定，市场来自天融信，营销策略，渠道策略与天融信类似。

国产硬件防火墙横向解析防火墙从形式上可分为软件防火墙和硬件防火墙。

此次，我们主要介绍硬件防火墙。

防火墙一般是通过网线连接于外部网络接口与内部服务器或企业网络之间的设备。

它又分为普通硬件级别防火墙和“芯片”级硬件防火墙两种。

所谓“芯片”级硬件防火墙，是指在专门设计的硬件平台，其搭建的软件也是专门开发的，并非流行的操作系统，因此可以达到较好的安全性能保障。

目前，在这一层面我们主要介绍国内四家厂商：天融信、启明星辰、联想网御、华为。

此次，我们将以100~500人的规模为应用对象，对各厂商的适应的“芯片”级硬件防火墙进行对比分析，分别从厂商概述、产品定位、应用领域、产品特点和功能、运行环境、典型应用、产品推荐和市场价格等多方面进行横向对比分析。

其实，选购和讨论硬件防火墙并不能单纯以规模来判断，还应该考虑防火墙产品结构、数据吞吐量和工作位置、性能级别、应用功能等诸多因素。

一、厂商概述国内硬件防火墙的品牌较多，但较早一批专注于信息安全的厂商却不多，尤其是“芯片”级的防火墙更少了。

如果以架构划分，芯片级防火墙基于专门的硬件平台，专有的ASIC芯片使它们比其他种类的防火墙速度更快，处理能力更强，性能更高，因此漏洞相对比较少。

不过价格相对较贵，做这类防火墙的国内厂商并不多，如天融信。

另外一种方式是以X86平台为代表的通用CPU芯片，是目前使用较广泛的一种方式。

这类型厂商较多，如启明星辰、联想网御、华为等。

一般而言，产品价格相对上一种较低。

第三类就是网络处理器(NP)，一般只被用于低端路由器、交换机等数据通信产品，由于开发难度和开发成本低，开发周期短等原因，因此，进入这一门槛的标准相对较低，也拥有部分客户群体。

1. 天融信以ASIC平台产品为主国产份额第一天融信的自主防火墙系统，首次提出TOPSEC联动技术体系。

网络卫士防火墙历经了包过滤、应用代理、核检测等技术阶段。

目前，以安全操作系统TOS为基础，开发了NGFW4000-UF及NGFW4000系列，融合了防火墙、防病毒、入侵检测、VPN、身份认证等多种安全解决方案。

本文由SOOTZXL贡献doc文档可能在WAP端浏览体验不佳。

建议您优先选择TXT，或下载源文件到本机查看。

TJ-50P+与国内防火墙厂家产品比较与防火墙厂家太极 50P+ 功能项目防火墙的高可靠性（Active－Active）－）通过VIP 的技术实现了防火墙的 HA 的负载均衡功能。

的负载均衡功能。

暂时还未能实现真正意义的 HA 的负载均衡功能。

载均衡功能。

只能实现双机热备的功能。

基于动态域名解析加密隧道的的 VPN 加密隧道的建立通过域名提供商实现了两端都是动态地址的VPN 加密隧道的建立无法实现此方式的 vpn 加密隧道的建立，只能支持网关对网关的加密隧道建立。

建立。

策略路由通过访问目的地址和原地址的方式可实现策略路由，实现策略路由，界面配置简单明了。

面配置简单明了。

用户认证可通过用户认证的密吗和用户 ID 可以实现对内网或外网用户的上网管理和监控. 和监控多连接的负载均衡功能（功能（Muitiline））现在很多小型企业中或分支办事处，大部分接入的线路是 XDSL 接入到局域网，到局域网，为了保证业务能够正常和不间断的运行， NX 不间断的运行，太极 50P+防火墙防火墙构成了 Dual Line 双重连接，保证了双重连接， XDSL 在出现线路（一条）故障时能一条）够继续维护会话连接。

真正意义上实现了基于 PACK 的负载均衡功能。

负载均衡功能。

远程管理太极 50P+ 可以通可以实现远程的管可以实现远程管理可以实现远程管理无法实现多连接（ Muitiline ）基于 PACK 的负载均衡功能无法实现多连接（Muitiline ）基于PACK 的负载均衡功能无法实现多连接（ Muitiline ）基于 PACK 的负载均衡功能无法实现此功能可以实现此功能可以实现此功能可实现此功能――可实现此功能――策略路由的配置。

策略路由的配置。

黑盾100 防火墙天融信防火墙（3000））暂时还未能实现真正意义的 HA 的负载均衡功能。