首先我们明确一下定义,怎样才算「纯国产化」防火墙呢?
不吹不黑,我们来划定一下标准。
先看硬件,要求就是很纯粹,每块砖都“清清白白”,别掺和什么洋砖洋瓦。
再说软件,同样的原则,不只是安全OS,核心代码…
还要包括应用特征库、威胁检测引擎、威胁情报等等,统统都得是国产的。
符合这些特征的,才能算「纯国产化」。
过分吗?不过分!
在XC大背景下,你想要防止别人“卡脖子”,那就要这么一丝不苟。
接下来,就是我们的核心问题,也是很多大甲方非常关注的一个点↓
这样的「纯国产防火墙」,到底能不能打?
能不能跟国外的、或者混血防火墙(非国产硬件),分庭抗礼。
能不能打的关键点(瓶颈)在哪儿呢?
❶看功能:
功能丰富不丰富、威胁检出率高不高、配置管理运维升级方便不方便、威胁特征库/应用特征库/威胁情报库更新及时不及时。
有一说一,在功能层面,国产化不处下风,甚至对本土威胁/应用特征支持更好,响应也更即时。
so,论功能、论易用性,甲方对国产防火墙不担心。
❷看性能:
性能(新建/并发/吞吐/时延)一方面取决于硬件本身处理能力,一方面取决于软件与硬件的适配,软件体系架构的先进性。
国产硬件(以CPU为代表)相比较而言,性能的确有短板,是甲方的担忧之一。 尤其时延,让甲方总担心用了国产墙,网络变得慢吞吞。
这就考验更好的 软件架构和 适配能力,能不能通过软件优化和软硬协同,弥补短板。
❸看稳定性:
关键器件稳定性存疑,或有未知bug,尤其在高负载下,更容易崩盘。
这成为甲方的第二个顾虑点。
❹供应链安全:
产品具有可持续性,不被卡脖子,不能因为大环境变化说断档就断档了。
同时还要低成本,国产化和XC,不等于高价,客户在选“国货”的同时,也要享受高性价比。
另外,我也研究了近几年来某大型国有银行和某大型能源企业,针对国产防火墙的集采测试标准。
原来对非XC墙的那些性能、稳定性、功能性的要求,现在一点也没有缩水。
这么说吧,针对XC防火墙,大甲方们要的就是真替真用,不会因为你的“出身”就降低要求。
那么,功能全面、性能强悍、稳定性出色的纯国产化防火墙,到底能不能有?
讲真,能把上面4点全搞定,挺难的。
但是,国内有家网安顶流厂商做到了!
这家厂商就是:山石网科!
山石凭什么能做到?
先看 软件层面,山石网科全自研 StoneOS,始于2007年。
从2007年至今,经过近20年的打磨,StoneOS越发炉火纯青。山石人对核心代码100%的掌控力,让软件对硬件的适配和优化格外得心应手。
比如,一套StoneOS即可广泛适配不同架构国产处理器,既增强了产品可维护性,也给客户更多选择,确保供应链的持续性。
同时,软件层面高性能、高可靠,一次解包、并行处理。
保证了同等硬件底子,能提供更优的性能和稳定性,弥补国产硬件可能存在的短板。
再看架构能力,山石网科是国内率先采用全分布式架构的防火墙厂商,山石首发全分布式机架模块化防火墙的时候,国内大部分网安厂商,还在探路。
这种架构的好处在于,可以支持整机多种类型板块动态扩容。
业务流量智能分配,分布式高速处理,整机性能可以线性叠加。
同时,全分布式架构资源管理算法实现了动态信息数据库实时保存与同步,所有板卡可以协同“作战”。
单卡故障不影响整机业务,冗余性大大提高,从而进一步提升性能和稳定性。
第三看“外挂”能力。
应对大流量、高性能场景,别说国产CPU,即便是国外顶流CPU,也会力不从心,必须要整点“外挂”给CPU减负。
为此,山石网科研发了专用硬件加速引擎,专注于流量卸载。
该引擎具备L2-L4的高性能转发能力,突破CPU的转发性能极限,时延低至微秒级别。
这样,可以彻底把国产CPU解放出来,避免其在高压之下忙中出错、触发不可预知的bug。
通过“开挂”,再次夯实了国产防火墙的稳定性,同时性能爆表。
好了,软件打磨、架构重塑、硬件加速,通过一系列的真功夫,山石网科成功让“纯国产化防火墙”变成了响当当的硬汉。
以山石的防火墙产品K7680为例,作为一款高度仅1U产品,K7680默认提供20个10GbE接口、6个100GbE接口,还支持模块化扩展。
小包双栈吞吐量高达180个G,网络层时延低于10微秒,这么低的时延,别说是国产墙,放眼业界也很罕见了。
讲到这儿,我们终于可以正面回答开篇的问题: 纯国产防火墙,到底能不能打?
相当可以!不敢说吊打“进口墙”或“混血墙”,但是在关键场景做替换,完全没问题!
目前,以山石网科为代表的国内网安厂商,正在不断努力,不仅实现了防火墙的真替真用,更在全栈安全产品线上,持续推进国产化替代进程。
国产网安产品,百花齐放的时代,已经到来!