前些日子忙着搞防火墙的测试，看了好多家的防火墙，越看越是心痛。我们国家自己造的防火墙拆了壳子都是一个模样。所谓的硬件防火墙，其实都是工控计算机里安上防火墙软件，并不是真正意义上的硬件防火墙，只是有了专用设备的软件防火墙而已。都是一群人花四五月时间在linux下写个包过滤的玩艺，选一款工控机打上自己公司的标记，然后到公安部花点钱搞个证书，下面就是请客户喝酒了。几乎所有的国内造防火墙的都是靠着政府的保护国日子。可悲啊。

    至于测性能就更难过了。各个厂商的吹牛笨是真是大啊。所谓的千兆防火墙，统统都是吹出来的，就天融信的可以达到400出头，也离千兆相差甚远。大家都在炒作着各种莫名其妙的所谓先进技术，以及多么大的并发连结数。所谓的流过滤、核过滤都是些宣传的噱头。而并发连接数，增加的简单方法就是增加内存，在内存中开辟更大的空间来存放连接表而已，也没有多么高深的技术成分。其实，一台IBM的小型机也最多就承受2万个并发连接，而实际状况下一个百兆网络对外的并发连接数通常只有一两万甚至只有几千。而现在国内主流的防火墙的并发连接数动不动就是30多万。厂家对并发连接数的攀比就像两个三口之家攀比你有4百双筷子我有5百个碗一样毫无意义。

     关于IDS和VPN就更是惨不忍睹，几乎就是不能用。稳定性极其的差。

    不过就我所接触的很多的防火墙的用户，也只是花钱来对付上面的检查，或者图个心理作用，真正很好使用的真的不多。所以我觉得国内的厂商是在技术上花功夫的时候了。而且，网络安全的服务业应该跟上了。厂商不应该吧东西安上去就算了事，网络安全设备只是抵御入侵的工具，人是真正的决定因素，企业也不要以为买了网络安全设备就可以放心睡觉了。其实一个好的网管人员加上一定的设备可以超过成堆的高级设备和一个无用的网管，不要吧网管当作一个看机房的。

     罗嗦了半天，也就是为了抒发一下自己的郁闷，相应一下.abu的原创倡导。过年后，又得想办法为我们公司的防火墙做宣传去了，然后要从检测的数据中挑选对我们有利的数据来说明我们的产品是如何的优秀。显然公司给我弄来一堆各家的产品并且给我一个月的时间来测试不是为了让我说上面的话的。除非我把我的工作不当回事，我目前工作还是谋生的手段,工资还是个很重要的东西。此文章也就贴在高级用户论坛里吧，要是被公司领导看见我可得挨骂了。

呵呵，我也在奇怪国内做安全产品的怎么忽如一夜春风来，千树万树梨花开

曾经一度有1400多个防火墙的品牌,有人说防火墙的牌子比香烟都多,不过现在好多的都歇菜了.

如果真的只用工控机+软件的话，肯定要累死的

国内的目前都是工控机+软件方式，只是在存储介质上有些区别，有的用硬盘有的用cf卡而已。至少我还没有见到国内的防火墙是真正的硬件防火墙。

什么叫真正意义上的硬件防火墙？防火墙的目的是什么？

真正意义上的硬件防火墙是将程序固化在芯片中,在电路层上实现对数据的过滤分析功能.但是难度非常的大,需要极大的资金投入,对技术水平要求也很高,需要自行设计电路.像如路由器、三层交换机。不过，这种硬件防火墙的操作相当的繁琐，基本上没有图形界面，操作难度较大。

非常同意alpha_liu兄的高见，技术上的差距是无法靠抄袭来弥补的！

 

netscreen、sonicwall 都是很不错的纯硬件防火墙啊，操作上也是图形化的，可惜国内的N多安全厂商还没见有能静下心来进入这种境界的。

netscreen、sonicwall似乎也不是纯硬件的，我有个sonicwall的小防火墙，我拆开看过似乎使用的EPROM存储芯片，我觉得应该属于半硬件的。我记得思科的pix系列的似乎是的。全球造防火墙最好的我觉得是以色列checkpoint，连美国的国家安全局中情局都是用的checkpoint的。checkpoint的vpn更是牛，占了全球的40%的份额。

PIX不是的。