[FW/VPN/UTM安全网关产品线] 销售话述
本期索引:防火墙竞争分析-启明星辰
启明星辰是一个发展很迅速的安全公司,目前是国内安全厂商中IPS和IDS的主力军。也是我们将来最主要的竞争对手。从最近几年的IDC报告来看,启明的IDS和IPS一直国内占有率第一。目前UTM也已经是国内UTM厂商中占据第一的位置。在这一点上来看,是值得我们学习的,为什么会这么说呢?因为启明的UTM是06年开始自主研发的,也就是市场说的天清汗马的USG系列。在自主研发之前是OEM飞塔的UTM,也就是AIO系列。随着AIO进入市场,很快就打开了UTM的市场。06年底的USG系列开始逐渐推入市场。而且几乎的飞塔设备的克隆,但是在好多方面超过了飞塔,加入更多自己的东西。
从启明星辰的产品线也可以看出,他们的自研UTM的道路上的历程。因为他们的低端采用的IXP的平台,中端百兆和千兆采用的则是X86平台,但是X86的性能满足不了高端用户用户的需求,他们也推出了X86+ASIC的架构。08年多核的渐渐成为主流,所以他们也推出了cavium的多核产品,主要是USG10000系列。在今年的央采入围中,中低端产品也出现了多核的影子,主要是USG 310B、USG 610C、USG 810C、USG 2010D等产品,不难看出他们的产品线在向多核方向迁移。
启明星辰没有开发防火墙,而是直接走的UTM的道路。从目前来看,USG系列也还是主要打防火墙的市场。所以在他们控标的标书中,我们很难进入。为了缓解这个问题,我们的策略:防火墙和UTM的混合打法。所谓的混合打法是能用UTM直接应对的,就用UTM。如果UTM不能满足,主要从接口和性能上,可以采用在防火墙的平台上使用UTM的软件,可以在G30的6800系列上定制。当然这是一个暂时的办法,在Q4就可以用UTM直接应对。因为在Q4 UTM的高端平台也会上市。
规格对比
X86系列 产品型号 规格 10/100M USG 600A 4 USG 600C 8 单 4 单 8 单 4 4 单 4 4 冗余电源 USG800A USG 800C USG 2000C USG 3600C 10/100/1000M 千兆SFP插槽 机箱 单 电源 X86 架构 400M 性能 处理能力 并发连接(万) 参考对应型号 U4-400 F6-3214 X86 400M 140 F6-3218 X86 1G 160 F6-3614 X86 1G 180 F6-3618 X86 2G 200 U4-1460 G7-4246 X86 2G 200 U4-1460 G7-4246 ASIC与NP(IXP)系列 产品型号 USG 4000D (央采) USG 4600D USG 5200D USG 300B(NP IXP)
规格 性能 10/100M 10/100/1000M 千兆SFP插槽 机箱 电源 架构 处理能力 并发连接数(万) 参考对应型号 8 4 2U 冗余 ASIC 8G 240 G60-7248 8 4 2U 冗余 ASIC 8G 260 G60-7248 8 4 2U 冗余 ASIC 8G 280 G60-7248 6 1U 单 NP 300M 80 F6-3216 U4-600
Cavium系列 产品型号 规格 10/100M USG 310B (央采) 6 1U 单 多核 300M 80 F6-3216 U4-600 USG 610C (央采) 8 1U 单 多核 800M 120 F6-3218 USG 810C (央采) 8 1U 单 多核 1.5G 180 F6-3218 USG 2010D (央采) 12 1U 单 多核 2.5G 200 G7-4866 USG 10000E (央采) 2可扩14 10 2U 冗余 多核 20G 300 G60 10/100/1000M 千兆SFP插槽 COMBO(千兆) 机箱 电源 架构 性能 处理能力 并发连接数(万)
参考对应型号 功能对比
功能类别 功能 详细描述 启明 网御神州 防火墙 网御神UTM 状态检测 基于IP地址、MAC地址、域名、端 口或协议、服务、支持 网口、时间、用户的访问控制 支持虚拟防火墙的功能,在不同的防火墙内可以单独不支持 配置策略 实现基于策略的HTTP、FTP、TELNET、 SMTP、POP3等透明代理和深度过滤 支持 不支持MAC 支持 虚拟防火墙 支持 不支持访问控制 透明代理 支持 目前不持 IP/MAC绑定 实现IP/MAC地址绑定,且支持IP/MAC地址对的自动支持 探测和唯一性检查 支持 支持 用户认证 支持本地认证、无客户端软件的WEB认证,并支持不支持不支持Radius、TACACS/TACACS+、LDAP、域认证、secuid等TACACS/TACATACACS/TA支持TACAC
安全认证方式等第三方认证 CS+、secuid CACS+、secuid 支持 支持 CACS+secui支持 连接 支持对TCP/UDP协议的源、目的地址的新建和并发的不支持 控制 支持透明、路由、混合三种工作模式,支持DHCP 支持 Client、支持PPPoE接入,并具备自动断线重连技术,支持纯透明桥接功能 支持静态路由,动态路由(OSPF、RIP、BGP等),VLAN间路由,支持策略路由,支持多出口路由负载均衡 支持策略路由,metic值,接口等路由方式 不支持BGP 支持 接入模式 不支持BGP 不支持路由 支持 支持 目前不持met接口 NAT 网络适应性 VLAN 支持双向NAT、动态地址转换和静态地址转换,并支支持 持多对一、一对多和一对一等多种方式的地址转换 支持802.1Q和ISL VLAN封装协议 不支持ISL 支持 支持 不支持ISL 不支持支持 带宽管理 基于IP地址、服务、网口、时间等定义带宽分配策支持 略,支持最小保证带宽和最大带宽,支持分层的带宽管理 支持 动态协议 在各种工作模式下均支持H.323(H.323 GK)、SIP、不支持UPnP、不支持FTP、MMS、RTSP、UPnP、XDMCP、TNS等多种动态协XDMCP UPnP、议 XDMCP 支持WEB重定向保证定向到访问的资源 支持自动搜索DNS和手工指定DNS 支持IGMP 组播协议,IGMP snooping 识别和控制迅雷、BT、eDonkey、eMule等常见P2P下载软件 p2p可以查看平均速率和连接数 不支持 不支持 支持 支持 支持 支持 不支持 支持 不支持UPnP、XDMCPWEB重定向 DNS中继 组播 P2P下载控制 P2P在线统计 支持 支持 不支持支持 支持 不支持 不支持 不支持P2P视频播放控识别和控制PPLive、QQLive、PPStream等 常见P2P支持 制 视频播放软件 应用控制 IM即时通讯软件控制 支持IM在线统计 在线游戏控制 识别和控制QQ、MSN、skype,新浪UC,阿里旺旺,支持 Google Talk等常用IM软件 不支持不支持UC,不支持阿里旺旺,阿里旺Gtalk Gtalk不支持 支持当前用户,累计用户,阻止用户数。当前会话,支持 文件传输个数,阻止个数 识别和控制魔兽、CS、征途、联众、天堂、梦幻西游、支持 仙剑情缘、热血江湖、劲舞团、诛仙、 浩方、泡泡不支持不支持 支持
堂等多种在线游戏软件 识别和控制大智慧、同花顺、国泰君安、证券之星 、支持 广发证券、指南针、通达信、股票之星、华安证券、和讯报道、钱龙等多种炒股软件 支持基于分类库的URL访问控制,支 持50多种分类不支持 库,800万级网址智能特征库,支持URL特征库 ,支持增量升级管理 支持标准IPSec协议,能够与CISCO、Juniper等知支持 名厂商的VPN设备互联互通,支持预共享密钥、证书等认证方式且支持X扩展认证,支持3DES、DES、AES等加密算法 ,支持AH和ESP封装模式以及MD5、SHA1算法,支持DH2、DH5,支持多出口VPN,且支持NAT穿越 支持 不支持 支持 炒股软件控制 不支持 支持 WEB过滤 支持 支持 IPSec VPN GRE/PPTP/L2TP 支持GRE、PPTP 、L2TP等VPN连接 VPN 隧道自动穿透 支持 支持 不支持支持VPN在标准端口被阻断时,可以通过其他端口自不支持 动协商端口,保证业务不断 支持SSL VPN和IPSec VPN同时使用,采用无客户端支持 认证方式实现隧道安全连接 IPSec VPN客户端可与所有支持标准IPSec协议的支持 VPN网关互联互通,支持基于USB Key的国密算法(SCB2),IPSec VPN客户端支持Windows 2000/XP、Vista等操作系统 VRC之间可以建立VPN隧道,保证数据加密传输 不支持 不支持SSL VPN 支持 支持 支持 支持 VRC(VPN客户端) VRC隧道 入侵检测 入侵检测联动 抗DDOS/DOS攻击 抗CC攻击 入侵防护 病毒库 支持协议 防病毒 蠕虫过滤 支持 不支持 支持 支持 支持 内置IDS模块,具备1600种以上攻击特征库规则 支持 可与主流的IDS设备联动 支持 支持 支持 入侵检测与防御 可识别和防御syn flood、Ping flood、udp flood、支持 teardrop、sweep、land-base、ping of death、smurf、winnuke、圣诞树、碎片等多种攻击 可通过设置端口和阀值阻断CC 攻击 具备内置的入侵防护IPS功能,并支持IPS规则库单独升级 支持大于20万种的病毒库,包括流行库和高危库 HTTP,FTP,POP3,SMTP的病毒过滤 不支持 不支持 支持 不支持 支持 不支持支持 支持 支持 支持 支持 支持 支持 支持 实现对blaster,nachi,nimda,codered,sasser,支持 slapper,sqlexp,zotob等主流 蠕虫病毒的识别、过滤和拦截 支持自动升级和手工升级 支持 支持 升级方式 支持 支持
网页过滤 支持对网页关键字和Java、JavaScript、ActiveX、支持 VBScript进行过滤 支持对邮件地址、主题、正文、附件名、附件内容等支持 进行关键字匹配过滤,支持对中转垃圾邮件进行识别和过滤 支持对FTP上传和下载文件的控制 支持 不支持VBscript 支持 不支持VBscr内容过滤 支持 邮件过滤 FTP过滤 支持 支持 支持 系统管理 支持Web、SSH、Telnet和串口命令行配置,支持数支持 字证书和电子钥匙两种管理员认证方式,支持管理员权限分级,支持SNMP管理 支持对CPU、内存、磁盘、网口、用户在线状态、连支持 接数、路由表等信息的监控 支持设备内存储和专用事件分析服务器两种日志管支持 理方式,支持分级报警,支持SNMP Trap和邮件等报警方式 可通过专用的集中管理系统实现对防火墙的集中设支持 备监控、集中日志审计、安全报警以及防火墙、VPN部分策略的分发等功能,可通过专用的集中管理系统,实现对网络拓扑的管理,基于域的权限分配和报表自动生成,以及设备的历史状况回放 支持链路备份、端口备份、热备份。支持防火墙多 WAN支持 口备份和负载均衡,支持基于802.3ad标准的多端口聚合 在NAT、路由、透明模式下支持A-A,A-S模式,且切换时间小于 1秒 支持 支持 系统监控 支持 支持 支持 支持 管理配置 日志报警 支持 支持 集中管理 负载均衡 不支持聚合 支持 双机热备 支持 支持 接口联动 指定接口联动,保证一个接口出现问题,关联接口自支持 动down,保证路由的收敛 支持 支持 高可靠性和易用性 支持安全探测功支持对主机的服务,操作系统版本的探测,同时支持不支持 能 导出 链路探测 多ADSL接入 IP冲突检测 支持基于应用(ARP/PING/TCP/HTTP)的链路探测 不支持 提供多条ADSL(≥3)同时拨号和自动负载均衡方式 不支持 可自动检测网段内IP地址冲突,并报警 不支持 支持 不支持支持 支持 支持 支持 支持 支持 支持 连接统计 支持TCP状态统计,能够详细统计出TCP连接总数不支持 和ESTABLISHED、LISTEN、SYN-SENT、SYN-RECV、FIN-WAIT、CLOSING、TIME-WAIT、CLOSE-WAIT、LAST-ACK、CLOSED 10种状态的连接数数量及占总TCP连接数的比例 不支持
在功能上来看,启明星辰主要在实用性和感官上有比较大的杀伤力。比如网络炒股,网络游戏,网络流媒体,P2P/IM的在线数的统计和文件的传输控制等。在IPS是他们的主要优势,主要在规则库和自定义上。无论怎样,我们都要有“亮剑”精神,特别是关于VPN的项目上,可以使用商用密码的资质来控标。最重要是能够运作项目,让别人来应标,这样就不会很被动。
