一条防火墙招标参数引发的讨论
某天深夜1点多,某业界知名安全大厂的“防火墙产品吐槽群”里突然活跃起来……
首先,该公司一位销售在公司群里发问,求助各位大神,有一家企业客户要招标买一台防火墙,下面这个要求我们怎么应对?客户的预算只有10万元。
1.★采用非X86架构,支持交流双电源,千兆电口≥8个,非复用千兆光口≥8个,万兆光口≥2个,SSLVPN并发用户≥5000个;IPSecVPN吞吐量≥15Gbit/s
2.扩展插槽≥6个,最大接口数≥64个千兆接口+14个万兆接口(提供设备满配照片),支持硬件电口Bypass卡(提供Bypass卡配置截图),支持≥600G硬盘
此时,群里的产品经理恰巧看到这条信息,顿时胸中升起一股邪火,睡意全无……
NND,这年头做防火墙的厂商,都是操着卖白粉的心,赚着卖白菜的钱啊!
IPSec吞吐量15G,SSLVPN并发5000个,最多能支持78个接口,这得是旗舰级产品的性能和规格啊,预算才10万块?
不过,多年积累的“职(shou)业(nue)素(jing)养(li)”让产品经理很快开始意识到自己的愚蠢。
人家有错吗?你怎么又忘记了以客户为中心思考问题了?难道你不想花最少的钱买最好的东西吗?人家是衣食父母,你要从自身找问题……
可是……可是……,这第一句话就写着“采用非X86架构”,就算我愿意“贱卖”,也得有个参与的机会啊。
这里有必要做一个科普,当前业界主流的下一代防火墙硬件架构有两类,一类是“X86”架构,采用Intel处理芯片;另一类则是所谓的“多核”架构(其实这么叫并不准确,因为X86所采用的Intel也早就是多核了,专业上应被称为“MIPS”)。大部分有安全背景的厂商采用了“X86”架构,而一些数通背景厂商则更为青睐“MIPS”架构。
“质疑……强烈的质疑!”产品经理在第一时间回复,要求采用非X86架构是不合理的需求。
很快,产品经理写好了质疑函:
对招标书中防火墙产品要求为“非X86架构”的强烈质疑说明
1.从产业情况来看,X86架构是下一代防火墙产品的主流硬件架构,被国内外多数领导厂商普遍采用。以国内厂商来说,市场排名位居前五的厂商中,大部分都使用X86架构,例如天融信(多年防火墙市场排名第一)、启明/网御(多年UTM市场排名第一)、深信服(2016年UTM市场排名第二)、360企业安全(2016年UTM市场排名第三)、东软、绿盟等;
2.从实际运用来看,X86架构的下一代防火墙多年来被广泛运用于各级政府机关、国家部委、央企、军队、教育等各行各业各个领域,这种架构的下一代防火墙不存在共性的、影响用户使用的缺陷;
3.从技术角度而言,X86架构的下一代防火墙产品完全能够满足本次招标要求中对于设备的性能和功能要求。并且,随着Intel芯片的持续升级及相关软件技术的成熟运用,采用X86架构的下一代防火墙产品支持更为灵活的软件编码(适合复杂的应用层运算)、具备更高的应用层处理性能(符合下一代防火墙产品的核心要求),已成为行业公认的技术优势。
综合以上,要求所投产品为“非X86架构”缺乏合理性,且不符合产业现状、行业运用情况和主流技术趋势,该要求屏蔽了众多主流厂商参与项目竞争的机会,无益于维持良好的市场和招标秩序。因此,我们强烈建议,去除招标要求中与此相关的技术要求。
此时,同样没睡的售前跳了出来。
售前:这质疑,能行吗?市场上采用非X86架构的下一代防火墙确实也不少于三家啊,数通类厂商不都在用吗?如果客户不改掉这条,下一步咱们怎么办?
产品经理:你放心,我们不是一个人在战斗!采用X86架构的厂商更多,这条要求屏蔽了很多主流厂商,他们一定会跳出来质疑的。至少也要把“星号”去掉啊,否则大家连参与的机会都没有。
这时,群里一直潜水的研发大神看不下去了。
研发大神:太不合理了!我来给你们添把柴火!
1.今天的X86已经不是十几年前那个饱受诟病的“低能平台”了,当年X86性能表现欠佳,是因为硬件的总线瓶颈造成的,而这个问题早已随着Intel产品的迭代彻底解决了,现在最高端的X86处理器不光在应用层性能上不输于同档次的“MIPS”,在网络层性能上也不落下风;
2.众所周之,下一代防火墙强调应用层的安全防护能力(对应的功能包括应用识别与控制、入侵防御、病毒防护、URL过滤等),而对于这些典型的计算密集型应用,X86具有先天的优势。
一定要澄清一个误区,CPU的核数多少、主频高低并非决定处理性能的全部因素,还有一项更重要的指标IPC(instructionpercycle,每周期执行指令数)却往往不为人知,而这项指标高低则由多方面决定,包括处理器的架构和工艺、象多发射、跳转预测、大的内存带宽和缓存(Cache)等。
就拿缓存来说,由于Intel处理器内置了大容量的高速缓存,使得下一代防火墙系统频繁读取各类特征库时(如应用特征库、URL分类库、IPS威胁特征、病毒特征等),能够极大的减少系统频繁访问内存的次数,从而避免其所带来的延迟,这样才能保证下一代防火墙在同时开启多种安全功能的情况下,性能依然可以维持在可用的范围,而这一点却是MIPS所比不了的。
为什么这么说?没有对比就没有伤害,同样是高端处理器,“IntelXEONE52680v3”的缓存是30M,而MIPS架构的CaviumCN7890处理器(Cavium是MIPS架构采用最为普遍的一种处理器,CN7890是其最高端型号),缓存容量仅有16M。由于X86架构灵活扩展的特性,高端的盒式X86设备普遍会采用两颗CPU,这样其缓存容量就会翻倍为60M,这个差距就更加明显了。
此时,研发大神越说越不淡定,全然置领(L)导(P)大人的“横眉冷对”于不顾,以紧急集合的速度起床、开电脑……
研发大神:无图无真相,我把他们官网上的截图放出来,大家自己看!
先放Cavium的:【传送门】
再看看Intel的:【传送门】
3.另外还有个“猛料”要爆,对于采用Cavium处理器的大多数厂商来说,当前其实遇到了一个更为棘手的问题。
Cavium最新一代MIPS处理器产品OCTEONIII系列自2015年上市以来,迄今已有近3年没有迭代更新了。
去年有一篇报道指出,该厂商酝酿了新的技术转型,正在放弃MIPS架构而转向ARM。英文好的自己看: 【传送门】
我个人的判断是,这个情况对于采用该处理器的MIPS架构防火墙无疑是个坏消息,势必会严重制约产品的性能提升和更新换代。如果这个情况得不到改善,这些厂商可能不得不把平台迁移到X86上来,而硬件和软件的切换成本是极高的。并且,两种架构天生就存在差异,就算软件系统适配了新的硬件平台,也难免会“水土不服”,性能指标恐怕难以和从前相提并论!
此时,刚才提问的销售暗想,程序猿还真是有(hen)内(men)涵(sao),这哪是一把柴火,简直就是一串导弹啊!虽不明,但觉厉,我还是得再探探底,看看是不是又在“忽悠”。
销售:原来是这样?……
可是为什么很多客户会认为“X86”天生就是矮穷挫、“非X86”天生就是高富帅?
还有人说“非X86”的下一代防火墙在测试中性能要高过“X86”好多倍?
一直“静观其变”的产品线总裁老王终于也按耐不住了。
老王:存在即合理,各种架构都有自己适合和不适的场景,最先进的隐形战机也有自己的飞行极限。正所谓外行看热闹,内行看门道。
在防火墙的部署场景里,有些用户只希望下一代防火墙做基础的访问控制和攻击防护,更为看重的是产品对网络层的转发性能和延时,这比较符合非X86架构产品的特点。
而又有一些用户认为性能、接口都足够用,更关注的是下一代防火墙的安全防护能力,比如是否能精确的控制应用、是否能及时的阻断攻击、是否能实现更深入的可视化以进行积极防御,这些是下一代防火墙更为强调的,显然X86架构更为合适。不过,从市场趋势来看,当前第二类场景的需求更为旺盛,毕竟下一代防火墙是安全体系的第一道防线。
至于你说的测试,同样要考虑场景以及对应场景下的真实需求,就像有人说“抛开剂量谈毒性都是耍流氓”,其实抛开场景谈测试也是耍流氓啊!比如说,对于一些关注安全能力的用户而言,单看防火墙是否能拦截测试仪表模拟出来的攻击来评判其安全防护能力,就显得草率了,事实上测试仪表的特征都是已知的,只要做一些针对性的优化,测试数据一定会很漂亮,有所“准备”的厂商在测试前其实就已经知道结果了。
当然,我们作为专业的安全提供商,要能够帮助用户更加清楚的认清自己的真正需求,这才是我们的价值所在。大家辛苦,早点休息吧!
销售:感谢各位大神,明天就想办法跟用户去沟通!
不日,该项目宣布招标计划延期……
官方 