卖防火墙坑多吗？不少，真的！

特大项目群每天都有话题

昨天，聊到 防火墙 ，群里立刻炸了锅

大家纷纷出来吐槽

↓

▼

@搞安全18年的老司机

“18年前，我刚入行的时候，代理国外大牌子，我说卖防火墙的，客户问‘ 多少钱一平米？ ’

我心里想，尼玛， 让我把这铁皮摊开算算，到底多少钱一平米 ……

可是没办法，只好从头一点点解释。18年过去了，客户越来越成熟了，但竞争越来越激烈了。”

@ 每一代防火墙都经过我手

“有年头了，要说防火墙这产品的生命力还tm真长。

每一代防火墙都经过我手， 直接拿路由器改的、工控机装Linux的、NP的、ASIC的、FPGA的，拿UTM当防火墙的，拿防火墙当UTM的，各种NG的，都卖过。 ”

@我是新手，真没见过 「 上一代防火墙 」

“去年才入行，公司的产品叫 下一代防火墙 ， 讲真，我不知道上一代防火墙长啥样， 一投标，大家拿出来的都是下一代防火墙……”

@我是代理商，有些品牌只留在记忆了

“我是安全代理商，当年那些品牌， 我就不说NetScreen、 思科老pix 了，什么东方龙马、中软华泰、 方正方御、海信、 安氏、华赛…… ，很多你们现在都不知道了吧？”

▼

@ 端口，必须是端口！

“ 我觉得防火墙端口数最坑 ！ 一个外网口、一个内网口、一个DMZ基本够了， 现在 动不动1U的防火墙，就整了二三十个端口 ，还千兆、万兆的，还不如级联个交换机呢”

@ 端口哪有证书坑？

“要我说，端口还能接受，毕竟现在芯片支持，多几个口挺好，算不上坑。

防火墙第一大坑非证书莫属 ！ 谁家防火墙要是没三五个证书，敢上市么，敢出来投标么？这些都是隐形成本啊……，心疼卖防火墙的”

@ 什么功能都有，才是最坑！

“ 有些防火墙做得什么功能都有， 比UTM还UTM ， 技术交流的时候说啥功能都有，验收的时候说防病毒别开，影响性能，反垃圾邮件别开，误报率太高，应用识别不准，特征库单独收费，加密流量没法监测，直接抓瞎……”

▼

@ NAT吧，最原始也最有用的功能

“NAT，最原始也最有用的功能 ，我觉得NAT好不好直接决定了上网快不快，以前大部分防火墙用户 也就开个NAT和包过滤 ，妥妥的。

啥，你说IPv6来了不需要NAT？别扯了，IPv6有生之年够呛了”

@ 还是应用识别能力最重要

“NAT有用我承认，但那是以前，这些年要是没有个应用识别和管控功能，出口分分钟就堵死了 ， NGFW不都讲究应用识别和应用安全吗 ？

@ 防火墙，还是安全产品吗？

“你们说NAT有用，说应用识别有用，我不反对，可这俩功能都是改善上网体验的呀， 你们活活把一个安全网关用成了上网优化网关 ……

我觉得防火墙就要像个真正的安全产品，不光防已知威胁，还要能防未知威胁 ，其实已知威胁我们都不怕，管理员勤快点、管理规范点，都应付的了，但未知威胁就比较难办了，每天都提心吊胆，生怕再来一次wannacry……”

@ 来自甲方的网管

“作为一个防火墙管理员，谈谈我的看法，除了基础的功能NAT、ACL、IPS、应用识别， 我觉得很多厂商忽略了安全管理员的感受 ，UI太难用，流量、威胁事件的可视化做得差，乱七八糟毛都看不到。

还有啊，现在过墙的加密流量原来越多了，我们都快超过50%了，大家都https了，谁能给个 加密流量安全检查 方案？”

▼

@ 我是Gartner魔力象限小粉丝

“ 我最喜欢 Gartner的魔力象限 ，不光可以梳理厂商短名单，还能了解安全趋势，厂商的三六九等一目了然，对产品选型帮助很大 。

只是，咱们国产品牌不争气，入象限的少不说，大部分还只能在左下的苦逼象限晃悠，啥时候能变成挑战者、领导者啊。当然，能入象限也不容易，年年有进步就行。”

@ 销量决定一切

“看啥Gartner的鸟象限啊，数字决定一切， 我就喜欢看 厂商的IDC销售数据排名 ，符合国情 。谁有最新国内的数据，分享一下呗”

@ 我是个技术控，喜欢 NSS Labs的报告

“我是个技术控，数字啊、趋势啊虽然没错， 但我觉得实测效果最具参考价值，所以呢，我最喜欢NSS Labs的报告，比如SVM图。 可惜他们好几年没出防火墙的了，不知道今年有没有，我觉的敢去NSSLabs测试的，都有两把刷子 ”

@ 看啥报告啊？我只看集采中标厂商

“ 报告都太虚了，都tm嘴炮 。

我就看大项目集采，运营商啊、电力啊、政府大行业啊，看集采结果，能中标的厂商，实力都不会太差。”

▼

@ 端口控标最有效

“前面有人说，端口最坑， 但端口控标好用啊，这是硬指标，有就是有，没有就是没有， 你总不能找钳工临时钻几个端口吧 ，所以，我都是1U机箱，24个千兆+4个万兆，比交换机还猛呢！”

@ 证书族表示不服，证书控标最无敌

“现在有的厂商投标，先中了再去找产品，反正工控机平台好找，简单适配一下啊，实在不行，定制几个端口也可以搞定，因为他们知道，那么多口其实都是摆设，实际用不到。

所以， 我控标就拿证书 ：销售许可证、保密证、3C证、军密证、EAL3证、节能环保证、IPv6证，证证要你命，再配合个系统集成一级、CMMI5级、ISO27001、TL9000，无敌！

你要质疑，我就做成加分项，厉害吧！”

@ 是骡子是马，拉出来溜溜

“我的招儿就是 测试 ，我是 外企 啊， 防火墙已经从原来的 「 合规 」 型产品变成 「 体验 」 型产品 ，我们讲究货真价实，现网测试、先尝后买，最后投标附测试报告。”

@ 信不信一棍子打死你

“楼上的一说测试我就笑了，信不信我一棍子打死你？

标书要求‘ 国产品牌 ’！

……

……

控标这件事

大家争论的更加不可开交

▼

@ 控标老司机

“我来总结下我厂最新的控标手段吧——

1、端口控，我也用过， 从1U到大箱子 ，各种规格我全有。

2、证书控，以上证书，照单全收，再补上一刀，来点儿国际化认证： ICSA Labs、CC、NSS Labs 如何？

3、 国产品牌 ？没毛病。

4、现网测试报告？还拼NAT和应用识别？有点Out了吧，现在 流行未知威胁监测 和 加密流量安全监测 ，这才是未来安全的趋势，这两项，我们国内NO.1。

5、我再来个杀手锏吧，投标品牌必须为 Gartner企业级防火墙魔力象限领导者或挑战者，划重点：我们可是唯一一个入围挑战者象限的的国产厂商哦 。

6、最后，要求防火墙与交换、路由、服务器、存储、云平台、手机、笔记本 统一品牌 ！ ”

这个控标力度咋样？

别问我是谁，我的名字叫华为

说完这句话，老司机在群里po了一张图

↓

……

…

一瞬间，群里安静了

大家都不想说话

……

…