应用视点：高性能安全交换机市场现状

安全交换机还是比较常用的，于是我研究了一下高性能安全交换机市场现状，在这里拿出来和大家分享一下，希望对大家有用。华为3Com高级产品经理赵晓轩认为，交换机的本质是交换而非安全，交换机的性能是高速交换，而安全只是其追加功能。性能与功能本身就是一个矛盾体，交换机的安全功能越多越强大，势必影响到其速度。

“当交换机的性能已经达到用户认为比较满意的速度时，大家才会逐步把智能与安全的基因融合做上去。” 赵晓轩说，因此，安全交换机是一个动态的概念，没有定义的标准，目前看来，是各厂商为了在竞争白热化的交换机市场保住市场份额的产物。

一方面，到2003年中国网络设备市场出现了重新洗牌现象，其市场竞争非常"惨烈"，利润已经摊薄，竞争已经到了白热化的地步，寻找新市场、发现新的利润源成为厂商新的经营目标。早在2001年下半年，中低端交换机市场出现了产能过剩的情况，当时仅珠江三角洲就活跃了300多家厂商，产品已经类似PC和家电 ，对于这些厂商来讲，他们没有技术和资金实力向高端挺进。到2003年，在大部分交换机厂商规模并未扩大的情况下，中低端交换机的价格出现大幅下跌，在中关村海龙大厦的某些柜台上，低端交换机赫然甚至标出200多元。

一些曾经发展迅猛的设备厂商突然销声匿迹，因为面目相似的所谓新产品，无法给市场以强有力的刺激，例如以“大猫”起家的全向科技，联想投资参股的记忆网络等；还有一些设备厂商或者“换牌”经营或变得非常低调，如LANTECH网络，TCL网络，清华比威 等。

随着信息化的推进，中国企业用户对于网络的需求已经从建网的假性需求上升到了和业务息息相关的真性应用，对实用性和可靠性的要求很高，即使是边缘层的产品，也要考虑数据不能中断。“安全可靠”成为网络产品的基本需求。

另一方面，随着互联网应用的推进，安全问题也越演越烈，出现三个趋势：计算机病毒与网络黑客结合，使得病毒渗入计算机，由内向外爆发，计算机即使装了防毒软件，也杀不掉所有的病毒；而广泛蔓延的病毒都是与操作系统平台紧密结合的，没有国界之分；随着软件和硬件的界限变得越来越模糊，在安全领域，黑客、病毒将会越来越转向硬件。

伴随着这些趋势，全球出现了一股网络基础设备和安全设备融合的潮流：如Juniper 以40亿美元收购NetScreen，以"安全、可靠和性能"的名义联手；思科则在5个月内，先后收购安全软件公司Psionic、Okena，一次性推出14个安全产品，提出"端到端安全解决方案"，将包括防火墙、IDS、防病毒、3A、网络管理、路由器二层三层等安全技术在内的一揽子方案给用户。华为3Com， 2003年7月推出i3SAFE安全构架；港湾，2003年推出"交换机＋IDS"方案；锐捷网络推出了联动式安全管理解决方案。

“跟风是网络设备企业的传统。” 网络集成商陈先生说，“既然主流厂商们高举安全的大旗，那大伙儿也会以‘安全’的名义搞搞市场，至于‘安全交换机’的说法是什么倒并不重要。”

攻打“安全”的阵地？

对于那些集成了防火墙、VPN等真正安全产品功能的交换机，在未来是否会吞噬安全产品的市场呢？华为3Com赵晓轩、锐捷网络的罗自灵、网络集成商陈先生认为不太可能。“具有防火墙功能的安全交换机要替代防火墙就是一件难事。” 罗自灵说，“因为不同的用户在构建网络的时候，考虑到安全的着眼点不同。”

陈先生则坦承，在中小企业网络搭建过程中，他们更趋向建议用户分开用，交换机是交换机，防火墙是防火墙，分开以后，更好布署，同时性能会更好；对一些大点的企业，则建议分步实施防火墙、安全交换机，然后再根据要求不断的往上加。

“通俗地说，就是让对价格不那么敏感且未来对安全需求比较高的的客户购买可以拓展安全功能的交换机，需要时可以升级。” 陈先生解释，以便日后可以布署后台的一个安全保障系统，跟网络里面的相关设备能够进行安全联动 。赵晓轩认为，从目前来看，具有防火墙和VPN功能的安全交换机不能取代防火墙。原因有两个方面：

其一，所放的位置不同，所起的安全左右也不一样。防火墙主要是放在网络接入层，来防止外来攻击；而带有防火墙功能的交换机则往往在网络的核心处，而不是在汇聚层和接入层面，其目的是通过核心的智能来提高安全性。

其二，在一个网络安全解决方案中，选择在交换机中插入安全模块，还是外置安全产品，取决于用户自身的选择。

从用户的售后服务的角度来讲，安全产品越买越多，管理起来非常不方便，如果能直接把安全产品直接融入在网络上的话 ，管理简单方便，安全交换机看上去很美。但事实上，如果一家企业能做出带有防火墙功能的核心交换机，他往往也能提供防火墙供用户选择。

在管理者为同一家厂商的情况下，用户考虑得更多的为性能价格比。他们希望在购买网络产品的同时获得一些免费的安全产品或安全功能。对于用户的这种需求，各厂商的主导的思路是不同的，华为3Com在低端产品上是增加端口的控制，策略比较简单；在65和 85等中高端交换机上，则从可扩容上去考虑，当用户需要交换机具备防火墙等功能时，再为其追加。