分享

半个系统软件工程师，是对自己的评价，因为清楚成为一个系统软件工程师要求的掌握的知识实在太多了：OS,处理器，编译器，协议栈，硬件等，希望自己能达到半个的水平:)。
开宗明义，我是H公司的，06年进入，一直从事平台软件的开发。但现在对于如何发展却存在很大的困惑，因此，期望得到各位前辈的指点。
在公司，有幸听到了陈首席的一次讲座，题目好像叫系统软件工程师的方法论，当时印象比较深的有三点：1，在通信公司做系统软件，做好能掌握总线技术。总线技术是我的薄弱点，属于两眼一抹黑，一直心有戚戚；2，cache是最容易忽略，又是最容易犯错的。之前公关xscale的cache问题就很有印象，听了此话后，又赶紧回去翻翻arm，ppc的手册，把cache的相关章节好好过一遍；3，系统软件工程师比较容易受委屈，很多问题虽然不是你的问题，也要你去定位分析。这点特别有感触啊。
略举例一二：
有个简单的功能模块提供了索引机制，供业务模块使用，业务模块不停的有释放申请呼叫控制块的操作，通过索引功能，可以快捷的申请到控制块。有个问题发现申请到索引非值常大，超过了正常范围，经分析，为索引的数据结构被踩了（虽然有内存分段隔离机制，但还是避免不了啊），业务模块踩内存的可能性比较大，排查了好久，也没有找到。当时部门领导就说了：找不到问题就是你的问题。我在旁边听了，那个郁闷啊（此问题非我分析，由同组的另外一个兄弟操刀），但想想，还能拍桌子不成。
有一个ftp下载的问题，有个兄弟分析了几天也没用进展，我协助分析下，很快就找到原因。直接主管说了一句话：感觉你定位问题好有天分啊。虽然是表扬，但心里郁闷啊，他哪里知道以前的我，为了定位一个丢包问题（测试抱怨呼叫一晚上，总是有十几次的呼损，分析原因就是MOT（MessageOverTCP）丢包
了，当时为了定位这个问题，窝在实验室抓包，分析码流，最后发现是接口板的微码做完五元组后重算校验和时，进位的那一行代码有BUG。后来其他的一些丢包断链问题，让我把红宝书翻了好几遍，TCP的
实现代码也仔细分析了一把。领导只是看到了结果好像很轻松，哪里知道后面付出了多少代价。
之前的系统是基于vxworks的，为了能快速分析出现的问题，还把vxworks的源码分析了一遍，重点代码研究了好几次（任务调度切换，中断异常，信号量，内存）后，打开源码，顺着目录一个个文件的阅读。后来看到了士兵突击里许三多说按字母顺序看图书，鼻子一酸。
这两年整linux+x86，又是一次艰巨的任务。
抱怨了这么多，感觉走系统软件工程师这条路，实在太辛苦了，学的东西多，发展又慢，还需要给别人擦屁股，现在不知道何去何从。看着做业务的，个个上升的很快，实在是羡慕嫉妒恨啊。之前分析
问题时，也浏览过部分业务软件，就是个大case啊，解析消息，回应答，心有不甘啊。
1，系统软件（偏向于OS方向）有多大的发展前途，感觉就只能在可靠性，可维护性，适配上下功夫。
2，去互联网公司（如百度，QQ，假设能去的话）整系统软件会比在H公司更有前途吗？
3，转行做APP呢？

新年来了，顺祝各位弯友龙马精神，家庭幸福。

分享

分享

美国股市迎来了新年的第一个月，在上两周涨势都相当不错，所谓的一月效应。经济数据表现加速上升的势头，新增就业数据开始提速，失业率也显示出下降的趋势。房地产市场仍然没有明显的反弹，但是也已经逐步筑底，建筑商信心指数和新开工房屋数量都显示出复苏的迹象。投资者开始恢复对美国经济的信心，虽然经济仍然存在诸多风险和不确定因素。
由于房地产市场的自身反弹速度不如理想，美联储正在酝酿新的房产市场刺激计划。QE3的预期正在升温，如果房地产市场回暖，将大大有利于刺激美国低端就业市场。眼下2012年正是美国的总统大选年，奥巴马要想取胜，必须有效地振兴经济，降低失业率，否则很难向美国民众交出一份满意的经济工作表现。经历了四年之后，奥巴马再不能把经济危机推到前任的身上，也不能仅仅用外交上的成绩来打动民众，此时的美国民众正在对经济长期难有起色失去耐心。动用一切可以动用的资源，绕开难说话的国会，和企业界达成共识，一起促进就业是奥巴马当前的首要任务。要做到这点，事实已经证明缺少了房地产市场的振兴，解决大量失业工人的就业问题是很困难的。美联储已经采取了从长期保持低利率到量化宽松的各种措施，但是迄今就业增长缓慢。相信伯南克已经认识到，只有再造房地产市场泡沫，抬高房价，才是拉动消费，解决就业的好办法。美联储可能会积极购买房贷相关证券，刺激房地产市场快速反弹。
经济上快速冲出缓慢增长的阶段，强烈刺激，可以打消各种负面冲击，例如欧债危机等等带来的影响。新年刚过，欧洲领导人就已经积极会面，开始新一轮拯救欧元的努力。希腊已经宣称如果新一轮的救援计划再不到位，希腊就只好宣布退出欧元区，债务违约。这会对欧元造成沉重的打击。实质上欧债危机是欧洲内部的一次政治危机，效率高的富裕国家和低效率穷国之间进行的讨价还价，欧洲统一化的进程。欧元崩溃是各方都很难接受的，最终欧元区会克服困难，建立更紧密协作的欧元区。
就最近市场来看，美国股市乐观情绪明显，投资者开始购进股票，哪怕风险仍然存在，前路仍然不明朗。预期市场仍然会持续上涨势头，在2012年有一个好的开头。

分享

分享

      如果要评选美国的“两报一刊”，大概《纽约时报》和《华盛顿邮报》分别相当于《人民日报》和《光明日报》，而《华尔街日报》大概相当于《求是》。本文选自《纽约时报》1月8日印刷版，网络版1月10日有更新，笔者节选编译。

      笔者无意为微软叫好，不过美国2011年Q4的智能手机操作系统统计，苹果和Android已经占了90%的市场，剩下的微软WM、Blackberry、WebOS、Symbian等等加起来也才10%。双寡头毕竟不如三分天下那么鼓励创新，反正竞争充分得利的是消费者（笔者是Android用户）。

http://www.nytimes.com/2012/01/08/technology/microsoft-defying-image-has-a-design-gem-in-windows-phone.html?pagewanted=2&_r=1&ref=technology

      首先看看这些热捧：

      Huffington Post说：“GORGEOUS。”

      Slate.com说“业界最漂亮的智能手机操作系统。”

      Techcrunch说：“比大多数Android智能手机领先，如果不说所有的Android机器。”

      这些追捧听起来像对苹果设备的一贯谄媚。不过这次这些评论都是针对一款微软产品的嘉许……

      微软？很久以来微软似乎就在这些苛刻的评论杂志和网站中与好话绝缘了。不过这次的确是微软的重磅炸弹，Windows Phone，在这些Geek和Nerd们中好评如潮。

      Windows和Office产品是无处不在，不过也屡屡被嘲笑“像订书机一样普通而没有创意”。与老对手苹果的iPhone和iPad等产品形成对比，微软过去几年失败的创意包括智能腕表，Zune播放器，Kin手机，等等。乔布斯总是说微软缺乏创意，产品没有文化。这次Windows Phone也许可以改变一些。Axel Roesler，华盛顿大学（西雅图）交互设计助理教授如是说：“我一直以来是果粉，我曾排队买iPhone。不过这次Windows Phone别具一格，真的打动了我。”

      Windows Phone在2010年秋季开始出现在产品中。视觉感觉上WP与众不同，屏幕上是马赛克排列的大型瓦片式视图，这与iPhone的格子排列图标形成对比。大多数手机都要求用户打开相应的应用程序来进入社交网络，但Windows Phone集成了Facebook和Twitter，瓦片视图随着朋友、家人贴图和发文而激活并更新。

      叫好不等于叫座，目前Windows Phone的用户和销量都很少。一个原因是最初HTC和三星等制造的运行微软系统的手机都过于平淡；更重要的是，无线运营商还没有大规模开始销售Windows Phone，而是在iPhone和Android上下注（笔者注：在美国市场，大部分手机是通过运营商合同方式销售的。另外消息，2012年拉斯维加斯CES第一天，微软CEO鲍尔默宣布AT&T会成为美国首家销售LTE Windows Phone的运营商）。

      微软与诺基亚的联姻（或者说无间道，详情请看笔者文章，系列目录《手机，智能手机》）是双方下的赌注。同样是在2012年CES的第一天，诺基亚发布了Lumia 900，运行Windows Phone，由AT&T在美国销售。诺基亚这次是全心全意嫁给Windows Phone，旗下没有开发Android手机的计划。

      外部市场反映还待定，但是Windows Phone开发组已经在内部深刻影响了微软产品线。下一代Windows 8的用户界面就类似Windows Phone的风格，更适合平板电脑；Xbox的软件升级也包含了Windows Phone风格的调整——Xbox和kinect是微软少有的消费领域精彩之作，与苹果和Google在争夺客厅的战争中丝毫不落下风。笔者是kinect的粉丝。

      激发Windows Phone的产品，令人讽刺的是，还是苹果在2007年发布的iPhone。微软在智能手机上工作早得多，Windows CE，Windows Mobile都是过于累赘的死在沙滩上的前辈。片面追求与Windows桌面兼容的界面（开始键，复杂的列式菜单），老土的手机款型，键盘，甚至触摸笔，这些在iPhone面前难免大败。iPhone出场惊世骇俗，微软意识到不革命无法生存。2008年12月，Terry Myerson，刚上任的Mobile Group工程副总裁，当时36岁，召开了管理层会议。7小时的会议最后的结论是，当时的Windows Mobile系统没有什么值得保留的地方。Terry承认，“我们到谷底了”。

      接受现实的好处是，可以从头开始，新队伍，新设计，新途径。代价也是惨重的：推迟一代Windows手机，让Google争取了不少微软手持设备的供应商加入Android阵营。微软自己形容这是一次“断臂求生”。重组的Mobile队伍的第一个重量级加盟人物是Belfiore，1990年大学毕业就加入微软的元老，一直参与Windows和IE的设计。Belfiore善于简化技术，经常在非办公室的环境研究微软的技术如何能更简单易用。Belfiore也设计了Zune——那个产品失败了，但是其屏幕设计得到过业界好评，只是败在时机太晚，iPod已经一统天下。

      Windows Phone的原型机设计灵感来自许多机场和交通枢纽的标志，并借鉴了Zune的typography和流畅屏幕切换。这些思路最终体现在了Metro软件设计语言中。另外一个问题是，微软不是苹果，没有硬件设计和生产部门。为了不让硬件影响软件体验，很快微软就开始给自己的设备制造商制定硬件规范，从处理器到耗能到屏幕技术。过程是艰难的，但是结果是软件运行更流畅，微软开始监管端到端的用户体验，而不是简单的软件发布。

      据传公司高管们对第一版Windows Phone反映并不热烈。鲍尔默的具体意见是，不喜欢首页的大字体只能把“Wednesday”显示成缩写的“Wed.”。几次改动，分析师们的评价是“微软至少是艰难的逼迫自己接受现实，改变自1992年以来的设计”。

      直到2011年夏天，鲍尔默还告诉微软投资者们他对Windows Phone的销售不满意。2011年12月，Myerson被任命为Mobile Group总裁，开始负责Windows Phone的广告策略和运营商关系。2011年第四季度，软件也再次更新。

      2012年是关键的一年。微软三年前断臂求生，现在要检查当时断臂之举是否正确。在移动业务上，市场仅仅叫好不够，微软需要叫座，而且要重量级的叫座。Myerson认为进入市场太晚带来了许多挑战，也许早进会不一样。笔者倒认为，微软一直不是原创高手，而是优化高手，晚进比早进更容易成功。无论如何，移动系统软件市场要有竞争才能带来创新，三分天下比目前的双寡头对消费者更有利。此外，Windows Phone火，则诺基亚活，笔者也希望这个一直勤勤恳恳做“可靠”手机的厂商能走出困境。

分享

分享

目前，针对这三个层面而开发出的信息安全产品主要包括杀毒软件、防火墙、安全管理、认证授权、加密等。其中以杀毒软件和防火墙应用最为广泛。
　　（1）防火墙
　　防火墙在某种意义上可以说是一种访问控制产品。它在内部网络与不安全的外部网络之间设置障碍，阻止外界对内部资源的非法访问，防止内部对外部的不安全访问。主要技术有：包过滤技术、应用网关技术、代理服务技术。防火墙能够较为有效地防止黑客利用不安全的服务对内部网络的攻击，并且能够实现数据流的监控、过滤、记录和报告功能，较好地隔断内部网络与外部网络的连接。但其本身可能存在安全问题，也可能会是一个潜在的瓶颈。
　　（2）虚拟专有网（VPN）
　　虚拟专有网VPN是在公共数据网络上，通过采用数据加密技术和访问控制技术，实现两个或多个可信内部网之间的互联。VPN 的构筑通常都要求采用具有加密功能的路由器或防火墙，以实现数据在公共信道上的可信传递。
　　（3）安全服务器
　　安全服务器主要针对一个局域网内部信息存储、传输的安全保密问题，其实现功能包括对局域网资源的管理和控制，对局域网内用户的管理，以及局域网中所有安全相关事件的审计和跟踪。
　　（4）电子签证机构-CA
　　电子签证机构（CA）作为通信的第三方，为各种服务提供可信任的认证服务。 CA可向用户发行电子签证证书，为用户提供成员身份验证和密钥管理等功能。
　　（5）用户认证产品
　　由于IC卡技术的日益成熟和完善，IC卡被更为广泛地用于用户认证产品中，用来存储用户的个人私钥，并与其他技术如动态口令相结合，对用户身份进行有效地识别。同时，还可利用IC卡上的个人私钥与数字签名技术结合，实现数字签名机制。随着模式识别技术的发展，诸如指纹、视网膜、脸部特征等高级的身份识别技术也将投入应用，并与数字签名等现有技术结合，必将使得对于用户身份的认证和识别更趋完善。
　　（6）安全管理中心
　　由于网上的安全产品较多，且分布在不同的位置，这就需要建立一套集中管理的机制和设备，即安全管理中心。它用来给各网络安全设备分发密钥，监控网络安全设备的运行状态，负责收集网络安全设备的审计信息等。
　　（7）安全操作系统
　　给系统中的关键服务器提供安全运行平台，构成安全WWW服务，安全FTP服务，安全SMTP服务等，并作为各类网络安全产品的坚实底座，确保这些安全产品的自身安全。
　　二、我国信息安全产品市场现状
　　随着因特网在我国的迅速发展以及以电子商务为代表的因特网应用的开展，网络安全正日益引起人们的重视，成为人们关注的焦点。确实，网络在给人们提供便利、带来效益的同时，也使我们面临着信息安全方面的巨大挑战。一方面，网络信息的安全是关系到国家的主权和安全的大问题，另一方面，网络信息安全已经成为国民经济健康发展的基本条件。因此，信息安全产品在信息化建设中的地位正日益提高，它已经不再只是国家机关和国防部门才需要的产品，其市场需求正迅速扩大。
　　1999年我国安全软件的销售额为4.55亿元，较1998年的3.40亿元增长33.8％。近两年我国安全软件的市场增长率均在30％以上，明显高于整个软件市场的增长速度。而且从市场细分看，由于涉及到国家安全而得到政府的保护，信息安全软件将是国内软件厂商能够占据优势的三个领域之一（另外两个是财务管理软件和中文信息处理软件）。
　　与发达国家相比，我国用于信息安全方面的投资还很低，一般不足企业信息系统建设总成本的2％，而国外企业用于安全系统的投资占整个网络建设投资的15 ％～20％。在美国，1999年一年网络安全产品销售额达20亿美元。
　　随着我国电脑的应用逐步普及和互联网的高速发展，尤其在将来的电子商务实施的过程中，将对网络安全、信息保密的越来越高。信息安全产品市场将是一个未来成长迅速、需求旺盛的软件细分市场。
　　1、杀毒软件市场
　　目前杀毒软件的大部分市场份额掌握占国内软件厂商手中，特别是单机上的杀毒软件已经进入寡头竞争阶段，市场份额较为集中。目前主要的厂商和反病毒软件有北京江民新技术有限公司的KV300、北京瑞星电脑科技公司的瑞星、冠群金辰软件有限公司的KILL和南京信源公司的VRV。单机杀病毒软件的市场价格也下降到200 ～400元之间。
　　今年上半年单机版杀毒市场竞争更加激烈，降价之声此起彼伏。不断有新的竞争者进入中国杀毒市场。国内有金山推出了金山毒霸，欧洲销量第一的熊猫卫士也登陆中国市场，包括此前的三家美国公司赛门铁克公司（Norton）、网络联盟公司（Macfee）、趋势科技（Pc－cillin），全球最大的四家杀病毒软件公司均已登陆中国。我国杀毒市场上更为激烈的竞争刚刚展开，国际国内的杀毒精英将大战一场，国内几大厂商垄断市场的局面可能被打破。
　　随着互联网的推广和单机版杀毒软件的低价扩张， 越来越多的病毒开始通过 Internet传播。据国际计算机安全协会的调查，现在新增 60 ％以上的病毒是通过 Internet传播，可以说Internet的防毒能力成为杀病毒软件关键技术。国际的杀毒软件如：熊猫卫士、 Norton 、 Macfee 走到了前面， 它们均可以支持所有的 Internet协议，辨识出其中病毒，而国内的杀毒厂商则相对滞后，还正处在从杀病毒软件的单机应用逐步过渡到企业级的防护。今后网络杀毒软件的竞争将更多体现在技术及服务层面，而企业防病毒软件的市场无疑将越来越大。在我国的网络防病毒软件市场上，主要厂商是NAI、冠群金辰和Symantec，国内厂商中北信源在其中占据了一席之地。
　　目前进入杀毒市场的上市公司不多，仅河南豫能一家，它在1999年9 月增资重组了河南经纬软件有限公司，成立了由河南豫能控股70％的河南豫能信息技术有限公司。河南省经纬软件有限公司推出过一款杀毒软件，即AV95电脑安全卫士。但是该产品市场占有率不高，而且增资重组后公司转向管理信息系统（MIS）的开发，杀毒软件没有成为其发展重点。
　　2、网络安全市场
　　目前网络安全技术和产品有软件防火墙、VPN（Virtual Private Networks）、信息加密、访问控制、身份认证、日志审核、安全评估、入侵探测、存储安全等。防火墙产品在网络信息安全软件中应用最为广泛。防火墙主要分为两大类：包过滤型防火墙和代理型防火墙。现在也有一些采用动态包过滤技术、自适应技术。
　　从网络安全技术上看，国外的大型网络安全软件厂商处于领先地位。由于国外大型网络安全厂商大多成立于90年代初，一方面得益于Interet爆炸性增长，另一方面用户对安全的迫切需求和日益重视也是促使网络安全软件快速发展的原因。目前国外的大部分着名网络安全软件厂商进入了中国，在我国的高端网络安全软件市场拥有相当的优势。当今国内网络安全市场上60%以上的产品是国外的品牌，据不完全统计，1999年国内的“防火墙”产品只有10多种，真正上市的防火墙也只有三四家而已，到今年防火墙产品增加数目并不多，而且尚没有一家企业能够在这一领域形成自己的优势。
　　对国内的网络安全软件厂商来讲，虽然起步较晚，但是对先进的安全技术的研究和掌握的进程较快，而且本地化优势和国家对安全产品的特殊政策，将会使得国内厂商在高端市场逐步成熟，最终将会占据市场主动地位。
　　密码类产品市场为国家保护的市场，研制、生产和销售密码产品的单位必须是国家密码管理委员会、中央密码工作领导小组指定的单位，现允许生产和销售核密和普密产品的单位仅有信息产业部数据所、信息产业部30所和总参五十六所等有限的几家。商密产品相对管理比较宽松，市场竞争也尤为激烈。
　　3、我国从事信息安全产品生产的企业及其产品
　　由于信息安全已成为事关国家安危的一个重大战略问题，建立具有自主知识产权的、安全的信息产业是大势所趋。目前国家相关部门都非常重视信息安全产品的研制和开发。2000年7月20日，我国第一个国家高技术研究发展计划信息安全产业化基地在成都高新技术产业开发区奠基。成都信息安全基地是由成都高新技术产业开发区、信息产业部电子第三十研究所、成都卫士通信息产业股份有限公司倡议组建的。这个信息安全基地将按照政府搭台、企业唱戏、市场导向的原则逐步建立。其定位是为国内提供通用基础信息安全产品，重点建立完整的“通用基础信息安全产品”的产业化体系。力争在3至5年内，在中国西部形成信息安全的产业群，培育出一批在国内、国际均有一定实力的信息安全企业，创造10亿元以上的收入，成为国家信息安全产业的重要支撑。
　　另外，上海也将建立信息安全产品的研发基地，同时国家将在北京设立国家信息安全工程技术研究中心。我国的信息产品产业化已经有了一个良好的开端。
　　国内有二百多家信息安全产品生产企业，但有实力、有规模的企业也只有信息产业部数据所、东大阿尔派等十五家左右。根据《中华人民共和国计算机信息系统安全保护条例》，依据公安部《计算机信息系统安全专用产品检测和销售许可证管理办法》规定程序，我国信息安全产品实行销售许可证制度，由公安部计算机管理监察部门负责销售许可证的审批颁发工作和安全专用产品安全功能检测机构的审批工作。1999年获得公安部批准颁发的网络安全产品销售许可证的企业名单如下：
　　三、涉足信息安全的上市公司分析
　　目前我国股市上参与信息安全产品开发的上市公司已经有十多家，但是目前并没有一家以信息安全产品为主营业务。根据这些公司业务不同可以简单地划分为防火墙生产、加密产品生产和国外安全产品代理销售等三大类型。
　　（1）防火墙生产
　　从事防火墙研制开发的上市公司有清华紫光、清华同方、东大阿派、华源发展、海信电器和实达电脑等。
　　①清华紫光
　　清华紫光在1999年底就推出了以“网络防火墙”和“网络加密技术”为龙头的包括防火墙、交换机、集线器在内的全线网络产品。2000年3月，公司出资 6000 万元成立了控股公司清华紫光顺风信息安全有限公司，清华紫光拥有65％的股权。其后，又投资6000万元人民币与清华大学合作成立了清华紫光比威（BITWAY）网络技术公司，公司占有60％的股份。
　　清华紫光顺风信息安全公司主要以“UNISMMW”密码王系列安全/防范方面的产品为主攻方向，如各种网络协议加密机、应用系统安全平台，为现有各类通信网及通信业务提供从物理层到高层及端到端的安全设备和系统。“UNISMMW ”密码王系列产品已通过了国家密码管理委员会等相关部门的审查和批准，并在全国150多个城市使用。比威网络公司将主推以具有自主知识产权和自有技术的高端多协议安全路由器为龙头的全线网络产品，为网络应用总体解决方案的实施提供更高层次的技术和产品支持。目前，国内厂商主要生产低端路由器，对高端产品尚无能力生产，迄今为止，全球只有包括美国CISCO在内的少数几个国外大公司在该领域拥有完整的技术和成熟产品。
　　从9月份开始，清华紫光将陆续推出高档企业级信息安全产品，包括UF5000 企业级防火墙产品，网络动态扫描及攻击检测产品，公司自己的安全网站，社会各界提供安全漏洞检测防范措施、在线专家等方面的技术支持服务。清华紫光的防火墙和加密技术已经融入到公司的各类网络产品中，是上市公司中信息安全技术比较综合、完整的。
　　②清华同方
　　1997年同方与得实发展（集团）共同投资组建了中外合资企业——北京清华得实网络安全技术开发公司，该公司专业从事网络系统安全的产品开发和系统设计。注册资本60万美元，清华同方持有51％的股份。
　　1999年，清华同方推出了各种安全网络解决方案并自主开发了WebST、NetST网络安全系统软件，其核心操作系统达到B1级，是国内同类产品中唯一获得该安全等级的产品。其中Netst计费型防火墙V1.0、WebSTforAD3.1等三项产品获得了公安部颁发的《信息系统安全专用产品销售许可证》。另外，公司还获得世界最大的防火墙厂商CheckPoint、防黑客公司ISS和PC安全操作系统公司 SCO 的中国总代理权。 1999年清华同方在网络安全方面实现收益589万元。
　　③东大阿派
　　东大阿派的网络防火墙产品Neteye1.0于1999年5月通过公安部认证，并在政府、电信、电力、证券等部门得到了广泛的应用，拥有了辽宁联通、辽宁电信、浙江省电力局、辽宁省公安厅、华夏银行等一大批成功的案例。
　　2000年3月，东大阿派推出了Neteye1.0的升级版本Neteye2.0，通过了公安部计算机信息系统安全产品上海质量监督检测中心测试，并获得公安部下发的销售许可证。该产品是东大阿尔派跟踪国内外最新防火墙技术，针对我国具体应用环境开发出的网络防火墙产品。不仅具有较强的信息分析、全面访问控制、实时监控、安全审计、高效包过滤等功能，而且具有多种反电子欺骗手段、透明应用代理，双机热备等多种安全措施，非常适合我国政府和企事业单位使用。
　　东大阿派从未披露过其防火墙的销售额，我们估计累计销售额应在一千万元以下。
　　④华源发展
　　2000年1月，公司以增资方式投资612万元控股上海华依科技发展有限公司，从而介入了网络安全产品领域。
　　上海华依科技公司是一家由三位自然人出资创办的专业从事网络安全技术开发和服务的民营科技公司。华源发展进入华依科技之后，将依托德国BIODATA 公司强大的技术支持，开发生产“防火墙”、链路加密、VPN等网络安全系列产品，项目投资总额为5000万元。其中防火墙产品已经获得国家公安部颁发的许可证，加密部分均采用国家公安部、中国密码委员会批准认可的专用核心模块。这三类产品几乎覆盖了从局域网到广域网、虚拟网的各种计算机网络所需的安全要求。华依科技还在上海信息城建立了唯一的专业网络安全实验室——华依BIODATA 网络安全实验室，成为上海信息产业七大实验室之一。
　　公司2000年中报未对华依科技公司的经营情况进行任何描述，可以推测目前公司的销售规模不是很大。
　　⑤海信电器
　　上半年海信电器自行设计、自主开发成功FW3010AG（8341）防火墙，并于2000年 4月顺利地通过公安部计算机信息系统安全产品质量监督检验中心的安全测试，获得“安全专用产品销售许可证”。海信防火墙是一种应用代理型防火墙，它综合了包过滤和应用代理系统的特点。它利用源代码公开的Linux 操作系统和各种最新的技术方法，弥补了前代防火墙的种种缺陷和隐患。海信计划在2000年内，“8341防火墙”要成为国内网络安全市场的知名品牌，到 2003年争取占有国内市场份额的30 ％以上。海信防火墙产品价格只有国外产品的三分之一左右，具有明显竞争优势。
　　另外，海信电器将运用配股资金5320万元用于Internet网络安全设备（防火墙） 生产改造。公司将在吸收国际先进防火墙产品的基础上， 自主开发设计的基于 Linux和Internet基础的防火墙，并形成批量生产能力。
　　⑥实达电脑
　　实达电脑从事防火墙生产的是其控股的北京实达朗新信息科技有限公司。该公司的产品是朗新NetShine防火墙Ver1.0。此产品仅仅是实达电脑长长的产品线中的一小部分，对实达电脑的影响不大。
　　（2）加密产品生产
　　从事加密产品生产的有远东股份、上海港机、青鸟天桥、天宸股份等。
　　①远东股份
　　2000年3月，公司与中国科学院所属信息安全国家重点实验室（又名中国科学院数据通信安全中心）共同组建北京远东网络安全研究院，并在常州设立网络安全产品软硬件生产基地，主要产品为信息安全国家重点实验室开发的网络反击黑客软件系统等系列信息安全产品。公司将用配股资金 3747.69万元投入，持有研究院80 ％的股份，项目建设期为2年。信息安全国家重点实验室是目前我国从事信息安全的唯一国家级实验室，代表了我国信息和网络安全技术的最高水平，将能为公司提供高水平的安全技术。该研究院已经推出具有自主知识产权的“RealAlert 网络入侵检测系统”、“CA证书系统”、“加密卡”、“安全虚拟子网系统软件包VPN ”等网络安全产品。但是这些产品还处于市场调研论证、开发等前期阶段，未能大批量生产。
　　为了更好将网络安全技术产业化，公司还拟投资6347.53 万元在常州高新技术产业开发区增设网络安全系统产品的生产销售基地，使之与北京远东网络安全研究院配套，形成网络信息安全产品的研制开发、生产销售系列。
　　远东股份还积极展开与网络安全领域国际着名企业的战略合作， 包括在亚洲独家代理Axent公司网络安全产品，该公司防入侵网络安全产品在全球市场的占有率排名第一；代理Network Associant防病毒类网络安全产品，该公司在这一领域的产品全球市场占有率均在60%以上；与全球最大的网络安全产品供应商Cheak Point 初步达成合作意向。
　　就目前形势看，网络安全系统产品已经成为了公司在高科技领域投资的的主导产品，而且技术和资金优势明显，有实力占据我国信息安全产品领域的领头地位。
　　②上海港机
　　2000年8月公司投资1000万元参股上海金诺网络安全技术发展有限公司，占其注册资本4986万元的20.06％。金诺公司主要从事网络信息安全产品的开发、生产、销售和提供专业信息安全服务，被选为国家863 计划信息安全领域专项课题研究承担单位，同时被列入上海市信息产业重点企业，并已获得中国国家信息安全测评认证中心的认证和公安部公共信息网络安全监察局颁发的信息安全产品生产、销售许可证。
　　该公司主要产品有金诺入侵检测系统、金诺证券安全审计系统、金诺企业安全审计系统、金诺网络安全计费系统、金诺SSL等，并为一些大型网络提供了安全全套解决方案和专业安全服务。金诺公司已和爱建证券、兴业证券、鞍山证券、江苏维维股份公司等单位签定了网络安全改造工程和企业VPN 专网总体设计及建设总包合同。
　　此外，金诺公司和上海华东理工大学合作建立了金诺网络安全研究中心，并和国内信息安全领域最大的研究机构信息产业第30研究所、公安部第三研究所及总参第56研究所签定了战略同盟协议，还与全球最大的网络安全产品供应商NAL 签定了汉化代理协议。
　　由于公司公布该投资计划时其股价已经上涨了3倍，因此该信息近期可能是公司配合庄家出货的所公布的利好。从长期看，金诺公司发展情景可看好，特别是近期科技部和公安部、国家安全部在全国设立了两个信息化安全产品基地，一个就是上海。金诺公司在上海基地中主力军，将投资参与上海基地的建设开发。对上海港机而言，如果仅仅做为一个投资，近几年金诺对公司的利润贡献不会太大。
　　③青鸟天桥
　　1999年9月，青鸟天桥投资1110 万元成立了北京北大青鸟顺风网络安全有限公司，青鸟天桥拥有64.9％的股份。该公司主要从事信息安全产品、商品密码产品、安全防范产品等的研制、生产、工程实施和销售。2000年8月，公司参股7.98 ％的青鸟环宇公司与全球着名的网络安全厂商NAI公司签署了合作协议，结成战略合作伙伴关系，共同为中国用户提供全面的网络安全解决方案。
　　青鸟天桥仅仅在1999年年报中披露过其JB-COMM 安全信息平台获得国家级火炬计划项目证书，并形成了批量销售。但是总体上讲，其信息安全产品主要有其子公司青鸟环宇研制开发，不是青鸟天桥本身的发展重点。
　　④天宸股份
　　1999年5月，天宸股份与深圳市海基业高科技实业有限公司、 上海信业投资管理有限公司联合发起成立了上海海基业高科技有限公司。公司注册资金为人民币 1000万元，总投资额将达到6000万元（分批实施2000年6月30日前到位）。天宸股份拥有该公司60％的股份。
　　该公司发起人之一的深圳市海基业高科技有限公司是由我国着名密码学家、中国密码学会副理事长、国家信息安全委员会主任委员肖国镇教授出任公司总工程师，在其主持下研究开发了具有自主知识版权的信息加密算法及网络支付密码系统，已通过了国家密码委员会主持的鉴定。该网络支付密码系统已在银行系统的多次招标中中标，使公司在信息安全方面居于国内领先地位。海基业公司已被中国银行总行和农业银行总行选定为支付密码系统定点供应商。
　　2000年6月，由于天宸控股但无法实现对“海基业”的有效管理，而且该公司已累计亏损1624347元，天宸股份决定撤回对海基业公司投资，公司投资损失97 万元。
　　（3）国外安全产品代理
　　精密股份
　　1999年7月，公司投资1920 万元人民币认购北京恒德方科技发展有限公司的全部增资，占增资后的恒德方总资本的49％。恒德方成立于1999年6月1日， 注册资本 2000万元人民币。该公司是美国互联网安全系统有限公司（简称ISS）在香港的独资公司？？美国互联网安全系统（香港）有限公司在国内独资经营的实体，与ISS中国总经销共同开展业务，目前主要经营美国ISS网络安全系列产品，已取得国家公安部销售许可证。2000年3月，由于恒德方2000年业务计划对资金的需要，公司对恒德方追加投资至3328万元，持股比例不变，此项投资已经如期完成。据公司2000年中报披露，北京恒德方科技发展有限公司上半年实现销售收入 1705.39万元， 与其成立初期的利润预测相差甚远。
　　恒德方目前已经取得了在中国开发和应用美国互联网安全系统有限公司（ ISS）网络技术的权利，拟决定出资2000万元人民币，与信息产业部十五所为核心的太极计算机集团公司建立合资企业，主要是对ISS产品进行汉化，增加接口应用、制做密钥等。恒德方的发展目标是成为网络安全领域的龙头企业，实现国内平均70 ％以上市场占有率，形成将来中国信息化的安全领域的行业标准。但是我们认为这个目标比较难以达到。因为信息安全涉及到国家安全、军事等各方面，使用国外控制的信息安全产品本身就是最大的不安全，因此做为外资控股的恒德方其发展显然受到限制。这个从我国设立两个信息化安全产品基地的动作也可得到验证。因此，恒德方对精密股份的未来影响不显着。
　　研究结论：
　　1、我国上市公司中参与信息安全产品开发均是在近两年才开始投资， 而且相当多通过跨行业兼并收购来进入此领域的。
　　2、总体看上市公司中对信息安全产品开发投资额不大，而且也未为上市公司带来利润，也未能构成任何一家上市公司的利润支撑。可以看出信息安全产品市场还处在一个培育期。
　　3、从投资规模和信息安全在公司业务中的比重看，我们认为清华紫光和远东股份在信息安全行业最具发展潜力。清华紫光是将网络安全产品做为其网络战略重要组成部分，而且具备技术优势。远东股份将信息安全产品做为其主业转型的唯一发展方向，同中国科学院所属信息安全国家重点实验室联姻弥补了公司的技术开发能力的缺陷，公司已经具备将信息安全产业做大的基础。
　　四、我国信息安全产品市场的未来发展趋势
　　1、随着用户安全意识和需求的提升，将极大促进安全软件的发展，可以说网络安全将成为伴随网络经济发展而产生的一个全新的产业。我国在2000年1月25 日正式颁布了《计算机信息系统国际联网保密管理规定》，将信息安全问题提升到了立法高度。因此，信息安全产品市场将是我国软件业未来高速发展的一个细分市场。
　　2、预测今后安全软件市场仍将以超过软件整体平均水平的速度增长， 市场规模在2000年将超过6亿元。
　　3、对杀毒软件市场而言，今年国内安全软件市场上单机版的杀毒软件仍将是主流，但是网络安全软件代表了市场的未来趋势，增长速度将很快，市场份额将逐步提高，最终将超越单纯的杀毒软件。
　　4、金融和电信市场将是最大的两个安全软件市场，它们也是目前计算机网络技术应用最多的领域。2000年是银行系统的“安全年”，银行系统将在今后5 年内投资120亿元用于全国的安全系统建设；而电信行业随着电信调整的结束，今年将在IT上投资加大，对安全产品的需求也会增加。
　　5、由于安全产品涉及国家信息安全，这种安全要求的特殊性决定了国内软件企业在信息安全领域特别是在政府、军事等特殊关键部门具备独特的竞争优势。国家最近组建成了都和上海两个信息产业化基地，将给我国从事信息安全产业及从事信息安全产品开发生产的企业带来极大地发展机遇。因此从现在起应该提高对我国信息安全产业发展的关注力度。

原帖地址：http://blog.sina.com.cn/s/blog_5134fed001011aib.html

分享

分享

千古兴亡多少事，一江春水向东流

小时候，妈妈给我们讲希腊大力神的故事，我们崇拜得不得了。少年不知事的时期我们崇拜上李元霸、宇文成都这种盖世英雄，传播着张飞“杀”(争斗)岳飞的荒诞故事。在青春萌动的时期，突然敏感到李清照的千古情人是力拔山兮的项羽。至此“生当作人杰，死亦为鬼雄”又成了我们的人生警句。当然这种个人英雄主义，也不是没有意义，它迫使我们在学习上争斗，成就了较好的成绩。
当我走向社会，多少年后才知道，我碰到头破血流的，就是这种不知事的人生哲学。我大学没入了团，当兵多年没入了党，处处都处在人生逆境，个人很孤立，当我明白团结就是力量这句话的政治内涵时，已过了不惑之年。想起蹉跎了的岁月，才觉得，怎么会这么幼稚可笑，一点都不明白开放、妥协、灰度呢?
我是在生活所迫，人生路窄的时候，创立华为的。那时我已领悟到个人才是历史长河中最渺小的，这个人生真谛。我看过云南的盘山道，那么艰险，一百多年前是怎么确定路线，怎么修筑的，为筑路人的智慧与辛苦佩服;我看过薄薄的丝绸衣服，以及为上面栩栩如生的花纹是怎么织出来的，而折服，织女们怎么这么巧夺天工?天啊!不仅万里长城、河边的纤夫、奔驰的高铁……我深刻地体会到，组织的力量、众人的力量，才是力大无穷的。人感知自己的渺小，行为才开始伟大。在创立华为时，我已过了不惑之年。不惑是什么意思，是几千年的封建社会，环境变动缓慢，等待人的心理成熟的一个尺度。而我进入不惑之年时，人类已进入电脑时代，世界开始疯起来了，等不得我的不惑了。我突然发觉自己本来是优秀的中国青年，所谓的专家，竟然越来越无知。不是不惑，而是要重新起步新的学习，时代已经没时间与机会，让我不惑了，前程充满了不确定性。我刚来深圳还准备从事技术工作，或者搞点科研的，如果我选择这条路，早已被时代抛在垃圾堆里了。我后来明白，一个人不管如何努力，永远也赶不上时代的步伐，更何况知识爆炸的时代。只有组织起数十人、数百人、数千人一同奋斗，你站在这上面，才摸得到时代的脚。我转而去创建华为时，不再是自己去做专家，而是做组织者。在时代前面，我越来越不懂技术、越来越不懂财务、半懂不懂管理，如果不能民主的善待团体，充分发挥各路英雄的作用，我将一事无成。从事组织建设成了我后来的追求，如何组织起千军万马，这对我来说是天大的难题。我创建了华为公司，当时在中国叫个体户，这么一个弱小的个体户，想组织起千军万马，是有些狂妄，不合时宜，是有些想吃天鹅肉的梦幻。我创建公司时设计了员工持股制度，通过利益分享，团结起员工，那时我还不懂期权制度，更不知道西方在这方面很发达，有多种形式的激励机制。仅凭自己过去的人生挫折，感悟到与员工分担责任，分享利益。创立之初我与我父亲相商过这种做法，结果得到他的大力支持，他在卅年代学过经济学。这种无意中插的花，竟然今天开放到如此鲜艳，成就华为的大事业。
在华为成立之初，我是听任各地“游击队长”们自由发挥的。其实，我也领导不了他们。前十年几乎没有开过办公会类似的会议，总是飞到各地去，听取他们的汇报，他们说怎么办就怎么办，理解他们，支持他们;听听研发人员的发散思维，乱成一团的所谓研发，当时简直不可能有清晰的方向，像玻璃窗上的苍蝇，乱碰乱撞，听客户一点点改进的要求，就奋力去找机会……。更谈不上如何去管财务的了，我根本就不懂财务，这与我后来没有处理好与财务的关系，他们被提拔少，责任在我。也许是我无能、傻、才如此放权，使各路诸侯的聪明才智大发挥，成就了华为。我那时被称作甩手掌柜，不是我甩手，而是我真不知道如何管。今天的接班人们，个个都是人中精英，他们还会不会像我那么愚钝，继续放权，发挥全体的积极性，继往开来，承前启后呢?他们担任的事业更大，责任更重，会不会被事务压昏了，没时间听下面唠叨了呢……。相信华为的惯性，相信接班人们的智慧。
到97年后，公司内部的思想混乱，主义林立，各路诸侯都显示出他们的实力，公司往何处去，不得要领。我请人民大学的教授们，一起讨论一个“基本法”，用于集合一下大家发散的思维，几上几下的讨论，不知不觉中“春秋战国”就无声无息了，人大的教授厉害，怎么就统一了大家的认识了呢?从此，开始形成了所谓的华为企业文化，说这个文化有多好，多厉害，不是我创造的，而是全体员工悟出来的。我那时最多是从一个甩手掌柜，变成了一个文化教员。业界老说我神秘、伟大，其实我知道自己，名实不符。我不是为了抬高自己，而隐起来，而是因害怕而低调的。真正聪明的是十三万员工，以及客户的宽容与牵引，我只不过用利益分享的方式，将他们的才智粘合起来。
公司在意志适当集中以后，就必须产生必要的制度来支撑这个文化，这时，我这个假掌柜就躲不了了，从上世纪末，到本世纪初，大约在2003年前的几年时间，我累坏了，身体就是那时累垮的。身体有多项疾病，动过两次癌症手术，但我乐观……。那时，要出来多少文件才能指导，约束公司的运行，那时公司已有几万员工，而且每天还在不断大量地涌入。你可以想象混乱到什么样子。我理解了，社会上那些承受不了的高管，为什么选择自杀。问题集中到你这一点，你不拿主意就无法运行，把你聚焦在太阳下烤，你才知道CEO不好当。每天十多个小时以上的工作，仍然是一头雾水，衣服皱巴巴的，内外矛盾交集。我人生中并没有合适的管理经历，从学校，到军队，都没有做过有行政权力的“官”，不可能有产生出有效文件的素质，左了改，右了又改过来，反复烙饼，把多少优秀人才烙糊了，烙跑了……。这段时间的摸着石头过河，险些被水淹死。
2002年，公司差点崩溃了。IT泡沫的破灭，公司内外矛盾的交集，我却无能为力控制这个公司，有半年时间都是噩梦，梦醒时常常哭。真的，不是公司的骨干们，在茫茫黑暗中，点燃自己的心，来照亮前进的路程，现在公司早已没有了。这段时间孙董事长团结员工，增强信心，功不可没。
大约2004年，美国顾问公司帮助我们设计公司组织结构时，认为我们还没有中枢机构，不可思议。而且高层只是空任命，也不运作，提出来要建立EMT(Executive Management Team)，我不愿做EMT的主席，就开始了轮值主席制度，由八位领导轮流执政，每人半年，经过两个循环，演变到今年的轮值CEO制度。也许是这种无意中的轮值制度，平衡了公司各方面的矛盾，使公司得以均衡成长。轮值的好处是，每个轮值者，在一段时间里，担负了公司COO的职责，不仅要处理日常事务，而且要为高层会议准备起草文件，大大地锻炼了他们。同时，他不得不削小他的屁股，否则就达不到别人对他决议的拥护。这样他就将他管辖的部门，带入了全局利益的平衡，公司的山头无意中在这几年削平了。
经历了八年轮值后，在新董事会选举中，他们多数被选上。我们又开始了在董事会领导下的轮值CEO制度，他们在轮值期间是公司的最高的行政首长。他们更多的是着眼公司的战略，着眼制度建设。将日常经营决策的权力进一步下放给各BG、区域，以推动扩张的合理进行。这比将公司的成功系于一人，败也是这一人的制度要好。每个轮值CEO在轮值期间奋力地拉车，牵引公司前进。他走偏了，下一轮的轮值CEO会及时去纠正航向，使大船能早一些拨正船头。避免问题累积过重不得解决。
我不知道我们的路能走多好，这需要全体员工的拥护，以及客户和合作伙伴的理解与支持。我相信由于我的不聪明，引出来的集体奋斗与集体智慧，若能为公司的强大、为祖国、为世界作出一点贡献，廿多年的辛苦就值得了。我知识的底蕴不够，也并不够聪明，但我容得了优秀的员工与我一起工作，与他们在一起，我也被熏陶得优秀了。他们出类拔萃，夹着我前进，我又没有什么退路，不得不被“绑”着，“架”着往前走，不小心就让他们抬到了峨眉山顶。我也体会到团结合作的力量。这些年来进步最大的是我，从一个“土民”，被精英们抬成了一个体面的小老头。因为我的性格像海绵一样，善于吸取他们的营养，总结他们的精华，而且大胆地开放输出。那些人中精英，在时代的大潮中，更会被众人团结合作抬到喜马拉雅山顶。希腊大力神的母亲是大地，他只要一靠在大地上就力大无穷。我们的大地就是众人和制度，相信制度的力量，会使他们团结合作把公司抬到金顶的。
作为轮值CEO，他们不再是只关注内部的建设与运作，同时，也要放眼外部，放眼世界，要自己适应外部环境的运作，趋利避害。我们伸出头去，看见我们现在是处在一个多变的世界，风暴与骄阳，和煦的春光与万丈深渊……并存着。我们无法准确预测未来，仍要大胆拥抱未来。面对潮起潮落，即使公司大幅度萎缩，我们不仅要淡定，也要矢志不移地继续推动组织朝向长期价值贡献的方向去改革。要改革，更要开放。要去除成功的惰性与思维的惯性对队伍的影响，也不能躺在过去荣耀的延长线上，只要我们能不断地激活队伍，我们就有希望。历史的灾难经常是周而复始的，人们的贪婪，从未因灾难改进过，过高的杠杆比，推动经济的泡沫化，总会破灭。我们唯有把握更清晰的方向，更努力地工作，任何投机总会要还账的。经济越来越不可控，如果金融危机的进一步延伸爆炸，货币急剧贬值，外部社会动荡，我们会独善其身吗?我们有能力挽救自己吗?我们行驶的航船，员工会像韩国人卖掉金首饰救国家一样，给我们集资买油吗?历史没有终结，繁荣会永恒吗?我们既要有信心，也不要盲目相信未来，历史的灾难，都是我们的前车之鉴。我们对未来的无知是无法解决的问题，但我们可以通过归纳找到方向，并使自己处在合理组织结构及优良的进取状态，以此来预防未来。死亡是会到来的，这是历史规律，我们的责任是应不断延长我们的生命。
千古兴亡多少事，一江春水向东流，流过太平洋，流过印度洋，……不回头。

分享

分享

如果USG9100和USG9300算是试水之作，USG9500就是华赛在高端安全领域的杀手锏。虽然它仍不完美（当然完美的产品也不存在），却也足够令人颤抖了。

原文发于《计算机世界》。

毫无疑问，我们已经步入了云时代。放眼神州大地，一座座数据中心如雨后春笋般拔地而起，服务器数量与网络基础架构的规模屡创新高；互联网建设也在高速发展，骨干与接入带宽的不断提升，为用户业务带来了日新月异的应用体验；而3G与无线技术的普及，又让移动终端成为后PC时代真正的宠儿，正在掀开移动互联的新篇章。

从底层网络的角度看，通信技术的发展构建了多个维度的高速通路，让一切变为现实。同样，用户也必须借助不断创新的安全技术，建立与网络规模相匹配的防护体系，为业务保驾护航。经过国内外安全厂商的不懈努力，目前顶级防火墙的处理能力已经达到百G级别。这并不是个宣传意义大于实际意义的噱头，因为用户的需求已经迫在眉睫。在今年国内运营商的安全产品招标中，对高端防火墙的性能要求达到了40G-80G，距离部署百G产品的日子已不再遥远。针对这一趋势，华为赛门铁克也于近期推出了全新的USG9500系列产品，再次升级了高端产品线。我们也在第一时间对USG9560这款产品进行了测试，亲身体会了新一代百G产品带来的与众不同的应用体验，在此与读者朋友们分享。

规格领先 功能全面

华为赛门铁克USG9500系列包含USG9520、USG9560、USG9580三款产品，均基于华为高端路由硬件平台打造。设备中所有部件均为冗余设计，其中单板、电源模块和风扇支持热插拔，符合电信级别的高可靠性要求。三款产品的区别主要体现在扩展槽位的数量与整机性能方面，最高端的USG9580提供了多达16个接口/业务扩展槽位，标称具有2.56T交换容量及240G接口容量，是新系列中的旗舰产品；最低端的USG9520则针对主流的万兆及多千兆接入环境设计，提供3个接口/业务扩展槽位，标称最大40G的整机处理能力，具有灵活的扩展性和相对较高的性价比。我们测试的这台中端定位的USG9560则需占用14U的机架空间，提供了11个扩展槽位，其中3个用于安装主控交换（SRU）及交换引擎（SFU）。SRU主要负责设备管理、系统监控与调度、路由计算等工作，同时内置一个交换引擎。当插满两个SRU与1个SFU时，两套主控系统会工作在主备状态，3个交换引擎工作在2主1备的状态，提供1.44T的交换容量。这种设计可以保证设备在任意一块SRU或SFU出现故障时还能正常工作，且性能不会出现瓶颈。

USG9500系列产品全家福，从左至右依次为USG9520、USG9560、USG9580

USG9560上剩余的8个槽位用于安装业务卡（SPU）与接口卡（LPU），考虑到未来接口容量与性能的升级，每槽位设计带宽达到双向200G。在SPU与LPU的设计上，华为赛门铁克采用了模块化的思路，显得非常独特。SPU板载了两颗1GHz主频的NetLogic XLR732处理器，具有10G的处理能力。该卡同时提供了一个子卡插槽，可安装同样配置的业务处理子卡（SPC），将单板处理能力提升至20G。而LPU也提供两个子卡插槽，可安装不同类型的接口模块子卡（包括以太网与POS），目前可实现单子卡两个万兆或20个千兆的接口密度。与我们去年测试过的USG9110不同的是，USG9500系列产品中的SPU和LPU之间没有任何强制性的对应要求，用户可根据需要进行灵活搭配。

在基本功能与安全业务方面，USG9500系列产品已经实现得相当全面。该产品可以支持NAT端口复用，能够有效减少海量用户使用互联网时对公网IP的依赖，对运营商、行业用户及园区网用户有很大的实际意义。除了防火墙，USG9500还具有VPN、应用流量识别控制、IPS和抗DDoS的能力（后两者使用单独的业务插板实现），以满足数据中心为代表的新应用场景的复杂需求。借助华为在数通领域的长期积累，USG9500系列产品在路由支持的种类、兼容性等方面有着先天优势，既能可靠地独立或参与组网，亦可在遭到DDoS攻击时与上下游网络设备联动，实现流量的牵引、清洗与回注。

架构灵活 性能强大

与USG9000家族中的其他产品一样，USG9500系列产品也采用了“两分布、一统一”的设计思路，即分布式处理、分布式转发与统一管理。由于集成了高性能的网络处理器，LPU可以实现基于多种策略的数据分发操作，将流量尽可能均衡地交给每个SPU上的每一颗处理器进行处理。这也意味着，该产品可以通过增加SPU数量的方式，线性提升整机的处理能力。

USG9560防火墙基准性能测试结果（路由模式/1条全通策略）

USG9560抗攻击测试结果（配备1块抗DDoS业务板，不含扩展子卡）

我们在随后的测试中使用了多至5块内置SPC子卡的SPU及3块具有4个万兆XFP接口的LPU，组成20G-100G规格的多种配置，对这一特点进行了验证。测试仪器为搭配了多个10G-LSM-XM4S网络层测试模块和Acceleron-NP应用层测试模块的IXIA Optixia XM12。当USG9560中只有1块SPU卡工作时，该系统（路由模式，1条全通策略，后同）在IMIX模型（UDP混合包，64Byte:594Byte:1518Byte=7:4:1）下的吞吐量为20G，平均延迟为85微秒。如果再增加一块SPU，IMIX吞吐量马上提升至40G，平均延迟保持不变。当5块SPU卡均处于工作状态时，系统的整机IMIX吞吐量达到100G，平均延迟则小幅上升至106微秒。在这个过程中，每颗CPU的使用率都保持一致，系统的负载均衡效果十分优秀。我们也试着在处理能力留有足够余量的情况下在线减少SPU卡的数量，USG9560会立刻自动对负载进行重新分配，达到新的均衡处理状态。

除了吞吐量与延迟，分布式处理、转发的优势在连接相关的性能指标上也有所体现。当使用1块SPU卡时，我们测得的整机HTTP新建能力（64Byte页面，后同）为每秒669463个连接，最大并发连接数为8340904，达到并超过50万/800万的标称值；两块SPU同时工作时，HTTP新建连接数提升至1360407，最大并发连接数也达到了16681108。由于测试仪器的限制，我们没有再对配备更多SPU卡时的性能进行测试，但仅从这两组数据中，已经可以看出整机的连接处理能力可以随着SPU板卡数量的增多而线性提升。

对于数据中心这样的应用场景来说，其可能受到攻击的规模之大、种类之复杂，是集成于UTM、NGFW等设备中的抗DDoS功能所难以抵御的。针对这种情况，华为赛门铁克将该功能独立出来，以专用业务卡的形式提供了高性能抗DDoS解决方案（单卡标称10G流量清洗能力，同样可以通过扩展子卡提升一倍）。我们也利用手头的测试仪器，对插入1块抗DDoS业务卡（不含扩展子卡）的USG9560进行了测试。面对测试仪分别生成的10G线速SYN-Flood、UDP Flood和DNS-Flood攻击流量（64Byte，后同），该设备可以将攻击流量完全阻断，同时保证后端服务器的正常访问，此时DDoS业务卡上的CPU使用率分别为87%、70%、83%；我们又按1:1:1的比例发起了包含三种攻击的混合流量，USG9560依然可以将攻击完全阻断，此时的CPU平均使用率为81%，仍留有部分余量。

TCAM：让天堑变通途

作为成本、查找速度均极为惊人的可寻址存储器，TCAM大多被用于核心路由器、数据中心交换机等高端数据通信产品，在安全设备中极少出现。不过，我们去年在USG9110产品测试中，已经注意到其业务板上配备有TCAM。如今，这一设计被USG9500系列产品所沿用，大有发扬光大之势。这是个令人费解的举动，因为厂商在设计产品时会本着“次优”和榨干硬件处理能力的原则，选择能满足需求的最简单、成本最低的解决方式。对于TCAM这种成本极高昂的器件来说，除非它能让产品性能产生革命性的变化，否则绝无使用的道理。那么，华为赛门铁克坚持在高端安全产品中使用TCAM意义何在？我们通过混合非法流量和访问控制列表（以下简称ACL）查找两个测试用例，进行了一系列的验证。

在合法数据流中混合非法流量，是安全产品测试中不可或缺的手段之一。目前，几乎所有状态检测防火墙都借助快速转发技术提升性能，当合法数据流建立后，流信息会被下发到防火墙状态表中，剩余报文可根据状态信息直接转发；非法流量则通常不会建立状态，这就意味着流中每一个数据包均要由处理器进行完整流程上的处理，其中就包括了资源开销非常大的ACL查找操作。当非法流量的比例达到一定程度的时候，防火墙就会因资源耗尽导致性能大幅下降。以我们去年测试过的一款64Byte UDP帧吞吐量达到8Gbps的防火墙为例，当测试流量由合法的8G变为6G合法流量+2G非法流量后，该设备的吞吐量竟然下降到100Mbps以下。

由于TCAM的存在，USG9560在处理非法流量时的性能开销大幅减小，处理能力也就得到了保证。我们在1块SPU处于工作状态的前提下，向设备的ACL中加入一条阻断特定流量的策略，再使用测试仪先后发起16G的正常流量与4G应被阻断的非法流量（均为UDP/386Byte帧长）。USG9560在只有正常流量通过的情况下，可以做到不丢包转发，此时的CPU使用率仅为21%；当加入4G非法流量后，正常流量的转发没有受到任何影响，非法流量则被完全阻断。此时SPU卡的CPU占用率上升至47%，仍有余力处理其他安全业务。从这个结果中可以看出，虽然TCAM没能让设备的理论性能得到进一步提升，却在处理非法流量时弥补了性能短板，在实际环境中体现了其存在的价值。

与混合非法流量的测试相比，ACL查找能力测试更偏向底层，但在园区网、骨干网和数据中心规模不断扩大的今天，许多用户需要借助防火墙实现更加复杂的访问控制，这个原本偏重理论层面的测试用例也就有了更多的实际意义。我们知道，大部分采用状态检测机制的防火墙会在启动时对用户设定的ACL进行预处理，将其转换为引擎可识别、查找的树或矩阵。转换算法的优劣决定了存储空间的占用、转换速度和查找性能，是厂商核心技术能力的体现。好的转换算法不但能以较低的资源代价实现较高的查找性能，还可以对ACL进行有效的优化合并。比如许多测试中使用的针对1个C段内连续IP而设定的策略，最优状态下可以被合并为1条等效策略，其测试数据显然不能代表设备在实际环境下的性能。

有鉴于此，我们在制定实验室安全产品测试规范的过程中，包含了基于复杂策略的测试用例。该用例中的ACL列表模拟部分用户的配置思路，包含了5000条不相关联的策略。它使用有针对性的算法生成，阻止主流转换算法对其进行优化，且令生成的树或矩阵变得极其复杂，显著提升了设备查找时的性能开销。一些产品在测试中无法正常加载此ACL，或会在加载后性能大幅下降。这样的产品如果被部署在实际环境中，会为用户带来无穷无尽的烦恼。某行业信息中心主管与我们交流时就曾谈到这样一个情况：当他们逐步将分散的服务器群组迁移至数据中心后，防火墙的ACL数量已接近3万条。此时设备从加电到进入正常工作状态需要长达40多分钟的时间，且设备每次在添加新的访问控制策略时，都会有1分多钟处于无响应状态。而他们先前使用的产品则在加载1万条左右的策略后直接罢工，严重影响了业务的正常开展。

不过，我们在对USG9560的测试中没有丝毫担心，因为TCAM的工作机制决定了其策略查找性能不受策略复杂度的影响。测试数据也很好地证明了这一点：在加载复杂策略的情况下，USG9560的开机时间仅由之前1条全通策略时的9分4秒增加到12分12秒。在此基础上使用测试仪发起命中第4999条策略的16G正常流量（UDP/386Byte），系统可实现不丢包转发，CPU占用率为33%；当另外加入命中第5000条策略的4G非法流量后，正常流量的转发没有受到影响，非法流量也被完全阻断，此时CPU占用率上升至55%。这样完美的测试结果，足以保证USG9560在海量策略的应用场景中保持应有的性能表现。

应用识别步入百G免费时代

从用户群体的需求角度出发，高端防火墙通常强调高性能、高可靠性，提供的安全业务并不像企业级产品那样全面。如果要增加特定功能，通常也会以专用业务插板的形式实现，尽可能减小对设备性能的影响。不过华为赛门铁克在USG9500系列产品中，将应用流量识别控制与防火墙、NAT、VPN等一同列为产品的基础特性，免费交付给用户使用，令人十分惊讶。众所周知，应用流量识别控制确实是一个快速增长的市场需求，以此为基础甚至诞生了下一代防火墙（NGFW）这一新产品形态，但因其需要消耗大量系统资源，对防火墙性能造成很大影响，罕有厂商会在最高端产品中加入该特性。华为赛门铁克此举，是为运营商及大型行业用户提供增值服务，还是为了迎合市场的推广策略？

只有测试能给出答案。我们使用BreakingPoint提供的测试仪表，对配备1块SPU的USG9560进行了检测率与性能测试。该测试仪可以模拟多种互联网应用，实时生成近乎真实的测试流量，而不是简单地利用PCAP回放进行仿真。在开启防火墙与应用流量识别控制功能（路由模式，加载1条全通策略，只识别不做控制）的情况下，USG9560对测试仪发出的包含HTTP、BT、eDonkey、流媒体等业务的10G混合流量（预设并达到每秒10万新建连接/最大保持200万并发连接）可以做到完全识别与线速转发。此时SPU上的CPU占用率比单纯防火墙模式时略有小幅上升，数据包转发的平均延迟也仅增至160微秒。不过也许是为了减少大流量时的系统负载，设备并没有在内置的图形化界面中提供应用层流量的相关统计，而是通过eLog集中分析报表系统进行统一的挖掘与呈现。

作为USG9500系列产品的基础功能，应用识别特性以进程形式工作在SPU中，理论上性能可随SPU数量增加而线性提升。我们也在之前测试100G吞吐量的硬件配置下，对开启应用识别功能时的整机处理能力进行了考察。BreakingPoint测试仪此时已无法生成如此巨大的测试流量，所以我们改用IXIA Optixia XM12以发送双向UDP报文（IMIX模型，包含800个并发连接）的方式进行测试。在100G的UDP流量压力下，USG9560仍然顺利完成了测试，将数据报文正常识别为未知UDP流量，性能也如预期般达到线速转发。我们在测试过程中也注意了设备的资源占用情况，可以看到5块SPU上的20颗处理器基本保持着同样的负载，不存在单点瓶颈的隐患，并且开启应用流量识别后，CPU负载并没有上升很多，相信在错综复杂的现网环境中仍可保证线速处理。

集成高性能的应用识别引擎并免费交付给用户，无疑是USG9500系列产品的最大亮点之一。从华为赛门铁克公布的信息来看，该引擎目前已能鉴别超过1000种应用协议，且有专人对协议特征进行扩充与更新。对于运营商与行业用户来说，集防火墙、NAT、应用流量识别控制功能于一身的高端设备正是他们目前梦寐以求的产品形态。我们感觉华为赛门铁克的思路很清晰，即短期以免费流控和应用防火墙为卖点，增强产品的竞争力，争取更多的市场份额；长期来看，应用识别的价值绝不仅仅在于流控或应用防火墙，它是未来几乎所有安全业务的核心，以此为基础通过升级的方式增加新的安全业务，对供求双方来说都是双赢的结果。

测试后记：彪悍的产品不需要解释

“我们主要就是一条连教育网的万兆出口，高峰期上下行流量加起来也不过10G出头，厂商却建议我至少在防火墙上插三块标称20G处理能力的业务引擎，这到底是为什么？”面对不久前交流时某高校信息中心主管抱怨式的咨询，我们感到很难回答。客观原因是存在的，任何安全产品在真实环境中的性能都会低于实验室中测得的理论值，当应用场景非常复杂时，下降幅度甚至会超过50%。为保障业务的正常运行，厂商一般会建议用户部署时做性能预留，但即便如此，要求用户至少购买3块业务卡的做法也是难以理解的。分布式防火墙本身就有着按需配置的特点，用户凭什么要为用不着的性能买单呢？

抛开技术上的因素，我们也许触及到一个比较敏感的话题，那就是性能标称值的准确性。它不像产品测试，有很多业界公认的评价标准，依据某一标准测得的性能，对任何产品都是公平有效的。而厂商在进行产品包装时的性能度量方法，是不存在任何统一标准的，也许吞吐量你标IMIX，我标1518Byte帧，或者新建连接你标HTTP，我标TCP。个别厂商甚至本着“人有多大胆、地有多大产”的思路，虚报出一个产品根本无法达到的性能。这种不负责任的做法给用户的选型工作增加了许多不必要的麻烦，也让用户对厂商宣称的性能指标产生了强烈的不信任感。所以我们看到，虽然越来越多的厂商开始在产品规格表中注明标称性能的测试环境，用户却完全不在乎了。他们怕了，他们伤不起了。

换个角度看，厂商即便给出了实实在在的性能参数，又有多大意义呢？用户买产品是要解决问题，他们没有兴趣研究为什么开启某功能后一块业务卡的性能就不再是20G，然后还得折算用多少块业务卡才能在理论上满足需求，最后再战战兢兢地通过测试去证明。彪悍的产品不需要解释，华为赛门铁克显然认识到了这一点，并成功地将其付诸实践。就像USG9560，不管我们怎么折磨，其单板性能永远等于标称值，包括本应属于下一代防火墙定义范畴的应用识别控制功能，你开，或者不开，20G的性能就在那里。这样的产品，才是对用户最大的尊重。

做到这一点真的很难。从产品角度看，华为赛门铁克为实际应用中的性能损耗做了充分的资源预留，这也是一块业务卡配备4颗NetLogic XLR732处理器的主要原因。在没明白这一点之前，我们甚至一度怀疑华为赛门铁克的研发实力，因为这样的处理器即便拿出一颗做业务卡，也完全有理由标称20G处理能力（实际上，大多数高端分布式防火墙也是这么做的）。该公司能顶住成本与研发上的压力，放低姿态去做“不需要解释”的产品，其魄力值得称赞。“千淘万漉虽辛苦，吹尽狂沙始到金”，任何用户都不会冷落这样一款实实在在的产品，这一点，不管你信不信，我反正信了。

分享