2004年以來，防火墻市場依然保持了高速的增長，僅第2季度，防火墻市場在整個網絡安全市場的份額高達40％以上。

　　在現有的x86、NP、ASIC架構的防火墻產品中，誰將成為市場的主流？三大架構防火墻產品的不同技術特點是什么？

　　工控機時代漸行漸遠

　　目前在國內的信息安全市場上，防火墻多是基于Intel x86系列架構的產品，又被稱為工控機防火墻，其具有開發、設計門檻低，技術成熟等優點。

　　但是，缺陷也是顯而易見的，由于x86架構的硬件并非為了網絡數據傳輸而設計，它對數據包的轉發性能相對較弱。并且由于國內安全廠商并不掌握x86架構的核心技術，其BIOS中存在著隱藏的漏洞，有可能影響防火墻的安全可靠性。而且工控機的產業鏈條非常復雜，國內廠商在其中能發揮的影響力很有限，不利于國內信息安全產業的長期發展。

　　未來引領防火墻市場的會是哪一種技術，這是一直以來困擾業界的問題。隨著網絡帶寬的增長和千兆網絡在國內的大規模推廣應用，市場對基于高帶寬網絡中安全設備的需求也迅速增長。在未來的網絡環境下，傳統的基于x86體系結構的工控機防火墻已不能滿足寬帶網絡高吞吐量、低時延的要求，而網絡處理器（Network Processor）和專用集成電路（ASIC）技術被認為是未來千兆防火墻的主要方向。

　　三大技術優勢互現

　　先來看基于ASIC技術的防火墻。采用ASIC技術可以為防火墻應用設計專門的數據包，是公認的滿足千兆環境骨干級應用的技術方案。但ASIC技術開發成本高、開發周期長且難度大，而且ASIC技術在國外已經歷了10多年的發展，技術成熟、穩定，而國內廠商要采用ASIC技術難度卻很大。

　　NP（網絡處理器）是專門為處理數據包而設計的可編程處理器，它具有完全的可編程性、簡單的編程模式、最大化系統靈活性、高處理能力、高度功能集成、開放的編程接口以及第三方支持能力。

　　這些特性使基于NP架構的防火墻與傳統防火墻相比，在性能上得到了很大的提高，同時又具有極佳的靈活擴展性。

　　NP技術可以支持編程，一旦有新的技術或者需求出現，資深設計師可以很方便地通過微碼編程實現。

　　對于特殊的用戶需求，基于NP的NetEye防火墻產品可以實現定制開發，即可以通過模塊刪減來開發出滿足不同用戶的需求的產品。而用ASIC實現的情況下，由于對ASIC不可編程，因此根本無法對新的功能進行添加。

　　在新功能開發的時間上，按照業界的經驗數字，基于微碼的功能開發周期一般為6個月甚至更短，用ASIC實現的時間通常需要2～3年的時間。

　　NP，如何叫好又叫座？

　　2003年，國內廠商開始推出基于NP架構的防火墻，NP概念一下子火爆異常。但很快人們發現，NP平臺也并非坦途。由于受技術成熟因素和成本因素兩方面制約，國內已推出的NP防火墻產品或局限于個別型號，或是干脆停留在實驗階段，并沒有大規模進入主流市場。一時間，NP陷入了叫好不叫座的尷尬局面。

　　從產品特性上講，NP架構下的產品批量生產成本比x86架構要高，而NP的計算能力又比ASIC要低。這都是NP架構防火墻必須面對的問題，但NP防火墻具有更高的集成度，并以分布式的存儲系統，能夠勝任高帶寬的線速處理。

　　千兆防火墻：ASIC略勝一籌

　　以千兆防火墻為例，采用ASIC技術可以為防火墻應用設計專門的數據包處理流水線，優化存儲器等資源的利用，是公認的使防火墻達到線速千兆，滿足千兆環境骨干級應用的技術方案。但ASIC技術開發成本高、開發周期長且難度大，一般的防火墻廠商難以具備相應的技術和資金實力。

　　網絡處理器（NP）是專門為處理數據包而設計的可編程處理器，它的特點是內含了多個數據處理引擎，這些引擎可以并發進行數據處理工作，在處理2到4層的分組數據上比通用處理器具有明顯的優勢，能夠直接完成網絡數據處理的一般性任務。硬件體系結構大多采用高速的接口技術和總線規范，具有較高的I/O能力，包處理能力得到了很大提升。

　　從性能的角度分析，基于Intel x86架構的千兆防火墻，由于受CPU處理能力和PCI總線速度的制約，性能和功能不能達到網絡安全和網絡性能間的統一。

　　從功能的角度分析，基于通用處理器的x86架構上開發的防火墻，功能強大，可擴充性非常好；基于ASIC的防火墻雖然在性能上非常強大，但是在功能性、靈活性和可擴充性等方面就差很多了。

　　因基于ASIC的防火墻開發難度大、周期長、產品靈活性差等原因，不適合技術和資金積累較薄弱的國內廠商發展。所以，隨著NP技術的成熟和發展，開發基于NP的網絡安全產品成為國內廠商的首選。

　　只是此消彼漲，不是誰消滅誰

　　基于網絡處理器架構的防火墻與基于通用CPU架構的防火墻相比，在性能上可以得到很大的提高。基于NP的防火墻可以集x86架構防火墻的功能與ASIC防火墻的性能于一身。網絡處理器能彌補通用CPU架構性能的不足，同時又不需要具備開發基于ASIC技術的防火墻所需要的大量資金和技術積累，最近在國內信息安全廠商中備受關注，成為國內廠商實現高端千兆防火墻的熱門選擇。因此，在高端千兆市場，基于NP的防火墻將是重要的趨勢。

　　但是，這種趨勢是此消彼長的關系，不是誰消滅誰的關系，這三種防火墻在市場上將長期保持共存的局面。未來，在低端千兆市場上，x86架構的防火墻將成為主流；在高端千兆市場上，基于NP的防火墻將占有較大的市場分額。