在x86、NP、ASIC等三大防火墻硬件技術架構中，哪種將成為防火墻產品技術發展的主流？用戶該如何選擇？帶著這些問題，記者采訪了天融信公司防火墻產品經理段亞峰。

　　他表示，防火墻產品經過多年的發展，經過了從軟件防火墻到硬件防火墻的變化。目前國內用戶普遍能接受的就是市場上廣泛銷售的硬件防火墻，但是隨著防火墻產品同質化現象的日益明顯，廠家和用戶都把注意力轉移到了技術架構體系上，尤其在近兩年愈演愈烈的硬件架構之爭，給用戶選擇防火墻產品帶來很多困惑。

　　防火墻硬件體系結構面臨變革

　　段亞峰認為，防火墻的硬件體系結構正面臨著一次變革。硬件架構之爭是隨著近年千兆網絡開始在國內大規模推廣應用而升溫的。在多數網絡環境下，傳統的基于X86體系結構的防火墻已不能滿足千兆防火墻高吞吐量、低時延的要求。因此，兩種新的技術，即網絡處理器（NetworkProcessor）和專用集成電路（ASIC）技術成為眾多國內廠家實現千兆防火墻的主要選擇。

　　可以說，防火墻的硬件體系結構正面臨著一次變革，會出現多種結構并存互動的局面，但任何一種技術都不會成為主流而替代另一種。最后，只有為用戶實際需求服務的技術，才是能在變革中生存下來的技術。

　　網絡處理器與ASIC方案，哪種更適合千兆防火墻的應用，是目前爭論的一個熱點。用戶可以從性能、靈活性、功能完備性、成本、開發難度、技術成熟性等方面來進行比較。從性能上說，由于基于網絡處理器的防火墻本質是基于軟件的解決方案，它在很大的程度上依賴于軟件設計的性能，而ASIC由于是將算法固化在硬件中，因而在性能上有比較明顯的優勢。

　　關于多功能ASIC架構有潛力

　　目前國內銷售的基于ASIC技術的防火墻，已可達到4個千兆網口的全線速包轉發速率。而一般基于網絡處理器的防火墻在小包情況下，還不能完全做到2網口的千兆線速轉發。

　　反過來說，網絡處理器的軟件色彩使它具有更好的靈活性，在升級維護方面有較大的優勢。純硬件的ASIC防火墻缺乏可編程性，這使得它缺乏靈活性從而跟不上防火墻功能的快速發展。

　　現代的ASIC技術通過增加ASIC芯片的可編程性，使其與軟件更好地配合，從而同時滿足來自靈活性和運行性能的要求。從實現功能方面看，ASIC技術可以比較容易地集成IDS、VPN等功能，也有產品已經實現了內容過濾和防病毒功能。而網絡處理器受限于它的計算能力，這些功能一般只能靠協處理器來實現。

　　從今后產品的成本上看，一片網絡處理器的價格在三、四百美金左右，如果需要協處理器，還要加上協處理器的成本。ASIC技術前期如果使用FPGA（Field Programmable Gate Arrays，現場可編程門陣列）來實現，兩者價格大致相當。不過如果量產投片以后，ASIC的價格可以降低一個量級，因而從長遠來看ASIC技術更有潛力。

　　靈活性：NP占先

　　在開發難度、開發成本和開發周期方面，網絡處理器技術有比較明顯的優勢，畢竟網絡處理器產生的一大原因就是降低這方面的門檻，這也是國內很多防火墻企業選中網絡處理器的原因。

　　不過從技術成熟度方面來看，相比ASIC這樣已經為實踐證明了的成熟技術，網絡處理器用于防火墻其實是近一年多才出現的。在此之前網絡處理器在市場上的表現并不理想，一般只被用于低端路由器、交換機等數據通信產品。究其原因，主要是網絡處理器開發需要的編程技術比預期的復雜困難，而且在實際應用中的性能往往并不理想，遠低于其廠家的標稱性能。這種技術應用在防火墻這樣的復雜網絡設備上，究竟能否在不影響功能的前提下，達到預期的性能，還有待檢驗。

　　目前防火墻的體系結構已經處于一個更新換代的門檻上，未來的發展趨勢基本上是網絡處理器與ASIC兩條道路。從性能、功能、技術成熟度方面考慮，ASIC方案較好，從進入門檻、研發成本和靈活性考慮，則網絡處理器占優。

　　從目前的情況來看，國外的高端防火墻大部分采用的是ASIC技術，國內廠商則選用網絡處理器的居多。今后高端防火墻的技術將是ASIC和網絡處理器這兩種主流技術并存，它們各自都會繼續向前發展，在速度、功能方面都還有很大的發展空間。而用戶在選擇千兆防火墻產品時也要綜合考慮廠商實力、實際應用需求、采購成本、防火墻技術與產品的成熟度等多種因素，全盤考慮為宜。

　　三大架構的不同特點

　　在百兆防火墻時代，國內防火墻廠商普遍采用的是通用CPU配合軟件的技術方案。雖然很多廠家也把它稱之為硬件防火墻，但實際上都是基于X86架構的服務器或工控機。這類防火墻一般運行在經過裁減的操作系統上（通常是Linux或BSD），所有的數據包解析和審查工作都由軟件來完成。

　　雖然這種技術方案在百兆防火墻市場取得了很大的成功，但由于CPU處理能力和PCI總線速度的制約，在實際應用中，尤其在小包情況下，這種結構的千兆防火墻遠遠達不到千兆的轉發速度（64字節包長時，雙向轉發速率一般為百分之二十以下），難以滿足千兆骨干網絡的應用要求。

　　網絡處理器是專門為處理數據包而設計的可編程處理器，它的特點是內含了多個數據處理引擎。這些引擎可以并發進行數據處理工作，在處理2到4層的分組數據上比通用處理器具有明顯的優勢。

　　網絡處理器對數據包處理的一般性任務進行了優化，如TCP/IP數據的校驗和計算、包分類、路由查找等。同時硬件體系結構的設計也大多采用高速的接口技術和總線規范，具有較高的I/O能力。這樣基于網絡處理器的網絡設備的包處理能力得到了很大的提升。

　　它具有以下幾個方面的特性：完全的可編程性、簡單的編程模式、最大化系統靈活性、高處理能力、高度功能集成、開放的編程接口、第三方支持能力。

　　基于網絡處理器架構的防火墻與基于通用CPU架構的防火墻相比，在性能上可以得到很大的提高。網絡處理器能彌補通用CPU架構性能的不足，同時又不需要具備開發基于ASIC技術的防火墻所需要的大量資金和技術積累，最近在國內信息安全廠商中備受關注，成為國內廠商實現高端千兆防火墻的熱門選擇。

　　采用ASIC技術可以為防火墻應用設計專門的數據包處理流水線，優化存儲器等資源的利用，是公認的使防火墻達到線速千兆，并滿足千兆環境骨干級應用的技術方案。

　　防火墻產品的3個發展趨勢

　　從現有的網絡環境，以及用戶安全需求的變化趨勢來看，防火墻產品將朝著高速、多功能化、更安全的方向發展。

　　1、高速。目前防火墻一個很大的局限性是速度不夠，真正達到線速的防火墻少之又少。防范DoS (拒絕服務)是防火墻一個很重要的任務，防火墻往往用在網絡出口，如造成網絡堵塞，再安全的防火墻也無法應用。應用ASIC、FPGA和網絡處理器，是實現高速防火墻的主要方法，但尤以采用網絡處理器最優，因為網絡處理器采用微碼編程，可以根據需要隨時升級，甚至可以支持IPv6，而采用其他方法就不那么靈活。實現高速防火墻，算法也是一個關鍵，因為網絡處理器中集成了很多硬件協處理單元，因此比較容易實現高速。

　　2、多功能化。多功能也是防火墻的發展方向之一，鑒于目前路由器和防火墻價格都比較高，組網環境也越來越復雜。一般用戶總希望防火墻可以支持更多的功能，滿足組網和節省投資的需要。例如，防火墻支持廣域網口，并不影響安全性，但在某些情況下卻可以為用戶節省一臺路由器，支持部分路由器協議，如路由、撥號等，可以更好地滿足組網需要；支持IPSec VPN，可以利用因特網組建安全的專用通道，既安全又節省了專線投資。據IDC統計，國外90%的加密VPN都是通過防火墻實現的。

　　3、安全。未來防火墻的操作系統會更安全。隨著算法和芯片技術的發展，防火墻會更多地參與應用層分析，為應用提供更安全的保障。在信息安全的發展與對抗過程中，防火墻的技術一定會不斷更新、日新月異，在信息安全的防御體系中，起到堡壘的作用。