在x86、NP、ASIC等三大防火墻硬件技術(shù)架構(gòu)中，哪種將成為防火墻產(chǎn)品技術(shù)發(fā)展的主流？用戶該如何選擇？帶著這些問(wèn)題，記者采訪了天融信公司防火墻產(chǎn)品經(jīng)理段亞峰。

　　他表示，防火墻產(chǎn)品經(jīng)過(guò)多年的發(fā)展，經(jīng)過(guò)了從軟件防火墻到硬件防火墻的變化。目前國(guó)內(nèi)用戶普遍能接受的就是市場(chǎng)上廣泛銷售的硬件防火墻，但是隨著防火墻產(chǎn)品同質(zhì)化現(xiàn)象的日益明顯，廠家和用戶都把注意力轉(zhuǎn)移到了技術(shù)架構(gòu)體系上，尤其在近兩年愈演愈烈的硬件架構(gòu)之爭(zhēng)，給用戶選擇防火墻產(chǎn)品帶來(lái)很多困惑。

　　防火墻硬件體系結(jié)構(gòu)面臨變革

　　段亞峰認(rèn)為，防火墻的硬件體系結(jié)構(gòu)正面臨著一次變革。硬件架構(gòu)之爭(zhēng)是隨著近年千兆網(wǎng)絡(luò)開(kāi)始在國(guó)內(nèi)大規(guī)模推廣應(yīng)用而升溫的。在多數(shù)網(wǎng)絡(luò)環(huán)境下，傳統(tǒng)的基于X86體系結(jié)構(gòu)的防火墻已不能滿足千兆防火墻高吞吐量、低時(shí)延的要求。因此，兩種新的技術(shù)，即網(wǎng)絡(luò)處理器（NetworkProcessor）和專用集成電路（ASIC）技術(shù)成為眾多國(guó)內(nèi)廠家實(shí)現(xiàn)千兆防火墻的主要選擇。

　　可以說(shuō)，防火墻的硬件體系結(jié)構(gòu)正面臨著一次變革，會(huì)出現(xiàn)多種結(jié)構(gòu)并存互動(dòng)的局面，但任何一種技術(shù)都不會(huì)成為主流而替代另一種。最后，只有為用戶實(shí)際需求服務(wù)的技術(shù)，才是能在變革中生存下來(lái)的技術(shù)。

　　網(wǎng)絡(luò)處理器與ASIC方案，哪種更適合千兆防火墻的應(yīng)用，是目前爭(zhēng)論的一個(gè)熱點(diǎn)。用戶可以從性能、靈活性、功能完備性、成本、開(kāi)發(fā)難度、技術(shù)成熟性等方面來(lái)進(jìn)行比較。從性能上說(shuō)，由于基于網(wǎng)絡(luò)處理器的防火墻本質(zhì)是基于軟件的解決方案，它在很大的程度上依賴于軟件設(shè)計(jì)的性能，而ASIC由于是將算法固化在硬件中，因而在性能上有比較明顯的優(yōu)勢(shì)。

　　關(guān)于多功能ASIC架構(gòu)有潛力

　　目前國(guó)內(nèi)銷售的基于ASIC技術(shù)的防火墻，已可達(dá)到4個(gè)千兆網(wǎng)口的全線速包轉(zhuǎn)發(fā)速率。而一般基于網(wǎng)絡(luò)處理器的防火墻在小包情況下，還不能完全做到2網(wǎng)口的千兆線速轉(zhuǎn)發(fā)。

　　反過(guò)來(lái)說(shuō)，網(wǎng)絡(luò)處理器的軟件色彩使它具有更好的靈活性，在升級(jí)維護(hù)方面有較大的優(yōu)勢(shì)。純硬件的ASIC防火墻缺乏可編程性，這使得它缺乏靈活性從而跟不上防火墻功能的快速發(fā)展。

　　現(xiàn)代的ASIC技術(shù)通過(guò)增加ASIC芯片的可編程性，使其與軟件更好地配合，從而同時(shí)滿足來(lái)自靈活性和運(yùn)行性能的要求。從實(shí)現(xiàn)功能方面看，ASIC技術(shù)可以比較容易地集成IDS、VPN等功能，也有產(chǎn)品已經(jīng)實(shí)現(xiàn)了內(nèi)容過(guò)濾和防病毒功能。而網(wǎng)絡(luò)處理器受限于它的計(jì)算能力，這些功能一般只能靠協(xié)處理器來(lái)實(shí)現(xiàn)。

　　從今后產(chǎn)品的成本上看，一片網(wǎng)絡(luò)處理器的價(jià)格在三、四百美金左右，如果需要協(xié)處理器，還要加上協(xié)處理器的成本。ASIC技術(shù)前期如果使用FPGA（Field Programmable Gate Arrays，現(xiàn)場(chǎng)可編程門(mén)陣列）來(lái)實(shí)現(xiàn)，兩者價(jià)格大致相當(dāng)。不過(guò)如果量產(chǎn)投片以后，ASIC的價(jià)格可以降低一個(gè)量級(jí)，因而從長(zhǎng)遠(yuǎn)來(lái)看ASIC技術(shù)更有潛力。

　　靈活性：NP占先

　　在開(kāi)發(fā)難度、開(kāi)發(fā)成本和開(kāi)發(fā)周期方面，網(wǎng)絡(luò)處理器技術(shù)有比較明顯的優(yōu)勢(shì)，畢竟網(wǎng)絡(luò)處理器產(chǎn)生的一大原因就是降低這方面的門(mén)檻，這也是國(guó)內(nèi)很多防火墻企業(yè)選中網(wǎng)絡(luò)處理器的原因。

　　不過(guò)從技術(shù)成熟度方面來(lái)看，相比ASIC這樣已經(jīng)為實(shí)踐證明了的成熟技術(shù)，網(wǎng)絡(luò)處理器用于防火墻其實(shí)是近一年多才出現(xiàn)的。在此之前網(wǎng)絡(luò)處理器在市場(chǎng)上的表現(xiàn)并不理想，一般只被用于低端路由器、交換機(jī)等數(shù)據(jù)通信產(chǎn)品。究其原因，主要是網(wǎng)絡(luò)處理器開(kāi)發(fā)需要的編程技術(shù)比預(yù)期的復(fù)雜困難，而且在實(shí)際應(yīng)用中的性能往往并不理想，遠(yuǎn)低于其廠家的標(biāo)稱性能。這種技術(shù)應(yīng)用在防火墻這樣的復(fù)雜網(wǎng)絡(luò)設(shè)備上，究竟能否在不影響功能的前提下，達(dá)到預(yù)期的性能，還有待檢驗(yàn)。

　　目前防火墻的體系結(jié)構(gòu)已經(jīng)處于一個(gè)更新?lián)Q代的門(mén)檻上，未來(lái)的發(fā)展趨勢(shì)基本上是網(wǎng)絡(luò)處理器與ASIC兩條道路。從性能、功能、技術(shù)成熟度方面考慮，ASIC方案較好，從進(jìn)入門(mén)檻、研發(fā)成本和靈活性考慮，則網(wǎng)絡(luò)處理器占優(yōu)。

　　從目前的情況來(lái)看，國(guó)外的高端防火墻大部分采用的是ASIC技術(shù)，國(guó)內(nèi)廠商則選用網(wǎng)絡(luò)處理器的居多。今后高端防火墻的技術(shù)將是ASIC和網(wǎng)絡(luò)處理器這兩種主流技術(shù)并存，它們各自都會(huì)繼續(xù)向前發(fā)展，在速度、功能方面都還有很大的發(fā)展空間。而用戶在選擇千兆防火墻產(chǎn)品時(shí)也要綜合考慮廠商實(shí)力、實(shí)際應(yīng)用需求、采購(gòu)成本、防火墻技術(shù)與產(chǎn)品的成熟度等多種因素，全盤(pán)考慮為宜。

　　三大架構(gòu)的不同特點(diǎn)

　　在百兆防火墻時(shí)代，國(guó)內(nèi)防火墻廠商普遍采用的是通用CPU配合軟件的技術(shù)方案。雖然很多廠家也把它稱之為硬件防火墻，但實(shí)際上都是基于X86架構(gòu)的服務(wù)器或工控機(jī)。這類防火墻一般運(yùn)行在經(jīng)過(guò)裁減的操作系統(tǒng)上（通常是Linux或BSD），所有的數(shù)據(jù)包解析和審查工作都由軟件來(lái)完成。

　　雖然這種技術(shù)方案在百兆防火墻市場(chǎng)取得了很大的成功，但由于CPU處理能力和PCI總線速度的制約，在實(shí)際應(yīng)用中，尤其在小包情況下，這種結(jié)構(gòu)的千兆防火墻遠(yuǎn)遠(yuǎn)達(dá)不到千兆的轉(zhuǎn)發(fā)速度（64字節(jié)包長(zhǎng)時(shí)，雙向轉(zhuǎn)發(fā)速率一般為百分之二十以下），難以滿足千兆骨干網(wǎng)絡(luò)的應(yīng)用要求。

　　網(wǎng)絡(luò)處理器是專門(mén)為處理數(shù)據(jù)包而設(shè)計(jì)的可編程處理器，它的特點(diǎn)是內(nèi)含了多個(gè)數(shù)據(jù)處理引擎。這些引擎可以并發(fā)進(jìn)行數(shù)據(jù)處理工作，在處理2到4層的分組數(shù)據(jù)上比通用處理器具有明顯的優(yōu)勢(shì)。

　　網(wǎng)絡(luò)處理器對(duì)數(shù)據(jù)包處理的一般性任務(wù)進(jìn)行了優(yōu)化，如TCP/IP數(shù)據(jù)的校驗(yàn)和計(jì)算、包分類、路由查找等。同時(shí)硬件體系結(jié)構(gòu)的設(shè)計(jì)也大多采用高速的接口技術(shù)和總線規(guī)范，具有較高的I/O能力。這樣基于網(wǎng)絡(luò)處理器的網(wǎng)絡(luò)設(shè)備的包處理能力得到了很大的提升。

　　它具有以下幾個(gè)方面的特性：完全的可編程性、簡(jiǎn)單的編程模式、最大化系統(tǒng)靈活性、高處理能力、高度功能集成、開(kāi)放的編程接口、第三方支持能力。

　　基于網(wǎng)絡(luò)處理器架構(gòu)的防火墻與基于通用CPU架構(gòu)的防火墻相比，在性能上可以得到很大的提高。網(wǎng)絡(luò)處理器能彌補(bǔ)通用CPU架構(gòu)性能的不足，同時(shí)又不需要具備開(kāi)發(fā)基于ASIC技術(shù)的防火墻所需要的大量資金和技術(shù)積累，最近在國(guó)內(nèi)信息安全廠商中備受關(guān)注，成為國(guó)內(nèi)廠商實(shí)現(xiàn)高端千兆防火墻的熱門(mén)選擇。

　　采用ASIC技術(shù)可以為防火墻應(yīng)用設(shè)計(jì)專門(mén)的數(shù)據(jù)包處理流水線，優(yōu)化存儲(chǔ)器等資源的利用，是公認(rèn)的使防火墻達(dá)到線速千兆，并滿足千兆環(huán)境骨干級(jí)應(yīng)用的技術(shù)方案。

　　防火墻產(chǎn)品的3個(gè)發(fā)展趨勢(shì)

　　從現(xiàn)有的網(wǎng)絡(luò)環(huán)境，以及用戶安全需求的變化趨勢(shì)來(lái)看，防火墻產(chǎn)品將朝著高速、多功能化、更安全的方向發(fā)展。

　　1、高速。目前防火墻一個(gè)很大的局限性是速度不夠，真正達(dá)到線速的防火墻少之又少。防范DoS (拒絕服務(wù))是防火墻一個(gè)很重要的任務(wù)，防火墻往往用在網(wǎng)絡(luò)出口，如造成網(wǎng)絡(luò)堵塞，再安全的防火墻也無(wú)法應(yīng)用。應(yīng)用ASIC、FPGA和網(wǎng)絡(luò)處理器，是實(shí)現(xiàn)高速防火墻的主要方法，但尤以采用網(wǎng)絡(luò)處理器最優(yōu)，因?yàn)榫W(wǎng)絡(luò)處理器采用微碼編程，可以根據(jù)需要隨時(shí)升級(jí)，甚至可以支持IPv6，而采用其他方法就不那么靈活。實(shí)現(xiàn)高速防火墻，算法也是一個(gè)關(guān)鍵，因?yàn)榫W(wǎng)絡(luò)處理器中集成了很多硬件協(xié)處理單元，因此比較容易實(shí)現(xiàn)高速。

　　2、多功能化。多功能也是防火墻的發(fā)展方向之一，鑒于目前路由器和防火墻價(jià)格都比較高，組網(wǎng)環(huán)境也越來(lái)越復(fù)雜。一般用戶總希望防火墻可以支持更多的功能，滿足組網(wǎng)和節(jié)省投資的需要。例如，防火墻支持廣域網(wǎng)口，并不影響安全性，但在某些情況下卻可以為用戶節(jié)省一臺(tái)路由器，支持部分路由器協(xié)議，如路由、撥號(hào)等，可以更好地滿足組網(wǎng)需要；支持IPSec VPN，可以利用因特網(wǎng)組建安全的專用通道，既安全又節(jié)省了專線投資。據(jù)IDC統(tǒng)計(jì)，國(guó)外90%的加密VPN都是通過(guò)防火墻實(shí)現(xiàn)的。

　　3、安全。未來(lái)防火墻的操作系統(tǒng)會(huì)更安全。隨著算法和芯片技術(shù)的發(fā)展，防火墻會(huì)更多地參與應(yīng)用層分析，為應(yīng)用提供更安全的保障。在信息安全的發(fā)展與對(duì)抗過(guò)程中，防火墻的技術(shù)一定會(huì)不斷更新、日新月異，在信息安全的防御體系中，起到堡壘的作用。