處理 UTM中性能與功能的矛盾，通常有兩種途徑：挑選合適的高性能硬件平臺或對軟件執行 體系架構的優化。挑選合適的硬件平臺是比較直接、快捷的方式。安全產品的硬件承載平臺通常有X86、NP、ASIC、多核SOC等幾種。
    1  x86架構
    x86架構，也稱為CPU架構，采用通用的x86 CPU作為整個系統的轉發核心，具有很高的靈活性和可擴展性，一直是安全網關開發的首要平臺。其產品功能首要由軟件實現，還能夠根據用戶的實際須要做相應 調整，添加或降低功能模塊，產品比較靈活，功能十分豐厚。比方，現在安全網關的趨勢就是向UTM方向成長，在一個產品中集成防火墻、入侵防御、防病毒及內 容過濾等特性 ，x86架構的安全網關能夠很方便地集成上述功能。
    但該架構的性能成長受到CPU體系結構的制約，作為通用的計算平臺，x86的結構層次較多，不易優化，特別是在小包處理中，x86的進程調度、中斷處理等 都會大幅降低整機吞吐量。同時，x86作為通用CPU，沒有為網絡轉發及安全計算執行 優化，因此基于x86的硬件平臺仍很難達到千兆速率。
    x86架構安全網關的特性：
    ·優點：靈活，功能豐厚，開放性好，是百兆和千兆中低端防火墻的首要架構；。缺點：性能提高難處，特別是小包處理時性能降低嚴重。
    NP（Network Processor：網絡處理器）是專門為網絡裝備處理網絡流量而設計的處理器，在其體系結構和指令集中對網絡裝備常用的包過濾、轉發等算法和操作都執行 了專門的優化，能夠高效地完成TCP/IP協議棧的常用操作，并對網絡流量執行 高速的并發處理。NP議決專門的指令集和配套的軟件開發系統，提供強悍的面向網絡報文處理的編程能力，因而便于開發使用，支持可擴展的服務，并且研制周期 相對較短，成本比開發ASIC低。
    但是，相比于x86架構，由于使用開發、功能擴展受到NP的配套軟件的限定，故基于NP技能的防火墻的靈活性要差一些，并且還依靠軟件環境，所以在性能方 面NP不如 ASIC.特別是在防火墻的重要性指標——“多策略龐雜環境下的吞吐量”上，NP架構的劣勢更加清楚。NP芯片的基本結構如圖2-2所示，核心是 xScale CPU，該CPU是一款低端arm內核的CPU，其處理能力僅相當于Intel P3 CPU，而NP架構防火墻的查表（安全策略表）操作只好由該xScale CPU處理，因此在大流量、多安全策略環境下，NP架構防火墻的吞吐量會出現清楚降低。（注：在高端NP路由器中，由外置TCAM芯片實現查找路由表的操 作，但該技能無法 使用到NP網關中）
    同時，NP芯片首要的設計方向是路由器類的網絡裝備，幾乎沒有任何針對安全裝備的加快功能，所以NP龐雜且相對固話的報文處理流程決定了這類架構的安全網關幾乎不可能提供高級安全特性 ，如入侵防御、病毒過濾等，而只好作為純粹的防火墻運用。
    NP架構安全網關特性。
    ·優點：靈活性優于ASIC，性能優于x86，開發流程要比ASIC短。

·缺點：性能低于ASIC，靈活性低于x86；多安全策略環境下性能降低；無法升級到UTM裝備，無法 提供高級安全特性 。
    ASIC（Application Specific Intergrated Circuits）架構安全網關議決專門設計的ASIC芯片邏輯執行 硬件加快處理，這種ASIC完全按照設計者的目標去設計硬件電路，優化相應的功能模塊，然后固化完成ASIC.ASIC架構的優勢是性能高，轉發性能與安 全策略數目無關。
    ASIC架構的首要缺點表現在以下兩個方面：
    一是靈活性不夠，開發費用高，開發周期太長。由于ASIC架構的固定性與安全網關須要面對的龐雜恐嚇相互矛盾，因此ASIC架構從開發周期上無法 應對層出不窮的安全恐嚇，只適合于功能固化的防火墻、VPN類產品。
    二是新建連接的速率不高，實際上這類架構產品的基本模型是ASIC+x86 CPU，由x86 CPU負責系統維護、策略配置及連接建立，然后將相關 的安全策略和連接信息同步到ASIC芯片中，由ASIC芯片實現基于狀態的策略控制和報文過濾；ASIC芯片與CPU的狀態信息須要不斷同步，因此 ASIC架構的性能“短板”是新建連接的速率低。
    總結ASIC架構安全網關的優缺點：
    ·優點：轉發性能比NP、X86高；
    ·缺點：功能固化，新建連接的速率低，無法 支持高級安全特性 。
    多核（Multicore）架構是當前最新的高性能安全網關處理方案。所謂多核架構，是指以多核處理器為轉發核心的安全網關裝備。多核處理器大多基于 MIPS64體系，在一個多核處理器中同時支持2～16個獨立構架的CPU.同時，多核處理器在開發時即思慮到了用戶的使用要求，主流多核處理器均集成了 硬件加密、正則匹配等硬件協處理器和網絡使用加快器，特別適合安全網關類產品如防火墻、VPN、防病毒、入侵防御等裝備采用。多核架構的安全網關從技能角 度來說是相當圓滿的：高吞吐量、會話建立速度高、硬件支持多種高級安全功能等。
    多核架構現有的不足就是開發難度大。
    總結多核架構安全網關的優缺點：
    ·優點：轉發性能比NP、X86、ASIC高，具備足夠的靈活性，支持高級安全功能；
    ·缺點：開發難度大。
    5  多核是最適合UTM的架構
    從前面的剖析能夠明白到每種硬件架構的特性，但對于UTM，哪種架構更加合適，這須要有統一的衡量規則。性能與功能的矛盾是硬件平臺重點處理的疑問，因此 暫時把開發難度、研發投入等因素拋開，而從功能滿足的靈活性、性能表現兩個方面來對各種架構執行 比較。將靈活性作為縱坐標，性能作為橫坐標，x86、NP、ASIC、多核等架構的位置如圖所示。

能夠看出，x86架構的靈活性很高，能夠實現徹底的使用層安全功能，但性能低；NP架構靈活性比較高，性能中等，不是UTM最好的架構平臺；ASIC性能 高，但靈活性低，無法 實現徹底的使用層安全；多核靈活性高，性能也高，處于象限的右上角，最適合作為UTM的硬件平臺。