x86架構網絡防火墻和ASIC架構和NP架構的區別

在眾多的安全產品中，防火墻產品無疑是保障網絡安全的第一道防線，很多企業為了保障自身服務器或數據安全都采用了防火墻。  

不同構架各具特色 
    從百兆到千兆，最初只是量變。千兆防火墻在2000年前后就進入了我國市場。由于百兆網絡接口與千兆網絡接口的成本相差不大，早期的千兆防火墻僅僅是將百兆接口替換為千兆接口而已。這種基于X86體系結構的千兆防火墻主體仍然是軟件，其性能受到很大制約，無法達到千兆的處理速度。因此，這些防火墻只是具有千兆接入能力的防火墻，而不是真正具有千兆處理能力的防火墻因此可以說是一種“換湯不換藥”的形式改變。隨后幾年，隨著千兆網絡在企業和行業用戶中的不斷普及，以及用戶對性能需求的不斷增加，千兆防火墻也逐發生了質變。  

    這種質的變化首先是人們把目光轉移到了專用集成電路（ASIC）和網絡處理器（NP）上。相對于X86架構，基于這些架構的千兆防火墻才是真正的硬件解決方案，能夠實現千兆處理速度。在這里，我們不妨將X86架構、NP和ASIC放在一起進行技術比較，看看不同技術的優缺點。  

    X86架構  
    最初的千兆x86架構網絡防火墻。X86架構采用通用CPU和PCI總線接口，具有很高的靈活性和可擴展性，過去一直是防火墻開發的主要平臺。其產品功能主要由軟件實現，可以根據用戶的實際需要而做相應調整，增加或減少功能模塊，產品比較靈活，功能十分豐富。 

    但其性能發展卻受到體系結構的制約，作為通用的計算平臺，x86的結構層次較多，不易優化，且往往會受到PCI總線的帶寬限制。雖然PCI總線接口理論上能達到接近2Gbps的吞吐量，但是通用CPU的處理能力有限，盡管防火墻軟件部分可以盡可能地優化，很難達到千兆速率。同時很多X86架構的防火墻是基于定制的通用操作系統，安全性很大程度上取決于通用操作系統自身的安全性，可能會存在安全漏洞。 

    ASIC架構  
    相比之下，ASIC防火墻通過專門設計的ASIC芯片邏輯進行硬件加速處理。ASIC通過把指令或計算邏輯固化到芯片中，獲得了很高的處理能力，因而明顯提升了防火墻的性能。新一代的高可編程ASIC采用了更靈活的設計，能夠通過軟件改變應用邏輯，具有更廣泛的適應能力。但是，ASIC的缺點也同樣明顯，它的靈活性和擴展性不夠，開發費用高，開發周期太長，一般耗時接近2年。 

    雖然研發成本較高，靈活性受限制、無法支持太多的功能，但其性能具有先天的優勢，非常適合應用于模式簡單、對吞吐量和時延指標要求較高的電信級大流量的處理。目前，NetScreen在ASIC防火墻領域占有優勢地位，而我國的首信也推出了我國基于自主技術的ASIC千兆防火墻產品。  

    NP架構  
    NP可以說是介于兩者之間的技術，NP是專門為網絡設備處理網絡流量而設計的處理器，其體系結構和指令集對于防火墻常用的包過濾、轉發等算法和操作都進行了專門的優化，可以高效地完成TCP/IP棧的常用操作，并對網絡流量進行快速的并發處理。硬件結構設計也大多采用高速的接口技術和總線規范，具有較高的I/O能力。它可以構建一種硬件加速的完全可編程的架構，這種架構的軟硬件都易于升級，軟件可以支持新的標準和協議，硬件設計支持更高網絡速度，從而使產品的生命周期更長。由于防火墻處理的就是網絡數據包，所以基于NP架構的防火墻與X86架構的防火墻相比，性能得到了很大的提高。 

 
    從上面可以看出，X86架構、NP和ASIC各有優缺點。X86架構靈活性最高，新功能、新模塊擴展容易，但性能肯定滿足不了千兆需要。ASIC性能最高，千兆、萬兆吞吐速率均可實現，但靈活性最低，定型后再擴展十分困難。NP則介于兩者之間，性能可滿足千兆需要，同時也具有一定的靈活性。