ASIC芯片驱动综合安全(4)

　　通过充分利用新一代ASIC芯片的性能优势，ASIC架构UTM在同时打开防垃圾邮件、防病毒、入侵检测和防御(IDP)、Web过滤、P2P过滤功能时，依然保持了高性能。这一点对定位在超大型、大型网络应用环境的ASIC架构UTM来说十分重要。

　　比如在电信机房的环境中，由于其中托管了大量的各个企业的服务器，而各个企业的安全需求不尽相同，所以UTM的所有功能都可能满负荷，此时必须保证各种防护功能的性能不能有明显的下降。这一点对高端UTM来说十分重要。在大型企业中，用户可能对某些功能没有太高的性能要求。而在电信机房的环境中，由于其中托管了大量的各个企业的服务器，而各个企业的安全需求不尽相同，所以UTM的所有功能都可能满负荷，千兆线速是必须的。

　　一些ASIC架构UTM还具备动态调整的特性，就是在产品运行过程中可以对某些功能进行调整。例如用户在某个时间段对防垃圾邮件的性能要求降低，即可适当调低产品在这方面的性能。

　　有些厂商采用上一代ASIC芯片(3、4年前的技术)拼凑UTM，而上一代ASIC芯片是专门用于防火墙的，其核心是状态包过滤，它的防攻击和内容检测能力是不足以满足UTM应用的。这样堆叠的UTM，无法集中管理，因为没有足够的背板交换容量，板和板之间无法转发数据，在性能上肯定是不行的。现在专门用于UTM的ASIC芯片，在各种性能指标方面都做了大幅的改变和提升，比如在会话建立速率(Session build rate)这个指标上，新的ASIC芯片是每秒10万个，而上一代ASIC芯片只有2万个～3万个。

　　关于x86架构和ASIC架构之间的竞争，张卓的观点是:在x86或者NP平台下实现UTM产品功能是完全可行的，业内也有厂商在研发和推出这样的产品，卫士通对于这种架构的产品也有一套成熟的体系。但是卫士通坚持认为，这种架构的产品只能用于中低端市场，无法满足目前和将来高性能网络综合安全防护需求。

　　房立财认为，x86架构性能表现不佳有两个原因:1、中断问题:小包导致的中断很频繁，而中断会耗费大量的系统资源。2、即使有加速器(x86+协处理器)，由于小包往加速器中塞的速度慢，导致加速器“喂不饱”。

　　由此可见，x86架构的UTM无法满足高端市场的性能需求，但对低端用户具有吸引力，因为这些用户的网络带宽比较低，对性能的要求也不是很严格。