思科防火墙销售指南之应用篇(16)

由于上述因素，目前软件防火墙的市场越来越小，更多的是硬件防火墙，特别是千兆级防火墙。

防火墙的硬件实现技术主要有三种：Intel X86架构工控机、ASIC硬件加速技术和NP加速技术。

Intel X86架构

以其高灵活性和扩展性在百兆防火墙上获得过巨大的成功，百兆级的处理能力正好在这种架构的范围里，因此百兆级防火墙采用此种结构的厂家较多，性价比也最好。

然而对于千兆网来说，X86架构的CPU由于考虑了各种应用的需要，具有一般化的通用 体系结构和指令集，以求支持复杂的运算并容易开发新的功能，其处理速度相对较慢，可扩展性差，很难满足千兆网络对于高线速的需求。并且由于基于X86 体系结构的防火墙受CPU处理能力和PCI总线速度的制约，很难满足千兆防火墙高吞吐量、低时延的要求。在实际应用中，尤其在小包情况下，这种结构的千兆 防火墙达不到千兆的转发速度，难以满足千兆骨干网络的应用要求。

ASIC架构

通过把指令或计算逻辑固化到硬件中，可以获得很高的处理能力。采用ASIC技术可以为防火墙应用设计专门的数据包处理流水线，优化存储器等资源的 利用，是公认的使防火墙达到线速千兆，满足千兆环境骨干级应用的技术方案。但是ASIC将指令或计算逻辑固化到了硬件中，缺乏灵活性，也不便于修改和升 级；深层次包分析（L4+）增加ASIC的复杂度，不能满足千兆防火墙产品对网络协议进行二到七层处理的需求；ASIC的开发周期长，典型设计周期18个 月；ASIC设计费用昂贵且风险较大。Netscreen是采用该技术的代表厂家。

NP（网络处理器）

采用微码编程，是专门为进行网络分组处理而开发的，具有优化的体系结构和指令集，它的特点是内含了多个数据处理引擎，这些引擎可以并发进行数据处 理工作，在处理2到4层的分组数据上比通用处理器具有明显的优势，网络处理器对数据包处理的一般性任务进行了优化，如TCP/IP数据的校验和计算、包分 类、路由查找等，所以比X86 CPU具备更高的处理性能；而且NP有专门的指令集和配套的软件开发系统，具有很强的编程能力，能够方便地开发各种应用，支持可扩展的服务，因而比 ASIC更具灵活性。