思科防火墙销售指南之应用篇(17)

同时硬件体系结构的设计也大多采用高速的接口技术和总线规范，具有较高的I/O能力。这样基于网络处理器的网络设备的包处理能力得到了很大的提升。

它具有以下几个方面的特性：

• 完全的可编程性；
• 简单的编程模式；
• 最大化系统灵活性；
• 高处理能力；
• 高度功能集成；
• 开放的编程接口；
• 第三方支持能力。

以下详细描述NP 和ASIC在千兆防火墙的技术实现区别。

目前防火墙一个很大的局限性是速度不够，真正达到线速的防火墙少之又少。防范DoS是防火墙一个很重要的任务，防火墙往往用在网络出口，如造成网 络堵塞，再安全的防火墙也无法应用。应用ASIC、FPGA和NP网络处理器是实现高速防火墙的主要方法，但尤以采用网络处理器最优，因为网络处理器采用微码 编程，可以根据需要随时升级，甚至可以支持IPv6，而采用其他方法就不那么灵活。实现高速防火墙，算法也是一个关键，因为网络处理器中集成了很多硬件协 处理单元，因此比较容易实现高速。

采用NP技术的防火墙

网络处理器是专门为处理数据包而设计的可编程处理器，它的特点是内含了多个数据处理引擎，这些引擎可以并发进行数据处理工作，在处理2到4层的分 组数据上比通用处理器具有明显的优势。网络处理器对数据包处理的一般性任务进行了优化，如TCP/IP数据的校验和计算、包分类、路由查找等。同时硬件体 系结构的设计也大多采用高速的接口技术和总线规范，具有较高的I/O能力。这样基于网络处理器的网络设备的包处理能力得到了很大的提升。

它具有以下几个方面的特性：完全的可编程性、简单的编程模式、最大化系统灵活性、高处理能力、高度功能集成、开放的编程接口、第三方支持能力。

网络处理器的软件色彩使它具有更好的灵活性，在升级维护方面有较大的优势。