为什么实现千兆防火墙很困难(3)

　　一种就是使用专门设计的多总线服务器。如Nokia IP740虽然也是X86，但内置三条PCI总线，这样就可以提高防火墙的极限吞吐量，满足一般的千兆环境。第二种是使用专门的处理插卡，换方之，就是把千兆的网卡和专门的过滤处理器做到一起，形成新的千兆网卡，大部分工作无需再经PCI总线到CPU才返回，直接在PCI1就交换完毕了。这是 CheckPoint曾经使用的方法。第三种方法与第二种相似，所不同的不是使用专门的PCI集成网卡，而是使用一个前置在Pci1总线上的单片机，直接处理防火墙的过滤转发要求。这样同样可以克服总线限制。使用这种方法的就是著名的netscreen公司的ASIC处理器。最后一种办法目前仍没有确定可行。就是使用英特的NP处理器。它的缺点是把整个防火墙变成了一个过滤器。可是防火墙虽然主要工作是过滤转发，但并不是过滤转发就是防火墙，其他功能也是很重要的。否则就与路由器没有什么区别了。另一个简单的办法就是使用RISC-SCSI的架构，也即通常所说的高档UNIX主机，由于使用64位总线，也是可以克服32位PCI总线形成的瓶颈；这也几乎是普通防火墙厂商满足千兆要求的唯一办法了，就是把防火墙软件装到UNIX主机上面，成本可想而知。

　　无论是那一种方式，无不与一定量的市场需求密切相关。设计定制专门的硬件成本很高，动辄以千万美元计算，任何公司都不可能为区区一百几十台的出货量去搞什么专门的硬件。而且，千兆防火墙需求量只是百兆防火墙的几十分之一（只有败家子式的蠢才才会清一色用千兆防火墙），这就决定了即使是年出货量上千台的防火墙生产商也不能承受定制专门的千兆级硬件的成本。要知道，即使是尽得中国官方采购天时的天融信也远达不到这个出货水平。所以，世界上除非是在全世界范围内成功销售自已产品的公司，否则，推出真正的千兆防火墙是非常困难的。除非出现64位的PCI总线，否则百兆和千兆就是一个难以超越的等级；反之，一旦64 位总线成为主流，那时千兆就象今天的百兆和十兆一样，很容易就成为一个可以自动适应的网络带宽等级。到那时，瓶颈制约的就是万兆了。不过说老实话，除非是实时看高清晰度电影和电视转播，否则我的想像力根本想不出拿着万兆到底干什么好。

　　目前英特正在研发新一代的网络系统总线CSA，（传输流架构），这一接口的投入，将为LOM（LAN on Motherborad）打下基础。介时，国产千兆防火墙产品就可以无需特别定制的硬件而扬帆四海了。