识别千兆防火墙(1)

　　当国内厂商纷纷推出基于NP或ASIC架构的千兆防火墙系统时，用户面对“线速千兆”、“自主研发”、“纯硬件”、“NP”、“ASIC”等大量字眼极其困惑。是否国内大部分厂商都拥有自主研发基于NP或设计ASIC芯片的能力？是否采用了NP或ASIC架构就一定带来高性能？什么样的可以被叫做线速千兆防火墙系统，衡量标准是什么？

　　陷阱一：千兆线速

　　性能对于千兆防火墙而言是很重要的一个指标，但是大量厂商均号称自己的千兆防火墙为“千兆线速”，因此对于用户而言很难从本质上了解千兆防火墙的性能指标，而仅仅通过并发连接数等指标考察产品性能，其实这是一个很大的误区。

　　吞吐量测试数据、丢包率测试数据和延迟测试数据才是衡量一个千兆防火墙性能的指标参数。以太网吞吐量最大理论值称为线速，即指网络设备有足够的能力以全速处理最小的数据封包转发。因此一个千兆防火墙系统要达到千兆线速，必须在全速处理最小的数据封包（64字节）转发时可达到100%吞吐率。

　　然而目前还没有一款千兆防火墙在64字节帧长时可以达到100%的吞吐率（最好的测试数据仅为72%）。因此号称“千兆线速”的防火墙也仅仅是在帧长为128字节时可能达到100%，然而根据RFC定义，这样的设备并不能称为“线速”。

　　因此用户在选购千兆防火墙设备时，不要被厂商的市场宣传字眼迷惑，考虑性能时必须从吞吐量、延迟、丢包率等数据确定产品的性能。

　　陷阱二：“基于NP或ASIC结构”

　　一些网络安全厂商在市场宣传上大幅度强调采用了NP或ASIC架构，然而对于用户而言，采用何种结构并不是关键点，如果采用NP架构设计的千兆防火墙在性能上同Intel X86架构的千兆防火墙一样，那么对于用户而言就没有任何的价值可取。