识别千兆防火墙(2)

　　无论采用哪种结构（Intel X86、NP、ASIC），只是在数据处理方式方面有所不同，并不能确定采用了NP或者ASIC设计的千兆防火墙在性能上就一定优越于通用CPU结构的千兆防火墙。就拿NP架构的千兆防火墙而言，必须在微码的优化、中间判断环节的减少、策略决策模块同执行模块的分离上面进行技术优化，这样设计出来的千兆防火墙在性能上才能很大程度地优于通用CPU架构的防火墙系统。例如国内的清华紫光比威自主研发的双NP架构千兆防火墙系统，通过两片网络处理器协同工作，使性能在64字节时吞吐率可达80%左右。

　　背景资料：千兆防火墙的硬件实现技术主要有三种：Intel X86架构工控机、ASIC硬件加速技术和NP加速技术。

　　Intel X86架构 曾经以其高灵活性和扩展性在百兆防火墙上获得过巨大的成功，然而对于千兆网来说，X86架构的CPU由于考虑了各种应用的需要，具有一般化的通用体系结构和指令集，以求支持复杂的运算并容易开发新的功能，所以其处理速度相对较慢，很难满足千兆网络对于高线速的需求。

　　ASIC架构通过把指令或计算逻辑固化到硬件中，可以获得很高的处理能力。但是ASIC将指令或计算逻辑固化到了硬件中，缺乏灵活性，也不便于修改和升级；深层次包分析（L4+）增加ASIC的复杂度；ASIC的开发周期长，典型设计周期18个月；ASIC设计费用昂贵且风险较大。

　　NP（网络处理器）采用微码编程，是专门为进行网络分组处理而开发的，具有优化的体系结构和指令集，所以比X86 CPU具备更高的处理性能；而且NP有专门的指令集和配套的软件开发系统，具有很强的编程能力，能够方便地开发各种应用，支持可扩展的服务，因而比ASIC更具灵活性。