防火墙硬件架构NP和ASIC之比较(1)

　　防火墙产品经过多年的发展，经过了从软件防火墙到硬件防火墙的变化。目前国内用户普遍能接受的就是市场上广泛销售的硬件防火墙，但是随着防火墙产品同质化现象的日益明显，厂家和用户都把注意力转移到了技术架构体系上，尤其在近两年愈演愈烈的硬件架构之争，给用户选择防火墙产品带来很多困惑。

　　防火墙硬件体系结构面临变革

　　段亚峰认为，防火墙的硬件体系结构正面临着一次变革。硬件架构之争是随着近年千兆网络开始在国内大规模推广应用而升温的。在多数网络环境下，传统的基于X86体系结构的防火墙已不能满足千兆防火墙高吞吐量、低时延的要求。因此，两种新的技术，即网络处理器（NetworkProcessor）和专用集成电路（ASIC）技术成为众多国内厂家实现千兆防火墙的主要选择。

　　可以说，防火墙的硬件体系结构正面临着一次变革，会出现多种结构并存互动的局面，但任何一种技术都不会成为主流而替代另一种。最后，只有为用户实际需求服务的技术，才是能在变革中生存下来的技术。

　　网络处理器与ASIC方案，哪种更适合千兆防火墙的应用，是目前争论的一个热点。用户可以从性能、灵活性、功能完备性、成本、开发难度、技术成熟性等方面来进行比较。从性能上说，由于基于网络处理器的防火墙本质是基于软件的解决方案，它在很大的程度上依赖于软件设计的性能，而ASIC由于是将算法固化在硬件中，因而在性能上有比较明显的优势。

　　关于多功能ASIC架构有潜力

　　目前国内销售的基于ASIC技术的防火墙，已可达到4个千兆网口的全线速包转发速率。而一般基于网络处理器的防火墙在小包情况下，还不能完全做到2网口的千兆线速转发。

　　反过来说，网络处理器的软件色彩使它具有更好的灵活性，在升级维护方面有较大的优势。纯硬件的ASIC防火墙缺乏可编程性，这使得它缺乏灵活性从而跟不上防火墙功能的快速发展。