防火墙硬件架构NP和ASIC之比较(2)

　　现代的ASIC技术通过增加ASIC芯片的可编程性，使其与软件更好地配合，从而同时满足来自灵活性和运行性能的要求。从实现功能方面看，ASIC技术可以比较容易地集成IDS、VPN等功能，也有产品已经实现了内容过滤和防病毒功能。而网络处理器受限于它的计算能力，这些功能一般只能靠协处理器来实现。

　　从今后产品的成本上看，一片网络处理器的价格在三、四百美金左右，如果需要协处理器，还要加上协处理器的成本。ASIC技术前期如果使用FPGA（Field Programmable Gate Arrays，现场可编程门阵列）来实现，两者价格大致相当。不过如果量产投片以后，ASIC的价格可以降低一个量级，因而从长远来看ASIC技术更有潜力。

　　灵活性：NP占先

　　在开发难度、开发成本和开发周期方面，网络处理器技术有比较明显的优势，毕竟网络处理器产生的一大原因就是降低这方面的门槛，这也是国内很多防火墙企业选中网络处理器的原因。

　　不过从技术成熟度方面来看，相比ASIC这样已经为实践证明了的成熟技术，网络处理器用于防火墙其实是近一年多才出现的。在此之前网络处理器在市场上的表现并不理想，一般只被用于低端路由器、交换机等数据通信产品。究其原因，主要是网络处理器开发需要的编程技术比预期的复杂困难，而且在实际应用中的性能往往并不理想，远低于其厂家的标称性能。这种技术应用在防火墙这样的复杂网络设备上，究竟能否在不影响功能的前提下，达到预期的性能，还有待检验。

　　目前防火墙的体系结构已经处于一个更新换代的门槛上，未来的发展趋势基本上是网络处理器与ASIC两条道路。从性能、功能、技术成熟度方面考虑，ASIC方案较好，从进入门槛、研发成本和灵活性考虑，则网络处理器占优。