防火墙硬件架构NP和ASIC之比较(3)

　　从目前的情况来看，国外的高端防火墙大部分采用的是ASIC技术，国内厂商则选用网络处理器的居多。今后高端防火墙的技术将是ASIC和网络处理器这两种主流技术并存，它们各自都会继续向前发展，在速度、功能方面都还有很大的发展空间。而用户在选择千兆防火墙产品时也要综合考虑厂商实力、实际应用需求、采购成本、防火墙技术与产品的成熟度等多种因素，全盘考虑为宜。

　　三大架构的不同特点

　　在百兆防火墙时代，国内防火墙厂商普遍采用的是通用CPU配合软件的技术方案。虽然很多厂家也把它称之为硬件防火墙，但实际上都是基于X86架构的服务器或工控机。这类防火墙一般运行在经过裁减的操作系统上（通常是Linux或BSD），所有的数据包解析和审查工作都由软件来完成。

　　虽然这种技术方案在百兆防火墙市场取得了很大的成功，但由于CPU处理能力和PCI总线速度的制约，在实际应用中，尤其在小包情况下，这种结构的千兆防火墙远远达不到千兆的转发速度（64字节包长时，双向转发速率一般为百分之二十以下），难以满足千兆骨干网络的应用要求。

　　网络处理器是专门为处理数据包而设计的可编程处理器，它的特点是内含了多个数据处理引擎。这些引擎可以并发进行数据处理工作，在处理2到4层的分组数据上比通用处理器具有明显的优势。

　　网络处理器对数据包处理的一般性任务进行了优化，如TCP/IP数据的校验和计算、包分类、路由查找等。同时硬件体系结构的设计也大多采用高速的接口技术和总线规范，具有较高的I/O能力。这样基于网络处理器的网络设备的包处理能力得到了很大的提升。

　　它具有以下几个方面的特性：完全的可编程性、简单的编程模式、最大化系统灵活性、高处理能力、高度功能集成、开放的编程接口、第三方支持能力。