防火墙硬件架构NP和ASIC之比较(4)

　　基于网络处理器架构的防火墙与基于通用CPU架构的防火墙相比，在性能上可以得到很大的提高。网络处理器能弥补通用CPU架构性能的不足，同时又不需要具备开发基于ASIC技术的防火墙所需要的大量资金和技术积累，最近在国内信息安全厂商中备受关注，成为国内厂商实现高端千兆防火墙的热门选择。

　　采用ASIC技术可以为防火墙应用设计专门的数据包处理流水线，优化存储器等资源的利用，是公认的使防火墙达到线速千兆，并满足千兆环境骨干级应用的技术方案。

　　防火墙产品的3个发展趋势

　　从现有的网络环境，以及用户安全需求的变化趋势来看，防火墙产品将朝着高速、多功能化、更安全的方向发展。

　　1、高速。目前防火墙一个很大的局限性是速度不够，真正达到线速的防火墙少之又少。防范DoS (拒绝服务)是防火墙一个很重要的任务，防火墙往往用在网络出口，如造成网络堵塞，再安全的防火墙也无法应用。应用ASIC、FPGA和网络处理器，是实现高速防火墙的主要方法，但尤以采用网络处理器最优，因为网络处理器采用微码编程，可以根据需要随时升级，甚至可以支持IPv6，而采用其他方法就不那么灵活。实现高速防火墙，算法也是一个关键，因为网络处理器中集成了很多硬件协处理单元，因此比较容易实现高速。

　　2、多功能化。多功能也是防火墙的发展方向之一，鉴于目前路由器和防火墙价格都比较高，组网环境也越来越复杂。一般用户总希望防火墙可以支持更多的功能，满足组网和节省投资的需要。例如，防火墙支持广域网口，并不影响安全性，但在某些情况下却可以为用户节省一台路由器，支持部分路由器协议，如路由、拨号等，可以更好地满足组网需要；支持IPSec VPN，可以利用因特网组建安全的专用通道，既安全又节省了专线投资。据IDC统计，国外90%的加密VPN都是通过防火墙实现的。

　　3、安全。未来防火墙的操作系统会更安全。随着算法和芯片技术的发展，防火墙会更多地参与应用层分析，为应用提供更安全的保障。在信息安全的发展与对抗过程中，防火墙的技术一定会不断更新、日新月异，在信息安全的防御体系中，起到堡垒的作用。