【技术转载】防火墙三大体系结构介绍

 防火墙作为整个安全体系中最基础的保护环节，其重要性自然不言而喻，但由于硬件防火墙所采用的体系构架不同，其产品的市场定位和服务对象也是不同的。X86、NP以及ASIC基于这三类体系构架的防火墙该如何选择呢?下文讲给你进行解答。

 

　　一 基于X86体系构架的防火墙

　　X86架构采用通用CPU和PCI总线接口，具有很高的灵活性和可扩展性，过去一直是防火墙开发的主要平台。其产品功能主要由软件实现，可以根据用户的实际需要而做相应调整，增加或减少功能模块，产品比较灵活，功能十分丰富。由于出现的时间较长，现在已属于入门级的构架，这里入门既是对厂家的，也是对用户的。对于厂家来说，X86体系构架的防火墙是开发门槛比较低，所以国内大多数防火墙厂家都会有X86的防火墙产品。但是，由于X86本质上是一个通用CPU，没有对网络或者安全进行特殊处理，所以对用户来说，其性能不足，做到百兆线速还可以，千兆的时候就会有点吃力，现在的万兆更是望而兴叹。当然，正是由于这个构架出现的较早，其在很多安全厂商手里经过多年的锤炼，稳定性是非常出色，如果你是对性能要求不高，又对价格比较敏感的普通用户，那么X86构架的防火墙还是可以选择的。

　　二 基于NP体系构架的防火墙

　　随着IP网络的快速发展，路由器交换机逐渐从百兆走到了千兆甚至是万兆，对防火墙的转发性能和延迟有了更高要求。这种情况下，NP技术加入到安全领域，成为较高性能防火墙技术的象征。

　　NP通过专门的指令集和配套的软件开发系统，提供强大的编程能力，因而便于开发应用，支持可扩展的服务，而且研制周期短，成本较低。

　　NP网络加速能力非常好，这是它的专长。但是NP弱点也非常明显， NP这个技术从初始设计目的上，是针对路由器进行加速的，它拥有非常好的3层转发加速能力，但是在4-7层的数据处理上，对安全处理上，没有过多考虑。所以现在的多数NP构架的防火墙，主要还要外挂一个高性能CPU进行4-7层处理，这一方面增大了系统成本，另一方面，在实际网络环境下，在比较强的攻击情况下，这种体系构架的NP性能会明显下降。尽管如此，NP构架的防火墙开发难度和先期投入相对较小，我们国内的很多安全厂家都选择了NP构架防火墙路线。在安全策略不太复杂的情况下，NP防火墙做到千兆线速是不成问题，所以对于一些都网络安全有一定要求的中小企业来说，选择NP防火墙是最佳的选择，既能兼顾性能还能节约成本。

　　三 基于ASIC体系构架的防火墙

　　ASIC防火墙通过专门设计的ASIC芯片逻辑进行硬件加速处理。ASIC通过把指令或计算逻辑固化到芯片中，获得了很高的处理能力，因而明显提升了防火墙的性能。ASIC是专用加速芯片，这就如同一张白纸，完全按照设计者的目的去设计硬件电路，优化相应的功能模块，然后固化完成ASIC。这种功能专一和完全硬件电路处理，ASIC不会出现NP这种非通用加速芯片的性能问题，特别是在安全策略复杂，网络攻击频繁的情况下，性能不会下降。但是ASIC也有其弱点，不可编程灵活性非常低。特别是研发一款ASIC的前期投入费用非常的大，开发周期，技术实力都远远超过NP。这也是为什么全世界防火墙厂家，也就几个大公司才有自己的专用ASIC，其他的小防火墙公司更多是直接购买别人的ASIC芯片和知识产权。这种情况下，一旦ASIC发现设计缺陷，或者用户有了新需求而必须修改的话，但这种前期的NRE就等于打了水漂了。这点来说，NP对于设备制造商来说，开发风险和难度会小的多。

　　随着可编程ASIC的出现，ASIC的弱点也几乎消失。虽然它本质上还是ASIC，拥有和ASIC几乎相同的特性，但是它又不是完全固化的，它只是固化了设计者认为不需要修改的处理单元——如内存控制器、MAC单元、交换单元等，内部预留了很多的可编程模块，可以根据实际情况按需改进。这点上来说，它实际拥有了NP的最重要特性——灵活可变。虽然可编程ASIC芯片依旧对开发者要求很高，需要大投入长周期。但是一旦完成开发后，成本都可以得到比较好的控制，价格几乎和ASIC没有太多差别。因此选择可编程的ASIC防火墙是最佳选择，当然，昂贵的价格也注定其只能为电信级的大型企业来服务，但如果你的网络攻击太过复杂，那么使用基于ASIC的产品也是你的最佳选择。

　　通过上面的介绍相信你对该如何选则防火墙已经有了一定得了解，随着技术的不断发展，新技术的不断涌现，以及更高速度级的网络设备的出现，ASIC构架的产品也会越来越普遍。而新的构架也可能很快会出现，使得网络环境更加安全。