防火牆三大體系架構前景分析(轉)

　　賽迪顧問的統計分析顯示，2004年以來，防火牆市場依然保持了高速的增長，僅第2季度，防火牆市場在整個網路安全市場的份額高達40％以上。

　　

　　在現有的x86、NP、ASIC架構的防火牆產品中，誰將成為市場的主流？三大架構防火牆產品的不同技術特點是什麼？[@more@]

　　

　　工控機時代漸行漸遠

　　目前在國內的資訊保安市場上，防火牆多是基於Intel x86系列架構的產品，又被稱為工控機防火牆，其具有開發、設計門檻低，技術成熟等優點。

　　

　　但是，缺陷也是顯而易見的，由於x86架構的硬體並非為了網路資料傳輸而設計，它對資料包的轉發效能相對較弱。並且由於國內安全廠商並不掌握x86架構的核心技術，其BIOS中存在著隱藏的漏洞，有可能影響防火牆的安全可靠性。而且工控機的產業鏈條非常複雜，國內廠商在其中能發揮的影響力很有限，不利於國內資訊保安產業的長期發展。

　　

　　未來引領防火牆市場的會是哪一種技術，這是一直以來困擾業界的問題。隨著網路頻寬的增長和千兆網路在國內的大規模推廣應用，市場對基於高頻寬網路中安全裝置的需求也迅速增長。在未來的網路環境下，傳統的基於x86體系結構的工控機防火牆已不能滿足寬頻網路高吞吐量、低時延的要求，而網路處理器（Network Processor）和專用積體電路（ASIC）技術被認為是未來千兆防火牆的主要方向。

　　

　　三大技術優勢互現

　　先來看基於ASIC技術的防火牆。採用ASIC技術可以為防火牆應用設計專門的資料包，是公認的滿足千兆環境骨幹級應用的技術方案。但ASIC技術開發成本高、開發週期長且難度大，而且ASIC技術在國外已經歷了10多年的發展，技術成熟、穩定，而國內廠商要採用ASIC技術難度卻很大。

　　

　　NP（網路處理器）是專門為處理資料包而設計的可程式設計處理器，它具有完全的可程式設計性、簡單的程式設計模式、最大化系統靈活性、高處理能力、高度功能整合、開放的程式設計介面以及第三方支援能力。

　　

　　這些特性使基於NP架構的防火牆與傳統防火牆相比，在效能上得到了很大的提高，同時又具有極佳的靈活擴充套件性。

　　

　　NP技術可以支援程式設計，一旦有新的技術或者需求出現，資深設計師可以很方便地透過微碼程式設計實現。

　　

　　對於特殊的使用者需求，基於NP的NetEye防火牆產品可以實現定製開發，即可以透過模組刪減來開發出滿足不同使用者的需求的產品。而用ASIC實現的情況下，由於對ASIC不可程式設計，因此根本無法對新的功能進行新增。

　　

　　在新功能開發的時間上，按照業界的經驗數字，基於微碼的功能開發週期一般為6個月甚至更短，用ASIC實現的時間通常需要2～3年的時間。

　　

　　NP，如何叫好又叫座？

　　2003年，國內廠商開始推出基於NP架構的防火牆，NP概念一下子火爆異常。但很快人們發現，NP平臺也並非坦途。由於受技術成熟因素和成本因素兩方面制約，國內已推出的NP防火牆產品或侷限於個別型號，或是乾脆停留在實驗階段，並沒有大規模進入主流市場。一時間，NP陷入了叫好不叫座的尷尬局面。

　　

　　從產品特性上講，NP架構下的產品批次生產成本比x86架構要高，而NP的計算能力又比ASIC要低。這都是NP架構防火牆必須面對的問題，但NP防火牆具有更高的整合度，並以分散式的儲存系統，能夠勝任高頻寬的線速處理。

　　

　　千兆防火牆：ASIC略勝一籌

　　以千兆防火牆為例，採用ASIC技術可以為防火牆應用設計專門的資料包處理流水線，最佳化儲存器等資源的利用，是公認的使防火牆達到線速千兆，滿足千兆環境骨幹級應用的技術方案。但ASIC技術開發成本高、開發週期長且難度大，一般的防火牆廠商難以具備相應的技術和資金實力。

　　

　　網路處理器（NP）是專門為處理資料包而設計的可程式設計處理器，它的特點是內含了多個資料處理引擎，這些引擎可以併發進行資料處理工作，在處理2到4層的分組資料上比通用處理器具有明顯的優勢，能夠直接完成網路資料處理的一般性任務。硬體體系結構大多采用高速的介面技術和匯流排規範，具有較高的I/O能力，包處理能力得到了很大提升。

　　

　　從效能的角度分析，基於Intel x86架構的千兆防火牆，由於受CPU處理能力和PCI匯流排速度的制約，效能和功能不能達到網路安全和網路效能間的統一。

　　

　　從功能的角度分析，基於通用處理器的x86架構上開發的防火牆，功能強大，可擴充性非常好；基於ASIC的防火牆雖然在效能上非常強大，但是在功能性、靈活性和可擴充性等方面就差很多了。

　　

　　因基於ASIC的防火牆開發難度大、週期長、產品靈活性差等原因，不適合技術和資金積累較薄弱的國內廠商發展。所以，隨著NP技術的成熟和發展，開發基於NP的網路安全產品成為國內廠商的首選。

　　

　　只是此消彼漲，不是誰消滅誰

　　基於網路處理器架構的防火牆與基於通用CPU架構的防火牆相比，在效能上可以得到很大的提高。基於NP的防火牆可以集x86架構防火牆的功能與ASIC防火牆的效能於一身。網路處理器能彌補通用CPU架構效能的不足，同時又不需要具備開發基於ASIC技術的防火牆所需要的大量資金和技術積累，最近在國內資訊保安廠商中備受關注，成為國內廠商實現高階千兆防火牆的熱門選擇。因此，在高階千兆市場，基於NP的防火牆將是重要的趨勢。

　　

　　但是，這種趨勢是此消彼長的關係，不是誰消滅誰的關係，這三種防火牆在市場上將長期保持共存的局面。未來，在低端千兆市場上，x86架構的防火牆將成為主流；在高階千兆市場上，基於NP的防火牆將佔有較大的市場分額。