2004年以来，防火墙市场依然保持了高速的增长，仅第2季度，防火墙市场在整个网络安全市场的份额高达40％以上。

在现有的x86、NP、ASIC架构的防火墙产品中，谁将成为市场的主流？三大架构防火墙产品的不同技术特点是什么？

工控机时代渐行渐远

目前在国内的信息安全市场上，防火墙多是基于Intel x86系列架构的产品，又被称为工控机防火墙，其具有开发、设计门槛低，技术成熟等优点。

但是，缺陷也是显而易见的，由于x86架构的硬件并非为了网络数据传输而设计，它对数据包的转发性能相对较弱。并且由于国内安全厂商并不掌握x86架构的核心技术，其BIOS中存在着隐藏的漏洞，有可能影响防火墙的安全可靠性。而且工控机的产业链条非常复杂，国内厂商在其中能发挥的影响力很有限，不利于国内信息安全产业的长期发展。

未来引领防火墙市场的会是哪一种技术，这是一直以来困扰业界的问题。随着网络带宽的增长和千兆网络在国内的大规模推广应用，市场对基于高带宽网络中安全设备的需求也迅速增长。在未来的网络环境下，传统的基于x86体系结构的工控机防火墙已不能满足宽带网络高吞吐量、低时延的要求，而网络处理器（Network Processor）和专用集成电路（ASIC）技术被认为是未来千兆防火墙的主要方向。

三大技术优势互现

先来看基于ASIC技术的防火墙。采用ASIC技术可以为防火墙应用设计专门的数据包，是公认的满足千兆环境骨干级应用的技术方案。但ASIC技术开发成本高、开发周期长且难度大，而且ASIC技术在国外已经历了10多年的发展，技术成熟、稳定，而国内厂商要采用ASIC技术难度却很大。

NP（网络处理器）是专门为处理数据包而设计的可编程处理器，它具有完全的可编程性、简单的编程模式、最大化系统灵活性、高处理能力、高度功能集成、开放的编程接口以及第三方支持能力。

这些特性使基于NP架构的防火墙与传统防火墙相比，在性能上得到了很大的提高，同时又具有极佳的灵活扩展性。

NP技术可以支持编程，一旦有新的技术或者需求出现，资深设计师可以很方便地通过微码编程实现。

对于特殊的用户需求，基于NP的NetEye防火墙产品可以实现定制开发，即可以通过模块删减来开发出满足不同用户的需求的产品。而用ASIC实现的情况下，由于对ASIC不可编程，因此根本无法对新的功能进行添加。

在新功能开发的时间上，按照业界的经验数字，基于微码的功能开发周期一般为6个月甚至更短，用ASIC实现的时间通常需要2～3年的时间。

NP，如何叫好又叫座？

2003年，国内厂商开始推出基于NP架构的防火墙，NP概念一下子火爆异常。但很快人们发现，NP平台也并非坦途。由于受技术成熟因素和成本因素两方面制约，国内已推出的NP防火墙产品或局限于个别型号，或是干脆停留在实验阶段，并没有大规模进入主流市场。一时间，NP陷入了叫好不叫座的尴尬局面。

从产品特性上讲，NP架构下的产品批量生产成本比x86架构要高，而NP的计算能力又比ASIC要低。这都是NP架构防火墙必须面对的问题，但NP防火墙具有更高的集成度，并以分布式的存储系统，能

[1] [2] 下一页