防火墙产品经过多年的发展，经过了从软件防火墙到硬件防火墙的变化。目前国内用户普遍能接受的就是市场上广泛销售的硬件防火墙，但是随着防火墙产品同质化现象的日益明显，厂家和用户都把注意力转移到了技术架构体系上，尤其在近两年愈演愈烈的硬件架构之争，给用户选择防火墙产品带来很多困惑。

防火墙硬件体系结构面临变革

段亚峰认为，防火墙的硬件体系结构正面临着一次变革。硬件架构之争是随着近年千兆网络开始在国内大规模推广应用而升温的。在多数网络环境下，传统的基于X86体系结构的防火墙已不能满足千兆防火墙高吞吐量、低时延的要求。因此，两种新的技术，即网络处理器（NetworkProcessor）和专用集成电路（ASIC）技术成为众多国内厂家实现千兆防火墙的主要选择。

可以说，防火墙的硬件体系结构正面临着一次变革，会出现多种结构并存互动的局面，但任何一种技术都不会成为主流而替代另一种。最后，只有为用户实际需求服务的技术，才是能在变革中生存下来的技术。

网络处理器与ASIC方案，哪种更适合千兆防火墙的应用，是目前争论的一个热点。用户可以从性能、灵活性、功能完备性、成本、开发难度、技术成熟性等方面来进行比较。从性能上说，由于基于网络处理器的防火墙本质是基于软件的解决方案，它在很大的程度上依赖于软件设计的性能，而ASIC由于是将算法固化在硬件中，因而在性能上有比较明显的优势。

关于多功能ASIC架构有潜力

目前国内销售的基于ASIC技术的防火墙，已可达到4个千兆网口的全线速包转发速率。而一般基于网络处理器的防火墙在小包情况下，还不能完全做到2网口的千兆线速转发。

反过来说，网络处理器的软件色彩使它具有更好的灵活性，在升级维护方面有较大的优势。纯硬件的ASIC防火墙缺乏可编程性，这使得它缺乏灵活性从而跟不上防火墙功能的快速发展。

现代的ASIC技术通过增加ASIC芯片的可编程性，使其与软件更好地配合，从而同时满足来自灵活性和运行性能的要求。从实现功能方面看，ASIC技术可以比较容易地集成IDS、VPN等功能，也有产品已经实现了内容过滤和防病毒功能。而网络处理器受限于它的计算能力，这些功能一般只能靠协处理器来实现。

从今后产品的成本上看，一片网络处理器的价格在三、四百美金左右，如果需要协处理器，还要加上协处理器的成本。ASIC技术前期如果使用FPGA（Field Programmable Gate Arrays，现场可编程门阵列）来实现，两者价格大致相当。不过如果量产投片以后，ASIC的价格可以降低一个量级，因而从长远来看ASIC技术更有潜力。

灵活性：NP占先

在开发难度、开发成本和开发周期方面，网络处理器技术有比较明显的优势，毕竟网络处理器产生的一大原因就是降低这方面的门槛，这也是国内很多防火墙企业选中网络处理器的原因。

不过从技术成熟度方面来看，相比ASIC这样已经为实践证明了的成熟技术，网络处理器用于防火墙其实是近一年多才出现的。在此之前网络处理器在市场上的表现并不理想，一般只被用于低端路由器、交换机等数据通信产品。究其原因，主要是网络处理器开发需要的编程技术比预期的复杂困难，而且在实际应用中的性能

[1] [2] [3] 下一页