【IT168 专稿】防火墙的未来是向着高性能，强大的QoS保证能力和深度防御三个方向发展。政府、金融电力等关键行业的数据中心、大型电信运营商的网络流量巨大，业务复杂。多业务下的流量剧增不仅对带宽提出了很高的要求，而且对防火墙多业务支持的功能和性能方面也提出了很高的要求。

    因此，典型的千兆高端防火墙的技术特征是具有4G到10G线速处理能力；在承受海量业务流突发的情况下保证流媒体，视频，语音等时延敏感应用的稳定运行的能力。高端用户往往采用高性能服务器对外提供特定的网络服务，例如WWW或电子邮件服务。

    由于访问者、时间、地点复杂，并且一些网站需要提供商业用途，所以对安全性的要求也很高，这就需要防火墙对数据包进行深层次的检查，进行恶意代码、SQL注入等多种攻击行为的检测，同时有效防范DDOS攻击，保障诸如网上银行等关键应用的稳定运行，防范各类攻击入侵。

    FPGA体系结构和ASIC技术的区别
    FPGA（Field-Programmable Gate Array，现场可编程门阵列）在现代数字电路设计中发挥着越来越重要的作用。从设计简单的接口电路到设计复杂的状态机，甚至设计“System On Chip”（片上系统），FPGA所扮演的角色已经不容忽视。因为FPGA硬件可重新配置且可用性、精密度不断提高，可以轻易配合系统规格随时改变的要求，为用户带来充足的灵活性。

    FPGA体系结构能够保证4- 10G路由和安全访问控制的线速处理能力，包括各类多媒体业务、实时或非实时业务、连接或非连接业务等。同时，以FPGA作为处理和交换架构的基础，还可以通过FPGA良好的可编程性对数据包和协议进行深层次的检查和过滤，而且投资规模小，开发周期短，是一种非常理想的高性能防火墙硬件平台架构。

    与FPGA技术相比，ASIC技术将指令或计算逻辑固化到了硬件中，缺乏灵活性，不便于修改和升级；其次，深层次包分析（L4+）增加ASIC的复杂度，不能满足防火墙产品对网络协议进行二到七层处理的需求；第三、ASIC的开发周期长，设计费用昂贵且风险较大。建立一个基本的ASIC研发环境就需要投资上千万元，从设计、验证、流片，到最终量产投资额往往要达到数千万元。这样无疑会造成投资回报期过长，大大增加了产品和项目的资金风险。最后，采用ASIC技术的防火墙最大的问题在于缺乏可编程性，对新功能的实施周期长，很不灵活，使得它难以跟上当今防火墙功能的快速发展。在日益猖獗的黑客攻击面前，特别是针对在应用层攻击（如Slammer、冲击波病毒）等面前显得无能为力。

    采用FPGA技术可以节省ASIC设计所需要的设施和平台的巨大投入。对于单台防火墙设备，FPGA芯片的成本占总成本的比重很低，而且采用FPGA架构可以通过配置和添加基本软件来实现定制，从而不断提升产品的性价比。