【IT168专稿】虚拟世界的网络也被称为信息高速公路，多年来它也在进行着持续的提速，IP网络速度从10M到100M再到1000M以至万兆，网络节点的延迟也是以10倍、100倍的速度下降。这使得网络使用者拥有了越来越多的高速享受--网络电视、高速下载、网络视频会议……。

　　但是，IP网络业者在规划网络提速工程中，也在面对和交通系统一个完全不同的难题，网络中，限制系统速度快速提升的关键不是网线的道路建设，而是网络设备节点性能。确保网络节点持续的提升性能，特别是提升低速节点的性能，是网络设计者最需要关注的内容。而传统网络安全产品，特别是应用最为广泛的传统硬件防火墙产品经常会成为网络性能的瓶颈。这里不是说防火墙设备技术不好，而是因为安全设备本身的工作性质决定的。路由器类设备只是单纯转发，而且转发规则和策略相对固定而单一。网络安全设备的工作则要复杂的多，它需要加载多项策略，除了对每个报文进行转发外，还有可能进行各种拆包、组包、包头分析、深入的内容检查，这使其工作量和复杂度远大于纯网络转发类产品，这种天然的差异使得即使采用相同的硬件，防火墙的性能也会远低于路由器的性能。

　　对于现有的网络，高性能要求的各种实时应用确越来越多，例如VoIP、视频会议或者网络教学。随着防火墙成为网络建设不可或缺的组成部分，越来越多的网络规划和设计者会直接面对"性能－安全"矛盾，不要安全设备直接面对网上无休止的攻击和蠕虫导致了网络性能下降，可是安装上防火墙，转发延迟的迅速增大，也有可能导致网络性能的下降。面对这种情况，近年来各个防火墙厂商不断在技术上解决防火墙的性能瓶颈问题，这包括各种安全算法的优化、端口的扩容、负载均衡等，但其中从根本解决安全设备性能问题的方法是直接对防火墙硬件构架进行提升，特别是安全芯片的固化、ASIC化。

　　从各种不同硬件构架上看，传统防火墙通常都是X86或者一些通用CPU作为转发核心的工控机，这类核心处理器最大的特点是通用性强，对于安全处理和转发没有特殊优化处理。这使得传统防火墙在转发延迟和小包处理上面都显得能力不足。

　　近几年，国内部分较大的安全厂商也推出了NP构架的防火墙，试图提升安全设备的性能。NP是专门为网络设备处理网络流量而设计的处理器，其体系结构和指令集对于路由常用的数据转发等算法和操作都进行了专门的优化，可以高效地完成TCP/IP栈的常用操作，并对网络流量进行快速的并发处理。但是由于NP在安全领域的应用也有天然不足，NP的概念是上世纪末推出的，在设计的理念上是面对主流路由器市场，当时硬件防火墙并没有形成规模应用，因此NP对于安全防火墙的各种安全算法并没有特别进行优化和设计。因此设计NP防火墙时，绝大多数NP防火墙主板上必须有配传统的X86 CPU，NP负责三层转发等路由工作，X86 CPU负责安全处理--但只能达到传统X86防火墙一样的安全处理性能。这使得尽管在路由转发时，NP防火墙都实测是线速转发，但是在实际安全应用中，不断的报文安全处理使得NP的性能还是有些力不从心，特别是在网络攻击强烈的时候，NP类防火墙性能下降表现出和传统X86同样的趋势。

　　而ASIC芯片技术与NP有所区别，ASIC--Application-Specific Integrated Circuit、专用集成电路，从电子工程学上来讲，ASIC并不是新概念，从有电路的一刻起，就开始了ASIC的开发与应用， ASIC采用硬接线的固定模式，最早的ASIC确实是完全量身订造，可编程芯片则从70年代初期开始起步，可编程逻辑装置（Programmable Logic Device；PLD）经历了PLA、PAL、GAL、PEEL、EPLD、CPLD、SPLD、FPGA等阶段，现在已经进入可编程ASIC阶段，将多个电路迭层（Layer）的数层的电路改成FPGA的型态（允许变动、调整电路），并保留几层为原有的传统ASIC型态（不允许再行调整电路），从而使现代ASIC设备即有硬件芯片级的高性能，又保证了充分的灵活性和可编程能力。

　　特别重要的是，安全ASIC其开发初衷就是安全专用的，它不具备其他多余功能，厂商自己开发的ASIC更是完全按照厂商具体需求开发而成。大多数安全功能的加速算法是可以集成到芯片内部的，从而实现快速的安全转发。对于ASIC防火墙，也需要配置有传统CPU，但是这时CPU主要是起管理作用和执行性能无关的业务，对于安全处理和转发的加速，则完全由ASIC来处理，从而确保了系统无论是路由转发还是网络攻击的环境都能保证较高的带宽。

　　同时，由于完全是芯片级的硬件转发，使得实时应用比较关注的网络延迟有极大的提升。根据对ASIC防火墙厂商Juniper、天融信的ASIC防火墙的测试表明，ASIC防火墙基本全都可以达到千兆满配线速转发，而转发延迟最低的天融信防火墙最小可以达到2微妙，这低于传统x86和NP防火墙几十到几千倍。达到甚至低于普通网络交换机的转发延迟，这对于安全网络中的实时业务--IP电话、视频会议、网上证券等应用的重要性是不言而喻的。

　　网络速率的提升也不单单是把端口从100M更换为1000M兆，它后面有一系列的工作，有网络拓扑的变化，网络管理的变化，更有设备硬件构架的本质改变，它更需要各个参与者全方位的配合，只有这样，才能真正给网络用户带来真正高速度的、高质量、完全不同的网络新体验。

　　防火墙作为访问控制设备，针对不同应用具有不同端口的特点，进行访问控制，保证访问的合规性，在网络出口处成为攻击防御的第一关；对于需要在防火墙上开放端口传输业务数据、不同的应用逐步通过80端口--HTTP协议传输数据的情况，则需要通过IPS产品进行深度检测防御、判断流量中是否夹杂恶意攻击代码并进行及时阻断。来自内部的主动或被动的攻击行为也可以使用IPS产品对出去的流量进行深度检测防御。

　　天融信公司推出的基于硬件加速技术的IPS产品--网络卫士入侵防御系统TopIDP，在线部署在网络中，提供主动、实时的防护，具备对2到7层网络的线速、深度检测能力，同时配合以精心研究、及时更新的攻击特征库，既可有效检测并实时阻断隐藏在海量网络中的攻击、蠕虫病毒与滥用行为，也可以对网络中的各种流量进行有效管理，从而达到对网络架构防护、网络性能保护和核心应用保障。

　　TopIDP是基于硬件加速的IPS产品，以ASIC为核心计算单元，NPU、CPU为辅助处理单元，保证了该产品具有交换机一样的高吞吐量和低延时，能够满足如VOIP等低延时应用的要求。保证了TopIDP 64字节小包线速处理性能、保证了2～7层深度过滤时千兆级线速性能。