【IT168专稿】千兆网络开始规模化应用，随之而来的自然是架设在千兆网络上的安全问题。由于传统的基于X86体系结构的防火墙不能满足千兆防火墙高吞吐量、低时延的要求，因此，两种新的技术——网络处理器（Network Processor，NP）和专用集成电路（ASIC）技术成为众多防火墙厂家实现千兆防火墙的主要选择。可以说，千兆防火墙将迫使防火墙硬件体系结构面临一次质的变革。

      性能对于千兆防火墙而言是很重要的一个指标，千兆网络环境下，速度往往会成为防火墙的瓶颈，但是现在标称的千兆防火墙真正可以达到标准线速的非常少，而对于线速的要求又是千兆防火墙的必备指标之一。大量厂商均号称自己的千兆防火墙为“千兆线速”，对于用户而言很难从本质上了解千兆防火墙的性能指标，而仅仅通过并发连接数等指标考察产品性能，这其实是一个很大的误区。

      吞吐量测试数据、丢包率测试数据和延迟测试数据是衡量一个千兆防火墙性能的根本指标参数。以太网吞吐量最大理论值称为线速，即指网络设备有足够的能力以全速处理最小的数据封包转发。因此一个千兆防火墙系统要达到千兆线速，必须在全速处理最小的数据封包（64字节）转发时可达到100%吞吐率。遗憾的是，目前还没有一款千兆防火墙可以达到100%的吞吐率，因此号称“千兆线速”自然是妄自夸大。

      千兆防火墙所以成为热点，和NP、ASIC两种架构争宠也有很大关系。NP是专门为处理数据包而设计的可编程处理器，它的特点是内含了多个数据处理引擎，这些引擎可以并发进行数据处理工作，在处理2到4层的分组数据上比通用处理器具有明显的优势。NP对数据包处理的一般性任务进行了优化，如TCP/IP数据的校验和计算、包分类、路由查找等。同时硬件体系结构的设计也大多采用高速的接口技术和总线规范，具有较高的I/O能力。这样基于NP的网络设备的包处理能力得到了很大的提升。NP能弥补X86架构性能的不足，同时又不需要具备开发基于ASIC技术的防火墙所需要的大量资金和技术积累，所以最近成为了国内防火墙厂商实现高端千兆防火墙的热门选择。

      可以预计，目前防火墙的体系结构已经处于更新换代的阶段，未来的发展趋势基本上将会是NP和ASIC两虎相争。从性能、功能、技术成熟度方面考虑，ASIC方案具有优势，但从进入门槛、研发成本和灵活性考虑则NP占优。两者的较量将会持续很长一段时间，而受益的，自然是千兆防火墙了。