网络网专电  防火墙面临OC-48乃至OC-192线速转发的挑战，以及数据流深层次语义理解的挑战。因此，超高性能硬件防火墙受到人们的普遍重视。联想网御Super V-II采用多颗网络处理器协同工作的体系结构，可以将防火墙的处理性能提高到10Gbps以上。

多NP协同工作体制

       目前国内的NP防火墙多采用单NP架构，这种模式无法突破单NP芯片自身的性能极限。以目前在业界比较流行的NP芯片为例，IBM 4GS3的交换能力也只有4Gbps。

        网御Super V-II采用多NP结构模型，主控板CPU负责控制层面的操作，业务板的NP负责数据层面操作，NP之间通过交换矩阵进行高速通信，各业务板上的CPU仍然使用传统的方式进行通信，用户可以根据需要选择一块或者多块业务板模块，在这种结构模式下，防火墙的处理能力可以容易地达到4G、8G、12G甚至更高。测试表明，在两块NP处理板并行工作时，64字节小数据包访问控制能力可达7Gbps，512字节以上数据包处理能力可达万兆级。
 

千兆线速VPN
        联想网御针对高端VPN市场，推出了基于ASIC的全新的In-Line的体系架构，在In-line体系架构下将安全处理模块串接在数据通路上。在Super V-II硬件架构中，采用了完整实现IPSec协议的ASIC芯片，在芯片中基于硬件对IPSec协议的SA、SP查找算法进行了优化，实现了表项的快速定位。同时采用高速加解密引擎，使传统IPSec协议实现中最耗资源的模块性能有了极大的提高。在系统设计上，采用可插拔高速接口将ASIC安全芯片与系统处理器NP串接，使VPN模块和NP之间既可以达到千兆线速，又可以按模块化结构灵活配置。

      在实际的系统测试中，64字节小包，处理能力为600Kpps，1280大包达到线速。这一性能指标使Super V-II完全有能力对骨干网上关键敏感流量的保护提供强有力支撑，很好地满足了电信企业中VPN线路租赁业务、超大型跨国公司搭建全球业务网络等高端用户需求。

抗DDoS攻击能力
      Super-V II防火墙采用多NP技术、32×N个线程并行处理，将数据处理和抗DDoS攻击能力提高了一个数量级。在整合目前已有的抗DDoS攻击手段的基础上，采用了全新的攻击行为模式匹配算法、基于NP上专用硬件协处理器的动态指纹校验、硬件流量分配机制，能够在将攻击流量拒之门外的同时，使真正的访问流量可以正常通过。

      Super-V II防火墙攻击行为模式匹配算法改变了以往仅根据单个数据包或单个连接判断攻击流量的方式，在对数据包进行全面的分类和统计后，能够准确地识别出攻击流量。这种校验使用了NP上的专用硬件协处理器，对防火墙的资源占用极少，探测速度和准确性都能达到很高的水准。硬件流量分配可以在访问流量超过一定阈值后，按照预设的比例将流量分配到不同的服务器上，从而保护服务器免受过大流量的冲击，提升服务质量和稳定性。

      通过多NP技术以及多重防御检测机制的应用，Super-V-II防火墙能够有效地抵挡SYN Flood、UDP Flood、ICMP Flood和Stream Flood等大流量DDoS的攻击。