防火墙、UTM产品硬件平台架构分析

　　言归正传，那什么才是UTM网关合适的硬件方案呢？如果要在上述三种方案中选择一种的话，非X86架构莫属，当然，随着技术的发展，还有可能出现第四种防火墙的解决方案，可以做为实现UTM网关的完美平台，但这是后话，值得我们期待。X86平台的主要缺陷在于64Bytes的小包不能达到线速。但在实际用户中，除非是DOS、DDOS攻击才会产生大量的的小包，用户正常的应用不可能产生大量的小包。如果在基于X86平台的UTM产品中，解决好DOS和DDOS攻击的问题，那么，X86平台就是UTM网关理所当然的解决方案。对于这个问题，已经有产品开发了防DOS、DDOS攻击的功能，不但可以防御来自外网的DOS攻击而且能够防御来自企业内部网络的DOS、DDOS攻击，这样我们的UTM产品就解决了这个问题，使网关的稳定性和可靠性大大加强，在UTM整体性能方面优越于NP、ASIC。在遇到大规模的DOS、DDOS攻击时，也不会占用太多的CPU资源。

　　既然选择了X86做为UTM网关的硬件平台，那么，还会存在一个问题：“如果UTM网关处理的业务比较多，是否会影响网络速度？”，比较简单的答复是这样的：在CPU占用低于90%的时候，是不会影响网络速度的。因为UTM网关虽然集成了众多的功能，并且要求主CPU来处理这所有的业务。但从业务的方面来看，是独立的，如：收发邮件的数据就不会被做为通过HTTP上网的数据来处理，通过HTTP上网的数据也不会被做为邮件的数据来处理，所以当一个数据包通过UTM时，是分业务分流程处理的，在CPU占用90%以下时，CPU完全可以实时的处理这些业务。但如果CPU占用超过了90%，那怎么办？X86的平台是不是不能解决了？答案是否定的，对于这个问题，X86的平台的方案有两种解决方法：

　　方法一：支持多颗CPU。部分高端设备都配备了2颗以上CPU，更高端的设备甚至配备4颗CPU，这样CPU的处理能力也就不会成为瓶颈。

　　方法二：使用加速卡。比如把邮件过滤做成一个加速卡安全在系统中，在主CPU发现某个数据包为邮件数据时，把该数据包交给加速卡来完成，不占用主CPU资源。

　　综上所述可以得出一个结论，X86架构是UTM网关理想的硬件平台，目前来看，没有其它平台可以代替。

　　注解：

　　NP：网络处理器（Network Processor）

　　ASIC：专用集成电路（Application Specific Integrated Circuit）

　　百兆设备：指数据传输能力在 100Mbits/S 以上的网络传输设备，即：10Mbytes/S。

　　千兆设备：指数据传输能力在 1000Mbits/S以上的网络传输设备，即：100Mbytes/S