NP架构

    NP(Network Processor：网络处理器)是专门为网络设备处理网络流量而设计的处理器，在其体系结构和指令集中对网络设备常用的包过滤、转发等算法和操作都进行了专门的优化，可以高效地完成TCP/IP协议栈的常用操作，并对网络流量进行快速的并发处理。NP通过专门的指令集和配套的软件开发系统，提供强大的面向网络报文处理的编程能力，因而便于开发应用，支持可扩展的服务，而且研制周期相对较短，成本比开发ASIC低。

    但是，相比于x86架构，由于应用开发、功能扩展受到NP的配套软件的限制，故基于NP技术的防火墙的灵活性要差一些，而且还依赖软件环境，所以在性能方面NP不如 ASIC。特别是在防火墙的关键性指标——“多策略复杂环境下的吞吐量”上，NP架构的劣势更加明显。NP芯片的基本结构如图2-2所示，核心是xScale CPU，该CPU是一款低端ARM内核的CPU，其处理能力仅相当于Intel P3 CPU，而NP架构防火墙的查表(安全策略表)操作只能由该xScale CPU处理，因此在大流量、多安全策略环境下，NP架构防火墙的吞吐量会出现明显下降。(注：在高端NP路由器中，由外置TCAM芯片实现查找路由表的操作，但该技术无法应用到NP网关中)

图二

    同时，NP芯片主要的设计方向是路由器类的网络设备，几乎没有任何针对安全设备的加速功能，所以NP复杂且相对固话的报文处理流程决定了这类架构的安全网关几乎不可能提供高级安全特性，如入侵防御、病毒过滤等，而只能作为纯粹的防火墙使用。

    NP架构安全网关特点：

    ·优点：灵活性优于ASIC，性能优于x86，开发流程要比ASIC短。

    ·缺点：性能低于ASIC，灵活性低于x86;多安全策略环境下性能下降;不能升级到UTM设备，无法提供高级安全特性。