其二，功能可扩展性不容忽视

　　对于万兆防火墙而言，不仅性能要可以平滑扩容，而且其抵御攻击威胁功能应该也可不断跟进。对采用普通处理器的防火墙而言，增加功能则意味着性能的下降，因为对普通CPU而言，每增加一行代码，其性能就会下降一点。对万兆防火墙的部署场景，这是不允许的。因此业内许多厂商就考虑通过其他手段从防火墙主处理器上卸载防火墙功能，如下图所示：

　　FPGA/ASIC/NPU

　　通用处理器平台

　　MAC-PHY

　　slow path

　　fast path

▲　　图 1 基于硬件加速的架构

　　首先，把处理相对比较简单，但是流量很大的“快速路径”从处理器上“卸载(offlaod)”，把“宝贵”的处理器资源留给复杂的协议处理和报文的深度检测。另外一方面，本身具有高带宽的外部接口专用芯片如FPGA/ASIC、NPU等等，具有很强的报文处理能力。让这些芯片去承担大吞吐量的快速路径处理，充分发挥其硬件加速的特点。

　　而对于采用何种专用芯片来处理从处理器卸载下来的业务呢?我们来看一下几种常见芯片的优劣对比。

　　从上表中可以看到，无论采用上述何种模式的硬件协处理器，在性能上的差别不大，唯一的差别，就是功能是否可扩展，对于层出不穷的安全威胁，功能能否扩展就显得尤为重要。在H3C SecPath F5000-A5中，采用的是FPGA来作为防火墙业务的协处理器，而主处理器则采用多核处理器，来实现控制层面与转发层面分离、并行处理器多种业务等。

▲