【IT168 评论】近年来，伴随着互联网的高速普及和社会化发展，用户不仅仅是信息的浏览者，同时也是信息的制造者。这些信息所带来的价值，让更多的黑客们不再仅仅局限于传统的破坏式攻击，更多转为了通过系统漏洞针对有价值信息的篡改、窃取。而这些攻击手段已经是传统状态防火墙所不能拦截防御的。作为安全防护的第一道防线，下一代防火墙的出现，不仅继承了传统状态防火墙的全部功能，同时具备多种应用层过滤技术，以面对用户日益增长的业务流量和隐藏在应用层之中的攻击。

　　依赖于多核技术的成熟和硬件的高速发展，大部分的下一代防火墙产品可以采用多核架构并通过硬件的堆叠来提升产品处理速度及整机性能，但传统的多核架构由于设计上的不足，因此靠硬件的堆叠仍然无法解决软件层次上的瓶颈问题，同时还会提高整机的成本及能耗。

　　网神下一代极速防火墙团队充分调研市场上主要的防火墙产品及下一代防火墙多采用的SMP架构后，总结出传统SMP架构下产品的三大不足。同时通过改进传统多核SMP架构产品的三大不足，网神下一代极速防火墙团队研发出更加优化的多核并行处理AMP+架构，让网神下一代极速防火墙实现了CPU利用的最大化，并提升了应用层处理速度，极大的缩短了整机转发延迟。

　　● 改进一：异步并发的无锁化工作体系

　　SMP架构下产品，CPU在进行数据处理时，会被系统重要资源(如逻辑资源)占用，原本在处理的数据进度会因为系统的保护机制而被锁定(有锁化)。有锁化最直接的表现就是数据处理时间变长，转发延迟增大。

　　网神下一代极速防火墙采用的多核AMP+架构，严格限制了系统重要资源定义。CPU不再会频繁被重要资源占用，最大限度的保证了处理过程的不间断。异步并发的无锁化工作体系让数据处理的时间大大缩短，转发延迟也大大降低。

　　● 改进二：更优化的网口数据收发处理技术

　　SMP架构下产品，会将网口的数据收发处理与CPU进行绑定。当多个网口存在数据收发时，CPU就能实现并行处理。

　　网神下一代极速防火墙采用的多核AMP+架构，CPU不再与网口进行绑定。由CPU0将网口的收发包队列平均分配到每个CPU上，只要有网口存在数据收发，就能让所有CPU工作。实现了CPU利用的最大化和数据处理效率的最大化。

　　● 改进三：单引擎一次性数据处理技术

　　网神下一代极速防火墙采用的多核AMP+架构，使用了单引擎一次性数据处理技术，数据的接收、应用层处理、发送，都在数据平面完成，不涉及数据包的拷贝、进程切换等问题。较高提升了应用层的处理速度，降低了整体转发延迟。

　　AMP+架构使得网神下一代极速防火墙在整机性能和处理速度上突破了传统SMP架构下的性能瓶颈。不依靠硬件的堆叠，单板处理性能就能达到160G，为网神下一代极速防火墙的多种应用层过滤技术提供了坚实的性能基础。