x86 性能最多只能达到 2Gbps 长久以来，国内许多安全厂商的防火墙产品都采用基于 x86 的架构，而国外 厂商的多数防火墙则采用 ASIC 架构。几年前，随着技术的更新换代，随着网络 处理器（NP）技术的兴起，为了赶超国际上的先进水平，弥补国内防火墙性能上 的不足，很多国内厂商开始采用“NP+ASIC”的架构。 x86 架构是一种通用的“CPU+Linux”操作系统的架构。其处理机制是，数据 从网卡到 CPU 之间的传输是依靠“中断”实现，这导致了不可逾越的性能瓶颈， 尤其在传送小包的情况下（如 64 Bytes 的小包），数据包的通过率只能达到 30%～ 40%左右，并且它的设计是必须依靠 CPU 计算，因此，很占 CPU 资源，这也是为 什么 x86 防火墙性能上不去的原因。 虽然 Intel 提出了解决方案，将 32 位的 PCI 总线升级到了 PCI-E ，总线速 度最高可达 16GBps，但是，小包传送问题依然没有解决。“如果用户在进行小 包通过率测试时，性能出现大幅度的下滑，这种防火墙多半是 x86 架构。提醒用 户一定不能被厂商的宣传忽悠了，基于 x86 的防火墙，其最高性能只能达到 2Gbps！” 所以，目前市场上大多数的 x86 防火墙不能作为千兆防火墙使用，只能作为 百兆防火墙。 ASIC 架构 灵活性不够 国外的大部分防火墙设计都采用了 ASIC 架构，以 Juniper 和 Fortinet 的产 品为首，因为它的性能高，并且开发门槛高，一度成为国际国内厂商的技术分水 岭。 基于 ASIC 架构的防火墙从架构上改进了中断机制，数据通过网卡进入系统 后，不需经过主 CPU 处理，而是由集成在系统中的芯片直接处理，完成防火墙的 功能，如路由、NAT、防火墙规则匹配等，因此，其性能得到了大幅度的提升: 性 能可以达到万兆，并且 64 Bytes 的小包都可以达到线速。 但问题是，这种防火墙在设计时，就必须将安全功能固化进 ASIC 芯片中， 所以它的灵活性不够，如果想要增添新的功能或进行系统升级，开发周期较长， 对技术的要求也很高。此外，用 ASIC 开发复杂的功能，如垃圾邮件过滤、网络 监控、病毒防护等，其开发比较复杂，对技术要求很高。因此，ASIC 架构非常 适用于功能简单的防火墙。 NP 是平衡方案 

国内许多厂商为了弥补防火墙性能的不足，在不断进行技术研发，推出了基 于“NP+ASIC”的防火墙架构，以解决 x86 架构性能不足和 ASIC 架构不够灵活的 问题。 NP 是专门为网络设备处理网络流量而设计的处理器，其体系结构和指令集对 于数据处理都做了专门的优化，同时辅助一些协处理器完成搜索、查表等功能， 可以对网络流量进行快速的并发处理。硬件结构设计采用高速的接口技术和总线 规范，具有较高的 I/O 能力。这是一种硬件加速的完全可编程的架构，软硬件都 易于升级，因此产品的生命周期更长。 NP 最大的优点在于它是通过专门的指令集和配套的软件开发系统提供强大 的编程能力，因而便于开发应用，可扩展性强，而且研制周期短，成本较低。但 是，相比于 x86 架构，由于应用开发、功能扩展受到 NP 的配套软件的限制，基 于 NP 技术的防火墙的灵活性要差一些。采用微码编程，在性能方面 NP 不如 ASIC。 NP 开发的难度和灵活性都介于 ASIC 和 x86 构架之间，应该说 NP 是 x86 架构和 ASIC 之间的平衡方案。 多核可实现性能和绿色双重设计 多核技术则是近年来新出现的处理器技术，它一出现，就被认为是解决信息 安全产品功能与性能之间矛盾的一大硬件法宝。国外许多厂商，如 SonicWall 等，都推出了其多核产品。多核是在同一个硅晶片上集成了多个独立物理核心， 每个核心都具有独立的逻辑结构，包括缓存、执行单元、指令级单元和总线接口 等逻辑单元，通过高速总线、内存共享进行通信。在实际工作中，每个核心都可 以达到 1Ghz 的主频。因此，多核技术无论在性能、灵活性还是在开发的成本和 难度方面，都是其他架构不能比拟的。 目前各种芯片厂商推出的多核芯片共分三种: 一种是 Intel、AMD 推出的 2 核、4 核的通用处理器，适用于桌面笔记本电脑等通用领域; 一种是 IBM、SUN 分别推出的 cell 和 SPARC 架构的多核处理器，主要用于图形处理和运算; 第三 种是 RMI 和 Cavium 推出的基于 MIPS 架构的嵌入式多核处理器，主要应用于数据 通信领域，它最适合用于信息安全产品的开发。 除了上述特色外，多核的另一大特点是非常节能。以神码网络推出终结者多 业务网关产品为例，16 核的 DCFW-1800E-8G 单电源功耗仅 120W，采用双电源也 仅仅 240W，而同样 x86 平台的双电源高达 1020W，每年多费电约 7000 度。1U 的 5 千兆接口的 DCFW-1800S-H-V2，功耗仅为 15W，相比一般 x86 平台工控机 200～ 300W 的功耗，一年节约的电费高达 2500 元。