賽迪顧問的統(tǒng)計分析顯示，2004年以來，防火墻市場依然保持了高速的增長，僅第2季度，防火墻市場在整個網(wǎng)絡(luò)安全市場的份額高達40%以上。

　　在現(xiàn)有的x86、NP、ASIC架構(gòu)的防火墻產(chǎn)品中，誰將成為市場的主流?三大架構(gòu)防火墻產(chǎn)品的不同技術(shù)特點是什么?

　　工控機時代漸行漸遠

　　目前在國內(nèi)的信息安全市場上，防火墻多是基于Intel x86系列架構(gòu)的產(chǎn)品，又被稱為工控機防火墻，其具有開發(fā)、設(shè)計門檻低，技術(shù)成熟等優(yōu)點。

　　但是，缺陷也是顯而易見的，由于x86架構(gòu)的硬件并非為了網(wǎng)絡(luò)數(shù)據(jù)傳輸而設(shè)計，它對數(shù)據(jù)包的轉(zhuǎn)發(fā)性能相對較弱。并且由于國內(nèi)安全廠商并不掌握 x86架構(gòu)的核心技術(shù)，其BIOS中存在著隱藏的漏洞，有可能影響防火墻的安全可靠性。而且工控機的產(chǎn)業(yè)鏈條非常復(fù)雜，國內(nèi)廠商在其中能發(fā)揮的影響力很有限，不利于國內(nèi)信息安全產(chǎn)業(yè)的長期發(fā)展。

　　未來引領(lǐng)防火墻市場的會是哪一種技術(shù)，這是一直以來困擾業(yè)界的問題。隨著網(wǎng)絡(luò)帶寬的增長和千兆網(wǎng)絡(luò)在國內(nèi)的大規(guī)模推廣應(yīng)用，市場對基于高帶寬網(wǎng)絡(luò)中安全設(shè)備的需求也迅速增長。在未來的網(wǎng)絡(luò)環(huán)境下，傳統(tǒng)的基于x86體系結(jié)構(gòu)的工控機防火墻已不能滿足寬帶網(wǎng)絡(luò)高吞吐量、低時延的要求，而網(wǎng)絡(luò)處理器 (Network Processor)和專用集成電路(ASIC)技術(shù)被認(rèn)為是未來千兆防火墻的主要方向。

　　三大技術(shù)優(yōu)勢互現(xiàn)

　　先來看基于ASIC技術(shù)的防火墻。采用ASIC技術(shù)可以為防火墻應(yīng)用設(shè)計專門的數(shù)據(jù)包，是公認(rèn)的滿足千兆環(huán)境骨干級應(yīng)用的技術(shù)方案。但ASIC 技術(shù)開發(fā)成本高、開發(fā)周期長且難度大，而且ASIC技術(shù)在國外已經(jīng)歷了10多年的發(fā)展，技術(shù)成熟、穩(wěn)定，而國內(nèi)廠商要采用ASIC技術(shù)難度卻很大。

　　NP(網(wǎng)絡(luò)處理器)是專門為處理數(shù)據(jù)包而設(shè)計的可編程處理器，它具有完全的可編程性、簡單的編程模式、最大化系統(tǒng)靈活性、高處理能力、高度功能集成、開放的編程接口以及第三方支持能力。

　　這些特性使基于NP架構(gòu)的防火墻與傳統(tǒng)防火墻相比，在性能上得到了很大的提高，同時又具有極佳的靈活擴展性。

　　NP技術(shù)可以支持編程，一旦有新的技術(shù)或者需求出現(xiàn)，資深設(shè)計師可以很方便地通過微碼編程實現(xiàn)。

　　對于特殊的用戶需求，基于NP的NetEye防火墻產(chǎn)品可以實現(xiàn)定制開發(fā)，即可以通過模塊刪減來開發(fā)出滿足不同用戶的需求的產(chǎn)品。而用ASIC實現(xiàn)的情況下，由于對ASIC不可編程，因此根本無法對新的功能進行添加。

　　在新功能開發(fā)的時間上，按照業(yè)界的經(jīng)驗數(shù)字，基于微碼的功能開發(fā)周期一般為6個月甚至更短，用ASIC實現(xiàn)的時間通常需要2～3年的時間。

　　NP，如何叫好又叫座?

　　2003年，國內(nèi)廠商開始推出基于NP架構(gòu)的防火墻，NP概念一下子火爆異常。但很快人們發(fā)現(xiàn)，NP平臺也并非坦途。由于受技術(shù)成熟因素和成本因素兩方面制約，國內(nèi)已推出的NP防火墻產(chǎn)品或局限于個別型號，或是干脆停留在實驗階段，并沒有大規(guī)模進入主流市場。一時間，NP陷入了叫好不叫座的尷尬局面。

　　從產(chǎn)品特性上講，NP架構(gòu)下的產(chǎn)品批量生產(chǎn)成本比x86架構(gòu)要高，而NP的計算能力又比ASIC要低。這都是NP架構(gòu)防火墻必須面對的問題，但NP防火墻具有更高的集成度，并以分布式的存儲系統(tǒng)，能夠勝任高帶寬的線速處理。

　　千兆防火墻：ASIC略勝一籌

　　以千兆防火墻為例，采用ASIC技術(shù)可以為防火墻應(yīng)用設(shè)計專門的數(shù)據(jù)包處理流水線，優(yōu)化存儲器等資源的利用，是公認(rèn)的使防火墻達到線速千兆，滿足千兆環(huán)境骨干級應(yīng)用的技術(shù)方案。但ASIC技術(shù)開發(fā)成本高、開發(fā)周期長且難度大，一般的防火墻廠商難以具備相應(yīng)的技術(shù)和資金實力。

　　網(wǎng)絡(luò)處理器(NP)是專門為處理數(shù)據(jù)包而設(shè)計的可編程處理器，它的特點是內(nèi)含了多個數(shù)據(jù)處理引擎，這些引擎可以并發(fā)進行數(shù)據(jù)處理工作，在處理2 到4層的分組數(shù)據(jù)上比通用處理器具有明顯的優(yōu)勢，能夠直接完成網(wǎng)絡(luò)數(shù)據(jù)處理的一般性任務(wù)。硬件體系結(jié)構(gòu)大多采用高速的接口技術(shù)和總線規(guī)范，具有較高的 I/O能力，包處理能力得到了很大提升。

　　從性能的角度分析，基于Intel x86架構(gòu)的千兆防火墻，由于受CPU處理能力和PCI總線速度的制約，性能和功能不能達到網(wǎng)絡(luò)安全和網(wǎng)絡(luò)性能間的統(tǒng)一。

　　從功能的角度分析，基于通用處理器的x86架構(gòu)上開發(fā)的防火墻，功能強大，可擴充性非常好;基于ASIC的防火墻雖然在性能上非常強大，但是在功能性、靈活性和可擴充性等方面就差很多了。

　　因基于ASIC的防火墻開發(fā)難度大、周期長、產(chǎn)品靈活性差等原因，不適合技術(shù)和資金積累較薄弱的國內(nèi)廠商發(fā)展。所以，隨著NP技術(shù)的成熟和發(fā)展，開發(fā)基于NP的網(wǎng)絡(luò)安全產(chǎn)品成為國內(nèi)廠商的首選。

　　只是此消彼漲，不是誰消滅誰

　　基于網(wǎng)絡(luò)處理器架構(gòu)的防火墻與基于通用CPU架構(gòu)的防火墻相比，在性能上可以得到很大的提高?；贜P的防火墻可以集x86架構(gòu)防火墻的功能與 ASIC防火墻的性能于一身。網(wǎng)絡(luò)處理器能彌補通用CPU架構(gòu)性能的不足，同時又不需要具備開發(fā)基于ASIC技術(shù)的防火墻所需要的大量資金和技術(shù)積累，最近在國內(nèi)信息安全廠商中備受關(guān)注，成為國內(nèi)廠商實現(xiàn)高端千兆防火墻的熱門選擇。因此，在高端千兆市場，基于NP的防火墻將是重要的趨勢。

　　但是，這種趨勢是此消彼長的關(guān)系，不是誰消滅誰的關(guān)系，這三種防火墻在市場上將長期保持共存的局面。未來，在低端千兆市場上，x86架構(gòu)的防火墻將成為主流;在高端千兆市場上，基于NP的防火墻將占有較大的市場分額。