此文章主要介紹的是防火墻NP架構(gòu)綜述和展望，假如我們回顧一下網(wǎng)絡(luò)安全領(lǐng)域出境率最高的熱詞匯，“NP”一定榜上有名。NP是網(wǎng)絡(luò)處理器(Net Processor)的簡(jiǎn)稱，顧名思義，NP是專門設(shè)計(jì)用于網(wǎng)絡(luò)封包處理的一種處理器。

作為被業(yè)內(nèi)普遍推崇的一種革命性技術(shù)，NP至今尚未能達(dá)到人們預(yù)期的應(yīng)用水平。作為NP技術(shù)的主要目標(biāo)客戶群，通信廠商們的態(tài)度正由熱捧回歸冷靜，而在網(wǎng)絡(luò)安全設(shè)備特別是硬件防火墻市場(chǎng)上，NP的應(yīng)用卻正呈現(xiàn)出一片欣欣向榮的景象。

國(guó)內(nèi)的大部分重量級(jí)防火墻廠商紛紛推出了自己的防火墻NP架構(gòu)防火墻產(chǎn)品，而作為占據(jù)國(guó)內(nèi)防火墻市場(chǎng)頭把交椅的東軟，更是將自己的主力產(chǎn)品全部轉(zhuǎn)向NP平臺(tái)。

防火墻硬件架構(gòu)綜述

為了能夠透徹地了解NP在防火墻領(lǐng)域造成的這種強(qiáng)大的沖擊效應(yīng)，我們需要先來回顧一下防火墻硬件平臺(tái)的基本情況。在過去的幾年時(shí)間里，市場(chǎng)上硬件防火墻產(chǎn)品通常都基于兩種架構(gòu)：AISC(專用集成電路)和以X86為代表的通用處理器。

可以說，AISC是硬件防火墻領(lǐng)域無可爭(zhēng)議的主流技術(shù)，因?yàn)槔眠@種硬件架構(gòu)可以獲得相當(dāng)高的性能和穩(wěn)定性。全球最主要的硬件防火墻產(chǎn)品供應(yīng)商N(yùn)etScreen就一直推崇以AISC芯片為核心的高性能硬件防火墻，但AISC技術(shù)也在某種程度上存在著設(shè)計(jì)周期長(zhǎng)、開發(fā)成本高的問題，所以并不是所有廠商都能在這種平臺(tái)上發(fā)展出完善的產(chǎn)品。

相應(yīng)的，基于通用處理器進(jìn)行產(chǎn)品研發(fā)的門檻相比AISC要低的多，所以在百兆防火墻作為主流的時(shí)期，這種解決方案受到很多廠商的歡迎。但利用通用處理器平臺(tái)實(shí)現(xiàn)防火墻產(chǎn)品同樣存在著不可回避的缺陷，那就是通用處理器并非為特定任務(wù)設(shè)計(jì)，在實(shí)現(xiàn)同樣功能的前提下，其資源耗費(fèi)要遠(yuǎn)高于AISC，這也導(dǎo)致了在現(xiàn)今數(shù)據(jù)量不斷膨脹的網(wǎng)絡(luò)環(huán)境中，基于這種硬件平臺(tái)的防火墻產(chǎn)品在性能方面受到的挑戰(zhàn)越來越大。

現(xiàn)今百兆防火墻正逐漸失去主導(dǎo)地位，特別是在主干網(wǎng)部分，千兆網(wǎng)的應(yīng)用需求成長(zhǎng)迅速?；A(chǔ)環(huán)境的變化，成為了擺在防火墻廠商面前的主要難題，特別是國(guó)內(nèi)的防火墻廠商，大部分都是以X86通用處理器平臺(tái)作為自己產(chǎn)品的硬件平臺(tái)，繼續(xù)在這種架構(gòu)上發(fā)展自己的產(chǎn)品，已經(jīng)無法滿足性能方面的要求。

雖然很多廠商都宣稱可以生產(chǎn)千兆級(jí)產(chǎn)品，但其實(shí)僅僅是能夠達(dá)到千兆的傳輸速率而已，實(shí)際的應(yīng)用效果大都不甚理想，包處理率等指標(biāo)無法達(dá)到令人滿意的程度，而且不像已經(jīng)有多年技術(shù)積累的頂級(jí)品牌，大多數(shù)硬件防火墻供應(yīng)商沒有足夠的資源在AISC架構(gòu)上進(jìn)行產(chǎn)品開發(fā)，也沒有足夠的能力壓低成本與大廠抗衡。

所以在面對(duì)千兆防火墻這一巨大市場(chǎng)時(shí)，在設(shè)計(jì)上兼顧性能與靈活性的NP技術(shù)被視為搶占千兆防火墻市場(chǎng)的重要契機(jī)而被寄予厚望就不難被人理解了。

NP技術(shù)概觀

NP采用了ASIP(Application Specific Processor)和SoC(System on Chip)等體系結(jié)構(gòu)技術(shù)，同時(shí)為了保證運(yùn)算性能，現(xiàn)在的NP產(chǎn)品通常都擁有多個(gè)RISC處理器及協(xié)處理器，并采用分布式的存儲(chǔ)系統(tǒng)，最大限度地突破存儲(chǔ)瓶頸，使得不同的應(yīng)用操作可以由這些處理器并發(fā)執(zhí)行，從而獲得逼近AISC的效能。

同時(shí)NP在靈活性方面又要好于AISC，因?yàn)槠渚哂泻軓?qiáng)的編程能力，能夠方便地進(jìn)行各種應(yīng)用開發(fā)，隨著市場(chǎng)需要對(duì)功能進(jìn)行擴(kuò)展和修正，另外由于其開發(fā)周期較短(通常不超過6個(gè)月，AISC的開發(fā)周期一般都超過12個(gè)月)，可以保證產(chǎn)品快速投放市場(chǎng)，降低廠商的風(fēng)險(xiǎn)。

目前業(yè)內(nèi)占據(jù)最大市場(chǎng)份額的網(wǎng)絡(luò)處理器供應(yīng)商是AMCC，主要為Cisco等頂級(jí)廠商提供產(chǎn)品，Intel經(jīng)過一段時(shí)間的苦心經(jīng)營(yíng)，市場(chǎng)份額已經(jīng)躍升至第二位，國(guó)內(nèi)基于NP研發(fā)硬件防火墻的廠商通常都是基于Intel的產(chǎn)品，其他主要的NP供貨商還包括摩托羅拉和IBM等。

總體來說，NP主要提供了一種介于AISC和通用處理器之間的折衷方案，其在提供高于通用處理器性能的同時(shí)，也很好的解決了AISC在靈活性和可編程性方面的問題，為有效緩解網(wǎng)絡(luò)傳輸高速發(fā)展導(dǎo)致的網(wǎng)絡(luò)節(jié)點(diǎn)處理能力不足提供了一條全新思路。

NP防火墻現(xiàn)狀及前景

在了解了防火墻NP架構(gòu)的特點(diǎn)之后，大家可能都在思索，在硬件防火墻市場(chǎng)NP技術(shù)到底會(huì)起到怎樣的作用呢？國(guó)內(nèi)的防火墻廠商紛紛將自己的研發(fā)力量投入到NP架構(gòu)之上，主要的原因就是想借NP突破通用處理器在性能上的瓶頸，進(jìn)而促成和采用AISC的一線廠商直接對(duì)話的局面。

因?yàn)樵诘投说陌僬追阑饓κ袌?chǎng)，各個(gè)廠商之間的差距已經(jīng)越來越小，基本已經(jīng)開始進(jìn)入微利階段，如何在千兆防火墻領(lǐng)域占據(jù)有利位置，對(duì)于硬件防火墻廠商來說無疑已成為生死攸關(guān)的問題。

從目前的情況來看，NP所展現(xiàn)給我們的前景還是相當(dāng)美好的，但這并不代表加入NP陣營(yíng)的防火墻廠商就得到了制勝之鑰，NP在硬件防火墻領(lǐng)域的應(yīng)用并非一片坦途。以Intel網(wǎng)絡(luò)處理器產(chǎn)品為例，其結(jié)構(gòu)設(shè)計(jì)反應(yīng)了當(dāng)今最主流的NP技術(shù)內(nèi)容，其數(shù)據(jù)處理能力確實(shí)足以勝任千兆網(wǎng)的數(shù)據(jù)傳輸負(fù)荷，但主要的性能提升仍集中于網(wǎng)絡(luò)封包的處理。

如數(shù)據(jù)校驗(yàn)、路由匹配等，完成常見網(wǎng)絡(luò)設(shè)備的職責(zé)非常出色，但是對(duì)于更加復(fù)雜的數(shù)據(jù)應(yīng)用，例如數(shù)據(jù)包重組和加密處理等，其表現(xiàn)就往往不那么搶眼了。

我們知道，防火墻產(chǎn)品并不是用來進(jìn)行數(shù)據(jù)包轉(zhuǎn)發(fā)的，更重要的是需要其對(duì)數(shù)據(jù)進(jìn)行判斷和處理，尤其是現(xiàn)在防火墻功能的不斷擴(kuò)展，對(duì)處理性能的要求也在快速增長(zhǎng)，單純提升基本數(shù)據(jù)處理能力，尚無法保證NP能滿足硬件防火墻的要求，Intel的產(chǎn)品主要著眼于數(shù)據(jù)處理和控制方面，在功能管理層面支持相對(duì)不足。

之所以有眾多廠商仍選擇以Intel的網(wǎng)絡(luò)處理器發(fā)展硬件防火墻產(chǎn)品，可能是希望利用原有的產(chǎn)品技術(shù)積累，因?yàn)楹芏鄰S商的產(chǎn)品是在X86通用處理器架構(gòu)上以BSD和Linux作為軟件平臺(tái)開發(fā)而成的。為了應(yīng)對(duì)上述這種局面，NP供應(yīng)商也在不斷優(yōu)化自己的解決方案，希望在利用NP優(yōu)秀網(wǎng)絡(luò)數(shù)據(jù)處理能力的同時(shí)，可以滿足更高層次的應(yīng)用要求。

還有一些廠商推出了融合AISC技術(shù)和NP概念的產(chǎn)品，為硬件防火墻等網(wǎng)絡(luò)設(shè)備的開發(fā)提供了豐富的選擇。

結(jié)語

NP架構(gòu)的防火墻雖然有廣闊的發(fā)展天地，但還遠(yuǎn)未達(dá)到顛覆AISC架構(gòu)的程度，因?yàn)镹P技術(shù)畢竟才經(jīng)過幾年時(shí)間的發(fā)展，各方面的積累相對(duì)薄弱，而AISC技術(shù)也仍未停止發(fā)展的腳步，正努力改善其難于開發(fā)的現(xiàn)狀。

目前在千兆防火墻市場(chǎng)，AISC仍處于領(lǐng)先地位，NP架構(gòu)的應(yīng)用確實(shí)能以相對(duì)較低的投入在較短時(shí)間內(nèi)發(fā)展出逼近AISC架構(gòu)的產(chǎn)品，但同時(shí)也需要提醒廠商，認(rèn)真選擇適合自身需求的NP產(chǎn)品，以充分發(fā)揮防火墻NP架構(gòu)的優(yōu)勢(shì)。