因為安全設備而使網速下降、宕機掉線的事兒，在企業網絡應用中屢見不鮮。如何改善安全設備的處理性能，真有一套學問呢！
　　
　　近幾年，集團業務發展出奇的快，不僅經營規模擴大了數倍，人員也增長了數倍，網絡應用不斷擴展，新增視頻會議、語言通信等應用，使網絡流量迅速上升。原來的百兆網絡像百歲老人的老胳臂老腿兒，明顯跑不動了，網絡必須升級（從百兆到千兆）。
　　
　　讓信息部負責人吳剛感到欣慰地是，建議一提出，便得到老總的首肯。于是，網絡返老還童，有了煥然一新的高性能交換機、服務器。
　　
　　然而，事與愿違，網絡并沒有因此而提速，上網慢、宕機掉線等現象有過之而無不及。吳剛百思不得其解。問題到底出在了哪兒？
　　
　　提速絆腳石
　　
　　通信技術的發展、用戶應用的提高，把網絡設備帶入“高速”時代（即具有高性能、高傳輸率、高帶寬的網絡通信能力），也把業務帶入愈演愈烈的安全威脅中。用戶對安全保護的需求與日劇增，紛紛在企業網中部署有如防毒、防火墻、IDS等安全系統。
　　
　　但安全技術相對于網絡技術發展滯后，當已經發展了20多年的網絡路由交換技術開始采用先進的NP（網絡處理器）技術之時，防火墻等安全設備卻還停留在以CPU集中處理為主的技術階段，從而在網絡應用過程中面臨著一腿長、一腿短的運行壓力。
　　
　　腿短的是安全設備。現在用戶面臨多業務需求，以CPU集中處理為主的安全設備，其所有數據只能通過一條線路傳到CPU，不能區分業務等級。這樣，在網絡負荷提高的情況下，哪怕遭遇稍微的網絡攻擊，都會讓要害業務無法開展。
　　
　　最重要的是，安全產品放在網絡的要害環節之上，經過的流量大、處理的業務多，假如不能夠保證這些業務快速地轉發和基于優先級高效地調度，就無法為應用提供不間斷服務。非凡是現在網絡帶寬已經發展到千兆，而基于CPU架構的防火墻等安全設備基本上還停留在百兆（即使支持千兆，也有相當一部分只是理論值，真正達不到線速千兆）的狀況下，處理能力的懸殊差距，更是難以保證服務質量。
　　
　　如上所述，核心設備運轉很快，網絡接入設備運轉也很快，但是到了檢查業務安全性的時候，運轉卻慢下來，在大流量背景下，勢必形成瓶頸。
　　
　　這種現象在很多企業都出現過，吳剛碰到的就是這個問題。當他升級網絡設備時，根本沒想到也要同時升級防火墻的處理能力，以致讓防火墻成了網絡提速的絆腳石。
　　
　　NP顯身手
　　
　　那么，在網絡帶寬高速增長、千兆網絡大規模應用的態勢下，安全設備應該具備哪些特性呢？
　　
　　首先需要具備大容量的安全規則處理能力。目前，病毒與黑客的攻擊手段繁多，而且多在應用層以上，如何快速地匹配這種網絡的攻擊行為，成為安全產品重點解決的問題。
　　
　　其次需要高性能的安全過濾能力、多業務的實時調度能力，還有大容量的日志處理能力和高性能的流分析能力。而所有這些，都要求安全設備具有很強的處理能力，NP正好順應這一需要。
　　
　　處理能力沒的說
　　
　　NP是專門為處理數據包而設計的可編程處理器，它內含了多個數據處理引擎，這些引擎可以并發進行數據處理工作，在處理2～4層的分組數據上比通用處理器具有明顯的優勢。由于NP對數據包處理的一般性任務進行了優化，使得基于NP的網絡安全設備的包處理能力得到很大提升。
　　
　　NP針對不同的網絡應用環境而設計，覆蓋了不同的網絡層次和不同處理性能的要求（包括百兆、千兆和萬兆），能夠提供從百兆到萬兆的處理性能。從成本上來看，NP技術所設計出來的產品在總成本上和基于奔騰CPU基本差不多，但增強了網絡處理能力，為中低端的安全設備選用NP產品提供了先決條件。
　　
　　比對ASIC
　　
　　說到這兒，不能不提一下ASIC（專用集成電路技術）。它是一種通過增加ASIC芯片的可編程性，來與軟件更好地配合，滿足用戶對靈活性和運行高性能的要求。目前國內銷售的基于ASIC技術的防火墻，已可達到4個千兆網口的全線速包轉發速率。而一般基于NP的防火墻在小包情況下，還不能完全做到2網口的千兆線速轉發。
　　
　　從實現功能方面看，ASIC技術可以比較輕易地集成IDS、VPN等功能，也有產品已經實現了內容過濾和防病毒功能。而NP受限于它的計算能力，這些功能一般只能靠協處理器來實現。純硬件的ASIC防火墻價格較高，可擴展性差，又缺乏可編程性，因此不夠靈活，跟不上防火墻功能的快速發展。
　　
　　而NP防火墻，開發難度小，開發成本低，開發周期也短。如開發一款新的ASIC設備，從設計出原型到進行規模生產，總共需要1年半到2年的時間；而對于NP技術，芯片廠商一般都能提供基本的原型，防火墻廠商在此基礎上，開發自己的軟件功能、算法等，大概只需要花不到半年或1年的時間。正因如此，國內很多防火墻廠商選中NP開發千兆防火墻產品。

　　
　　東軟答疑解惑
　　
　　東軟有消息稱，為滿足要害骨干網絡信息安全保障對防火墻性能和穩定性的更高要求，通過與Intel緊密合作，已于2004年11月和2005年8月分別率先推出百兆NP防火墻和采用Intel IXP2400 NP的NetEye千兆防火墻5200，從而全線產品全部實現基于NP技術。
　　
　　由于采用了國外的芯片技術，金融、政府等行業用戶十分擔心可能引發的安全問題，對NP防火墻心存疑慮。對此，東軟網絡安全事業部總經理曹斌解釋說，NP只在物理層進行算法的并行處理，以提高性能，核心的數據都是在底層及邏輯層拆包檢測的。以東軟千兆NP防火墻為例，其底層主板和邏輯層面的應用程序都是東軟自主研發的，具有自主版權，用戶大可不必擔心涉密的安全問題。
　　
　　還有中小企業用戶對百兆NP防火墻知之甚少，擔心它的性能用不上，或者價格高得買不起，認為還是非NP的百兆防火墻可靠。曹斌這樣看待：目前網絡應用越來越多，非凡是需要并行處理的業務越來越多，這對性能提出了很高的要求；另外，視頻會議、語音通信等逐漸成為開展業務的一種手段，對帶寬的要求也越來越大，假如具備很高的性能，等于節省了所占用的帶寬。
　　
　　根據對產品性能的比較，對于非NP防火墻和NP防火墻來說，假如性能相當的話，兩者的價格也相當。換句話說，NP防火墻并不貴。例如東軟4032 NP防火墻是對原有的同一型號的X86架構防火墻的完全替代，其功能幾乎保持一直，性能則有大幅提高，而銷售價格卻保持不變。
　　
　　NP防火墻是新生事物，到底用不用，選不選，還得結合用戶自身的應用和對NP技術的熟悉。在這里，只能說，吳剛的防火墻該換了，千兆防火墻比較好，千兆NP防火墻更好。
　　
　　NP架構的優越性
　　
　　NP架構采用芯片內嵌的通信處理單元，代替依靠于總線的物理網卡，所有通信接口均集成到NP中，有效回避PCI總線所帶來的瓶頸問題。所有網絡通信均在NP芯片中完成，大大提升了對數據的處理能力，使得NP防火墻處理能力可以達到線速。
　　
　　NP的完全可編程特性，使防火墻的“硬件”功能可通過軟件模塊（又稱微碼）的方式方便地進行修改和完善，這為防火墻產品的定制化開發提供了可能，開發人員也可以通過模塊刪減，開發出滿足不同用戶需求的產品。據悉，基于微碼的功能開發，周期一般為6個月甚至更短。
　　
　　高性能NP處理芯片內部集成多個RISC處理器，專門用于處理高速數據流，可對數據包實施線速的分析、檢測和轉發等處理。
　　
　　NP防火墻寫真
　　
　　說了半天，NP防火墻到底什么樣？本處我們以代表性產品NetEye千兆NP防火墻為例進行介紹。
　　
　　NetEye千兆NP防火墻采用NP架構，系統的主要模塊工作在操作系統的內核模式下，并對協議的處理進行了優化，具有高吞吐量、低延遲、零丟包率和強大的緩沖能力，滿足高速、對性能要求苛刻的網絡應用。
　　
　　結合Intel IXP2400的NP技術，與東軟自主研發的流過濾技術，NetEye千兆NP防火墻能夠提供深度防御能力，可以對數據包進行深層檢測和協議級控制，并實現了高性能、可擴展、透明的、對應用層協議的保護功能。
　　
　　值得一提的是，NetEye千兆NP防火墻具備虛擬防火墻功能，治理員可將一臺防火墻在邏輯上劃分成多臺虛擬防火墻，每臺虛擬防火墻都可以被看成是一臺完全獨立的防火墻設備，可擁有獨立的治理員、安全策略、用戶認證數據庫等。
　　
　　此外，NetEye千兆NP防火墻還支持千兆以太網通道功能，不僅可以起到容錯作用，更是鏈路帶寬擴容的一條重要途徑。同時，它還提供多種方式的高可用特性，包括多機集群備份、負載均衡等。
　　
　　與普通防火墻的路由策略（只能根據單個ip包中的源地址進行判定）不同，NetEye千兆NP防火墻提供了更加靈活的策略路由實現方案，用戶可以根據更多屬性設定路由策略，并且具有更豐富的網絡特性，包括對策略NAT以及對動態路由協議RIP、OSPF、BGP的支持等，充分適應復雜網絡環境部署的要求。
　　
　　X86、NP和ASIC誰占優？
　　
　　在百兆防火墻時代，國內防火墻廠商普遍采用的是通用CPU配合軟件的技術方案。雖然很多廠家也把它稱之為硬件防火墻，但實際上都是基于X86架構的服務器或工控機。這類防火墻一般運行在經過裁減的操作系統上（通常是linux或BSD），所有的數據包解析和審查工作都由軟件來完成。
　　
　　雖然這種技術方案在百兆防火墻市場取得了很大的成功，但由于CPU處理能力和PCI總線速度的制約，在實際應用中，尤其在小包情況下，這種結構的千兆防火墻遠遠達不到千兆的轉發速度（64字節包長時，雙向轉發速率一般為20%以下），難以滿足千兆骨干網絡的應用要求。
　　
　　NP是專門為處理數據包而設計的可編程處理器，它的特點是內含了多個數據處理引擎。這些引擎可以并發進行數據處理工作，在處理2～4層的分組數據上比通用處理器具有明顯的優勢。
　　
　　NP對數據包處理的一般性任務進行了優化，如TCP/IP數據的校驗和計算、包分類、路由查找等。同時硬件體系結構的設計也大多采用高速的接口技術和總線規范，具有較高的I/O能力。這樣基于NP的網絡設備的包處理能力得到了很大的提升。
　　
　　NP具有以下幾個方面的特性：完全的可編程性、簡單的編程模式、最大化系統靈活性、高處理能力、高度功能集成、開放的編程接口、第三方支持能力。
　　
　　基于NP架構的防火墻與基于通用CPU架構的防火墻相比，在性能上可以得到很大的提高。NP能彌補通用CPU架構性能的不足，同時又不需要具備開發基于ASIC技術的防火墻所需要的大量資金和技術積累，在國內信息安全廠商中備受關注，成為國內廠商實現高端千兆防火墻的熱門選擇。

　　
　　采用ASIC技術可以為防火墻應用設計專門的數據包處理流水線，優化存儲器等資源的利用，是公認的使防火墻達到線速千兆、并滿足千兆環境骨干級應用的技術方案。
　　
　　目前，防火墻的體系結構已經處于一個更新換代的門檻上，未來的發展趨勢基本上是NP與ASIC兩條道路。從性能、功能、技術成熟度等方面考慮，ASIC方案較好，從進入門檻、研發成本和靈活性考慮，則NP占優。
　　
　　從現今的情況來看，國外的高端防火墻大部分采用的是ASIC技術，國內廠商則選用NP的居多。今后高端防火墻的技術將是ASIC和NP這兩種主流技術并存，它們各自都會繼續向前發展，在速度、功能方面都還有很大的發展空間。而用戶在選擇千兆防火墻產品時，也要綜合考慮廠商實力、實際應用需求、采購成本、防火墻技術與產品的成熟度等多種因素，全盤考慮為宜。