此文章主要介紹的是防火墻NP架構(gòu)綜述和展望，假如我們回顧一下網(wǎng)絡(luò)安全領(lǐng)域出境率最高的熱詞匯，“NP”一定榜上有名。NP是網(wǎng)絡(luò)處理器(Net Processor)的簡稱，顧名思義，NP是專門設(shè)計用于網(wǎng)絡(luò)封包處理的一種處理器。

作為被業(yè)內(nèi)普遍推崇的一種革命性技術(shù)，NP至今尚未能達到人們預(yù)期的應(yīng)用水平。作為NP技術(shù)的主要目標客戶群，通信廠商們的態(tài)度正由熱捧回歸冷靜，而在網(wǎng)絡(luò)安全設(shè)備特別是硬件防火墻市場上，NP的應(yīng)用卻正呈現(xiàn)出一片欣欣向榮的景象。

國內(nèi)的大部分重量級防火墻廠商紛紛推出了自己的防火墻NP架構(gòu)防火墻產(chǎn)品，而作為占據(jù)國內(nèi)防火墻市場頭把交椅的東軟，更是將自己的主力產(chǎn)品全部轉(zhuǎn)向NP平臺。

防火墻硬件架構(gòu)綜述

為了能夠透徹地了解NP在防火墻領(lǐng)域造成的這種強大的沖擊效應(yīng)，我們需要先來回顧一下防火墻硬件平臺的基本情況。在過去的幾年時間里，市場上硬件防火墻產(chǎn)品通常都基于兩種架構(gòu)：AISC(專用集成電路)和以X86為代表的通用處理器。

可以說，AISC是硬件防火墻領(lǐng)域無可爭議的主流技術(shù)，因為利用這種硬件架構(gòu)可以獲得相當(dāng)高的性能和穩(wěn)定性。全球最主要的硬件防火墻產(chǎn)品供應(yīng)商NetScreen就一直推崇以AISC芯片為核心的高性能硬件防火墻，但AISC技術(shù)也在某種程度上存在著設(shè)計周期長、開發(fā)成本高的問題，所以并不是所有廠商都能在這種平臺上發(fā)展出完善的產(chǎn)品。

相應(yīng)的，基于通用處理器進行產(chǎn)品研發(fā)的門檻相比AISC要低的多，所以在百兆防火墻作為主流的時期，這種解決方案受到很多廠商的歡迎。但利用通用處理器平臺實現(xiàn)防火墻產(chǎn)品同樣存在著不可回避的缺陷，那就是通用處理器并非為特定任務(wù)設(shè)計，在實現(xiàn)同樣功能的前提下，其資源耗費要遠高于AISC，這也導(dǎo)致了在現(xiàn)今數(shù)據(jù)量不斷膨脹的網(wǎng)絡(luò)環(huán)境中，基于這種硬件平臺的防火墻產(chǎn)品在性能方面受到的挑戰(zhàn)越來越大。

現(xiàn)今百兆防火墻正逐漸失去主導(dǎo)地位，特別是在主干網(wǎng)部分，千兆網(wǎng)的應(yīng)用需求成長迅速。基礎(chǔ)環(huán)境的變化，成為了擺在防火墻廠商面前的主要難題，特別是國內(nèi)的防火墻廠商，大部分都是以X86通用處理器平臺作為自己產(chǎn)品的硬件平臺，繼續(xù)在這種架構(gòu)上發(fā)展自己的產(chǎn)品，已經(jīng)無法滿足性能方面的要求。

雖然很多廠商都宣稱可以生產(chǎn)千兆級產(chǎn)品，但其實僅僅是能夠達到千兆的傳輸速率而已，實際的應(yīng)用效果大都不甚理想，包處理率等指標無法達到令人滿意的程度，而且不像已經(jīng)有多年技術(shù)積累的頂級品牌，大多數(shù)硬件防火墻供應(yīng)商沒有足夠的資源在AISC架構(gòu)上進行產(chǎn)品開發(fā)，也沒有足夠的能力壓低成本與大廠抗衡。

所以在面對千兆防火墻這一巨大市場時，在設(shè)計上兼顧性能與靈活性的NP技術(shù)被視為搶占千兆防火墻市場的重要契機而被寄予厚望就不難被人理解了。

NP技術(shù)概觀

NP采用了ASIP(Application Specific Processor)和SoC(System on Chip)等體系結(jié)構(gòu)技術(shù)，同時為了保證運算性能，現(xiàn)在的NP產(chǎn)品通常都擁有多個RISC處理器及協(xié)處理器，并采用分布式的存儲系統(tǒng)，最大限度地突破存儲瓶頸，使得不同的應(yīng)用操作可以由這些處理器并發(fā)執(zhí)行，從而獲得逼近AISC的效能。

同時NP在靈活性方面又要好于AISC，因為其具有很強的編程能力，能夠方便地進行各種應(yīng)用開發(fā)，隨著市場需要對功能進行擴展和修正，另外由于其開發(fā)周期較短(通常不超過6個月，AISC的開發(fā)周期一般都超過12個月)，可以保證產(chǎn)品快速投放市場，降低廠商的風(fēng)險。

目前業(yè)內(nèi)占據(jù)最大市場份額的網(wǎng)絡(luò)處理器供應(yīng)商是AMCC，主要為Cisco等頂級廠商提供產(chǎn)品，Intel經(jīng)過一段時間的苦心經(jīng)營，市場份額已經(jīng)躍升至第二位，國內(nèi)基于NP研發(fā)硬件防火墻的廠商通常都是基于Intel的產(chǎn)品，其他主要的NP供貨商還包括摩托羅拉和IBM等。

總體來說，NP主要提供了一種介于AISC和通用處理器之間的折衷方案，其在提供高于通用處理器性能的同時，也很好的解決了AISC在靈活性和可編程性方面的問題，為有效緩解網(wǎng)絡(luò)傳輸高速發(fā)展導(dǎo)致的網(wǎng)絡(luò)節(jié)點處理能力不足提供了一條全新思路。

NP防火墻現(xiàn)狀及前景

在了解了防火墻NP架構(gòu)的特點之后，大家可能都在思索，在硬件防火墻市場NP技術(shù)到底會起到怎樣的作用呢？國內(nèi)的防火墻廠商紛紛將自己的研發(fā)力量投入到NP架構(gòu)之上，主要的原因就是想借NP突破通用處理器在性能上的瓶頸，進而促成和采用AISC的一線廠商直接對話的局面。

因為在低端的百兆防火墻市場，各個廠商之間的差距已經(jīng)越來越小，基本已經(jīng)開始進入微利階段，如何在千兆防火墻領(lǐng)域占據(jù)有利位置，對于硬件防火墻廠商來說無疑已成為生死攸關(guān)的問題。

從目前的情況來看，NP所展現(xiàn)給我們的前景還是相當(dāng)美好的，但這并不代表加入NP陣營的防火墻廠商就得到了制勝之鑰，NP在硬件防火墻領(lǐng)域的應(yīng)用并非一片坦途。以Intel網(wǎng)絡(luò)處理器產(chǎn)品為例，其結(jié)構(gòu)設(shè)計反應(yīng)了當(dāng)今最主流的NP技術(shù)內(nèi)容，其數(shù)據(jù)處理能力確實足以勝任千兆網(wǎng)的數(shù)據(jù)傳輸負荷，但主要的性能提升仍集中于網(wǎng)絡(luò)封包的處理。

如數(shù)據(jù)校驗、路由匹配等，完成常見網(wǎng)絡(luò)設(shè)備的職責(zé)非常出色，但是對于更加復(fù)雜的數(shù)據(jù)應(yīng)用，例如數(shù)據(jù)包重組和加密處理等，其表現(xiàn)就往往不那么搶眼了。

我們知道，防火墻產(chǎn)品并不是用來進行數(shù)據(jù)包轉(zhuǎn)發(fā)的，更重要的是需要其對數(shù)據(jù)進行判斷和處理，尤其是現(xiàn)在防火墻功能的不斷擴展，對處理性能的要求也在快速增長，單純提升基本數(shù)據(jù)處理能力，尚無法保證NP能滿足硬件防火墻的要求，Intel的產(chǎn)品主要著眼于數(shù)據(jù)處理和控制方面，在功能管理層面支持相對不足。

之所以有眾多廠商仍選擇以Intel的網(wǎng)絡(luò)處理器發(fā)展硬件防火墻產(chǎn)品，可能是希望利用原有的產(chǎn)品技術(shù)積累，因為很多廠商的產(chǎn)品是在X86通用處理器架構(gòu)上以BSD和Linux作為軟件平臺開發(fā)而成的。為了應(yīng)對上述這種局面，NP供應(yīng)商也在不斷優(yōu)化自己的解決方案，希望在利用NP優(yōu)秀網(wǎng)絡(luò)數(shù)據(jù)處理能力的同時，可以滿足更高層次的應(yīng)用要求。

還有一些廠商推出了融合AISC技術(shù)和NP概念的產(chǎn)品，為硬件防火墻等網(wǎng)絡(luò)設(shè)備的開發(fā)提供了豐富的選擇。

結(jié)語

NP架構(gòu)的防火墻雖然有廣闊的發(fā)展天地，但還遠未達到顛覆AISC架構(gòu)的程度，因為NP技術(shù)畢竟才經(jīng)過幾年時間的發(fā)展，各方面的積累相對薄弱，而AISC技術(shù)也仍未停止發(fā)展的腳步，正努力改善其難于開發(fā)的現(xiàn)狀。

目前在千兆防火墻市場，AISC仍處于領(lǐng)先地位，NP架構(gòu)的應(yīng)用確實能以相對較低的投入在較短時間內(nèi)發(fā)展出逼近AISC架構(gòu)的產(chǎn)品，但同時也需要提醒廠商，認真選擇適合自身需求的NP產(chǎn)品，以充分發(fā)揮防火墻NP架構(gòu)的優(yōu)勢。