出版日期：2004-12-20　总期号：1374　本年期号：95

本期导读 要闻综合 中国信息化 2004编辑选择奖特别发布　 渠道与市场 华东专刊 华南专刊 西南专刊 东北专刊 存储世界

告别工控机时代 NP架构渐成主流 ——主流防火墙厂商点评防火墙技术发展趋势 　　根据赛迪顾问的统计分析，2004年第三季度，中国网络安全产品市场总体规模达到9.91亿元，比2003年第三季度增长55.3%。其中防火墙表现出色，比2003年同期增长67.3%，占网络安全产品市场销售额的44.9%，依然占据了将近半壁江山，在三大类主要网络安全产品中高居首位。 　　防火墙市场已经连续几年保持了高速的增长。随着网络带宽的增长和千兆网络在国内的大规模推广应用，用户对防火墙的要求不断提高。现有防火墙的三种X86、NP、ASIC架构，谁将成为市场的主流？未来防火墙市场的发展趋势是什么？请听听几大主流防火墙厂商的观点。 　　X86架构淡出主流市场 　　在百兆防火墙时代，国内防火墙厂商普遍采用的是通用CPU配合软件的技术方案。虽然很多厂家也把它称之为硬件防火墙，但实际上都是基于X86架构的服务器或工控机。这类防火墙一般运行在经过裁减的操作系统上（通常是Linux或BSD），所有的数据包解析和审查工作都由软件来完成。这种技术方案在百兆防火墙市场取得了很大的成功，由于技术门槛低，易于开发等方面的原因，几乎得到国内所有的主流防火墙厂商的青睐。 　　然而，随着我国网络环境的不断升级，应用对网络质量越来越高，传统的X86架构防火墙遭遇到了前所未有的困境。特别是在电信、电力、金融、教育等高带宽、应用复杂、稳定性要求苛刻的环境中，X86架构的防火墙己经成为网络性能和可靠性的瓶颈。 　　由于X86架构采用通用处理器，是为数据的处理而设计的。因此，流量比较大的网络环境，特别是千兆网络环境中，常常由于X86防火墙的性能问题造成整体网络性能的下降，对应用造成制约，浪费了在网络建设中的巨大投资。 　　X86架构对防火墙设备的稳定性也有影响。X86架构下，防火墙厂商为了不断提升产品的性能，一般都会采用最新的CPU，这就造成CPU功耗的快速上升。另外，CPU主频的倍速增加会导致总体功耗的累积增加效应，从而防火墙整体功耗快速上升。在防火墙上万小时的不间断运行中，很容易导致CPU风扇以及主板上的器件快速老化，从而导致防火墙失效。 　　目前，国内各大主流防火墙厂商都已经意识到工控机架构存在的问题。但是未来引领防火墙市场的会是哪一种技术，这是一直以来困扰业界的问题。 　　东软公司旗帜鲜明地表示：防火墙必将告别工控机时代，NP架构将是防火墙今后的发展趋势。NP防火墙能够胜任高带宽的线速处理，具有更高的集成度以及安全稳定性。东软由于之前在防火墙领域积累的雄厚技术研发实力，能够轻松跨越NP防火墙技术的研发难关。并且，东软防火墙将全面采用NP架构，在价格保持不变的情况下，为客户带来更好的产品。 　　近期，东软在最主流产品线上一举实现了向NP的跨越，在发货量最大的防火墙主流产品上推出NP架构防火墙，不仅性能大幅提高，而且销售价格保持不变。东软NP防火墙新品的推出将一直持续到明年上半年，将NP技术的替代扩展到低端和高端的产品上。到明年中期，东软在市场上销售的90%的防火墙产品将是自主设计的基于NP的硬件产品。更重要的是，东软此次推出的NP防火墙新品具有包括主板在内的、从硬件到软件的自主知识产权，并且发布当月就中标安徽人民银行，为以后在NP架构上的长期产品、技术研发打下了坚实的基础。 　　天融信公司也表示，防火墙产品经过多年的发展，经过了从软件防火墙到硬件防火墙的变化。现在，防火墙的硬件体系结构正面临着一次变革。硬件架构之争是随着近年千兆网络开始在国内大规模推广应用而升温的。在多数网络环境下，传统的基于X86体系结构的防火墙已不能满足千兆防火墙高吞吐量、低时延的要求。因此，两种新的技术，即网络处理器（Network Processor）和专用集成电路（ASIC）技术成为众多国内厂家实现千兆防火墙的主要选择。 　　联想公司则认为，不同层面的客户需求完全不同，高端用户关注产品的性能、可靠性方案、产品冗余度，而低端用户更关注产品的性价比，显然，这两类客户如果采用同一架构，无论这种架构是NP、ASIC、IA还是PowerPC等嵌入系统，都不可能同时满足客户需求。同理，中端客户的需求与高、低端客户的需求差异性也非常大。因此，应该提供各个架构的产品来满足不同层次用户的需求。 　　可见，X86架构已经不能满足市场的需要，已经成为各大主流防火墙厂商的共识。NP和ASIC技术将成为今后防火墙发展趋势的主要选择。这两种方案之间，又各有哪些优劣呢？ 　　NP架构渐成主流 　　让我们先来看看ASIC架构。ASIC技术是通过把指令或计算逻辑固化到硬件中，来获得很高的处理能力。采用ASIC技术可以为防火墙应用设计专门的数据包处理流水线，优化存储器等资源的利用，是公认的使防火墙达到线速转发，满足高速网络环境骨干级应用的技术方案。 　　但是ASIC将指令或计算逻辑固化到了硬件中，缺乏灵活性，也不便于修改和升级；深层次包分析（L4+）增加了ASIC的复杂度，不能满足防火墙产品对网络协议进行二到七层处理的需求；ASIC的开发周期长，设计费用昂贵且风险较大；硬件的ASIC防火墙缺乏可编程性，对新功能的实施周期长，很不灵活，使得它难以跟上当今防火墙功能的快速发展。 　　由于X86架构防火墙己经难以满足网络环境对性能和稳定性的严苛要求，而ASIC平台又存在设计费用昂贵、成本高、功能扩展性差等问题，因此，国内外主流的防火墙厂商开始考虑防火墙的线速处理性能和高可靠性的平台时，并不约而同地将目光投向了NP架构。那么，为什么选择NP架构作为新一代防火墙的硬件平台呢？ 　　NP平台作为防火墙的硬件平台，能够充分保证防火墙具有线速处理能力和极高的可靠性，在这方面，NP可以与ASIC相媲美；与此同时，开发新的功能时，NP的开发代价又远远小于ASIC。因此，在达到线速处理能力和高可靠性的同时，保证防火墙功能的快速发展，NP架构成了防火墙硬件平台理想的选择。 　　首先，NP是专门为处理数据包而设计的可编程处理器，集成了多个数据处理引擎，可以并发进行数据处理工作，因此比较容易实现高速。此外，NP采用高速的接口技术和总线规范，具有较高的I/O能力，并且对数据包处理的一般性任务进行了优化（如校验和计算、包分类、路由查找等），因此NP的体系结构使得防火墙处理能力得到了极大的提升。 　　其次，由于NP可以支持编程，一旦有新的技术或者需求出现，可以很方便地通过微码编程进行实现，系统的“硬件”功能可以通过软件模块（微码）的方式方便地进行添加、删除。所以，对于特殊的用户需求，基于NP的产品可以实现定制开发，即可以通过模块删减开发能满足不同用户需求的产品。在新功能开发的时间上，按照业界的经验数字，基于微码的功能开发周期一般为6个月，而用FPGA实现的时间为18个月，用ASIC实现的时间更长，通常需要2～3年的时间。因此，NP提供了更快的技术、功能跟进和更加灵活的扩展能力，特别是在新规格、新标准的支持上。 　　此外，基于NP技术提供了更高的可靠性和灵活性，网络处理器提供了更高的集成度，大部分功能都能使用一个或者两个芯片实现，从而避免了从前通过多个芯片、芯片组系统间配合实现的方式所带来的隐患和功能、性能下降，NP芯片系统转产前都经过了严格的测试和各种抗干扰和破坏性试验，从而使使用NP的系统的可靠性大大提高。 　　采用NP架构，防火墙厂商可以自主完成系统的硬件设计，包括：主板设计、布线与制图、生产、检测等一系列环节。这样，从包括主板在内的硬件到软件都具有完全可控，使得防火墙能够百分之百地屏蔽长期困扰防火墙的BIOS漏洞问题。 　　从国家信息安全战略的角度来看，软件从主板到BSP乃至TCP/IP协议栈完全自主知识产权，对于军队、政府、银行、电力等国家关键基础信息设施的安全具有重要意义。NP架构的采用使得防火墙采用国产CPU，如龙芯、方舟等成为可能。从国家信息安全战略的角度，NP架构的防火墙对于应对潜在的信息战威胁，提供了坚实的基础。 　　产品点评 　　东软NetEye 4032NP架构防火墙 　　东软最新发布的基于NP架构的NetEye 4032防火墙，是东软2000年开始立项并投入大量经费，由资深的研发团队开发的具有自主知识产权的NP防火墙。新产品继承了东软NetEye 防火墙原有的技术优势，使用户的网络安全体系能够平滑过渡到NP时代。东软的NetEye NP防火墙从软件到硬件完全是自主版权，使东软NetEye防火墙在性能、稳定性、安全性和可扩展性方面达到了一个全新的高度。 　　创新的高性能核心保护能力，基于状态包过滤的流过滤 　　在状态包过滤基础上的流过滤机制是NetEye防火墙3.0的一大特色，NetEye防火墙3.2.1（NP）保留了这一个特色，并对其性能、稳定性进行了进一步的优化。基于状态包过滤的流过滤体系结构，实现了高性能、可扩展、透明的对应用层协议的保护。该功能是通过一个内置的建立在状态包过滤基础上的专用TCP协议栈实现的。它可以提供透明方式下的完整的应用层协议的控制。基于这个机制，防火墙的应用协议处理模块可以根据需要重写应用会话的任何部分或全部。 　　可扩展的模块化的应用层协议支持 　　该功能是对原有NetEye防火墙3.1动态规则特性的完善，使其更容易扩展，用户可以通过简单的下载、升级模块，达到对新的复杂应用的支持。这也是流过滤体系结构优良可扩展性的体现。 　　由于现在的应用协议日益繁多，每天都可能有新的应用协议产生，防火墙推出之时很难能够支持所有的应用，这就要求防火墙能够有很好的可扩展性，以便将来能够根据需要进行扩展。在流过滤的平台基础上，我们可以方便、快捷的进行应用级插件的开发和升级，使防火墙可以不断适应新的应用协议。 　　高可靠性和高可用性保护网络永不间断 　　NetEye NP防火墙通过硬件体系结构设计、关键部件冗余、带内带外双重通道管理、最低一秒的双机热备自动保护切换等功能，以充分满足网络的可靠性和可管理维护性要求。 　　NetEye NP防火墙的硬件采用了由摩托罗拉公司专门为东软设计生产的设备，其硬件体系结构完全采用了用于电信级的服务器的标准，同时设备的关键部件，CPU、内存、电源等部件完全冗余。保证了系统的高可靠性运行。 　　完备的审计功能 　　NetEye NP防火墙提供了完备的审计功能。NetEye NP防火墙的审计日志包括三个部分：事件日志、访问日志及HTTP访问日志。事件日志负责记录防火墙上发生的事件；访问日志负责记录经过防火墙的网络连接并记录相关信息，如：源IP、目的IP、目的端口、方向等信息，并可以根据用户的需要，进行审计条件的定义。HTTP访问日志主要针对经过防火墙的HTTP协议(WEB访问）的的相关信息，如：源IP、目的地址、方法、回应码、用户操作系统信息等。