近期精彩文章导读：

    【IT168 公关稿】目前网络安全市场中防火墙厂商的产品品牌众多，但大部分都是基于x86的体系结构，因此研发门槛非常低。由于基于x86体系的安全产品存在着性能差、可靠性低的先天性缺陷，因此无法满足目前网络流量的日益增大和客户对设备可靠性要求的提升。

    防火墙体系结构的实现

    目前市场上防火墙的硬件体系实现技术主要有三种：Intel x86架构、ASIC硬件加速技术和NP加速技术。

    Intel x86架构又被称为通用CPU架构，其具有开发、设计门槛低，技术成熟等优点，曾经以其高灵活性和扩展性在百兆防火墙上获得过巨大的成功。但是，缺陷也是显而易见的，由于x86架构的硬件并非为了网络数据传输而设计，它对数据包的转发性能相对较弱，无法适应日益增长的网络性能要求。

    并且由于国内安全厂商并不掌握x86架构的核心技术，其BIOS中存在着隐藏的漏洞，有可能影响防火墙的安全可靠性。而且x86的产业链条非常复杂，国内厂商在其中能发挥的影响力很有限，不利于国内信息安全产业的长期发展。

    ASIC通过把指令或计算逻辑固化到硬件中，可以获得很高的处理能力。但是ASIC将指令或计算逻辑固化到了硬件中，缺乏灵活性，也不便于修改和升级；深层次包分析（L4+）增加ASIC的复杂度；ASIC的开发周期长，典型设计周期18个月；ASIC设计费用昂贵且风险较大。

    NP（网络处理器）采用微码编程，是专门为进行网络分组处理而开发的，具有优化的体系结构、专用指令集和硬件单元，所以比X86 CPU具备更高的处理性能，满足高速数据分组线速处理要求；而且NP有专门的指令集和配套的软件开发系统，具有很强的软件编程能力，能够方便地开发各种应用，支持可扩展的服务，迅速实现新的标准、服务、应用，满足网络业务复杂多样化需求，因而比ASIC更具灵活性。设备具有软件升级能力，满足用户设备硬件投资保护需求。在高速数据流高层细化处理背景下，NP技术成为下一代网络的核心技术。

    清华比威全新NP架构防火墙

    分析了近年来防火墙市场的需求，展望未来防火墙技术发展的趋势，经过多年的精心研发，清华比威全面推出了基于NP架构的从低端到高端、从百兆到千兆的全系列NP防火墙，百兆防火墙UF-N107系列和UF-N207系列分别采用了Intel IXP 422和IXP 425网络处理器，千兆防火墙UF12000采用了Intel IXP1200双NP架构。

    Intel IXP系列NP处理器从体系结构上看，都是由RISC处理器加微引擎构成的。其中，RISC处理器主要用于控制微引擎的运行，所以又称为控制层面；微引擎完成对网络数据包的处理，以实现高性能，所以又称为数据层面。不同IXP系列处理器的RISC型号和主频不同，微引擎的个数也有所不同。其特点有：

    1. 专用硬件加速处理单元：采用专用硬件对特定协议操作进行协处理：如CRC效验、哈希查找、树查找、字符匹配。针对安全产品，提供加／解密、大数运算等硬件单元。

    2. 优化指令集：采用RISC技术，结合多级流水线技术，大部分指令在一个时钟周期完成。并针对网络协议处理特点，设置专用硬件加速处理单元，提供专用指令如压缩指令、哈希查找、状态判断、数据读写指令。

    3. 硬件多线程：为了提高NP资源利用率，每个数据分组协处理器还支持多个硬件线程。每个线程都有一套专门的硬件来存放上下文（Context），可获得线程切换的零开销。

    4. 可扩展性：多个NP之间还可以互连，构成网络处理器簇，以支持更为大型高速的网络处理。

    清华比威全新NP架构三大特点

    1. 高可靠性

    传统的x86架构的防火墙设备内部存在大量的接插件，这样很容易由于运输或搬动造成接插件松动、脱落等产品品质问题；此外x86架构的防火墙内部需风扇进行散热，一旦散热系统出现故障，防火墙设备就会出现工作不正常、死机等问题。

    清华比威NP架构防火墙采用嵌入式操作系统，具备非常高的安全性。百兆防火墙所采用的NP处理器硬件功耗低（最大仅为6W），噪音低，无需风扇散热，可以避免由于散热问题造成的系统工作不正常、死机等问题，器件全部板载，无接插件，可以有效避免运输、搬动等过程中带来的接插件松动、脱落等产品品质问题，提高了设备的稳定性，并最大程度上保障了系统运行的安全。

    清华比威NP系列防火墙均具备双机热备功能，此外千兆NP产品还支持链路备份功能：在其中一台防火墙的一条链路出现问题时，能够自动切换到另外一条链路上，保证网络的正常运行，具备高可靠性。

    2. 高性能

    性能对于防火墙设备而言是很重要的一个指标，但是大量厂商均号称自己的防火墙设备为“百兆线速”或“千兆线速”，因此对于用户而言很难从本质上了解防火墙的性能指标，而仅仅通过并发连接数等指标考察产品性能，这其实是一个很大的误区。

    传统x86架构的防火墙设备由于所有数据包处理均通过CPU进行处理，因此无法在大流量的网络环境中高性能处理数据包；此外传统x86架构的防火墙的VPN是通过软件进行实现的，没有专用的VPN硬件加速器，因此VPN一旦打开后，防火墙性能将有很大的衰减。

    基于Intel IXP系列NP处理器的清华比威防火墙具备非常高的网络数据处理及转发能力，能够满足高性能要求的网络环境。国内不少厂商也宣称其防火墙达到“线速”数据处理能力，而实际上其“线速”只不过是针对大包的数据处理能力，而对于比如64、128字节的小包处理能力很差，尤其是千兆防火墙，传统X86结构防火墙的小包处理能力连150Mbps都很难达到。

    清华比威千兆NP防火墙UF12000的评测结果表明，UF12000达到了真正的千兆全线速，从64字节小包到1518字节大包，均能达到千兆的线速处理能力，并且其性能与包过滤规则数目无关，即无论是10条、100条还是1000条包过滤规则，UF12000的处理能力均能达到千兆全线速。

    清华比威百兆NP防火墙内置VPN硬件加速引擎，VPN处理能力最高可达到70Mbps（传统的防火墙设备VPN处理能力一般不超过20M），能够满足VPN用户的高性能需求，通过清华比威百兆NP防火墙可以高速、便捷的实现端对端、端对点的VPN互连。

    3. 虚拟防火墙系统

    虚拟防火墙，是指在一台物理防火墙设备上提供多个逻辑上完全独立的虚拟防火墙系统，每个虚拟防火墙为一个特定的用户群提供安全服务，各个用户群之间相互独立，可以各自维护自身的防火墙安全策略，进行安全审计。

    虚拟防火墙系统的支持，一台防火墙设备可以虚拟成多台防火墙来使用，可以大幅度降低用户的安全投资，可以实现用户各系统、各部门之间的安全隔离与策略定制。

    清华比威防火墙最大可以支持500个虚拟防火墙VF（Virtual Firewall），并且可以同VLAN支持完美结合，提高网络内部的安全性。每一台虚拟防火墙系统可单独配置策略、帐户信息和日志审计等，每个VF都有独立的管理员及管理界面。虚拟防火墙可以被配置成透明模式或者地址翻译模式（NAT/PAT）。根据虚拟防火墙的配置，来自不可信网络的流量会直接流到具有相应的目标IP地址或者VLAN号的虚拟防火墙上进行安全策略控制。从受保护网络到不可信任网络的流量，基于相应的源IP地址或VLAN Tag标记，也会流经相应的虚拟防火墙根据安全策略传输出去。

    下图是虚拟防火墙功能在IDC中的一个典型应用，IDC可以将防火墙虚拟出多台防火墙，将不同的虚拟防火墙系统出租给不同的客户，各个客户之间相互独立，每个客户可以根据需要定制、维护自身安全策略，最大程度满足各个客户的安全需求。