因为安全设备而使网速下降、宕机掉线的事儿，在企业网络应用中屡见不鲜。如何改善安全设备的处理性能，真有一套学问呢！

近几年，集团业务发展出奇的快，不仅经营规模扩大了数倍，人员也增长了数倍，网络应用不断扩展，新增视频会议、语言通信等应用，使网络流量迅速上升。原来的百兆网络像百岁老人的老胳臂老腿儿，明显跑不动了，网络必须升级（从百兆到千兆）。

让信息部负责人吴刚感到欣慰地是，建议一提出，便得到老总的首肯。于是，网络返老还童，有了焕然一新的高性能交换机、服务器。

然而，事与愿违，网络并没有因此而提速，上网慢、宕机掉线等现象有过之而无不及。吴刚百思不得其解。问题到底出在了哪儿？

提速绊脚石

通信技术的发展、用户应用的提高，把网络设备带入“高速”时代（即具有高性能、高传输率、高带宽的网络通信能力），也把业务带入愈演愈烈的安全威胁中。用户对安全保护的需求与日剧增，纷纷在企业网中部署有如防毒、防火墙、IDS等安全系统。

但安全技术相对于网络技术发展滞后，当已经发展了20多年的网络路由交换技术开始采用先进的NP（网络处理器）技术之时，防火墙等安全设备却还停留在以CPU集中处理为主的技术阶段，从而在网络应用过程中面临着一腿长、一腿短的运行压力。

腿短的是安全设备。现在用户面临多业务需求，以CPU集中处理为主的安全设备，其所有数据只能通过一条线路传到CPU，不能区分业务等级。这样，在网络负荷提高的情况下，哪怕遭遇轻微的网络攻击，都会让关键业务无法开展。

最重要的是，安全产品放在网络的关键环节之上，经过的流量大、处理的业务多，如果不能够保证这些业务快速地转发和基于优先级高效地调度，就无法为应用提供不间断服务。特别是现在网络带宽已经发展到千兆，而基于CPU架构的防火墙等安全设备基本上还停留在百兆（即使支持千兆，也有相当一部分只是理论值，真正达不到线速千兆）的状况下，处理能力的悬殊差距，更是难以保证服务质量。

如上所述，核心设备运转很快，网络接入设备运转也很快，但是到了检查业务安全性的时候，运转却慢下来，在大流量背景下，势必形成瓶颈。

这种现象在很多企业都出现过，吴刚遇到的就是这个问题。当他升级网络设备时，根本没想到也要同时升级防火墙的处理能力，以致让防火墙成了网络提速的绊脚石。

NP显身手

那么，在网络带宽高速增长、千兆网络大规模应用的态势下，安全设备应该具备哪些特性呢？

首先需要具备大容量的安全规则处理能力。目前，病毒与黑客的攻击手段繁多，而且多在应用层以上，如何快速地匹配这种网络的攻击行为，成为安全产品重点解决的问题。

其次需要高性能的安全过滤能力、多业务的实时调度能力，还有大容量的日志处理能力和高性能的流分析能力。而所有这些，都要求安全设备具有很强的处理能力，NP正好顺应这一需要。

处理能力没的说

NP是专门为处理数据包而设计的可编程处理器，它内含了多个数据处理引擎，这些引擎可以并发进行数据处理工作，在处理2～4层的分组数据上比通用处理器具有明显的优势。由于NP对数据包处理的一般性任务进行了优化，使得基于NP的网络安全设备的包处理能力得到很大提升。

NP针对不同的网络应用环境而设计，覆盖了不同的网络层次和不同处理性能的要求（包括百兆、千兆和万兆），能够提供从百兆到万兆的处理性能。从成本上来看，NP技术所设计出来的产品在总成本上和基于奔腾CPU基本差不多，但增强了网络处理能力，为中低端的安全设备选用NP产品提供了先决条件。

比对ASIC

说到这儿，不能不提一下ASIC（专用集成电路技术）。它是一种通过增加ASIC芯片的可编程性，来与软件更好地配合，满足用户对灵活性和运行高性能的要求。目前国内销售的基于ASIC技术的防火墙，已可达到4个千兆网口的全线速包转发速率。而一般基于NP的防火墙在小包情况下，还不能完全做到2网口的千兆线速转发。

从实现功能方面看，ASIC技术可以比较容易地集成IDS、VPN等功能，也有产品已经实现了内容过滤和防病毒功能。而NP受限于它的计算能力，这些功能一般只能靠协处理器来实现。纯硬件的ASIC防火墙价格较高，可扩展性差，又缺乏可编程性，因此不够灵活，跟不上防火墙功能的快速发展。

而NP防火墙，开发难度小，开发成本低，开发周期也短。如开发一款新的ASIC设备，从设计出原型到进行规模生产，总共需要1年半到2年的时间；而对于NP技术，芯片厂商一般都能提供基本的原型，防火墙厂商在此基础上，开发自己的软件功能、算法等，大概只需要花不到半年或1年的时间。正因如此，国内很多防火墙厂商选中NP开发千兆防火墙产品。

转载地址：http://www.chinaccna.com/networky/yit/200512/4516.html