防火墙硬件架构NP和ASIC之比较

核心提示： 反过来说，网络处理器的软件色彩使它具有更好的灵活性，防火墙硬件架构NP和ASIC之比较(2)，在升级维护方面有较大的优势，纯硬件的ASIC防火墙缺乏可编程性，ASIC方案较好，从进入门槛、研发成本和灵活性考虑，这使得它缺乏灵活性从而跟不上防火墙功能的快速发展，现代的ASIC技术通过增加AS

反过来说，网络处理器的软件色彩使它具有更好的灵活性，在升级维护方面有较大的优势。纯硬件的ASIC防火墙缺乏可编程性，这使得它缺乏灵活性从而跟不上防火墙功能的快速发展。

现代的ASIC技术通过增加ASIC芯片的可编程性，使其与软件更好地配合，从而同时满足来自灵活性和运行性能的要求。从实现功能方面看，ASIC技术可以比较容易地集成IDS、VPN等功能，也有产品已经实现了内容过滤和防病毒功能。而网络处理器受限于它的计算能力，这些功能一般只能靠协处理器来实现。

从今后产品的成本上看，一片网络处理器的价格在三、四百美金左右，如果需要协处理器，还要加上协处理器的成本。ASIC技术前期如果使用FPGA（Field Programmable Gate Arrays，现场可编程门阵列）来实现，两者价格大致相当。不过如果量产投片以后，ASIC的价格可以降低一个量级，因而从长远来看ASIC技术更有潜力。

灵活性：NP占先

在开发难度、开发成本和开发周期方面，网络处理器技术有比较明显的优势，毕竟网络处理器产生的一大原因就是降低这方面的门槛，这也是国内很多防火墙企业选中网络处理器的原因。

不过从技术成熟度方面来看，相比ASIC这样已经为实践证明了的成熟技术，网络处理器用于防火墙其实是近一年多才出现的。在此之前网络处理器在市场上的表现并不理想，一般只被用于低端路由器、交换机等数据通信产品。究其原因，主要是网络处理器开发需要的编程技术比预期的复杂困难，而且在实际应用中的性能往往并不理想，远低于其厂家的标称性能。这种技术应用在防火墙这样的复杂网络设备上，究竟能否在不影响功能的前提下，达到预期的性能，还有待检验。

目前防火墙的体系结构已经处于一个更新换代的门槛上，未来的发展趋势基本上是网络处理器与ASIC两条道路。从性能、功能、技术成熟度方面考虑，ASIC方案较好，从进入门槛、研发成本和灵活性考虑，则网络处理器占优。