多种硬件平台解析

核心提示： 但是，相比于x86架构，多种硬件平台解析(2)，由于应用开发、功能扩展受到NP的配套软件的限制，故基于NP技术的防火墙的灵活性要差一些，由于ASIC架构的固定性与安全网关需要面对的复杂威胁相互矛盾，因此ASIC架构从开发周期上无法应对层出不穷的安全威胁，而且还依赖软件环境，所以在性能方面N

但是，相比于x86架构，由于应用开发、功能扩展受到NP的配套软件的限制，故基于NP技术的防火墙的灵活性要差一些，而且还依赖软件环境，所以在性能方面NP不如 ASIC。特别是在防火墙的关键性指标——“多策略复杂环境下的吞吐量”上，NP架构的劣势更加明显。NP芯片的基本结构如图2-2所示，核心是xScale CPU，该CPU是一款低端ARM内核的CPU，其处理能力仅相当于Intel P3 CPU，而NP架构防火墙的查表（安全策略表）操作只能由该xScale CPU处理，因此在大流量、多安全策略环境下，NP架构防火墙的吞吐量会出现明显下降。（注：在高端NP路由器中，由外置TCAM芯片实现查找路由表的操作，但该技术无法应用到NP网关中）

同时，NP芯片主要的设计方向是路由器类的网络设备，几乎没有任何针对安全设备的加速功能，所以NP复杂且相对固话的报文处理流程决定了这类架构的安全网关几乎不可能提供高级安全特性，如入侵防御、病毒过滤等，而只能作为纯粹的防火墙使用。

NP架构安全网关特点：

·优点：灵活性优于ASIC，性能优于x86，开发流程要比ASIC短。

·缺点：性能低于ASIC，灵活性低于x86；多安全策略环境下性能下降；不能升级到UTM设备，无法提供高级安全特性。

ASIC（Application Specific Intergrated Circuits）架构安全网关通过专门设计的ASIC芯片逻辑进行硬件加速处理，这种ASIC完全按照设计者的目的去设计硬件电路，优化相应的功能模块，然后固化完成ASIC。ASIC架构的优势是性能高，转发性能与安全策略数量无关。

ASIC架构的主要缺点表现在以下两个方面。

一是灵活性不够，开发费用高，开发周期太长。由于ASIC架构的固定性与安全网关需要面对的复杂威胁相互矛盾，因此ASIC架构从开发周期上无法应对层出不穷的安全威胁，只适合于功能固化的防火墙、VPN类产品。