话不多说，西安鸥鹏今天为大家介绍网络安全产品常见的4种架构。

　　X86：可编程能力强，能实现应用层安全防护，转发性能较弱，所有处理均经过CPU，存在处理瓶颈;

　　ASIC：ASIC价格低，网络层处理性能较高，无法实现应用层检测;

　　NP：路由器常见架构，部分安全路由交换机一台机内部有NP芯片;

　　MIPS：MIPS多核并行处理，提高处理性能，应用、入.侵识别准确率低;

　　1、X86架构

　　问题：性能不足

　　X86是由 Intel推出的一种CISC复杂指令集，用于控制芯片运行程序，现在 X86处理器已经广泛运用到了 PC 领域(我们PC使用的CPU I3、I5、I7，服务器使用的E3、E5、E7都是使用CISC复杂指令集的x86架构产品，而intel针对小型机的安腾系列CPU则是使用精简指令集RISC架构)。

　　基于X86架构的防火墙，报文均需要CPU进行处理，由于CPU处理能力和PCI总线速度的制约，在实际应用中，尤其在小包情况下，难以满足千兆、甚至万兆等高性能场景。

　　X86架构是一种通用的“CPU+Linux”操作系统的架构。其处理机制是，数据从网卡到CPU之间的传输是依靠“中断”实现，这导致了不可逾越的性能瓶颈，尤其在传送小包的情况下(如64 Bytes的小包)，数据包的只能达到20%～30%左右，并且它的设计是必须依靠CPU计算，因此，很占CPU资源，这也是为什么X86防火墙性能上不去的原因。

　　虽然Intel提出了解决方案，将32位的PCI总线升级到了PCI-E ，总线速度可达16GBps，但是，小包传送问题依然没有解决。“如果用户在进行小率测试时，性能出现大幅度的下滑，这种防火墙多半是X86架构。提醒用户一定不能被厂商的宣传忽悠了，基于X86的防火墙，其性能只能达到2Gbps!” 长久以来，国内许多安全厂商的防火墙产品都采用基于X86的架构，而国外厂商的多数防火墙则采用ASIC架构。所以，目前市场上大多数的X86防火墙不能作为千兆防火墙使用，只能作为百兆防火墙。

　　优点：开发灵活简单

　　当然，x86架构也有优点，就是开发灵活，编程实现简单。x86架构的设备，你可以理解成底层就是一个linux系统，上层安装运行一个防火墙软件即可。要做升级只需要更新上层软件即可，底层系统不需要变化。

　　2、ASIC架构

　　问题：灵活性不够

　　专用集成芯片(Application Specific Integrated Circuit，简称ASIC)，为特定要求和特定电子系统而设计、制造的集成电路。ASIC的特点是面向特定需求，ASIC在批量生产时与通用集成电路相比具有体积更小、功耗更低、可靠性提高、性能提高、保密性增强、成本降低等优点。

　　国外的大部分防火墙设计都采用了ASIC架构，以Juniper和Fortinet的产品为，因为它的性能高，并且开发门槛高，一度成为国际国内厂商的技术分水岭。基于ASIC架构的防火墙从架构上改进了中断机制，数据通过网卡进入系统后，无需经过主CPU处理，而是由集成在系统中的芯片直接处理，完成防火墙的功能，如路由、NAT、防火墙规则匹配等，因此，其性能得到了大幅度的提升: 性能可以达到万兆，并且64 Bytes的小包都可以达到线速。

　　但问题是，这种防火墙在设计时，就必须将安全功能固化进ASIC芯片中，所以它的灵活性不够，如果想要增添新的功能或进行系统升级，开发周期较长，对技术的要求也很高。此外，用ASIC开发复杂的功能，如垃圾邮件过滤、网络监控、防护等，其开发比较复杂，对技术要求很高。因此，ASIC架构非常适用于功能简单的防火墙。

　　3、NP架构

　　特点：平衡方案

　　网络处理器(Network Processor，简称NP)，采用NP架构的防火墙，各种算法可以通过硬件实现，在实现复杂的拥塞管理、队列调度、流分类和QoS功能的

　　NP是专门为网络设备处理网络流量而设计的处理器，其体系结构和指令集对于数据处理都做了专门的优化，同时辅助一些协处理器完成搜索、查表等功能，可以对网络流量进行的并发处理。硬件结构设计采用高速的接口技术和总线规范，具有较高的I/O能力。这是一种硬件加速的完全可编程的架构，软硬件都易于升级，因此产品的生命周期更长。

　　NP的优点在于它是通过专门的指令集和配套的软件开发系统提供强大的编程能力，因而便于开发应用，可扩展性强，而且研制周期短，成本较低。但是，相比于X86架构，由于应用开发、功能扩展受到NP的配套软件的限制，基于NP技术的防火墙的灵活性要差一些。采用微码编程，在性能方面NP不如ASIC。NP开发的难度和灵活性都介于ASIC和X86构架之间，应该说NP是X86架构和ASIC之间的平衡方案。

　　NP芯片都是由国外厂商设计制造的，提供NP芯片的厂家有很多，基本上都符合NPF的规范。目前NP的主要提供商是AMCC、IBM、CISCO、Motorola、Intel、Agere、Vitesse。

　　国内许多厂商为了弥补防火墙性能的不足，在不断进行技术研发，推出了基于“NP+ASIC”的防火墙架构，以解决X86架构性能不足和ASIC架构不够灵活的问题。

　　4、MIPS架构

　　特点：多核方案

　　MIPS (Microprocessor without interlocked piped stages) 是RISC精简指令集处理器。它早是在80年代初期由斯坦福(Stanford)大学Hennessy教授领导的研究小组研制出来的。MIPS是高性能、低功耗嵌入式系统处理器，广泛应用于网络/通讯、无线、存储和控制应用等领域的安全产品，国际上主要的网络/通讯/无线等厂商都有使用MIPS的解决方案。

　　MIPS多核技术则是近年来新出现的处理器技术，它一出现，就被认为是解决信息安全产品功能与性能之间矛盾的一大硬件法宝。国外许多厂商，如SonicWall等，都推出了其多核产品。多核是在同一个硅晶片上集成了多个独立物理核心，每个核心都具有独立的逻辑结构，包括缓存、执行单元、指令级单元和总线接口等逻辑单元，通过高速总线、内存共享进行通信。在实际工作中，每个核心都可以达到2Ghz以上的主频。因此，多核技术无论在性能、灵活性还是在开发的成本和难度方面，都是其他架构不能比拟的。

　　目前各种芯片厂商推出的多核芯片共分三种：一种是Intel、AMD推出的2核、4核的通用处理器，适用于桌面笔记本电脑等通用领域;一种是IBM、SUN分别推出的Cell和RC架构的多核处理器，主要用于图形处理和运算;第三种是RMI和Cavium推出的基于MIPS架构的嵌入式多核处理器，主要应用于数据通信领域，它适合用于信息安全产品的开发。