UTM產品的平臺包括軟件平臺、硬件平臺和混合式平臺，那么我們今天主要分析的是UTM在不同的硬件平臺上所能達到的效果。通過UTM硬件平臺的不同選擇，使得企業在使用UTM系統中得到性能提升。

UTM硬件平臺x86架構，也稱為CPU架構，采用通用的x86 CPU作為整個系統的轉發核心，具有很高的靈活性和可擴展性，一直是安全網關開發的主要平臺。其產品功能主要由軟件實現，還可以根據用戶的實際需要做相應調整，增加或減少功能模塊，產品比較靈活，功能十分豐富。例如，現在安全網關的趨勢就是向UTM方向發展，在一個產品中集成防火墻、入侵防御、防病毒及內容過濾等特性，x86架構的安全網關可以很方便地集成上述功能。

但該架構的性能發展受到CPU體系結構的制約，作為通用的計算平臺，x86的結構層次較多，不易優化，特別是在小包處理中，x86的進程調度、中斷處理等都會大幅降低整機吞吐量。同時，x86作為通用CPU，沒有為網絡轉發及安全計算進行優化，因此基于x86的硬件平臺仍很難達到千兆速率。

x86架構安全網關的特點：

·優點：靈活，功能豐富，開放性好，是百兆和千兆中低端防火墻的主要架構;

·缺點：性能提升困難，特別是小包處理時性能下降嚴重。

UTM硬件平臺NP(Network Processor：網絡處理器)是專門為網絡設備處理網絡流量而設計的處理器，在其體系結構和指令集中對網絡設備常用的包過濾、轉發等算法和操作都進行了專門的優化，可以高效地完成TCP/IP協議棧的常用操作，并對網絡流量進行快速的并發處理。NP通過專門的指令集和配套的軟件開發系統，提供強大的面向網絡報文處理的編程能力，因而便于開發應用，支持可擴展的服務，而且研制周期相對較短，成本比開發ASIC低。

但是，相比于UTM硬件平臺x86架構，由于應用開發、功能擴展受到NP的配套軟件的限制，故基于NP技術的防火墻的靈活性要差一些，而且還依賴軟件環境，所以在性能方面NP不如 ASIC。特別是在防火墻的關鍵性指標——“多策略復雜環境下的吞吐量”上，NP架構的劣勢更加明顯。NP芯片的基本結構如圖2-2所示，核心是xScale CPU，該CPU是一款低端ARM內核的CPU，其處理能力僅相當于Intel P3 CPU，而NP架構防火墻的查表(安全策略表)操作只能由該xScale CPU處理，因此在大流量、多安全策略環境下，NP架構防火墻的吞吐量會出現明顯下降。(注：在高端NP路由器中，由外置TCAM芯片實現查找路由表的操作，但該技術無法應用到NP網關中)

同時，NP芯片主要的設計方向是路由器類的網絡設備，幾乎沒有任何針對安全設備的加速功能，所以NP復雜且相對固話的報文處理流程決定了這類架構的安全網關幾乎不可能提供高級安全特性，如入侵防御、病毒過濾等，而只能作為純粹的防火墻使用。

NP架構安全網關特點。

·優點：靈活性優于ASIC，性能優于x86，開發流程要比ASIC短。

·缺點：性能低于ASIC，靈活性低于x86;多安全策略環境下性能下降;不能升級到UTM設備，無法提供高級安全特性。

UTM硬件平臺ASIC(Application Specific Intergrated Circuits)架構安全網關通過專門設計的ASIC芯片邏輯進行硬件加速處理，這種ASIC完全按照設計者的目的去設計硬件電路，優化相應的功能模塊，然后固化完成ASIC。ASIC架構的優勢是性能高，轉發性能與安全策略數量無關。

ASIC架構的主要缺點表現在以下兩個方面。

一是靈活性不夠，開發費用高，開發周期太長。由于ASIC架構的固定性與安全網關需要面對的復雜威脅相互矛盾，因此ASIC架構從開發周期上無法應對層出不窮的安全威脅，只適合于功能固化的防火墻、VPN類產品。

二是新建連接的速率不高，實際上這類架構產品的基礎模型是ASIC+x86 CPU，由x86 CPU負責系統管理、策略配置及連接建立，然后將相關的安全策略和連接信息同步到ASIC芯片中，由ASIC芯片實現基于狀態的策略控制和報文過濾;ASIC芯片與CPU的狀態信息需要不斷同步，因此ASIC架構的性能“短板”是新建連接的速率低。

總結ASIC架構安全網關的優缺點：

·優點：轉發性能比NP、X86高;

·缺點：功能固化，新建連接的速率低，無法支持高級安全特性。

【編輯推薦】

1. 企業VPN應用簡單概要
2. 簡析三種VPN服務類型
3. 簡析三種VPN部署模式
4. UTM講堂之網絡地址轉換技術
5. UTM講堂之混合攻擊檢測技術