此文章主要介紹的是防火墻NP架構綜述和展望，假如我們回顧一下網絡安全領域出境率最高的熱詞匯，“NP”一定榜上有名。NP是網絡處理器(Net Processor)的簡稱，顧名思義，NP是專門設計用于網絡封包處理的一種處理器。

作為被業內普遍推崇的一種革命性技術，NP至今尚未能達到人們預期的應用水平。作為NP技術的主要目標客戶群，通信廠商們的態度正由熱捧回歸冷靜，而在網絡安全設備特別是硬件防火墻市場上，NP的應用卻正呈現出一片欣欣向榮的景象。

國內的大部分重量級防火墻廠商紛紛推出了自己的防火墻NP架構防火墻產品，而作為占據國內防火墻市場頭把交椅的東軟，更是將自己的主力產品全部轉向NP平臺。

防火墻硬件架構綜述

為了能夠透徹地了解NP在防火墻領域造成的這種強大的沖擊效應，我們需要先來回顧一下防火墻硬件平臺的基本情況。在過去的幾年時間里，市場上硬件防火墻產品通常都基于兩種架構：AISC(專用集成電路)和以X86為代表的通用處理器。

可以說，AISC是硬件防火墻領域無可爭議的主流技術，因為利用這種硬件架構可以獲得相當高的性能和穩定性。全球最主要的硬件防火墻產品供應商NetScreen就一直推崇以AISC芯片為核心的高性能硬件防火墻，但AISC技術也在某種程度上存在著設計周期長、開發成本高的問題，所以并不是所有廠商都能在這種平臺上發展出完善的產品。

相應的，基于通用處理器進行產品研發的門檻相比AISC要低的多，所以在百兆防火墻作為主流的時期，這種解決方案受到很多廠商的歡迎。但利用通用處理器平臺實現防火墻產品同樣存在著不可回避的缺陷，那就是通用處理器并非為特定任務設計，在實現同樣功能的前提下，其資源耗費要遠高于AISC，這也導致了在現今數據量不斷膨脹的網絡環境中，基于這種硬件平臺的防火墻產品在性能方面受到的挑戰越來越大。

現今百兆防火墻正逐漸失去主導地位，特別是在主干網部分，千兆網的應用需求成長迅速?；A環境的變化，成為了擺在防火墻廠商面前的主要難題，特別是國內的防火墻廠商，大部分都是以X86通用處理器平臺作為自己產品的硬件平臺，繼續在這種架構上發展自己的產品，已經無法滿足性能方面的要求。

雖然很多廠商都宣稱可以生產千兆級產品，但其實僅僅是能夠達到千兆的傳輸速率而已，實際的應用效果大都不甚理想，包處理率等指標無法達到令人滿意的程度，而且不像已經有多年技術積累的頂級品牌，大多數硬件防火墻供應商沒有足夠的資源在AISC架構上進行產品開發，也沒有足夠的能力壓低成本與大廠抗衡。

所以在面對千兆防火墻這一巨大市場時，在設計上兼顧性能與靈活性的NP技術被視為搶占千兆防火墻市場的重要契機而被寄予厚望就不難被人理解了。

NP技術概觀

NP采用了ASIP(Application Specific Processor)和SoC(System on Chip)等體系結構技術，同時為了保證運算性能，現在的NP產品通常都擁有多個RISC處理器及協處理器，并采用分布式的存儲系統，最大限度地突破存儲瓶頸，使得不同的應用操作可以由這些處理器并發執行，從而獲得逼近AISC的效能。

同時NP在靈活性方面又要好于AISC，因為其具有很強的編程能力，能夠方便地進行各種應用開發，隨著市場需要對功能進行擴展和修正，另外由于其開發周期較短(通常不超過6個月，AISC的開發周期一般都超過12個月)，可以保證產品快速投放市場，降低廠商的風險。

目前業內占據最大市場份額的網絡處理器供應商是AMCC，主要為Cisco等頂級廠商提供產品，Intel經過一段時間的苦心經營，市場份額已經躍升至第二位，國內基于NP研發硬件防火墻的廠商通常都是基于Intel的產品，其他主要的NP供貨商還包括摩托羅拉和IBM等。

總體來說，NP主要提供了一種介于AISC和通用處理器之間的折衷方案，其在提供高于通用處理器性能的同時，也很好的解決了AISC在靈活性和可編程性方面的問題，為有效緩解網絡傳輸高速發展導致的網絡節點處理能力不足提供了一條全新思路。

NP防火墻現狀及前景

在了解了防火墻NP架構的特點之后，大家可能都在思索，在硬件防火墻市場NP技術到底會起到怎樣的作用呢？國內的防火墻廠商紛紛將自己的研發力量投入到NP架構之上，主要的原因就是想借NP突破通用處理器在性能上的瓶頸，進而促成和采用AISC的一線廠商直接對話的局面。

因為在低端的百兆防火墻市場，各個廠商之間的差距已經越來越小，基本已經開始進入微利階段，如何在千兆防火墻領域占據有利位置，對于硬件防火墻廠商來說無疑已成為生死攸關的問題。

從目前的情況來看，NP所展現給我們的前景還是相當美好的，但這并不代表加入NP陣營的防火墻廠商就得到了制勝之鑰，NP在硬件防火墻領域的應用并非一片坦途。以Intel網絡處理器產品為例，其結構設計反應了當今最主流的NP技術內容，其數據處理能力確實足以勝任千兆網的數據傳輸負荷，但主要的性能提升仍集中于網絡封包的處理。

如數據校驗、路由匹配等，完成常見網絡設備的職責非常出色，但是對于更加復雜的數據應用，例如數據包重組和加密處理等，其表現就往往不那么搶眼了。

我們知道，防火墻產品并不是用來進行數據包轉發的，更重要的是需要其對數據進行判斷和處理，尤其是現在防火墻功能的不斷擴展，對處理性能的要求也在快速增長，單純提升基本數據處理能力，尚無法保證NP能滿足硬件防火墻的要求，Intel的產品主要著眼于數據處理和控制方面，在功能管理層面支持相對不足。

之所以有眾多廠商仍選擇以Intel的網絡處理器發展硬件防火墻產品，可能是希望利用原有的產品技術積累，因為很多廠商的產品是在X86通用處理器架構上以BSD和Linux作為軟件平臺開發而成的。為了應對上述這種局面，NP供應商也在不斷優化自己的解決方案，希望在利用NP優秀網絡數據處理能力的同時，可以滿足更高層次的應用要求。

還有一些廠商推出了融合AISC技術和NP概念的產品，為硬件防火墻等網絡設備的開發提供了豐富的選擇。

結語

NP架構的防火墻雖然有廣闊的發展天地，但還遠未達到顛覆AISC架構的程度，因為NP技術畢竟才經過幾年時間的發展，各方面的積累相對薄弱，而AISC技術也仍未停止發展的腳步，正努力改善其難于開發的現狀。

目前在千兆防火墻市場，AISC仍處于領先地位，NP架構的應用確實能以相對較低的投入在較短時間內發展出逼近AISC架構的產品，但同時也需要提醒廠商，認真選擇適合自身需求的NP產品，以充分發揮防火墻NP架構的優勢。