2003年国内厂商纷纷推出基于NP或ASIC架构的千兆防火墙系统，而用户面对大量“线速千兆”、“自主研发”、“纯硬件”、“NP”、“ASIC”等字眼造成极大的混乱，不知如何选择。是否国内大部分厂商都拥有自主研发基于NP或设计ASIC芯片的能力？是否采用了NP或ASIC架构就一定带来高性能？什么样在可以被叫作线速千兆防火墙系统，衡量标准是什么？

　　千兆防火墙的硬件实现技术主要有三种：Intel X86架构工控机、ASIC硬件加速技术和NP加速技术。

　　性能对于千兆防火墙而言是很重要的一个指标，但是大量厂商均号称自己的千兆防火墙为“千兆线速”，因此对于用户而言很难从本质上了解千兆防火墙的性能指标，而仅仅通过并发连接数等指标考察产品性能，这其实是一个很大的误区。实际上，号称“千兆线速”的防火墙也仅仅是在帧长达到128字节以上时可能达到100%，然而根据RFC定义，这样的设备并不能成为“线速”。

　　一些网络安全厂商在市场宣传上大幅度强调采用了NP或ASIC架构，然而对于用户而言，采用何种结构并不是关键点。如果采用NP架构设计的千兆防火墙在性能上同Intel X86架构的千兆防火墙一样，那么对于用户而言就没有任何的价值可取。

　　无论采用哪种结构(Intel X86、NP、ASIC)，只是在性能上面带来不同的影响，但是也并不是采用了NP或者ASIC设计的千兆防火墙在性能上就一定优越于通用CPU结构的千兆防火墙。就拿NP架构的千兆防火墙而言，必须在微码的优化、中间判断环节的减少、策略决策模块同执行模块的分离上面进行技术优化，这样设计出来的千兆防火墙在性能上才能很大程度地优于通用CPU架构的防火墙系统。

　　清华紫光比威自主研发的双NP架构千兆防火墙系统，通过两片网络处理器协同工作，使性能在64字节时吞吐率可达80%左右。

　　UF12000系统提供三级处理结构,其中MicroEngine和StrongARM位于NP上，Pentium作为整个系统的主控CPU。UF12000对数据流的处理主要有两个通道：NP完成高速通道的处理，Pentium完成数据包的深入分析和处理。

　　同时清华紫光比威还在决策和执行分开、减少中间判断环节、将防火墙的数据平面的功能放在NP上完成、将防火墙的控制平面和管理平面的功能放在Pentium上完成等方面进行结构优化，提升吞吐率。

　　因此对于用户选购千兆防火墙而言，无论防火墙采用何种方式实现，吞吐量、延迟、丢包率仍然是判断一个防火墙性能的主要依据。

　　如果提供虚拟防火墙功能的千兆防火墙可以同VLAN支持完美地结合，比如清华紫光比威千兆双NP防火墙UF12000提供虚拟防火墙功能VF(Virtual Firewall)，一台UF12000最大可虚拟成500台防火墙系统，每一台虚拟系统可单独配置策略、账户信息和日志审计。(汪 辉）