前言：想要寫出一篇令人眼前一亮的文章嗎？我們特意為您整理了5篇防火墻解決方案范文，相信會為您的寫作帶來幫助，發現更多的寫作思路和靈感。

防火墻解決方案范文第1篇

這是McAfee自2010年以768萬美元被英特爾收購以來最大的一筆交易。

此次要約收購交易已經獲得了Stonesoft公司CEO Ilkka Hiidenheimo、主席Hannu Turunen，及一名董事會成員（共持有Stonesoft 34.7%股權）的同意。Stonesoft的董事會，亦建議其他股東支持該方案。

赫爾辛基調查機構Inderes Oy的分析師米克爾·拉塔尼表示：“正如你經常聽到有些企業的網站被入侵，網絡安全的大趨勢從未展現出放緩的跡象。而Stonesoft有潛力看到這強勁的增長，因此這對英特爾來說是一項不錯的交易。而此次交易提出的價格對Stonesoft的股東而言也是一項非常好的交易?！?/p>

總部位于赫爾辛基的Stonesoft為企業客戶提供一系列的安全解決方案，包括下一代防火墻，規避防御系統以及SSL VPN解決方案，幫助企業免遭網絡安全威脅。它通過軟件、硬件和虛擬設備提供軍事級別的防火墻。研究公司Gartner最近的安全報告授予該公司“有遠見的企業”稱號。該公司提供行業內最完整的安全解決方案，這也是吸引邁克菲的主要原因。

英特爾網絡安全部的高級副總裁兼總經理派特·卡爾霍恩在他的博客中寫道：“McAfee已經設計生產出了高安全度的防火墻，為全球包括政府機構在內的最重要的網絡提供防護。此次收購，我非常有信心，我們將為下一代防火墻提供最先進的技術，Stonesoft的技術能夠滿足一個全新的、巨大的企業細分市場的需求?！?/p>

卡爾霍恩還說：“有了英特爾的支持，我們現在提供兩種領先的防火墻解決方案，這將是我們安全連接戰略中至關重要的一個層級。此次對Stonesoft的投資也將允許我們將我們的資源集中在我們IPS平臺的開發上，使之能夠成為市場領先的解決方案，幫助企業抵御絕大多數復雜且高級的威脅。將IPS和防火墻與我們領先的威脅智能感知系統、解決威脅專家，以及領先的網絡和郵件保護解決方案結合在一起，McAfee必將在網絡安全領域處于領先地位。”

防火墻解決方案范文第2篇

傳統的防火墻通常是基于訪問控制列表(ACL)進行包過濾的，位于在內部專用網的入口處，所以也俗稱“邊界防火墻”。隨著防火墻技術的發展，防火墻技術也得到了發展，出現了一些新的防火墻技術，如電路級網關技術、應用網關技術和動態包過濾技術，在實際運用中，這些技術差別非常大，有的工作在OSI參考模式的網絡層，有的工作在傳輸層，還有的工作在應用層。

在這些已出現的防火墻技術中，靜態包過濾是最差的安全解決方案，其應用存在著一些不可克服的限制，最明顯的表現就是不能檢測出基于用戶身份的地址欺騙型數據包，并且很容易受到諸如DOS（拒絕服務）、IP地址欺詐等黑客攻擊?，F在已基本上沒有防火墻廠商單獨使用這種技術。應用層網關和電路級網關是比較好的安全解決方案，它們在應用層檢查數據包。但是，我們不可能對每一個應用都運行這樣一個服務器，而且部分應用網關技術還要求客戶端安裝有特殊的軟件。這兩種解決方案在性能上也有很大的不足之處。動態包過濾是基于連接狀態對數據包進行檢查，由于動態包過濾解決了靜態包過濾的安全限制，并且比技術在性能上有了很大的改善，因而目前大多數防火墻廠商都采用這種技術。但是隨著主動攻擊的增多，狀態包過濾技術也面臨著巨大的挑戰，更需要其它新技術的輔助。

技術發展趨勢

隨著新的網絡攻擊的出現，防火墻技術也有一些新的發展趨勢。這主要可以從包過濾技術、防火墻體系結構和防火墻系統管理三方面來體現。

防火墻包過濾技術發展趨勢。一些防火墻廠商把在AAA系統上運用的用戶認證及其服務擴展到防火墻中，使其擁有可以支持基于用戶角色的安全策略功能。

多級過濾技術。所謂多級過濾技術，是指防火墻采用多級過濾措施，并輔以鑒別手段。在分組過濾（網絡層）一級，過濾掉所有的源路由分組和假冒的IP源地址；在傳輸層一級，遵循過濾規則，過濾掉所有禁止出和入的協議和有害數據包如nuke包、圣誕樹包等；在應用網關（應用層）一級，能利用FTP、SMTP等各種網關，控制和監測Internet提供的所用通用服務。這是針對以上各種已有防火墻技術的不足而產生的一種綜合型過濾技術，它可以彌補以上各種單獨過濾技術的不足。

使防火墻具有病毒防護功能?，F在通常被稱之為“病毒防火墻”，當然目前主要還是在個人防火墻中體現，因為它是純軟件形式，更容易實現。這種防火墻技術可以有效地防止病毒在網絡中的傳播，比等待攻擊的發生更加積極。擁有病毒防護功能的防火墻可以大大減少公司的損失。

防火墻的體系結構發展趨勢

隨著網絡應用的增加，對網絡帶寬提出了更高的要求。這意味著防火墻要能夠以非常高的速率處理數據。另外，在以后幾年里，多媒體應用將會越來越普遍，它要求數據穿過防火墻所帶來的延遲要足夠小。為了滿足這種需要，一些防火墻制造商開發了基于ASIC的防火墻和基于網絡處理器的防火墻。從執行速度的角度看來，基于網絡處理器的防火墻也是基于軟件的解決方案，它需要在很大程度上依賴于軟件的性能，但是由于這類防火墻中有一些專門用于處理數據層面任務的引擎，從而減輕了CPU的負擔，該類防火墻的性能要比傳統防火墻的性能好許多。

與基于ASIC的純硬件防火墻相比，基于網絡處理器的防火墻具有軟件色彩，因而更加具有靈活性?；贏SIC的防火墻使用專門的硬件處理網絡數據流，比起前兩種類型的防火墻具有更好的性能。但是純硬件的ASIC防火墻缺乏可編程性，這就使得它缺乏靈活性，從而跟不上防火墻功能的快速發展。理想的解決方案是增加ASIC芯片的可編程性，使其與軟件更好地配合。這樣的防火墻就可以同時滿足來自靈活性和運行性能的要求。

防火墻的系統管理發展趨勢

防火墻的系統管理也有一些發展趨勢，主要體現在以下幾個方面：首先是集中式管理，分布式和分層的安全結構是將來的趨勢。集中式管理可以降低管理成本，并保證在大型網絡中安全策略的一致性?？焖夙憫涂焖俜烙惨蟛捎眉惺焦芾硐到y。目前這種分布式防火墻早已在Cisco（思科）、3Com等大的網絡設備開發商中開發成功，也就是目前所稱的“分布式防火墻”和“嵌入式防火墻”。

強大的審計功能和自動日志分析功能。這兩點的應用可以更早地發現潛在的威脅并預防攻擊的發生。

網絡安全產品的系統化

隨著網絡安全技術的發展，現在有一種提法，叫做“建立以防火墻為核心的網絡安全體系”。因為我們在現實中發現，僅現有的防火墻技術難以滿足當前網絡安全需求。通過建立一個以防火墻為核心的安全體系，就可以為內部網絡系統部署多道安全防線，各種安全技術各司其職，從各方面防御外來入侵。如現在的IDS設備就能很好地與防火墻一起聯合。

目前主要有兩種解決辦法：一種是直接把IDS、病毒檢測部分直接“做”到防火墻中，使防火墻具有IDS和病毒檢測設備的功能；另一種是各個產品分立，通過某種通訊方式形成一個整體，一旦發現安全事件，則立即通知防火墻，由防火墻完成過濾和報告。目前更看重后一種方案，因為它實現方式較前一種容易許多。

分布式防火墻技術

分布式防火墻的主要特點。綜合起來這種新的防火墻技術具有以下幾個主要特點：主機駐留、嵌入操作系統內核、類似于個人防火墻。其次，不同于個人防火墻是單純的直接面向個人用戶，針對桌面應用的主機防火墻是面向企業級客戶的，它與分布式防火墻其它產品共同構成一個企業級應用方案，形成一個安全策略中心統一管理，所以它在一定程度上也面對整個網絡。它是整個安全防護系統中不可分割的一部分，整個系統的安全檢查機制分散布置在整個分布式防火墻體系中。

分布式防火墻的主要優勢。在新的安全體系結構下，分布式防火墻代表新一代防火墻技術的潮流，它可以在網絡的任何交界和節點處設置屏障，從而形成了一個多層次、多協議，內外皆防的全方位安全體系。主要優勢如下：增強的系統安全性、提高了系統性能、系統的擴展性、實施主機策略、應用更為廣泛，支持VPN通信。

分布式防火墻的主要功能

分布式防火墻的特點和優勢，那么到底這種防火墻具備哪些功能呢？因為采用了軟件形式（有的采用了“軟件+硬件”形式），所以功能配置更加靈活，具備充分的智能管理能力，總的來說可以體現在以下幾個方面：

Internet訪問控制。依據工作站名稱、設備指紋等屬性，使用“Internet訪問規則”，控制該工作站或工作站組在指定的時間段內是否允許/禁止訪問模板或網址列表中所規定的Internet Web服務器，某個用戶可否基于某工作站訪問www服務器，同時當某個工作站/用戶達到規定流量后確定是否斷網。

應用訪問控制。通過對網絡通訊從鏈路層、網絡層、傳輸層、應用層基于源地址、目標地址、端口、協議的逐層包過濾與入侵監測，控制來自局域網/Internet的應用服務請求，如SQL數據庫訪問、IPX協議訪問等。

網絡狀態監控。實時動態報告當前網絡中所有的用戶登陸、Internet訪問、內網訪問、網絡入侵事件等信息。

黑客攻擊的防御。抵御包括Smurf拒絕服務攻擊、ARP欺騙式攻擊、Ping攻擊、Trojan木馬攻擊等在內的近百種來自網絡內部以及來自Internet的黑客攻擊手段。

防火墻解決方案范文第3篇

今年已經是華為連續第五年參展RSA大會，五年的參展經歷折射了華為安全的快速成長歷程，從一名初出茅廬的新手到挑動著安全巨頭神經的領先安全企業，華為羽翼漸豐，在安全領域獲得越來越多的話語權和關注。

在今年的RSA大會上，華為的防火墻產品獲得NSS實驗室下一代防火墻NGFW最高級評價，即“推薦級”，同時和FireMon簽署合作備忘錄，倡導產業鏈共建安全生態圈。

2015年，是全球信息安全產業飛速發展和變化的一年。這一年，安全市場總體空間超過90億美元，產業鏈競爭格局加劇，與此同時，安全采購方式、覆蓋領域、專業能力都在發生變化。

那么RSA2016大會又向我們傳遞了哪些最新的安全領域發展趨勢呢？親臨現場的IDC信息安全市場研究經理王培向《通信產業報》（網）表示，今年RSA大會將主題定為“Connect to protect”，便是希望所有的安全廠商、安全團隊團結在一起，用聯合的力量保護大家的信息網絡安全。

的確如此，網絡攻擊變得越來越復雜，單一廠商無法完全解決。特別身處大數據時代，單點的智慧已經不足以引發變革，安全界需要運用集體智慧來守護業務。

“在今年的RSA大會上，我們深刻地感受到，合作、聯盟、情報共享已經成為主流安全廠商的必然選擇?！比A為安全領域分析師陸昆侖向記者表示。

他補充說道：“特別是在移動安全和云服務兩個市場中，每個廠商只做自己最擅長的一部分，將它們整合到一起才能夠給客戶提供更加全面的解決方案。所以，我一直認為協作是非常重要的?！?/p>

目前，在國外市場，不少廠商已經展開協作。以美國的三家安全企業舉例，FireEye只做單一的安全產品用于抵御APT攻擊；PaloAlto則專注下一代防火墻的研發；Splunk則擅長利用大數據形成安全威脅分析模型，三家企業開展協作，整合產品形成完整的解決方案提供給客戶?！八麄兊淖谥际菍ふ液献骰锇槿椭脩艚鉀Q問題。”王培向記者表示。

不過，王培向記者坦承，目前國內安全廠商對協作態度還是比較排斥的，更多的做法是為用戶提供一體化解決方案，他們的目標也很明確，保持用戶黏性。

青松智慧北京科技有限公司創始人兼CEO孫大偉向記者表達了同樣的觀點：“中國和國外的安全產業情況完全兩重天。受制于國內政策和生態環境所限，安全廠商之間的競爭日益激烈，甚至拼得頭破血流。但是，云計算和互聯網已經將傳統的安全邊界打破，協作和共享是國內安全廠商必須走的一條道路?！?/p>

在這方面，華為為國內廠商做出了表率。去年，華為提出建立“云清聯盟”，該聯盟的宗旨是將全球運營商、安全服務提供商、IDC的資源進行整合，構成一個云端的“DDoS防御生態系統”，統一進行管理和調度，以“近源清洗”徹底解決DDoS攻擊問題。青松智慧便是這一聯盟的成員之一。

而在RSA2016大會上，華為又與FireMon公司簽署了合作備忘錄，共同宣布在全球范圍內提供華為NGFW防火墻策略管理聯合解決方案，幫助廣大用戶高效管理華為NGFW防火墻策略，降低運維成本。

長期以來，IT運維人員在防火墻管理方面的壓力很大，策略管理普遍存在低效不準確的情況。

通過雙方的聯合解決方案，用戶將可以使用FireMon的解決方案方便、高效地管理華為所有防火墻的安全策略。

這一合作不僅是華為倡導安全生態圈建設的最新行動，也是華為企業業務“被集成”戰略的又一具體表現。

防火墻解決方案范文第4篇

【關鍵詞】辦公網;技術網;防火墻;隔離

1.概述

1.1 當前網絡狀況

隨著廣播發射電臺網絡建設的發展，電臺的業務需求也呈現多樣化，臺站網絡按照規劃一般分為兩個網段：辦公（OA）網和技術網。在現有的網絡中，以一臺H3C S5500交換機作為電臺辦公網的核心交換機，辦公網通過H3C S5500上聯MSR3020路由器，通過MSR3020接入全局廣域網，H3C S5500與MSR3020之間采用Eudemon 200防火墻隔離。

技術網以一臺三層交換機H3C S5500為核心，接入采用二層方式連接。改造之前辦公網與技術網之間沒有添加隔離設備，物理直接相連，通過靜態路由協議互通。如圖1所示。

圖1 網絡連接示意圖

1.2 辦公網與技術網隔離的背景

1.2.1 網絡潛在威脅

由于計算機網絡的發展，信息系統的不安全因素陡然增加。網絡的不安全因素主要表現為下列幾個方面：[1]

物理臨近攻擊。

內部犯罪。

信息泄露。

重放攻擊。

篡改和破壞。

惡意程序的攻擊。

系統脆弱性攻擊。

網絡安全隱患是全方位的，軟件，硬件，人為等因素都會造成網絡的故障，甚至是不可挽回的損失。我們現在需解決的是電臺辦公網與技術網的隔離問題，也就是說要保證辦公網即使出現計算機病毒，惡意代碼等也不會波及到技術網。反之技術網的安全威脅也不會波及到辦公網。

1.2.2 隔離原因

在改造之前的運行環境中，技術網和辦公網之間是通過靜態路由互通的，兩網之間沒有任何的隔離措施。

根據無線電臺管理局內網網絡建設的要求，辦公網和技術網的安全級別是不一樣的。技術網主要部署安全播出服務器和控制終端，安全級別要求更高，技術網的網段地址不對外，只在臺站內有效;辦公網網段是全局廣域網的，局機關與臺站以及各臺站之間都可以互訪。因此為了保證網絡安全，在辦公網和技術網之間須要增加安全隔離措施，以盡量避免或減少病毒、攻擊等網絡威脅對技術網造成影響。

在兩網之間，辦公網用戶與技術網用戶不需要進行數據交換，辦公網服務器與技術網服務器分別設有一臺應用服務器實現數據庫數據同步。因此，安全隔離措施將全部禁止辦公網與技術網中其余用戶和服務器的數據交換，只允許辦公網應用服務器（即辦公網通訊服務器，例如IP為10.2.72.149）和技術網應用服務器（即技術網通訊服務器，例如IP為172.1.72.5）之間進行數據傳遞。

2.隔離方案對比

根據電臺辦公網與技術網現狀和需求，我們提出以下四種網絡隔離解決方案：

2.1 物理隔離

物理隔離是一種完全斷開物理上連接的方式，使得辦公網和技術網相互不連通。在辦公網需要提取技術網相關數據時，通過移動存儲介質進行傳輸。這種方式的優點在于只要保證了存儲介質和對技術網進行訪問的相關人員的安全，就保證了技術網的絕對安全。

但是由于辦公網需要讀取的不僅僅是數據庫中存儲的數據，還包括服務器里實時變動的相應數據，所以采取此方式得到的數據都存在相當大的延遲，從某種程度上講，得到的數據已經“失效”。

2.2 訪問控制列表

為了過濾通過網絡設備的數據包，需要配置一系列的匹配規則，以識別需要過濾的對象。在識別出特定的對象之后，網絡設備才能根據預先設定的策略允許或禁止相應的數據包通過，訪問控制列表（Access Control List，ACL）就是用來實現這些功能。ACL通過一系列的匹配條件對數據包進行分類，這些條件可以是數據包的源地址、目的地址、端口號等。ACL應用在交換機全局或端口，交換機根據ACL中指定的條件來檢測數據包，從而決定是轉發還是丟棄該數據包。由ACL定義的數據包匹配規則，還可以在其它需要對流量進行區分。

優點：此方案不需要添加任何隔離設備。僅需要在核心交換機上設置ACL，只允許指定的辦公網服務器訪問技術網服務器，禁止其余用戶訪問，配置靈活，維護方便。

缺點：對病毒和網絡攻擊的防御作用較小。

2.3 多功能安全網關

在辦公網和技術網之間增加多功能安全網關設備，隔離辦公網和技術網。

多功能安全網關工作模式為路由模式，采用靜態路由方式。增加包過濾規則，對匹配辦公網通訊服務器和技術網通訊服務器的網絡流量允許通過，其余流量禁止通過，同時利用訪問控制列表過濾病毒端口。

優點：功能強大，整合了防病毒、IDS、IPS、防火墻等功能，降低技術復雜度。

缺點：不能有效防范內部攻擊，過度集成造成誤判率較高，降低了系統的可用性和穩定性。

2.4 防火墻

在辦公網和技術網之間增加防火墻設備，隔離辦公網和技術網。

防火墻配置路由模式，采用靜態路由方式。同時，采用兩種隔離規則：

（1）增加包過濾規則，對匹配辦公網通訊服務器和技術網通訊服務器的網絡流量允許通過，其余流量禁止通過，同時利用訪問控制類別過濾病毒端口。

（2）通過NAT方式，對外隱藏技術網應用服務器地址，把該IP地址轉換成一個其他地址，轉換后辦公網中只能看到防火墻轉換后的地址，而無法看到原始IP地址，增強了安全性。

優點：性價比高，配置靈活，維護方便，安全性高。

缺點：功能較為單一，不能有效防范內部攻擊和未設置策略的攻擊漏洞。

2.5 方案對比和選擇

為了提供最佳的解決方案，我們需要針對電臺網絡進行綜合的分析，權衡利弊，才能提出一個理想的解決方案。

電臺辦公網與技術網之間數據流量并不大，辦公網用戶與辦公網用戶之間除了特定的應用服務器都沒有數據交換的需要。但是數據交換具有偶然性、實時性的要求，除了讀取數據庫中保存的數據，還需要讀中間件服務器中的實時變化的數據。綜合考慮辦公網與技術網的使用現狀、流量、數據交換要求、經濟性以及安全特性等因素，以上4種解決方案中我們建議采取第四種解決方案，即采用防火墻作為兩網間的隔離設備，以達到安全防護的目的。

主要原因如下：

（1）物理隔離方式因為沒有直接的物理連接最為安全，但其提供的數據交換不能夠滿足對技術網數據提取的要求。

（2）訪問控制列表過于簡單，只能單純地過濾數據報，不能對報文作深度的監測分析，沒有防病毒、抗攻擊能力。

（3）多功能安全網關，具備強大的防火墻功能，安全性較高，但價格昂貴，配置復雜，過度集成造成性能下降，誤判率高，增加了配置和維護的復雜性。

（4）防火墻功能強大，傳輸效率高，安全性較高，可對數據報進行深度的監測分析，具有抗病毒、抗攻擊能力。

3.防火墻隔離詳細設置

3.1 防火墻工作模式

針對電臺站辦公網與技術網現狀，防火墻采用路由模式工作，因為只有采用這種工作模式才可以利用NAT技術進（下轉第169頁）（上接第165頁）行地址轉換，實現隱藏技術網地址的目的。

在路由模式下，防火墻必須設置接口IP地址。它除了具備路由器的數據包轉發功能外，同時解析所有通過它的數據包，增強網絡安全性。見圖2所示。

圖2 防火墻隔離示意圖

3.2 IP地址和路由協議使用

防火墻采用路由模式時與之連接的接口必須配置IP地址，防火墻采用靜態路由協議與辦公網和技術網互通。

接口地址表如下：

辦公交換機S5500，端口為GE0/0/19，IP地址為10.2.72.17;

防火墻，端口為GE0，IP地址為10.2. 72.18，端口為GE1，IP地址為10.2.72.21;

技術交換機S5500，端口為E1/0/2，IP地址為10.2.72.22。

NAT地址表：內部地址為172.1.72.5;外部地址為10.2.72.120/29

參照接口地址表和NAT的地址表，路由協議配置規則如下：

（1）技術網核心交換機S5500配置靜態路由，規則配置為：去往目標網絡地址10.2. 72.149，下一跳地址為10.2.72.21。

（2）防火墻配置靜態路由，規則配置為：去往目標網絡地址172.1.72.5，下一跳地址為10.2.72.22;去往目標網絡地址10.2. 72.149，下一跳地址為10.2.72.17。同時，設置NAT地址池將地址為172.1.72.5放置在地址池中，轉換成地址為10.2.72.120/29綁定在出方向GE1接口，設置global地址10.2.72.121轉換成inside地址172.1.72.5。

（3）辦公網核心交換機S5500設置靜態路由，規則配置為：去往目標網絡地址10.2. 72.120，下一跳地址為10.2.72.18。

3.3 NAT配置

在本防火墻設置中，可以把技術網看作一個內部網絡。

NAT就是在技術網中使用內部地址，而當技術網節點要與辦公網節點進行通訊時，就在防火墻處將技術網地址替換成一個另外的地址。

通過這種方法，NAT對外屏蔽了技術網網絡，所有技術網計算機對于辦公網來說是不可見的，而技術網計算機用戶通常不會意識到NAT的存在。

在這次改造過程中，我們可在防火墻上配置NAT，針對技術網配置地址轉換，技術網應用服務器，IP地址為172.1.72.5，可以看作是內部地址，通過地址轉換，轉換成IP地址為10.2.72.121的全局地址。

對于辦公網來說，辦公網只知道技術網應用服務器轉換的地址，而不知道真實的地址，這就提高了網絡安全性，確保了技術網內服務器的保密性，隱藏了技術網內真實的IP地址。

以上設置能夠保證技術網服務器正常訪問辦公網服務器，同時辦公網服務器也能正常訪問技術網服務器，而辦公網中只知道去往地址的路由，并不會知道技術網服務器的存在，這樣就利用防火墻保證了辦公網和技術網的安全性和獨立性。

4.結論

辦公網和技術網隔離的改造完成之后，保障了辦公網用戶終端安全的使用，技術網應用系統可靠穩定的運行，對電臺網絡安全建設發揮了巨大的作用，為電臺的安全播出工作做出了重要的貢獻。

參考文獻

防火墻解決方案范文第5篇

防火墻功能和性能的矛盾一直是困擾信息安全產品的問題，也是最被用戶詬病之處。解決方法只有一個，那就是尋求新的硬件之道。

好在硬件技術在不斷發展，多核技術的出現讓廠商們看到了新曙光。目前，市面上除了傳統的x86、NP和ASIC架構的防火墻外，又出現了一個新的防火墻設計――多核防火墻。那么，多核與以往傳統的x86、NP、ASIC架構相比有何特色？人們該如何選擇不同的架構？近日，在神州數碼網絡公司推出首款多核防火墻――終結者多業務網關2.0之際，記者采訪了神州數碼網絡公司技術總監楊海濤。

x86性能最多只能達到2Gbps

長久以來，國內許多安全廠商的防火墻產品都采用基于x86的架構，而國外廠商的多數防火墻則采用ASIC架構。幾年前，隨著技術的更新換代，隨著網絡處理器（NP）技術的興起，為了趕超國際上的先進水平，彌補國內防火墻性能上的不足，很多國內廠商開始采用“NP+ASIC”的架構。

x86架構是一種通用的“CPU+Linux”操作系統的架構。其處理機制是，數據從網卡到CPU之間的傳輸是依靠“中斷”實現，這導致了不可逾越的性能瓶頸，尤其在傳送小包的情況下（如64 Bytes的小包），數據包的通過率只能達到30%～40%左右，并且它的設計是必須依靠CPU計算，因此，很占CPU資源，這也是為什么x86防火墻性能上不去的原因。

雖然Intel提出了解決方案，將32位的PCI總線升級到了PCI-E ，總線速度最高可達16GBps，但是，小包傳送問題依然沒有解決?！叭绻脩粼谶M行小包通過率測試時，性能出現大幅度的下滑，這種防火墻多半是x86架構。提醒用戶一定不能被廠商的宣傳忽悠了，基于x86的防火墻，其最高性能只能達到2Gbps！”楊海濤說。

所以，目前市場上大多數的x86防火墻不能作為千兆防火墻使用，只能作為百兆防火墻。

ASIC架構

靈活性不夠

國外的大部分防火墻設計都采用了ASIC架構，以Juniper和Fortinet的產品為首，因為它的性能高，并且開發門檻高，一度成為國際國內廠商的技術分水嶺。

基于ASIC架構的防火墻從架構上改進了中斷機制，數據通過網卡進入系統后，不需經過主CPU處理，而是由集成在系統中的芯片直接處理，完成防火墻的功能，如路由、NAT、防火墻規則匹配等，因此，其性能得到了大幅度的提升: 性能可以達到萬兆，并且64 Bytes的小包都可以達到線速。

但問題是，這種防火墻在設計時，就必須將安全功能固化進ASIC芯片中，所以它的靈活性不夠，如果想要增添新的功能或進行系統升級，開發周期較長，對技術的要求也很高。此外，用ASIC開發復雜的功能，如垃圾郵件過濾、網絡監控、病毒防護等，其開發比較復雜，對技術要求很高。因此，ASIC架構非常適用于功能簡單的防火墻。

NP是平衡方案

國內許多廠商為了彌補防火墻性能的不足，在不斷進行技術研發，推出了基于“NP+ASIC”的防火墻架構，以解決x86架構性能不足和ASIC架構不夠靈活的問題。

NP是專門為網絡設備處理網絡流量而設計的處理器，其體系結構和指令集對于數據處理都做了專門的優化，同時輔助一些協處理器完成搜索、查表等功能，可以對網絡流量進行快速的并發處理。硬件結構設計采用高速的接口技術和總線規范，具有較高的I/O能力。這是一種硬件加速的完全可編程的架構，軟硬件都易于升級，因此產品的生命周期更長。

NP最大的優點在于它是通過專門的指令集和配套的軟件開發系統提供強大的編程能力，因而便于開發應用，可擴展性強，而且研制周期短，成本較低。但是，相比于x86架構，由于應用開發、功能擴展受到NP的配套軟件的限制，基于NP技術的防火墻的靈活性要差一些。采用微碼編程，在性能方面NP不如ASIC。NP開發的難度和靈活性都介于ASIC和x86構架之間，應該說NP是x86架構和ASIC之間的平衡方案。

多核可實現性能和綠色雙重設計

多核技術則是近年來新出現的處理器技術，它一出現，就被認為是解決信息安全產品功能與性能之間矛盾的一大硬件法寶。國外許多廠商，如SonicWall等，都推出了其多核產品。多核是在同一個硅晶片上集成了多個獨立物理核心，每個核心都具有獨立的邏輯結構，包括緩存、執行單元、指令級單元和總線接口等邏輯單元，通過高速總線、內存共享進行通信。在實際工作中，每個核心都可以達到1Ghz的主頻。因此，多核技術無論在性能、靈活性還是在開發的成本和難度方面，都是其他架構不能比擬的。

楊海濤介紹，目前各種芯片廠商推出的多核芯片共分三種: 一種是Intel、AMD推出的2核、4核的通用處理器，適用于桌面筆記本電腦等通用領域; 一種是IBM、SUN分別推出的cell和SPARC架構的多核處理器，主要用于圖形處理和運算; 第三種是RMI和Cavium推出的基于MIPS架構的嵌入式多核處理器，主要應用于數據通信領域，它最適合用于信息安全產品的開發。

除了上述特色外，多核的另一大特點是非常節能。楊海濤舉例，以神碼網絡推出終結者多業務網關產品為例，16核的DCFW-1800E-8G單電源功耗僅120W，采用雙電源也僅僅240W，而同樣x86平臺的雙電源高達1020W，每年多費電約7000度。1U的5千兆接口的DCFW-1800S-H-V2，功耗僅為15W，相比一般x86平臺工控機200～300W的功耗，一年節約的電費高達2500元。

鏈接

神碼推出的多核防火墻

性能功能一覽