硬件防火墙课件.ppt

《硬件防火墙课件.ppt》由会员分享，可在线阅读，更多相关《硬件防火墙课件.ppt（41页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、第第9章章 硬件防火墙硬件防火墙 本章重点：本章重点：一般基于计算机硬件防火墙一般基于计算机硬件防火墙一般基于计算机硬件防火墙一般基于计算机硬件防火墙 基于基于基于基于x86x86的平台（工控机）硬件防火墙的平台（工控机）硬件防火墙的平台（工控机）硬件防火墙的平台（工控机）硬件防火墙 ASCIASCI芯片的平台硬件防火墙芯片的平台硬件防火墙芯片的平台硬件防火墙芯片的平台硬件防火墙 基于基于基于基于NPNP的平台硬件防火墙的平台硬件防火墙的平台硬件防火墙的平台硬件防火墙19.1 硬件防火墙的硬件结构硬件防火墙的硬件结构 硬件防火墙是指把防火墙程序做到芯片里面，硬件防火墙是指把防火墙程序做到芯片里

2、面，由硬件执行这些功能，能减少由硬件执行这些功能，能减少CPUCPU的负担，使路由的负担，使路由器更稳定。硬件防火墙是保障内部网络安全的一器更稳定。硬件防火墙是保障内部网络安全的一道重要屏障，它的安全和稳定，直接关系到整个道重要屏障，它的安全和稳定，直接关系到整个内部网络的安全。内部网络的安全。1.路由器防火墙路由器防火墙23路由器（路由器（Router）是互联网络中必不可）是互联网络中必不可少的网络设备之一，路由器是一种连接多少的网络设备之一，路由器是一种连接多个网络或网段的网络设备，它能将不同网个网络或网段的网络设备，它能将不同网络或网段之间的数据信息进行络或网段之间的数据信息进行“翻译翻

3、译”，以使它们能够相互以使它们能够相互“读读”懂对方的数据，懂对方的数据，能把把数据从一个地方传送到另一个地方，能把把数据从一个地方传送到另一个地方，从而构成一个更大的网络。从而构成一个更大的网络。4 路由器使用寻径协议来获得网络信息，采路由器使用寻径协议来获得网络信息，采用基于用基于“寻径矩阵寻径矩阵”的寻径算法和准则来选择的寻径算法和准则来选择最优路径。按照最优路径。按照OSIOSI参考模型，路由器是一个参考模型，路由器是一个网络层系统。路由器分为单协议路由器和多协网络层系统。路由器分为单协议路由器和多协议路由器。议路由器。在路由器中保存着各种传输路径的相关数据的路在路由器中保存着各种传输

4、路径的相关数据的路由表（由表（Routing TableRouting Table），供路由选择时使用。路由），供路由选择时使用。路由表中保存着子网的标志信息、网上路由器的个数和下表中保存着子网的标志信息、网上路由器的个数和下一个路由器的名字等内容。路由表可以是由系统管理一个路由器的名字等内容。路由表可以是由系统管理员固定设置好的，也可以由系统动态修改，可以由路员固定设置好的，也可以由系统动态修改，可以由路由器自动调整，也可以由主机控制。由器自动调整，也可以由主机控制。6路由器有两大典型功能：即数据通道功能和控路由器有两大典型功能：即数据通道功能和控制功能。制功能。数据通道功能包括转发决定、背

5、板转发以及数据通道功能包括转发决定、背板转发以及输出链路调度等，一般由特定的硬件来完成。输出链路调度等，一般由特定的硬件来完成。控制功能一般用软件来实现，包括与相邻路控制功能一般用软件来实现，包括与相邻路由器之间的信息交换、系统配置、系统管理由器之间的信息交换、系统配置、系统管理等。等。7路由器平台的结构图路由器平台的结构图 8 路由器工作的时候，根据它的某个端口收到的路由器工作的时候，根据它的某个端口收到的数据包的目的数据包的目的IPIP地址，查询路由器自己的路由表，地址，查询路由器自己的路由表，然后决定将数据包转发到相应的端口。路由器的路然后决定将数据包转发到相应的端口。路由器的路由表有几

6、种：一种是根据路由器自己的每个端口由表有几种：一种是根据路由器自己的每个端口IPIP地址和子网掩码计算出来的路由，这种路由叫做地址和子网掩码计算出来的路由，这种路由叫做“固定路由固定路由”；第二种是有系统管理员设置的到某个；第二种是有系统管理员设置的到某个子网需要通过某个下一级路由器的路由，这种叫子网需要通过某个下一级路由器的路由，这种叫“静态路由静态路由”；还有就是在网络环境中让每个路由器；还有就是在网络环境中让每个路由器都把自己的路由信息广播出去，让路由器之间进行都把自己的路由信息广播出去，让路由器之间进行互相学习，这样学到的路由就叫做互相学习，这样学到的路由就叫做“动态路由动态路由”。路

7、由器还会把目的地址不在自己路由表中的数据包路由器还会把目的地址不在自己路由表中的数据包固定转发给一个预先设定固定转发给一个预先设定IPIP地址，这样的路由设置地址，这样的路由设置又叫又叫“默认路由默认路由”。在路由匹配的过程中，一般有。在路由匹配的过程中，一般有这样的优先级：固定路由这样的优先级：固定路由 静态路由静态路由 动态路由动态路由 默认默认路由。路由。10 路由器会查看路由器会查看IPIP数据包的目的地址，也就是说原数据包的目的地址，也就是说原则上它是则上它是“照单全收照单全收”，而且全部转发，除非真的发，而且全部转发，除非真的发不出去了。如果让路由器在转发数据包的时候，加一不出去了

8、。如果让路由器在转发数据包的时候，加一项检查，检查数据包的来源和数据包要求的应用层服项检查，检查数据包的来源和数据包要求的应用层服务类型，根据预先设计的规则来判定这个数据包是应务类型，根据预先设计的规则来判定这个数据包是应该转发还是作别的处理，这样这个路由器就不再是一该转发还是作别的处理，这样这个路由器就不再是一个单纯意义上的路由器，而是一种类型的防火墙个单纯意义上的路由器，而是一种类型的防火墙包过滤防火墙。包过滤防火墙。路由器通过设定核心的路由器通过设定核心的ACLACL列表，基于包过滤实现列表，基于包过滤实现简单的防火墙功能时，简单的防火墙功能时，ACLACL列表可以针对列表可以针对IPI

9、P地址、协议地址、协议等进行等进行permitpermit（允许）或者（允许）或者denydeny（禁止）的处理。这样（禁止）的处理。这样的设置可以通过路由器的命令行（的设置可以通过路由器的命令行（CLICLI）来完成。）来完成。119.2 基于PC型x86平台的防火墙 自从状态检测防火墙（Stateful Inspection Firewalls）技术成熟以来，人们转向在计算机平台上安装防火墙软件。当这个承载防火墙软件的硬件平台专用化、工业化之后，业界也把它们称为硬件防火墙。13 X86 X86架构跟我们日常使用的架构跟我们日常使用的PCPC机在硬件结构机在硬件结构上无异，也是由主板、上无异

10、，也是由主板、CPUCPU、风扇、内存、硬盘、风扇、内存、硬盘等组成，可以说，等组成，可以说，X86X86的硬件防火墙实际上是由的硬件防火墙实际上是由一台一台PCPC机和在其上运行的操作系统和防火墙软件机和在其上运行的操作系统和防火墙软件组成。只是组成。只是X86X86架构的防火墙使用专门的工控主架构的防火墙使用专门的工控主板，屏蔽了我们所熟悉的板，屏蔽了我们所熟悉的VGAVGA、鼠标、键盘等接、鼠标、键盘等接口，机箱使用口，机箱使用1U1U或或2U2U的机架式机箱，从外观上不的机架式机箱，从外观上不容易区分和其他架构的区别。我们完全可以在容易区分和其他架构的区别。我们完全可以在PCPC机上实

11、现机上实现“硬件硬件”防火墙。防火墙。1 1）基于）基于PCPC型型x86x86平台的防火墙平台的防火墙15 X86 X86架构的防火墙在开发上最简单，硬件架构的防火墙在开发上最简单，硬件上采用通用上采用通用CPUCPU和和PCIPCI总线接口，具有很高的总线接口，具有很高的灵活性和可扩展性，过去一直是防火墙开发灵活性和可扩展性，过去一直是防火墙开发的主要平台。一般的主要平台。一般X86X86防火墙产品使用的底层防火墙产品使用的底层操作系统是操作系统是LinuxLinux或或FreeBSDFreeBSD，但也有极少数，但也有极少数产品采用产品采用WindowsWindows。其产品功能主要由软

12、件实。其产品功能主要由软件实现，可以根据用户的实际需要而做相应调整，现，可以根据用户的实际需要而做相应调整，增加或减少功能模块，产品比较灵活，功能增加或减少功能模块，产品比较灵活，功能十分丰富。十分丰富。16网络设备型x86平台的结构图 18在采用Intel E7500作为主板芯片组的平台中，虽然E7500的内存控制器(MCH)当时只支持100MHz的内存工作频率，但是通过采用2个内存通道，E7500可以提供最大 3.2GBps的内存带宽，这个数值与400MHz前端总线的Xeon处理器的带宽恰好相同，连接两颗Xeon 处理器的仍旧是采用总线(3.2GBps)共享的方式。199.3 NP平台平台

13、 NP是Network Processor的缩写，意为网络处理器，是专门为网络设备处理网络流量而设计的处理器。根据“国际网络处理器会议”的定义：网络处理器是一种可编程器件，它特定地应用于通信领域的各种任务，比如包处理、协议分析、路由查找、防火墙、QoS等。20 NP平台的结构图 21 网络处理器器件内部通常由若干个微码处理器和网络处理器器件内部通常由若干个微码处理器和若干硬件协处理器组成，且多个微码处理器在若干硬件协处理器组成，且多个微码处理器在NPNP内部内部并行处理，通过预先编制的微码来控制处理流程。对并行处理，通过预先编制的微码来控制处理流程。对于某些复杂的标准操作，如内存操作、路由表查

14、找算于某些复杂的标准操作，如内存操作、路由表查找算法、法、QoSQoS的拥塞控制算法、流量调度算法等，则采用的拥塞控制算法、流量调度算法等，则采用硬件协处理器来进一步提高处理性能，从而实现了业硬件协处理器来进一步提高处理性能，从而实现了业务灵活性和高性能的有机结合。务灵活性和高性能的有机结合。目前目前NPNP主要用于网络骨干设备和网络接入设备，主要用于网络骨干设备和网络接入设备，用来开发从网络第用来开发从网络第2 2 层到第层到第7 7层的各种服务和应用。层的各种服务和应用。目前，采用目前，采用NPNP处理分组交换的厂家，既有第一梯队的处理分组交换的厂家，既有第一梯队的网络公司，如思科、北电和

15、朗讯等，也有不少后起之网络公司，如思科、北电和朗讯等，也有不少后起之秀，如华为、中兴、港湾等。但是，其秀，如华为、中兴、港湾等。但是，其NPNP用途却不尽用途却不尽相同：思科宽带汇聚系列产品使用了思科的并行快速相同：思科宽带汇聚系列产品使用了思科的并行快速转发（转发（PXFPXF）NPNP，它被业内称为，它被业内称为“NP“NP的鼻祖的鼻祖”；华为；华为在在“第五代路由器第五代路由器”NE80/40/20”NE80/40/20系列产品中全面采系列产品中全面采用了用了NPNP；港湾的高端路由器、核心交换机，如；港湾的高端路由器、核心交换机，如NetHammer GNetHammer G系列采用了

16、系列采用了NPNP相关技术；相关技术；UTUT斯达康公司斯达康公司选择了选择了MotorolaMotorola的的NPNP作为几项作为几项3G3G无线接入网产品的封无线接入网产品的封包转发引擎包转发引擎229.4 ASIC平台平台ASIC英文全称为Application Specific Integrated Circuit专用集成电路。从电子工程学上来讲，ASIC并不是新概念，从有电路的一刻起，就开始了ASIC的开发与应用。ASIC采用硬接线的固定模式，最早的ASIC确实是完全量身订造。可编程芯片则从上世纪70年代初期开始起步，可编程逻辑装置（Programmable Logic Devic

17、e，PLD）经历了PLA、PAL、GAL、PEEL、EPLD、CPLD、SPLD、FPGA等阶段，已经进入可编程ASIC阶段，将多个电路迭层（Layer）的多层的电路改成FPGA的形态（允许变动、调整电路），并保留几层为原有的传统ASIC型态（不允许再行调整电路），从而使现代 ASIC设备既有硬件芯片级的高性能，又保证了充分的灵活性和可编程能力。24 ASIC ASIC防火墙也需要配置有传统防火墙也需要配置有传统CPUCPU，但是这时，但是这时CPUCPU主主要是起管理作用和执行与性能无关的业务，安全处理和要是起管理作用和执行与性能无关的业务，安全处理和转发的加速则完全由转发的加速则完全由AS

18、ICASIC来处理，从而确保了系统无论来处理，从而确保了系统无论是在路由转发还是网络攻击的环境中都能保证较高的带是在路由转发还是网络攻击的环境中都能保证较高的带宽。宽。ASIC ASIC防火墙是通过专门设计的防火墙是通过专门设计的ASICASIC芯片逻辑进行硬芯片逻辑进行硬件加速处理，通过把指令或计算逻辑固化到芯片中，获件加速处理，通过把指令或计算逻辑固化到芯片中，获得很高的处理能力，明显地提升了防火墙的性能。新一得很高的处理能力，明显地提升了防火墙的性能。新一代高可编程代高可编程ASICASIC采用了更灵活的设计，能够通过软件改采用了更灵活的设计，能够通过软件改变应用逻辑，具有更广泛的适应能

19、力。另外，基于变应用逻辑，具有更广泛的适应能力。另外，基于ASICASIC芯片架构的防火墙将包括状态表项、路由表项以及芯片架构的防火墙将包括状态表项、路由表项以及VLANVLAN表项等存储在芯片中，以提高防火墙的处理速度。表项等存储在芯片中，以提高防火墙的处理速度。25ASICASIC平台的结构图平台的结构图 26 NP NP所展现给我们的前景还是相当美好的，所展现给我们的前景还是相当美好的，但这并不代表加入但这并不代表加入NPNP阵营的防火墙厂商就得阵营的防火墙厂商就得到了制胜之钥，到了制胜之钥，NPNP在硬件防火墙领域的应用在硬件防火墙领域的应用并非一片坦途。并非一片坦途。以以IntelI

20、ntel网络处理器产品为网络处理器产品为例，其结构设计反应了当今最主流的例，其结构设计反应了当今最主流的NPNP技术技术内容，其数据处理能力确实足以胜任千兆网内容，其数据处理能力确实足以胜任千兆网的数据传输负荷，但主要的性能提升仍集中的数据传输负荷，但主要的性能提升仍集中于网络封包的处理。如数据校验、路由匹配于网络封包的处理。如数据校验、路由匹配等，完成常见网络设备的职责非常出色，但等，完成常见网络设备的职责非常出色，但是对于更加复杂的数据应用，例如数据包重是对于更加复杂的数据应用，例如数据包重组和加密处理等，其表现就往往不那么抢眼组和加密处理等，其表现就往往不那么抢眼了。了。28 防火墙硬件

21、架构防火墙硬件架构NPNP和和ASICASIC之比较之比较多功能多功能ASICASIC架构有潜力架构有潜力网络处理器的软件色彩使它具有更好的灵活性网络处理器的软件色彩使它具有更好的灵活性纯硬件的纯硬件的ASICASIC防火墙缺乏可编程性。防火墙缺乏可编程性。网络处理器受限于它的计算能力，这些功能一般只能靠协处理器来实现。网络处理器受限于它的计算能力，这些功能一般只能靠协处理器来实现。ASICASIC的价格可以降低一个量级，因而从长远来看的价格可以降低一个量级，因而从长远来看ASICASIC技术更有潜力。技术更有潜力。灵活性：灵活性：NPNP占先占先在开发难度、开发成本和开发周期方面，网络处理器

22、技术有比较明显的在开发难度、开发成本和开发周期方面，网络处理器技术有比较明显的优势，毕竟网络处理器产生的一大原因就是降低这方面的门槛，这也是国优势，毕竟网络处理器产生的一大原因就是降低这方面的门槛，这也是国内很多防火墙企业选中网络处理器的原因。内很多防火墙企业选中网络处理器的原因。不过从技术成熟度方面来看，相比不过从技术成熟度方面来看，相比ASICASIC这样已经为实践证明了的成熟技这样已经为实践证明了的成熟技术，网络处理器用于防火墙其实是近一年多才出现的。在此之前网络处理术，网络处理器用于防火墙其实是近一年多才出现的。在此之前网络处理器在市场上的表现并不理想，一般只被用于低端路由器、交换机等

23、数据通器在市场上的表现并不理想，一般只被用于低端路由器、交换机等数据通信产品。究其原因，主要是网络处理器开发需要的编程技术比预期的复杂信产品。究其原因，主要是网络处理器开发需要的编程技术比预期的复杂困难，而且在实际应用中的性能往往并不理想，远低于其厂家的标称性能。困难，而且在实际应用中的性能往往并不理想，远低于其厂家的标称性能。这种技术应用在防火墙这样的复杂网络设备上，究竟能否在不影响功能的这种技术应用在防火墙这样的复杂网络设备上，究竟能否在不影响功能的前提下，达到预期的性能，还有待检验。前提下，达到预期的性能，还有待检验。299.5 UTM平台平台UTMUTM是统一威胁管理（是统一威胁管理（

24、Unified Threat Unified Threat ManagementManagement）的缩写，这是一种被广泛看好）的缩写，这是一种被广泛看好的信息安全解决方案。目前被提及较多的定的信息安全解决方案。目前被提及较多的定义是义是:由硬件、软件和网络技术组成的具有专由硬件、软件和网络技术组成的具有专门用途的设备，它主要提供一项或多项安全门用途的设备，它主要提供一项或多项安全功能，它将多种安全特性集成于一个硬设备功能，它将多种安全特性集成于一个硬设备之中之中,构成一个标准的统一管理平台构成一个标准的统一管理平台。31UTM的硬件平台也会采用的硬件平台也会采用x86架构、架构、NP架构架

25、构和和ASIC，正如前面所述，它们更有优缺点：，正如前面所述，它们更有优缺点：x86使用较高频率的使用较高频率的CPU，能较好地应对多，能较好地应对多种安全功能的计算需求，但其在处理网络小种安全功能的计算需求，但其在处理网络小包上无法达到线速；包上无法达到线速；NP和和ASIC分别都具有分别都具有较强的网络处理能力和加解密计算能力，但较强的网络处理能力和加解密计算能力，但对于网关杀毒、和垃圾邮件过滤、访问监控对于网关杀毒、和垃圾邮件过滤、访问监控等功能，并无法起到加速的作用。为了加强等功能，并无法起到加速的作用。为了加强性能，一般性能，一般UTM平台都设计了多颗平台都设计了多颗CPU（多（多核

26、处理器），以及使用加速卡等方式。核处理器），以及使用加速卡等方式。32硬件防火墙的功能性能指标 硬件平台技术：基于x86平台（或者多CPU、多核处理器），还是基于NP平台，或是基于ASIC平台，这要根据用户的功能和性能需求进行选择。LAN接口：列出支持的LAN接口类型：防火墙所能保护的网络类型，如以太网、快速以太网、千兆以太网、ATM、令牌环及FDDI等。33支持的最大LAN接口数：指防火墙所支持的局域网络接口数目，也是其能够保护的不同内网数目。服务器平台：防火墙所运行的操作系统平台（如Linux、UNIX、Win NT、专用安全操作系统等）。协议支持：支持的非IP协议：除支持IP协议之外，又

27、支持AppleTalk、DECnet、IPX及NETBEUI等协议。加密支持：支持的VPN加密标准：VPN中支持的加密算法,例如数据加密标准DES、3DES、RC4以及国内专用的加密算法。34认证支持：支持的认证类型：是指防火墙支持的身份认证协议，一般情况下具有一个或多个认证方案，如RADIUS、Kerberos、TACACS/TACACS、口令方式、数字证书等。防火墙能够为本地或远程用户提供经过认证与授权的对网络资源的访问，防火墙管理员必须决定客户以何种方式通过认证。访问控制：通过防火墙的包内容设置；在应用层提供代理支持；在传输层提供代理支持；用户操作的代理类型；支持网络地址转换(NAT)；

28、支持硬件口令、智能卡。35防御功能：支持病毒扫描；提供内容过滤；能防御的DoS攻击类型。安全特性：支持转发和跟踪ICMP协议（ICMP 代理）；提供入侵实时警告；提供实时入侵防范；识别/记录/防止企图进行IP地址欺骗。管理功能：通过集成策略集中管理多个防火墙；提供基于时间的访问控制；支持SNMP监视和配置；本地管理；远程管理；支持带宽管理；负载均衡特性；失败恢复特性（failover)。36记录和报表功能：防火墙处理完整日志的方法；提供自动日志扫描；提供自动报表、日志报告书写器；警告通知机制；提供实时统计。测评和销售许可证：列出获得的国内有关部门许可证类别及号码：这是防火墙合格与销售的关键要素

29、之一，其中包括：公安部的销售许可证、国家信息安全测评中心的认证证书、总参的国防通信入网证和国家保密局的推荐证明等。常见性能指标：吞吐量；延迟；丢包率；并发连接数。37硬件防火墙安全的规则策略硬件防火墙安全的规则策略 系统中存在的很多隐患和故障在暴发前都会出现这样或那样的苗头，例行检查的任务就是要发现这些安全隐患，并尽可能将问题定位，方便问题的解决。1.硬件防火墙的配置文件 2.硬件防火墙的磁盘使用情况 3.硬件防火墙的CPU负载 4.硬件防火墙系统的精灵程序 5.系统文件6.异常日志 38防火墙三大体系架构前景分析 在未来的网络环境下，传统的基于在未来的网络环境下，传统的基于x86x86体系结

30、构的工控机防体系结构的工控机防火墙已不能满足宽带网络高吞吐量、低时延的要求，而网络处火墙已不能满足宽带网络高吞吐量、低时延的要求，而网络处理器（理器（Network ProcessorNetwork Processor）和专用集成电路（）和专用集成电路（ASICASIC）技术被）技术被认为是未来千兆防火墙的主要方向。认为是未来千兆防火墙的主要方向。基于网络处理器架构的防火墙与基于通用基于网络处理器架构的防火墙与基于通用CPUCPU架构的防火墙相架构的防火墙相比，在性能上可以得到很大的提高。基于比，在性能上可以得到很大的提高。基于NPNP的防火墙可以集的防火墙可以集x86x86架构防火墙的功能与

31、架构防火墙的功能与ASICASIC防火墙的性能于一身。网络处理防火墙的性能于一身。网络处理器能弥补通用器能弥补通用CPUCPU架构性能的不足，同时又不需要具备开发基架构性能的不足，同时又不需要具备开发基于于ASICASIC技术的防火墙所需要的大量资金和技术积累，最近在国技术的防火墙所需要的大量资金和技术积累，最近在国内信息安全厂商中备受关注，成为国内厂商实现高端千兆防火内信息安全厂商中备受关注，成为国内厂商实现高端千兆防火墙的热门选择。因此，在高端千兆市场，基于墙的热门选择。因此，在高端千兆市场，基于NPNP的防火墙将是的防火墙将是重要的趋势。重要的趋势。但是，这种趋势是此消彼长的关系，不是谁

32、消灭谁的关系，这但是，这种趋势是此消彼长的关系，不是谁消灭谁的关系，这三种防火墙在市场上将长期保持共存的局面。未来，在低端千三种防火墙在市场上将长期保持共存的局面。未来，在低端千兆市场上，兆市场上，x86x86架构的防火墙将成为主流；在高端千兆市场上，架构的防火墙将成为主流；在高端千兆市场上，基于基于NPNP的防火墙将占有较大的市场分额。的防火墙将占有较大的市场分额。39防火墙三种架构 目前市场上的防火墙产品主要采用三种架构：基于X86架构、基于NP架构和ASIC架构。基于基于X86X86架构过去一直是防火墙开发的主要平台，这架构过去一直是防火墙开发的主要平台，这类防火墙产品功能主要由软件实现

33、，采用通用的类防火墙产品功能主要由软件实现，采用通用的CPUCPU和主板进行设计，也称为工控机防火墙；和主板进行设计，也称为工控机防火墙；NPNP是专门为网络数据包处理而设计的可编程处理器，是专门为网络数据包处理而设计的可编程处理器，它可以构建一种硬件加速的完全可编程的架构，通它可以构建一种硬件加速的完全可编程的架构，通过专门的指令集和配套的软件开发系统开发应用，过专门的指令集和配套的软件开发系统开发应用，硬件结构设计也大多采用高速的接口技术和总线规硬件结构设计也大多采用高速的接口技术和总线规范，性能有很大的提升。范，性能有很大的提升。ASICASIC通过把指令或计算逻辑固化到特定的芯片中，通过把指令或计算逻辑固化到特定的芯片中，获得了更高的处理能力。获得了更高的处理能力。40NPASIC是未来趋势 针对于目前国外主流防火墙厂商仍采用ASIC架构防火墙的趋势，未来ASIC不会完全代替NP，因为NP和ASIC各具优势，未来的防火墙应该是NP与ASIC、FPGA等的融合，例如某些固定的算法或逻辑可采用ASIC架构，带来成本的下降；而在个性化设计、编程等方面，NP的开发周期会更短。因此目前包括东软等在内的国内厂商也正在对ASIC、FPGA（现场可编程逻辑阵列）的研发进行技术储备。41