最初的千兆防火墻是基于X86架構(gòu)。X86架構(gòu)采用通用CPU和PCI總線接口，具有很高的靈活性和可擴展性，過去一直是防火墻開發(fā)的主要平臺。其產(chǎn)品功能主要由軟件實現(xiàn)，可以根據(jù)用戶的實際需要而做相應(yīng)調(diào)整，增加或減少功能模塊，產(chǎn)品比較靈活，功能十分豐富。
  
    但其性能發(fā)展卻受到體系結(jié)構(gòu)的制約，作為通用的計算平臺，x86的結(jié)構(gòu)層次較多，不易優(yōu)化，且往往會受到PCI總線的帶寬限制。雖然PCI總線接口理論上能達(dá)到接近2Gbps的吞吐量，但是通用CPU的處理能力有限，盡管防火墻軟件部分可以盡可能地優(yōu)化，很難達(dá)到千兆速率。同時很多X86架構(gòu)的防火墻是基于定制的通用操作系統(tǒng)，安全性很大程度上取決于通用操作系統(tǒng)自身的安全性，可能會存在安全漏洞。
  
ASIC架構(gòu)

    相比之下，ASIC防火墻通過專門設(shè)計的ASIC芯片邏輯進(jìn)行硬件加速處理。ASIC通過把指令或計算邏輯固化到芯片中，獲得了很高的處理能力，因而明顯提升了防火墻的性能。新一代的高可編程ASIC采用了更靈活的設(shè)計，能夠通過軟件改變應(yīng)用邏輯，具有更廣泛的適應(yīng)能力。但是，ASIC的缺點也同樣明顯，它的靈活性和擴展性不夠，開發(fā)費用高，開發(fā)周期太長，一般耗時接近2年。
  
    雖然研發(fā)成本較高，靈活性受限制、無法支持太多的功能，但其性能具有先天的優(yōu)勢，非常適合應(yīng)用于模式簡單、對吞吐量和時延指標(biāo)要求較高的電信級大流量的處理。目前，NetScreen在ASIC防火墻領(lǐng)域占有優(yōu)勢地位，而我國的首信也推出了我國基于自主技術(shù)的ASIC千兆防火墻產(chǎn)品。 
  
NP架構(gòu)

    NP可以說是介于兩者之間的技術(shù)，NP是專門為網(wǎng)絡(luò)設(shè)備處理網(wǎng)絡(luò)流量而設(shè)計的處理器，其體系結(jié)構(gòu)和指令集對于防火墻常用的包過濾、轉(zhuǎn)發(fā)等算法和操作都進(jìn)行了專門的優(yōu)化，可以高效地完成TCP/IP棧的常用操作，并對網(wǎng)絡(luò)流量進(jìn)行快速的并發(fā)處理。硬件結(jié)構(gòu)設(shè)計也大多采用高速的接口技術(shù)和總線規(guī)范，具有較高的I/O能力。它可以構(gòu)建一種硬件加速的完全可編程的架構(gòu)，這種架構(gòu)的軟硬件都易于升級，軟件可以支持新的標(biāo)準(zhǔn)和協(xié)議，硬件設(shè)計支持更高網(wǎng)絡(luò)速度，從而使產(chǎn)品的生命周期更長。由于防火墻處理的就是網(wǎng)絡(luò)數(shù)據(jù)包，所以基于NP架構(gòu)的防火墻與X86架構(gòu)的防火墻相比，性能得到了很大的提高。
  
   NP通過專門的指令集和配套的軟件開發(fā)系統(tǒng)，提供強大的編程能力，因而便于開發(fā)應(yīng)用，支持可擴展的服務(wù)，而且研制周期短，成本較低。但是，相比于X86架構(gòu)，由于應(yīng)用開發(fā)、功能擴展受到NP的配套軟件的限制，基于NP技術(shù)的防火墻的靈活性要差一些。由于依賴軟件環(huán)境，所以在性能方面NP不如ASIC。NP開發(fā)的難度和靈活性都介于ASIC和x86構(gòu)架之間，應(yīng)該說，NP是X86架構(gòu)和ASIC之間的一個折衷。目前NP的主要提供商是Intel和Motorola，國內(nèi)基于NP技術(shù)開發(fā)千兆防火墻的廠商最多，聯(lián)想、紫光比威等都有相關(guān)產(chǎn)品推出。
  
    從上面可以看出，X86架構(gòu)、NP和ASIC各有優(yōu)缺點。X86架構(gòu)靈活性最高，新功能、新模塊擴展容易，但性能肯定滿足不了千兆需要。ASIC性能最高，千兆、萬兆吞吐速率均可實現(xiàn)，但靈活性最低，定型后再擴展十分困難。NP則介于兩者之間，性能可滿足千兆需要，同時也具有一定的靈活性。
  三種架構(gòu)綜合比較
  
  

多易