防火墻的未來是向著高性能，強大的QoS保證能力和深度防御三個方向發展。政府，金融電力等關鍵行業的數據中心、大型電信運營商的網絡流量巨大，業務復雜。多業務下的流量劇增不僅對帶寬提出了很高的要求，而且對防火墻多業務支持的功能和性能方面也提出了很高的要求。  　　因此，典型的千兆高端防火墻的技術特征是具有4G到10G線速處理和能力；在承受海量業務流突發的情況下保證流媒體，視頻，語音等時延敏感應用的穩定運行的能力。高端用戶往往采用高性能服務器對外提供特定的網絡服務，例如WWW或電子郵件服務。由于訪問者、時間、地點復雜，并且一些網站需要提供商業用途，所以對安全性的要求也很高，這就需要防火墻對數據包進行深層次的檢查，進行惡意代碼、SQL注入等多種攻擊行為的檢測，同時有效防范DDOS攻擊，保障諸如網上銀行等關鍵應用的穩定運行，防范各類攻擊入侵。  　　FPGA（Field-Programmable Gate Array，現場可編程門陣列）在現代數字電路設計中發揮著越來越重要的作用。從設計簡單的接口電路到設計復雜的狀態機，甚至設計“System On Chip”（片上系統），FPGA所扮演的   角色已經不容忽視。因為FPGA硬件可重新配置且可用性、精密度不斷提高，可以輕易配合系統規格隨時改變的要求，為用戶帶來充足的靈活性。  　　FPGA體系結構能夠保證4- 10G路由和安全訪問控制的線速處理能力，包括各類多媒體業務、實時或非實時業務、連接或非連接業務等。同時，以FPGA作為處理和交換架構的基礎，還可以通過FPGA良好的可編程性對數據包和協議進行深層次的檢查和過濾，而且投資規模小，開發周期短，是一種非常理想的高性能防火墻硬件平臺架構。  　　與FPGA技術相比，ASIC技術將指令或計算邏輯固化到了硬件中，缺乏靈活性，不便于修改和升級；其次，深層次包分析（L4+）增加ASIC的復雜度，不能滿足防火墻產品對網絡協議進行二到七層處理的需求；第三、ASIC的開發周期長，設計費用昂貴且風險較大。建立一個基本的ASIC研發環境就需要投資上千萬元，從設計，驗證，流片，到最終量產投資額往往要達到數千萬元。這樣無疑會造成投資回報期過長，大大增加了產品和項目的資金風險。最后，采用ASIC技術的防火墻最大的問題在于缺乏可編程性，對新功能的實施周期長，很不靈活，使得它難以跟上當今防火墻功能的快速發展。在日益猖獗的黑客攻擊面前，特別是針對在應用層攻擊（如Slammer、沖擊波病毒）等面前顯得無能為力。  　　采用FPGA技術可以節省ASIC設計所需要的設施和平臺的巨大投入。對于單臺防火墻設備，FPGA芯片的成本占總成本的比重很低，而且采用FPGA架構可以通過配置和添加基本軟件來實現定制，從而不斷提升產品的性價比。  　　FPGA的技術優勢主要體現在：  　　1. 縮短產品開發周期。產品上市時間是推動網絡處理可編程解決方案發展的主要動力之一，FPGA不僅可以通過縮短開發周期，還能通過縮短調試周期以加快產品上市時間。  　　2. 實現復雜分類查詢。像VPN（虛擬專用網）和IPSec這樣的業務需要復雜查詢功能。查詢和分類可通過復雜的迭代算法實現，FPGA能在邏輯電路的狀態機內實現查詢。從而縮短了查詢的周期，提升了系統整體的性能。  　　3. 提供良好升級性能。FPGA具有較強的軟件升級功能，利用業界標準的HDL和C代碼，以及FPGA制造商提供的基于平臺和工具集方法的工具，可以很方便地實現軟件在各代FPGA中的無縫移植。在硬件升級方面，FPGA顧名思義就是現場可編程，因而能輕松升級，很好地滿足需求變化，延長了產品壽命，有助于網絡安全設備跟蹤標準和協議的持續變化。同時FPGA往往有一定的預留性，比如一個常見的800萬門的FPGA芯片，一般實際使用僅為200萬門左右，預留的部分就是為了安全設備日后升級所用。  　　4. 優化系統整體性能。安全設備的器件數目和期望性能之間存在一個平衡點，而將所有器件堆積在一個設備中將破壞整體性能。例如，如果能在主分組處理器件上實現安全處理功能，不僅能減少器件數目，還可從增加的性能中受益。FPGA的性能可以隨著規格效率方便的擴展，某些需要查詢和密集控制的應用可通過采用協處理器/嵌入式處理器來更好地實現。  　　5. 提供高抗擾能力。FPGA的串行連接技術可以減少引腳數量、減小接頭尺寸、降低電磁干擾輻射（EMI）、提高信號完整性和更好地抵抗噪聲，從而大大提高升了系統的抗干擾能力，非常適用于對電磁輻射安全有特殊要求的應用環境。  　　交換結構是基于FPGA防火墻產品的關鍵部分，是解決高速報文轉發及處理的主要方式，它的性能直接決定了防火墻性能。交換架構采用共享內存機制，具有很高的吞吐率，而且實現簡單，架構可擴展性強，可以很容易地進行視頻處理、VPN等功能擴展。  在防火墻產品的開發中，為了在類似的傳輸流中區分不同的優先級，需要三層甚至四到七層中進行更深層的分組處理。而FPGA僅僅需要一塊芯片就可以更深入地處理這些分組，不僅降低了軟件的復雜度，而且降低了功耗。這是因為FPGA中的硬件并行處理完全可以同RISC的處理方法相媲美。  　　在深度防御方面，因為單個可疑特征不一定就是攻擊行為，因此防火墻必須抓到大量的可疑特征，以便判斷是否為攻擊。但在這個過程中抓取可疑特征的速度一定要快，否則就會導致漏報。利用FPGA的高速度幫助進行基層篩選，然后通過高速總線交由具備多核處理能力的CPU確認，就可以最大限度地確保防火墻架構的優化。對于防御DDoS攻擊，FPGA具備很強的性能優勢。  　　FPGA架構的采用對于保證高端防火墻在復雜的網絡環境中的性能非常關鍵。以虛擬防火墻為例，這一功能是高端防火墻產品的最重要特性之一。如果應用中用戶將一臺物理防火墻劃分成256個虛擬防火墻（對于IDC的應用環境可能會更多），以一臺虛擬防火墻配置50條規則計算，一臺防火墻配置的規則數會超過1萬，如果要用串行處理機制，對性能會形成很大的制   約，而采用FPAG架構的并行處理就可以輕易解決這一性能瓶頸。通過將安全規則轉化成邏輯，FPGA防火墻在實現過程中能夠同時匹配上萬條規則。  　　從目前的情況來看，主流千兆防火墻產品還有很多采用的是ASIC技術，然而，全定制數字ASIC的前景已經經開始出現陰影?，F場可編程門陣列(FPGA)正在接管許多一度被認為是全定制芯片專屬領域的應用。自從FPGA在約二十年前出現以來，它已經通過將門數提高了三個數量級而侵占了ASIC的主導地位。FPGA在網絡通訊領域（如光網絡，光纖存儲等等）和網絡安全（防火墻，IPS，UTM）領域逐步得到了廣泛應用，思科，JUNIPER，3COM等國際廠商己經在相關領域獲得了眾多的專利授權并在產品中廣泛采用。作為國內領先的安全廠商，東軟一直不懈努力，通過持續的技術創新為用戶不斷提供更高性價比的網絡安全產品。東軟在基于FPGA的防火墻技術領域進行了多年的前瞻性技術研究和儲備，并承擔此課題的國家級科研和產業化項目，突破了一系列關鍵技術難題，取得了豐碩的技術成果。隨著市場的發展和技術的進步，具有更好可編程性和更高性能的FPGA技術必將是有實力網絡安全廠商的首選，而用戶也會有更加穩定、成熟、高性能的千兆防火墻產品可以選擇。

關鍵詞： 防火墻 技術 發展 趨勢 FPGA SoC ASIC