中国领先的网络安全解决方案提供商东软近日宣布，为了满足关键行业骨干网络的信息安全保障需求，近日，东软率先推出了采用Intel IXP2400高性能网络处理芯片的NetEye千兆NP防火墙 5200。该产品具有多个网络接口，可提供千兆线速全双工的网络数据包过滤能力，可同时保护多个千兆网络，适用于大型金融机构、电信运营商的数据中心以及电力、教育等行业核心骨干节点。

　　该产品是东软历时3年，经过600多个人月的研发和测试，向用户奉献的一款精品。NetEye FW 5200采用高性能的NP平台及分布式系统架构，可提供卓越的扩展性和部署灵活性。其高性能NP处理芯片内部集成了多个RISC处理器，专门用于处理高速数据流，可对数据包实施线速的分析、检测和转发等处理。

　　之所以采用NP技术，东软网络安全事业部产品经理徐松泉介绍说：“以往大多数千兆线速防火墙均采用ASIC技术，但ASIC对数据包的处理局限在2～4层。随着网络的发展，防火墙需要能够对2～7层的数据分组实现复杂的安全控制、QOS保证、负载均衡等处理，ASIC己难以满足要求，而对2～7层数据分组的线速处理恰恰是NP的优势。从技术发展和演进来看，NP是一种更为成熟和先进的硬件平台。”NP平台采用一个可编程的网络处理器就完成了以前由多个ASIC才能完成的端口处理、路由查找、存储器管理、包转发、内容过滤等工作，降低硬件成本的同时，进一步提升了产品的可靠性。而且NP可编程的特性使产品的功能升级更为方便，增强了对网络和安全技术发展的适应性，使得产品具有更长的生命周期。

　　NetEye FW 5200具有如下主要技术特色：>>>查看全文

　　在高速数据流高层细化处理背景下，NP己成为下一代网络的核心技术。其特点是：针对数据分组处理，采用优化体系结构、专用指令集、硬件单元，满足高速数据分组线速处理要求；具有软件编程能力，能够迅速实现新的标准、服务、应用，满足网络业务复杂多样化需求，灵活性好；设备具有软件升级能力，满足用户设备硬件投资保护需求。

　　NP的体系结构通常具有以下共同特点：（１）多内核并行处理器：采用多内核并行处理器结构。片内处理器按任务分为核心处理器和数据分组协处理器。核心处理器通常负责非实时的管理任务；数据分组处理器进行实时、线速数据分组处理。（２）专用硬件加速处理单元：采用专用硬件对特定协议操作进行协处理：如CRC效验、哈希查找、树查找、字符匹配。针对安全产品，提供加／解密、大数运算等硬件单元。（３）优化指令集：通常采用RISC技术，结合多级流水线技术，大部分指令在一个时钟周期完成。（４）优化内存管理和分级存储器组织。（５）硬件多线程：为了提高NP资源利用率，每个数据分组协处理器还支持多个硬件线程。每个线程都有一套专门的硬件来存放上下文，可获得线程切换的零开销。（６）高速I/O接口：具有丰富的高速I/O接口，包括物理链路接口、交换接口、存储器接口、PCI总线接口。（７）可扩展性：多个NP之间还可以互连，构成网络处理器簇，以支持更为大型高速的网络处理。

　　由于NP芯片的技术架构和侧重点的不同，因此基于不同架构NP芯片开发的防火墙在网络性能和应用层防御能力方面也会有明显的差异。>>>查看全文

　　IXA （Intel® Internet Exchange Architecture），即互联网交换处理架构，是Intel创立的以网络处理器为中心的包交换处理架构，这个架构被设计来保证Intel IXA当前和未来的几代网络处理器的代码的可移植性和重用性。它包括三个核心技术元素：

　　微引擎技术—一个可编程，多线程RISC微引擎的子系统，这个多线程处理技术的特点是软件流水线操作以及低反映时间序列管理硬件。Intel IXA微引擎技术通过无限制可编程的灵活性以及高性能的处理，使智能的网络服务迅速扩展。可升级的微引擎为一个较宽范围的线速提供了支持，从OC-3/155 Mbps到OC-192/10 Gbps。高性能和可升级性是通过一个多处理器，多线程的分布式架构以及软件中的流水线操作来获取的。Intel IXA 处理器具有许多独立的RISC数据引擎以及多线程的硬件支持，这些微引擎群充分利用灵活的可编程性，为一些在传统意义上是由高速ASIC来处理的作业提供了处理能力。微引擎的指令设计可以在网络和通信的应用程序中更快更有效的传送数据。微引擎独一无二硬件架构设计可以在没有核心处理器的情况下支持高性能的平面数据处理。

　　Intel Xscale技术—在工业上提供最高速的能量到性能的转化率，达到1000MIPS以上的性能只需要10MW的能量消耗，在平面控制的应用领域中提供低动力，高密度处理的能力。Intel Xscale 核心用于操纵应用程序的处理，底层的通信，诸如路由表等与微引擎共享的数据结构的管理和更新，建立和控制通讯媒介和交换装置等等，除此以外，Xscale 核心还处理一些要求附加的需要复杂处理的列外数据包。Intel Xscale微架构由于使用了超流水线技术因而取得了比较高的性能，一个多进程，高效的指令级处理管道架构使反应时间减到了最小，而且是时钟速度到了一种超低的能量消耗。Intel Xscale技术在保持与第一代网络处理器的软件兼容性的同时，给与了工业领导界m Watt/MIPS的性能。

　　Intel IXA移动架构—一个易使用的可编程模块架构，通过网络处理器之间的代码可重用性和可移植性，在未来一代的网络处理器提供更好的软件投资保护和更快的市场化过程。Intel IXA移动架构使快速和高效的开发可移植和可重用的代码成为现实，这样就保护了Intel 在Xscale核心处理器和微引擎代码两方面的投资。Intel IXA移动架构包括：最优化的微引擎库和工具，它提供了微引擎在指令设置和架构方面变化的连续性。这个库包括用于支撑多硬件之间协同工作的硬件提取库，一个协议库和一个用于在协议头和数据结构中实现硬件最优化的使用库。一个标准的可规划模块，用于通过微引擎和线程来执行最优化的应用程序分割，使消费者需求的变化，第三方以及Intel支撑微模块（为微引擎所建立的相互独立的代码模块，用于执行一些特殊的函数）之间的整合变得更容易。标准的模块使软件的各个成分之间很容易的耦合，匹配和重新利用。微模块库通过使微模块之间的灵活连接来支撑网络处理器微引擎的管道架构。

　　对于规划的灵活性来说，微模块代码可以使用高级的微引擎C语言来开发。Intel IXA移动架构是Intel IXA软件开发包完整的一个部分。除了第一代Intel IXA 网络处理器所支持的广泛的网络应用之外，最新一代的网络处理器家族为了满足CPE应用的一些特殊要求而专门设计过，宽带的网络处理可达OC-48线速，核心应用可达OC-192线速。

　　以上内容摘自http://www.cnixa.com/，由于篇幅所限，内容有删减。

　　虚拟防火墙功能和以太网通道功能是东软NetEye FW5200的新增功能，由于高校网络环境复杂，而且往往要考虑在带宽满足应用要求的前提下尽可能减少线路费用，因此，虚拟防火墙功能和以太网通道在高校网络中可以发挥重要作用。

　　虚拟防火墙功能可以使管理员将一台防火墙模拟成多台逻辑上的防火墙，并配置完全不同的安全策略，各台虚拟防火墙安全策略之间互不影响，比如如果两个接口属于不同的虚拟防火墙，那么两个接口相连的网络内的主机甚至可以使用相同的IP地址。以太网通道（Etherchannel）是将多块以太网卡的带宽组合起来形成一个更大的带宽通道的一种聚合技术。对于TCP/IP的较高层协议来讲，这个聚合起来的设备看起来是一个单独的以太网接口设备，其中的每块以太网卡共享一个硬件地址(MAC Address)。该聚合通道设备对应一个以太网接口和一个IP地址，这样多条链路被用作单条高速数据通道，避免了回路的形成，同时通道中部分线路的故障不影响其它线路的带宽聚合，大大提高了网络的可靠性。

　　对于网络环境复杂，安全域众多的高校网络，虚拟防火墙功能可以有效降低防火墙部署的复杂性，大大节省安全设备的投资，并可以实现层次化的防火墙管理。采用虚拟防火墙功能，管理员可以为不同院系分别划分出一个单独的虚拟防火墙，该虚拟防火墙的安全策略可以由院系的网络管理员根据实际需求自主设定，灵活调整；本院（系）学生的接入权限也可根据需要随时调整而不会影响学校整体网络的安全性。校级管理员只需要设置学校与外部的安全策略以及各院系之间的安全策略即可，极大地减轻了校级管理员日常维护的负担。

　　在同样带宽条件下，租用多条线路或采用多ISP接入的方式往往更为经济，因此可以通过NetEye FW5200的以太网通道功能或策略路由、策略NAT功能，在保证接入带宽的同时有效降低线路费用。NetEye FW5200最多可以支持 100 万条并行会话、100个安全域划分和5万条安全策略，具备HA特性，非常适合部署于高校骨干网络节点，保护高校网络环境的安全。

　　近日，赛迪顾问最新发布的2005年第二季度中国网络安全产品市场分析报告显示，国内领先的网络安全解决方案提供商东软在防火墙领域，由第一季度的12.9%市场占有率提升到14.9%，高居中国网络安全商之首。在入侵检测领域，东软NetEye IDS 也得到广泛认可，市场占有率由第一季度的6.5%提升到9.3%，在入侵检测领域继续保持国内第三名的好成绩。东软也成为在防火墙和IDS两个领域均拥有自主知识产权产品且均名列三甲领先地位的安全厂商。>>>查看全文

　　十分感谢您阅读NetEye安全月刊，我们真诚的希望大家通过这个平台交流NetEye使用经验，提出您的宝贵意见，东软资深安全顾问将竭诚为您提供全面服务。欢迎您发表高论：neteye@neusoft.com