防火墻（firewall）是一項(xiàng)協(xié)助確保信息安全的設(shè)備，會(huì)依照特定的規(guī)則，允許或是限制傳輸?shù)臄?shù)據(jù)通過。防火墻可以是一臺(tái)專屬的硬件也可以是架設(shè)在一般硬件上的一套軟件。所謂防火墻指的是一個(gè)由軟件和硬件設(shè)備組合而成、在內(nèi)部網(wǎng)和外部網(wǎng)之間、專用網(wǎng)與公共網(wǎng)之間的界面上構(gòu)造的保護(hù)屏障。是一種獲取安全性方法的形象說法，它是一種計(jì)算機(jī)硬件和軟件的結(jié)合，使Internet與Intranet之間建立起一個(gè)安全網(wǎng)關(guān)（Security Gateway），從而保護(hù)內(nèi)部網(wǎng)免受非法用戶的侵入，防火墻主要由服務(wù)訪問規(guī)則、驗(yàn)證工具、包過濾和應(yīng)用網(wǎng)關(guān)4個(gè)部分組的。

　　防火墻始終向著高性能，強(qiáng)大的QoS保證能力和深度防御三個(gè)方向發(fā)展。政府，金融電力等關(guān)鍵行業(yè)的數(shù)據(jù)中心、大型電信運(yùn)營(yíng)商的網(wǎng)絡(luò)流量巨大，業(yè)務(wù)復(fù)雜。多業(yè)務(wù)下的流量劇增不僅對(duì)帶寬提出了很高的要求，而且對(duì)防火墻多業(yè)務(wù)支持的功能和性能方面也提出了更高的要求。高端用戶常常采用高性能服務(wù)器對(duì)外提供特定的網(wǎng)絡(luò)服務(wù)。由于訪問者、時(shí)間、地點(diǎn)復(fù)雜，并且一些網(wǎng)站需要提供商業(yè)用途，所以對(duì)安全性的要求也很高，這就需要防火墻對(duì)數(shù)據(jù)包進(jìn)行深層次的檢查，進(jìn)行惡意代碼、SQL注入等多種攻擊行為的檢測(cè)，同時(shí)能夠有效防范DDOS攻擊，保障例如網(wǎng)上銀行等關(guān)鍵性應(yīng)用穩(wěn)定運(yùn)行，防范各種形式的攻擊和入侵。

　　FPGA（Field-Programmable Gate Array）在現(xiàn)代數(shù)字電路設(shè)計(jì)中發(fā)揮著十分重要的作用。FPGA的身影出現(xiàn)在從設(shè)計(jì)簡(jiǎn)單的接口電路到設(shè)計(jì)復(fù)雜的狀態(tài)機(jī)，甚至設(shè)計(jì)"System On Chip"。FPGA的體系結(jié)構(gòu)能夠保證4-10G路由和安全訪問控制的線速處理能力，包括各類多媒體業(yè)務(wù)、實(shí)時(shí)或非實(shí)時(shí)業(yè)務(wù)、連接或非連接業(yè)務(wù)等。同時(shí)，以FPGA作為處理和交換架構(gòu)的基礎(chǔ)，還可以通過FPGA良好的可編程性對(duì)數(shù)據(jù)包和協(xié)議進(jìn)行深層次的檢查和過濾，而且投資規(guī)模小，開發(fā)周期短，是一種非常理想的高性能防火墻硬件平臺(tái)架構(gòu)。

　　FPGA有下面幾個(gè)方面的技術(shù)優(yōu)勢(shì)：

　　1. 縮短產(chǎn)品開發(fā)周期。產(chǎn)品上市時(shí)間是推動(dòng)網(wǎng)絡(luò)處理可編程解決方案發(fā)展的主要?jiǎng)恿χ唬現(xiàn)PGA不僅可以通過縮短開發(fā)周期，還能通過縮短調(diào)試周期以加快產(chǎn)品上市時(shí)間。

　　2. 提供良好升級(jí)性能。FPGA具有較強(qiáng)的軟件升級(jí)功能，利用業(yè)界標(biāo)準(zhǔn)的HDL和C代碼，以及FPGA制造商提供的基于平臺(tái)和工具集方法的工具，可以很方便地實(shí)現(xiàn)軟件在各代FPGA中的無縫移植。FPGA往往有一定的預(yù)留性，比如一個(gè)常見的800萬門的FPGA芯片在實(shí)際使用約為200萬門左右，預(yù)留的部分就是為了安全設(shè)備日后升級(jí)所用。在硬件升級(jí)方面，F(xiàn)PGA可以實(shí)現(xiàn)現(xiàn)場(chǎng)可編程，因而能輕松升級(jí)，很好地滿足需求變化，延長(zhǎng)了產(chǎn)品壽命，有助于網(wǎng)絡(luò)安全設(shè)備跟蹤標(biāo)準(zhǔn)和協(xié)議的持續(xù)變化。

　　3. 實(shí)現(xiàn)復(fù)雜分類查詢。例如VPN（虛擬專用網(wǎng)）和IPSec這樣的業(yè)務(wù)需要復(fù)雜查詢功能。查詢和分類可通過復(fù)雜的迭代算法實(shí)現(xiàn)，F(xiàn)PGA能在邏輯電路的狀態(tài)機(jī)內(nèi)實(shí)現(xiàn)查詢。從而縮短了查詢的周期，提升了系統(tǒng)整體的性能。

　　4. 提供高抗擾能力。FPGA的串行連接技術(shù)可以減少引腳數(shù)量、減小接頭尺寸、降低電磁干擾輻射（EMI）、提高信號(hào)完整性和更好地抵抗噪聲，從而大大提高升了系統(tǒng)的抗干擾能力，非常適用于對(duì)電磁輻射安全有特殊要求的應(yīng)用環(huán)境。

　　5. 優(yōu)化系統(tǒng)整體性能。安全設(shè)備的器件數(shù)目和期望性能之間存在一個(gè)平衡點(diǎn)，而將所有器件堆積在一個(gè)設(shè)備中將破壞整體性能。例如，如果能在主分組處理器件上實(shí)現(xiàn)安全處理功能，不僅能減少器件數(shù)目，還可從增加的性能中受益。FPGA的性能可以隨著規(guī)格效率方便的擴(kuò)展，某些需要查詢和密集控制的應(yīng)用可通過采用協(xié)處理器/嵌入式處理器來更好地實(shí)現(xiàn)。

　　6. 與FPGA技術(shù)相比，ASIC技術(shù)將指令或計(jì)算邏輯固化到了硬件中，缺乏靈活性，不便于修改和升級(jí)；深層次包分析（L4+）增加ASIC的復(fù)雜度，不能滿足防火墻產(chǎn)品對(duì)網(wǎng)絡(luò)協(xié)議進(jìn)行二到七層處理的需求；ASIC的開發(fā)周期長(zhǎng)，設(shè)計(jì)費(fèi)用昂貴且風(fēng)險(xiǎn)較大。，采用ASIC技術(shù)的防火墻的問題在于缺乏可編程性，對(duì)新功能的實(shí)施周期長(zhǎng)，很不靈活，使得它難以跟上當(dāng)今防火墻功能的快速發(fā)展。在日益猖獗的黑客攻擊面前，特別是針對(duì)在應(yīng)用層攻擊（如Slammer、沖擊波病毒）等面前顯得無能為力。對(duì)于單臺(tái)防火墻設(shè)備，F(xiàn)PGA芯片的成本占總成本的比重很低，而且采用FPGA架構(gòu)可以通過配置和添加基本軟件來實(shí)現(xiàn)定制，從而不斷提升產(chǎn)品的性價(jià)比。

　　交換結(jié)構(gòu)是基于FPGA防火墻產(chǎn)品的關(guān)鍵部分，是解決高速報(bào)文轉(zhuǎn)發(fā)及處理的主要方式，它的性能直接決定了防火墻性能。交換架構(gòu)采用共享內(nèi)存機(jī)制，具有很高的吞吐率，而且實(shí)現(xiàn)簡(jiǎn)單，架構(gòu)可擴(kuò)展性強(qiáng)，可以很容易地進(jìn)行視頻處理、VPN等功能擴(kuò)展。

　　我們都知道，防火墻與交換路由在性能上始終存在差距，未來網(wǎng)絡(luò)性能技術(shù)會(huì)隨著用戶需求、芯片技術(shù)的發(fā)展呈幾何級(jí)發(fā)展，防火墻技術(shù)需要快速發(fā)展才能真正網(wǎng)絡(luò)發(fā)展的腳步。在選擇高端防火墻來對(duì)業(yè)務(wù)系統(tǒng)進(jìn)行防護(hù)時(shí)，高性能、高穩(wěn)定性、豐富的網(wǎng)絡(luò)特性都是用戶需要考慮的因素。我們欣喜的看到不少廠商，已經(jīng)依據(jù)積累的各行業(yè)網(wǎng)絡(luò)應(yīng)用經(jīng)驗(yàn)，針對(duì)用戶網(wǎng)絡(luò)的脆弱之處，不斷的將高端交換路由技術(shù)移植到防火墻上，使得防火墻技術(shù)不斷推陳出新，防火墻性能上會(huì)不斷縮短與高端交換路由的差距，使得網(wǎng)絡(luò)安全均衡發(fā)展，為用戶構(gòu)建真正的安全網(wǎng)絡(luò)。