防火墙作为解决网络安全问题的基础设备，自2000年以来，在中国乃至全球信息安全产业中占据了1/3的市场份额，每年复合增长率达到50%以上。传统的IT厂商及网络安全厂商都看到了这一商机，纷纷加大投资力度开发新产品。但是对于大型的ICP网站、电子商务站点、骨干交换网络以及电信、金融等高端市场始终是Cisco、Netscreen、Checkpoint等国外厂商的天下，如何使国产千兆防火墙具有高安全性的同时具有高性能，全面提高国产千兆防火墙的市场竞争能力，使自主知识产权的国产防火墙在高端市场上逐步占据主导地位一直是国内防火墙厂商追求的目标。

　　北京首信股份有限公司从2002年初开始跟踪千兆防火墙的技术发展，经过一年多的紧张开发，在关键技术上获得了突破，成功研发出国内第一个基于ASIC技术的拥有自主知识产权的真正线速千兆防火墙――首信CF 2000 CG-600防火墙。该产品具有高安全性、高吞吐量、低延时，技术上具有业界领先水平, 主要面向大型的ICP网站、电子商务站点、骨干交换网络以及电信、金融等高端市场。

　　产品结构特点：

　　CF 2000 CG-600是基于ASIC的 真正线速千兆防火墙。拥有自主知识产权的4个千兆端口的ASIC芯片，能同时处理一百万个并发连接，同时支持交换机及路由器功能，具有很高的灵活性及可扩展性, 可以非常好地与路由器、高层交换机在一起协调工作，适合于各种复杂的网络。

　　CG-600的硬件芯片采用了最先进的数据包处理技术：多级流水线技术。数据流通行顺畅, 无任何多余存储及内存的读写, 所有的数据包都是基于连接的处理。任意的数据流传输具有恒定的时延, 与数据包长短, 数据包类型及连接数目无关，与基于网络处理器的防火墙系统有本质的不同。

　　该产品的另一大特点是充分利用内存资源, 任何资源使用完全动态化。 理论上讲, 资源使用无限制, 任何端口, 都可以支持一百万的连接。 这意味着CG-600有极好的抗数据阻塞能力。我们在实验室里测试了两个千兆口的数据流同时涌向一个千兆端口, 在相当长的时间内无掉包现象是其他产品所不能达到的。

　　该产品的芯片在整体结构上可分为四个模块, 接收口包处理器, 数据包派遣器, DMA数据包派遣器 及传输口包处理器。此四模块融入数据流之中，几乎完成了所有的数据包处理, 大大减少了CPU的负载。接收口包处理器及传输口包处理器的数据处理，无需额外的数据流及内存的读写。数据包派遣器是整个芯片的核心，根据规则决定了所收数据包的去向。同时高速的IO也保障了控制和管理信息的无阻碍传递。

　　整体而言, CF 2000 CG-600在硬体性能指标方面有较大的领先性。

　　与业界领先产品的比较

　　目前在网络安全高端产品的业界领先供应商的千兆防火墙产品达到千兆线速时会受许多条件的限制。其限制因素包括建立连接的数目, 数据包的长短 及是否启动规则等。

　　我们在实验室环境下曾对国外三款高端防火墙与CG-600做过一个比较测试。在相同测试环境下, CG-600各项性能指标均具优越性。

　　在吞吐率方面, 在连接数目为10万的情况下, 有两款防火墙的处理能力均达到100%线速, 而另外一款, 对于64-byte短 数据包处理能力只能达到线速的3%, 对于1518-byte长 数据包处理能力只能达到线速的64%。当连接数目达到50万,则只有CG-600才可以对任何长短的数据包的处理均能达到100%的线速，其余三款则无法达到。

　　在时延指标方面, CG-600系统时延是最低的。在单一规则情况下，对于64-byte 数据包，CG-600的平均时延为4.2微秒, 而其余三款最低的平均时延为6.5微秒。 对于1518-byte 数据包，CG-600的平均时延为33.7微秒, 其余三款最低的平均时延为36微秒。

　　综合分析业界领先的产品，有三大因素限制其性能指标：连接数目，数据包的长短和是否启动规则。与他们相比, CG-600性能指标既不受连接数目多少的限制,也与数据包的长短及是否启动规则无关。CG-600克服了以上三大因素的限制，可称得上真正的千兆线速。 性能指标不受连接数目多少的限制也意味着 CG-600的可扩展性是目前业界产品所不能比的。