日前，2017年第十二屆"中國芯"評選結果在大會現場揭曉。中科神威千兆線速防火牆獲得最具創新應用產品殊榮。這既顯示出自主CPU的產業生態在逐步完善，又顯示出越來越多的應用廠商開始認可自主CPU。

國產防火牆大多采用X86 CPU

防火牆是將內部網絡和外部網絡做安全隔離的設備，內外部網絡間的所有數據流都必須經過防火牆進行訪問控制。對於信息安全而言，防火牆都有非常重要的意義。防火牆可以分為軟件部分和硬件部分，軟件為分專用操作系統和防火牆應用系統兩個層面，而硬件上最關鍵的部分莫過於CPU了。

在軟件上，國內很多防火牆廠商已經能夠自己做了，已經實現了國產化，但在硬件部分最關鍵的CPU上，依然是採用國外的CPU。採用中國人自主設計CPU的防火牆少之又少。國產防火牆採用國外CPU，存在很多隱患。由於CPU是否自主化關係到防火牆的安全性能，採用X86芯片和國產軟件的防火牆只能稱為半自主可控。

本次在第12屆"中國芯"評選評審會上，中科神威千兆線速防火牆NSFW-6000-L被授予最具創新應用產品。這款防火牆的最大特點是採用了中國自主研發的CPU。申威411 採用國內自主設計的SW64指令集，採用境內40nm工藝，集成四個CPU核.單獨就芯片性能而言，與Intel的四核桌面CPU還是有不小的差距。但就性能來說，足以滿足千兆線速防火牆的需求。何況網絡安全設備主要看吞吐率、併發等參數，而不是單獨比拼CPU的性能。

採用申威CPU的防火牆具有更高的安全性。

對於網絡安全產品最重要的是安全產品本身是否安全，如果沒有CPU的國產化與自主化，那麼信息安全就無從談起。由於中科神威千兆線速防火牆採用的是申威411 CPU，因而在安全性上相對於採用X86 CPU的防火牆具有先天優勢。

具體來說，由於申威CPU是基於SW64指令集，該指令集是由國內自主研發設計，不公開指令集雖然對軟件生態建設非常不利，但這也使惡意攻擊者無法編寫針對申威處理器的shellcode，產品具備極高的自身安全性。

除了指令集自主研發設計，申威411的微結構也是自主研發設計的，從架構設計，到物理版圖設計，全部在中國大陸自主完成。微結構自主設計的最大好處是可以保證CPU裡沒有冗餘模塊，可以杜絕預留後門問題，或者說自己掌握CPU的後門。

相比之下，如果單位使用的防火牆採用的是X86 CPU，那麼攻擊者可以利用x86芯片的預置後門，或利用X86芯片的漏洞植入微碼木馬，或進行bypass攻擊等方式，對單位的安全設備進行攻擊。事實上，通過X86 CPU進行攻擊並非危言聳聽。在德國漢堡舉行的第33界混沌通信大會上，安全技術公司Positive Technologies的研究員Maxim Goryachy和Mark Ermolov就揭示了一種對Intel的X86平臺進行完全控制的攻擊方式，而且在整個過程中用戶對此不會有任何察覺。

總而言之，相比傳統X86平臺產品，中科神威防火牆對溢出式攻擊和惡意代碼具有天然的免疫力，杜絕了'後門'植入、"邏輯"炸彈等未知風險，可更好的保障網絡安全。

中科神威防火牆性能不輸於X86防火牆

中科神威防火牆除了具有非常高的安全性，在性能上可以比肩採用X86 CPU的同類型商業產品。中科神威防火牆在千兆環境下可達小包100%線速，最大吞吐量達8Gbps，延時小於90us，併發連接接數為220萬次，每秒新建鏈接達2.8萬次。

單單就性能來說，申威411這款芯片與Intel的四核CPU還是有不小的差距的，但正如"神威太湖之光"超級計算機所採用的申威26010芯片，雖然在芯片製程工藝還暫時落後於美國Intel，但憑藉出色的架構，無論在性能還是效率上都遠超美國，已經連續三次蟬聯全球超算榜首，中科神威千兆線速防火牆在CPU性能並不領先的條件下，通過軟件的優化和系統級的適配，特別是中科網威公司創新的SW-DPDK算法，使得整機性能實現了小包（64字節）線速，這個意義十分重大，它標誌著自主可控防火牆已經可以在千兆網絡環境中完全替換基於X86的防火牆。

此外，在專用操作系統層面，中科神威防火牆採用的神威睿思操作系統，是與申威CPU專門定製的，可以達到相輔相成的作用，有點類似與電腦遊戲裡開BUFF的增益效果。在應用系統層面上，中科網威公司針對特殊應用需求，定製了很多一般商用防火牆所不具備的功能。

由此可見，中科神威防火牆不僅打破了基於國外處理器防火牆的壟斷格局，可實現無縫替代傳統X86平臺防火牆，還在性能上可以達到比肩採用X86 CPU防火牆的同類產品。加上在應用系統層面上針對定製的特殊應用，這款防火牆非常適合對安全性要求較高的用戶使用。

中科神威萬兆線速防火牆或將問世

必須指出的是，中科神威千兆線速防火牆採用的CPU.申威411是上海高性能集成電路設計中心在2014年前後推出的產品，在2016年底至2017年初，上海高性能集成電路設計中心成功研發出了申威421和申威1621兩款芯片，申威421的總體性能與龍芯3A3000大致相當，在浮現性能上還略有勝出。而申威1621是一款16核CPU，採用28nm工藝，主頻達到2G，雙精浮點性能可以達到512G。根據相關單位測試，申威1621的性能明顯優於國內某公司設計的集成了16個Cortex A57 內核的CPU。在採用申威1621這款CPU之後，中科神威防火牆可以實現萬兆線速。目前，適配工作正在進行中。