中科神威防火墙超越X86 CPU,安全性更高

　　申威作为前HPC相关人士，这个超算的国产CPU具有世界水平，在工艺落后于英特尔两代的情况下评测的计算能力和效率达到或超过英特尔下一代众核的水平。但国产防火墙大多采用X86 CPU，所以说想要还是挺难的。

　　国产防火墙大多采用X86 CPU

　　防火墙是将内部网络和外部网络做安全隔离的设备，内外部网络间的所有数据流都必须经过防火墙进行访问控制。对于党政军和企业的信息安全而言，防火墙都有非常重要的意义。防火墙可以分为软件部分和硬件部分，软件分为专用 *** 作系统和防火墙应用系统两个层面，而硬件上最关键的部分莫过于CPU了。

　　在软件上，国内很多防火墙厂商已经能够自己做了，已经实现了国产化，但在硬件部分最关键的CPU上，依然是采用国外的CPU。采用中国人自主设计CPU的防火墙少之又少。国产防火墙采用国外CPU，犹如花钱请洋人给中国的边防哨所站岗执勤，不仅非常尴尬，而且存在很多隐患。由于CPU是否自主化关系到防火墙的安全性能，采用X86芯片和国产软件的防火墙只能称为半自主可控。中科神威千兆线速防火墙NSFW-6000-L被授予最具创新应用产品。这款防火墙的最大特点是采用了中国自主研发的CPU——申威411。申威411 采用国内自主设计的SW64指令集，采用境内40nm工艺，集成四个CPU核，主频1.4—1.6GHz，整数运算达每秒704亿次（@1.6GHz），双精浮点运算达每秒1024亿次（@1.6GHz），功耗为25-30W，具有双路PCI-E 2.0 ×8接口，单链路带宽达5GBps。单独就芯片性能而言，与Intel的四核桌面CPU还是有不小的差距。但就性能来说，足以满足千兆线速防火墙的需求。何况网络安全设备主要看吞吐率、并发等参数，而不是单独比拼CPU的性能。

　　

　　采用申威CPU的防火墙具有更高的安全性

　　对于网络安全产品最重要的是安全产品本身是否安全，如果没有CPU的国产化与自主化，那么信息安全就无从谈起。由于中科神威千兆线速防火墙采用的是申威411 CPU，因而在安全性上相对于采用X86 CPU的防火墙具有先天优势。

　　具体来说，由于申威CPU是基于SW64指令集，该指令集是由国内自主研发设计，和当年DEC的Alpha完全不是一回事。由于申威CPU的研发单位背景特殊，SW64指令集至今没有公开。不公开指令集虽然对软件生态建设非常不利，但这也使恶意攻击者无法编写针对申威处理器的shellcode，产品具备极高的自身安全性。

　　除了指令集自主研发设计，申威411的微结构也是自主研发设计的，从架构设计，到物理版图设计，全部在中国大陆自主完成。与国内一些ARM阵营IC设计公司购买ARM的IP授权，然后拿到台积电去流片完全不是一回事。微结构自主设计的最大好处是可以保证CPU里没有冗余模块，可以杜绝预留后门问题，或者说自己掌握CPU的后门。

　　相比之下，如果党政军单位使用的防火墙采用的是X86 CPU，那么攻击者可以利用x86芯片的预置后门，或利用X86芯片的漏洞植入微码木马，或进行bypass攻击等方式，对党政军单位的安全设备进行攻击。事实上，通过X86 CPU进行攻击并非危言耸听。在德国汉堡举行的第33界混沌通信大会上，安全技术公司PosiTIve Technologies的研究员Maxim Goryachy和Mark Ermolov就揭示了一种对Intel的X86平台进行完全控制的攻击方式，而且在整个过程中用户对此不会有任何察觉。