兆芯CPU：让国产防火墙技术硬起来

日前，“2019自主可控计算机大会”在北京成功举办。大会期间，兆芯副总经理罗勇博士发表主题演讲，分享了兆芯在推动产业生态发展工作上的重要经验与成果，并且展示了基于兆芯最新一代开先KX-6000/开胜KH-30000系列处理器的网络安全防火墙、桌面整机及服务器产品。由于兆芯具备IP自主设计能力，因而比较适合对安全有较高要求的应用场景，在网络安全设备方面具有较好市场前景。

国产防火墙多采用国外CPU

防火墙是将内部网络和外部网络做安全隔离的设备，内外部网络间的所有数据流都必须经过防火墙进行访问控制。

上图为一种常用的安全组网方式，把内部网络和外部网络用防火墙隔离开，通过在防火墙上采用各种技术，来防止外部网络的不安全因素进入内部网络。

对于关键行业和企业的信息安全而言，防火墙都有非常重要的意义。防火墙可以分为软件部分和硬件部分，软件分为专用操作系统和防火墙应用系统两个层面，而硬件上最关键的部分莫过于CPU了。

在软件上，国内很多防火墙厂商已经能够自己做了，已经实现了国产化，但在硬件部分最关键的CPU上，依然是采用国外的CPU。国产防火墙采用国外CPU，犹如花钱请洋人当雇佣兵给中国的边防哨所站岗执勤，不仅非常尴尬，而且存在很多隐患。由于CPU是否自主化关系到防火墙的安全性能，采用国外芯片和国产软件的防火墙只能称为半自主可控。

兆芯CPU防火墙更具安全性

对于网络安全产品而言，最重要的是本身是否安全。如果没有CPU的国产化与自主化，那么信息安全就无从谈起。兆芯具备x86解决方案，包括GPU和相关定制电路IP的自主设计能力及测试能力，且相关定制电路IP完全达到量产/认证标准，因而在安全性上相对于采用国外x86 CPU的防火墙具有先天优势。

兆芯CPU经过多年的积累与迭代，从架构设计，到物理版图设计，全部自主完成。CPU自主设计的最大好处是可以保证CPU里没有冗余模块，可以杜绝预留后门问题，或者说自己掌握CPU的后门。

相比之下，如果关键行业使用的防火墙采用的是国外CPU，那么，攻击者可以利用国外公司预置后门，对国内单位的安全设备进行攻击。事实上，通过英特尔CPU进行攻击并非危言耸听。在德国汉堡举行的第33界混沌通信大会上，安全技术公司Positive Technologies的研究员Maxim Goryachy和Mark Ermolov就揭示了一种对Intel CPU进行完全控制的攻击方式，而且在整个过程中用户对此不会有任何察觉。

因此，采用兆芯CPU的网络设备会比采用国外CPU的网络设备更加安全。

兆芯防火墙性能不输国外

就性能来说，采用兆芯CPU的防火墙可以比肩采用国外CPU的同类型商业产品。基于兆芯KX-6000的网络安全平台防火墙在万兆环境下可达小包128B 线速，吞吐量达可达20 Gbps。

在专用操作系统层面，兆芯也积极与合作伙伴共同磨合优化，使其具备更好的性能。目前，已与启明星辰、天融信、新华三、奇安信、深信服、东软、绿盟、网神等公司开展合作。

由于兆芯防火墙，可无缝移植国外x86 CPU平台防火墙，还在性能上可以达到比肩采用国外x86 CPU防火墙的同类产品，加上兆芯具备x86解决方案及相关定制电路IP自主设计能力和测试能力，因而非常适合一些对安全性要求较高的用户使用。

关于兆芯

兆芯致力于通过技术创新与兼容主流的发展路线，为行业用户提供基于x86架构的通用处理器和配套芯片等产品，推动国家信息产业的整体发展。兆芯x86通用处理器具有杰出的操作系统和软硬件兼容性，性能领先，广泛应用于电脑整机、笔记本、一体机、服务器和嵌入式计算平台等，能够为党政办公、金融、教育、交通、网络安全、能源等行业提供可靠的解决方案。

兆芯是国内领先的芯片设计厂商之一，总部位于上海，在北京、深圳、西安、武汉等地设有研发中心和分支机构。兆芯同时掌握CPU、GPU、芯片组三大核心技术，且具备三大核心芯片及相关IP设计与研发的能力。