随着全球化,信息化的迅猛发展,网络带宽的增长和网络安全问题的层出不穷对网络数据包的处理性能提出了新的要求。VPN和防火墙是企业和个人用户实现安全传输网络流量的重要手段。VPN近些年来产品和服务市场增长迅猛,它是在远距离传输网络数据时,使用相对租用实际的专门线路而言虚拟的一条通路,它减少了租用专门线路所需的花销,提高了效率。目前VPN的实现方式繁多,各自为工作在不同的层,如PPTP、L2TP、IPsec、MPLS、SSL等。IPSec是一种基于IP层的VPN协议规范,为IPv4,IPv6提供一种较强的互操作能力、高质量和基于密码学的安全机制,是当前VPN的一种主要实现方式。防火墙作为一种网络和系统之间强制实行访问控制的机制,是确保网络安全的重要手段。防火墙最基本,最核心的技术是包过滤技术,它通过控制进出网络的数据流量控制网络安全。随着网络用户的日益增多及新业务的不断推出,网络带宽的增长态势对网络处理能力提出了一个新的要求。新一代支持VPN的防火墙产品,其转发能力要有明显的提高,对性能的要求也上升到一个前所未有的高度。为了更快地处理大量网络流量,完成复杂的网络处理任务,提高网络处理性能,网络处理器(NP)成为一种新的解决方案。网络处理器因为采用了优化的体系结构,专用的指令集和硬件单元,比纯软件的解决方案在处理速度上有明显提高;并且软件可编程,可升级,具备高度的灵活性,能够迅速实现新的标准、服务、应用,满足网络服务的复杂多样性要求,并且比ASIC解决方案开发周期更短,投资回报快。故运用NP架构处理网络流量成为一种合理,高性能的解决方案。目前,NP大多采用ARM+协处理器的架构。为了更好地满足这方面的要求,本文提出一种新的设计方案。该方案采用x86加协处理器的架构的EP80579集成处理器及其外围模块为硬件平台,采用Linux为操作系统,将开源应用程序移植到该平台上,通过向Linux内核添加关于协处理器和外围设备的驱动和包处理内核模块来打通应用程序同硬件平台的通路,对协处理器编程使其完成专用的数据包处理功能,实现VPN防火墙的高性能。该设计充分利用硬件平台中协处理器对数据包的处理功能,分担并且解放了CPU的压力,软件修改和产品升级方便,具有极大的灵活性满足复杂网络环境变化的要求,验证了复杂指令集的x86体系结构和精简指令集的协处理器的协同工作成为网络安全处理上一种高效的新的解决方案。