Fortinet ASIC 设备：硬件经济学与软件价值

本文所称“ASIC 驱动安全”是什么意思

在 Fortinet 的语境中，当人们说**“ASIC 驱动安全”时，指的是一种依赖定制芯片**（例如 Fortinet 的 FortiASIC）来承担网络与安全处理核心工作的安全设备（如 NGFW）。

与其让通用 CPU 做所有事情，不如用芯片来加速一些特定任务——例如数据包转发、加密、检测和会话处理。实际上目标很直接：在给定价格点上提供可预测吞吐量和更高的每瓦防火墙性能。

“ASIC” 为什么重要

硬件决策会反映到真实预算里。Fortinet 的 ASIC 设备定价不会像普通服务器那样，因为你买到的是一个经过优化的组合：

• 可将工作从 CPU 转移出来的定制硅片
• 为持续流量负载设计的固定硬件平台
• 降低部署时运维摩擦的集成工作

这个组合不仅影响性能，还影响安全设备经济学——你前期支付多少，以及随后避免支付的成本（电力、机架空间、以及“哎呀，我们买小了”导致的替换费用）。

“订阅服务”为什么重要

模型的另一半是持续的价值：订阅和支持。大多数购买者并不仅仅买一个盒子；他们买的是持续的更新与保障——通常是 FortiGuard 服务（威胁情报、过滤、内容更新）和 FortiCare 支持（硬件更换选项、软件更新、技术协助）。

读者对象与收益

本文面向IT 经理、财务团队与采购人员，帮助说明（或辩护）为什么“硬件加订阅”模型仍然是合理选择。

你将了解主要成本驱动因素、订阅实际提供什么、如何思考网络安全的总拥有成本（TCO），以及避免续订和生命周期规划意外的实用采购建议。欲快速决策点，请跳转到 /blog/a-buyers-checklist-for-evaluating-asic-based-appliances。

面向非工程师的 ASIC 说明

ASIC（应用特定集成电路）是一种为少数特定工作高效设计的计算芯片。把它想象成为某一行业打造的专用工具，而不是通用多功能工具。

典型的安全设备同时也配备通用 CPU（有时还有其他加速组件）。CPU 很灵活：它能运行各种功能，通过软件更新改变行为，并处理“奇怪”的工作负载。代价是，当启用高级检测时，CPU 往往需要更多周期——也就意味着更多功耗来处理相同流量。

ASIC 与通用 CPU 的区别

• CPU： 擅长多种任务，易于重编程，但在高速度下处理大量重复数据包工作时，功耗和吞吐可能变得昂贵。
• ASIC（如 FortiASIC/FortiSPU 概念）： 灵活性较低，但对几乎每个数据包都会发生的特定操作进行了优化。

为什么安全任务可以专用化

安全网关大量时间在执行可重复、计算密集型的工作。许多步骤非常适合用定制硬件实现：

• 流量转发与路由： 将数据包从一个接口快速且可预测地移动到另一个接口。
• 加密/解密（VPN）： 加密运算重复性强，硬件流水线可以加速。
• 检测模式： 某些解析与会话处理函数可以在硅片中高效实现。

正因为这种专用化，供应商才会谈论“每瓦性能”和在启用安全特性时的稳定吞吐——ASIC 旨在处理常见的数据包路径工作，而无需频繁唤醒通用 CPU 内核。

购买者应有与不应有的预期

应有的预期：

• 针对芯片优化的流量类型会有高吞吐量。
• 在启用多项功能时，性能更一致（视型号和配置而定）。
• 更高效（在给定目标吞吐下通常产生更少的热量/功耗）。

不应有的预期：

• 无限灵活性。新的或小众的特性仍可能依赖 CPU 处理。
• 每个公布的吞吐数字都适用于你混合的应用、TLS 版本、日志和策略。

实践要点：ASIC 能让“快路径”更快，但你仍需验证真实流量模式——而不仅仅是看标题规格。

硬件经济学：设备成本的真实来源

安全设备的价格标签并非简单“芯片成本 + 利润”。它是由常见制造现实和若干设计选择叠加而成，在网络设备中尤为重要。

物料清单（BOM）远不止 CPU/ASIC

即便厂商强调定制硅片（如 FortiASIC），硅片只是 BOM 的一部分。典型防火墙设备还包括：

• 高速网络端口（铜缆、SFP/SFP+，有时为 QSFP）及其背后的 PHY/收发器
• 用于在端口和内部总线间移动数据包的交换和接口组件
• 为固件、日志和检测功能配置的 DRAM 与闪存
• 可 24/7 运行的电源、风扇/散热设计与散热片
• 为机架安装、接地、电磁屏蔽和可维护性设计的机箱/外壳

那些“不那么花哨”的零件往往比人们预期更能驱动成本——尤其是端口速率上升（10/25/40/100G）以及热与功耗需求增加时。

制造、测试与规模很重要

网络设备的装配不像消费电子。厂商要为受控供应链、工厂测试（点火测试、端口验证、故障检查）、合规认证和持续的硬件迭代付费。

规模会改变成本模型：大批量出货的平台可以将工程、模具和认证成本摊到更多设备上，通常降低单台成本。小批次或小众型号看起来“昂贵”，往往只是因为较少的单位承担了相同的固定成本。

专用硅片如何提高每美元吞吐量

定制硅片在效率上能更有效地处理常见安全负载（数据包转发、加密、模式匹配）相对于通用 CPU。当该设计面向高量级市场时，你会看到更好的每美元吞吐量——有时还伴随更低的电力和冷却需求——相比于等效性能的纯 CPU 设备。

不过，请记住设备并非仅仅按硅片定价：端口、内存、电源与机械设计在任何内部组件之外仍然是主要的成本项。

每瓦性能与实际部署收益

当防火墙只按“规格表上的 Gbps”来定尺寸时，很容易忽略一个现实的操作限制：瓦数。功耗影响月度电费、机房散热需求，以及分支机构是否能在不升级电源或冷却的情况下托管该设备。

效率在实际部署中的重要性

更高效的设备通常意味着：

• 持续成本更低： 每天 24/7 的较低功耗累计起来很多，尤其是在多个分支时。
• 更少的热量需要处理： 更低的热输出能减少额外冷却需求（或避免在温暖机房中节流）。
• 更高的机架密度： 在数据中心，实际限制往往是机架的功率与冷却，而不是物理空间。
• 更多部署选项： 更安静、更凉的机型更易部署在办公室、零售后室或共享通信间。

对于分布式环境，这些因素和原始吞吐一样重要，因为它们决定了你能将设备部署在哪里，以及维持部署的成本。

ASIC 卸载如何转化为更低的热量

在 ASIC 驱动设计中，重复的数据包处理工作可由专用硅片承担，而不是通用 CPU 内核。实际效果通常是 CPU 在繁忙时段不再一直“满载”，从而减少：

• 检查与高并发连接期间的 CPU 负载峰值
• 增加风扇转速与噪音的热应力
• 当系统高温或接近容量时出现的性能波动

你不需要知道芯片的详细参数就能受益——关注的是稳定性能，而不是把功耗与冷却变成隐藏的项目成本。

向供应商核实的问题

要求查看典型而非仅是最大工作范围：

• 常见利用率下的典型瓦数（例如 30–50% 与 70–80%）
• 热输出与冷却需求（BTU/hr 或等效指标）
• 噪音水平（dBA）以及风扇配置在负载下是否变化
• 分支机房的任何限制（环境温度范围、气流留空）

如果可能，请求来自试点单元的真实遥测数据——在普通一周内的功耗、温度与风扇速度——以便“每瓦性能”的宣传与您的环境相匹配。

持续软件价值：订阅实际提供什么

购买 ASIC 设备得到的是一个快速、专用的硬件平台。订阅让这台设备能随着新威胁、新应用与新要求保持有效。实际上，你为的是“新鲜度”付费——每日变化的数据、更新与专业知识。

主要获得项

威胁情报与动态安全数据（通常通过 FortiGuard 服务）。 包括：

• 新的与更新的恶意软件/IPS 签名
• URL 与域名信誉、网页过滤分类
• 僵尸网络与指挥控制（C2）信誉源
• 识别新应用与行为的应用控制签名

定期软件更新。 固件和内容更新会修复漏洞、提升检测并增加兼容性。即便你不每月升级，能在关键 CVE 出现时进行更新也很重要。

附加安全能力。 取决于套餐，订阅可能解锁如沙箱、高级威胁防护、类似 CASB 的控制或增强 DNS 安全等功能。硬件可能能支持这些能力，但订阅提供持续更新的情报作为支撑。

必要与可选：按风险与合规决定

一种简便的划分方式：

• 大多数环境的必需项： IPS、杀毒/反恶意软件、URL 过滤/信誉与及时的安全更新。
• 政策或审计常要求： 网页过滤分类、报告与支持 SLA（用于事件响应期望）。
• 对于高风险组织很有价值的可选项： 沙箱/高级威胁服务、ZTNA/SASE 附加、或专门的 OT/ICS 保护——尤其当你处理敏感数据或要求高可用时。

持续价值为何依赖“新鲜度”

攻击者不会停步。防火墙的检测引擎效果取决于它引用的最新签名、信誉与检测模型。这就是为什么“订阅”不仅仅是一个许可——它是保持 NGFW 假设在六个月后仍成立的持续更新流。

套餐、续订与价值打包方式

购买 ASIC 设备很少是“仅买设备”。大多数报价会把三件事打包：硬件、安全服务包（威胁情报与过滤）和支持权利。套餐是厂商将一次性购买转换为可预测运营成本的方式——同时也解释了为何看似相似的两个报价差距可能很大。

常见的打包模式（通常包含的内容）

Fortinet 类似的打包往往包括：

• 硬件（设备本身）
• 安全服务（通常是 FortiGuard 订阅，如 IPS、AV、网页/DNS 过滤、应用控制，有时还有沙箱）
• 支持（FortiCare 等级，影响更换速度、支持可得性与软件更新）

这些通常以“UTP”、“Enterprise”或类似套件形式出售，期限常为 1、3 或 5 年。关键点：两个都称为“保护”的套餐，可能包含不同的服务或支持等级。

续订与预算时间点为何重要

续订通常是财务与安全优先级碰撞的时刻。续订不仅仅是“保持签名最新”——它往往是继续获得：

• 威胁更新与云情报源
• 软件/固件升级
• 厂商支持与 RMA 更换条款

由于审批可能需要时间，把续订当作其他固定承诺一样对待：把它与财年对齐，避免因到期造成操作问题而演变为业务中断风险。

比较报价时要看什么（别被总价迷惑）

在审查多个提案时，应按以下项逐条比较：

1. 期限长度（1/3/5 年）以及价格是否假设了多年度折扣
2. 确切包含的服务（写出套餐名并列出服务，而不是仅写“安全订阅”）
3. 支持等级（响应预期与更换速度）
4. 共终（co-term）选项（能否对多台设备对齐到期日以减少管理负担？）
5. 续订规则（能否在不更换硬件的情况下续订服务，若中断会怎样？）

若想减少预算惊讶，要求报价将硬件列为 CapEx、订阅/支持列为 OpEx，并明确续订日期。

总拥有成本（TCO）：一个可用的简单模型

总拥有成本（TCO）是把 ASIC 防火墙与其他选项进行比较时唯一能避免被一次性折扣或“免费”捆绑分散注意力的数字。你不需要财务团队——只需一种一致的计费方式。

核心成本分类

使用这些类别，别忽视小项（在 3–5 年生命周期里会累积）：

• 硬件： 设备购买价、备件、机架配件。
• 许可证/订阅： 安全服务（例如 FortiGuard 服务）、功能等级、日志附加项。
• 支持： 厂商支持计划（例如 FortiCare 支持）、RMA 覆盖、SLA 等级。
• 电力 + 冷却： 电费，若跟踪冷却可加上大致乘数。
• 人员时间： 部署、策略管理、故障排查、升级、续订管理。

容量规划：现在买还是以后补买

容量决定的 TCO 往往比多数明面项更重要。

• 超配（买大一号）可降低升级风险，但你为未使用的容量提前付费，且可能锁定更高的订阅/支持等级。
• 频繁升级（现在买小的）会降低第一年支出，但你会为迁移时间、潜在停机与常常更高的“紧急”采购成本买单。

一个实用折中：按当前实测流量加上明确的增长缓冲来选型，并为计划内刷新保留预算，而不是为紧急情况买单。

可复制的工作表

将下列内容填入你的报价与内部估算：

Time horizon (years): ____

A) Hardware (one-time):                $____
B) Subscriptions per year:             $____  x ____ years = $____
C) Support per year:                   $____  x ____ years = $____
D) Power+cooling per year:             $____  x ____ years = $____
E) Staff hours per year: ____ hrs x $____/hr x ____ years = $____
F) Planned refresh/migration (one-time): $____

TCO = A + B + C + D + E + F
Cost per Gbps (or per site) = TCO / ____

一旦有了 TCO，你就能按“每美元产出”而非单看购置价来比较设备。

如果你发现自己在每次刷新周期都在重建同一工作表，值得把它做成一个小型内部工具（例如一个轻量的 Web 应用，标准化假设并保存报价）。像 Koder.ai 这样的平台就是为此类“vibe-coding”工作流设计——团队可以在聊天界面描述需求并生成简单的 React + Go + PostgreSQL 应用并导出源码，而不用把完整定制开发项目推进漫长流程。

选型与吞吐：避免“只看规格表”陷阱

一个常见的采购错误是把数据表上最大的吞吐数当作生产中的可用吞吐。对于安全设备来说，“速度”总是有条件的：它取决于你开启哪些保护、多少流量被加密以及网络路径的复杂度。

为什么实际安全处理可能比标题慢

多数厂商会公布多项吞吐数字（防火墙、IPS、NGFW、威胁保护）。这些不是市场噱头——它们反映了设备必须做的真实工作。

常常降低真实世界吞吐的功能包括：

• 深度检测（IPS、反恶意软件、应用控制）：更多数据包被分析而非简单转发。
• TLS/SSL 检查： 解密并重新加密流量对 CPU/ASIC 都是重负载，可能成为瓶颈。
• 日志与报告： 尤其启用详细日志或将日志转发到外部时。

Fortinet 的 FortiASIC 方法可以在高负载下帮助保持更稳定的性能，但你仍需基于实际将运行的功能集来选型，而不是“以后想要再开”的愿景。

预留余量：增长、加密与远程访问

按变化最快的因素来规划容量：

• 更多用户与设备（含来宾与 IoT）
• 更多站点（SD-WAN 分支、云连接）
• 更多加密流量（TLS 普及、VPN 使用）
• 更多远程访问（事件期间 VPN 并发峰值）

一个实用规则：购买足够的余量以确保常规峰值流量不会把设备推到接近极限。当设备运行在高温或接近容量时，你会被迫关闭保护来保持业务在线——这是错误的权衡。

将选型与风险容忍度和服务期望对齐

“合适的尺寸”取决于对失败的定义。

如果高可用和一致的安全控制是不可妥协的，那就按能在峰值和事件期间保持全量检测的标准来选型。如果可以容忍临时降级某些功能，则可按平均负载选型——但要明确记录这一决策以及首先会放宽的控制项。

在比较型号时，要求供应商基于你的流量组合（互联网、东西向、VPN、检查与否）给出选型建议，并通过试点或真实流量快照验证假设。

生命周期规划：从购买到刷新

购买 ASIC 防火墙设备并非一次性事件。你在整个生命周期（尤其是续订、更新与刷新时间点）的规划，决定了长期能获得多少价值。

典型生命周期（及预期）

大多数组织会经过可预测的序列：

• 部署： 上机架、连接、配置策略并验证性能。
• 更新： 按计划应用固件与安全更新（不要等“有空再做”）。
• 续订： 在到期前保持安全服务与支持有效。
• 刷新： 当需求变化或硬件接近寿命终结时替换或升级。
• 退役： 清除配置/密钥，记录退役流程并负责任地处理设备。

一种有用的心态：硬件提供平台；订阅与支持让它保持可操作与安全。

为何续订与更新关系到日常稳定性

支持合同与安全服务有时被当作附加项，但它们直接影响运行稳定性：

• 安全情报与防护（例如威胁签名与检测更新）降低新攻击暴露面。
• 固件更新 修复缺陷、提升兼容性并有时解锁性能或功能改进。
• 厂商支持 在故障、奇怪的互操作问题或紧急补丁窗口期间至关重要。

若让合同失效，你不仅失去“额外功能”——可能还会失去持续更新与及时获得帮助的能力。

从第一天起就把文档做好（避免续订变成紧急事）

生命周期问题常常是文书问题。在设备采购与部署当天记录一小套关键信息，并保持更新：

• 序列号与许可证 ID（以及存放位置）
• 合同起止日期 与续订条款
• 业务负责人（批准开支）与技术负责人（运维）
• 配置备份 与变更历史（谁在何时为何做了什么）
• 依赖映射： 上游 ISP、下游交换机、VPN 对等体、关键应用

这些文档能把续订变成例行维护，而不是当服务到期时的临时抢救。

在“必须”之前计划刷新

当出现以下信号时就开始刷新计划：持续吞吐接近极限、加密流量比预期更多、新分支站点或策略增长使管理更难。

目标是在**支持结束（end-of-support）**前充足时间评估替代方案。这样你就有时间测试迁移、安排停机并避免为紧急运输或匆促专业服务付出溢价。

需要规避的权衡与风险

ASIC 安全设备看起来兼具可预测硬件、高吞吐与紧密集成软件栈的优势。但正是在这种集成中，大多数权衡与风险也出现。

厂商锁定 vs 更顺畅的集成体验

当厂商同时设计硬件与加速数据路径时，通常会得到更简单的选型、更少的调优项以及在高负载下更可靠的“开箱即用”行为。

代价是灵活性。你在买入一种特定的检测、日志与功能交付方式。如果你的策略是“标准化在 x86 商品硬件并能随时更换厂商不重构运营”，ASIC 设备会让这种目标更难——尤其是在你围绕某一生态构建了操作手册、报告和人员技能后。

对订阅的依赖与失效风险

许多 NGFW 的期望保护是由订阅支持的（威胁情报、IPS 签名、URL 分类、沙箱等）。如果订阅中断，你可能保留基本路由与防火墙功能，但会失去重要保护——有时是悄无声息的。

无需壮举的缓解措施：

• 在到期前 90/60/30 天设定续订提醒，并在 IT 与采购双方指派负责人。
• 将“会影响安全”的到期单独跟踪，区别于“可有可无”的附加项。
• 确认每项服务到期时设备能与不能做什么。

功能门控与意外续订成本

另一个风险是假定某功能“在盒内”仅因为硬件能支持它。实际上，高级特性可能被门控在特定套餐、等级或按单元授权后才能用。若初次购买包含促销价、多年折扣或不按预期续订的捆绑，续订时费用也可能大涨。

为减少惊吓：

• 要求逐项报价，明确分离硬件、支持与每个安全服务。
• 要求书面“续订价格假设”部分（期限、上涨上限、什么算作共终）。
• 记录你需要的最低功能集，并把它映射到确切的订阅项。

分阶段评估与清晰的退出标准

在大规模部署前做分阶段试点：先在一个站点试运行，验证真实流量、确认日志量、测试必需功能。事先定义退出标准（性能阈值、报告需求、集成要求），这样若适配不好可以尽早更改路线。

评估 ASIC 设备的采购者清单

购买 ASIC 安全设备（例如 Fortinet 的 FortiASIC 驱动型号）不是追逐最大数字，而是把真实工作负载、真实风险与真实续订义务对应起来。

1）定义要保护的对象与使用方式

从通俗的清单开始：

• 工作负载： 分支互联网直出、数据中心分段、园区边缘、OT/IoT、VPN 中心
• 用户与站点： 当前人数、预期增长、远程用户、站点数量
• 应用与流量混合： SaaS、视频、VoIP、东西向流量、加密流量占比
• 合规需求： 日志保留、报告、变更控制、审计线索
• 可用性需求： 维护窗口、HA 期望、停机每小时成本

2）向利益相关者问对的问题

把采购视为共享决策，而非安全单一决定：

• 财务： “这是仅 CapEx 的决定，还是要将续订纳入 3–5 年预算？”
• 安全： “哪些保护必须常开（IPS、网页过滤、沙箱、DNS）而哪些是情境性的？”
• 网络运维： “我们能接受的策略复杂度是多少？谁在凌晨 2 点负责故障排查？”
• 领导层： “我们在降低什么风险？部署后如何衡量？”

3）在你真实运行的条件下验证设备

优秀的 ASIC 平台应在负载下保持稳定，但需验证：

• 在你将启用的安全功能下的性能，而不是只在基础防火墙下测试
• 预计的 VPN 与 SSL/TLS 检查 使用情况
• HA 故障切换行为以及日志/报告开销

4）下一步：试点、比较并日历化续订

做一个短期试点并给出成功标准，建一个简单的比较矩阵（功能、启用服务后的吞吐、功耗、支持），并在第一天就创建续订日历。

如果需要预算基线，请见 /pricing。相关指导请浏览 /blog。