Palo Alto PA-5060：瑕不掩瑜

　　据我们的独家测试表明，Palo Alto新款防火墙的性能比2008年测试的前一代产品快了10倍。在纯防火墙模式下，其速度接近20Gbps这一额定速度。当然，如何兼顾安全与性能始终是个问题。拿PA-5060来说，这完全取决于你开启和关闭了哪些功能。

　　Palo Alto的“应用识别”功能曾让防火墙市场为之一震。我们发现，这个下一代特性并不会带来额外的性能开销。并且，PA-5060在默认情况下就开启了这一功能。另一方面，启用UTM（编者注：本文中的“UTM”是实现多种安全功能的代称，并非产品的市场包装定义）功能后的速度与防火墙标称的20Gbps最大速度相差甚远，这方面非常值得注意。PA-5060在纯防火墙模式下运行时，一旦启用了任何UTM功能，性能就将大幅下降。

　　不过，不管我们启用哪些UTM功能（入侵预防、反间谍软件、反病毒或这些功能的任意组合），都会得到一样的性能结果，就好像我们只启用了其中一项功能。也就是说，除了最初速度明显下降外，更多的安全业务不会带来额外的性能开销。SSL是个例外，该产品处理SSL流量时，速度有所下降。开启SSL流量卸载特性后，该系统的四个万兆以太网接口的传输速度仅比快速以太网强一点。这个结果在预料之中，因为所有安全设备在处理SSL流量时，速度都会降下来。如果在此基础上启用UTM功能，我们发现性能下降的幅度还要大上许多。

　　总的来说，Palo Alto的PA-5060是款性能强大的产品。令人稍感遗憾的是，虽然它提供了许多独特的应用检查功能，在安全与性能的平衡问题上却仍有待完善。

　　如何测试Palo AltoPA-5060

　　我们使用了三组测试模型来评估Palo AltoPA-5060的性能，分别为混合流量、静态流量及TCP连接处理能力。在所有测试中，该产品未受保护的接口上启用了静态NAT，并加载了200多条访问控制规则。两对思博伦通信的Avalanche3100GT充当了主要的测试工具，它们各自配备了两个万兆以太网接口。进行转发速度方面的测试时，我们对PA-5060的四个万兆以太网接口进行了独立配置，为不同的子网充当网关。与此对应的，Avalanche测试仪模拟了200个客户机和40台服务器，分布在这四个子网中。

　　进行混合流量测试时，我们使用了与《NetworkWorld》上一次测试Palo AltoPA-4020防火墙时同样的HTTP对象类型与大小组合。对象类型包括文本、图像及其他二进制内容（如PDF文件），对象大小从1KB到1536KB不等，都通过HTTP来请求。最后，我们还在RC4-MD5加密算法建立的SSL隧道环境下，再次对所有测试项进行考察。静态流量测试也使用了HTTP和SSL隧道，但样本改为10KB和512KB的文本对象。我们之所以选择10KB对象，是因为它接近我们分析许多Web日志时看到的对象大小的平均值；使用512KB对象测试，则意味着能够得到很高的转发速度。

　　为了确定TCP最大并发连接数，我们使用思博伦通信的Avalanche模拟的客户机，每60秒钟请求一个对象，从而不断增加连接数量。最终取得的数值是在无连接失败前提下的最大数量。而每秒新建连接数的测试，则需在Avalanche配置中启用HTTP1.0，迫使每个HTTP请求都使用新的TCP连接。我们使用二分法，找到了防火墙在60秒钟内没有任何失败处理时的最大速度。

　　混合流量：比上代快10倍

　　转发速度是我们测试中的主要评估指标。我们使用了混合流量和静态流量，去测试设备在不同功能配置下的处理能力。得到的结果清楚地表明，最多能配置四个万兆以太网接口的PA-5060的运行速度比Palo Alto之前发布的型号至少快了10倍。

　　在混合流量测试中，PA-5060只启用防火墙功能时，其处理能力达到17Gbps左右。该数值比官方标称的20Gbps处理能力低一些，这也不足为奇，因为厂商产品规格表上的数字通常是在最佳测试环境下获得的，比如一次又一次地请求单个庞大的对象。相比之下，我们所用的测试流量混合了大小不一的文本、图像和二进制内容，这正是企业网络中常见的Web流量模型，所以得到的17Gbps左右的数据也许更切合实际地体现了现实环境中的性能。值得一提的是，这里用到的混合流量样本与《NetworkWorld》的测试专栏作家JoelSnyder在2008年测试Palo Alto的PA-4020时采用的流量模型完全一样。在那次测试中，PA-4020的最大处理能力大约为1.6Gbps，而该产品的标称值为2.0Gbps。

　　与其他大多数安全设备一样，如果启用了各项UTM功能，比如反间谍软件、反病毒和IPS等功能，PA-5060的性能就会明显下降。我们使用之前的流量模型再次进行测试，发现处理能力从17Gbps降至5.3Gbps-5.4Gbps左右。好消息是，不管启用多少UTM功能，设备的性能都能保持稳定。也就是说，不管PA-5060单独启用反间谍软件、反病毒、IPS，还是同时打开这些功能的任意组合，都不会影响性能。

　　提高性能的一个方法是禁用服务器响应检测功能，也就是不对服务器到客户机的流量进行检查。禁用该功能使得速度提升了近两倍，达到13.7Gbps。当PA-5060位于数据中心或其他服务器集群前面时，这个功能会有一定的意义。而通过部署产品来保护内网终端的的企业网络管理人员想必会启用服务器响应检测功能，这也是PA-5060的默认设置。

　　SSL加密是计算密集型任务。哪怕用到专门的芯片来进行处理，PA-5060也与其他几乎所有高端防火墙一样，处理SSL流量时的性能大幅下降。在每一项测试中，该产品转发SSL流量的速度一般在7.5Gbps~7.6Gbps左右。我们最初猜想造成这种情况的原因可能是测试设备存在性能瓶颈，但是在无设备接入时对Avalanche进行自环测试时发现，测试仪的SSL极限性能稳定在8.6Gbps左右，快于PA-5060，因此测试仪性能不是瓶颈。

　　除了单纯开启防火墙，PA-5060在其他配置下对SSL流量的处理能力都高于处理明文流量时的速度，这表明该产品在默认情况下对SSL流量所做的检查不太全面。Palo Alto的工程师们也证实了这一点，PA-5060在这种情况下只是将Avalanche生成的流量归为“SSL”类流量，没有再做进一步的检查。该产品也确实可以对SSL流量进行解密后再执行更深层的检查，但该特性也带来了很大的性能开销。当PA-5060仅开启防火墙及SSL流量卸载功能时，处理能力下降到986Mbps；而所有UTM功能启用后，速度进一步降至区区108Mbps。这两个数字与我们在明文流量测试时看到的17Gbps相差甚远，也远低于在没执行SSL卸载操作时的7.5Gbps。如果网络管理人员需要以更快的速度对SSL流量进行解密，应该考虑专用的硬件设备，比如Netronome及其他厂商的产品。

　　测试静态流量

　　在之前的测试中，混合了大小不一的文本、图像和二进制内容的测试流量让我们有机会去模拟许多企业用户的应用场景，但绝不适用于所有的情况。静态流量测试则让我们达到了另一个目的，那就是考察PA-5060在处理平均和大型Web对象时的最大性能。

　　不出意外，在仅启用防火墙、使用512KB对象进行测试时，PA-5060交出了最漂亮的答卷，其处理能力接近18.7Gbps。换成平均大小的10KB对象样本，速度则略降为16.3Gbps左右。打开UTM功能后，我们得到的结果有很大下降，这与使用混合流量测试时的情况类似。同样地，不管我们单独启用反间谍软件、反病毒、IPS还是它们的任意组合，得到的性能数值都基本一致。PA-5060传输512KB对象时的速度（6.2Gbps~6.3Gbps）快于传输10KB对象（约5.2Gbps），不过1Gbps左右的落差小于单独开启防火墙时的性能差距。

　　换用SSL流量后，PA-5060的处理能力也有所降低，并且大多数情况下512KB对象时的性能（10.5Gbps~11Gbps）要低于10KB时的性能（约8.8Gbps）。这个结果在预料之中，因为更多的字节意味着防火墙的加解密引擎要处理更多的工作。同样地，不管我们启用或禁用哪些UTM功能，PA-5060处理SSL流量时的速度也大致相同。这意味着，该产品将思博伦通信的Avalanche测试仪发出的流量归为“SSL”分类后，未做任何进一步的检查。如果打开SSL流量卸载功能，进行更深入的安全检查，速度更会降低至100Mbps左右。我们在测试中使用的是开销较小的RC4-MD5加密算法，若采用AES256-SHA1这样比较强的加密算法，性能有可能会更低。

　　TCP连接处理能力

　　使用混合流量与静态流量测得的防火墙性能非常关键，但它们并不是唯一重要的指标。我们还进行了另外的测试：确定PA-5060能够处理的最大并发连接数及每秒最大HTTP新建连接数（边建边拆）。

　　在最大并发连接数测试中，我们对思博伦通信的Avalanche测试仪进行了配置，让每条现有的连接每60秒生成一个新的HTTP请求，从而不断增加连接数量。PA-5060正确无误处理的最大并发连接数量是3620979条，尽管这已经是个庞大数字，但还是低于该产品额定400万条的标称值。测试完毕后，Palo Alto表示在我们测试的软件版本中发现了一个缺陷，随后发布的新版本可以让PA-5060达到400万条的最大并发连接，但我们没有进行验证。

　　在相关测试中，我们还考察了该产品建立和拆除连接的最大速度。这回思博伦通信Avalanche测试仪的配置改用HTTP版本1.0，迫使每个HTTP请求建立一条新的TCP连接。PA-5060在使用全部四个万兆以太网接口的情况下，每秒可以正确无误地处理44120条连接。而仅使用两个接口和Palo Alto较早的软件版本时，我们观察到的每秒新建连接数接近47000条。这已经是很高的数据，足以满足绝大多数企业用户的需要。

　　虽然PA-5060的性能仍有待改进，其总体结果还是让我们颇受鼓舞。它的性能已经比之前测试过的PA-4020快了许多，且仍然是市面上少数几款真正具有应用层检测功能的产品之一。如果能进一步优化UTM性能和SSL卸载能力，PA-5060也许能一劳永逸地解决安全与性能不可兼得的难题。

　　测试点评

　　Palo Alto为NGFW提供了范本

　　做为业内第一家扛起NGFW大旗的厂商，Palo Alto的一举一动都吸引着全行业的关注。某种程度上，该公司产品的表现也直接影响着业界对NGFW概念的信心。美国同行显然对此颇为关注，先后测试了该公司推出的两款产品，都给出了不错的评价。虽然还有一些问题亟待解决，但NGFW作为一种新生的产品形态来说，非常值得期待。

　　PA-5060的测试结果中有几点值得注意，首先，开启应用识别对性能无任何影响，比较令人满意。但反过来看，我们认为这也是NGFW产品的底线。如果仅开启应用识别就会造成防火墙性能的下降，更多的安全业务只会成为系统的包袱，让NGFW变成更多功能堆砌的UTM。其次，虽然开启更多安全业务仍会导致处理能力下降，却不会产生过大的性能落差，使设备失去可用性。如果部署在数据中心的出口，开启IPS对流入的流量进行检测，性能衰减则只有1/3左右。此时，PA-5060超过10Gbps的处理能力显得游刃有余。

　　SSL的问题貌似严重些，PA-5060在测试中开启SSL卸载及所有安全功能时，对SSL流量的处理能力仅有百兆。我们为此在编译本文时向Palo Alto进行了咨询，该公司声称造成此问题的原因是测试工具引发了一个系统层面的异常，现已在新版本（PAN-OS4.0.4）中进行了修正。如果重复之前的测试，无论是单纯开启SSL卸载，还是同时打开所有安全功能，都可以保证1.2Gbps的处理能力。不过，我们并不认为用户会特别看重这个数值，毕竟在云时代，许多用户从业务私密性的角度考虑，也不会允许SSL流量在基础架构层面被解密。（文/韩勖）

　　沈建苗 编译