Palo Alto PA-5060:瑕不掩瑜

據(jù)我們的獨(dú)家測試表明，Palo Alto新款防火墻的性能比2008年測試的前一代產(chǎn)品快了10倍。在純防火墻模式下，其速度接近20Gbps這一額定速度。當(dāng)然，如何兼顧安全與性能始終是個(gè)問題。拿PA-5060來說，這完全取決于你開啟和關(guān)閉了哪些功能。

Palo Alto的“應(yīng)用識(shí)別”功能曾讓防火墻市場為之一震。我們發(fā)現(xiàn)，這個(gè)下一代特性并不會(huì)帶來額外的性能開銷。并且，PA-5060在默認(rèn)情況下就開啟了這一功能。另一方面，啟用UTM（編者注：本文中的“UTM”是實(shí)現(xiàn)多種安全功能的代稱，并非產(chǎn)品的市場包裝定義）功能后的速度與防火墻標(biāo)稱的20Gbps最大速度相差甚遠(yuǎn)，這方面非常值得注意。PA-5060在純防火墻模式下運(yùn)行時(shí)，一旦啟用了任何UTM功能，性能就將大幅下降。

不過，不管我們啟用哪些UTM功能（入侵預(yù)防、反間諜軟件、反病毒或這些功能的任意組合），都會(huì)得到一樣的性能結(jié)果，就好像我們只啟用了其中一項(xiàng)功能。也就是說，除了最初速度明顯下降外，更多的安全業(yè)務(wù)不會(huì)帶來額外的性能開銷。SSL是個(gè)例外，該產(chǎn)品處理SSL流量時(shí)，速度有所下降。開啟SSL流量卸載特性后，該系統(tǒng)的四個(gè)萬兆以太網(wǎng)接口的傳輸速度僅比快速以太網(wǎng)強(qiáng)一點(diǎn)。這個(gè)結(jié)果在預(yù)料之中，因?yàn)樗邪踩O(shè)備在處理SSL流量時(shí)，速度都會(huì)降下來。如果在此基礎(chǔ)上啟用UTM功能，我們發(fā)現(xiàn)性能下降的幅度還要大上許多。

總的來說，Palo Alto的PA-5060是款性能強(qiáng)大的產(chǎn)品。令人稍感遺憾的是，雖然它提供了許多獨(dú)特的應(yīng)用檢查功能，在安全與性能的平衡問題上卻仍有待完善。

如何測試

Palo Alto PA-5060

我們使用了三組測試模型來評(píng)估Palo Alto PA-5060的性能，分別為混合流量、靜態(tài)流量及TCP連接處理能力。在所有測試中，該產(chǎn)品未受保護(hù)的接口上啟用了靜態(tài)NAT，并加載了200多條訪問控制規(guī)則。兩對(duì)思博倫通信的Avalanche 3100 GT充當(dāng)了主要的測試工具，它們各自配備了兩個(gè)萬兆以太網(wǎng)接口。進(jìn)行轉(zhuǎn)發(fā)速度方面的測試時(shí)，我們對(duì)PA-5060的四個(gè)萬兆以太網(wǎng)接口進(jìn)行了獨(dú)立配置，為不同的子網(wǎng)充當(dāng)網(wǎng)關(guān)。與此對(duì)應(yīng)的，Avalanche測試儀模擬了200個(gè)客戶機(jī)和40臺(tái)服務(wù)器，分布在這四個(gè)子網(wǎng)中。

進(jìn)行混合流量測試時(shí)，我們使用了與《Network World》上一次測試Palo Alto PA-4020防火墻時(shí)同樣的HTTP對(duì)象類型與大小組合。對(duì)象類型包括文本、圖像及其他二進(jìn)制內(nèi)容（如PDF文件），對(duì)象大小從1KB到1536KB不等，都通過HTTP來請(qǐng)求。最后，我們還在RC4-MD5加密算法建立的SSL隧道環(huán)境下，再次對(duì)所有測試項(xiàng)進(jìn)行考察。靜態(tài)流量測試也使用了HTTP和SSL隧道，但樣本改為10KB和512KB的文本對(duì)象。我們之所以選擇10KB對(duì)象，是因?yàn)樗咏覀兎治鲈S多Web日志時(shí)看到的對(duì)象大小的平均值；使用512KB對(duì)象測試，則意味著能夠得到很高的轉(zhuǎn)發(fā)速度。

為了確定TCP最大并發(fā)連接數(shù)，我們使用思博倫通信的Avalanche模擬的客戶機(jī)，每60秒鐘請(qǐng)求一個(gè)對(duì)象，從而不斷增加連接數(shù)量。最終取得的數(shù)值是在無連接失敗前提下的最大數(shù)量。而每秒新建連接數(shù)的測試，則需在Avalanche配置中啟用HTTP 1.0，迫使每個(gè)HTTP請(qǐng)求都使用新的TCP連接。我們使用二分法，找到了防火墻在60秒鐘內(nèi)沒有任何失敗處理時(shí)的最大速度。

混合流量：

比上代快10倍

轉(zhuǎn)發(fā)速度是我們測試中的主要評(píng)估指標(biāo)。我們使用了混合流量和靜態(tài)流量，去測試設(shè)備在不同功能配置下的處理能力。得到的結(jié)果清楚地表明，最多能配置四個(gè)萬兆以太網(wǎng)接口的PA-5060的運(yùn)行速度比Palo Alto之前發(fā)布的型號(hào)至少快了10倍。

在混合流量測試中，PA-5060只啟用防火墻功能時(shí)，其處理能力達(dá)到17Gbps左右。該數(shù)值比官方標(biāo)稱的20Gbps處理能力低一些，這也不足為奇，因?yàn)閺S商產(chǎn)品規(guī)格表上的數(shù)字通常是在最佳測試環(huán)境下獲得的，比如一次又一次地請(qǐng)求單個(gè)龐大的對(duì)象。相比之下，我們所用的測試流量混合了大小不一的文本、圖像和二進(jìn)制內(nèi)容，這正是企業(yè)網(wǎng)絡(luò)中常見的Web流量模型，所以得到的17Gbps左右的數(shù)據(jù)也許更切合實(shí)際地體現(xiàn)了現(xiàn)實(shí)環(huán)境中的性能。值得一提的是，這里用到的混合流量樣本與《Network World》的測試專欄作家Joel Snyder在2008年測試Palo Alto的PA-4020時(shí)采用的流量模型完全一樣。在那次測試中，PA-4020的最大處理能力大約為1.6Gbps，而該產(chǎn)品的標(biāo)稱值為2.0Gbps。

與其他大多數(shù)安全設(shè)備一樣，如果啟用了各項(xiàng)UTM功能，比如反間諜軟件、反病毒和IPS等功能，PA-5060的性能就會(huì)明顯下降。我們使用之前的流量模型再次進(jìn)行測試，發(fā)現(xiàn)處理能力從17Gbps降至5.3Gbps-5.4Gbps左右。好消息是，不管啟用多少UTM功能，設(shè)備的性能都能保持穩(wěn)定。也就是說，不管PA-5060單獨(dú)啟用反間諜軟件、反病毒、IPS，還是同時(shí)打開這些功能的任意組合，都不會(huì)影響性能。

提高性能的一個(gè)方法是禁用服務(wù)器響應(yīng)檢測功能，也就是不對(duì)服務(wù)器到客戶機(jī)的流量進(jìn)行檢查。禁用該功能使得速度提升了近兩倍，達(dá)到13.7Gbps。當(dāng)PA-5060位于數(shù)據(jù)中心或其他服務(wù)器集群前面時(shí)，這個(gè)功能會(huì)有一定的意義。而通過部署產(chǎn)品來保護(hù)內(nèi)網(wǎng)終端的的企業(yè)網(wǎng)絡(luò)管理人員想必會(huì)啟用服務(wù)器響應(yīng)檢測功能，這也是PA-5060的默認(rèn)設(shè)置。

SSL加密是計(jì)算密集型任務(wù)。哪怕用到專門的芯片來進(jìn)行處理，PA-5060也與其他幾乎所有高端防火墻一樣，處理SSL流量時(shí)的性能大幅下降。在每一項(xiàng)測試中，該產(chǎn)品轉(zhuǎn)發(fā)SSL流量的速度一般在7.5Gbps~7.6Gbps左右。我們最初猜想造成這種情況的原因可能是測試設(shè)備存在性能瓶頸，但是在無設(shè)備接入時(shí)對(duì)Avalanche進(jìn)行自環(huán)測試時(shí)發(fā)現(xiàn)，測試儀的SSL極限性能穩(wěn)定在8.6Gbps左右，快于PA-5060，因此測試儀性能不是瓶頸。

除了單純開啟防火墻，PA-5060在其他配置下對(duì)SSL流量的處理能力都高于處理明文流量時(shí)的速度，這表明該產(chǎn)品在默認(rèn)情況下對(duì)SSL流量所做的檢查不太全面。Palo Alto的工程師們也證實(shí)了這一點(diǎn)，PA-5060在這種情況下只是將Avalanche生成的流量歸為“SSL”類流量，沒有再做進(jìn)一步的檢查。該產(chǎn)品也確實(shí)可以對(duì)SSL流量進(jìn)行解密后再執(zhí)行更深層的檢查，但該特性也帶來了很大的性能開銷。當(dāng)PA-5060僅開啟防火墻及SSL流量卸載功能時(shí)，處理能力下降到986Mbps；而所有UTM功能啟用后，速度進(jìn)一步降至區(qū)區(qū)108Mbps。這兩個(gè)數(shù)字與我們?cè)诿魑牧髁繙y試時(shí)看到的17Gbps相差甚遠(yuǎn)，也遠(yuǎn)低于在沒執(zhí)行SSL卸載操作時(shí)的7.5Gbps。如果網(wǎng)絡(luò)管理人員需要以更快的速度對(duì)SSL流量進(jìn)行解密，應(yīng)該考慮專用的硬件設(shè)備，比如Netronome及其他廠商的產(chǎn)品。

測試靜態(tài)流量

在之前的測試中，混合了大小不一的文本、圖像和二進(jìn)制內(nèi)容的測試流量讓我們有機(jī)會(huì)去模擬許多企業(yè)用戶的應(yīng)用場景，但絕不適用于所有的情況。靜態(tài)流量測試則讓我們達(dá)到了另一個(gè)目的，那就是考察PA-5060在處理平均和大型Web對(duì)象時(shí)的最大性能。

不出意外，在僅啟用防火墻、使用512KB對(duì)象進(jìn)行測試時(shí)，PA-5060交出了最漂亮的答卷，其處理能力接近18.7Gbps。換成平均大小的10KB對(duì)象樣本，速度則略降為16.3Gbps左右。打開UTM功能后，我們得到的結(jié)果有很大下降，這與使用混合流量測試時(shí)的情況類似。同樣地，不管我們單獨(dú)啟用反間諜軟件、反病毒、IPS還是它們的任意組合，得到的性能數(shù)值都基本一致。PA-5060傳輸512KB對(duì)象時(shí)的速度（6.2Gbps~6.3Gbps）快于傳輸10KB對(duì)象（約5.2Gbps），不過1Gbps左右的落差小于單獨(dú)開啟防火墻時(shí)的性能差距。

換用SSL流量后，PA-5060的處理能力也有所降低，并且大多數(shù)情況下512KB對(duì)象時(shí)的性能（10.5Gbps~11Gbps）要低于10KB時(shí)的性能（約8.8Gbps）。這個(gè)結(jié)果在預(yù)料之中，因?yàn)楦嗟淖止?jié)意味著防火墻的加解密引擎要處理更多的工作。同樣地，不管我們啟用或禁用哪些UTM功能，PA-5060處理SSL流量時(shí)的速度也大致相同。這意味著，該產(chǎn)品將思博倫通信的Avalanche測試儀發(fā)出的流量歸為“SSL”分類后，未做任何進(jìn)一步的檢查。如果打開SSL流量卸載功能，進(jìn)行更深入的安全檢查，速度更會(huì)降低至100Mbps左右。我們?cè)跍y試中使用的是開銷較小的RC4-MD5加密算法，若采用AES256-SHA1這樣比較強(qiáng)的加密算法，性能有可能會(huì)更低。

TCP連接處理能力

使用混合流量與靜態(tài)流量測得的防火墻性能非常關(guān)鍵，但它們并不是唯一重要的指標(biāo)。我們還進(jìn)行了另外的測試：確定PA-5060能夠處理的最大并發(fā)連接數(shù)及每秒最大HTTP新建連接數(shù)（邊建邊拆）。

在最大并發(fā)連接數(shù)測試中，我們對(duì)思博倫通信的 Avalanche測試儀進(jìn)行了配置，讓每條現(xiàn)有的連接每60秒生成一個(gè)新的HTTP請(qǐng)求，從而不斷增加連接數(shù)量。PA-5060正確無誤處理的最大并發(fā)連接數(shù)量是3620979條，盡管這已經(jīng)是個(gè)龐大數(shù)字，但還是低于該產(chǎn)品額定400萬條的標(biāo)稱值。測試完畢后，Palo Alto表示在我們測試的軟件版本中發(fā)現(xiàn)了一個(gè)缺陷，隨后發(fā)布的新版本可以讓PA-5060達(dá)到400萬條的最大并發(fā)連接，但我們沒有進(jìn)行驗(yàn)證。

在相關(guān)測試中，我們還考察了該產(chǎn)品建立和拆除連接的最大速度。這回思博倫通信Avalanche測試儀的配置改用HTTP版本1.0，迫使每個(gè)HTTP請(qǐng)求建立一條新的TCP連接。PA-5060在使用全部四個(gè)萬兆以太網(wǎng)接口的情況下，每秒可以正確無誤地處理44120條連接。而僅使用兩個(gè)接口和Palo Alto較早的軟件版本時(shí)，我們觀察到的每秒新建連接數(shù)接近47000條。這已經(jīng)是很高的數(shù)據(jù)，足以滿足絕大多數(shù)企業(yè)用戶的需要。

雖然PA-5060的性能仍有待改進(jìn)，其總體結(jié)果還是讓我們頗受鼓舞。它的性能已經(jīng)比之前測試過的PA-4020快了許多，且仍然是市面上少數(shù)幾款真正具有應(yīng)用層檢測功能的產(chǎn)品之一。如果能進(jìn)一步優(yōu)化UTM性能和SSL卸載能力，PA-5060也許能一勞永逸地解決安全與性能不可兼得的難題。

測試點(diǎn)評(píng)

Palo Alto為NGFW提供了范本

做為業(yè)內(nèi)第一家扛起NGFW大旗的廠商，Palo Alto的一舉一動(dòng)都吸引著全行業(yè)的關(guān)注。某種程度上，該公司產(chǎn)品的表現(xiàn)也直接影響著業(yè)界對(duì)NGFW概念的信心。美國同行顯然對(duì)此頗為關(guān)注，先后測試了該公司推出的兩款產(chǎn)品，都給出了不錯(cuò)的評(píng)價(jià)。雖然還有一些問題亟待解決，但NGFW作為一種新生的產(chǎn)品形態(tài)來說，非常值得期待。

PA-5060的測試結(jié)果中有幾點(diǎn)值得注意，首先，開啟應(yīng)用識(shí)別對(duì)性能無任何影響，比較令人滿意。但反過來看，我們認(rèn)為這也是NGFW產(chǎn)品的底線。如果僅開啟應(yīng)用識(shí)別就會(huì)造成防火墻性能的下降，更多的安全業(yè)務(wù)只會(huì)成為系統(tǒng)的包袱，讓NGFW變成更多功能堆砌的UTM。其次，雖然開啟更多安全業(yè)務(wù)仍會(huì)導(dǎo)致處理能力下降，卻不會(huì)產(chǎn)生過大的性能落差，使設(shè)備失去可用性。如果部署在數(shù)據(jù)中心的出口，開啟IPS對(duì)流入的流量進(jìn)行檢測，性能衰減則只有1/3左右。此時(shí)，PA-5060超過10Gbps的處理能力顯得游刃有余。

SSL的問題貌似嚴(yán)重些，PA-5060在測試中開啟SSL卸載及所有安全功能時(shí)，對(duì)SSL流量的處理能力僅有百兆。我們?yōu)榇嗽诰幾g本文時(shí)向Palo Alto進(jìn)行了咨詢，該公司聲稱造成此問題的原因是測試工具引發(fā)了一個(gè)系統(tǒng)層面的異常，現(xiàn)已在新版本（PAN-OS 4.0.4）中進(jìn)行了修正。如果重復(fù)之前的測試，無論是單純開啟SSL卸載，還是同時(shí)打開所有安全功能，都可以保證1.2Gbps的處理能力。不過，我們并不認(rèn)為用戶會(huì)特別看重這個(gè)數(shù)值，畢竟在云時(shí)代，許多用戶從業(yè)務(wù)私密性的角度考慮，也不會(huì)允許SSL流量在基礎(chǔ)架構(gòu)層面被解密。（文/韓勖）