Palo Alto PA-5060:瑕不掩瑜

Palo Alto PA-5060:瑕不掩瑜
作者：暂无
来源：《计算机世界》 2012年第16期
如果能进一步优化UTM 性能和SSL 卸载能力，PA-5060 也许能一劳永逸地解决安全与性能不可兼得的难题。

沈建苗编译
据我们的独家测试表明，PaloAlto 新款防火墙的性能比2008 年测试的前一代产品快了10 倍。

在纯防火墙模式下，其速度接近20Gbps 这一额定速度。

当然，如何兼顾安全与性能始终
是个问题。

拿PA-5060来说，这完全取决于你开启和关闭了哪些功能。

Palo Alto 的“应用识别”功能曾让防火墙市场为之一震。

我们发现，这个下一代特性并不会带来额外的性能开销。

并且，PA-5060 在默认情况下就开启了这一功能。

另一方面，启用UTM（编者注：本文中的“UTM”是实现多种安全功能的代称，并非产品的市场包装定义）功能后的速度与防火墙标称的20Gbps 最大速度相差甚远，这方面非常值得注意。

PA-5060 在纯
防火墙模式下运行时，一旦启用了任何UTM 功能，性能就将大幅下降。

不过，不管我们启用哪些UTM功能（入侵预防、反间谍软件、反病毒或这些功能的任意组合），都会得到一样的性能结果，就好像我们只启用了其中一项功能。

也就是说，除了最初速度明显下降外，更多的安全业务不会带来额外的性能开销。

SSL 是个例外，该产品处理SSL 流量时，速度有所下降。

开启SSL 流量卸载特性后，该系统的四个万兆以太网接口的传输速度仅比快速以太网强一点。

这个结果在预料之中，因为所有安全设备在处理SSL 流量时，速度都会降下来。

如果在此基础上启用UTM 功能，我们发现性能下降的幅度还要大上许多。

总的来说，Palo Alto 的PA-5060 是款性能强大的产品。

令人稍感遗憾的是，虽然它提供了许多独特的应用检查功能，在安全与性能的平衡问题上却仍有待完善。

如何测试Palo Alto PA-5060
我们使用了三组测试模型来评估Palo Alto PA-5060 的性能，分别为混合流量、静态流
量及TCP 连接处理能力。

在所有测试中，该产品未受保护的接口上启用了静态NAT，并加载了200 多条访问控制规则。

两对思博伦通信的Avalanche3100 GT 充当了主要的测试工具，它们
各自配备了两个万兆以太网接口。

进行转发速度方面的测试时，我们对PA-5060 的四个万兆以太网接口进行了独立配置，为不同的子网充当网关。

与此对应的，Avalanche 测试仪模拟了200 个客户机和40 台服务器，分布在这四个子网中。

进行混合流量测试时，我们使用了与《Network World》上一次测试Palo Alto PA-4020
防火墙时同样的HTTP 对象类型与大小组合。

对象类型包括文本、图像及其他二进制内容（如PDF 文件），对象大小从1KB 到1536KB 不等，都通过HTTP 来请求。

最后，我们还在RC4-MD5 加密算法建立的SSL 隧道环境下，再次对所有测试项进行考察。

静态流量测试也使用了HTTP 和SSL 隧道，但样本改为10KB 和512KB 的文本对象。

我们之所以选择10KB 对象，是因为它接近我们分析许多Web 日志时看到的对象大小的平均值；使用512KB对象测试，则意味着能够得到很高的转发速度。

为了确定TCP 最大并发连接数，我们使用思博伦通信的Avalanche模拟的客户机，每60 秒钟请求一个对象，从而不断增加连接数量。

最终取得的数值是在无连接失败前提下的最大数量。

而每秒新建连接数的测试，则需在Avalanche 配置中启用HTTP 1.0，迫使每个HTTP 请求
都使用新的TCP 连接。

我们使用二分法，找到了防火墙在60 秒钟内没有任何失败处理时的最
大速度。

混合流量：比上代快10 倍
转发速度是我们测试中的主要评估指标。

我们使用了混合流量和静态流量，去测试设备在
不同功能配置下的处理能力。

得到的结果清楚地表明，最多能配置四个万兆以太网接口的PA-5060 的运行速度比Palo Alto 之前发布的型号至少快了10 倍。

在混合流量测试中，PA-5060只启用防火墙功能时，其处理能力达到17Gbps 左右。

该数值比官方标称的20Gbps 处理能力低一些，这也不足为奇，因为厂商产品规格表上的数字通常是
在最佳测试环境下获得的，比如一次又一次地请求单个庞大的对象。

相比之下，我们所用的测
试流量混合了大小不一的文本、图像和二进制内容，这正是企业网络中常见的Web 流量模型，
所以得到的17Gbps 左右的数据也许更切合实际地体现了现实环境中的性能。

值得一提的是，
这里用到的混合流量样本与《Network World》的测试专栏作家Joel Snyder 在2008年测试Palo Alto 的PA-4020 时采用的流量模型完全一样。

在那次测试中，PA-4020 的最大处理能力
大约为1.6Gbps，而该产品的标称值为2.0Gbps。

与其他大多数安全设备一样，如果启用了各项UTM 功能，比如反间谍软件、反病毒和IPS 等功能，PA-5060 的性能就会明显下降。

我们使用之前的流量模型再次进行测试，发现处理能
力从17Gbps 降至5.3Gbps-5.4Gbps 左右。

好消息是，不管启用多少UTM 功能，设备的性能都
能保持稳定。

也就是说，不管PA-5060 单独启用反间谍软件、反病毒、IPS，还是同时打开这
些功能的任意组合，都不会影响性能。

提高性能的一个方法是禁用服务器响应检测功能，也就是不对服务器到客户机的流量进行
检查。

禁用该功能使得速度提升了近两倍，达到13.7Gbps。

当PA-5060 位于数据中心或其他服务器集群前面时，这个功能会有一定的意义。

而通过部署产品来保护内网终端的的企业网络管
理人员想必会启用服务器响应检测功能，这也是PA-5060 的默认设置。

SSL 加密是计算密集型任务。

哪怕用到专门的芯片来进行处理，PA-5060 也与其他几乎所
有高端防火墙一样，处理SSL 流量时的性能大幅下降。

在每一项测试中，该产品转发SSL 流
量的速度一般在7.5Gbps~7.6Gbps 左右。

我们最初猜想造成这种情况的原因可能是测试设备存
在性能瓶颈，但是在无设备接入时对Avalanche 进行自环测试时发现，测试仪的SSL 极限性能稳定在8.6Gbps 左右，快于PA-5060，因此测试仪性能不是瓶颈。

除了单纯开启防火墙，PA-5060 在其他配置下对SSL 流量的处理能力都高于处理明文流量
时的速度，这表明该产品在默认情况下对SSL 流量所做的检查不太全面。

Palo Alto 的工程师
们也证实了这一点，PA-5060 在这种情况下只是将Avalanche 生成的流量归为“SSL”类流量，没有再做进一步的检查。

该产品也确实可以对SSL 流量进行解密后再执行更深层的检查，但该特性也带来了很大的
性能开销。

当PA-5060 仅开启防火墙及SSL流量卸载功能时，处理能力下降到986Mbps；而所
有UTM 功能启用后，速度进一步降至区区108Mbps。

这两个数字与我们在明文流量测试时看到的17Gbps 相差甚远，也远低于在没执行SSL 卸
载操作时的7.5Gbps。

如果网络管理人员需要以更快的速度对SSL 流量进行解密，应该考虑专
用的硬件设备，比如Netronome 及其他厂商的产品。

测试静态流量
在之前的测试中，混合了大小不一的文本、图像和二进制内容的测试流量让我们有机会去
模拟许多企业用户的应用场景，但绝不适用于所有的情况。

静态流量测试则让我们达到了另一
个目的，那就是考察PA-5060 在处理平均和大型Web对象时的最大性能。

不出意外，在仅启用防火墙、使用512KB 对象进行测试时，PA-5060 交出了最漂亮的答卷，其处理能力接近18.7Gbps。

换成平均大小的10KB 对象样本，速度则略降为16.3Gbps 左右。

打开UTM 功能后，我们得到的结果有很大下降，这与使用混合流量测试时的情况类似。

同样地，不管我们单独启用反间谍软件、反病毒、IPS 还是它们的任意组合，得到的性能数值都基本一致。

PA-5060 传输512KB 对象时的速度（6.2Gbps~6.3Gbps）快于传输10KB 对象（约
5.2Gbps），不过1Gbps 左右的落差小于单独开启防火墙时的性能差距。

换用SSL 流量后，PA-5060的处理能力也有所降低，并且大多数情况下512KB 对象时的
性能（10.5Gbps~11Gbps）要低于10KB时的性能（约8.8Gbps）。

这个结果在预料之中，因为
更多的字节意味着防火墙的加解密引擎要处理更多的工作。

同样地，不管我们启用或禁用哪些UTM 功能，PA-5060处理SSL 流量时的速度也大致相同。

这意味着，该产品将思博伦通信的Avalanche 测试仪发出的流量归为“SSL”分类后，未
做任何进一步的检查。

如果打开SSL 流量卸载功能，进行更深入的安全检查，速度更会降低至100Mbps 左右。

我们在测试中使用的是开销较小的RC4-MD5 加密算法，若采用AES256-SHA1
这样比较强的加密算法，性能有可能会更低。

TCP 连接处理能力
使用混合流量与静态流量测得的防火墙性能非常关键，但它们并不是唯一重要的指标。

我
们还进行了另外的测试：确定PA-5060 能够处理的最大并发连接数及每秒最大HTTP 新建连接
数（边建边拆）。

在最大并发连接数测试中，我们对思博伦通信的 Avalanche 测试仪进行了配置，让每条现有的连接每60 秒生成一个新的HTTP 请求，从而不断增加连接数量。

PA-5060正确无误处理的
最大并发连接数量是3620979 条，尽管这已经是个庞大数字，但还是低于该产品额定400 万
条的标称值。

测试完毕后，Palo Alto 表示在我们测试的软件版本中发现了一个缺陷，随后发
布的新版本可以让PA-5060 达到400 万条的最大并发连接，但我们没有进行验证。

在相关测试中，我们还考察了该产品建立和拆除连接的最大速度。

这回思博伦通信Avalanche 测试仪的配置改用HTTP 版本1.0，迫使每个HTTP 请求建立一条新的TCP 连接。

PA-5060 在使用全部四个万兆以太网接口的情况下，每秒可以正确无误地处理44120 条连接。

而仅使用两个接口和Palo Alto 较早的软件版本时，我们观察到的每秒新建连接数接近47000 条。

这已经是很高的数据，足以满足绝大多数企业用户的需要。

虽然PA-5060 的性能仍有待改进，其总体结果还是让我们颇受鼓舞。

它的性能已经比之前
测试过的PA-4020 快了许多，且仍然是市面上少数几款真正具有应用层检测功能的产品之一。

如果能进一步优化UTM 性能和SSL 卸载能力，PA-5060 也许能一劳永逸地解决安全与性能不可兼得的难题。

测试点评 Palo Alto 为NGFW 提供了范本
做为业内第一家扛起NGFW 大旗的厂商，Palo Alto 的一举一动都吸引着全行业的关注。

某种程度上，该公司产品的表现也直接影响着业界对NGFW 概念的信心。

美国同行显然对此颇
为关注，先后测试了该公司推出的两款产品，都给出了不错的评价。

虽然还有一些问题亟待解决，但NGFW 作为一种新生的产品形态来说，非常值得期待。

PA-5060 的测试结果中有几点值得注意，首先，开启应用识别对性能无任何影响，比较令
人满意。

但反过来看，我们认为这也是NGFW 产品的底线。

如果仅开启应用识别就会造成防火
墙性能的下降，更多的安全业务只会成为系统的包袱，让NGFW 变成更多功能堆砌的UTM。

其次，虽然开启更多安全业务仍会导致处理能力下降，却不会产生过大的性能落差，使设备失去可用性。

如果部署在数据中心的出口，开启IPS 对流入的流量进行检测，性能衰减则只有1/3左右。

此时，PA-5060 超过10Gbps的处理能力显得游刃有余。

SSL 的问题貌似严重些，PA-5060 在测试中开启SSL 卸载及所有安全功能时，对SSL 流量的处理能力仅有百兆。

我们为此在编译本文时向Palo Alto 进行了咨询，该公司声称造成此问
题的原因是测试工具引发了一个系统层面的异常，现已在新版本（PAN-OS 4.0.4）中进行了修正。

如果重复之前的测试，无论是单纯开启SSL 卸载，还是同时打开所有安全功能，都可以保
证1.2Gbps 的处理能力。

不过，我们并不认为用户会特别看重这个数值，毕竟在云时代，许多
用户从业务私密性的角度考虑，也不会允许SSL 流量在基础架构层面被解密。

（文/ 韩勖）。