帕洛阿尔托pa - 5060是一个快速的防火墙

帕洛阿尔托的新防火墙性能比当快10倍我们测试了2008年,接近其额定容量firewall-only 20 gbps的模式,根据我们的独家明确的选择测试。

当然,总会有一个权衡安全和性能。在帕洛阿尔托的pa - 5060的情况下,这一切都取决于你打开或关闭。

帕洛阿尔托动摇了防火墙市场以其“应用程序知道”功能,我们发现这个下一代能力并没有性能损失。pa - 5060是默认应用程序层检查。

另一方面,这是一个相当大的警告UTM率接近设备的规定20 gbps的极限。与任何UTM功能启用性能远远低于pa - 5060飞机时firewall-only模式。

不管我们启用哪些功能,入侵预防反间谍软件,杀毒,或者这些操作的组合,结果在本质上是一样的,如果我们打开只有一个这样的功能。简单地说,没有额外的性能成本,超出了最初的利率急剧下降,对多种类型的交通检查分层。

设备处理SSL通信时利率也有所下降。解密SSL通信时,该系统的四个10 g以太网接口跑速度,使快速以太网爱好者微笑。

这是可以预料到的。所有安全设备减速处理SSL通信时,我们看到更大的下降,在百分比,当启用UTM的特性。

总而言之,我们描述了pa - 5060作为一个称职的演员。虽然它提供了许多独特的application-inspection功能,但它并不完全的多年生security-vs问题。性能折衷。

网络指标

转发率是我们测试的主要指标。我们使用混合和静态HTTP负载来衡量利率在不同配置,以及单独的测试来评估SSL通信的性能。我们也验证了pa - 5060的TCP连接能力和连接设置。

转发率测试清楚地显示,pa - 5060,可配备四10-Gbit / s接口,运行之前至少10倍帕洛阿尔托模型。

在测试涉及大量网络流量的内容类型和对象大小、pa - 5060移动数据在17 gbps当配置为一个防火墙。

这有点下系统的20 gbps的额定容量,这并不是完全出人意料的获得这些数据手册数据通常使用一个大型对象等最佳条件要求。

相反,我们使用的交通负载相关的文本、图片和各种大小的二进制内容,就出现在了网络流量的企业网络。17 gbps率我们看到在测试中可能是一个更有意义的生产网络的预测性能。

混合交通负载提供这是相同的足球竞猜app软件网络世界Joel Snyder在他2008年的使用回顾帕洛阿尔托的pa - 4020防火墙。测试中,pa - 4020年达到最高约1.6 Gbps(与额定功率的2.0 Gbps)。

UTM的性能损失

与大多数其他安全设备,利率大幅下降,如果各种UTM函数,如反间谍软件、防病毒和入侵预防功能,启用。再次使用相同的混合网络负载,我们看到从17 gbps利率下降到5.3克或5.4 gbps。

好消息是,利率保持稳定,不管UTM函数使用的数量。所以,不管pa - 5060反间谍软件,防病毒、入侵预防,或者这些操作的组合。

提升转发率是禁用的一种方式服务器反应检查,检查交通流从服务器到客户端。禁用这个特性使得利率近三倍,到13.7 gbps。该设置主要是有用的数据中心防火墙时坐在前面,或其他服务器农场。2020欧洲杯预赛企业网络管理人员部署防火墙来保护客户会想保持服务器检查启用(这是默认设置)。

减速带:SSL处理

SSL加密是计算密集型的。即使有专用硅任务,pa - 5060,和几乎所有其他高端防火墙,远较慢的表演者在处理SSL交通。

pa - 5060一般移动流量约为7.5克到7.6 gbps在每一个测试用例。我们最初怀疑几乎相同的利率是由一些限制在我们的测试装置。但思博伦则雪崩的背靠背测试设备没有pa - 5060行移动交通在8.6 gbps,速度比防火墙。所以测试装置不是瓶颈。(看到我们的测试方法)。

利率SSL交通是明文高于交通,除了firewall-only测试用例。这表明pa - 5060是默认检查SSL流量少。帕洛阿尔托的工程师确认,但只对特定的交通由思博伦则产生雪崩;在这种情况下,pa - 5060简单分类交通类型“SSL”并没有进一步检查。帕洛阿尔托说有情况下,pa - 5060可以检测某些攻击隐藏在SSL流量,但我们没有试图验证这种说法。

pa - 5060是否支持SSL的解密交通深入检查,但这功能有沉重的性能成本。在SSL解密时,利率下降到986 mbps的pa - 5060作为防火墙时,启用了UTM所有功能的108 mbps。

这两个数字有很长的路要走17-Gbps利率我们看到的明文测试,甚至7.5 gbps利率在SSL测试没有解密。如果需要高速解密SSL,网络管理人员可以考虑来自Netronome等专用设备和其他供应商。

静态对象处理

一个混合对象的交通负载大小提供了一个近似的企业网站流量的样子,但它肯定不是适用于所有情况。与固定物体尺寸我们也进行了单独的测试:一个10-kbyte对象,因为这是接近物体的平均尺寸中观察到许多研究的网络日志,和另一个与512 -千字节对象,因为这大尺寸最好描述最大防火墙。

当然,没有生产网络进行网络流量,每个请求10或512 -千字节对象,但是建模一些所谓的“现实世界”的条件并不是这里的目标。测试与静态对象大小有一个简单的目标:描述防火墙的局限性表现在处理平均和大型网络对象。

毫不奇怪,最快的pa - 5060转单结果,将近18.7 gbps,在测试配置为防火墙和面对512 -千字节对象。平均10-kbyte对象,利率是有点慢,约16.3 gbps。

启用UTM特性产生类似的结果与mixed-object负载:利率大大低于firewall-only测试,但非常一致的不管反间谍软件、防病毒和入侵预防我们使用。在这里,pa - 5060移动大对象的速度比正常的对象我们UTM功能启用后,虽然以较小的优势比firewall-only测试。UTM功能打开,pa - 5060移动大对象只有1 gbps的速度(大约6.2克到6.3 gbps)比一般的对象(约5.2 gbps)。

pa - 5060也SSL流量低利率静态对象涉及时,尤其是在测试和大对象。这是一个预期的结果,因为更多的字节意味着更多的工作设备的加密引擎。在大多数SSL测试用例,率约10.5 g 11 gbps与一般的对象和大对象约8.8 gbps。

同时,SSL的流量率大约在同一无论我们启用或禁用防火墙特性。如mixed-object测试,pa - 5060没有尝试任何进一步检验分类后思博伦则交通SSL。

解密SSL交通携带沉重的性能成本,甚至高于mixed-object测试。启用了SSL解密,利率跌至100 mbps,当我们向pa - 5060大型对象。,我们使用了弱RC4-MD5密码;如果有的话,价格可能会更低AES256-SHA1等更强的密码。

TCP连接测试

而交通利率无疑是有用的描述防火墙的性能,他们不是唯一指标。我们也进行了单独的测试,以确定有多少并发连接的pa - 5060可以处理,以及如何快速建立和拆除这些连接。

在TCP连接能力的测试中,我们思博伦则雪崩先后建立更大的连接配置项通过现有的连接使一个新的HTTP请求每60秒。最大的pa - 5060处理的并发连接数是3620979没有错误。尽管360万年是一个巨大的数字,但它还不到400万年的设备的额定容量。测试结束后,帕洛阿尔托表示,它已经发现了一个错误在我们测试的软件版本,并通过媒体发布计划发布时间允许防火墙处理400万个并发连接。我们没有测试新软件。

在一个相关的测试中,我们还研究了防火墙的最大速率将建立和拆除新连接。这里,我们思博伦则雪崩配置为使用HTTP 1.0版本,迫使每个HTTP请求建立一个新的TCP连接。处理这个负载时,pa - 5060每秒处理44120个连接错误当使用设备的10 g以太网接口的所有四个。在测试中涉及两个接口和帕罗奥图的一个早期版本的软件,我们观察到无错率每秒近47000的连接。要么率非常高,可能会超过足够的对于大多数企业用户。

虽然还有改进的余地pa - 5060的性能,尤其是当它涉及到设备性能和SSL加密,我们鼓励这些结果。pa - 5060已经远远快于pa - 4020测试之前,它仍然是为数不多的与真正的应用程序层防火墙检查功能。UTM和SSL性能的优化,它可能废除一劳永逸的安全/性能的权衡。

谢谢

足球竞猜app软件思博伦则通信网络世界感激地承认了援助,提供其思博伦则雪崩3100 GT交通电器的这个项目。思博伦则是米歇尔·莱茵杰夫•布朗格伦科里Jr .)和克里斯·查普曼也提供工程支持。

纽曼是网络世界的一员实验室联盟和网络测试的总统,一个足球竞猜app软件独立的测试实验室和工程咨询服务。他可以达成的dnewman@networktest.com。