分享

关于Panabit这个产品在这里不多做介绍，详情请参见陈老师之前的文章或官方网站。

我们实验室一直在用免费的Panabit标准版，效果非常好，目前来看也很稳定。一台破旧的联想台式机，ce2.1、845D北桥、512MB内存加3块20块钱的螃蟹8139，从安装至今一个多月没出过问题，也没重启过。接入前用Avalanche跑了个HTTP新建，大概是3500TPS的样子（1Byte Payload，1T=1C）。实际部署后设定了一些策略，截止目前还没有发现什么功能上的问题。我必须承认自己太喜欢Panabit的WebUI了，这是我见过的国内产品中UI设计的最合理最漂亮的。虽然没有设置向导和在线帮助，但我保证大多数接触他的管理员在10分钟内就能自己掌握配置方法。后者是个没法量化的指标，但国内很多厂商的WebUI做的实在是太糙了，以至于让Panabit显得出色。这个话题在这不发挥，有机会，厂商们配合的话，我非常想做一次安全产品UI人性化、合理性与美观度的横向对比测试。某些国外大厂就不用来了，强烈鄙视一切不提供中文UI的歧视行为。感谢Panabit的开发者老毛今天亲自帮忙升级到最新版本，新增加的URL Filter是很多用户都要用到的功能。

对于标榜高性能的Panabit专业版，我是很期待的，老毛甚至说过可以用它为x86正名。所以一个多月前我们就联合进行过测试，但并没能取得所有性能成绩。先简单回顾一下当时的数据。

　　DUT配置：

• 硬件部分：新汉1088N8。具体配置：CPU-Intel E6600（2.4G，单路双核），桥片-3210，内存-DDR2 667 2GB，网卡-82571（4x1000Base-T模块）
• 软件部分：Panabit V9.03，发布日期2009/03/24。在WebUI中将4个电口配成两组桥，对流经数据进行应用层流量检测，一条全部允许的策略。

以下是用Spirent TestCenter按RFC2544测得的吞吐延迟结果。可以看到64字节小包吞吐量已经超过2GB，pps也超过300万，而此时的最大延迟仅为781微秒。256-1518字节的吞吐肯量都超过4GB，抖动也小了很多。总体看来，Panabit的2-3层性能是非常出色的，放在x86防火墙里也是数一数二的了（和我测过的、1u规格的产品相比）。当然，国内厂商现在也没有用x86做千兆高端防火墙的了吧，用x86去和XLR732或者CN56、58比吞吐延迟就太不公平了。

当时只有一对Avalanche2500，自环的HTTP新建极限也就是50000TPS的样子。Panabit放在中间时的表现就好像一根网线，结果和自环没什么两样。图中偶然一次响应时间的抖动，也不好说是DUT造成还是Avalanche自己的问题。因为从没见过x86平台设备（哪怕是防火墙）达到这种性能，我仔细检查了DUT上的Log和连接信息表，确认了几次才证明实施过程无误。事后问了不少国内厂商做研发的朋友，大概了解到目前国内x86平台的防火墙新建也不全都能达到这个水平。虽然这次DUT的CPU配置比了解到的平台都高，但Panabit只使用了双核中的一颗进行业务处理。所以这个成绩，对我来说已经是洗脑了。而且从图中响应时间保持为0来看，Panabit的真实性能应该远超50000TPS。

于是今天我动用了Avalanche2900来测Panabit的HTTP新建，DUT还是上次那台设备。由于某些原因，我只能使用3对千兆口进行测试。按2900规格表中125000TPS的最大HTTP新建来看，3对口的新建肯定能超过9万。实际测试结果又和上次类似，HTTP新建稳定在90000TPS左右，也没有看到响应时间因为队列拥塞而线性上升。很遗憾，当时有点激动，忘记截图了。老毛倒是很淡定，他的态度是这个平台下的HTTP新建15万保底、20万争取。如果到了30万，才算接近理论值。我想，没测出来的成绩就先不要谈了，但，一个应用层流控产品（还是单路双核x86平台，1个核处理业务）的HTTP新建都接近10万了，是不是值得安全厂商做预研的兄弟好好思考下？目前已知国内1u规格安全产品中HTTP新建最高的应该是基于XLR732的华赛USG5000吧，我们兄弟媒体网络世界测得的数据是20万+TPS。但那个数据也只是单纯防火墙的性能而已。

我承诺老毛近期一定会安排第三次测试。超过12万5，咱就加第二台Avalanche2900；要真破了25万，咱就整3台来，倒要看一看Panabit加单路双核x86平台能达到什么样的HTTP新建性能。无论如何，现在得到的所有结果已经能证明Panabit的优秀（至少在我看来，和测试过的同类规格的产品对比），以至于让我开始写出一些不符合客观中立原则的文字。实际上我还非常想测一下，如果Panabit拿掉流控模块，改为普通状态检测防火墙，又是一个什么样的性能结果呢？

Panabit之后是龙芯2F防火墙板的参考设计，龙芯技术服务中心出品。这块板子做的不错，相比他们以前龙芯2E防火墙板更接近“产品”而不是“科研成果”。得益于龙芯2F的高集成度，板子设计显得非常简单，大体上就是一颗800MHz的龙芯2F处理器、一条DDR2 533 512MB内存和4个82551。据说这个板子成本很低，在与低端x86平台的PK中总有切入点。

测试时软件软件暂时没找全，参考板上只用64位的2.6.18内核+iptable搭了一个NAPT的网关。今天手头没有2-3层测试仪，简单用Avalanche测了下HTTP新建，大约在5000TPS左右。相比去年测试过的龙芯2E防火墙，这个成绩大约提升了40%。我推测，这个平台经过优化后的HTTP新建性能应该还能有50%左右的提升。结合对方提供的百兆双向30%左右的吞吐性能（64字节）判断，此平台做百兆防火墙产品完全没有问题。所以我个人认为，在目前越发收紧的信息安全产品采购规则（等级保护之类）的约束下，龙芯肯定会从行业开始渗透。据说曙光的龙芯防火墙最近卖得不错，也许就是个证明吧。

时间所限，关于Panabit和龙芯2F防火墙参考设计的实现思路、技术特点、产品分析等内容将另行撰文介绍。要记录下今天一天的测试过程纯属冲动，不过确实很久没有遇到如此有价值的内容了。能长见识，或者学到新东西，这样的测试才会让人充满激情，甚至是一种欲望。另外，发掘有价值的内容本身就是媒体的责任，有义务尽最大努力和尽量多的人分享。如果你也有类似产品，也愿意通过这种形式分享，请联系我。

最近经常看到媒体、咨询公司以及这院那部发表的关于国内信息安全产业现状与未来的文章，总有不爽的感觉。一个字，空。有些文章纯从投入营收数据来分析，好歹也有几分道理；有些文字牵强附会的离谱，逻辑可比时下流行的“废品价格止跌推断经济复苏论”。我对这个行业的看法，大部分是消极的，因为这里到处充满躁动、盲目以及过度重商轻研的情绪；也有小部分积极的感觉，则来源于Panabit、龙芯等企业机构不忘苦修内功的冷静与务实。相信不久的将来，浮华褪去，用户消费观念趋于理智，就是他们大放异彩的时刻。

去年测Ubicom的产品时，同事说的一段话令我印象深刻，大意是美国半导体行业强盛不衰，主要推动因素不是Intel、AMD，而是大量类似Ubicom这种具有独特思路和产品的小公司。所谓星星之火可以燎原，我想国内安全行业的创造与发展也应该由千千万万的Panabit和龙芯去推动，而不应过分依赖于天融信或启明星辰。

作为媒体从业者，我更力挺他们。

分享