性能：再攀高峰

    虽然G5150的性能看点在于AV应用处理模块和新加入的IPS功能组件，我们还是依照RFC 2544和RFC 3511规范，先对单纯开启防火墙时的系统性能做了考察。按惯例，测试分别在1条全通策略与199条阻断/1条全通策略的配置下进行。由于测试仪端口数的限制，在进行吞吐、延迟测试时只使用了4对千兆口发起双向线速流量。1条全通策略时， G5150的64Byte帧吞吐量超过2Gbps，此时延迟仅为7.2微秒；当帧长大于256Byte时，系统吞吐量就能够达到8Gbps线速，延迟最大时也低于30微秒。而在HTTP性能测试中， G5150每秒HTTP新建连接数高达104272TPS，并可同时维持400万个连接。即便加载200条策略，设备依旧可以保持原有性能，各项指标都没有明显变化。

    为了尽量模拟真实环境，防火墙在随后的测试中都保持加载200条策略的状态，带着业务进行测试。G5150集成的IPS模块基于多种协议，截至测试时最新版的特征库共包含了3187条规则。我们开启了针对双向流量的入侵防御功能，使用思博伦通信提供的Avalanche2900应用层性能测试仪模拟真实用户，生成不同类型的HTTP流量，考察此时系统的性能。G5150在这部分有着相当漂亮的表现，实测得的HTTP可用带宽高达3031Mbps。我们分析，IPS、上网行为管理与防病毒模块应该共享同一个协议分析引擎，这也是做到高性能的唯一途径。

    性能再次提升的奥秘来自于型号为FEC-AV-60的AV应用处理模块，它要占去两个扩展槽的空间。只要在G5150上安装好这个模块，病毒过滤功能就将自动切换到扩展卡上完成。为模拟更真实的负载流量，我们将Avalanche2900模拟的客户端行为改为使用HTTP下载一个1MB大小的EXE文件，此时测得的HTTP最大可用带宽为2125Mbps，这个成绩已经超越了去年同期测试的高端产品SA-5050。另一方面，当带宽稳定在最高值时，处理器占用率一直在40%左右抖动。也就是说，系统平台还有资源处理病毒过滤之外的业务。我们在此基础上打开了IPS模块进行验证，HTTP最大可用带宽维持在2106Mbps，与之前只开启病毒过滤和防火墙时基本一致。由此可见，AV应用处理模块的意义更多地在于提升平台的综合性能，而不仅仅是增加病毒过滤处理能力那么简单。