Chinaunix

标题: 防火墙的关键指标并发连接数指的是什么？－选择防火墙必读！ [打印本页]

作者: ITMGT 时间: 2004-12-30 07:39
标题: 防火墙的关键指标并发连接数指的是什么？－选择防火墙必读！
并发连接数是指防火墙或代理服务器对其业务信息流的处理能力，是防火墙能够同时处理的点对点连接的最大数目，它反映出防火墙设备对多个连接的访问控制能力和连接状态跟踪能力，这个参数的大小直接影响到防火墙所能支持的最大信息点数。

并发连接数是衡量防火墙性能的一个重要指标。在目前市面上常见防火墙设备的说明书中大家可以看到，从低端设备的500、1000个并发连接，一直到高端设备的数万、数十万并发连接，存在着好几个数量级的差异。那么，并发连接数究竟是一个什么概念呢？它的大小会对用户的日常使用产生什么影响呢？要了解并发连接数，首先需要明白一个概念，那就是“会话”。这个“会话”可不是我们平时的谈话，但是可以用平时的谈话来理解，两个人在谈话时，你一句，我一句，一问一答，我们把它称为一次对话，或者叫会话。同样，在我们用电脑工作时，打开的一个窗口或一个Web页面，我们也可以把它叫做一个“会话”，扩展到一个局域网里面，所有用户要通过防火墙上网，要打开很多个窗口或Web页面发（即会话），那么，这个防火墙，所能处理的最大会话数量，就是“并发连接数”。
像路由器的路由表存放路由信息一样，防火墙里也有一个这样的表，我们把它叫做并发连接表，是防火墙用以存放并发连接信息的地方，它可在防火墙系统启动后动态分配进程的内存空间，其大小也就是防火墙所能支持的最大并发连接数。大的并发连接表可以增大防火墙最大并发连接数，允许防火墙支持更多的客户终端。尽管看上去，防火墙等类似产品的并发连接数似乎是越大越好。但是与此同时，过大的并发连接表也会带来一定的负面影响：
1.并发连接数的增大意味着对系统内存资源的消耗
以每个并发连接表项占用300B计算，1000个并发连接将占用300B×1000×8bit/B≈2.3Mb内存空间，10000个并发连接将占用23Mb内存空间，100000个并发连接将占用230Mb内存空间，而如果真的试图实现1000000个并发连接的话那么，这个产品就需要提供2.24Gb内存空间！
2.并发连接数的增大应当充分考虑CPU的处理能力
CPU的主要任务是把网络上的流量从一个网段尽可能快速地转发到另外一个网段上，并且在转发过程中对此流量按照一定的访问控制策略进行许可检查、流量统计和访问审计等操作，这都要求防火墙对并发连接表中的相应表项进行不断的更新读写操作。如果不顾CPU的实际处理能力而贸然增大系统的并发连接表，势必影响防火墙对连接请求的处理延迟，造成某些连接超时，让更多的连接报文被重发，进而导致更多的连接超时，最后形成雪崩效应，致使整个防火墙系统崩溃。
3.物理链路的实际承载能力将严重影响防火墙发挥出其对海量并发连接的处理能力
虽然目前很多防火墙都提供了10/100/1000Mbps的网络接口，但是，由于防火墙通常都部署在Internet出口处，在客户端PC与目的资源中间的路径上，总是存在着瓶颈链路——该瓶颈链路可能是2Mbps专线，也可能是512Kbps乃至64Kbps的低速链路。这些拥挤的低速链路根本无法承载太多的并发连接，所以即便是防火墙能够支持大规模的并发访问连接，也无法发挥出其原有的性能。
有鉴于此，我们应当根据网络环境的具体情况和个人不同的上网习惯来选择适当规模的并发连接表。因为不同规模的网络会产生大小不同的并发连接，而用户习惯于何种网络服务以及如何使用这些服务，同样也会产生不同的并发连接需求。高并发连接数的防火墙设备通常需要客户投资更多的设备，这是因为并发连接数的增大牵扯到数据结构、CPU、内存、系统总线和网络接口等多方面因素。如何在合理的设备投资和实际上所能提供的性能之间寻找一个黄金平衡点将是用户选择产品的一个重要任务。按照并发连接数来衡量方案的合理性是一个值得推荐的办法。
以每个用户需要10.5个并发连接来计算，一个中小型企业网络（1000个信息点以下，容纳4个C类地址空间）大概需要10.5×1000=10500个并发连接，因此支持20000～30000最大并发连接的防火墙设备便可以满足需求；大型的企事业单位网络（比如信息点数在1000～10000之间）大概会需要105000个并发连接，所以支持100000～120000最大并发连接的防火墙就可以满足企业的实际需要; 而对于大型电信运营商和ISP来说，电信级的千兆防火墙（支持120000～200000个并发连接）则是恰当的选择。为较低需求而采用高端的防火墙设备将造成用户投资的浪费，同样为较高的客户需求而采用低端设备将无法达到预计的性能指标。利用网络整体上的并发连接需求来选择适当的防火墙产品可以帮助用户快速、准确的定位所需要的产品，避免对单纯某一参数“愈大愈好”的盲目追求，缩短设计施工周期，节省企业的开支。从而为企业实施最合理的安全保护方案。

在利用并发连接数指标选择防火墙产品的同时，产品的综合性能、厂家的研发力量、资金实力、企业的商业信誉和经营风险以及产品线的技术支持和售后服务体系等都应当纳入采购者的视野，将多方面的因素结合起来进行综合考虑，切不可盲目的听信某些厂家广告宣传中的大并发连接的宣传，要根据自己业务系统、企业规模、发展空间和自身实力等因素多方面考虑。

相关文章：防火墙的关键指标 - 吞吐量
　　　　http://www.itmgt.com.cn/netanalysis/fwdq.htm

本文引自：ITMGT.COM.CN

[/url]

作者: 天下第二 时间: 2004-12-31 09:49
标题: 防火墙的关键指标并发连接数指的是什么？－选择防火墙必读！
不错不错，真正的有借鉴意义的文章

作者: zysno1 时间: 2005-02-25 10:01
标题: 防火墙的关键指标并发连接数指的是什么？－选择防火墙必读！
请问如何能够测试一个硬件防火墙的最大并发连接数呢？有没有什么软件？

作者: cnadl 时间: 2005-02-27 08:58
标题: 防火墙的关键指标并发连接数指的是什么？－选择防火墙必读！
哼哼，要论并发连接，还是咱们国产防火墙最高。

作者: kdxcne 时间: 2005-02-27 20:26
标题: 防火墙的关键指标并发连接数指的是什么？－选择防火墙必读！
打开的一个窗口或一个Web页面,就是一个会话吗????
有没有较理论的解释??

作者: cxkdl11 时间: 2005-03-02 17:52
标题: 防火墙的关键指标并发连接数指的是什么？－选择防火墙必读！
bt，多少连接都不够用！

作者: config t 时间: 2005-03-02 20:03
标题: 防火墙的关键指标并发连接数指的是什么？－选择防火墙必读！
[quote]原帖由 "cnadl"]哼哼，要论并发连接，还是咱们国产防火墙最高。[/quote 发表：

这会兄弟说得经典..

道出潜规则

作者: Jambo 时间: 2005-03-04 22:49
标题: 防火墙的关键指标并发连接数指的是什么？－选择防火墙必读！

原帖由 "kdxcne" 发表：
打开的一个窗口或一个Web页面,就是一个会话吗????
有没有较理论的解释??

和OS或者Server的一次请求、响应了。

不知你指的是何种“较理论的解释”？？

作者: 60133056 时间: 2005-03-06 02:19
标题: 防火墙的关键指标并发连接数指的是什么？－选择防火墙必读！
厉害

作者: mirnshi 时间: 2005-03-06 22:17
标题: 防火墙的关键指标并发连接数指的是什么？－选择防火墙必读！
误人子弟的文章！

作者: Jambo 时间: 2005-03-08 17:39
标题: 防火墙的关键指标并发连接数指的是什么？－选择防火墙必读！
[quote]原帖由 "mirnshi"]误人子弟的文章！[/quote 发表：

从何说起呢？

作者: sunbeat 时间: 2005-03-17 16:16
标题: 防火墙的关键指标并发连接数指的是什么？－选择防火墙必读！
并发连接是TCP/UDP的连接，不是应用的连接
我实际测试的话，如果只开一个IE窗口的话，一般得6个连接。
在多开窗口的话，不是线性增加，总的连接数在8个连接左右。

作者: jetwins 时间: 2005-03-18 10:34
标题: 防火墙的关键指标并发连接数指的是什么？－选择防火墙必读！
我觉得并发连接数并不能代表一个防火墙产品的性能，他甚至可以人为简单更改个配置文件就能达到这一目的。
这些指标用smartbits就可以测

作者: ilovetxwb 时间: 2005-03-19 19:54
标题: 防火墙的关键指标并发连接数指的是什么？－选择防火墙必读！
不知道楼主的每个连接是300B怎么得出来

作者: bon 时间: 2005-03-21 22:07
标题: 防火墙的关键指标并发连接数指的是什么？－选择防火墙必读！
[quote]原帖由 "mirnshi"]误人子弟的文章！[/quote 发表：
同意

作者: 星记 时间: 2005-03-22 09:45
提示: 作者被禁止或删除内容自动屏蔽

作者: fragrant 时间: 2005-03-23 10:59
提示: 作者被禁止或删除内容自动屏蔽

作者: fire-phoenix 时间: 2005-04-04 20:51
标题: 防火墙的关键指标并发连接数指的是什么？－选择防火墙必读！
学习。谢谢！

作者: qdinfo 时间: 2005-04-08 23:33
标题: 防火墙的关键指标并发连接数指的是什么？－选择防火墙必读！
严重关注!

作者: heyi2008 时间: 2005-04-09 17:54
标题: 防火墙的关键指标并发连接数指的是什么？－选择防火墙必读！
分析中.......

作者: rockryan 时间: 2005-04-14 08:48
标题: 防火墙的关键指标并发连接数指的是什么？－选择防火墙必读！
[quote]原帖由 "ilovetxwb"]不知道楼主的每个连接是300B怎么得出来[/quote 发表：

他说的是表项目
占用的空间
因为要做安全项目,刚测过几款墙,有x86的 NP 的,还有纯RISC的
感觉最重要的指标是不丢包情况下的性能指标.
现在好多厂家指标高得很!什么2000M 4000M啊之类的,完全是在1024以上的大包上测出来的,呵呵，没有实际意义。

作者: Jobs.AE@ 时间: 2005-06-27 11:16
标题: 防火墙的关键指标并发连接数指的是什么？－选择防火墙必读！
嗯，分析的很务实，不过似乎还是停留在应用层面，对本质的理解并不是很清楚。

其实并发连接数正如楼主所说，就是一个防火墙能够同时维护的点对点的连接最大数目。而从实现层面，他至少是一个表，根据各个厂商实现不同，可以划分为多个表，这里楼主就有一个地方描述的不科学，就是假设一个连接需要300B的内存资源，其实不可能需要这么多的。另外其实所谓的并发连接表不应该叫这个名字，而应该叫做“连接表”，或者根据实现叫做“状态表”，因为并发与否与表无关，表只负责记录连接信息，包括维护状态，连接特征等等，并发是指这个表里同时存在的表项，因此并发连接数的大小直接影响到内存的使用量。

状态表作为一个庞大的而且需要经常检索的表，其查找性能是至关重要的，因此一般实现时都会采用Hash表，根据连接特征信息计算Hash值，然后进行查表。使用Hash就难免会发生冲突，这样在Hash冲突时就要进行冲突处理，顺着链表一层一层查下去，直到找到要找的或者确认没有。Hash表一般是个静态的数组，始终占用内存，这样就会无端的浪费内存资源，因此一般将状态表用链表实现，而链表的地址存放在一个很小的Hash数组中，这样只有在建立连接后才会分配内存建立状态表，避免了资源的浪费。至于状态表的内容，我可以负责任的说绝对不需要300B！:em11:

防火墙还有很多重要的性能参数，对于用户选择很重要的有吞吐量和新建连接数。吞吐量意味着用户使用防火墙后的带宽能有多少，每秒钟能通过多少流量，这对于用户来说很重要，很多所谓的百兆防火墙实际上只有几十兆甚至几兆的实际吞吐量。而新建连接数就是防火墙每秒钟能够建立的状态表的个数，就是刚才提到的并发连接的那个表，因此这也是个很重要的参数，具体就不赘述了。我认为结合这三个参数才能很好的对防火墙性能作出合理评价。

楼主关于应用方面的分析非常到位！我深表赞同！其实什么东西都是这样，不是最高端的最好，最合适的才是最好，不要单纯追求性能数字，够用的就OK了！

作者: gazali 时间: 2005-07-18 22:59
标题: 防火墙的关键指标并发连接数指的是什么？－选择防火墙必读！
内存都是以MB（Byte）计算的吧？？？怎么会是Mb(bit)呢？请各位指正。

1.并发连接数的增大意味着对系统内存资源的消耗
以每个并发连接表项占用300B计算，1000个并发连接将占用300B×1000×8bit/B≈2.3Mb内存空间，10000个并发连接将占用23Mb内存空间，100000个并发连接将占用230Mb内存空间，而如果真的试图实现1000000个并发连接的话那么，这个产品就需要提供2.24Gb内存空间.

作者: fragrant 时间: 2005-07-21 10:24
提示: 作者被禁止或删除内容自动屏蔽

欢迎光临 Chinaunix (http://bbs.chinaunix.net/)