防火墙的关键指标并发连接数指的是什么？－选择防火墙必读！

rockryan

[quote]原帖由 "ilovetxwb"]不知道楼主的每个连接是300B怎么得出来[/quote 发表：


他说的是表项目
占用的空间
因为要做安全项目,刚测过几款墙,有x86的 NP 的,还有纯RISC的
感觉最重要的指标是不丢包情况下的性能指标.
现在好多厂家指标高得很!什么2000M 4000M啊之类的,完全是在1024以上的大包上测出来的,呵呵，没有实际意义。

Jobs.AE@

嗯，分析的很务实，不过似乎还是停留在应用层面，对本质的理解并不是很清楚。

    其实并发连接数正如楼主所说，就是一个防火墙能够同时维护的点对点的连接最大数目。而从实现层面，他至少是一个表，根据各个厂商实现不同，可以划分为多个表，这里楼主就有一个地方描述的不科学，就是假设一个连接需要300B的内存资源，其实不可能需要这么多的。另外其实所谓的并发连接表不应该叫这个名字，而应该叫做“连接表”，或者根据实现叫做“状态表”，因为并发与否与表无关，表只负责记录连接信息，包括维护状态，连接特征等等，并发是指这个表里同时存在的表项，因此并发连接数的大小直接影响到内存的使用量。

    状态表作为一个庞大的而且需要经常检索的表，其查找性能是至关重要的，因此一般实现时都会采用Hash表，根据连接特征信息计算Hash值，然后进行查表。使用Hash就难免会发生冲突，这样在Hash冲突时就要进行冲突处理，顺着链表一层一层查下去，直到找到要找的或者确认没有。Hash表一般是个静态的数组，始终占用内存，这样就会无端的浪费内存资源，因此一般将状态表用链表实现，而链表的地址存放在一个很小的Hash数组中，这样只有在建立连接后才会分配内存建立状态表，避免了资源的浪费。至于状态表的内容，我可以负责任的说绝对不需要300B！:em11:

    防火墙还有很多重要的性能参数，对于用户选择很重要的有吞吐量和新建连接数。吞吐量意味着用户使用防火墙后的带宽能有多少，每秒钟能通过多少流量，这对于用户来说很重要，很多所谓的百兆防火墙实际上只有几十兆甚至几兆的实际吞吐量。而新建连接数就是防火墙每秒钟能够建立的状态表的个数，就是刚才提到的并发连接的那个表，因此这也是个很重要的参数，具体就不赘述了。我认为结合这三个参数才能很好的对防火墙性能作出合理评价。

    楼主关于应用方面的分析非常到位！我深表赞同！其实什么东西都是这样，不是最高端的最好，最合适的才是最好，不要单纯追求性能数字，够用的就OK了！

gazali

内存都是以MB（Byte）计算的吧？？？怎么会是Mb(bit)呢？请各位指正。

1.并发连接数的增大意味着对系统内存资源的消耗
以每个并发连接表项占用300B计算，1000个并发连接将占用300B×1000×8bit/B≈2.3Mb内存空间，10000个并发连接将占用23Mb内存空间，100000个并发连接将占用230Mb内存空间，而如果真的试图实现1000000个并发连接的话那么，这个产品就需要提供2.24Gb内存空间.

fragrant

对于会话数，我觉得是在session层的，连接数是在transport层的。不知道这个并发连接数怎么解释？