另一方面,防火墙的重要指标——并发连接数并发连接数是指防火墙或代理服务器对业务信息流的处理能力是防火墙可以同时处理的点对点连接数的最大值,也就是防火墙该参数的大小直接影响防火墙所能支持的最大信息点数。
并发连接数是衡量防火墙性能的重要指标。 在目前市面上常见的防火墙设备说明书中,可以看到从低端设备的500,1000个同时连接到高端设备的数万,数十万个同时连接,存在着几个数量级的差异。
那么,并发连接数是什么概念呢? 其大小对用户的日常使用有什么影响呢?
要理解并发连接数,首先需要理解概念。 那是“会话”。 这个“对话”不是我们平时的对话,但平时的对话可以理解。 两个人对话的时候,你听一句话,我听一句话,一问一答,我们把它叫做对话,或者叫对话。 同样,当我们在电脑上工作时,打开的一个窗口或一个网页,我们可以把它称为一个“会话”,扩展到一个局域网中。 所有用户都必须通过防火墙连接到internet,当打开和发送许多窗口和网页(即,会话)时,此防火墙可以处理的最大会话数为“并发连接数”
1.1并发连接表在防火墙上也有这样的表,以便路由器的路由表存储路由信息。 这被称为并发连接表,是防火墙存储同时连接信息的地方。 防火墙系统启动后可以动态分配进程的内存空间,其大小为防火墙可以支持的最大并发连接数。
大型并发连接表增加了防火墙的最大并发连接数,从而使防火墙能够支持更多的客户机终端。 防火墙等类似产品的同时连接数似乎越大越好。 但是,同时过大的同时连接表会带来以下不良影响。
1 .同时连接数的增加意味着系统存储器资源的消耗
按每个并发连接表项300B计算,1000个并发连接占用300B10008bit/B2.3Mb的内存空间,10000个并发连接占用23Mb的内存空间,以及11000个并发连接如果你想真正实现
2 .并发连接数的增加必须充分考虑CPU的处理能力
CPU的主要任务是尽可能快地将网络上的流量从一个网段传输到另一个网段。 此外,在传输过程中还会根据一定的访问控制策略对此流量执行授权检查、流量统计信息、访问审计等操作。 这需要防火墙不断更新并发连接表中相应的表条目以进行读写。
如果无视CPU的实际处理能力而盲目增大系统的同时连接表,会影响防火墙处理连接请求的延迟,导致一个连接超时,重发更多连接消息,更多连接超时,最终导致雪雪
3 .物理链路的实际负载能力严重影响防火墙对大量并发连接的处理能力
目前,许多防火墙提供10/100/1000Mbps的网络接口,但防火墙通常位于互联网的出口,因此客户端PC和目标资源之间的路径始终存在瓶颈瓶颈链路可以是2Mbps专用线路,也可以是512Kbps至64Kbps的低速链路。
这些拥塞的低速链路无法提供太多的并发连接,因此即使防火墙可以支持大型并发访问连接,也无法提供原始性能。
因此,我们必须根据网络环境的具体情况和个人的不同网络习惯选择合适规模的同时连接表。 由于并发连接的大小因网络规模而异,因此并发连接的需求也因用户熟悉什么样的网络服务和使用方式而异。
并发连接数较多的防火墙设备通常涉及多种因素,如数据结构、CPU、内存、系统总线和网络接口,因此需要投资更多的设备。 在合理的资本投资和实际可提供的性能之间取得平衡是用户选择产品的重要课题。 推荐的方法是根据并发连接数测量方案的合理性。
1.2同时连接估计公式计算为每个用户需要10.5个同时连接。
由于一个中小企业网络(1000个信息点以下,路灯的4个c类地址空间)需要大约10.51000=10500个同时连接,因此支持20000~30000个最大同时连接的防火墙设备的大型企事业单位网络(例如信息点数在1000~10000之间)需要约105000的同时连接,因此支持100000~120000的最大同时连接的防火墙能够满足企业的实际需要。 对于大型电信运营商和ISP,支持120000~200000并行连接的通信级千兆位防火墙是合适的。 由于需求低而采用高端防火墙设备会浪费用户投资,由于客户需求高而采用低端设备将无法达到预期的性能指标。 利用全网络的并发连接需求选择合适的防火墙产品,有助于用户快速准确地确定所需产品,避免盲目追求简单参数“越大越好”,缩短设计施工周期,节约企业费用因此…
企业实施最合理的安全保护方案。在利用并发连接数指标选择防火墙产品的同时,产品的综合性能、厂家的研发力量、资金实力、企业的商业信誉和经营风险以及产品线的技术支持和售后服务体系等都应当纳入采购者的视野,将多方面的因素结合起来进行综合考虑,切不可盲目的听信某些厂家广告宣传中的大并发连接的宣传,要根据自己业务系统、企业规模、发展空间和自身实力等因素多方面考虑。
二. 防火墙的关键指标 - 吞吐量 网络中的数据是由一个个数据包组成,防火墙对每个数据包的处理要耗费资源。
吞吐量是指:在不丢包的情况下单位时间内通过防火墙的数据包数量。
随着Internet的日益普及,内部网用户访问Internet的需求在不断增加,一些企业也需要对外提供诸如 WWW 页面浏览、FTP文件传输、DNS域名解析等服务,这些因素会导致网络流量的急剧增加,而防火墙作为内外网之间的唯一数据通道,如果吞吐量太小,就会成为网络瓶颈,给整个网络的传输效率带来负面影响。
因此,考察防火墙的吞吐能力有助于我们更好的评价其性能表现。这也是测量防火墙性能的重要指标。
吞吐量的大小主要由防火墙内网卡,及程序算法的效率决定,尤其是程序算法,会使防火墙系统进行大量运算,通信量大打折扣。因此,大多数防火墙虽号称 100M 防火墙,由于其算法依靠软件实现,通信量远远没有达到100M,实际只有10M-20 M。纯硬件防火墙,由于采用硬件进行运算,因此吞吐量可以达到线性90-95M,是真正的100M防火墙。
对于中小型企业来讲,选择吞吐量为百兆级的防火墙即可满足需要,而对于电信、金融、保险等大公司大企业部门就需要采用吞吐量千兆级的防火墙产品。