网络工程规划与设计案例教程项目三_任务四_防火墙并发连接数.doc

“并发连接数”指导防火墙选型? 并发连接数是防火墙最常见的参数，是防火墙、代理服务器等设备的主要性能指标之一。在目前市面上常见防火墙设备的说明书中大家可以看到，从低端设备的500、1000个并发连接，一直到高端设备的数万、数十万并发连接，存在着好几个数量级的差异。那么，并发连接数究竟是一个什么概念呢？它的大小会对用户的日常使用产生什么影响呢？现在，笔者将就这几个问题做一些比较深入的分析与探讨。? 什么是并发连接数? 并发连接数是指防火墙或代理服务器对其业务信息流的处理能力，是防火墙能够同时处理的点对点连接的最大数目，它反映出防火墙设备对多个连接的访问控制能力和连接状态跟踪能力，这个参数的大小直接影响到防火墙所能支持的最大信息点数。? 需要阐明的一点是，“连接”和“点对点连接”并没有局限于狭义的TCP连接（Connection-Oriented）或信息点—信息点通信（Point-Point?Communication），而是泛指IP层或IP层以上各种传输层、会话层和应用层的信息流，所以它同样也包括了UDP会话;?另外，多址广播组的通信同样也被按照多播源（多播组地址）的形态归纳成一个连接进行处理。? 并发连接表中的内容? 并发连接表是防火墙用以存放并发连接信息的地方，它可在防火墙系统启动后动态分配进程的内存空间，其大小也就是防火墙所能支持的最大并发连接数。不同的厂家在各自的防火墙设备中对该数据表有不同的数据结构实现，但从普遍意义上来看，基于状态检测的防火墙并发连接表中每一个表项至少包含以下内容：源IP地址、源端口号、目的IP地址、目的端口号、协议类型、连接状态、流量统计和时间戳信息、NAT转换信息、连接许可信息、身份认证信息和VPN通道相关信息（如果支持VPN的话）。由于表项中容纳了大量的连接信息，因此每个表项可能占用200～400字节的内存空间，这对防火墙系统的整个内存资源来说是一个不容忽视的消耗。? 对系统性能的影响? 大的并发连接表可以增大防火墙最大并发连接数，允许防火墙支持更多的客户终端;?但是与此同时，过大的并发连接表也会带来一定的负面影响：? 大的并发连接表会造成大量内存空间的消耗和浪费；? 在相同的数据结构和检索情况下，大的并发连接表会增大防火墙系统对表项的搜索时间，增大防火墙对报文处理的转发延迟；? 不考虑客户网络客观情况而盲目增大系统并发连接表，会造成表空间继而内存资源的大量闲置浪费；? 由于并发连接表对内存的占用，会造成防火墙系统得不到足够的内存资源。尽管虚拟内存可以解决内存的紧张问题，但它依赖于硬盘与内存之间的数据映射切换，在读写速度上难以与物理真实内存相提并论。? 所受的限制? 尽管看上去，防火墙等类似产品的并发连接数似乎是越大越好。? 并发连接数的增大意味着对系统内存资源的消耗? 以每个并发连接表项占用300B计算，1000个并发连接将占用300B×1000×8bit/B≈2.3Mb内存空间，10000个并发连接将占用23Mb内存空间，100000个并发连接将占用230Mb内存空间，而如果真的试图实现1000000个并发连接的话（有的厂家在其宣传资料中声称其产品可以支持1000000个并发连接），那么，这个产品就需要提供2.24Gb内存空间！真是难以置信。? 并发连接数的增大应当充分考虑CPU的处理能力? CPU的主要任务是把网络上的流量从一个网段尽可能快速地转发到另外一个网段上，并且在转发过程中对此流量按照一定的访问控制策略进行许可检查、流量统计和访问审计等操作，这都要求防火墙对并发连接表中的相应表项进行不断的更新读写操作。如果不顾CPU的实际处理能力而贸然增大系统的并发连接表，势必影响防火墙对连接请求的处理延迟，造成某些连接超时，让更多的连接报文被重发，进而导致更多的连接超时，最后形成雪崩效应，致使整个防火墙系统崩溃。? 物理链路的实际承载能力将严重影响防火墙发挥出其对海量并发连接的处理能力? 虽然目前很多防火墙都提供了10/100/1000Mbps的网络接口，但是，由于防火墙通常都部署在Internet出口处，在客户端PC与目的资源中间的路径上，总是存在着瓶颈链路——该瓶颈链路可能是2Mbps专线，也可能是512Kbps乃至64Kbps的低速链路。这些拥挤的低速链路根本无法承载太多的并发连接，所以即便是防火墙能够支持大规模的并发访问连接，也无法发挥出其原有的性能。? 应用中的并发连接峰值? 有鉴于此，我们应当根据网络环境的具体情况和个人不同的上网习惯来选择适当规模的并发连接表。因为不同规模的网络会产生大小不同的并发连接，而用户习惯于何种网络服务以及如何使用这些服务，同样也会产生不同的并发连接需求。? 下面，我们列举1个常见且典型的网络访问行为，并统计了其所发出的连接数。? WWW访问——测试站点（）