关于防火墙并发连接数研究.docVIP

关于防火墙并发连接数研究 　　摘要： 随着计算机网络技术的日新月异，现代企业对于信息网络的依赖越来越大，防火墙作为重要的网络设备，承接着企业对外数据传输和企业数据安全的重任，其容量、速度、稳定性制约了工作效率的提高。着重对网络防火墙的并发连接数展开分析，并从一个具有600台工作站的设计企业的实际应用，谈企业防火墙的并发连接数指标和改善企业网络状况。 　　关键词： 计算机；防火墙；并发连接数 　　中图分类号：TP3文献标识码：A文章编号：1671－7597（2011）0110160－01 　　 　　并发连接数是衡量防火墙性能的一个重要指标。在目前市面上，有支持20个用户左右的低端设备，标称为1000个左右并发连接的产品；也有支持大型企业，达到数十万并发连接数的产品。这些设备，存在着好几个数量级的差异。 　　那么，什么是并发连接数？本文所说的并发连接数，是指防火墙能够同时处理的点对点连接的最大数目，它反映出防火墙设备对多个连接的访问控制能力和连接状态跟踪能力，这个参数的大小直接影响到防火墙所能支持的最大信息点数。尤其是当前互联网的P2P下载应用广泛的时候，网络连接数的概念显得尤为重要。 　　用通俗的理解，当一个用户访问一个的网站时，他就至少占用一个连接。有时候，根据程序的不同，一个用户也可能占用多个连接数。根据实际的使用量，可以产生的连接数，来决定防火墙产品。 　　通常，企业需要一定数量的下载资源，这个时候，需求的并发连接数当然越高越好，微软的操作系统在Windows XP（SP2）下设置了TCP连接数的最高限制为256，也有人通过破解后可以提升至2000个。这对于当前流行的P2P下载方式来说，具有很大的推动作用。这就说明，单一PC可以同时产生的连接数可以以百位数计，对于600个网络节点，所产生的连接数是比较庞大的。 　　1 并发连接数的科学计算 　　以每个用户平均需要30个并发连接来计算，以笔者所在的企业（600 　　个信息点，容纳5个C类地址空间）大概需要30×600，即18000个并发连接，因此支持18000～20000最大并发连接的防火墙设备便可以满足需求；大型的企事业单位网络（比如信息点数在1000～10000之间）大概会需要30000个以上的并发连接，所以支持更大的并发连接的防火墙就可以满足企业的实际需要；而对于大型电信运营商和ISP来说，电信级的千兆防火墙则是恰当的选择。 　　采用合适的防火墙设备，要注意的是根据实际的需要，量力而行。近几年来，随着防火墙技术的发展，尤其是国内防火墙生产厂商技术的提高，防火墙已经逐渐向性能更高更强的方向发展。但是，如果企业的需求较低，而采用高端的防火墙设备，势必将造成用户投资的浪费。同样。为较高需求的客户，采用低端设备则无法达到预计的性能指标。利用并发连接数指标来选择适当的防火墙产品，可以帮助企业快速、准确的定位所需要的产品，避免对单一参数的盲目追求，节省企业的开支。 　　2 并发连接数和其他系统参数的关系 　　1）并发连接数和系统内存资源的关系。像路由器的路由表，用来存放路由信息一样，防火墙里也有一个存放连接信息的表，称之为并发连接表，是防火墙用以存放并发连接信息的地方。它可在防火墙系统启动后动态分配进程的内存空间，其大小也就是防火墙所能支持的最大并发连接数。 　　大的并发连接表可以增大防火墙最大并发连接数，允许防火墙支持更多的客户终端。尽管看上去，防火墙等类似产品的并发连接数似乎是越大越好。但是与此同时，过大的并发连接表也需要较大的内存空间的支持： 　　以每个并发连接表项占用300比特计算，笔者所在的企业，如果达到20000个并发连接将占用300B×20000×8bit/Byte≈48Mb内存空间，20万个并发连接将占用480Mb内存空间，100万个并发连接数就接近300Mb的内存空间。产品标称的连接数越大，所需要的内存空间就越大，而且这仅仅是并发连接表所占的内存空间，实际应用中，还有防火墙策略以及涉及到的路由转发等需要的内存空间，将大大超出很多产品的标称值。 　　2）并发连接数和中央处理器CPU的关系。也有人认为，对火墙来讲重要的是每秒新建会话数以及每秒的处理数据包数。这就涉及到防火墙的CPU。大多数国内的百兆级防火墙，基本都是X86架构的，为节约成本，CPU通常处理能力有限，如果连接数过多，势必增加数据转发的延迟。在实际的应用中，笔者发现，当并发连接数增加了，总的吞吐量就会相应的下降。当设置的策略多一点，防火墙达到最大的并发连接数的时候，性能本来就不是很强的产品，会产生缓慢甚至CPU占用100%死机的现象。所以，CPU的处理能力也是需要考虑的一个方面，现在很多防火墙可以查看CPU的占用信息，我们在实际应用中会发现，网络阻塞的时候，如果不顾CP