出处
http://www.5dmail.net/html/200...017181519.htm 防火墙的关键指标
出处:本站收集于网路 时间:2005年10月17日18:15
并发连接数
并发连接数是指防火墙或代理伺服器对其业务资讯流的处理能力,是防火墙能够同时处理的点对点连接的最大数目,它反映出防火墙设备对多个连接的访问控制能力和连接状态跟踪能力,这个参数的大小直接影响到防火墙所能支援的最大资讯点数。
并发连接数是衡量防火墙性能的一个重要指标。在目前市面上常见防火墙设备的说明书中大家可以看到,从低端设备的500、1000个并发连接,一直到高端设备的数万、数十万并发连接,存在着好几个数量级的差异。那么,并发连接数究竟是一个什么概念呢?它的大小会对用户的日常使用产生什么影响呢?要了解并发连接数,首先需要明白一个概念,那就是“会话”。这个“会话”可不是我们平时的谈话,但是可以用平时的谈话来理解,两个人在谈话时,你一句,我一句,一问一答,我们把它称为一次对话,或者叫会话。同样,在我们用电脑工作时,打开的一个视窗或一个Web页面,我们也可以把它叫做一个“会话”,扩展到一个局域网里面,所有用户要通过防火墙上网,要打开很多个视窗或Web页面发(即会话),那么,这个防火墙,所能处理的最大会话数量,就是“并发连接数”。
像路由器的路由表存放路由资讯一样,防火墙里也有一个这样的表,我们把它叫做并发连接表,是防火墙用以存放并发连接资讯的地方,它可在防火墙系统启动后动态分配进程的记忆体空间,其大小也就是防火墙所能支援的最大并发连接数。大的并发连接表可以增大防火墙最大并发连接数,允许防火墙支援更多的客户终端。尽管看上去,防火墙等类似产品的并发连接数似乎是越大越好。但是与此同时,过大的并发连接表也会带来一定的负面影响:
1.并发连接数的增大意味着对系统记忆体资源的消耗
以每个并发连接表项占用300B计算,1000个并发连接将占用300B×1000×8bit/B≈2.3Mb记忆体空间,10000个并发连接将占用23Mb记忆体空间,100000个并发连接将占用230Mb记忆体空间,而如果真的试图实现1000000个并发连接的话那么,这个产品就需要提供2.24Gb记忆体空间!
2.并发连接数的增大应当充分考虑CPU的处理能力
CPU的主要任务是把网路上的流量从一个网段尽可能快速地转发到另外一个网段上,并且在转发过程中对此流量按照一定的访问控制策略进行许可检查、流量统计和访问审计等操作,这都要求防火墙对并发连接表中的相应表项进行不断的更新读写操作。如果不顾CPU的实际处理能力而贸然增大系统的并发连接表,势必影响防火墙对连接请求的处理延迟,造成某些连接超时,让更多的连接报文被重发,进而导致更多的连接超时,最后形成雪崩效应,致使整个防火墙系统崩溃。
3.物理链路的实际承载能力将严重影响防火墙发挥出其对海量并发连接的处理能力
虽然目前很多防火墙都提供了10/100/1000Mbps的网路介面,但是,由于防火墙通常都部署在Internet出口处,在用户端PC与目的资源中间的路径上,总是存在着瓶颈链路——该瓶颈链路可能是2Mbps专线,也可能是512Kbps乃至64Kbps的低速链路。这些拥挤的低速链路根本无法承载太多的并发连接,所以即便是防火墙能够支持大规模的并发访问连接,也无法发挥出其原有的性能。
有鉴于此,我们应当根据网路环境的具体情况和个人不同的上网习惯来选择适当规模的并发连接表。因为不同规模的网路会产生大小不同的并发连接,而用户习惯于何种网路服务以及如何使用这些服务,同样也会产生不同的并发连接需求。高并发连接数的防火墙设备通常需要客户投资更多的设备,这是因为并发连接数的增大牵扯到资料结构、CPU、记忆体、系统汇流排和网路介面等多方面因素。如何在合理的设备投资和实际上所能提供的性能之间寻找一个黄金平衡点将是用户选择产品的一个重要任务。按照并发连接数来衡量方案的合理性是一个值得推荐的办法。
以每个用户需要10.5个并发连接来计算,一个中小型企业网路(1000个资讯点以下,容纳4个C类位址空间)大概需要10.5×1000=10500个并发连接,因此支持20000~30000最大并发连接的防火墙设备便可以满足需求;大型的企事业单位网路(比如资讯点数在1000~10000之间)大概会需要105000个并发连接,所以支援100000~120000最大并发连接的防火墙就可以满足企业的实际需要; 而对于大型电信运营商和ISP来说,电信级的千兆防火墙(支援120000~200000个并发连接)则是恰当的选择。为较低需求而采用高端的防火墙设备将造成用户投资的浪费,同样为较高的客户需求而采用低端设备将无法达到预计的性能指标。利用网路整体上的并发连接需求来选择适当的防火墙产品可以帮助用户快速、准确的定位所需要的产品,避免对单纯某一参数“愈大愈好”的盲目追求,缩短设计施工周期,节省企业的开支。从而为企业实施最合理的安全保护方案。
在利用并发连接数指标选择防火墙产品的同时,产品的综合性能、厂家的研发力量、资金实力、企业的商业信誉和经营风险以及产品线的技术支援和售后服务体系等都应当纳入采购者的视野,将多方面的因素结合起来进行综合考虑,切不可盲目的听信某些厂家广告宣传中的大并发连接的宣传,要根据自己业务系统、企业规模、发展空间和自身实力等因素多方面考虑。
吞吐量
网路中的资料是由一个个资料包组成,防火墙对每个资料包的处理要耗费资源。吞吐量是指在不丢包的情况下单位时间内通过防火墙的资料包数量。
随着Internet的日益普及,内部网用户访问Internet的需求在不断增加,一些企业也需要对外提供诸如WWW页面流览、FTP档传输、DNS功能变数名称解析等服务,这些因素会导致网路流量的急剧增加,而防火墙作为内外网之间的唯一资料通道,如果吞吐量太小,就会成为网路瓶颈,给整个网路的传输效率带来负面影响。因此,考察防火墙的吞吐能力有助于我们更好的评价其性能表现。这也是测量防火墙性能的重要指标。
吞吐量的大小主要由防火墙内网卡,及程式演算法的效率决定,尤其是程式演算法,会使防火墙系统进行大量运算,通信量大打折扣。因此,大多数防火墙虽号称100M防火墙,由于其演算法依靠软体实现,通信量远远没有达到100M,实际只有10M-20M。纯硬体防火墙,由于采用硬体进行运算,因此吞吐量可以达到线性90-95M,是真正的100M防火墙。
对于中小型企业来讲,选择吞吐量为百兆级的防火墙即可满足需要,而对于电信、金融、保险等大公司大企业部门就需要采用吞吐量千兆级的防火墙产品。
防火墙的简介,有兴趣的看一看。