防火牆的併發連線數(轉)
併發連線數是指防火牆或代理伺服器對其業務資訊流的處理能力,是防火牆能夠同時處理的點對點連線的最大數目,它反映出防火牆裝置對多個連線的訪問控制能力和連線狀態跟蹤能力,這個引數的大小直接影響到防火牆所能支援的最大資訊點數。
併發連線數是衡量防火牆效能的一個重要指標。在目前市面上常見防火牆裝置的說明書中大家可以看到,從低端裝置的500、1000個併發連線,一直到高階裝置的數萬、數十萬併發連線,存在著好幾個數量級的差異。那麼,併發連線數究竟是一個什麼概念呢?它的大小會對使用者的日常使用產生什麼影響呢?要了解併發連線數,首先需要明白一個概念,那就是“會話”。這個“會話”可不是我們平時的談話,但是可以用平時的談話來理解,兩個人在談話時,你一句,我一句,一問一答,我們把它稱為一次對話,或者叫會話。同樣,在我們用電腦工作時,開啟的一個視窗或一個Web頁面,我們也可以把它叫做一個“會話”,擴充套件到一個區域網裡面,所有使用者要透過防火牆上網,要開啟很多個視窗或Web頁面發(即會話),那麼,這個防火牆,所能處理的最大會話數量,就是“併發連線數”。
像路由器的路由表存放路由資訊一樣,防火牆裡也有一個這樣的表,我們把它叫做併發連線表,是防火牆用以存放併發連線資訊的地方,它可在防火牆系統啟動後動態分配程式的記憶體空間,其大小也就是防火牆所能支援的最大併發連線數。大的併發連線表可以增大防火牆最大併發連線數,允許防火牆支援更多的客戶終端。儘管看上去,防火牆等類似產品的併發連線數似乎是越大越好。但是與此同時,過大的併發連線表也會帶來一定的負面影響:
1.併發連線數的增大意味著對系統記憶體資源的消耗
以每個併發連線表項佔用300B計算,1000個併發連線將佔用300B×1000×8bit/B≈2.3Mb記憶體空間,10000個併發連線將佔用 23Mb記憶體空間,100000個併發連線將佔用230Mb記憶體空間,而如果真的試圖實現1000000個併發連線的話那麼,這個產品就需要提供 2.24Gb記憶體空間!
2.併發連線數的增大應當充分考慮CPU的處理能力
CPU的主要任務是把網路上的流量從一個網段儘可能快速地轉發到另外一個網段上,並且在轉發過程中對此流量按照一定的訪問控制策略進行許可檢查、流量統計和訪問審計等操作,這都要求防火牆對併發連線表中的相應表項進行不斷的更新讀寫操作。如果不顧CPU的實際處理能力而貿然增大系統的併發連線表,勢必影響防火牆對連線請求的處理延遲,造成某些連線超時,讓更多的連線報文被重發,進而導致更多的連線超時,最後形成雪崩效應,致使整個防火牆系統崩潰。
3.物理鏈路的實際承載能力將嚴重影響防火牆發揮出其對海量併發連線的處理能力
雖然目前很多防火牆都提供了10/100/1000Mbps的網路介面,但是,由於防火牆通常都部署在Internet出口處,在客戶端PC與目的資源中間的路徑上,總是存在著瓶頸鍊路——該瓶頸鍊路可能是2Mbps專線,也可能是512Kbps乃至64Kbps的低速鏈路。這些擁擠的低速鏈路根本無法承載太多的併發連線,所以即便是防火牆能夠支援大規模的併發訪問連線,也無法發揮出其原有的效能。
有鑑於此,我們應當根據網路環境的具體情況和個人不同的上網習慣來選擇適當規模的併發連線表。因為不同規模的網路會產生大小不同的併發連線,而使用者習慣於何種網路服務以及如何使用這些服務,同樣也會產生不同的併發連線需求。高併發連線數的防火牆裝置通常需要客戶投資更多的裝置,這是因為併發連線數的增大牽扯到資料結構、CPU、記憶體、系統匯流排和網路介面等多方面因素。如何在合理的裝置投資和實際上所能提供的效能之間尋找一個黃金平衡點將是使用者選擇產品的一個重要任務。按照併發連線數來衡量方案的合理性是一個值得推薦的辦法。
以每個使用者需要10.5個併發連線來計算,一箇中小型企業網路(1000個資訊點以下,容納4個C類地址空間)大概需要10.5×1000=10500個併發連線,因此支援20000~30000最大併發連線的防火牆裝置便可以滿足需求;大型的企事業單位網路(比如資訊點數在1000~10000之間)大概會需要105000個併發連線,所以支援100000~120000最大併發連線的防火牆就可以滿足企業的實際需要; 而對於大型電信運營商和ISP來說,電信級的千兆防火牆(支援120000~200000個併發連線)則是恰當的選擇。為較低需求而採用高階的防火牆裝置將造成使用者投資的浪費,同樣為較高的客戶需求而採用低端裝置將無法達到預計的效能指標。利用網路整體上的併發連線需求來選擇適當的防火牆產品可以幫助使用者快速、準確的定位所需要的產品,避免對單純某一引數“愈大愈好”的盲目追求,縮短設計施工週期,節省企業的開支。從而為企業實施最合理的安全保護方案。
來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/10752019/viewspace-955463/,如需轉載,請註明出處,否則將追究法律責任。
相關文章
- SQLNET.EXPIRE_TIME引數—之防火牆短連線SQL防火牆
- UDP Hole Puching技術:穿透防火牆建立UDP連線(轉)UDP穿透防火牆
- 如何配置MTS以穿越防火牆連線oracle防火牆Oracle
- 如何穿過防火牆連線資料庫防火牆資料庫
- 全面分析防火牆及防火牆的滲透(轉)防火牆
- 單機併發連線數研究
- 防火牆入侵於檢測——————3、思科 PIX 防火牆和 ASA 防火牆產品線防火牆
- 詳解IIS最大併發連線數
- nginx如何限制併發連線請求數?Nginx
- Linux檢視埠併發連線數Linux
- Apache提供併發連線請求數量Apache
- nginx 限制使用者併發連線數Nginx
- Linux下檢視Nginx的併發連線數和連線狀態LinuxNginx
- Linux配置支援高併發TCP連線(socket最大連線數)LinuxTCP
- 什麼是併發連線數和請求數
- PLSQL連線不了資料庫(防火牆,埠原因導致)SQL資料庫防火牆
- 選用單防火牆DMZ還是雙防火牆DMZ(轉)防火牆
- 限制單個IP併發TCP連線的方法(轉)TCP
- 什麼是防火牆?防火牆能發揮什麼樣的作用?防火牆
- Win7系統防火牆阻止遠端桌面連線怎麼辦?Win7系統防火牆阻止了遠端桌面連線的解決方法Win7防火牆
- linux系統併發連線數檢視Linux
- Juniper防火牆簡介(轉)防火牆
- 防火牆介紹(1)(轉)防火牆
- 防火牆介紹(2)(轉)防火牆
- 動態 iptables 防火牆(轉)防火牆
- NAT iptables防火牆(script)(轉)防火牆
- 防火牆埠(下)(轉載)防火牆
- 防火牆埠(中)(轉載)防火牆
- 防火牆埠(上)(轉載)防火牆
- 八種防火牆產品評測(企業級防火牆)(轉)防火牆
- 開源的firewall(防火牆) SINUS (轉)防火牆
- 淺析Windows防火牆的缺陷(轉)Windows防火牆
- WAb防火牆與傳統防火牆防火牆
- FreeBSD防火牆技術(轉)防火牆
- 深入淺出談防火牆(轉)防火牆
- 動態iptables防火牆dynfw(轉)防火牆
- 輕輕鬆鬆穿透防火牆(轉)穿透防火牆
- 配置基於ADSL的防火牆(轉)防火牆