防火牆技術引數

併發連線數

併發連線數是指防火牆或**伺服器對其業務資訊流的處理能力，是防火牆能夠同時處理的點對點連線的最大數目，它反映出防火牆裝置對多個連線的訪問控制能力和連線狀態跟蹤能力，這個引數的大小直接影響到防火牆所能支援的最大資訊點數。

併發連線數是衡量防火牆效能的乙個重要指標。在目前市面上常見防火牆裝置的說明書中大家可以看到，從低端裝置的500、1000個併發連線，一直到高階裝置的數萬、數十萬併發連線，存在著好幾個數量級的差異。那麼，併發連線數究竟是乙個什麼概念呢？它的大小會對使用者的日常使用產生什麼影響呢？要了解併發連線數，首先需要明白乙個概念，那就是「會話」。這個「會話」可不是我們平時的談話，但是可以用平時的談話來理解，兩個人在談話時，你一句，我一句，一問一答，我們把它稱為一次對話，或者叫會話。同樣，在我們用電腦工作時，開啟的乙個視窗或乙個web頁面，我們也可以把它叫做乙個「會話」，擴充套件到乙個區域網裡面，所有使用者要通過防火牆上網，要開啟很多個視窗或web頁面發（即會話），那麼，這個防火牆，所能處理的最大會話數量，就是「併發連線數」。

像路由器的路由表存放路由資訊一樣，防火牆裡也有乙個這樣的表，我們把它叫做併發連線表，是防火牆用以存放併發連線資訊的地方，它可在防火牆系統啟動後動態分配程序的記憶體空間，其大小也就是防火牆所能支援的最大併發連線數。大的併發連線表可以增大防火牆最大併發連線數，允許防火牆支援更多的客戶終端。儘管看上去，防火牆等類似產品的併發連線數似乎是越大越好。但是與此同時，過大的併發連線表也會帶來一定的負面影響：

併發連線數的增大意味著對系統記憶體資源的消耗

以每個併發連線表項占用300b計算，1000個併發連線將占用300b×1000×8bit/b≈2.3mb記憶體空間，10000個併發連線將占用23mb記憶體空間，100000個併發連線將占用230mb記憶體空間，而如果真的試圖實現1000000個併發連線的話那麼，這個產品就需要提供2.24gb記憶體空間！

併發連線數的增大應當充分考慮cpu的處理能力

cpu的主要任務是把網路上的流量從乙個網段盡可能快速地**到另外乙個網段上，並且在**過程中對此流量按照一定的訪問控制策略進行許可檢查、流量統計和訪問審計等操作，這都要求防火牆對併發連線表中的相應表項進行不斷的更新讀寫操作。如果不顧cpu的實際處理能力而貿然增大系統的併發連線表，勢必影響防火牆對連線請求的處理延遲，造成某些連線超時，讓更多的連線報文被重發，進而導致更多的連線超時，最後形成雪崩效應，致使整個防火牆系統崩潰。

物理鏈路的實際承載能力將嚴重影響防火牆發揮出其對海量併發連線的處理能力

雖然目前很多防火牆都提供了10/100/1000mbps的網路介面，但是，由於防火牆通常都部署在internet出口處，在客戶端pc與目的資源中間的路徑上，總是存在著瓶頸鏈路——該瓶頸鏈路可能是2mbps專線，也可能是512kbps乃至64kbps的低速鏈路。這些擁擠的低速鏈路根本無法承載太多的併發連線，所以即便是防火牆能夠支援大規模的併發訪問連線，也無法發揮出其原有的效能。

有鑑於此，我們應當根據網路環境的具體情況和個人不同的上網習慣來選擇適當規模的併發連線表。因為不同規模的網路會產生大小不同的併發連線，而使用者習慣於何種網路服務以及如何使用這些服務，同樣也會產生不同的併發連線需求。高併發連線數的防火牆裝置通常需要客戶投資更多的裝置，這是因為併發連線數的增大牽扯到資料結構、cpu、記憶體、系統匯流排和網路介面等多方面因素。如何在合理的裝置投資和實際上所能提供的效能之間尋找乙個**平衡點將是使用者選擇產品的乙個重要任務。按照併發連線數來衡量方案的合理性是乙個值得推薦的辦法。

以每個使用者需要10.5個併發連線來計算，乙個中小型企業網路（1000個資訊點以下，容納4個c類位址空間）大概需要10.5×1000=10500個併發連線，因此支援20000～30000最大併發連線的防火牆裝置便可以滿足需求；大型的企事業單位網路（比如資訊點數在1000～10000之間）大概會需要105000個併發連線，所以支援100000～120000最大併發連線的防火牆就可以滿足企業的實際需要;而對於大型電信運營商和isp來說，電信級的千兆防火牆（支援120000～200000個併發連線）則是恰當的選擇。為較低需求而採用高階的防火牆裝置將造成使用者投資的浪費，同樣為較高的客戶需求而採用低端裝置將無法達到預計的效能指標。利用網路整體上的併發連線需求來選擇適當的防火牆產品可以幫助使用者快速、準確的定位所需要的產品，避免對單純某一引數「愈大愈好」的盲目追求，縮短設計施工週期，節省企業的開支。從而為企業實施最合理的安全保護方案。

在利用併發連線數指標選擇防火牆產品的同時，產品的綜合性能、廠家的研發力量、資金實力、企業的商業信譽和經營風險以及產品線的技術支援和售後服務體系等都應當納入採購者的視野，將多方面的因素結合起來進行綜合考慮，切不可盲目的聽信某些廠家廣告宣傳中的大併發連線的宣傳，要根據自己業務系統、企業規模、發展空間和自身實力等因素多方面考慮。

吞吐量網路中的資料是由乙個個資料報組成，防火牆對每個資料報的處理要耗費資源。吞吐量是指在不丟包的情況下單位時間內通過防火牆的資料報數量。

隨著internet的日益普及，內部網使用者訪問internet的需求在不斷增加，一些企業也需要對外提供諸如www頁面瀏覽、ftp檔案傳輸、dns網域名稱解析等服務，這些因素會導致網路流量的急劇增加，而防火牆作為內外網之間的唯一資料通道，如果吞吐量太小，就會成為網路瓶頸，給整個網路的傳輸效率帶來負面影響。因此，考察防火牆的吞吐能力有助於我們更好的評價其效能表現。這也是測量防火牆效能的重要指標。

吞吐量的大小主要由防火牆內網絡卡，及程式演算法的效率決定，尤其是程式演算法，會使防火牆系統進行大量運算，通訊量大打折扣。因此，大多數防火牆雖號稱100m防火牆，由於其演算法依靠軟體實現，通訊量遠遠沒有達到100m,實際只有10m-20m。純硬體防火牆，由於採用硬體進行運算，因此吞吐量可以達到線性90-95m,是真正的100m防火牆。

對於中小型企業來講，選擇吞吐量為百兆級的防火牆即可滿足需要，而對於電信、金融、保險等大公司大企業部門就需要採用吞吐量千兆級的防火牆產品。

使用者數限制

防火牆的使用者數限制分為固定限制使用者數和無使用者數限制兩種。前者比如soho型防火牆一般支援幾十到幾百個使用者不等，而無使用者數限制大多用於大的部門或公司。

要注意的是，使用者數和併發連線數是完全不同的兩個概念，併發連線數是指防火牆的最大會話數（或程序），每個使用者可以在乙個時間裡產生很多的連線，在購買產品時要區分這兩個概念

埠控制

防火牆的控制埠通常為console埠，防火牆的初始配置也是通過控制埠（console）與pc機（通常是便於移動的膝上型電腦）的串列埠（rs-232）連線，再通過windows系統自帶的超級終端（hyperterminal）程式進行選項配置。防火牆的初始配置物理連線與交換機初始配置連線方法一樣

防火牆除了以上所說的通過控制埠（console）進行初始配置外，也可以通過telnet和tftp（簡單檔案傳輸協議）配置方式進行高階配置，但telnet配置方式都是在命令方式中配置，難度較大，而tftp方式需要專用的tftp伺服器軟體，但配置介面比較友好。

安全過濾頻寬

安全過濾頻寬是指防火牆在某種加密演算法標準下，如des(56位)或3des（168位）下的整體過濾效能。它是相對於明文頻寬提出的。一般來說，防火牆總的吞吐量越大，其對應的安全過濾頻寬越高。

防火牆技術引數

防火牆技術

防火牆技術

穿透防火牆技術

相關推薦