关于防火墙两个关键性能指标的一点思考

关于防火墙两个关键性能指标的一点思考一. 涉及产品

防火墙等安全网关类产品

二. 涉及技术指标

2.1 吞吐量

个人认为准确的表达单位应为pps，且要注明包大小

1Gbps=1024Mbps=1024 x 1024Kbps，pps等于bps除以8再除以包的尺寸

假如包大小为1518Byte，1Gbps=[1024 x 1024]Kbps / [8 x 1518]=86.345Kpps

假如包大小为512Byte，1Gbps=[1024 x 1024] Kbps/ [8 x 512]=256Kpps

假如包大小为64Byte，1Gbps=[1024 x 1024] Kbps/ [8 x 64]=2048Kpps

所以在1秒时间里，防火墙处理的包尺寸越小，要求处理的包的个数就越多，也越能彰显处理效率（即性能），例如，千兆网卡理论上可以一个不落地转发2048K个小包，但系统总线本身的处理性能若也能达到这个数而不丢包，则可视为线速转发；

2.2 并发会话

防火墙维护（不中断）的会话条目数，一条会话建立起来后，可能会产生若干数据包，但这些数据包构成的有关该会话的流量大小并不能说明会话是有大小这样的概念的，它可以被理解成一个通道；

如果会话建立后并无流量（实际通信），则系统会设置一个超时拆除该会话的机制，比如xx秒

防火墙能维护多少会话取决于会话表的容量，比如每条会话表项占用300B，而FG 300C 支持2M条并发会话，那么它应该具有300 x 2M=600MB内存

注：

1Mbps=1024Kbps

1Kbps=1024bps