防火墙的并发连接数

7
更详细内容请到http://neteye.neusoft.com 查询
5、 Oicq 聊天——测试厂商（腾讯科技）
NetEye Tech Note 2002072501
上图是对腾讯科技公司提供的 Oicq 聊天的访问流量统计截屏图，同时与两 个网友进行聊天，获得以下数据：
URL 61.144.238.145
URL
测试编号
1
www.sina.com
2
3 统计平均值
TCP
12（HTTP） 12（HTTP） 12（HTTP）
12
UDP
8 个 DNS 请求， 共用 2 条连接
5 个 DNS 请求， 共用 1 条连接
7 个 DNS 请求， 共用 1 条连接
2
合计
14 14 14 14
5
更详细内容请到http://neteye.neusoft.com 查询
应当根据网络环境的具体情况和个人不同的上网行为习惯来回答这个问 题：不同规模的网络会产生不同大小的并发连接；用户习惯于何种网络服务以及 如何使用，同样也会产生不同的并发连接。
针对这个问题，下面列举了几个常见网络访问行为，并统计了其所发出的 连接数。
1、 WWW 访问——测试站点（www.sohu.com）
1
更详细内容请到http://neteye.neusoft.com 查询
NetEye Tech Note 2002072501
并发连接数是防火墙最常见的参数，是防火墙、代理服务器等设备的主要性 能指标之一。在目前市面上常见防火墙设备的说明书中大家可以看到，从低端设 备的 500、1000 个并发连接，一直到高端设备的数万、数十万并发连接，存在着 好几个数量级的差异。那么，并发连接数究竟是一个什么概念呢？它的大小会对 用户的日常使用会产生什么样的影响？下面就这几个相关问题作一些比较深入 的探讨。
但是，不能简单的以一个协议或应用产生的最大并发连接数来断言它对防 火墙并发连接表的占用率。这是因为并发连接表的占用率决定于两个因素：其一 是产生的并发连接表项，其二是该并发连接表项在表中维持存在的时间，即该连 接存活的时间。之所以要引入并发连接维持时间，是因为每个连接对并发连接表 项的占用不是永久的，而是在连接终止后由防火墙自动释放该表项，从而可以用 来记录其他新的连接信息。
URL
测试编号
1
Mail.neusoft.com
2
3 统计平均值
TCP
1（POP3） 1（SMTP） 1（POP3） 1（SMTP） 1（POP3） 1（SMTP）
2
UDP
1 个 DNS 请求， 共用 1 条连接
1 个 DNS 请求， 共用 1 条连接
1 个 DNS 请求， 共用 1 条连接
1
合计
3 3 3 3
NetEye Tech Note 2002072501
存在着瓶颈链路——该瓶颈链路可能是 2M 专线，也可能是 512K 乃至 64K 的低 速链路。这些拥挤的低速链路根本无法承载太多的并发连接，所以即便是防火墙 能够支持大规模的并发访问连接，它也无法发挥出其原有的性能。
五、实际应用产生的并发连接峰值
3、 Email 访问——测试邮件服务器（NEUSOFT）
NetEye Tech Note 2002072501
上图是对东软公司邮件服务器(http://mail.neusoft.com) 的访问流量统计截 屏图。
包括 Pop3 和 SMTP 协议。同样以 3 小时为间隔，对该站点分时段进行多次 访问，我们得到了以下数据：
源 IP 地址； 源端口号；
目的 IP 地址； 目的端口号；
协议类型；
连接状态；
流量统计和时间戳信息；
NAT 转换信息； 连接许可信息；
身份认证信息；
VPN 通道相关信息（如果支持 VPN 的话）；
2
更详细内容请到http://neteye.neusoft.com 查询
……
NetEye Tech Note 2002072501
1 个 DNS 请求， 共用 1 条连接
3 个 DNS 请求， 共用 1 条连接
1.3
合计
9 8 9 8.7
4
更详细内容请到http://neteye.neusoft.com 查询
2、 WWW 访问——测试站点（www.sina.com）
NetEye Tech Note 2002072501
上图是对 sina 网站首页(http://www.sina.com/) 的 http 流量统计截屏图。同 样以 3 小时为间隔，对该站点分时段进行多次访问，我们得到了以下数据
2. 在相同的数据结构和检索方式情况下，大的并发连接表会增大防火墙系统对 表项的搜索时间，增大防火墙对报文处理的转发延迟；
3. 不考虑客户网络客观情况而盲目增大系统并发连接表，会造成表空间继而内 存资源的大量闲置浪费；
4. 由于并发连接表对内存的占用，会造成防火墙系统本身得不到足够的内存资 源。尽管虚拟内存可以解决内存的紧张问题，但是虚拟内存依赖于硬盘与内 存页之间的数据映射切换，在读写速度上难以与物理真实内存相提并论。
4
合计
5
5 5 5
通过以上实际测试数据可以看出，在各常见网络协议中，产生并发连接数 最多的业务是 WEB 浏览（http 协议），而产生并发连接相对较少的协议则当属 Ftp 和 Email 应用。
8
更详细内容请到http://neteye.neusoft.com 查询
NetEye Tech Note 2002072501
由于表项中容纳了大量的连接信息，因此每个表项可能占用 200~400 字节的 内存空间，这对防火墙系统的整个内存资源来说是一个不容忽视的消耗。
三、并发连接表对系统性能的影响
大的并发连接表可以增大防火墙最大并发连接数，允许防火墙支持更多的 客户终端；但是与此同时，过大的并发连接表会带来以下负面影响：
1Leabharlann Baidu 过大的并发连接表会造成大量内存空间的消耗；
测试编号
1
2 3 统计平均值
TCP
1(HTTP)用以 广告更新
1(HTTP)用以 广告更新
1(HTTP)用以 广告更新 1
UDP
2 个 DNS 请求，共用 1 条连接; 3 个 UDP，其 中一条用来与服务器进 行“keepalive”等控制 命令通信，另外两条进 行与网友的信息传递 2 个 DNS 请求，共用 1 条连接；3 个 UDP，用 途同上 1 个 DNS 请求，共用 1 条连接；3 个 UDP，用 途同上
一、并发连接数的概念
（最大）并发连接数指的是防火墙或代理服务器对其业务信息流的处理能 力，是防火墙能够同时处理的点对点连接的最大数目，它反映的是防火墙设备对 多个连接的访问控制能力和连接状态跟踪能力。这个参数的大小可以直接影响到 防火墙所能支持的最大信息点数。
需要阐明的一点是，在上述“并发连接数”的概念陈述中所提到的“连接” 和“点对点连接”并没有局限于狭义的 TCP 连接（connection-oriented）和信息 点-信息点通信（point-point communication），而是泛指 IP 层或 IP 层以上各种传 输层、会话层、应用层信息流，所以它同样也包括了 UDP 会话（connectionless）； 另外，多址广播组的通信同样也被按照（多播源，多播组地址）的形态归纳成一 个连接进行处理。
四、防火墙产品并发连接数所受的限制
尽管看上去，防火墙等类似产品的并发连接数似乎是越大越好，但是在实 际设计中，产品设计师们却需要考虑更多的事情：
并发连接数的增大意味着对系统内存资源的消耗
以每个并发连接表项占用 300 字节计算，1,000 个并发连接将占用 300byte * 1000 ≈ 0.29 M 内存空间，10,000 个并发连接将占用 300byte * 10000 ≈ 2.9 M 内存空间，100,000 个并发连接将占用 300byte * 100000 ≈ 29M 内存空间，而 如果真的试图实现 1,000,000 个并发连接的话（有的厂家在其宣传资料中声称其 产品可以支持 1,000,000 个并发连接），那么这个产品就需要为此提供至少 300byte * 1000000 ≈ 290 M 内存空间！
上图是对 sohu 网站首页(www.sohu.com) 的 HTTP 流量统计截屏图。
以 3 小时为间隔，对该站点分时段进行多次访问，我们得到了以下几个统 计数字：
URL
测试编号
1
www.sohu.com
2
3 统计平均值
TCP
7（HTTP） 7（HTTP） 8（HTTP）
7.3
UDP
4 个 DNS 请求， 共用 2 条连接
物理链路的实际承载能力通常会严重影响防火墙发挥出其对海量并发连接 的处理能力
虽然目前很多防火墙都提供了 10/100/1000M 的网络接口，但是，由于防火 墙通常都部署在 Internet 出口处，在客户端 PC 与目的资源中间的路径上，总是
3
更详细内容请到http://neteye.neusoft.com 查询
6
更详细内容请到http://neteye.neusoft.com 查询
4、 FTP 访问——测试 FTP 服务器（Georgia）
NetEye Tech Note 2002072501
上图是对乔治亚州大学提供的 FTP 服务器(ftp.usg.edu) 的访问流量统计截 屏图。主要操作是进行文件下载，获得以下数据：
URL ftp.usg.edu
测试编号
1 2 3 统计平均值
TCP
1（CMD） 1（DATA） 1（CMD） 1（DATA） 1（CMD） 1（DATA）
2
UDP
2 个 DNS 请求， 共用 2 条连接
1 个 DNS 请求， 共用 1 条连接
1 个 DNS 请求， 共用 1 条连接
1.3
合计
4 3 3 3.3
关于防火墙的最大并发连接数（第二版） The Max Connection in Firewalls（Ed1）
目录
NetEye Tech Note 2002072501
一 并发连接数的概念..................................................................................................2 二 并发连接表中的内容..............................................................................................2 三 并发连接表对系统性能的影响..............................................................................3 四 防火墙产品并发连接数所受的限制......................................................................3 五 实际应用产生的并发连接峰值..............................................................................4 六 实际应用对并发连接表的占用率计算..................................................................9 七 寻求客户投资和实际需求之间的平衡点............................................................11
并发连接数的增大应当充分考虑 CPU 的处理能力
CPU 的主要任务是把网络上的流量从一个网段尽可能快速地转发到另外一 个网段上，并且在转发过程中对此流量按照一定的访问控制策略进行许可检查、 流量统计、访问审计等操作，这都要求防火墙对并发连接表中进行快速的搜索并 找到相应表项进行更新读写。如果不顾 CPU 的实际处理能力而贸然增大系统的 并发连接表，那么势必会影响防火墙对连接请求的处理延迟->造成某些连接超时 ->更多的连接报文将被重发->更多的连接超时->从而形成雪崩效应，严重时可以 致使整个防火墙系统崩溃。
二、并发连接表中的内容
并发连接表是防火墙用以存放并发连接信息的地方，这个表将由防火墙系统 在启动后动态在进程内存空间中分配，该表的大小也就是防火墙所能支持的最大 并发连接数。不同的厂家在各自的防火墙设备中对该数据表有不同的数据结构实 现，但从普遍意义上来看，一般的状态包过滤型（Stateful-Inspection）防火墙的 并发连接表的每一个表项都要至少包含以下内容：