论文部分内容阅读
摘要: 随着计算机网络技术的日新月异,现代企业对于信息网络的依赖越来越大,防火墙作为重要的网络设备,承接着企业对外数据传输和企业数据安全的重任,其容量、速度、稳定性制约了工作效率的提高。着重对网络防火墙的并发连接数展开分析,并从一个具有600台工作站的设计企业的实际应用,谈企业防火墙的并发连接数指标和改善企业网络状况。
关键词: 计算机;防火墙;并发连接数
中图分类号:TP3文献标识码:A文章编号:1671-7597(2011)0110160-01
并发连接数是衡量防火墙性能的一个重要指标。在目前市面上,有支持20个用户左右的低端设备,标称为1000个左右并发连接的产品;也有支持大型企业,达到数十万并发连接数的产品。这些设备,存在着好几个数量级的差异。
那么,什么是并发连接数?本文所说的并发连接数,是指防火墙能够同时处理的点对点连接的最大数目,它反映出防火墙设备对多个连接的访问控制能力和连接状态跟踪能力,这个参数的大小直接影响到防火墙所能支持的最大信息点数。尤其是当前互联网的P2P下载应用广泛的时候,网络连接数的概念显得尤为重要。
用通俗的理解,当一个用户访问一个的网站时,他就至少占用一个连接。有时候,根据程序的不同,一个用户也可能占用多个连接数。根据实际的使用量,可以产生的连接数,来决定防火墙产品。
通常,企业需要一定数量的下载资源,这个时候,需求的并发连接数当然越高越好,微软的操作系统在Windows XP(SP2)下设置了TCP连接数的最高限制为256,也有人通过破解后可以提升至2000个。这对于当前流行的P2P下载方式来说,具有很大的推动作用。这就说明,单一PC可以同时产生的连接数可以以百位数计,对于600个网络节点,所产生的连接数是比较庞大的。
1 并发连接数的科学计算
以每个用户平均需要30个并发连接来计算,以笔者所在的企业(600
个信息点,容纳5个C类地址空间)大概需要30×600,即18000个并发连接,因此支持18000~20000最大并发连接的防火墙设备便可以满足需求;大型的企事业单位网络(比如信息点数在1000~10000之间)大概会需要30000个以上的并发连接,所以支持更大的并发连接的防火墙就可以满足企业的实际需要;而对于大型电信运营商和ISP来说,电信级的千兆防火墙则是恰当的选择。
采用合适的防火墙设备,要注意的是根据实际的需要,量力而行。近几年来,随着防火墙技术的发展,尤其是国内防火墙生产厂商技术的提高,防火墙已经逐渐向性能更高更强的方向发展。但是,如果企业的需求较低,而采用高端的防火墙设备,势必将造成用户投资的浪费。同样。为较高需求的客户,采用低端设备则无法达到预计的性能指标。利用并发连接数指标来选择适当的防火墙产品,可以帮助企业快速、准确的定位所需要的产品,避免对单一参数的盲目追求,节省企业的开支。
2 并发连接数和其他系统参数的关系
1)并发连接数和系统内存资源的关系。像路由器的路由表,用来存放路由信息一样,防火墙里也有一个存放连接信息的表,称之为并发连接表,是防火墙用以存放并发连接信息的地方。它可在防火墙系统启动后动态分配进程的内存空间,其大小也就是防火墙所能支持的最大并发连接数。
大的并发连接表可以增大防火墙最大并发连接数,允许防火墙支持更多的客户终端。尽管看上去,防火墙等类似产品的并发连接数似乎是越大越好。但是与此同时,过大的并发连接表也需要较大的内存空间的支持:
以每个并发连接表项占用300比特计算,笔者所在的企业,如果达到20000个并发连接将占用300B×20000×8bit/Byte≈48Mb内存空间,20万个并发连接将占用480Mb内存空间,100万个并发连接数就接近300Mb的内存空间。产品标称的连接数越大,所需要的内存空间就越大,而且这仅仅是并发连接表所占的内存空间,实际应用中,还有防火墙策略以及涉及到的路由转发等需要的内存空间,将大大超出很多产品的标称值。
2)并发连接数和中央处理器CPU的关系。也有人认为,对火墙来讲重要的是每秒新建会话数以及每秒的处理数据包数。这就涉及到防火墙的CPU。大多数国内的百兆级防火墙,基本都是X86架构的,为节约成本,CPU通常处理能力有限,如果连接数过多,势必增加数据转发的延迟。在实际的应用中,笔者发现,当并发连接数增加了,总的吞吐量就会相应的下降。当设置的策略多一点,防火墙达到最大的并发连接数的时候,性能本来就不是很强的产品,会产生缓慢甚至CPU占用100%死机的现象。所以,CPU的处理能力也是需要考虑的一个方面,现在很多防火墙可以查看CPU的占用信息,我们在实际应用中会发现,网络阻塞的时候,如果不顾CPU的实际处理能力而贸然增大系统的并发连接表,则造成防火墙对连接请求的处理延迟,让更多的连接报文被重发,进而导致更多的连接超时,最后形成雪崩效应,致使整个防火墙系统崩溃。
3)并发连接数和网络带宽的关系。网络带宽对于网络并发数也存在影响,低速链路根本无法承载太多的并发连接。由于防火墙大多部署在Internet出口处,一般情况下,大部分的公司采用共享的方式访问互联网,大多采用ADSL或者是光纤专线,基于成本的考虑。在实际中,笔者尝试使用20个用户左右的低端设备,通常遇到,某些少数用户大量占有连接数,带宽在没有被完全占用的情况下,其他用户已经无法访问互联网络。这时候,明显不是企业带宽存在瓶颈,而是问题出现在防火墙上的性能制约了网络的使用。同理,将防火墙设备换成高端的企业级设备,则网络顺畅,但是网络带宽过窄,不能完全发挥防火墙的性能。过低价格的产品不能满足实际的需要,但是价格过高的产品价格又会产生浪费,考虑是否有中间产品。因为不同规模的网络会产生大小不同的并发连接,而用户习惯于何种网络服务以及如何使用这些服务,同样也会产生不同的并发连接需求。
因此,我们应当根据网络环境的具体情况来选择适当规模的并发连接数的产品。如何在合理的设备投资和实际所能提供的性能之间,寻找一个黄金平衡点将是用户选择产品的一个重要任务。按照并发连接数来衡量方案的合理性是一个值得推荐的办法。
3 并发连接数对于企业防火墙的参考意义
并发连接数对于企业防火墙来说,具有很重要的参考意义,高并发连接数提供了更加可靠的网络传输环境,能够满足当前多种情况下的网络环境,特别是用户数量达到一定的程度,需要实时处理大规模数据,从多个网络节点获取和交换数据的时候,较大的网络连接数能够提供较多的帮助。网络连接数大的防火墙设备,通常需要客户投资更多的设备,这是因为并发连接数的增大牵扯到数据结构、CPU、内存、系统总线和网络接口等多方面因素。所以,支持的并发连接数越大,在考虑经济性合理的情况下,理论上是越好的。但是现在有很多防火墙产品,动辄声称并发连接数100万、200万,似乎网络连接数越大越好,并且一般情况下没有什么工具可以测试,所以很多国内的主流防火墙厂商在推介自己的产品时都把这个指标夸大,用户自己也不知道自己需要多大连接数,所以倾向于购买连接数较大的产品。笔者经过尝试,同样的网络环境下,一台普通的百兆防火墙,最多也就30、40万个连接数就已经饱和,达不到防火墙标称的的最大160万连接数.笔者希望防火墙连接数能够进行国外的权威认证,而不是厂家单方面所做的存在水分的性能测试。
4 结束语
随着国内互联网的发展,特别是互联网访问速度的提高,原有的大规模的ADSL线路可能会被更高速的上网方式所取代。更高的网络配置需要匹配更高的网络并发数,通过模拟成百上千个用户,重复执行和运行测试,才可以确认性能瓶颈并优化和调整应用,寻找到解决企业信息网络的瓶颈问题。
参考文献:
[1]谢希仁,《计算机网络》(第五版)[M].电子工业出版社,2008.
[2]刘天华、孙阳,《网络系统集成与综合布线》[J].人民邮电出版社,2008.
关键词: 计算机;防火墙;并发连接数
中图分类号:TP3文献标识码:A文章编号:1671-7597(2011)0110160-01
并发连接数是衡量防火墙性能的一个重要指标。在目前市面上,有支持20个用户左右的低端设备,标称为1000个左右并发连接的产品;也有支持大型企业,达到数十万并发连接数的产品。这些设备,存在着好几个数量级的差异。
那么,什么是并发连接数?本文所说的并发连接数,是指防火墙能够同时处理的点对点连接的最大数目,它反映出防火墙设备对多个连接的访问控制能力和连接状态跟踪能力,这个参数的大小直接影响到防火墙所能支持的最大信息点数。尤其是当前互联网的P2P下载应用广泛的时候,网络连接数的概念显得尤为重要。
用通俗的理解,当一个用户访问一个的网站时,他就至少占用一个连接。有时候,根据程序的不同,一个用户也可能占用多个连接数。根据实际的使用量,可以产生的连接数,来决定防火墙产品。
通常,企业需要一定数量的下载资源,这个时候,需求的并发连接数当然越高越好,微软的操作系统在Windows XP(SP2)下设置了TCP连接数的最高限制为256,也有人通过破解后可以提升至2000个。这对于当前流行的P2P下载方式来说,具有很大的推动作用。这就说明,单一PC可以同时产生的连接数可以以百位数计,对于600个网络节点,所产生的连接数是比较庞大的。
1 并发连接数的科学计算
以每个用户平均需要30个并发连接来计算,以笔者所在的企业(600
个信息点,容纳5个C类地址空间)大概需要30×600,即18000个并发连接,因此支持18000~20000最大并发连接的防火墙设备便可以满足需求;大型的企事业单位网络(比如信息点数在1000~10000之间)大概会需要30000个以上的并发连接,所以支持更大的并发连接的防火墙就可以满足企业的实际需要;而对于大型电信运营商和ISP来说,电信级的千兆防火墙则是恰当的选择。
采用合适的防火墙设备,要注意的是根据实际的需要,量力而行。近几年来,随着防火墙技术的发展,尤其是国内防火墙生产厂商技术的提高,防火墙已经逐渐向性能更高更强的方向发展。但是,如果企业的需求较低,而采用高端的防火墙设备,势必将造成用户投资的浪费。同样。为较高需求的客户,采用低端设备则无法达到预计的性能指标。利用并发连接数指标来选择适当的防火墙产品,可以帮助企业快速、准确的定位所需要的产品,避免对单一参数的盲目追求,节省企业的开支。
2 并发连接数和其他系统参数的关系
1)并发连接数和系统内存资源的关系。像路由器的路由表,用来存放路由信息一样,防火墙里也有一个存放连接信息的表,称之为并发连接表,是防火墙用以存放并发连接信息的地方。它可在防火墙系统启动后动态分配进程的内存空间,其大小也就是防火墙所能支持的最大并发连接数。
大的并发连接表可以增大防火墙最大并发连接数,允许防火墙支持更多的客户终端。尽管看上去,防火墙等类似产品的并发连接数似乎是越大越好。但是与此同时,过大的并发连接表也需要较大的内存空间的支持:
以每个并发连接表项占用300比特计算,笔者所在的企业,如果达到20000个并发连接将占用300B×20000×8bit/Byte≈48Mb内存空间,20万个并发连接将占用480Mb内存空间,100万个并发连接数就接近300Mb的内存空间。产品标称的连接数越大,所需要的内存空间就越大,而且这仅仅是并发连接表所占的内存空间,实际应用中,还有防火墙策略以及涉及到的路由转发等需要的内存空间,将大大超出很多产品的标称值。
2)并发连接数和中央处理器CPU的关系。也有人认为,对火墙来讲重要的是每秒新建会话数以及每秒的处理数据包数。这就涉及到防火墙的CPU。大多数国内的百兆级防火墙,基本都是X86架构的,为节约成本,CPU通常处理能力有限,如果连接数过多,势必增加数据转发的延迟。在实际的应用中,笔者发现,当并发连接数增加了,总的吞吐量就会相应的下降。当设置的策略多一点,防火墙达到最大的并发连接数的时候,性能本来就不是很强的产品,会产生缓慢甚至CPU占用100%死机的现象。所以,CPU的处理能力也是需要考虑的一个方面,现在很多防火墙可以查看CPU的占用信息,我们在实际应用中会发现,网络阻塞的时候,如果不顾CPU的实际处理能力而贸然增大系统的并发连接表,则造成防火墙对连接请求的处理延迟,让更多的连接报文被重发,进而导致更多的连接超时,最后形成雪崩效应,致使整个防火墙系统崩溃。
3)并发连接数和网络带宽的关系。网络带宽对于网络并发数也存在影响,低速链路根本无法承载太多的并发连接。由于防火墙大多部署在Internet出口处,一般情况下,大部分的公司采用共享的方式访问互联网,大多采用ADSL或者是光纤专线,基于成本的考虑。在实际中,笔者尝试使用20个用户左右的低端设备,通常遇到,某些少数用户大量占有连接数,带宽在没有被完全占用的情况下,其他用户已经无法访问互联网络。这时候,明显不是企业带宽存在瓶颈,而是问题出现在防火墙上的性能制约了网络的使用。同理,将防火墙设备换成高端的企业级设备,则网络顺畅,但是网络带宽过窄,不能完全发挥防火墙的性能。过低价格的产品不能满足实际的需要,但是价格过高的产品价格又会产生浪费,考虑是否有中间产品。因为不同规模的网络会产生大小不同的并发连接,而用户习惯于何种网络服务以及如何使用这些服务,同样也会产生不同的并发连接需求。
因此,我们应当根据网络环境的具体情况来选择适当规模的并发连接数的产品。如何在合理的设备投资和实际所能提供的性能之间,寻找一个黄金平衡点将是用户选择产品的一个重要任务。按照并发连接数来衡量方案的合理性是一个值得推荐的办法。
3 并发连接数对于企业防火墙的参考意义
并发连接数对于企业防火墙来说,具有很重要的参考意义,高并发连接数提供了更加可靠的网络传输环境,能够满足当前多种情况下的网络环境,特别是用户数量达到一定的程度,需要实时处理大规模数据,从多个网络节点获取和交换数据的时候,较大的网络连接数能够提供较多的帮助。网络连接数大的防火墙设备,通常需要客户投资更多的设备,这是因为并发连接数的增大牵扯到数据结构、CPU、内存、系统总线和网络接口等多方面因素。所以,支持的并发连接数越大,在考虑经济性合理的情况下,理论上是越好的。但是现在有很多防火墙产品,动辄声称并发连接数100万、200万,似乎网络连接数越大越好,并且一般情况下没有什么工具可以测试,所以很多国内的主流防火墙厂商在推介自己的产品时都把这个指标夸大,用户自己也不知道自己需要多大连接数,所以倾向于购买连接数较大的产品。笔者经过尝试,同样的网络环境下,一台普通的百兆防火墙,最多也就30、40万个连接数就已经饱和,达不到防火墙标称的的最大160万连接数.笔者希望防火墙连接数能够进行国外的权威认证,而不是厂家单方面所做的存在水分的性能测试。
4 结束语
随着国内互联网的发展,特别是互联网访问速度的提高,原有的大规模的ADSL线路可能会被更高速的上网方式所取代。更高的网络配置需要匹配更高的网络并发数,通过模拟成百上千个用户,重复执行和运行测试,才可以确认性能瓶颈并优化和调整应用,寻找到解决企业信息网络的瓶颈问题。
参考文献:
[1]谢希仁,《计算机网络》(第五版)[M].电子工业出版社,2008.
[2]刘天华、孙阳,《网络系统集成与综合布线》[J].人民邮电出版社,2008.