|
“并發(fā)連接數(shù)”指導(dǎo)防火墻選型
資源天下 2019/8/18 9:47:28
并發(fā)連接數(shù)是防火墻最常見的參數(shù),是防火墻�����、代理服務(wù)器等設(shè)備的主要性能指標(biāo)之一�。在目前市面上常見防火墻設(shè)備的說(shuō)明書中大家可以看到,從低端設(shè)備的500����、1000個(gè)并發(fā)連接,一直到高端設(shè)備的數(shù)萬(wàn)�����、數(shù)十萬(wàn)并發(fā)連接��,存在著好幾個(gè)數(shù)量級(jí)的差異�。那么,并發(fā)連接數(shù)究竟是一個(gè)什么概念呢�����?它的大小會(huì)對(duì)用戶的日常使用產(chǎn)生什么影響呢?現(xiàn)在���,筆者將就這幾個(gè)問(wèn)題做一些比較深入的分析與探討���。
1. 什么是并發(fā)連接數(shù)
并發(fā)連接數(shù)是指防火墻或代理服務(wù)器對(duì)其業(yè)務(wù)信息流的處理能力,是防火墻能夠同時(shí)處理的點(diǎn)對(duì)點(diǎn)連接的最大數(shù)目�����,它反映出防火墻設(shè)備對(duì)多個(gè)連接的訪問(wèn)控制能力和連接狀態(tài)跟蹤能力����,這個(gè)參數(shù)的大小直接影響到防火墻所能支持的最大信息點(diǎn)數(shù)。
需要闡明的一點(diǎn)是���,“連接”和“點(diǎn)對(duì)點(diǎn)連接”并沒有局限于狹義的TCP連接(Connection-Oriented)或信息點(diǎn)—信息點(diǎn)通信(Point-Point Communication),而是泛指IP層或IP層以上各種傳輸層���、會(huì)話層和應(yīng)用層的信息流�����,所以它同樣也包括了UDP會(huì)話; 另外����,多址廣播組的通信同樣也被按照多播源(多播組地址)的形態(tài)歸納成一個(gè)連接進(jìn)行處理。
2. 并發(fā)連接表中的內(nèi)容
并發(fā)連接表是防火墻用以存放并發(fā)連接信息的地方��,它可在防火墻系統(tǒng)啟動(dòng)后動(dòng)態(tài)分配進(jìn)程的內(nèi)存空間���,其大小也就是防火墻所能支持的最大并發(fā)連接數(shù)�����。不同的廠家在各自的防火墻設(shè)備中對(duì)該數(shù)據(jù)表有不同的數(shù)據(jù)結(jié)構(gòu)實(shí)現(xiàn)�����,但從普遍意義上來(lái)看�����,基于狀態(tài)檢測(cè)的防火墻并發(fā)連接表中每一個(gè)表項(xiàng)至少包含以下內(nèi)容:源IP地址�����、源端口號(hào)����、目的IP地址、目的端口號(hào)����、協(xié)議類型、連接狀態(tài)�����、流量統(tǒng)計(jì)和時(shí)間戳信息��、NAT轉(zhuǎn)換信息��、連接許可信息����、身份認(rèn)證信息和VPN通道相關(guān)信息(如果支持VPN的話)。由于表項(xiàng)中容納了大量的連接信息��,因此每個(gè)表項(xiàng)可能占用200~400字節(jié)的內(nèi)存空間�,這對(duì)防火墻系統(tǒng)的整個(gè)內(nèi)存資源來(lái)說(shuō)是一個(gè)不容忽視的消耗。
3. 對(duì)系統(tǒng)性能的影響
大的并發(fā)連接表可以增大防火墻最大并發(fā)連接數(shù)�,允許防火墻支持更多的客戶終端; 但是與此同時(shí)�,過(guò)大的并發(fā)連接表也會(huì)帶來(lái)一定的負(fù)面影響:
(1) 大的并發(fā)連接表會(huì)造成大量?jī)?nèi)存空間的消耗和浪費(fèi);
(2) 在相同的數(shù)據(jù)結(jié)構(gòu)和檢索情況下�,大的并發(fā)連接表會(huì)增大防火墻系統(tǒng)對(duì)表項(xiàng)的搜索時(shí)間�����,增大防火墻對(duì)報(bào)文處理的轉(zhuǎn)發(fā)延遲����;
(3) 不考慮客戶網(wǎng)絡(luò)客觀情況而盲目增大系統(tǒng)并發(fā)連接表����,會(huì)造成表空間繼而內(nèi)存資源的大量閑置浪費(fèi);
(4) 由于并發(fā)連接表對(duì)內(nèi)存的占用��,會(huì)造成防火墻系統(tǒng)得不到足夠的內(nèi)存資源�����。盡管虛擬內(nèi)存可以解決內(nèi)存的緊張問(wèn)題��,但它依賴于硬盤與內(nèi)存之間的數(shù)據(jù)映射切換�,在讀寫速度上難以與物理真實(shí)內(nèi)存相提并論。
4. 所受的限制
盡管看上去�,防火墻等類似產(chǎn)品的并發(fā)連接數(shù)似乎是越大越好。
(1) 并發(fā)連接數(shù)的增大意味著對(duì)系統(tǒng)內(nèi)存資源的消耗
以每個(gè)并發(fā)連接表項(xiàng)占用300B計(jì)算�,1000個(gè)并發(fā)連接將占用300B×1000×8bit/B≈2.3Mb內(nèi)存空間,10000個(gè)并發(fā)連接將占用23Mb內(nèi)存空間,100000個(gè)并發(fā)連接將占用230Mb內(nèi)存空間�,而如果真的試圖實(shí)現(xiàn)1000000個(gè)并發(fā)連接的話(有的廠家在其宣傳資料中聲稱其產(chǎn)品可以支持1000000個(gè)并發(fā)連接),那么�,這個(gè)產(chǎn)品就需要提供2.24Gb內(nèi)存空間!真是難以置信���。
(2) 并發(fā)連接數(shù)的增大應(yīng)當(dāng)充分考慮CPU的處理能力
CPU的主要任務(wù)是把網(wǎng)絡(luò)上的流量從一個(gè)網(wǎng)段盡可能快速地轉(zhuǎn)發(fā)到另外一個(gè)網(wǎng)段上�,并且在轉(zhuǎn)發(fā)過(guò)程中對(duì)此流量按照一定的訪問(wèn)控制策略進(jìn)行許可檢查�����、流量統(tǒng)計(jì)和訪問(wèn)審計(jì)等操作��,這都要求防火墻對(duì)并發(fā)連接表中的相應(yīng)表項(xiàng)進(jìn)行不斷的更新讀寫操作���。如果不顧C(jī)PU的實(shí)際處理能力而貿(mào)然增大系統(tǒng)的并發(fā)連接表����,勢(shì)必影響防火墻對(duì)連接請(qǐng)求的處理延遲�,造成某些連接超時(shí),讓更多的連接報(bào)文被重發(fā)�����,進(jìn)而導(dǎo)致更多的連接超時(shí),最后形成雪崩效應(yīng)��,致使整個(gè)防火墻系統(tǒng)崩潰����。
(3) 物理鏈路的實(shí)際承載能力將嚴(yán)重影響防火墻發(fā)揮出其對(duì)海量并發(fā)連接的處理能力
雖然目前很多防火墻都提供了10/100/1000Mbps的網(wǎng)絡(luò)接口��,但是����,由于防火墻通常都部署在Internet出口處,在客戶端PC與目的資源中間的路徑上��,總是存在著瓶頸鏈路——該瓶頸鏈路可能是2Mbps專線�,也可能是512Kbps乃至64Kbps的低速鏈路。這些擁擠的低速鏈路根本無(wú)法承載太多的并發(fā)連接�����,所以即便是防火墻能夠支持大規(guī)模的并發(fā)訪問(wèn)連接��,也無(wú)法發(fā)揮出其原有的性能��。
5. 應(yīng)用中的并發(fā)連接峰值
有(未完���,下一頁(yè))
|