防火墻借由監(jiān)測所有的封包并找出不符規(guī)則的內(nèi)容，可以防范電腦蠕蟲或是木馬程序的快速蔓延。對于防火墻的性能，我們應(yīng)該怎么衡量比較呢?這篇文章主要介紹了衡量防火墻性能的幾個重要參數(shù)指標(biāo),需要的朋友可以參考下

　　防火墻主要參考以下3種性能指標(biāo)：

　　整機吞吐量：指防火墻在狀態(tài)檢測機制下能夠處理一定包長數(shù)據(jù)的最大轉(zhuǎn)發(fā)能力，業(yè)界默認(rèn)一般都采用大包衡量防火墻對報文的處理能力。

　　最大并發(fā)連接數(shù)：由于防火墻是針對連接進行處理報文的，并發(fā)連接數(shù)目是指的防火墻可以同時容納的最大的連接數(shù)目，一個連接就是一個TCP/UDP的訪問。

　　每秒新建連接數(shù)：指每秒鐘可以通過防火墻建立起來的完整TCP/UDP連接。該指標(biāo)主要用來衡量防火墻在處理過程中對報文連接的處理速度，如果該指標(biāo)低會造成用戶明顯感覺上網(wǎng)速度慢，在用戶量較大的情況下容易造成防火墻處理能力急劇下降，并且會造成防火墻對網(wǎng)絡(luò)攻擊防范能力差。

　　并發(fā)連接數(shù)

　　并發(fā)連接數(shù)是指防火墻或代理服務(wù)器對其業(yè)務(wù)信息流的處理能力，是防火墻能夠同時處理的點對點連接的最大數(shù)目，它反映出防火墻設(shè)備對多個連接的訪問控制能力和連接狀態(tài)跟蹤能力，這個參數(shù)的大小直接影響到防火墻所能支持的最大信息點數(shù)。

　　并發(fā)連接數(shù)是衡量防火墻性能的一個重要指標(biāo)。在目前市面上常見防火墻設(shè)備的說明書中大家可以看到，從低端設(shè)備的500、1000個并發(fā)連接，一直到高端設(shè)備的數(shù)萬、數(shù)十萬并發(fā)連接，存在著好幾個數(shù)量級的差異。那么，并發(fā)連接數(shù)究竟是一個什么概念呢?它的大小會對用戶的日常使用產(chǎn)生什么影響呢?

　　要了解并發(fā)連接數(shù)，首先需要明白一個概念，那就是“會話”。這個“會話”可不是我們平時的談話，但是可以用平時的談話來理解，兩個人在談話時，你一句，我一句，一問一 答，我們把它稱為一次對話，或者叫會話。同樣，在我們用電腦工作時，打開的一個窗口或一個Web頁面，我們也可以把它叫做一個“會話”，擴展到一個局域網(wǎng)里面，所有用戶要通過防火墻上網(wǎng)，要打開很多個窗口或Web頁面發(fā)(即會話)，那么，這個防火墻，所能處理的最大會話數(shù)量，就是“并發(fā)連接數(shù)”。

　　像路由器的路由表存放路由信息一樣，防火墻里也有一個這樣的表，我們把它叫做并發(fā)連接表，是防火墻用以存放并發(fā)連接信息的地方，它可在防火墻系統(tǒng)啟動后動態(tài)分配進程的內(nèi)存空間，其大小也就是防火墻所能支持的最大并發(fā)連接數(shù)。大的并發(fā)連接表可以增大防火墻最大并發(fā)連接數(shù)，允許防火墻支持更多的客戶終端。盡管看 上去，防火墻等類似產(chǎn)品的并發(fā)連接數(shù)似乎是越大越好。但是與此同時，過大的并發(fā)連接表也會帶來一定的負(fù)面影響：

　　1.并發(fā)連接數(shù)的增大意味著對系統(tǒng)內(nèi)存資源的消耗

　　以每個并發(fā)連接表項占用300B計算，1000個并發(fā)連接將占用300B×1000×8bit/B≈2.3Mb內(nèi)存空間，10000個并發(fā)連接將占用 23Mb內(nèi)存空間，100000個并發(fā)連接將占用230Mb內(nèi)存空間，而如果真的試圖實現(xiàn)1000000個并發(fā)連接的話那么，這個產(chǎn)品就需要提供 2.24Gb內(nèi)存空間。

　　2.并發(fā)連接數(shù)的增大應(yīng)當(dāng)充分考慮CPU的處理能力

　　CPU的主要任務(wù)是把網(wǎng)絡(luò)上的流量從一個網(wǎng)段盡可能快速地轉(zhuǎn)發(fā)到另外一個網(wǎng)段上，并且在轉(zhuǎn)發(fā)過程中對此流量按照一定的訪問控制策略進行許可檢查、流量統(tǒng)計和訪問審計等操作，這都要求防火墻對并發(fā)連接表中的相應(yīng)表項進行不斷的更新讀寫操作。如果不顧CPU的實際處理能力而貿(mào)然增大系統(tǒng)的并發(fā)連接表，勢必影響 防火墻對連接請求的處理延遲，造成某些連接超時，讓更多的連接報文被重發(fā)，進而導(dǎo)致更多的連接超時，最后形成雪崩效應(yīng)，致使整個防火墻系統(tǒng)崩潰。

　　3. 物理鏈路的實際承載能力將嚴(yán)重影響防火墻發(fā)揮出其對海量并發(fā)連接的處理能力

　　雖然目前很多防火墻都提供了 10/100/1000Mbps的網(wǎng)絡(luò)接口，但是，由于防火墻通常都部署在Internet出口處，在客戶端PC與目的資源中間的路徑上，總是存在著瓶頸鏈路——該瓶頸鏈路可能是2Mbps專線，也可能是512Kbps乃至64Kbps的低速鏈路。這些擁擠的低速鏈路根本無法承載太多的并發(fā)連接，所以即便是防火墻能夠支持大規(guī)模的并發(fā)訪問連接，也無法發(fā)揮出其原有的性能。

　　有鑒于此，我們應(yīng)當(dāng)根據(jù)網(wǎng)絡(luò)環(huán)境的具體情況和個人不同的上網(wǎng)習(xí)慣來選擇適當(dāng)規(guī)模的并發(fā)連接表。因為不同規(guī)模的網(wǎng)絡(luò)會產(chǎn)生大小不同的并發(fā)連接，而用戶習(xí)慣于何種網(wǎng)絡(luò)服務(wù)以及如何使用這些服務(wù)，同樣也會產(chǎn)生不同的并發(fā)連接需求。高并發(fā)連接數(shù)的防火墻設(shè)備通常需要客戶投資更多的設(shè)備，這是因為并發(fā)連接數(shù)的增大牽扯到數(shù)據(jù)結(jié)構(gòu)、CPU、內(nèi)存、系統(tǒng)總線和網(wǎng)絡(luò)接口等多方面因素。如何在合理的設(shè)備投資和實際上所能提供的性能之間尋找一個黃金平衡點將是用戶選擇產(chǎn)品的一 個重要任務(wù)。按照并發(fā)連接數(shù)來衡量方案的合理性是一個值得推薦的辦法。

　　以每個用戶需要10.5個并發(fā)連接來計算，一個中小型企業(yè)網(wǎng)絡(luò)(1000個信息點以下，容納4個C類地址空間)大概需要10.5×1000=10500個并發(fā)連接，因此支持 20000～30000最大并發(fā)連接的防火墻設(shè)備便可以滿足需求;大型的企事業(yè)單位網(wǎng)絡(luò)(比如信息點數(shù)在1000～10000之間)大概會需要 105000個并發(fā)連接，所以支持100000～120000最大并發(fā)連接的防火墻就可以滿足企業(yè)的實際需要; 而對于大型電信運營商和ISP來說，電信級的千兆防火墻(支持120000～200000個并發(fā)連接)則是恰當(dāng)?shù)倪x擇。為較低需求而采用高端的防火墻設(shè)備 將造成用戶投資的浪費，同樣為較高的客戶需求而采用低端設(shè)備將無法達(dá)到預(yù)計的性能指標(biāo)。利用網(wǎng)絡(luò)整體上的并發(fā)連接需求來選擇適當(dāng)?shù)姆阑饓Ξa(chǎn)品可以幫助用戶 快速、準(zhǔn)確的定位所需要的產(chǎn)品，避免對單純某一參數(shù)“愈大愈好”的盲目追求，縮短設(shè)計施工周期，節(jié)省企業(yè)的開支。從而為企業(yè)實施最合理的安全保護方案。

　　在利用并發(fā)連接數(shù)指標(biāo)選擇防火墻產(chǎn)品的同時，產(chǎn)品的綜合性能、廠家的研發(fā)力量、資金實力、企業(yè)的商業(yè)信譽和經(jīng)營風(fēng)險以及產(chǎn)品線的技術(shù)支持和售后服務(wù)體系等 都應(yīng)當(dāng)納入采購者的視野，將多方面的因素結(jié)合起來進行綜合考慮，切不可盲目的聽信某些廠家廣告宣傳中的大并發(fā)連接的宣傳，要根據(jù)自己業(yè)務(wù)系統(tǒng)、企業(yè)規(guī)模、 發(fā)展空間和自身實力等因素多方面考慮。

　　吞吐量

　　網(wǎng)絡(luò)中的數(shù)據(jù)是由一個個數(shù)據(jù)包組成，防火墻對每個數(shù)據(jù)包的處理要耗費資源。吞吐量是指在不丟包的情況下單位時間內(nèi)通過防火墻的數(shù)據(jù)包數(shù)量。

　　隨著Internet的日益普及，內(nèi)部網(wǎng)用戶訪問Internet的需求在不斷增加，一些企業(yè)也需要對外提供諸如www頁面瀏覽、FTP文件傳輸、DNS 域名解析等服務(wù)，這些因素會導(dǎo)致網(wǎng)絡(luò)流量的急劇增加，而防火墻作為內(nèi)外網(wǎng)之間的唯一數(shù)據(jù)通道，如果吞吐量太小，就會成為網(wǎng)絡(luò)瓶頸，給整個網(wǎng)絡(luò)的傳輸效率帶來負(fù)面影響。因此，考察防火墻的吞吐能力有助于我們更好的評價其性能表現(xiàn)。這也是測量防火墻性能的重要指標(biāo)。

　　吞吐量的大小主要由防火墻內(nèi)網(wǎng)卡， 及程序算法的效率決定，尤其是程序算法，會使防火墻系統(tǒng)進行大量運算，通信量大打折扣。因此，大多數(shù)防火墻雖號稱100M防火墻，由于其算法依靠軟件實 現(xiàn)，通信量遠(yuǎn)遠(yuǎn)沒有達(dá)到100M,實際只有10M-20M。純硬件防火墻，由于采用硬件進行運算，因此吞吐量可以達(dá)到線性90-95M，是真正的100M 防火墻。

　　對于中小型企業(yè)來講，選擇吞吐量為百兆級的防火墻即可滿足需要，而對于電信、金融、保險等大公司大企業(yè)部門就需要采用吞吐量千兆級的防火墻產(chǎn)品。

　　補充閱讀：防火墻主要使用技巧

　　一、所有的防火墻文件規(guī)則必須更改。

　　盡管這種方法聽起來很容易，但是由于防火墻沒有內(nèi)置的變動管理流程，因此文件更改對于許多企業(yè)來說都不是最佳的實踐方法。如果防火墻管理員因為突發(fā)情況或者一些其他形式的業(yè)務(wù)中斷做出更改，那么他撞到槍口上的可能性就會比較大。但是如果這種更改抵消了之前的協(xié)議更改，會導(dǎo)致宕機嗎?這是一個相當(dāng)高發(fā)的狀況。

　　防火墻管理產(chǎn)品的中央控制臺能全面可視所有的防火墻規(guī)則基礎(chǔ)，因此團隊的所有成員都必須達(dá)成共識，觀察誰進行了何種更改。這樣就能及時發(fā)現(xiàn)并修理故障，讓整個協(xié)議管理更加簡單和高效。

　　二、以最小的權(quán)限安裝所有的訪問規(guī)則。

　　另一個常見的安全問題是權(quán)限過度的規(guī)則設(shè)置。防火墻規(guī)則是由三個域構(gòu)成的：即源(IP地址)，目的地(網(wǎng)絡(luò)/子網(wǎng)絡(luò))和服務(wù)(應(yīng)用軟件或者其他目的地)。為了確保每個用戶都有足夠的端口來訪問他們所需的系統(tǒng)，常用方法是在一個或者更多域內(nèi)指定打來那個的目標(biāo)對象。當(dāng)你出于業(yè)務(wù)持續(xù)性的需要允許大范圍的IP地址來訪問大型企業(yè)的網(wǎng)絡(luò)，這些規(guī)則就會變得權(quán)限過度釋放，因此就會增加不安全因素。服務(wù)域的規(guī)則是開放65535個TCP端口的ANY。防火墻管理員真的就意味著為黑客開放了65535個攻擊矢量?

　　三、根據(jù)法規(guī)協(xié)議和更改需求來校驗每項防火墻的更改。

　　在防火墻操作中，日常工作都是以尋找問題，修正問題和安裝新系統(tǒng)為中心的。在安裝最新防火墻規(guī)則來解決問題，應(yīng)用新產(chǎn)品和業(yè)務(wù)部門的過程中，我們經(jīng)常會遺忘防火墻也是企業(yè)安全協(xié)議的物理執(zhí)行者。每項規(guī)則都應(yīng)該重新審核來確保它能符合安全協(xié)議和任何法規(guī)協(xié)議的內(nèi)容和精神，而不僅是一篇法律條文。

　　四、當(dāng)服務(wù)過期后從防火墻規(guī)則中刪除無用的規(guī)則。

　　規(guī)則膨脹是防火墻經(jīng)常會出現(xiàn)的安全問題，因為多數(shù)運作團隊都沒有刪除規(guī)則的流程。業(yè)務(wù)部門擅長讓你知道他們了解這些新規(guī)則，卻從來不會讓防火墻團隊知道他們不再使用某些服務(wù)了。了解退役的服務(wù)器和網(wǎng)絡(luò)以及應(yīng)用軟件更新周期對于達(dá)成規(guī)則共識是個好的開始。運行無用規(guī)則的報表是另外一步。黑客喜歡從來不刪除規(guī)則的防火墻團隊。

衡量防火墻性能的參數(shù)指標(biāo)有哪些相關(guān)文章：

1.cisco路由器的參數(shù)和功能知識

2.cpu如何看型號、及判斷cpu的性能

3.ARP防火墻參數(shù)設(shè)置方法有哪些

4.什么是硬件防火墻

5.防火墻體系架構(gòu)發(fā)展歷程