现在有很多防火墙产品动不动就声称并发连接数120万、150万、180万。。。似乎这东西越大越好,并且一般情况下没有什么工具可以测试,所以很多国内的主流防火墙厂商在推介自己的产品时都把这个指标吹得一家比一家高,用户自己也不知道自己需要多大连接数,所以当然就越大越好了。
实际上防火墙的并发连接数还是受很多因素的影响的:
1、受物理内存大小的限制
现在的主流防火墙都是基于连接状态检测机制的,每个连接的状态数据是保存在内存里,因此并发连接数是受系统的内存大小限制的,一般来说,每个连接会占用内存的300个字节左右,所以,100万并发连接数==300MB内存空间,同时,内存还要用来缓存其他的数据处理数据,所以,如果某厂商说他们的产品支持100万连接数而内存只有256MB,可以肯定地说,在吹牛。
2、受CPU速率的限制
对大多数国内的百兆级防火墙来说,基本都是X86架构的,为节约成本,CPU通常都是奔3或者赛扬的,好一点的会用较低档次的奔4 CPU,处理能力有限,如果连接数过多,而CPU处理能力又有限,势必增加数据转发的延迟,故连接数并非越大越好。
3、受物理链路的实际承载能力限制
虽然目前很多防火墙都提供了10/100/1000M的网络接口,但是,由于防火墙通常都部署在Internet出口处,出口链路相对来说都是比较低速的,低速链路根本无法承载太多的并发连接,所以即便是防火墙能够支持大规模的并发访问连接,它也无法发挥出其原有的性能。也就是说,多了也没用,合适最好。
评价一款防火墙的指标应该是多方面的,比如说,对于多媒体应用来说,数据的转发延迟指标尤显重要。
阅读(9168) | 评论(0) | 转发(0) |
