硬體參數,並發連線數,吞吐量,安全過濾頻寬,知識擴展,為什麼使用防火牆,防火牆類型,主要功能,
硬體參數
並發連線數
並發連線數是指防火牆或代理伺服器對其業務信息流的處理能力,是防火牆能夠同時處理的點對點連線的最大數目,它反映出防火牆設備對多個連線的訪問控制能力和連線狀態跟蹤能力,這個參數的大小直接影響到防火牆所能支持的最大信息點數。
並發連線數是衡量防火牆性能的一個重要指標。在目前市面上常見防火牆設備的說明書中大家可以看到,從低端設備的500、1000個並發連線,一直到高端設備的數萬、數十萬乃至數百萬並發連線,存在著好幾個數量級的差異。那么,並發連線數究竟是一個什麼概念呢?它的大小會對用戶的日常使用產生什麼影響呢?要了解並發連線數,首先需要明白一個概念,那就是“會話”。這個“會話”可不是我們平時的談話,但是可以用平時的談話來理解,兩個人在談話時,你一句,我一句,一問一答,我們把它稱為一次對話,或者叫會話。同樣,在我們用電腦工作時,打開的一個視窗或一個Web頁面,我們也可以把它叫做一個“會話”,擴展到一個區域網路裡面,所有用戶要通過防火牆上網,要打開很多個視窗或Web頁面發(即會話),那么,這個防火牆,所能處理的最大會話數量,就是“並發連線數”。
像路由器的路由表存放路由信息一樣,防火牆裡也有一個這樣的表,我們把它叫做並發連線表,是防火牆用以存放並發連線信息的地方,它可在防火牆系統啟動後動態分配進程的記憶體空間,其大小也就是防火牆所能支持的最大並發連線數。大的並發連線表可以增大防火牆最大並發連線數,允許防火牆支持更多的客戶終端。儘管看上去,防火牆等類似產品的並發連線數似乎是越大越好。但是與此同時,過大的並發連線表也會帶來一定的負面影響:
1.並發連線數的增大意味著對系統記憶體資源的消耗
以每個並發連線表項占用300B計算,1000個並發連線將占用300B×1000×8bit/B≈2.3Mb記憶體空間,10000個並發連線將占用23Mb記憶體空間,100000個並發連線將占用230Mb記憶體空間,而如果真的試圖實現1000000個並發連線的話那么,這個產品就需要提供2.24Gb記憶體空間!
2.並發連線數的增大應當充分考慮CPU的處理能力
CPU的主要任務是把網路上的流量從一個網段儘可能快速地轉發到另外一個網段上,並且在轉發過程中對此流量按照一定的訪問控制策略進行許可檢查、流量統計和訪問審計等操作,這都要求防火牆對並發連線表中的相應表項進行不斷的更新讀寫操作。如果不顧CPU的實際處理能力而貿然增大系統的並發連線表,勢必影響防火牆對連線請求的處理延遲,造成某些連線逾時,讓更多的連線報文被重發,進而導致更多的連線逾時,最後形成雪崩效應,致使整個防火牆系統崩潰。
3.物理鏈路的實際承載能力將嚴重影響防火牆發揮出其對海量並發連線的處理能力
雖然目前很多防火牆都提供了10/100/1000Mbps的網路接口,但是,由於防火牆通常都部署在Internet出口處,在客戶端PC與目的資源中間的路徑上,總是存在著瓶頸鏈路——該瓶頸鏈路可能是2Mbps專線,也可能是512Kbps乃至64Kbps的低速鏈路。這些擁擠的低速鏈路根本無法承載太多的並發連線,所以即便是防火牆能夠支持大規模的並發訪問連線,也無法發揮出其原有的性能。
有鑒於此,我們應當根據網路環境的具體情況和個人不同的上網習慣來選擇適當規模的並發連線表。因為不同規模的網路會產生大小不同的並發連線,而用戶習慣於何種網路服務以及如何使用這些服務,同樣也會產生不同的並發連線需求。高並發連線數的防火牆設備通常需要客戶投資更多的設備,這是因為並發連線數的增大牽扯到數據結構、CPU、記憶體、系統匯流排和網路接口等多方面因素。如何在合理的設備投資和實際上所能提供的性能之間尋找一個黃金平衡點將是用戶選擇產品的一個重要任務。按照並發連線數來衡量方案的合理性是一個值得推薦的辦法。
以每個用戶需要10.5個並發連線來計算,一個中小型企業網路(1000個信息點以下,容納4個C類地址空間)大概需要10.5×1000=10500個並發連線,因此支持20000~30000最大並發連線的防火牆設備便可以滿足需求;大型的企事業單位網路(比如信息點數在1000~10000之間)大概會需要105000個並發連線,所以支持100000~120000最大並發連線的防火牆就可以滿足企業的實際需要; 而對於大型電信運營商和ISP來說,電信級的千兆防火牆(支持120000~200000個並發連線)則是恰當的選擇。為較低需求而採用高端的防火牆設備將造成用戶投資的浪費,同樣為較高的客戶需求而採用低端設備將無法達到預計的性能指標。利用網路整體上的並發連線需求來選擇適當的防火牆產品可以幫助用戶快速、準確的定位所需要的產品,避免對單純某一參數“愈大愈好”的盲目追求,縮短設計施工周期,節省企業的開支。從而為企業實施最合理的安全保護方案。
在利用並發連線數指標選擇防火牆產品的同時,產品的綜合性能、廠家的研發力量、資金實力、企業的商業信譽和經營風險以及產品線的技術支持和售後服務體系等都應當納入採購者的視野,將多方面的因素結合起來進行綜合考慮,切不可盲目的聽信某些廠家廣告宣傳中的大並發連線的宣傳,要根據自己業務系統、企業規模、發展空間和自身實力等因素多方面考慮。
吞吐量
網路中的數據是由一個個數據包組成,防火牆對每個數據包的處理要耗費資源。吞吐量是指在沒有幀丟失的情況下,設備能夠接受的最大速率。其測試方法是:在測試中以一定速率傳送一定數量的幀,並計算待測設備傳輸的幀,如果傳送的幀與接收的幀數量相等,那么就將傳送速率提高並重新測試;如果接收幀少於傳送幀則降低傳送速率重新測試,直至得出最終結果。吞吐量測試結果以比特/秒或位元組/秒表示。
吞吐量和報文轉發率是關係防火牆套用的主要指標,一般採用FDT(Full Duplex Throughput)來衡量,指64位元組數據包的全雙工吞吐量,該指標既包括吞吐量指標也涵蓋了報文轉發率指標。
吞吐量的大小主要由防火牆區域網路卡,及程式算法的效率決定,尤其是程式算法,會使防火牆系統進行大量運算,通信量大打折扣。因此,大多數防火牆雖號稱100M防火牆,由於其算法依靠軟體實現,通信量遠遠沒有達到100M,實際只有10M-20M。純硬體防火牆,由於採用硬體進行運算,因此吞吐量可以達到線性90-95M,是真正的100M防火牆。
對於中小型企業來講,選擇吞吐量為百兆級的防火牆即可滿足需要,而對於電信、金融、保險等大公司大企業部門就需要採用吞吐量千兆級的防火牆產品。
安全過濾頻寬
安全過濾頻寬是指防火牆在某種加密算法標準下,如DES(56位)或3DES(168位)下的整體過濾性能。它是相對於明文頻寬提出的。一般來說,防火牆總的吞吐量越大,其對應的安全過濾頻寬越高
知識擴展
為什麼使用防火牆
防火牆具有很好的保護作用。入侵者必須首先穿越防火牆的安全防線,才能接觸目標計算機。你可以將防火牆配置成許多不同保護級別。高級別的保護可能會禁止一些服務,如視頻流等。 防火牆可以擋住病毒木馬甚至是最新的變種。防火牆是根據連線網路的數據包來進行監控的,也就是說,防火牆就相當於一個嚴格的門衛,掌管系統的各扇門(連線埠),它負責對進出的所有人(應用程式所發出的數據包)進行身份核實,每個人都需要得到個人許可才可以出入。每當有不明的程式想要進入系統,或者連出網路,防火牆都會在第一時間攔截,並檢查身份。
另外,防火牆還有一個優點,就是可以防禦黑客對系統的攻擊,這是防毒軟體無法做到的,因為黑客的操作不具有任何特徵碼,防毒軟體自然無法識別,而防火牆則可以把你系統的每個連線埠都隱藏起來,黑客掃描你的IP的時候,不返回任何數據包,這樣黑客就無法發現你這個系統的存在,從而使對方無法攻擊你。
防火牆類型
防火牆有不同類型。一個防火牆可以是硬體自身的一部分,你可以將網際網路連線和計算機都插入其中。防火牆也可以在一個獨立的機器上運行,該機器作為它背後網路中所有計算機的代理和防火牆。最後,直接連在網際網路的機器可以使用個人防火牆。
防火牆的類型:一個個人防火牆, 通常軟體套用過濾信息進入或留下。一台電腦和一個傳統防火牆通常跑在一台專用的網路設備或電腦被安置在兩個或更多網路或DMZs (解除軍事管制區域) 界限。 以下是兩個主要類防火牆: 網路層防火牆和 套用層防火牆。一個防火牆可以是硬體自身的一部分,你可以將網際網路連線和計算機都插入其中。防火牆也可以在一個獨立的機器上運行,該機器作為它背後網路中所有計算機的代理和防火牆。最後,直接連在網際網路的機器可以使用個人防火牆。 防火牆又大致分為硬體防火牆和軟體防火牆:硬體防火牆是指把防火牆程式做到晶片裡面,由硬體執行這些功能,能減少CPU的負擔,使路由更穩定。硬體防火牆一般都有WAN、LAN和DMZ三個連線埠,還具有各種安全功能,價格比較高,企業以及大型網路使用得比較多。軟體防火牆其實就是安全防護軟體,比如Outpost、ZA等等。
