彻底搞清楚防火墙并发联接数及估算

network

澄清防火墙的最大并发连接数


现在有很多防火墙产品动不动就声称并发连接数120万、150万、180万。。。似乎这东西越大越好，并且一般情况下没有什么工具可以测试，所以很多国内的主流防火墙厂商在推介自己的产品时都把这个指标吹得一家比一家高，用户自己也不知道自己需要多大连接数，所以当然就越大越好了。
实际上防火墙的并发连接数还是受很多因素的影响的：
1、受物理内存大小的限制
现在的主流防火墙都是基于连接状态检测机制的，每个连接的状态数据是保存在内存里，因此并发连接数是受系统的内存大小限制的，一般来说，每个连接会占用内存的300个字节左右，所以，100万并发连接数==300MB内存空间，同时，内存还要用来缓存其他的数据处理数据，所以，如果某厂商说他们的产品支持100万连接数而内存只有256MB，可以肯定地说，在吹牛。
2、受CPU速率的限制
对大多数国内的百兆级防火墙来说，基本都是X86架构的，为节约成本，CPU通常都是奔3或者赛扬的，好一点的会用较低档次的奔4 CPU，处理能力有限，如果连接数过多，而CPU处理能力又有限，势必增加数据转发的延迟，故连接数并非越大越好。
3、受物理链路的实际承载能力限制
虽然目前很多防火墙都提供了10/100/1000M的网络接口，但是，由于防火墙通常都部署在Internet出口处，出口链路相对来说都是比较低速的，低速链路根本无法承载太多的并发连接，所以即便是防火墙能够支持大规模的并发访问连接，它也无法发挥出其原有的性能。也就是说，多了也没用，合适最好。

评价一款防火墙的指标应该是多方面的，比如说，对于多媒体应用来说，数据的转发延迟指标尤显重要。

附CHECKPOINT千M防火墙在一高校2000台PC应用

network

还有一个指标是吞吐量，并发连接数增加，总的吞吐量就会下降，如果火墙达到厂家所表称的最大并发连接数，估计总的吞吐量也能以K计算了。更何况国内的火墙绝大多数属于x86结构，性能本来就不是很强，并发连接数一多，策略也多点，估计也就成老牛拉破车了。

network

正确的算法是：每个并发连接表项占用300B计算，1000个并发连接将占用300B×1000×8bit/B≈2.3Mb内存空间，10000个并发连接将占用23Mb内存空间，100000个并发连接将占用230Mb内存空间。而如果真的试图实现1000000个并发连接的话，这个产品就需要提供2.24Gb的内存空间。

说明一下:嵌入式操作系统本身加载运行自身系统是会占用一些内存的。多少根据系统本身实现的功能来定...