现在有很多防火墙产品动不动就声称并发连接数120万、150万、180万。。。似乎这东西越大越好，并且一般情况下没有什么工具可以测试，所以很多国内的主流防火墙厂商在推介自己的产品时都把这个指标吹得一家比一家高，用户自己也不知道自己需要多大连接数，所以当然就越大越好了。
实际上防火墙的并发连接数还是受很多因素的影响的：
1、受物理内存大小的限制
现在的主流防火墙都是基于连接状态检测机制的，每个连接的状态数据是保存在内存里，因此并发连接数是受系统的内存大小限制的，一般来说，每个连接会占用内存的300个字节左右，所以，100万并发连接数==300MB内存空间，同时，内存还要用来缓存其他的数据处理数据，所以，如果某厂商说他们的产品支持100万连接数而内存只有256MB，可以肯定地说，在吹牛。
2、受CPU速率的限制
对大多数国内的百兆级防火墙来说，基本都是X86架构的，为节约成本，CPU通常都是奔3或者赛扬的，好一点的会用较低档次的奔4 CPU，处理能力有限，如果连接数过多，而CPU处理能力又有限，势必增加数据转发的延迟，故连接数并非越大越好。
3、受物理链路的实际承载能力限制
虽然目前很多防火墙都提供了10/100/1000M的网络接口，但是，由于防火墙通常都部署在Internet出口处，出口链路相对来说都是比较低速的，低速链路根本无法承载太多的并发连接，所以即便是防火墙能够支持大规模的并发访问连接，它也无法发挥出其原有的性能。也就是说，多了也没用，合适最好。

评价一款防火墙的指标应该是多方面的，比如说，对于多媒体应用来说，数据的转发延迟指标尤显重要。

恩，不错

最大连接数:600,000
接受速率:3,721byte/s
发送速率:5.481byte/S

cpu使用率:0.0%
总内存:125,796K
空闲内存:88,392K
当前连接数:17

11:18:

连接数:52

引用:

Originally posted by 74mee at 2005-6-14 11:00:
最大连接数:600,000
接受速率:3,721byte/s
发送速率:5.481byte/S

cpu使用率:0.0%
总内存:125,796K
空闲内存:88,392K
当前连接数:17

是什么牌子、型号的防火墙

没错，火墙还有一个指标是吞吐量，并发连接数增加，总的吞吐量就会下降，如果火墙达到厂家所表称的最大并发连接数，估计总的吞吐量也能以K计算了。更何况国内的火墙绝大多数属于x86结构，性能本来就不是很强，并发连接数一多，策略也多点，估计也就成老牛拉破车了。

引用:

Originally posted by mzwa at 2005-6-16 05:31 PM:

是什么牌子、型号的防火墙

天融信,具体型号没注意

引用:

Originally posted by 74mee at 2005-6-17 09:59:


天融信,具体型号没注意

那应该是4000型号的，国内产品普遍存在这个问题，国外产品标称的连接数是非常准确的

天融信最能吹了，我认识成都天融信的一个工程师，那个叫信口雌黄啊，一台普普通通的百兆防火墙，最多也就30、40万个连接就差不多了，他在给客户的交流中，一口咬定他们的防火墙能够达到160万连接数，真是吹牛不犯法了。

我感觉现在国内的这些防火墙厂商基本上都在吹牛，本分一点的夸张程度在50％左右，不本分的那简直是吹到天上去了。一句话，诚信是个最大的问题。

引用:

Originally posted by mzwa at 2005-6-17 05:39 PM:

那应该是4000型号的，国内产品普遍存在这个问题，国外产品标称的连接数是非常准确的

融信最能吹了，我认识成都天融信的一个工程师，那个叫信口雌黄啊，一台普普通通的百兆防火墙，最多也就30、40万个连接就差不多了，他在给客户的交流中，一口咬定他们的防火墙能够达到160万连接数，真是吹牛不犯法了。

我感觉现在国内的这些防火墙厂商基本上都在吹牛，本分一点的夸张程度在50％左右，不本分的那简直是吹到天上去了。一句话，诚信是个最大的问题。

楼上贴一次就可以了吧，呵呵

引用:

Originally posted by whyljf at 2005-7-2 18:45:
天融信最能吹了，我认识成都天融信的一个工程师，那个叫信口雌黄啊，一台普普通通的百兆防火墙，最多也就30、40万个连接就差不多了，他在给客户的交流中，一口咬定他们的防火墙能够达到160万连接数，真是吹牛不犯 ...

天融信能吹的功夫地球人都知道...

不错！！！！！！！！！！！！！！！！！！！！！！！！！！！

好像楼主错了吧，100万并发要2G内存才能实现啊!
正确的算法是：每个并发连接表项占用300B计算，1000个并发连接将占用300B×1000×8bit/B≈2.3Mb内存空间，10000个并发连接将占用23Mb内存空间，100000个并发连接将占用230Mb内存空间。而如果真的试图实现1000000个并发连接的话，这个产品就需要提供2.24Gb的内存空间。

楼主你是怎么算出来的？感觉不对吧，100万的连接只要300M内存，这个好像有点夸张，CISCO FWSM防火墙服务模块的性能已经很高了，支持100万的连接，标配是2GB内存，PIX535也有50万连接，用512MB或1GB内存，系统本身会用掉一些内存，但是总感觉这个算法有问题，能详细说明一下吗？

了解下，，，、、、、

嵌入式操作系统本身加载运行自身系统是会占用一些内存的。多少根据系统本身实现的功能来定...

并发连接没意义，，，国内都是误入的被人忽悠的，阶段，。

对火墙来讲重要的是每秒新建会话数以及每秒的pps，就是处理数据包数。

并发会话NS的千兆也是50万，
TOPsec 的百兆就有100万，但是能有可比性吗？

国内厂家就是这么忽悠客户，会毁了这个行业的。

为什么国内厂家一个都不敢去进行国外的权威认证？以便打开国外市场？

都在国内搞水份特大的性能测试。。。

引用:

原帖由 kent_dark 于 2007-7-18 08:52 发表
并发连接没意义，，，国内都是误入的被人忽悠的，阶段，。

对火墙来讲重要的是每秒新建会话数以及每秒的pps，就是处理数据包数。

并发会话NS的千兆也是50万，
TOPsec 的百兆就有100万，但是能有可比性 ...

有道理啊,以前在做测评的地方做过,嘿嘿,现在在安全厂商.............

有些东西还是很清楚的

支持








world of warcraft gold