防火墻中個人并發連接數設置原理

摘 要 單位應用級防火墻個人并發連接數限制在多少合適，所有的網絡管理員都在實踐中慢慢摸索，或者干脆使用默認設置。本文給出了一些設置原理和計算方法，網絡管理員可以依據和單位實際在線人數和防火墻性能將個人并發連接數設置80到500之間。

關鍵詞 防火墻 連接設置 原理

中圖分類號：TP393.08 文獻標識碼：A

現在，防火墻的使用已經很普及了，每個防火墻在使用時總是要不斷更新設置，以期保證單位網絡流暢。但是很多單位買的很好的防火墻為什么還會出現外網訪問延遲？防火墻分為三類：包轉發防火墻、狀態連接防火墻、應用層防火墻。我們現在較常用的也是狀態連接防火墻，這類防火墻的重要指標有三項：（1）并發連接數（并發連接數是指防火墻同時能夠維持的連接連接總數）。（2）每秒新建連接數（指防火墻在單位時間1秒內所能夠完全處理的新連接請求數量）。（3）吞吐性能（指防火墻在不丟包的情況下，所能夠達到的最大數據吞吐量）。單位購買防火墻的最大并發連接數一般都在10萬以上，其中有個重要的設置就是用戶并發連接數的限制數量。

那么每個用戶并發連接數要限制到多少才能既不影響單位總體網絡也不影響個人網絡使用？當我們對個人連接數設置的過大時，個人電腦中的下載、電影等p2p 軟件就瘋狂的將所有網絡帶寬占領，造成單位網絡出口的堵塞。當我們對個人并發連接數設置的太小時，個人電腦上網、看電影、下載就會非常的慢。怎么設置個人并發連接數的值是所有網絡管理員很糾結的一件事。

首先，讓我們來研究一下什么是連接數，個人電腦正常使用時連接數會達到多少？當我們需要上網或下載時，由本機發用一個請求，這個請求由防火墻或者路由器轉發，向目標服務器前進，這樣就建立了一個TCP的有狀態連接，每一個TCP連接建立都需要三次握手，也就是Syn、Syn-ack、Ack。當這樣握手的數據包通過防火墻時，防火墻就會為此次連接建立一個連接，并把這個連接存放起來，一般在內存中，則后續的數據包就會利用此次建立的連接進行傳遞數據。第一次建立連接的時候，當然要做很多檢測，包的信息、是不是被防火墻策略允許、有沒有做NAT等等，后續包通過防火墻的時候就會比對連接表里的信息，以便提高防火墻的性能。如果另外一個包包含了新的syn信息通過，并且完成三次握手，防火墻就會建立另外一個新的連接給這個連接。所以這里可以看到，并非你多開一個網頁或者打開個圖片就一定會產生新的連接，UDP連接就更簡單了，不需要三次握手，只要聯系到對方就直接建立一個連接。防護墻所能處理的最大連接數量，就是并發連接數，在防火墻中一般都有允許個人連接的最大并發連接數的設置。一般情況下的個人并發連接數是20以下。當然如果我們在防火墻里限制個人并發連接數是20，那你的電腦幾乎處在上不去網頁的狀態，因為你的電腦里殺毒軟件、下載、電影軟件等都在不斷連接著網絡，不斷試圖建立著新的連接數，尤其是一些下載多線程軟件迅雷等，當我們限制了用戶的下載速度，下載軟件就會增加大量的連接數試圖增加下載速度，甚至有一個開了p2p下載的網絡終端占用了整個單位網絡，使其他人都無法打開外網網頁。所以有些單位網絡管理員直接禁止所有的p2p 軟件與外網建立連接。

個人并發連接數設置的太小不行，設置的太大也不行。當我們將允許個人并發連接數加大，個人并發連接數的增加，使整個防火墻處理的總并發連接數也會大量增加，以每個并發連接表項占用300B計算，1000個并發連接將占用300B €？000 €？8bit/B≈2.3Mb 內存空間，10000個并發連接將占用23Mb內存空間，100000個并發連接將占用230Mb內存空間，而如果真的試圖實現1000000個并發連接的話，那么，這個產品就需要提供2.24Gb內存空間！當內存不足就會造成網絡堵塞或延遲。當我們將個人并發連接數設置過大，總并發連接數的大量增大也會使CPU的占用增加，CPU的主要任務是把網絡上的流量從一個網段盡可能快速地轉發到另外一個網段上，并且在轉發過程中對此流量按照一定的訪問控制策略進行許可檢查、流量統計和訪問審計等作用，這都要求防火墻對并發連接表中的相應表項進行不斷的更新讀寫操作。如果不顧CPU的實際處理能力而貿然增大系統的并發連接數，勢必影響防火墻對連接請求的處理延遲，造成某些連接超時，讓更多的連接報文被重發，進而導致更多的連接超時，最后形成雪崩效應，致使整個防火墻系統崩潰。

我們可以在防火墻記錄里查看網絡情況來分析我們做的限制是否合理，在5秒內，網絡流量為115 Mbps ，網絡連接數為14679，我們可以來計算一下每個連接數的大小來判斷我們的防火墻是否設置得合理，109Mbps*1048576/14679連接數/8 = 973字節/連接數，網絡連接的數據包一般是在64B-1512B之間，正常的網絡情況下，平均每連接的字節數會在256字節/連接～1024字節/連接之間。如果實際網絡連接包的平均值低于256字節/連接，則說明帶寬擁塞，需要進行限制和調整。

限制用戶最大并發連接數，這樣可以大大減小連接數，變相的起到了限制多線程下載軟件的作用。用戶連接數可以用防火墻的最大并發連接數除以單位在線人數來計算出。如果我們有個很好的防火墻可以把個人并發連接數限制到500，如果我們帶寬和防火墻不是很好的話，可以把個人并發連接數限制到80，也就是說個人并發連接數值的限制是根據實際情況設置為80～500之間。

我們在配置智能防火墻時，除了限制用戶最大并發連接數，還可以分時限制用戶上傳下載的流量，當我們網絡空閑時，例如晚上2點后，可以讓下載或者p2p 軟件占用更多的網絡帶寬，當我們早晨工作后就要嚴格限制下載流量，這樣就可以保證正常的網絡使用。