论文部分内容阅读
摘 要 单位应用级防火墙个人并发连接数限制在多少合适,所有的网络管理员都在实践中慢慢摸索,或者干脆使用默认设置。本文给出了一些设置原理和计算方法,网络管理员可以依据和单位实际在线人数和防火墙性能将个人并发连接数设置80到500之间。
关键词 防火墙 连接设置 原理
中图分类号:TP393.08 文献标识码:A
现在,防火墙的使用已经很普及了,每个防火墙在使用时总是要不断更新设置,以期保证单位网络流畅。但是很多单位买的很好的防火墙为什么还会出现外网访问延迟?防火墙分为三类:包转发防火墙、状态连接防火墙、应用层防火墙。我们现在较常用的也是状态连接防火墙,这类防火墙的重要指标有三项:(1)并发连接数(并发连接数是指防火墙同时能够维持的连接连接总数)。(2)每秒新建连接数(指防火墙在单位时间1秒内所能够完全处理的新连接请求数量)。(3)吞吐性能(指防火墙在不丢包的情况下,所能够达到的最大数据吞吐量)。单位购买防火墙的最大并发连接数一般都在10万以上,其中有个重要的设置就是用户并发连接数的限制数量。
那么每个用户并发连接数要限制到多少才能既不影响单位总体网络也不影响个人网络使用?当我们对个人连接数设置的过大时,个人电脑中的下载、电影等p2p 软件就疯狂的将所有网络带宽占领,造成单位网络出口的堵塞。当我们对个人并发连接数设置的太小时,个人电脑上网、看电影、下载就会非常的慢。怎么设置个人并发连接数的值是所有网络管理员很纠结的一件事。
首先,让我们来研究一下什么是连接数,个人电脑正常使用时连接数会达到多少?当我们需要上网或下载时,由本机发用一个请求,这个请求由防火墙或者路由器转发,向目标服务器前进,这样就建立了一个TCP的有状态连接,每一个TCP连接建立都需要三次握手,也就是Syn、Syn-ack、Ack。当这样握手的数据包通过防火墙时,防火墙就会为此次连接建立一个连接,并把这个连接存放起来,一般在内存中,则后续的数据包就会利用此次建立的连接进行传递数据。第一次建立连接的时候,当然要做很多检测,包的信息、是不是被防火墙策略允许、有没有做NAT等等,后续包通过防火墙的时候就会比对连接表里的信息,以便提高防火墙的性能。如果另外一个包包含了新的syn信息通过,并且完成三次握手,防火墙就会建立另外一个新的连接给这个连接。所以这里可以看到,并非你多开一个网页或者打开个图片就一定会产生新的连接,UDP连接就更简单了,不需要三次握手,只要联系到对方就直接建立一个连接。防护墙所能处理的最大连接数量,就是并发连接数,在防火墙中一般都有允许个人连接的最大并发连接数的设置。一般情况下的个人并发连接数是20以下。当然如果我们在防火墙里限制个人并发连接数是20,那你的电脑几乎处在上不去网页的状态,因为你的电脑里杀毒软件、下载、电影软件等都在不断连接着网络,不断试图建立着新的连接数,尤其是一些下载多线程软件迅雷等,当我们限制了用户的下载速度,下载软件就会增加大量的连接数试图增加下载速度,甚至有一个开了p2p下载的网络终端占用了整个单位网络,使其他人都无法打开外网网页。所以有些单位网络管理员直接禁止所有的p2p 软件与外网建立连接。
个人并发连接数设置的太小不行,设置的太大也不行。当我们将允许个人并发连接数加大,个人并发连接数的增加,使整个防火墙处理的总并发连接数也会大量增加,以每个并发连接表项占用300B计算,1000个并发连接将占用300B €?000 €?8bit/B≈2.3Mb 内存空间,10000个并发连接将占用23Mb内存空间,100000个并发连接将占用230Mb内存空间,而如果真的试图实现1000000个并发连接的话,那么,这个产品就需要提供2.24Gb内存空间!当内存不足就会造成网络堵塞或延迟。当我们将个人并发连接数设置过大,总并发连接数的大量增大也会使CPU的占用增加,CPU的主要任务是把网络上的流量从一个网段尽可能快速地转发到另外一个网段上,并且在转发过程中对此流量按照一定的访问控制策略进行许可检查、流量统计和访问审计等作用,这都要求防火墙对并发连接表中的相应表项进行不断的更新读写操作。如果不顾CPU的实际处理能力而贸然增大系统的并发连接数,势必影响防火墙对连接请求的处理延迟,造成某些连接超时,让更多的连接报文被重发,进而导致更多的连接超时,最后形成雪崩效应,致使整个防火墙系统崩溃。
我们可以在防火墙记录里查看网络情况来分析我们做的限制是否合理,在5秒内,网络流量为115 Mbps ,网络连接数为14679,我们可以来计算一下每个连接数的大小来判断我们的防火墙是否设置得合理,109Mbps*1048576/14679连接数/8 = 973字节/连接数,网络连接的数据包一般是在64B-1512B之间,正常的网络情况下,平均每连接的字节数会在256字节/连接~1024字节/连接之间。如果实际网络连接包的平均值低于256字节/连接,则说明带宽拥塞,需要进行限制和调整。
限制用户最大并发连接数,这样可以大大减小连接数,变相的起到了限制多线程下载软件的作用。用户连接数可以用防火墙的最大并发连接数除以单位在线人数来计算出。如果我们有个很好的防火墙可以把个人并发连接数限制到500,如果我们带宽和防火墙不是很好的话,可以把个人并发连接数限制到80,也就是说个人并发连接数值的限制是根据实际情况设置为80~500之间。
我们在配置智能防火墙时,除了限制用户最大并发连接数,还可以分时限制用户上传下载的流量,当我们网络空闲时,例如晚上2点后,可以让下载或者p2p 软件占用更多的网络带宽,当我们早晨工作后就要严格限制下载流量,这样就可以保证正常的网络使用。
关键词 防火墙 连接设置 原理
中图分类号:TP393.08 文献标识码:A
现在,防火墙的使用已经很普及了,每个防火墙在使用时总是要不断更新设置,以期保证单位网络流畅。但是很多单位买的很好的防火墙为什么还会出现外网访问延迟?防火墙分为三类:包转发防火墙、状态连接防火墙、应用层防火墙。我们现在较常用的也是状态连接防火墙,这类防火墙的重要指标有三项:(1)并发连接数(并发连接数是指防火墙同时能够维持的连接连接总数)。(2)每秒新建连接数(指防火墙在单位时间1秒内所能够完全处理的新连接请求数量)。(3)吞吐性能(指防火墙在不丢包的情况下,所能够达到的最大数据吞吐量)。单位购买防火墙的最大并发连接数一般都在10万以上,其中有个重要的设置就是用户并发连接数的限制数量。
那么每个用户并发连接数要限制到多少才能既不影响单位总体网络也不影响个人网络使用?当我们对个人连接数设置的过大时,个人电脑中的下载、电影等p2p 软件就疯狂的将所有网络带宽占领,造成单位网络出口的堵塞。当我们对个人并发连接数设置的太小时,个人电脑上网、看电影、下载就会非常的慢。怎么设置个人并发连接数的值是所有网络管理员很纠结的一件事。
首先,让我们来研究一下什么是连接数,个人电脑正常使用时连接数会达到多少?当我们需要上网或下载时,由本机发用一个请求,这个请求由防火墙或者路由器转发,向目标服务器前进,这样就建立了一个TCP的有状态连接,每一个TCP连接建立都需要三次握手,也就是Syn、Syn-ack、Ack。当这样握手的数据包通过防火墙时,防火墙就会为此次连接建立一个连接,并把这个连接存放起来,一般在内存中,则后续的数据包就会利用此次建立的连接进行传递数据。第一次建立连接的时候,当然要做很多检测,包的信息、是不是被防火墙策略允许、有没有做NAT等等,后续包通过防火墙的时候就会比对连接表里的信息,以便提高防火墙的性能。如果另外一个包包含了新的syn信息通过,并且完成三次握手,防火墙就会建立另外一个新的连接给这个连接。所以这里可以看到,并非你多开一个网页或者打开个图片就一定会产生新的连接,UDP连接就更简单了,不需要三次握手,只要联系到对方就直接建立一个连接。防护墙所能处理的最大连接数量,就是并发连接数,在防火墙中一般都有允许个人连接的最大并发连接数的设置。一般情况下的个人并发连接数是20以下。当然如果我们在防火墙里限制个人并发连接数是20,那你的电脑几乎处在上不去网页的状态,因为你的电脑里杀毒软件、下载、电影软件等都在不断连接着网络,不断试图建立着新的连接数,尤其是一些下载多线程软件迅雷等,当我们限制了用户的下载速度,下载软件就会增加大量的连接数试图增加下载速度,甚至有一个开了p2p下载的网络终端占用了整个单位网络,使其他人都无法打开外网网页。所以有些单位网络管理员直接禁止所有的p2p 软件与外网建立连接。
个人并发连接数设置的太小不行,设置的太大也不行。当我们将允许个人并发连接数加大,个人并发连接数的增加,使整个防火墙处理的总并发连接数也会大量增加,以每个并发连接表项占用300B计算,1000个并发连接将占用300B €?000 €?8bit/B≈2.3Mb 内存空间,10000个并发连接将占用23Mb内存空间,100000个并发连接将占用230Mb内存空间,而如果真的试图实现1000000个并发连接的话,那么,这个产品就需要提供2.24Gb内存空间!当内存不足就会造成网络堵塞或延迟。当我们将个人并发连接数设置过大,总并发连接数的大量增大也会使CPU的占用增加,CPU的主要任务是把网络上的流量从一个网段尽可能快速地转发到另外一个网段上,并且在转发过程中对此流量按照一定的访问控制策略进行许可检查、流量统计和访问审计等作用,这都要求防火墙对并发连接表中的相应表项进行不断的更新读写操作。如果不顾CPU的实际处理能力而贸然增大系统的并发连接数,势必影响防火墙对连接请求的处理延迟,造成某些连接超时,让更多的连接报文被重发,进而导致更多的连接超时,最后形成雪崩效应,致使整个防火墙系统崩溃。
我们可以在防火墙记录里查看网络情况来分析我们做的限制是否合理,在5秒内,网络流量为115 Mbps ,网络连接数为14679,我们可以来计算一下每个连接数的大小来判断我们的防火墙是否设置得合理,109Mbps*1048576/14679连接数/8 = 973字节/连接数,网络连接的数据包一般是在64B-1512B之间,正常的网络情况下,平均每连接的字节数会在256字节/连接~1024字节/连接之间。如果实际网络连接包的平均值低于256字节/连接,则说明带宽拥塞,需要进行限制和调整。
限制用户最大并发连接数,这样可以大大减小连接数,变相的起到了限制多线程下载软件的作用。用户连接数可以用防火墙的最大并发连接数除以单位在线人数来计算出。如果我们有个很好的防火墙可以把个人并发连接数限制到500,如果我们带宽和防火墙不是很好的话,可以把个人并发连接数限制到80,也就是说个人并发连接数值的限制是根据实际情况设置为80~500之间。
我们在配置智能防火墙时,除了限制用户最大并发连接数,还可以分时限制用户上传下载的流量,当我们网络空闲时,例如晚上2点后,可以让下载或者p2p 软件占用更多的网络带宽,当我们早晨工作后就要严格限制下载流量,这样就可以保证正常的网络使用。