当前用户并发数已满

防⽕墙参数并发连接数、⽤户数限制、吞吐量

并发连接数

并发连接数是指防⽕墙或代理服务器对其业务信息流的处理能⼒，是防⽕墙能够同时处理的点对点连接的最⼤数⽬，它反映出

防⽕墙设备对多个连接的访问控制能⼒和连接状态跟踪能⼒，这个参数的⼤⼩直接影响到防⽕墙所能⽀持的最⼤信息点数。

并发连接数是衡量防⽕墙性能的⼀个重要指标。在⽬前市⾯上常见防⽕墙设备的说明书中⼤家可以看到，从低端设备的500、

1000个并发连接，⼀直到⾼端设备的数万、数⼗万并发连接，存在着好⼏个数量级的差异。那么，并发连接数究竟是⼀个什么概念

呢？它的⼤⼩会对⽤户的⽇常使⽤产⽣什么影响呢？要了解并发连接数，⾸先需要明⽩⼀个概念，那就是“会话”。这个“会话”可不是

我们平时的谈话，但是可以⽤平时的谈话来理解，两个⼈在谈话时，你⼀句，我⼀句，⼀问⼀答，我们把它称为⼀次对话，或者叫

会话。同样，在我们⽤电脑⼯作时，打开的⼀个窗⼝或⼀个Web页⾯，我们也可以把它叫做⼀个“会话”，扩展到⼀个局域⽹⾥⾯，

所有⽤户要通过防⽕墙上⽹，要打开很多个窗⼝或Web页⾯发（即会话），那么，这个防⽕墙，所能处理的最⼤会话数量，就是“并

发连接数”。

像路由器的路由表存放路由信息⼀样，防⽕墙⾥也有⼀个这样的表，我们把它叫做并发连接表，是防⽕墙⽤以存放并发连接信

息的地⽅，它可在防⽕墙系统启动后动态分配进程的内存空间，其⼤⼩也就是防⽕墙所能⽀持的最⼤并发连接数。⼤的并发连接表

可以增⼤防⽕墙最⼤并发连接数，允许防⽕墙⽀持更多的客户终端。尽管看上去，防⽕墙等类似产品的并发连接数似乎是越⼤越

好。但是与此同时，过⼤的并发连接表也会带来⼀定的负⾯影响：

1.并发连接数的增⼤意味着对系统内存资源的消耗

以每个并发连接表项占⽤300B计算，1000个并发连接将占⽤300B×1000×8bit/B≈2.3Mb内存空间，10000个并发连接将占⽤

23Mb内存空间，100000个并发连接将占⽤230Mb内存空间，⽽如果真的试图实现1000000个并发连接的话那么，这个产品就需要提

供2.24Gb内存空间！

2.并发连接数的增⼤应当充分考虑CPU的处理能⼒

CPU的主要任务是把⽹络上的流量从⼀个⽹段尽可能快速地转发到另外⼀个⽹段上，并且在转发过程中对此流量按照⼀定的访

问控制策略进⾏许可检查、流量统计和访问审计等操作，这都要求防⽕墙对并发连接表中的相应表项进⾏不断的更新读写操作。如

果不顾CPU的实际处理能⼒⽽贸然增⼤系统的并发连接表，势必影响防⽕墙对连接请求的处理延迟，造成某些连接超时，让更多的

连接报⽂被重发，进⽽导致更多的连接超时，最后形成雪崩效应，致使整个防⽕墙系统崩溃。

3.物理链路的实际承载能⼒将严重影响防⽕墙发挥出其对海量并发连接的处理能⼒

虽然⽬前很多防⽕墙都提供了10/100/1000Mbps的⽹络接⼝，但是，由于防⽕墙通常都部署在Internet出⼝处，在客户端PC与⽬

的资源中间的路径上，总是存在着瓶颈链路——该瓶颈链路可能是2Mbps专线，也可能是512Kbps乃⾄64Kbps的低速链路。这些拥

挤的低速链路根本⽆法承载太多的并发连接，所以即便是防⽕墙能够⽀持⼤规模的并发访问连接，也⽆法发挥出其原有的性能。

有鉴于此，我们应当根据⽹络环境的具体情况和个⼈不同的上⽹习惯来选择适当规模的并发连接表。因为不同规模的⽹络会产

⽣⼤⼩不同的并发连接，⽽⽤户习惯于何种⽹络服务以及如何使⽤这些服务，同样也会产⽣不同的并发连接需求。⾼并发连接数的

防⽕墙设备通常需要客户投资更多的设备，这是因为并发连接数的增⼤牵扯到数据结构、CPU、内存、系统总线和⽹络接⼝等多⽅

⾯因素。如何在合理的设备投资和实际上所能提供的性能之间寻找⼀个黄⾦平衡点将是⽤户选择产品的⼀个重要任务。按照并发连

接数来衡量⽅案的合理性是⼀个值得推荐的办法。

以每个⽤户需要10.5个并发连接来计算，⼀个中⼩型企业⽹络（1000个信息点以下，容纳4个C类地址空间）⼤概需要

10.5×1000=10500个并发连接，因此⽀持20000～30000最⼤并发连接的防⽕墙设备便可以满⾜需求；⼤型的企事业单位⽹络（⽐如

信息点数在1000～10000之间）⼤概会需要105000个并发连接，所以⽀持100000～120000最⼤并发连接的防⽕墙就可以满⾜企业的

实际需要;⽽对于⼤型电信运营商和ISP来说，电信级的千兆防⽕墙（⽀持120000～200000个并发连接）则是恰当的选择。为较低需

求⽽采⽤⾼端的防⽕墙设备将造成⽤户投资的浪费，同样为较⾼的客户需求⽽采⽤低端设备将⽆法达到预计的性能指标。利⽤⽹络

整体上的并发连接需求来选择适当的防⽕墙产品可以帮助⽤户快速、准确的定位所需要的产品，避免对单纯某⼀参数“愈⼤愈好”的

盲⽬追求，缩短设计施⼯周期，节省企业的开⽀。从⽽为企业实施最合理的安全保护⽅案。

⽤户数限制

在利⽤并发连接数指标选择防⽕墙产品的同时，产品的综合性能、⼚家的研发⼒量、资⾦实⼒、企业的商业信誉和经营风险以

及产品线的技术⽀持和售后服务体系等都应当纳⼊采购者的视野，将多⽅⾯的因素结合起来进⾏综合考虑，切不可盲⽬的听信某些

⼚家⼴告宣传中的⼤并发连接的宣传，要根据⾃⼰业务系统、企业规模、发展空间和⾃⾝实⼒等因素多⽅⾯考虑。

防⽕墙的⽤户数限制分为固定限制⽤户数和⽆⽤户数限制两种。前者⽐如SOHO型防⽕墙⼀般⽀持⼏⼗到⼏百个⽤户不等，⽽

⽆⽤户数限制⼤多⽤于⼤的部门或公司。

要注意的是，⽤户数和并发连接数是完全不同的两个概念，并发连接数是指防⽕墙的最⼤会话数（或进程），每个⽤户可以在

⼀个时间⾥产⽣很多的连接，在购买产品时要区分这两个概念。

吞吐量

⽹络中的数据是由⼀个个数据包组成，防⽕墙对每个数据包的处理要耗费资源。吞吐量是指在不丢包的情况下单位时间内通过

防⽕墙的数据包数量。

随着Internet的⽇益普及，内部⽹⽤户访问Internet的需求在不断增加，⼀些企业也需要对外提供诸如WWW页⾯浏览、FTP⽂件

传输、DNS域名解析等服务，这些因素会导致⽹络流量的急剧增加，⽽防⽕墙作为内外⽹之间的唯⼀数据通道，如果吞吐量太⼩，

就会成为⽹络瓶颈，给整个⽹络的传输效率带来负⾯影响。因此，考察防⽕墙的吞吐能⼒有助于我们更好的评价其性能表现。这也

就会成为⽹络瓶颈，给整个⽹络的传输效率带来负⾯影响。因此，考察防⽕墙的吞吐能⼒有助于我们更好的评价其性能表现。这也

是测量防⽕墙性能的重要指标。

吞吐量的⼤⼩主要由防⽕墙内⽹卡，及程序算法的效率决定，尤其是程序算法，会使防⽕墙系统进⾏⼤量运算，通信量⼤打折

扣。因此，⼤多数防⽕墙虽号称100M防⽕墙，由于其算法依靠软件实现，通信量远远没有达到100M,实际只有10M-20M。纯硬件防

⽕墙，由于采⽤硬件进⾏运算，因此吞吐量可以达到线性90-95M,是真正的100M防⽕墙。

对于中⼩型企业来讲，选择吞吐量为百兆级的防⽕墙即可满⾜需要，⽽对于电信、⾦融、保险等⼤公司⼤企业部门就需要采⽤

吞吐量千兆级的防⽕墙产品。