學(xué)習(xí)啦 > 學(xué)習(xí)電腦 > 電腦安全 > 防火墻知識 >

衡量防火墻性能的參數(shù)指標(biāo)有哪些

時間: 加城1195 分享

  防火墻借由監(jiān)測所有的封包并找出不符規(guī)則的內(nèi)容,可以防范電腦蠕蟲或是木馬程序的快速蔓延。對于防火墻的性能,我們應(yīng)該怎么衡量比較呢?這篇文章主要介紹了衡量防火墻性能的幾個重要參數(shù)指標(biāo),需要的朋友可以參考下

  防火墻主要參考以下3種性能指標(biāo):

  整機(jī)吞吐量:指防火墻在狀態(tài)檢測機(jī)制下能夠處理一定包長數(shù)據(jù)的最大轉(zhuǎn)發(fā)能力,業(yè)界默認(rèn)一般都采用大包衡量防火墻對報(bào)文的處理能力。

  最大并發(fā)連接數(shù):由于防火墻是針對連接進(jìn)行處理報(bào)文的,并發(fā)連接數(shù)目是指的防火墻可以同時容納的最大的連接數(shù)目,一個連接就是一個TCP/UDP的訪問。

  每秒新建連接數(shù):指每秒鐘可以通過防火墻建立起來的完整TCP/UDP連接。該指標(biāo)主要用來衡量防火墻在處理過程中對報(bào)文連接的處理速度,如果該指標(biāo)低會造成用戶明顯感覺上網(wǎng)速度慢,在用戶量較大的情況下容易造成防火墻處理能力急劇下降,并且會造成防火墻對網(wǎng)絡(luò)攻擊防范能力差。

  并發(fā)連接數(shù)

  并發(fā)連接數(shù)是指防火墻或代理服務(wù)器對其業(yè)務(wù)信息流的處理能力,是防火墻能夠同時處理的點(diǎn)對點(diǎn)連接的最大數(shù)目,它反映出防火墻設(shè)備對多個連接的訪問控制能力和連接狀態(tài)跟蹤能力,這個參數(shù)的大小直接影響到防火墻所能支持的最大信息點(diǎn)數(shù)。

  并發(fā)連接數(shù)是衡量防火墻性能的一個重要指標(biāo)。在目前市面上常見防火墻設(shè)備的說明書中大家可以看到,從低端設(shè)備的500、1000個并發(fā)連接,一直到高端設(shè)備的數(shù)萬、數(shù)十萬并發(fā)連接,存在著好幾個數(shù)量級的差異。那么,并發(fā)連接數(shù)究竟是一個什么概念呢?它的大小會對用戶的日常使用產(chǎn)生什么影響呢?

  要了解并發(fā)連接數(shù),首先需要明白一個概念,那就是“會話”。這個“會話”可不是我們平時的談話,但是可以用平時的談話來理解,兩個人在談話時,你一句,我一句,一問一 答,我們把它稱為一次對話,或者叫會話。同樣,在我們用電腦工作時,打開的一個窗口或一個Web頁面,我們也可以把它叫做一個“會話”,擴(kuò)展到一個局域網(wǎng)里面,所有用戶要通過防火墻上網(wǎng),要打開很多個窗口或Web頁面發(fā)(即會話),那么,這個防火墻,所能處理的最大會話數(shù)量,就是“并發(fā)連接數(shù)”。

  像路由器的路由表存放路由信息一樣,防火墻里也有一個這樣的表,我們把它叫做并發(fā)連接表,是防火墻用以存放并發(fā)連接信息的地方,它可在防火墻系統(tǒng)啟動后動態(tài)分配進(jìn)程的內(nèi)存空間,其大小也就是防火墻所能支持的最大并發(fā)連接數(shù)。大的并發(fā)連接表可以增大防火墻最大并發(fā)連接數(shù),允許防火墻支持更多的客戶終端。盡管看 上去,防火墻等類似產(chǎn)品的并發(fā)連接數(shù)似乎是越大越好。但是與此同時,過大的并發(fā)連接表也會帶來一定的負(fù)面影響:

  1.并發(fā)連接數(shù)的增大意味著對系統(tǒng)內(nèi)存資源的消耗

  以每個并發(fā)連接表項(xiàng)占用300B計(jì)算,1000個并發(fā)連接將占用300B×1000×8bit/B≈2.3Mb內(nèi)存空間,10000個并發(fā)連接將占用 23Mb內(nèi)存空間,100000個并發(fā)連接將占用230Mb內(nèi)存空間,而如果真的試圖實(shí)現(xiàn)1000000個并發(fā)連接的話那么,這個產(chǎn)品就需要提供 2.24Gb內(nèi)存空間。

  2.并發(fā)連接數(shù)的增大應(yīng)當(dāng)充分考慮CPU的處理能力

  CPU的主要任務(wù)是把網(wǎng)絡(luò)上的流量從一個網(wǎng)段盡可能快速地轉(zhuǎn)發(fā)到另外一個網(wǎng)段上,并且在轉(zhuǎn)發(fā)過程中對此流量按照一定的訪問控制策略進(jìn)行許可檢查、流量統(tǒng)計(jì)和訪問審計(jì)等操作,這都要求防火墻對并發(fā)連接表中的相應(yīng)表項(xiàng)進(jìn)行不斷的更新讀寫操作。如果不顧C(jī)PU的實(shí)際處理能力而貿(mào)然增大系統(tǒng)的并發(fā)連接表,勢必影響 防火墻對連接請求的處理延遲,造成某些連接超時,讓更多的連接報(bào)文被重發(fā),進(jìn)而導(dǎo)致更多的連接超時,最后形成雪崩效應(yīng),致使整個防火墻系統(tǒng)崩潰。

  3. 物理鏈路的實(shí)際承載能力將嚴(yán)重影響防火墻發(fā)揮出其對海量并發(fā)連接的處理能力

  雖然目前很多防火墻都提供了 10/100/1000Mbps的網(wǎng)絡(luò)接口,但是,由于防火墻通常都部署在Internet出口處,在客戶端PC與目的資源中間的路徑上,總是存在著瓶頸鏈路——該瓶頸鏈路可能是2Mbps專線,也可能是512Kbps乃至64Kbps的低速鏈路。這些擁擠的低速鏈路根本無法承載太多的并發(fā)連接,所以即便是防火墻能夠支持大規(guī)模的并發(fā)訪問連接,也無法發(fā)揮出其原有的性能。

  有鑒于此,我們應(yīng)當(dāng)根據(jù)網(wǎng)絡(luò)環(huán)境的具體情況和個人不同的上網(wǎng)習(xí)慣來選擇適當(dāng)規(guī)模的并發(fā)連接表。因?yàn)椴煌?guī)模的網(wǎng)絡(luò)會產(chǎn)生大小不同的并發(fā)連接,而用戶習(xí)慣于何種網(wǎng)絡(luò)服務(wù)以及如何使用這些服務(wù),同樣也會產(chǎn)生不同的并發(fā)連接需求。高并發(fā)連接數(shù)的防火墻設(shè)備通常需要客戶投資更多的設(shè)備,這是因?yàn)椴l(fā)連接數(shù)的增大牽扯到數(shù)據(jù)結(jié)構(gòu)、CPU、內(nèi)存、系統(tǒng)總線和網(wǎng)絡(luò)接口等多方面因素。如何在合理的設(shè)備投資和實(shí)際上所能提供的性能之間尋找一個黃金平衡點(diǎn)將是用戶選擇產(chǎn)品的一 個重要任務(wù)。按照并發(fā)連接數(shù)來衡量方案的合理性是一個值得推薦的辦法。

  以每個用戶需要10.5個并發(fā)連接來計(jì)算,一個中小型企業(yè)網(wǎng)絡(luò)(1000個信息點(diǎn)以下,容納4個C類地址空間)大概需要10.5×1000=10500個并發(fā)連接,因此支持 20000~30000最大并發(fā)連接的防火墻設(shè)備便可以滿足需求;大型的企事業(yè)單位網(wǎng)絡(luò)(比如信息點(diǎn)數(shù)在1000~10000之間)大概會需要 105000個并發(fā)連接,所以支持100000~120000最大并發(fā)連接的防火墻就可以滿足企業(yè)的實(shí)際需要; 而對于大型電信運(yùn)營商和ISP來說,電信級的千兆防火墻(支持120000~200000個并發(fā)連接)則是恰當(dāng)?shù)倪x擇。為較低需求而采用高端的防火墻設(shè)備 將造成用戶投資的浪費(fèi),同樣為較高的客戶需求而采用低端設(shè)備將無法達(dá)到預(yù)計(jì)的性能指標(biāo)。利用網(wǎng)絡(luò)整體上的并發(fā)連接需求來選擇適當(dāng)?shù)姆阑饓Ξa(chǎn)品可以幫助用戶 快速、準(zhǔn)確的定位所需要的產(chǎn)品,避免對單純某一參數(shù)“愈大愈好”的盲目追求,縮短設(shè)計(jì)施工周期,節(jié)省企業(yè)的開支。從而為企業(yè)實(shí)施最合理的安全保護(hù)方案。

  在利用并發(fā)連接數(shù)指標(biāo)選擇防火墻產(chǎn)品的同時,產(chǎn)品的綜合性能、廠家的研發(fā)力量、資金實(shí)力、企業(yè)的商業(yè)信譽(yù)和經(jīng)營風(fēng)險(xiǎn)以及產(chǎn)品線的技術(shù)支持和售后服務(wù)體系等 都應(yīng)當(dāng)納入采購者的視野,將多方面的因素結(jié)合起來進(jìn)行綜合考慮,切不可盲目的聽信某些廠家廣告宣傳中的大并發(fā)連接的宣傳,要根據(jù)自己業(yè)務(wù)系統(tǒng)、企業(yè)規(guī)模、 發(fā)展空間和自身實(shí)力等因素多方面考慮。

  吞吐量

  網(wǎng)絡(luò)中的數(shù)據(jù)是由一個個數(shù)據(jù)包組成,防火墻對每個數(shù)據(jù)包的處理要耗費(fèi)資源。吞吐量是指在不丟包的情況下單位時間內(nèi)通過防火墻的數(shù)據(jù)包數(shù)量。

  隨著Internet的日益普及,內(nèi)部網(wǎng)用戶訪問Internet的需求在不斷增加,一些企業(yè)也需要對外提供諸如www頁面瀏覽、FTP文件傳輸、DNS 域名解析等服務(wù),這些因素會導(dǎo)致網(wǎng)絡(luò)流量的急劇增加,而防火墻作為內(nèi)外網(wǎng)之間的唯一數(shù)據(jù)通道,如果吞吐量太小,就會成為網(wǎng)絡(luò)瓶頸,給整個網(wǎng)絡(luò)的傳輸效率帶來負(fù)面影響。因此,考察防火墻的吞吐能力有助于我們更好的評價(jià)其性能表現(xiàn)。這也是測量防火墻性能的重要指標(biāo)。

  吞吐量的大小主要由防火墻內(nèi)網(wǎng)卡, 及程序算法的效率決定,尤其是程序算法,會使防火墻系統(tǒng)進(jìn)行大量運(yùn)算,通信量大打折扣。因此,大多數(shù)防火墻雖號稱100M防火墻,由于其算法依靠軟件實(shí) 現(xiàn),通信量遠(yuǎn)遠(yuǎn)沒有達(dá)到100M,實(shí)際只有10M-20M。純硬件防火墻,由于采用硬件進(jìn)行運(yùn)算,因此吞吐量可以達(dá)到線性90-95M,是真正的100M 防火墻。

  對于中小型企業(yè)來講,選擇吞吐量為百兆級的防火墻即可滿足需要,而對于電信、金融、保險(xiǎn)等大公司大企業(yè)部門就需要采用吞吐量千兆級的防火墻產(chǎn)品。

  補(bǔ)充閱讀:防火墻主要使用技巧

  一、所有的防火墻文件規(guī)則必須更改。

  盡管這種方法聽起來很容易,但是由于防火墻沒有內(nèi)置的變動管理流程,因此文件更改對于許多企業(yè)來說都不是最佳的實(shí)踐方法。如果防火墻管理員因?yàn)橥话l(fā)情況或者一些其他形式的業(yè)務(wù)中斷做出更改,那么他撞到槍口上的可能性就會比較大。但是如果這種更改抵消了之前的協(xié)議更改,會導(dǎo)致宕機(jī)嗎?這是一個相當(dāng)高發(fā)的狀況。

  防火墻管理產(chǎn)品的中央控制臺能全面可視所有的防火墻規(guī)則基礎(chǔ),因此團(tuán)隊(duì)的所有成員都必須達(dá)成共識,觀察誰進(jìn)行了何種更改。這樣就能及時發(fā)現(xiàn)并修理故障,讓整個協(xié)議管理更加簡單和高效。

  二、以最小的權(quán)限安裝所有的訪問規(guī)則。

  另一個常見的安全問題是權(quán)限過度的規(guī)則設(shè)置。防火墻規(guī)則是由三個域構(gòu)成的:即源(IP地址),目的地(網(wǎng)絡(luò)/子網(wǎng)絡(luò))和服務(wù)(應(yīng)用軟件或者其他目的地)。為了確保每個用戶都有足夠的端口來訪問他們所需的系統(tǒng),常用方法是在一個或者更多域內(nèi)指定打來那個的目標(biāo)對象。當(dāng)你出于業(yè)務(wù)持續(xù)性的需要允許大范圍的IP地址來訪問大型企業(yè)的網(wǎng)絡(luò),這些規(guī)則就會變得權(quán)限過度釋放,因此就會增加不安全因素。服務(wù)域的規(guī)則是開放65535個TCP端口的ANY。防火墻管理員真的就意味著為黑客開放了65535個攻擊矢量?

  三、根據(jù)法規(guī)協(xié)議和更改需求來校驗(yàn)每項(xiàng)防火墻的更改。

  在防火墻操作中,日常工作都是以尋找問題,修正問題和安裝新系統(tǒng)為中心的。在安裝最新防火墻規(guī)則來解決問題,應(yīng)用新產(chǎn)品和業(yè)務(wù)部門的過程中,我們經(jīng)常會遺忘防火墻也是企業(yè)安全協(xié)議的物理執(zhí)行者。每項(xiàng)規(guī)則都應(yīng)該重新審核來確保它能符合安全協(xié)議和任何法規(guī)協(xié)議的內(nèi)容和精神,而不僅是一篇法律條文。

  四、當(dāng)服務(wù)過期后從防火墻規(guī)則中刪除無用的規(guī)則。

  規(guī)則膨脹是防火墻經(jīng)常會出現(xiàn)的安全問題,因?yàn)槎鄶?shù)運(yùn)作團(tuán)隊(duì)都沒有刪除規(guī)則的流程。業(yè)務(wù)部門擅長讓你知道他們了解這些新規(guī)則,卻從來不會讓防火墻團(tuán)隊(duì)知道他們不再使用某些服務(wù)了。了解退役的服務(wù)器和網(wǎng)絡(luò)以及應(yīng)用軟件更新周期對于達(dá)成規(guī)則共識是個好的開始。運(yùn)行無用規(guī)則的報(bào)表是另外一步。黑客喜歡從來不刪除規(guī)則的防火墻團(tuán)隊(duì)。


衡量防火墻性能的參數(shù)指標(biāo)有哪些相關(guān)文章:

1.cisco路由器的參數(shù)和功能知識

2.cpu如何看型號、及判斷cpu的性能

3.ARP防火墻參數(shù)設(shè)置方法有哪些

4.什么是硬件防火墻

5.防火墻體系架構(gòu)發(fā)展歷程

4041508