Eudemon防火墙连接特性.doc

Eudemon防火墙连接特性文档密级：内部公开资料编码产品名称Eudemon使用对象工程师、合作方产品版本V200R001编写部门Eudemon防火墙项目组资料版本V1.0Eudemon防火墙连接特性拟 制：日 期：2004-9-28审 核：日 期：2004-9-28审 核：日 期：批 准：日 期：华 为 技 术 有 限 公 司修订记录日期修订版本描述作者Eudemon防火墙连接特性文档密级：内部公开目 录（TOC Heading）第1章 Eudemon防火墙连接特性11.1 连接的概念11.2 并发连接数的概念21.3 每秒新增连接数的概念2第2章 Eudemon防火墙NAT业务连接特性4华为机密，未经许可不得扩散关键词：连接、并发连接数、每秒新增连接数摘 要：并发连接数、每秒新增连接数是考察防火墙性能的重要指标，本文主要对Eudemon防火墙连接特性进行介绍。缩略语清单：SFNC：Super Fast New Connection参考资料清单：第1章 Eudemon防火墙连接特性1.1 连接的概念在理解防火墙连接特性前，先解释一下什么叫做连接。连接这个概念是防火墙与路由器的一个重要区别：在普通路由器中，对于数据报文转发来说，没有连接这个概念。但对于状态防火墙来说，连接是防火墙保证安全的基础。我们以一个TCP会话为例说明防火墙中连接的概念：客户端A到服务器端B建立一个完整TCP连接需要经历下面过程：1) 请求端A发送一个S Y N段指明客户打算连接的服务器的端口，以及初始序号。这个S Y N段为报文段1。2) 服务器发回包含服务器的初始序号的S Y N报文段（报文段2）作为应答。同时，将确认序号设置为客户的I S N加1以对客户的S Y N报文段进行确认。一个S Y N将占用一个序号。3) 客户必须将确认序号设置为服务器的I S N加1以对服务器的S Y N报文段进行确认（报文段3）。这三个报文段完成连接的建立。这个过程也称为三次握手。A到B的TCP连接建立好后，数据就可以转发了。对于路由器来说，如果存在一个针对目的网段10.100.0.0/16路由表（实际A与B之间是数据交换是相互的，这里以A到B发送数据为例），所有A发向B的数据都是根据这个转发表项进行转发，A到B的多个数据，例如A发给B的TCP SYN和TCP ACK，路由器是不会进行关联的，路由器只是根据目的的地址进行转发。对于防火墙来说，除了存在一个路由转发表外，还有一个临时的TCP连接状态表，防火墙需要监视A到B的每一个数据报文。这个TCP连接状态表是动态存在的，当A发起连接时，防火墙开始建立一个A到B的连接表项，这个连接表项中记录A到B之间连接的信息，包括地址/端口、当前连接状态等。这个表项的作用是指导防火墙对后续A到B数据报文进行安全性检查：例如检查A到B的数据是否是合法的等。当A到B通信完毕后，A到B的TCP连接拆除，动态表项也就删除了。A到B之间进行一次数据传输时，在防火墙上就相应有一个连接与之对应。这里只以TCP连接为例，对于UDP数据传输来说，同样在防火墙中有一个连接存在，当A到B之间超过一定时间没有传输数据后，UDP连接就拆除。正是因为动态连接存在，才使防火墙比路由器具有更高安全性。1.2 并发连接数的概念基于上面因素，实际应用中必须考察一个防火墙能够同时支持的会话数，就有了并发连接数的概念：同时能够支持的连接数目。并发连接数体现了防火墙处理最大数据流的能力。表1-1 Eudemon防火墙并发连接数E100E200E500/100020万（因转发影响，实际略低于此数值）50万50万（目前数据）1.3 每秒新增连接数的概念防火墙的连接都是动态建立的，这样就涉及到一个另一个重要指标，就是每秒新增建立数或者每秒新增连接速率。每秒新增连接数是考察防火墙新增连接的能力，为什么这个指标对于防火墙非常重要呢？由于防火墙的连接是动态连接的，是根据当前通信双方状态而动态建立的表项。每个会话在数据交换之前，在防火墙上都必须建立连接。如果防火墙建立连接速率较慢，在客户端反映是每次通信有较大延迟。例如，我们每访问一个网页，可能同时需要建立十几个TCP连接（网页上有大量图片，一般每个图片需要一个TCP连接进行下载），所以如果防火墙建立连接速率慢的话，反映在访问网页就是打开一个页面较慢。对于路由器来说，如果转发速率较高（交换容量高），一般延迟就比较小，但对于防火墙来说，即使转发速率较高，但如果连接速率较慢，同样延迟还是很大。例如Cisco PIX 535防火墙，属于千兆防火墙，转发速率1000Mbps(大包情况)，但每秒新增连接只有7000，这个指标相当低。所以在很多地方反映Cisco防火墙较慢，主要是这个指标导致。表1-2 Eudemon200防火墙与业界主要防火墙每秒新增连接数对比：百兆防火墙：Cisco PIX 525(370M)NetScreen 204(400M)Huawei Eudemon 200(400M)5,60013,00020,000表1-3 Eudemon1000防火墙与业界主要防火墙每秒新增连接数对比：千兆防火墙：Cisco PIX 535NetScreen 1000Huawei Eudemon 10007,00015,000100,000我司在这个指标上优势明显，特别是我司Eudmeon 1000，每秒新增连接时10万条/秒，是NetScreen1000的6到7倍，是Cisco PIX 535的10倍以上。之所以我司防火墙这个指标在业界是领先的，主要受益于Eudemon的超级快速新增连接（SFNCSuper Fast New Connection）特性。我司防火墙采用专用硬件结构和专有的防火墙软件系统。Eudemon 200防火墙，主CPU采用专用通信芯片，在这个指标上是其它防火墙两倍以上。我司Eudemon 1000防火墙，是目前业界新增连接性能最好的防火墙之一。Eudemon 1000采用NP网络处理器技术，所有连接处理过程采用网络处理器，在完成防火墙所必须的复杂流程同时可以保证连接速率和转发速率。而基于PC机架构防火墙或者软件防火墙由于其软件或者硬件都是通用的，在连接速率方面都较低。一般选择防火墙时，可能很多人关注的指标是转发速率。我司Eudemon200/500/1000转发速率在同类产品中是同样出色的，并且其新建连接速率高，而防火墙的新建连接速率同样对通信速率有影响。那么在什么样环境下需要选择连接速率高的防火墙？对于有大量用户和并发连接的环境，要求具有连接速率高的防火墙。例如：校园网出口、城域网出口、中大型办公网出口以及访问量大的服务器前面（例如IDC中心服务器或者大型企业服务器）。这些环境中往往访问量大，同时并发用户多，所以对连接速率要求较高，只有连接速率高的防火墙，其转发性能才能充分体现出来。第