摘 要 單位應用級防火墻個人并發(fā)連接數(shù)限制在多少合適，所有的網(wǎng)絡管理員都在實踐中慢慢摸索，或者干脆使用默認設置。本文給出了一些設置原理和計算方法，網(wǎng)絡管理員可以依據(jù)和單位實際在線人數(shù)和防火墻性能將個人并發(fā)連接數(shù)設置80到500之間。

關(guān)鍵詞 防火墻 連接設置 原理

中圖分類號：TP393.08 文獻標識碼：A

現(xiàn)在，防火墻的使用已經(jīng)很普及了，每個防火墻在使用時總是要不斷更新設置，以期保證單位網(wǎng)絡流暢。但是很多單位買的很好的防火墻為什么還會出現(xiàn)外網(wǎng)訪問延遲？防火墻分為三類：包轉(zhuǎn)發(fā)防火墻、狀態(tài)連接防火墻、應用層防火墻。我們現(xiàn)在較常用的也是狀態(tài)連接防火墻，這類防火墻的重要指標有三項：（1）并發(fā)連接數(shù)（并發(fā)連接數(shù)是指防火墻同時能夠維持的連接連接總數(shù)）。（2）每秒新建連接數(shù)（指防火墻在單位時間1秒內(nèi)所能夠完全處理的新連接請求數(shù)量）。（3）吞吐性能（指防火墻在不丟包的情況下，所能夠達到的最大數(shù)據(jù)吞吐量）。單位購買防火墻的最大并發(fā)連接數(shù)一般都在10萬以上，其中有個重要的設置就是用戶并發(fā)連接數(shù)的限制數(shù)量。

那么每個用戶并發(fā)連接數(shù)要限制到多少才能既不影響單位總體網(wǎng)絡也不影響個人網(wǎng)絡使用？當我們對個人連接數(shù)設置的過大時，個人電腦中的下載、電影等p2p 軟件就瘋狂的將所有網(wǎng)絡帶寬占領(lǐng)，造成單位網(wǎng)絡出口的堵塞。當我們對個人并發(fā)連接數(shù)設置的太小時，個人電腦上網(wǎng)、看電影、下載就會非常的慢。怎么設置個人并發(fā)連接數(shù)的值是所有網(wǎng)絡管理員很糾結(jié)的一件事。

首先，讓我們來研究一下什么是連接數(shù)，個人電腦正常使用時連接數(shù)會達到多少？當我們需要上網(wǎng)或下載時，由本機發(fā)用一個請求，這個請求由防火墻或者路由器轉(zhuǎn)發(fā)，向目標服務器前進，這樣就建立了一個TCP的有狀態(tài)連接，每一個TCP連接建立都需要三次握手，也就是Syn、Syn-ack、Ack。當這樣握手的數(shù)據(jù)包通過防火墻時，防火墻就會為此次連接建立一個連接，并把這個連接存放起來，一般在內(nèi)存中，則后續(xù)的數(shù)據(jù)包就會利用此次建立的連接進行傳遞數(shù)據(jù)。第一次建立連接的時候，當然要做很多檢測，包的信息、是不是被防火墻策略允許、有沒有做NAT等等，后續(xù)包通過防火墻的時候就會比對連接表里的信息，以便提高防火墻的性能。如果另外一個包包含了新的syn信息通過，并且完成三次握手，防火墻就會建立另外一個新的連接給這個連接。所以這里可以看到，并非你多開一個網(wǎng)頁或者打開個圖片就一定會產(chǎn)生新的連接，UDP連接就更簡單了，不需要三次握手，只要聯(lián)系到對方就直接建立一個連接。防護墻所能處理的最大連接數(shù)量，就是并發(fā)連接數(shù)，在防火墻中一般都有允許個人連接的最大并發(fā)連接數(shù)的設置。一般情況下的個人并發(fā)連接數(shù)是20以下。當然如果我們在防火墻里限制個人并發(fā)連接數(shù)是20，那你的電腦幾乎處在上不去網(wǎng)頁的狀態(tài)，因為你的電腦里殺毒軟件、下載、電影軟件等都在不斷連接著網(wǎng)絡，不斷試圖建立著新的連接數(shù)，尤其是一些下載多線程軟件迅雷等，當我們限制了用戶的下載速度，下載軟件就會增加大量的連接數(shù)試圖增加下載速度，甚至有一個開了p2p下載的網(wǎng)絡終端占用了整個單位網(wǎng)絡，使其他人都無法打開外網(wǎng)網(wǎng)頁。所以有些單位網(wǎng)絡管理員直接禁止所有的p2p 軟件與外網(wǎng)建立連接。

個人并發(fā)連接數(shù)設置的太小不行，設置的太大也不行。當我們將允許個人并發(fā)連接數(shù)加大，個人并發(fā)連接數(shù)的增加，使整個防火墻處理的總并發(fā)連接數(shù)也會大量增加，以每個并發(fā)連接表項占用300B計算，1000個并發(fā)連接將占用300B €？000 €？8bit/B≈2.3Mb 內(nèi)存空間，10000個并發(fā)連接將占用23Mb內(nèi)存空間，100000個并發(fā)連接將占用230Mb內(nèi)存空間，而如果真的試圖實現(xiàn)1000000個并發(fā)連接的話，那么，這個產(chǎn)品就需要提供2.24Gb內(nèi)存空間！當內(nèi)存不足就會造成網(wǎng)絡堵塞或延遲。當我們將個人并發(fā)連接數(shù)設置過大，總并發(fā)連接數(shù)的大量增大也會使CPU的占用增加，CPU的主要任務是把網(wǎng)絡上的流量從一個網(wǎng)段盡可能快速地轉(zhuǎn)發(fā)到另外一個網(wǎng)段上，并且在轉(zhuǎn)發(fā)過程中對此流量按照一定的訪問控制策略進行許可檢查、流量統(tǒng)計和訪問審計等作用，這都要求防火墻對并發(fā)連接表中的相應表項進行不斷的更新讀寫操作。如果不顧CPU的實際處理能力而貿(mào)然增大系統(tǒng)的并發(fā)連接數(shù)，勢必影響防火墻對連接請求的處理延遲，造成某些連接超時，讓更多的連接報文被重發(fā)，進而導致更多的連接超時，最后形成雪崩效應，致使整個防火墻系統(tǒng)崩潰。

我們可以在防火墻記錄里查看網(wǎng)絡情況來分析我們做的限制是否合理，在5秒內(nèi)，網(wǎng)絡流量為115 Mbps ，網(wǎng)絡連接數(shù)為14679，我們可以來計算一下每個連接數(shù)的大小來判斷我們的防火墻是否設置得合理，109Mbps*1048576/14679連接數(shù)/8 = 973字節(jié)/連接數(shù)，網(wǎng)絡連接的數(shù)據(jù)包一般是在64B-1512B之間，正常的網(wǎng)絡情況下，平均每連接的字節(jié)數(shù)會在256字節(jié)/連接～1024字節(jié)/連接之間。如果實際網(wǎng)絡連接包的平均值低于256字節(jié)/連接，則說明帶寬擁塞，需要進行限制和調(diào)整。

限制用戶最大并發(fā)連接數(shù)，這樣可以大大減小連接數(shù)，變相的起到了限制多線程下載軟件的作用。用戶連接數(shù)可以用防火墻的最大并發(fā)連接數(shù)除以單位在線人數(shù)來計算出。如果我們有個很好的防火墻可以把個人并發(fā)連接數(shù)限制到500，如果我們帶寬和防火墻不是很好的話，可以把個人并發(fā)連接數(shù)限制到80，也就是說個人并發(fā)連接數(shù)值的限制是根據(jù)實際情況設置為80～500之間。

我們在配置智能防火墻時，除了限制用戶最大并發(fā)連接數(shù)，還可以分時限制用戶上傳下載的流量，當我們網(wǎng)絡空閑時，例如晚上2點后，可以讓下載或者p2p 軟件占用更多的網(wǎng)絡帶寬，當我們早晨工作后就要嚴格限制下載流量，這樣就可以保證正常的網(wǎng)絡使用。