Eudemon系列防火墙连接特性专题

华为产品维护资料Eudemon系列防火墙连接特性专题2005/09/22iEudemon系列防火墙连接特性专题目录Eudemon系列防火墙连接特性专题.............................................................................................11Eudemon防火墙连接特性........................................................................................................11.1连接的概念.....................................................................................................................11.2并发连接数的概念..........................................................................................................21.3每秒新增连接数的概念..................................................................................................22Eudemon防火墙NAT业务连接特性........................................................................................3华为产品维护资料Eudemon系列防火墙连接特性专题2005/09/221Eudemon系列防火墙连接特性专题1Eudemon防火墙连接特性1.1连接的概念在理解防火墙连接特性前，先解释一下什么叫做连接。连接这个概念是防火墙与路由器的一个重要区别：在普通路由器中，对于数据报文转发来说，没有连接这个概念。但对于状态防火墙来说，连接是防火墙保证安全的基础。我们以一个TCP会话为例说明防火墙中连接的概念：202.100.*.*198.10.*.*转发表目的地址/子网掩码下一跳出接口其它选项202.100.0.0/16202.100.*.*LAN2厖LAN1LAN2202.100.*.*198.10.*.*连接状态表目的地址/源地址目的端口号/源端口号协议号连接状态其它选项202.100.*.*198.10.*.*TCP已建立厖LAN1LAN2AB1SYN2SYN3ACKTCP连接建立过程AABB客户端A到服务器端B建立一个完整TCP连接需要经历下面过程：1)请求端A发送一个SYN段指明客户打算连接的服务器的端口，以及初始序号。这个SYN段为报文段1。2)服务器发回包含服务器的初始序号的SYN报文段（报文段2）作为应答。同时，将确认序号设置为客户的ISN加1以对客户的SYN报文段进行确认。一个SYN将占用一个序号。3)客户必须将确认序号设置为服务器的ISN加1以对服务器的SYN报文段进行确认（报文段3）。华为产品维护资料Eudemon系列防火墙连接特性专题2005/09/222这三个报文段完成连接的建立。这个过程也称为三次握手。A到B的TCP连接建立好后，数据就可以转发了。对于路由器来说，如果存在一个针对目的网段10.100.0.0/16路由表（实际A与B之间是数据交换是相互的，这里以A到B发送数据为例），所有A发向B的数据都是根据这个转发表项进行转发，A到B的多个数据，例如A发给B的TCPSYN和TCPACK，路由器是不会进行关联的，路由器只是根据目的的地址进行转发。对于防火墙来说，除了存在一个路由转发表外，还有一个临时的TCP连接状态表，防火墙需要监视A到B的每一个数据报文。这个TCP连接状态表是动态存在的，当A发起连接时，防火墙开始建立一个A到B的连接表项，这个连接表项中记录A到B之间连接的信息，包括地址/端口、当前连接状态等。这个表项的作用是指导防火墙对后续A到B数据报文进行安全性检查：例如检查A到B的数据是否是合法的等。当A到B通信完毕后，A到B的TCP连接拆除，动态表项也就删除了。A到B之间进行一次数据传输时，在防火墙上就相应有一个连接与之对应。这里只以TCP连接为例，对于UDP数据传输来说，同样在防火墙中有一个连接存在，当A到B之间超过一定时间没有传输数据后，UDP连接就拆除。正是因为动态连接存在，才使防火墙比路由器具有更高安全性。1.2并发连接数的概念基于上面因素，实际应用中必须考察一个防火墙能够同时支持的会话数，就有了并发连接数的概念：同时能够支持的连接数目。并发连接数体现了防火墙处理最大数据流的能力。表1Eudemon防火墙并发连接数E100E200E500/100020万（因转发影响，实际略低于此数值）50万50万（目前数据）1.3每秒新增连接数的概念防火墙的连接都是动态建立的，这样就涉及到一个另一个重要指标，就是每秒新增建立数或者每秒新增连接速率。每秒新增连接数是考察防火墙新增连接的能力，为什么这个指标对于防火墙非常重要呢？由于防火墙的连接是动态连接的，是根据当前通信双方状态而动态建立的表项。每个会话在数据交换之前，在防火墙上都必须建立连接。如果防火墙建立连接速率较慢，在客户端反映是每次通信有较大延迟。例如，我们每访问一个网页，可能同时需要建立十几个TCP连接（网页上有大量图片，一般每个图片需要一个TCP连接进行下载），所以如果防火墙建立连接速率慢的话，反映在访问网页就是打开一个页面较慢。对于路由器来说，如果转发速率较高（交换容量高），一般延迟就华为产品维护资料Eudemon系列防火墙连接特性专题2005/09/223比较小，但对于防火墙来说，即使转发速率较高，但如果连接速率较慢，同样延迟还是很大。例如CiscoPIX535防火墙，属于千兆防火墙，转发速率1000Mbps(大包情况)，但每秒新增连接只有7000，这个指标相当低。所以在很多地方反映Cisco防火墙较慢，主要是这个指标导致。表2Eudemon200防火墙与业界主要防火墙每秒新增连接数对比：百兆防火墙：CiscoPIX525(370M)NetScreen204(400M)HuaweiEudemon200(400M)5,60013,00020,000表3Eudemon1000防火墙与业界主要防火墙每秒新增连接数对比：千兆防火墙：CiscoPIX535NetScreen1000HuaweiEudemon10007,00015,000100,000我司在这个指标上优势明显，特别是我司Eudmeon1000，每秒新增连接时10万条/秒，是NetScreen1000的6到7倍，是CiscoPIX535的10倍以上。之所以我司防火墙这个指标在业界是领先的，主要受益于Eudemon的超级快速新增连接（SFNC——SuperFastNewConnection）特性。我司防火墙采用专用硬件结构和专有的防火墙软件系统。Eudemon200防火墙，主CPU采用专用通信芯片，在这个指标上是其它防火墙两倍以上。我司Eudemon1000防火墙，是目前业界新增连接性能最好的防火墙之一。Eudemon1000采用NP网络处理器技术，所有连接处理过程采用网络处理器，在完成防火墙所必须的复杂流程同时可以保证连接速率和转发速率。而基于PC机架构防火墙或者软件防火墙由于其软件或者硬件都是通用的，在连接速率方面都较低。一般选择防火墙时，可能很多人关注的指标是转发速率。我司Eudemon200/500/1000转发速率在同类产品中是同样出色的，并且其新建连接速率高，而防火墙的新建连接速率同样对通信速率有影响。那么在什么样环境下需要选择连接速率高的防火墙？对于有大量用户和并发连接的环境，要求具有连接速率高的防火墙。例如：校园网出口、城域网出口、中大型办公网出口以及访问量大的服务器前面（例如IDC中心服务器或者大型企业服务器）。这些环境中往往访问量大，同时并发用户多，所以对连接速率要求较高，只有连接速率高的防火墙，其转发性能才能充分体现出来。2Eudemon防火墙NAT业务连接特性Eudemon防火墙是基于状态的设备，并不是仅有NAT业务时才有汇话表（session），这也是防火墙和路由器的一个重要区别。普通路由器做NAT会影响性能，但是Eudemon防火墙在会话表项中对NAT和其它数据同样处理，因此做NAT基本不对性能产生影响。