返回
Eudemon系列防火墙连接特性专题.doc

Eudemon系列防火墙连接特性专题.doc

ID:59006457

大小:371.50 KB

页数:4页

时间:2020-09-15

Eudemon系列防火墙连接特性专题.doc_第1页
Eudemon系列防火墙连接特性专题.doc_第2页
Eudemon系列防火墙连接特性专题.doc_第3页
Eudemon系列防火墙连接特性专题.doc_第4页
资源描述:

《Eudemon系列防火墙连接特性专题.doc》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、Eudemon系列防火墙连接特性专题目录Eudemon系列防火墙连接特性专题11Eudemon防火墙连接特性11.1连接的概念11.2并发连接数的概念21.3每秒新增连接数的概念22Eudemon防火墙NAT业务连接特性3Eudemon系列防火墙连接特性专题1Eudemon防火墙连接特性1.1连接的概念在理解防火墙连接特性前,先解释一下什么叫做连接。连接这个概念是防火墙与路由器的一个重要区别:在普通路由器中,对于数据报文转发来说,没有连接这个概念。但对于状态防火墙来说,连接是防火墙保证安全的基础。我们以一个TCP会话为例

2、说明防火墙中连接的概念:客户端A到服务器端B建立一个完整TCP连接需要经历下面过程:1)请求端A发送一个SYN段指明客户打算连接的服务器的端口,以及初始序号。这个SYN段为报文段1。2)服务器发回包含服务器的初始序号的SYN报文段(报文段2)作为应答。同时,将确认序号设置为客户的ISN加1以对客户的SYN报文段进行确认。一个SYN将占用一个序号。3)客户必须将确认序号设置为服务器的ISN加1以对服务器的SYN报文段进行确认(报文段3)。这三个报文段完成连接的建立。这个过程也称为三次握手。A到B的TCP连接建立好后,数据就

3、可以转发了。对于路由器来说,如果存在一个针对目的网段10.100.0.0/16路由表(实际A与B之间是数据交换是相互的,这里以A到B发送数据为例),所有A发向B的数据都是根据这个转发表项进行转发,A到B的多个数据,例如A发给B的TCPSYN和TCPACK,路由器是不会进行关联的,路由器只是根据目的的地址进行转发。对于防火墙来说,除了存在一个路由转发表外,还有一个临时的TCP连接状态表,防火墙需要监视A到B的每一个数据报文。这个TCP连接状态表是动态存在的,当A发起连接时,防火墙开始建立一个A到B的连接表项,这个连接表项中

4、记录A到B之间连接的信息,包括地址/端口、当前连接状态等。这个表项的作用是指导防火墙对后续A到B数据报文进行安全性检查:例如检查A到B的数据是否是合法的等。当A到B通信完毕后,A到B的TCP连接拆除,动态表项也就删除了。A到B之间进行一次数据传输时,在防火墙上就相应有一个连接与之对应。这里只以TCP连接为例,对于UDP数据传输来说,同样在防火墙中有一个连接存在,当A到B之间超过一定时间没有传输数据后,UDP连接就拆除。正是因为动态连接存在,才使防火墙比路由器具有更高安全性。1.1并发连接数的概念基于上面因素,实际应用中必

5、须考察一个防火墙能够同时支持的会话数,就有了并发连接数的概念:同时能够支持的连接数目。并发连接数体现了防火墙处理最大数据流的能力。表1Eudemon防火墙并发连接数E100E200E500/100020万(因转发影响,实际略低于此数值)50万50万(目前数据)1.2每秒新增连接数的概念防火墙的连接都是动态建立的,这样就涉及到一个另一个重要指标,就是每秒新增建立数或者每秒新增连接速率。每秒新增连接数是考察防火墙新增连接的能力,为什么这个指标对于防火墙非常重要呢?由于防火墙的连接是动态连接的,是根据当前通信双方状态而动态建立

6、的表项。每个会话在数据交换之前,在防火墙上都必须建立连接。如果防火墙建立连接速率较慢,在客户端反映是每次通信有较大延迟。例如,我们每访问一个网页,可能同时需要建立十几个TCP连接(网页上有大量图片,一般每个图片需要一个TCP连接进行下载),所以如果防火墙建立连接速率慢的话,反映在访问网页就是打开一个页面较慢。对于路由器来说,如果转发速率较高(交换容量高),一般延迟就比较小,但对于防火墙来说,即使转发速率较高,但如果连接速率较慢,同样延迟还是很大。例如CiscoPIX535防火墙,属于千兆防火墙,转发速率1000Mbps(

7、大包情况),但每秒新增连接只有7000,这个指标相当低。所以在很多地方反映Cisco防火墙较慢,主要是这个指标导致。表1Eudemon200防火墙与业界主要防火墙每秒新增连接数对比:百兆防火墙:CiscoPIX525(370M)NetScreen204(400M)HuaweiEudemon200(400M)5,60013,00020,000表2Eudemon1000防火墙与业界主要防火墙每秒新增连接数对比:千兆防火墙:CiscoPIX535NetScreen1000HuaweiEudemon10007,00015,000

8、100,000我司在这个指标上优势明显,特别是我司Eudmeon1000,每秒新增连接时10万条/秒,是NetScreen1000的6到7倍,是CiscoPIX535的10倍以上。之所以我司防火墙这个指标在业界是领先的,主要受益于Eudemon的超级快速新增连接(SFNC——SuperFastNewConnectio

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。