并發(fā)連接數(shù)是指防火墻或代理服務器對其業(yè)務信息流的處理能力，是防火墻能夠同時處理的點對點連接的最大數(shù)目换帜，它反映出防火墻設備對多個連接的訪問控制能力和連接狀態(tài)跟蹤能力，這個參數(shù)的大小直接影響到防火墻所能支持的最大信息點數(shù)。

??? 并發(fā)連接數(shù)是衡量防火墻性能的一個重要指標叹括。在目前市面上常見防火墻設備的說明書中大家可以看到，從低端設備的500宵荒、1000個并發(fā)連接汁雷，一直到高端設備的數(shù)萬、數(shù)十萬并發(fā)連接报咳，存在著好幾個數(shù)量級的差異侠讯。那么，并發(fā)連接數(shù)究竟是一個什么概念呢暑刃？它的大小會對用戶的日常使用產(chǎn)生什么影響呢厢漩？要了解并發(fā)連接數(shù)，首先需要明白一個概念岩臣，那就是“會話”袁翁。這個“會話”可不是我們平時的談話，但是可以用平時的談話來理解婿脸，兩個人在談話時粱胜，你一句，我一句狐树，一問一答焙压，我們把它稱為一次對話，或者叫會話抑钟。同樣涯曲，在我們用電腦工作時葡秒，打開的一個窗口或一個Web頁面括蝠，我們也可以把它叫做一個“會話”，擴展到一個局域網(wǎng)里面好乐，所有用戶要通過防火墻上網(wǎng)蛔溃，要打開很多個窗口或Web頁面發(fā)（即會話）绰沥，那么篱蝇，這個防火墻，所能處理的最大會話數(shù)量徽曲，就是“并發(fā)連接數(shù)”零截。

像路由器的路由表存放路由信息一樣，防火墻里也有一個這樣的表秃臣，我們把它叫做并發(fā)連接表涧衙，是防火墻用以存放并發(fā)連接信息的地方，它可在防火墻系統(tǒng)啟動后動態(tài)分配進程的內(nèi)存空間奥此，其大小也就是防火墻所能支持的最大并發(fā)連接數(shù)弧哎。大的并發(fā)連接表可以增大防火墻最大并發(fā)連接數(shù)，允許防火墻支持更多的客戶終端稚虎。盡管看上去傻铣，防火墻等類似產(chǎn)品的并發(fā)連接數(shù)似乎是越大越好。但是與此同時祥绞，過大的并發(fā)連接表也會帶來一定的負面影響：

??? 1.并發(fā)連接數(shù)的增大意味著對系統(tǒng)內(nèi)存資源的消耗

??? 以每個并發(fā)連接表項占用300B計算非洲，1000個并發(fā)連接將占用300B×1000×8bit/B≈2.3Mb內(nèi)存空間，10000個并發(fā)連接將占用23Mb內(nèi)存空間蜕径，100000個并發(fā)連接將占用230Mb內(nèi)存空間两踏，而如果真的試圖實現(xiàn)1000000個并發(fā)連接的話那么，這個產(chǎn)品就需要提供2.24Gb內(nèi)存空間兜喻！

??? 2.并發(fā)連接數(shù)的增大應當充分考慮CPU的處理能力

??? CPU的主要任務是把網(wǎng)絡上的流量從一個網(wǎng)段盡可能快速地轉(zhuǎn)發(fā)到另外一個網(wǎng)段上梦染，并且在轉(zhuǎn)發(fā)過程中對此流量按照一定的訪問控制策略進行許可檢查、流量統(tǒng)計和訪問審計等操作朴皆，這都要求防火墻對并發(fā)連接表中的相應表項進行不斷的更新讀寫操作帕识。如果不顧CPU的實際處理能力而貿(mào)然增大系統(tǒng)的并發(fā)連接表，勢必影響防火墻對連接請求的處理延遲遂铡，造成某些連接超時肮疗，讓更多的連接報文被重發(fā)，進而導致更多的連接超時扒接，最后形成雪崩效應伪货，致使整個防火墻系統(tǒng)崩潰。

??? 3.物理鏈路的實際承載能力將嚴重影響防火墻發(fā)揮出其對海量并發(fā)連接的處理能力

雖然目前很多防火墻都提供了10/100/1000Mbps的網(wǎng)絡接口钾怔，但是碱呼，由于防火墻通常都部署在Internet出口處，在客戶端PC與目的資源中間的路徑上宗侦，總是存在著瓶頸鏈路——該瓶頸鏈路可能是2Mbps專線愚臀，也可能是512Kbps乃至64Kbps的低速鏈路。這些擁擠的低速鏈路根本無法承載太多的并發(fā)連接矾利，所以即便是防火墻能夠支持大規(guī)模的并發(fā)訪問連接姑裂，也無法發(fā)揮出其原有的性能馋袜。

有鑒于此，我們應當根據(jù)網(wǎng)絡環(huán)境的具體情況和個人不同的上網(wǎng)習慣來選擇適當規(guī)模的并發(fā)連接表炭分。因為不同規(guī)模的網(wǎng)絡會產(chǎn)生大小不同的并發(fā)連接，而用戶習慣于何種網(wǎng)絡服務以及如何使用這些服務剑肯，同樣也會產(chǎn)生不同的并發(fā)連接需求捧毛。高并發(fā)連接數(shù)的防火墻設備通常需要客戶投資更多的設備，這是因為并發(fā)連接數(shù)的增大牽扯到數(shù)據(jù)結(jié)構(gòu)让网、CPU呀忧、內(nèi)存、系統(tǒng)總線和網(wǎng)絡接口等多方面因素溃睹。如何在合理的設備投資和實際上所能提供的性能之間尋找一個黃金平衡點將是用戶選擇產(chǎn)品的一個重要任務而账。按照并發(fā)連接數(shù)來衡量方案的合理性是一個值得推薦的辦法。?

以每個用戶需要10.5個并發(fā)連接來計算因篇，一個中小型企業(yè)網(wǎng)絡（1000個信息點以下泞辐，容納4個C類地址空間）大概需要10.5×1000=10500個并發(fā)連接，因此支持20000～30000最大并發(fā)連接的防火墻設備便可以滿足需求竞滓；大型的企事業(yè)單位網(wǎng)絡（比如信息點數(shù)在1000～10000之間）大概會需要105000個并發(fā)連接咐吼，所以支持100000～120000最大并發(fā)連接的防火墻就可以滿足企業(yè)的實際需要; 而對于大型電信運營商和ISP來說，電信級的千兆防火墻（支持120000～200000個并發(fā)連接）則是恰當?shù)倪x擇商佑。為較低需求而采用高端的防火墻設備將造成用戶投資的浪費锯茄，同樣為較高的客戶需求而采用低端設備將無法達到預計的性能指標。利用網(wǎng)絡整體上的并發(fā)連接需求來選擇適當?shù)姆阑饓Ξa(chǎn)品可以幫助用戶快速茶没、準確的定位所需要的產(chǎn)品肌幽，避免對單純某一參數(shù)“愈大愈好”的盲目追求，縮短設計施工周期抓半，節(jié)省企業(yè)的開支喂急。從而為企業(yè)實施最合理的安全保護方案。

在利用并發(fā)連接數(shù)指標選擇防火墻產(chǎn)品的同時笛求，產(chǎn)品的綜合性能煮岁、廠家的研發(fā)力量、資金實力涣易、企業(yè)的商業(yè)信譽和經(jīng)營風險以及產(chǎn)品線的技術支持和售后服務體系等都應當納入采購者的視野画机，將多方面的因素結(jié)合起來進行綜合考慮，切不可盲目的聽信某些廠家廣告宣傳中的大并發(fā)連接的宣傳新症，要根據(jù)自己業(yè)務系統(tǒng)步氏、企業(yè)規(guī)模、發(fā)展空間和自身實力等因素多方面考慮徒爹。