防火墙并发数测试，上海精汐助力某安全产品性能测试，一家网络测试仪表租赁维修厂商。

并发连接数是防火墙常见的参数，是防火墙、服务器等设备的主要性能指标之一。 在目前市面上常见防火墙设备的说明书中大家可以看到， 从低端设 备的200、1000 个并发连接， 一直到高端设备的数万、 数十万并发连接， 存在着 好几个数量级的差异。 那么并发连接数究竟是一个什么概念呢？它的大小会对 用户的日常使用会产生什么样的影响？下面就这几个相关问题作一些比较深入 的探讨。

一、并发连接数的概念 并发连接数指的是防火墙或代理服务器对其业务信息流的处理能 力，是防火墙能够同时处理的点对点连接的zui大数目， 它反映的是防火墙设备对 多个连接的访问控制能力和连接状态跟踪能力。 这个参数的大小可以直接影响到 防火墙所能支持的zui大信息点数。 需要阐明的一点是，在上述“并发连接数”的概念陈述中所提到的“连接” 和“点对点连接”并没有局限于狭义的 TCP 连接（ connection-oriented）和信息 点-信息点通信（ point-point communication），而是泛指 IP 层或 IP 层以上各种传 输层、会话层、应用层信息流， 所以它同样也包括了 UDP 会话； 另外，多址广播组的通信同样也被按照 （多播源） 的形态归纳成一 个连接进行处理。

二、并发连接表中的内容 并发连接表是防火墙用以存放并发连接信息的地方， 这个表将由防火墙系统 在启动后动态在进程内存空间中分配， 该表的大小也就是防火墙所能支持的zui大并发连接数。不同的厂家在各自的防火墙设备中对该数据表有不同的数据结构实 现，但从普遍意义上来看，一般的状态包过滤型（ Stateful-Inspection）防火墙的 并发连接表的每一个表项都要至少包含以下内容： 源 IP 地址； 源端口号； 目的 IP 地址； 目的端口号； 协议类型； 连接状态； 流量统计和时间戳信息； nat 转换信息； 连接许可信息；认证信息； VPN 通道相关信息（如果支持 VPN 的话）； 由于表项中容纳了大量的连接信息， 因此每个表项可能占用100~500 字节的 内存空间，这对防火墙系统的整个内存资源来说是一个不容忽视的消耗。

三、并发连接表对系统性能的影响 大的并发连接表可以增大防火墙zui大并发连接数，允许防火墙支持更多的 客户终端；但是与此同时，过大的并发连接表会带来以下负面影响：

  1. 过大的并发连接表会造成大量内存空间的消耗；

  2. 在相同的数据结构和检索方式情况下， 大的并发连接表会增大防火墙系统对 表项的搜索时间，增大防火墙对报文处理的转发延迟；

  3. 不考虑客户网络客观情况而盲目增大系统并发连接表， 会造成表空间继而内 存资源的大量闲置浪费；

  4. 由于并发连接表对内存的占用， 会造成防火墙系统本身得不到足够的内存资 源。尽管虚拟内存可以解决内存的紧张问题，但是虚拟内存依赖于硬盘与内 存页之间的数据映射切换，在读写速度上难以与物理真实内存相提并论。

上海精汐电子科技有限公司是一家提供电子仪器销售，租赁，维修及售前售后技术服务为一体的电子科技公司。 简称 “精汐电子”，公司货物来源宽广，销售市场广泛，售后服务快捷。

通过与分销伙伴的紧密合作，凭借覆盖国内的网络营销服务，致力于为客户提供专注、方便、快捷的本地化服务。以科技铸就信赖、以技术服务社会。我公司与众多仪器厂家有着良好的合作关系，能提供专注的服务、优质的产品、优惠的价格。自成立以来，秉承“一切为客户着想”的服务理念，并在国内外各厂商的支持下，本着"以人为本、科学管理、价格公道、优质服务"的思想，深得各地经销商和终端用户朋友的信赖和认同。

免责声明

本手册仅供参考，不构成任何的合约或承诺，上海精汐电子科技有限公司试图在本手册中提供准确的信息，但不保证手册内容不含有技术性描述误差或印刷性错误，

上海精汐电子对此不承担任何责任。上海精汐电子保留在没有通知或提示的情况下对本手册内容进行修改的权利。