文档介绍：资料编码
产品名称
Eudemon
使用对象
工程师、合作方
产品版本
V200R001
编写部门
Eudemon防火墙项目组
资料版本

Eudemon防火墙连接特性
拟制:
日期:
2004-9-28
审核:
日期:
2004-9-28
审核:
日期:
批准:
日期:
华为技术有限公司
修订记录
日期
修订版本
描述
作者
目录(TOC Heading)
第1章 Eudemon防火墙连接特性 1
连接的概念 1
并发连接数的概念 2
每秒新增连接数的概念 2
第2章 Eudemon防火墙NAT业务连接特性 4
关键词:
连接、并发连接数、每秒新增连接数
摘要:
并发连接数、每秒新增连接数是考察防火墙性能的重要指标,本文主要对Eudemon防火墙连接特
性进行介绍。
缩略语清单:
SFNC:Super Fast New Connection
参考资料清单:
Eudemon防火墙连接特性
连接的概念
在理解防火墙连接特性前,先解释一下什么叫做连接。连接这个概念是防火墙与路由器的一个重要区别:在普通路由器中,对于数据报文转发来说,没有连接这个概念。但对于状态防火墙来说,连接是防火墙保证安全的基础。我们以一个TCP会话为例说明防火墙中连接的概念:
客户端A到服务器端B建立一个完整TCP连接需要经历下面过程:
1) 请求端A发送一个S Y N段指明客户打算连接的服务器的端口,以及初始序号。这个S Y N段为报文段1。
2) 服务器发回包含服务器的初始序号的S Y N报文段(报文段2)作为应答。同时,将确认
序号设置为客户的I S N加1以对客户的S Y N报文段进行确认。一个S Y N将占用一个序号。
3) 客户必须将确认序号设置为服务器的I S N加1以对服务器的S Y N报文段进行确认(报文段3)。
这三个报文段完成连接的建立。这个过程也称为三次握手。A到B的TCP连接建立好后,数据就可以转发了。
对于路由器来说,(实际A与B之间是数据交换是相互的,这里以A到B发送数据为例),所有A发向B的数据都是根据这个转发表项进行转发,A到B的多个数据,例如A发给B的TCP SYN和TCP ACK,路由器是不会进行关联的,路由器只是根据目的的地址进行转发。
对于防火墙来说,除了存在一个路由转发表外,还有一个临时的TCP连接状态表,防火墙需要监视A到B的每一个数据报文。这个TCP连接状态表是动态存在的,当A发起连接时,防火墙开始建立一个A到B的连接表项,这个连接表项中记录A到B之间连接的信息,包括地址/端口、当前连接状态等。这个表项的作用是指导防火墙对后续A到B数据报文进行安全性检查:例如检查A到B的数据是否是合法的等。当A到B通信完毕后,A到B的TCP连接拆除,动态表项也就删除了。A到B之间进行一次数据传输时,在防火墙上就相应有一个连接与之对应。
这里只以TCP连接为例,对于UDP数据传输来说,同样在防火墙中有一个连接存在,当A到B之间超过一定时间没有传输数据后,UDP连接就拆除。正是因为动态连接存在,才使防火墙比路由器具有更高安全性。
并发连接数的概念
基于上面因素,