数据说话 硬件防火墙选购经验谈（上）

核心提示： 因此在选购硬件防火墙时其自身的冗余运行以及稳定性方面的表现也同样重要，其中网络接入方面的多接性以及电源支持的冗余性显得更加重要，数据说话 硬件防火墙选购经验谈（上）(3)，（4）连接会话做足文章：（如图3） 除了上面两个因素需要考虑外防火墙自身的网络性能也需要考虑在内，具体包括防火墙的吞

因此在选购硬件防火墙时其自身的冗余运行以及稳定性方面的表现也同样重要，其中网络接入方面的多接性以及电源支持的冗余性显得更加重要。

（4）连接会话做足文章：（如图3）

除了上面两个因素需要考虑外防火墙自身的网络性能也需要考虑在内，具体包括防火墙的吞吐量以及并发连接数连各个参数。对于具备10000个下连网络节点的企业内网来说应该保证硬件防火墙满足下面几个要求——

吞吐量 ≥7.9G bps

吞吐量（小包） ≥2900 M bps

最大并发连接数 ≥4，900，000

每秒新建连接数 ≥190，000

小提示：

什么是吞吐量——吞吐量是在一个给定的时间段内设备能够传输的数据量，使用Mb/s进行度量。吞吐量的大小主要由防火墙内网卡及程序算法的效率决定，尤其是程序算法，会使防火墙系统进行大量运算，通信量大打折扣。因此大多数防火墙虽号称100M防火墙，由于其算法依靠软件实现，通信量远远没有达到100M，实际只有10M-20M.纯硬件防火墙，由于采用硬件进行运算，因此吞吐量可以达到线性90-95M，这样才算是真正的100M防火墙。

网络中的数据是由一个个数据包组成，防火墙对每个数据包的处理要耗费资源。吞吐量是指在不丢包的情况下单位时间内通过防火墙的数据包数量。这是测量防火墙性能的重要指标。如果企业实际下连节点不是万个级别的话，我们可以适当的将上面提到的几个参数进行缩减。吞吐量决定硬件防火墙处理数据的能力，而连接数的多少决定了防火墙自身的性能。

三，总结：

由于篇幅关系笔者在本文中针对硬件防火墙选购方面介绍了几点经验，通过确定硬件防火墙核心是否真的“硬”，连接会话吞吐量实际情况以及性能硬件环节的冗余功能等方面下手，让我们选购的硬件防火墙可以真正的为我们企业高效服务。

在“数据说话——硬件防火墙选购经验谈（下）”一文中笔者将继续为各位读者讲解其他几个选购原则。让我们最大限度的避免被厂商所忽悠。

数据说话 硬件防火墙选购经验谈(下)