并发连接

   

   并发连接
并发连接数是指防火墙或代理服务器对其业务信息流的处理能力，是防火墙能够同时处理的点对点连接的最大数目，它反映出防火墙设备对多个连接的访问控制能力和连接状态跟踪能力，这个参数的大小直接影响到防火墙所能支持的最大信息点数。

    并发连接数是衡量防火墙性能的一个重要指标。在目前市面上常见防火墙设备的说明书中大家可以看到，从低端设备的500、1000个并发连接，一直到高端设备的数万、数十万并发连接，存在着好几个数量级的差异。那么，并发连接数究竟是一个什么概念呢？它的大小会对用户的日常使用产生什么影响呢？要了解并发连接数，首先需要明白一个概念，那就是“会话”。这个“会话”可不是我们平时的谈话，但是可以用平时的谈话来理解，两个人在谈话时，你一句，我一句，一问一答，我们把它称为一次对话，或者叫会话。同样，在我们用电脑工作时，打开的一个窗口或一个Web页面，我们也可以把它叫做一个“会话”，扩展到一个局域网里面，所有用户要通过防火墙上网，要打开很多个窗口或Web页面发（即会话），那么，这个防火墙，所能处理的最大会话数量，就是“并发连接数”。
    像路由器的路由表存放路由信息一样，防火墙里也有一个这样的表，我们把它叫做并发连接表，是防火墙用以存放并发连接信息的地方，它可在防火墙系统启动后动态分配进程的内存空间，其大小也就是防火墙所能支持的最大并发连接数。大的并发连接表可以增大防火墙最大并发连接数，允许防火墙支持更多的客户终端。尽管看上去，防火墙等类似产品的并发连接数似乎是越大越好。但是与此同时，过大的并发连接表也会带来一定的负面影响：
    1.并发连接数的增大意味着对系统内存资源的消耗
    以每个并发连接表项占用300B计算，1000个并发连接将占用300B×1000×8bit/B≈2.3Mb内存空间，10000个并发连接将占用 23Mb内存空间，100000个并发连接将占用230Mb内存空间，而如果真的试图实现1000000个并发连接的话那么，这个产品就需要提供 2.24Gb内存空间！
    2.并发连接数的增大应当充分考虑CPU的处理能力
    CPU的主要任务是把网络上的流量从一个网段尽可能快速地转发到另外一个网段上，并且在转发过程中对此流量按照一定的访问控制策略进行许可检查、流量统计和访问审计等操作，这都要求防火墙对并发连接表中的相应表项进行不断的更新读写操作。如果不顾CPU的实际处理能力而贸然增大系统的并发连接表，势必影响防火墙对连接请求的处理延迟，造成某些连接超时，让更多的连接报文被重发，进而导致更多的连接超时，最后形成雪崩效应，致使整个防火墙系统崩溃。
    3.物理链路的实际承载能力将严重影响防火墙发挥出其对海量并发连接的处理能力
    虽然目前很多防火墙都提供了10/100/1000Mbps的网络接口，但是，由于防火墙通常都部署在Internet出口处，在客户端PC与目的资源中间的路径上，总是存在着瓶颈链路——该瓶颈链路可能是2Mbps专线，也可能是512Kbps乃至64Kbps的低速链路。这些拥挤的低速链路根本无法承载太多的并发连接，所以即便是防火墙能够支持大规模的并发访问连接，也无法发挥出其原有的性能。
    有鉴于此，我们应当根据网络环境的具体情况和个人不同的上网习惯来选择适当规模的并发连接表。因为不同规模的网络会产生大小不同的并发连接，而用户习惯于何种网络服务以及如何使用这些服务，同样也会产生不同的并发连接需求。高并发连接数的防火墙设备通常需要客户投资更多的设备，这是因为并发连接数的增大牵扯到数据结构、CPU、内存、系统总线和网络接口等多方面因素。如何在合理的设备投资和实际上所能提供的性能之间寻找一个黄金平衡点将是用户选择产品的一个重要任务。按照并发连接数来衡量方案的合理性是一个值得推荐的办法。
    以每个用户需要10.5个并发连接来计算，一个中小型企业网络（1000个信息点以下，容纳4个C类地址空间）大概需要10.5×1000=10500个并发连接，因此支持20000～30000最大并发连接的防火墙设备便可以满足需求；大型的企事业单位网络（比如信息点数在1000～10000之间）大概会需要105000个并发连接，所以支持100000～120000最大并发连接的防火墙就可以满足企业的实际需要; 而对于大型电信运营商和ISP来说，电信级的千兆防火墙（支持120000～200000个并发连接）则是恰当的选择。为较低需求而采用高端的防火墙设备将造成用户投资的浪费，同样为较高的客户需求而采用低端设备将无法达到预计的性能指标。利用网络整体上的并发连接需求来选择适当的防火墙产品可以帮助用户快速、准确的定位所需要的产品，避免对单纯某一参数“愈大愈好”的盲目追求，缩短设计施工周期，节省企业的开支。从而为企业实施最合理的安全保护方案。
   
    在利用并发连接数指标选择防火墙产品的同时，产品的综合性能、厂家的研发力量、资金实力、企业的商业信誉和经营风险以及产品线的技术支持和售后服务体系等都应当纳入采购者的视野，将多方面的因素结合起来进行综合考虑，切不可盲目的听信某些厂家广告宣传中的大并发连接的宣传，要根据自己业务系统、企业规模、发展空间和自身实力等因素多方面考虑。

SP2的TCP/IP并发连接数是什么?我应该怎样修改它的数值呢?
众所周知，为了防范蠕虫病毒的传播和攻击，Windows XP SP2将并发线程最多限制为10个。SP2利用Messages动态链接库，来实时监控每个进程的并发线程数目，一旦它发现某进程的线程数超过10个，就会屏蔽掉部分线程。SP2这样做，虽然可以防范震荡波类型的蠕虫病毒，加强系统安全，但是也带了一些负面影响，例如当你使用BT、P2P或 FlashGet软件下载时，部分线程将被屏蔽掉，因此下载速度会变得很慢。为此，你可以采取以下对策，来突破TCP并发连接数，从而提高SP2的多线程访问速度。

一、注册表修改法的误区

为了突破SP2对TCP并发连接数的限制，网上曾经流传过一种修改注册表的方法，操作步骤如下：
单击“开始”/运行，输入Regedit打开注册表，定位到HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\ Services\Tcpip\Parameters下，修改的“TcpNumConnections”的键值，将之由10改为150，即设置TCP最大并发连接数为150。

经过实际测试，我们发现该方法看起来有效，但实质上并不能突破并发连接数限制，提高SP2的多线程访问速度。因为SP2对线程数目的控制，是通过 “Tcpip.sys”这个系统文件来实现的，并不是通过注册表实现的，因此，该方法不能增加SP2的TCP并发连接数。

二、使用工具来替换Tcpip．sys

为了突破SP2的TCP并发连接数限制，正确地方法是修改Windows XP SP2的系统文件Tcpip.sys。Tcpip.sys是Windows XP SP2重要的系统文件，位于“C:\Windows\system32\drivers目录下。该文件由于平时受到系统保护，所以正常情况下你是无法替换它的，必须在安全模式或纯DOS模式下才能替换，建议你使用以下专门工具、来替换“Tcpip.sys”文件，操作步骤如下：

从网上http://www.lvllord.de/download.php?url=en/EvID4226Patch211a-en.zip下载替换工具(仅为30KB)，用它来修改系统文件Tcpip.sys最大安全并发连接限制；然后备份一下C:\Windows\system32\drivers\Tcpip.sys文件。
接下来，双击打开下载文件ZIP压缩包，运行其中的替换工具EvID4226Patch.exe，随之将弹出一个命令行提示符窗口，首先显示 Windows当前的Tcpip.sys文件版本，以及并发连接的限制数值(默认为10)；接着询问你是否将连接数限制在50(如下图1)，你可以选择 “Yes/No/Change”，如果你输入“Y”，则会将并发连接数改为“50”，如果想改为其他数(例如150)，可以在提示符后输入“c”，然后输入最大的并发连接数(例如150)回车，最后在提示符下输入“Y”并回车，这样就替换了Tcpip.sys文件；Tcpip.sys文件被替换后，随之会弹出系统文件保护对话框，你可以点击“取消”按钮，然后点击“是”按钮，重新启动后，Tcpip.sys文件的替换就大功告成了！

现在你的最大并发连接数已超过10个，达到了150个，因此Windows XP SP2的多线程访问速度得到了提升，当你用FlashGet、BT等多线程下载时，就不会感到网络带宽的限制了。

三、DOS下修改Tcpip．sys文件

以上替换程序EvID4226Patch.exe也可以在DOS下使用，方法是：首先把EvID4226Patch.exe拷贝到C盘根目录下；然后再进入DOS模式，进入C盘根目录，输入命令EvID4226Patch/L=$n$/w=C:\WINDOWS\system32\drivers/L= tcpip.sys即可修改Tcpip.sys文件。

注意：以上$n$为你要设置的最大安全连接数，假如要把最大并发连接数设置为150个线程，那么输入命令EvID4226Patch/L=150/w=C:\WINDOWS\system32\drivers/L=tcpip.sys即可。

四、使用比特精灵附带的工具

比特精灵附带的工具“TCP/IP连接数破解补丁”也可以替换Tcpip.sys，突破SP2的TCP并发连接数限制。

从网上http://download.pchome.net/php/dl.php?sid=15504下载比特精灵(BitSpirit)V2.7.2.225简体中文正式版，然后双击下载文件进行安装。你可以选择安装哪些组件(下图2)，应该安装“用于 Windows XP SP2的TCP/IP连接数破解补丁”，安装结束后，XP开始菜单中就会有BitSpirit程序组，单击其中的“XP SP2连接数破解补丁”，即可修改Tcpip.sys文件。

单击“XP SP2连接数破解补丁”，弹出该软件的界面，界面中列出了当前Tcpip.sys的版本、及最大并发连接数(右图3)，你可以在“TCP/IP Linitation”输入一个数，来设置最大并发连接数，例如输入150，然后按“Apply”按钮，重启系统后，你的SP2最大并发连接数就改为了 150。

以上几种方法虽然提高了Windows XP SP2的多线程访问速度，但却降低了SP2的安全性能，如果你的电脑感染了病毒和木马，过多地启用新线程，会加速病毒和木马地蔓延，因此你在追求网络下载速度的同时，也要注意网络安全。建议你及时安装升级杀毒软件和防火墙，如果是普通用户，可以利用上面的方法，将TCP最大并发连接数设置为10～30， BT用户可以设置为100～150。