网络分析:防火墙问题——会话丢失和长时延
防火墙维护会话中的地址、端口、方向和访问状态信息。有多少会话记录太多多少会议记录太少状态信息缓存你的防火墙过多或过少的结果防火墙需要多长时间保存状态信息在嵩山培训学院,我们看到许多防火墙只保存了5分钟的静态会话信息,然后防火墙之间的重要连接就崩溃了。我们还看到一些防火墙将状态信息维持了一小时或更长时间,因此通过防火墙的延迟太长会影响性能。
基于这个原因,让我们看看为什么有些防火墙在很长一段时间内保持状态信息,而一些防火墙只保留几分钟。
问题1:终止静态TCP会话连接
如果你的Web服务器通过防火墙连接到你的数据库服务器,当连接静止5分钟时,防火墙就会中断TCP连接,所以你必须重新建立一个新的连接,否则你的应用程序会在5分钟静态停止后立即被中断。
为了解决这个问题,许多安全专家简单地增加了等待时间,也就是说,要将状态信息从默认的5分钟延长到更长时间。
问题二:增加状态缓存会导致防火墙延迟增加
一旦您增加了状态信息缓存,您需要查找的会话量就太高了,并且数据包会随着防火墙的时间延迟而增加。
有一个鲜为人知的技能here.rfc默认的TCP会话保持的时间是两个小时,这意味着一旦一个TCP会话不活跃在两个小时内,对TCP会话的一端将发送一个tcp-ack,而另一端会回应一个ACK保持会话。当防火墙有短信息的状态,TCP会话前两小时默认保温时间断开。
解决方法
为了解决高世妍和防火墙静态TCP会话之间的连接中断,有以下几种方法:建议您将所有计算机的TCP保持时间从两个小时保持到三分钟,听起来有很多工作要做吗你必须修改所有的计算机——当然不是!我们的方法是修改服务器的TCP保留时间,因此您只需修改服务器,而不是修改所有计算机终端。
说明:从福禄克网络的协议专家软件中,TCP保留时间为120分钟。
在改变服务器的TCP保持时间后,服务器发起一个ACK交换,这将改变会话的激活状态保持时间,从而减少状态信息缓存,并将防火墙延迟降低到合理的范围。