防火墻以會話的方式保持地址、端口、方向和訪問狀況信息。多少條會話記錄是太多了多少條會話記錄又是太少了呢你的防火墻中太多或太少的狀態(tài)信息緩存會導(dǎo)致什么結(jié)果呢防火墻應(yīng)該保持狀態(tài)信息多長時間呢

在松山培訓(xùn)學(xué)院, 我們看到為數(shù)不少的防火墻對靜止會話的狀態(tài)信息僅僅保持5分鐘，然后穿過防火墻的系統(tǒng)的重要連接就中斷了。我們也曾看到有的防火墻對狀態(tài)信息保持時間太長（一小時或更長），以至于通過防火墻的時延太長而影響性能。

為此，我們看看為什么有的防火墻對狀態(tài)信息保持很長時間而有的防火墻僅保留幾分鐘呢

問題一：靜止的TCP會話連接被終止

如果你的web服務(wù)器通過一個防火墻聯(lián)接到你的數(shù)據(jù)庫服務(wù)器，當(dāng)這個聯(lián)接靜止了5分鐘后，防火墻就會中斷這個TCP聯(lián)接。因此你必須重新建立一個新的聯(lián)接或者你的應(yīng)用將會在5分鐘的聯(lián)接靜止止后立刻中斷。

為了解決這個問題，許多安全專家只是簡單地增加等待時間，即從默認(rèn)的5分鐘增加到更長來保持狀態(tài)信息。

問題二：增加的狀態(tài)緩存導(dǎo)致防火墻時延增加

一旦您增加了狀態(tài)信息緩存，所需查找的會話量太高，數(shù)據(jù)包通過防火墻的時延加大。

這里（電腦自動關(guān)機(jī)）有一個不大為大家所知的技巧。RFC默認(rèn)的TCP會話保持時間是兩（電腦沒聲音）小時，這意味著一旦一個TCP會話在兩（電腦沒聲音）個小時內(nèi)沒有活動，這個TCP會話的一端會發(fā)出一個TCP-ACK，另一端則會響應(yīng)一個ACK，以保持這個會話。當(dāng)防火墻有短期狀態(tài)信息時，TCP會話會在兩（電腦沒聲音）小時默認(rèn)保持時間前被斷開。

解決方法

為解決防火墻的高時延和靜態(tài)TCP會話的連接中斷，有如下方法：建議您將所有的計(jì)算機(jī)的TCP保持時間都從兩（電腦沒聲音）小時改到三分鐘。聽起來好像工作量太大了您要修改您所有的計(jì)算機(jī) - 當(dāng)然不是！我們的方法是只要修改服務(wù)器的TCP保持時間。這樣您只要修改服務(wù)器，而不是所有的計(jì)算機(jī)終端。
說明：從FLUKE網(wǎng)絡(luò)的協(xié)議專家軟件中可以看到TCP 保持時間是 120 分鐘

改變了服務(wù)器的TCP保持時間后，服務(wù)器會發(fā)起一個 ACK

主站蜘蛛池模板： 贵南县| 望城县| 壤塘县| 林西县| 邻水| 秀山| 上杭县| 湖口县| 桃园县| 承德市| 金平| 洪泽县| 新巴尔虎左旗| 古浪县| 瑞昌市| 苏尼特右旗| 兴安县| 微博| 常山县| 彭山县| 四平市| 赣州市| 筠连县| 阿城市| 泰顺县| 阜新市| 石楼县| 彭州市| 大港区| 自治县| 兴仁县| 弋阳县| 左权县| 中卫市| 赣州市| 萍乡市| 平乐县| 滕州市| 滕州市| 五大连池市| 营山县|