網絡分析防火牆問題——會話丟失及長時延

防火牆以會話的方式保持地址、端口、方向和訪問狀況信息。多少條會話記錄是太多了多少條會話記錄又是太少了呢你的防火牆中太多或太少的狀態信息緩存會導致什麼結果呢防火牆應該保持狀態信息多長時間呢

在松山培訓學院, 我們看到為數不少的防火牆對靜止會話的狀態信息僅僅保持5分鐘，然後穿過防火牆的系統的重要連接就中斷了。我們也曾看到有的防火牆對狀態信息保持時間太長（一小時或更長），以至於通過防火牆的時延太長而影響性能。

為此，我們看看為什麼有的防火牆對狀態信息保持很長時間而有的防火牆僅保留幾分鐘呢

問題一：靜止的TCP會話連接被終止

如果你的web服務器通過一個防火牆聯接到你的數據庫服務器，當這個聯接靜止了5分鐘後，防火牆就會中斷這個TCP聯接。因此你必須重新建立一個新的聯接或者你的應用將會在5分鐘的聯接靜止止後立刻中斷。

為了解決這個問題，許多安全專家只是簡單地增加等待時間，即從默認的5分鐘增加到更長來保持狀態信息。

問題二：增加的狀態緩存導致防火牆時延增加

一旦您增加了狀態信息緩存，所需查找的會話量太高，數據包通過防火牆的時延加大。

這裡（電腦自動關機）有一個不大為大家所知的技巧。RFC默認的TCP會話保持時間是兩（電腦沒聲音）小時，這意味著一旦一個TCP會話在兩（電腦沒聲音）個小時內沒有活動，這個TCP會話的一端會發出一個TCP-ACK，另一端則會響應一個ACK，以保持這個會話。當防火牆有短期狀態信息時，TCP會話會在兩（電腦沒聲音）小時默認保持時間前被斷開。

解決方法

為解決防火牆的高時延和靜態TCP會話的連接中斷，有如下方法：建議您將所有的計算機的TCP保持時間都從兩（電腦沒聲音）小時改到三分鐘。聽起來好像工作量太大了您要修改您所有的計算機 - 當然不是！我們的方法是只要修改服務器的TCP保持時間。這樣您只要修改服務器，而不是所有的計算機終端。
說明：從FLUKE網絡的協議專家軟件中可以看到TCP 保持時間是 120 分鐘

改變了服務器的TCP保持時間後，服務器會發起一個 ACK – ACK 交換，這將改變這個會話的激活狀態保持時間，從而減少狀態信息緩存，並將防火牆時延也降低到合理的范圍。

 

網絡分析防火牆問題——會話丟失及長時延