下载中心 | 网站地图 | 站内搜索 | 加入收藏

安恒公司 / 技术文章 / 网络管理与网络测试 / 网络测试 / 网络分析:防火墙问题——会话丢失及长时延

2004-04-19 Bill Alderson  阅:    下页:
网络分析:防火墙问题——会话丢失及长时延

防火墙以会话的方式保持地址、端口、方向和访问状况信息。多少条会话记录是太多了?多少条会话记录又是太少了呢?你的防火墙中太多或太少的状态信息缓存会导致什么结果呢?防火墙应该保持状态信息多长时间呢?

在松山培训学院, 我们看到为数不少的防火墙对静止会话的状态信息仅仅保持5分钟,然后穿过防火墙的系统的重要连接就中断了。我们也曾看到有的防火墙对状态信息保持时间太长(*小时或更长),以至于通过防火墙的时延太长而影响性能。

为此,我们看看为什么有的防火墙对状态信息保持很长时间而有的防火墙仅保留几分钟呢?

问题*:静止的TCP会话连接被终止

如果你的web服务器通过*个防火墙联接到你的数据库服务器,当这个联接静止了5分钟后,防火墙就会中断这个TCP联接。因此你必须重新建立*个新的联接或者你的应用将会在5分钟的联接静止止后立刻中断。

为了解决这个问题,许多安全专家只是简单地增加等待时间,即从默认的5分钟增加到更长来保持状态信息。

https://anheng.com.cn/news/article.php?articleid=210 

问题二:增加的状态缓存导致防火墙时延增加

*旦您增加了状态信息缓存,所需查找的会话量太高,数据包通过防火墙的时延加大。

这里有*个不大为大家所知的技巧。RFC默认的TCP会话保持时间是两小时,这意味着**个TCP会话在两个小时内没有活动,这个TCP会话的*端会发出*个TCP-ACK,另*端则会响应*个ACK,以保持这个会话。当防火墙有短期状态信息时,TCP会话会在两小时默认保持时间前被断开。

https://anheng.com.cn/news/article.php?articleid=210 

解决方法

为解决防火墙的高时延和静态TCP会话的连接中断,有如下方法:建议您将所有的计算机的TCP保持时间都从两小时改到三分钟。听起来好像工作量太大了?您要修改您所有的计算机 - 当然不是!我们的方法是只要修改服务器的TCP保持时间。这样您只要修改服务器,而不是所有的计算机终端。 


说明:从FLUKE网络的协议专家软件中可以看到TCP 保持时间是 120 分钟

改变了服务器的TCP保持时间后,服务器会发起*个 ACK – ACK 交换,这将改变这个会话的激活状态保持时间,从而减少状态信息缓存,并将防火墙时延也降低到合理的范围。

https://anheng.com.cn/news/article.php?articleid=210 

https://anheng.com.cn/news/article.php?articleid=210 

下页:   

相关文章
WLAN网络测试之布线测试 - 12-11-22 - 阅读: 339702
IPv6时代选用什么样的网络测试仪 - 11-02-10 - 阅读: 203311
安恒公司网络测试事业部经销商培训会火热进行 - 10-08-13 - 阅读: 268709
OptiView网络综合分析仪查找网络反应慢的视频 - 10-08-11 - 阅读: 225098
OptiView网络综合分析仪软件升*,版本6.0包含clearsight - 10-07-06 - 阅读: 214691
网络健康检测服务介绍,安恒网络测试服务中心 - 10-06-01 - 阅读: 389602
安恒公司为某大学宿舍进行无线网络测试 - 10-04-21 - 阅读: 373757
OptiView Series II 金牌服务(GLD-OPVS2)退市通告 - 10-02-25 - 阅读: 210123
OptiView v5.4版本软件的新功能 - 10-02-25 - 阅读: 200644
如何将OptiView Series II 产品升*到OptiView Series III ? - 10-02-25 - 阅读: 206718
OptiView III的防病毒能力(OPVS3-GIG,OPVS3-GIG/W,OPVS3-GIG/S,OPVS3-GIG/PSVS) - 10-02-25 - 阅读: 206206
OptiView应用程序故障排除专家选件OPVS3-ATE - 10-02-07 - 阅读: 207396
福禄克TAP分路器解决方案,网络测试的常用接入方法 - 10-02-03 - 阅读: 205878
安恒公司网络测试事业部2010年团队建设活动 - 10-01-31 - 阅读: 230655
艾尔麦无线网便携式网络分析仪Wi-Fi Analyzer中“AirWISE”功能简介 - 10-01-28 - 阅读: 207865
艾尔麦无线网络测试仪中“AirWISE”是什么? - 10-01-28 - 阅读: 201118
简述FLUKE Optiview与EtherScope的Discovery功能的区别 - 10-01-18 - 阅读: 217081
艾尔麦无线网便携式网络分析仪WiFi Analyzer*新升*至8.7 - 10-01-08 - 阅读: 203932
关于FLUKE OptiView网络分析仪常见技术问题汇总 - 10-01-07 - 阅读: 195588
网络测试仪接入网络分析数据的方式比较,TAP与HUB - 10-01-05 - 阅读: 193457
相关产品
矢量网络分析仪适配器 - 14-05-08 - 阅读: 493420
OptiView NetFlow Tracker - 12-12-11 - 阅读: 1098726
OptiViewXG 网络分析平板电脑 - 11-06-21 - 阅读: 817970
OptiView III INA第三代集成式网络分析仪,OPVS3-GIG/PSVS - 07-01-30 - 阅读: 1298288
NetTool II 二代在线型网络测试仪(NetTool Series II Inline Network Tester) - 06-11-01 - 阅读: 1364590
分布式网络分析与测试全面解决方案 - 06-04-28 - 阅读: 1275832
手持式无线网测试仪ES-WLAN网络通无线网络测试仪 - 05-10-25 - 阅读: 1042761
OptiView DS3/E3广域网分析仪OPV-WAN/DS3E3 - 05-04-04 - 阅读: 1594409
怎样选择福禄克手持式网络测试仪-Fluke选购指南 - 03-12-01 - 阅读: 627039
LinkRunner链路通|Fluke掌上型网络测试仪LinkRunner Kit - 04-12-16 - 阅读: 1619812
ES网络通EtherScope千兆网络分析仪|Fluke便携式网络测试仪ES-LAN - 01-10-23 - 阅读: 2067185
OptiView II INA集成式网络分析仪OPVS2-GIG/PSVS, OPVS2-PRO - 05-10-22 - 阅读: 1718917
NetTool网络万用表|掌上型网络测试仪NT-PRO|VoIP选件 - 05-10-21 - 阅读: 1694085
OptiView PE协议分析专家软件 协议分析仪OPV-PE/PLUS - 04-04-29 - 阅读: 1589563
OptiView Console 控制台软件(网络管理系统)OVC - 04-04-27 - 阅读: 1446283
OptiView OC3/OC12广域网分析仪OPV-WAN/OC3-OC12 - 04-04-30 - 阅读: 1604788
OptiView LA链路分析仪(协议分析仪)OptiView Link Analyzer|OPV-LA/HD - 04-04-28 - 阅读: 1654734
OptiView T1/E1广域网分析仪OPV-WAN/T1E1 - 04-06-15 - 阅读: 1649768
手持式网络测试仪方案, Fluke, 福禄克网络测试仪 - 03-12-31 - 阅读: 682592
网络分析解决方案 - 03-01-01 - 阅读: 581510

Email给朋友 打印本文
版权所有·安恒公司 Copyright © 2004   t568a.anheng.com.cn   All Rights Reserved    
北京市海淀区*体南路9号 主语国际商务中心4号楼8层 (邮编100048) 电话:010-88018877