下载中心 | 网站地图 | 站内搜索 | 加入收藏

安恒公司 / 技术文章 / 网络管理与网络测试 / 网络测试 / 网络分析:防火墙问题——会话丢失及长时延

2004-04-19 Bill Alderson  阅:    下页:
网络分析:防火墙问题——会话丢失及长时延

防火墙以会话的方式保持地址、端口、方向和访问状况信息。多少条会话记录是太多了?多少条会话记录又是太少了呢?你的防火墙中太多或太少的状态信息缓存会导致什么结果呢?防火墙应该保持状态信息多长时间呢?

在松山培训学院, 我们看到为数不少的防火墙对静止会话的状态信息仅仅保持5分钟,然后穿过防火墙的系统的重要连接就中断了。我们也曾看到有的防火墙对状态信息保持时间太长(*小时或更长),以至于通过防火墙的时延太长而影响性能。

为此,我们看看为什么有的防火墙对状态信息保持很长时间而有的防火墙仅保留几分钟呢?

问题*:静止的TCP会话连接被终止

如果你的web服务器通过*个防火墙联接到你的数据库服务器,当这个联接静止了5分钟后,防火墙就会中断这个TCP联接。因此你必须重新建立*个新的联接或者你的应用将会在5分钟的联接静止止后立刻中断。

为了解决这个问题,许多安全专家只是简单地增加等待时间,即从默认的5分钟增加到更长来保持状态信息。

https://anheng.com.cn/news/html/network_troubleshooting/210.html 

问题二:增加的状态缓存导致防火墙时延增加

*旦您增加了状态信息缓存,所需查找的会话量太高,数据包通过防火墙的时延加大。

这里有*个不大为大家所知的技巧。RFC默认的TCP会话保持时间是两小时,这意味着**个TCP会话在两个小时内没有活动,这个TCP会话的*端会发出*个TCP-ACK,另*端则会响应*个ACK,以保持这个会话。当防火墙有短期状态信息时,TCP会话会在两小时默认保持时间前被断开。

https://anheng.com.cn/news/html/network_troubleshooting/210.html 

解决方法

为解决防火墙的高时延和静态TCP会话的连接中断,有如下方法:建议您将所有的计算机的TCP保持时间都从两小时改到三分钟。听起来好像工作量太大了?您要修改您所有的计算机 - 当然不是!我们的方法是只要修改服务器的TCP保持时间。这样您只要修改服务器,而不是所有的计算机终端。 


说明:从FLUKE网络的协议专家软件中可以看到TCP 保持时间是 120 分钟

改变了服务器的TCP保持时间后,服务器会发起*个 ACK – ACK 交换,这将改变这个会话的激活状态保持时间,从而减少状态信息缓存,并将防火墙时延也降低到合理的范围。

https://anheng.com.cn/news/html/network_troubleshooting/210.html 

https://anheng.com.cn/news/html/network_troubleshooting/210.html 

下页:   

相关文章
WLAN网络测试之布线测试 - 12-11-22 - 阅读: 341574
IPv6时代选用什么样的网络测试仪 - 11-02-10 - 阅读: 203604
安恒公司网络测试事业部经销商培训会火热进行 - 10-08-13 - 阅读: 268895
OptiView网络综合分析仪查找网络反应慢的视频 - 10-08-11 - 阅读: 225665
OptiView网络综合分析仪软件升*,版本6.0包含clearsight - 10-07-06 - 阅读: 214909
网络健康检测服务介绍,安恒网络测试服务中心 - 10-06-01 - 阅读: 390620
安恒公司为某大学宿舍进行无线网络测试 - 10-04-21 - 阅读: 375200
OptiView Series II 金牌服务(GLD-OPVS2)退市通告 - 10-02-25 - 阅读: 210383
OptiView v5.4版本软件的新功能 - 10-02-25 - 阅读: 200931
如何将OptiView Series II 产品升*到OptiView Series III ? - 10-02-25 - 阅读: 207042
OptiView III的防病毒能力(OPVS3-GIG,OPVS3-GIG/W,OPVS3-GIG/S,OPVS3-GIG/PSVS) - 10-02-25 - 阅读: 206535
OptiView应用程序故障排除专家选件OPVS3-ATE - 10-02-07 - 阅读: 207699
福禄克TAP分路器解决方案,网络测试的常用接入方法 - 10-02-03 - 阅读: 206255
安恒公司网络测试事业部2010年团队建设活动 - 10-01-31 - 阅读: 230817
艾尔麦无线网便携式网络分析仪Wi-Fi Analyzer中“AirWISE”功能简介 - 10-01-28 - 阅读: 208018
艾尔麦无线网络测试仪中“AirWISE”是什么? - 10-01-28 - 阅读: 201323
简述FLUKE Optiview与EtherScope的Discovery功能的区别 - 10-01-18 - 阅读: 217384
艾尔麦无线网便携式网络分析仪WiFi Analyzer*新升*至8.7 - 10-01-08 - 阅读: 204061
关于FLUKE OptiView网络分析仪常见技术问题汇总 - 10-01-07 - 阅读: 195812
网络测试仪接入网络分析数据的方式比较,TAP与HUB - 10-01-05 - 阅读: 193695
相关产品
矢量网络分析仪适配器 - 14-05-08 - 阅读: 507419
OptiView NetFlow Tracker - 12-12-11 - 阅读: 1117938
OptiViewXG 网络分析平板电脑 - 11-06-21 - 阅读: 837349
OptiView III INA第三代集成式网络分析仪,OPVS3-GIG/PSVS - 07-01-30 - 阅读: 1316297
NetTool II 二代在线型网络测试仪(NetTool Series II Inline Network Tester) - 06-11-01 - 阅读: 1386031
分布式网络分析与测试全面解决方案 - 06-04-28 - 阅读: 1289924
手持式无线网测试仪ES-WLAN网络通无线网络测试仪 - 05-10-25 - 阅读: 1057364
OptiView DS3/E3广域网分析仪OPV-WAN/DS3E3 - 05-04-04 - 阅读: 1617539
怎样选择福禄克手持式网络测试仪-Fluke选购指南 - 03-12-01 - 阅读: 632152
LinkRunner链路通|Fluke掌上型网络测试仪LinkRunner Kit - 04-12-16 - 阅读: 1646164
ES网络通EtherScope千兆网络分析仪|Fluke便携式网络测试仪ES-LAN - 01-10-23 - 阅读: 2094591
OptiView II INA集成式网络分析仪OPVS2-GIG/PSVS, OPVS2-PRO - 05-10-22 - 阅读: 1743750
NetTool网络万用表|掌上型网络测试仪NT-PRO|VoIP选件 - 05-10-21 - 阅读: 1719820
OptiView PE协议分析专家软件 协议分析仪OPV-PE/PLUS - 04-04-29 - 阅读: 1614753
OptiView Console 控制台软件(网络管理系统)OVC - 04-04-27 - 阅读: 1465984
OptiView OC3/OC12广域网分析仪OPV-WAN/OC3-OC12 - 04-04-30 - 阅读: 1626340
OptiView LA链路分析仪(协议分析仪)OptiView Link Analyzer|OPV-LA/HD - 04-04-28 - 阅读: 1680297
OptiView T1/E1广域网分析仪OPV-WAN/T1E1 - 04-06-15 - 阅读: 1672416
手持式网络测试仪方案, Fluke, 福禄克网络测试仪 - 03-12-31 - 阅读: 688002
网络分析解决方案 - 03-01-01 - 阅读: 586624

Email给朋友 打印本文
版权所有·安恒公司 Copyright © 2004   epon.anheng.com.cn   All Rights Reserved    
北京市海淀区*体南路9号 主语国际商务中心4号楼8层 (邮编100048) 电话:010-88018877