有多少运维配置防火墙忽略了长连接?

于 2023-06-14 17:33:22 发布
阅读量690 收藏
点赞数
文章标签: 运维 java 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/LinkSLA/article/details/131212653
版权
文章讨论了在长时间无数据交互的场景下,如何管理TCP和UDP的会话超时,特别是对于像Oracle数据库这样的应用。当会话超时超过1800秒,需要开启长效会话比例来避免连接失败。配置包括设置长效会话比例、通过应用或服务定义长连接,并强调了配置生效的条件和优先级。防火墙的SYN0检查和超时策略也影响着连接的成功与否。
摘要由CSDN通过智能技术生成

长连接的使用场景

当业务中客户端和服务器长时间无数据交互,空闲时间超过1800秒,会话会因超时被清除。后续客户端没有重新发起连接,直接发送控制报文时导致数据不通。常见于数据库连接。

1. 重点说明

  • 以天为单位的会话超时需要开启长效会话比例,否则无效,按协议默认值生效。TCP 1800s,UDP 60s。

  • 以秒为单位的会话超时配置(最大65535,约18小时),不属于长效会话,可以不开启长效会话比例。

  • 在服务中定义的超时时间,必须对应策略引用才生效。

  • 在应用中定义的超时时间,不需要策略引用。

  • 应用超时时间优先级低于服务。

  • 命令行show session 或web UI通过策略查看会话超时时间确认是否生效。

  • 仅对配置完成后新建的会话生效,配置前已存在的会话无效。

2. 场景解析

某些业务同一个会话的保持或响应时间比较长,出现以下情况时,会导致业务失败。

  • 业务的连接闲置时间比较长,StoneO会话超时后,客户端和服务器直接连接仍然保持。当请求发起时,客户端不再进行三次握手,如果防火墙开启了syn0检查或响应时间超过三次握手等待时间,相关报文会被丢弃。

  • 客户端发送请求后,服务端响应时间超过应用会话存活期(例如海量数据库查询用时超过1800S),回包经过防火墙时,相关会话已经因超时关闭,从而导致报文被丢弃业务失败。

StoneOS相关会话的生存期需要大于应用的等待和响应时间,如果该时长大于系统预定义生存期,则需要做相关配置。

常见的相关应用:oracle数据库(预定义应用SQLNETv2)、SSL vpn 的UDP数据传输等。

3. 相关概念

  • 业务相关概念

会话闲置时间:只客户端和服务器之间的连接保持时间,只要闲置不超过该时长,客户端和服务器可能会继续使用该连接。

  • StoneOS相关概念

超时时间:相关会话无任何流量命中时的保持时长,超过该时长会话会关闭。

长效会话:超时时间超过65535秒的会话。

4. 相关配置

设置长效会话比例

以天为单位的会话超时需要开启长效会话比例,否则无效,按协议默认值生效。TCP 1800s,UDP 60s。以秒为单位的会话超时配置(最大65535,约18小时),不属于长效会话,可以不开启长效会话比例。

进入【网络】【全局网络参数】开启 【长效会话】开关,比例通常按推荐10%即可。

CLI 配置:

longlife-sess-percent 10

通过应用定义长连接

如果需要全局对某个常见应用生效,如全网oracle可以对预定义应用进行配置。配置步骤如下

CLI配置:

application SQLNETv2

timeout-day tcp 2

exit

如需对特定的业务生效,如某指定的orcale服务器生效,可以通过自定义应用配置。配置步骤如下,不同版本界面有所区别,逻辑是一致的。

CLI配置:

application oracle-OA

timeout-day tcp 2

exit

signature

application oracle-OA                            #刚才新建的应用名称

src-addr Any

dst-ip 10.0.0.100/32

protocol tcp dst-port 1521

exit

通过服务定义长连接
大部分主流版本当前WEB UI不支持服务修改超时时间,只能CLI配置;

service "tcp1521"

tcp dst-port 1521 timeout-day 2

exit

服务中定义的连接时长需要策略调用才生效。如流量命中服务为ANY的策略,则超时时间为1800s。

5. 生效条件

如下图,因命中预定义应用sqlnetv2生效

如下图,已经命中预定义应用,超时时间仍然是1800,如应用配置没问题,大概率全局没开启长效会话比例。

如超时时间配置单位为秒,不需要开启长效会话即可生效。如下图

当服务和应用中配置的超时时间不一致,以命中策略服务为准,上图会话配置如下;


                

        

        

    

  


    

      

        

            

              
                
                  LinkSLA
                
              
            

            

                关注
              
            

        

        

          
      

      









                



	

		

			

				
					
状态检测防火墙

				
			

			

				

					A soul tortured by  desire
				

				

					07-05
					
					1153
					
				

			

		

		

			
				
防火墙原理、安全策略配置及优化注意事项

			
		

	



                

              
                



	

		

			

				
					
关于ansible自动化运维超级详细

				
			

			

				

					Linux爱好者的博客
				

				

					04-24
					
					1万+
					
				

			

		

		

			
				
首先什么是ansible呢?
前言
Ansible是一个开源 的基于openssh的自动化配置管理工具。可以用它来配置系统,部署软件和编排更高级的IT任务,比如持续部署或零停机更新。Ansible的主要目标是简单和易用,通过Ansible可以批量管理大型运维环境。

Ansible 是一个用 Python 开发的自动化运维工具,它能执行批量系统配置、批量程序部署、批量运行命令等任务,还能执行如零宕机时间的滚动更新等高级任务。Ansible 本身是一个执行框架,真正执行运维任务的是它的诸多模块。
简单来说,当

			
		

	



                


  
              

                


	

		

			

				
					
nginx长连接——keepalive

				
			

			

				

					JineD的博客
				

				

					02-07
					
					8057
					
				

			

		

		

			
				
参考:https://www.cnblogs.com/grimm/p/13038577.html  nginx之 tcp_nopush、tcp_nodelay、sendfile 三个参数详解





当使用nginx作为反向代理时,为了支持长连接,需要做到两点:

从client到nginx的连接是长连接
	从nginx到server的连接是长连接
1、保持和client的长连接:

默认情况下,nginx已经自动开启了对client连接的keep alive支持(同时client发送的HTTP...

			
		

	





	

		

			

				
					
防火墙导致数据库连接中断

				
			

			

				

					程序员一一涤生
				

				

					01-18
					
					1224
					
				

			

		

		

			
				
前几天有个项目部署到生成环境中之后,同事反映经常在第一次使用某些业务功能的时候,要等待好久才能加载出数据,然后再次使用该功能,就会很快能加载出数据。刚听到这个问题,觉得会不会是数据量太大,第一次查询很慢,然后由于引入了缓存,所以后面的查询都很快,但是很快就排除了这个猜测,因为换了查询条件,结果依然很快,说明不是缓存的问题,而且直接将sql语句拿到数据库中去查询,速度也并不慢。感性的猜测不...

			
		

	



		

			
		



	

		

			

				
					
服务端长连接禁用问题

				
			

			

				

					抱愚守拙,持之以恒;不问结果,相信过程.
				

				

					10-26
					
					1937
					
				

			

		

		

			
				
服务端tomcat配置:

​​

使用postman发送请求到服务端,发现第一次可以成功,接着请求第二次就响应超时,开始以为是postman的问题,因为使用JAVA代码模拟了连续两次请求,就可以得到两次响应,

还在服务端linux上抓包进行分析了:

   


tcpdump -i eth1 host 39.108.192.160 and port 4001 -w /tmp/20181026...

			
		

	





	

		

			

				
					
服务器如何支持长连接,[Discuss] Nacos 支持长连接

				
			

			

				

					weixin_28720767的博客
				

				

					07-29
					
					1701
					
				

			

		

		

			
				
Nacos 规划准备基于 gRPC 来替换现有的通信场景(Http + UDP),以下是重点需要和社区讨论的项。请大家积极踊跃发表自己的看法。Nacos 能够替换成长连接的两大前提通信模型的匹配现有的通信场景新的通讯场景Http 服务接口 服务接口 Request/ResponsegRPC Request/Response配置推送 Http Long PollinggRPC Request/Str...

			
		

	





	

		

			

				
					
饿了吗!来点营养的-华为USG6000V防火墙超详细配置

				
			

			

				

					Friendsofthewind的博客
				

				

					07-03
					
					7265
					
				

			

		

		

			
				
华为防火墙设备管理方式
温馨提示:本章介绍最常用的两种Telnet、SSH方式管理
华为防火墙是AAA(Authentication  Authorization Accounting)服务器,它是一种机制,能够处理用户访问请求的服务程序,为具有访问权限的用户提供服务。
验证:Authentication哪些用户可以访问
授权:具有访问权限的用户可以得到哪些服务,有什么权限
记账:对使用网络资源的用户审计
带外管理:Console方式管理,适用于刚买的新设备或者网络故障无法使用其他方式管理,此方式不需要IP

			
		

	





	

		

			

				
					
小米运维面试题目(1).docx

				
			

			

				

					01-08
				

			

		

		

			
				
### 小米运维面试知识点详解  #### 第一部分:Linux基础  **题目1:批量下载图片文件及筛选**  - **知识点1:使用wget批量下载文件**  - 在Linux环境下,可以利用`wget`命令来实现对指定URL的批量下载。例如,可以...

			
		

	





	

		

			

				
					
华为防火墙实现远程管理的方式及配置telnet--web--ssh

				
			

			

				

					weixin_45986422的博客
				

				

					04-26
					
					6003
					
				

			

		

		

			
				
1.通过Console线进行管理
这种方式适用于刚购买的新设备,实际环境中,插上Console即可!这里就不再多说了!







2.通过Telnet方式管理
Telnet管理方式通过配置使终端通过Telnet方式登录设备,实现对设备的配置和管理。其实这种环境拓补只需一个防火墙(版本为USG6000)和Cloud(主要是为了可以桥接到宿主机或虚拟机)即可,实验拓补如下:



1)首次登录C...

			
		

	





	

		

			

				
					
Nginx实战|Nginx健康检查

				
			

			

				

					关注微信公众号【开源Linux】,后台回复『10T』,领取10T学习资源大放送,涵盖Linux、虚拟化、容器、云计算、网络、Python、Go等书籍和视频
				

				

					09-21
					
					349
					
				

			

		

		

			
				
开源Linux按二维码加关注~上一篇:盘点提高国内访问Github的速度的9种方案服务治理的一个重要任务是感知服务节点变更,完成服务自动注册及异常节点的自动摘除。这就需要服务治理平...

			
		

	





	

		

			

				
					
网络防火墙长连接限制的修改方法

				
			

			

				

					cuanjie9484的博客
				

				

					03-02
					
					2441
					
				

			

		

		

			
				
网络防火墙对任务分发连接时间限制的修改方法
背景:
宁波分行文件服务器(装有任务分发、流程控制)与事后监督系统客户端在不同局域网中,文件服务器的IP为 *.*.9.*,客户端的网段是*.*.1.*,9网段为核心生产网段,9网...

			
		

	





	

		

			

				
					
防火墙超时关闭TCP长连接 设置TCP长连接心跳机制

				
			

			

				

					ZouTaooo的博客
				

				

					08-31
					
					4604
					
				

			

		

		

			
				
Error
Traceback (most recent call last):
  File "/usr/lib/python3.5/threading.py", line 914, in _bootstrap_inner
    self.run()
  File "/usr/lib/python3.5/threading.py", line 862, in run
    self._target(*self._args, **self._kwargs)
  File "/home/zt/CI/Mas

			
		

	





	

		

			

				
					
防火墙长连接和短连接相关命令

				
			

			

				

					quanhezhi1的专栏
				

				

					03-07
					
					7737
					
				

			

		

		

			
				
http://www.hongyanliren.com


防火墙长连接和短连接介绍相关命令与操作,防火墙长连接和短连接firewall session aging-time tcp (?察看时间)

[SecBlade_FW]display firewall session aging-time
Firewall aging-time value information:
tc

			
		

	





	

		

			

				
					
TCP长连接保持连接状态TCP keepalive设置

					
热门推荐

				
			

			

				

					super_bert的专栏
				

				

					12-22
					
					1万+
					
				

			

		

		

			
				
对于TCP长连接保活是十分必要的,原因如下:

      1、系统多在OA网和外网间有防火墙隔离,很多防火墙对一段时间内没有报文活动的socket会自动关闭。
      2、对于非正常断开的连接系统并不能侦测到,比如防火墙关闭端口、网线被拔掉、电脑突然奔掉、未关闭应用程序直接关机(服务端无法释放资源)。
     (调用close(fd)为正常断开,连接对端可以侦测到)


TC

			
		

	





	

		

			

				
					
防火墙配置长连接导致oracle异常

				
			

			

				

					weixin_34008805的博客
				

				

					02-15
					
					1854
					
				

			

		

		

			
				
这是2014年碰到的一个问题,用户上线了一套业务系统,这套业务系统由WEB服务器和数据库服务器组成,在测试阶段发现客户端在访问业务系统的时候经常无法登陆,在输入用户名和密码后无法正常登陆系统,业务系统的开放商说客户端登陆的时候正是WEB服务器访问数据库服务器的时候,按照这个说法,在这个节点的访问有问题。于是我们在WEB服务器上进行抓包,抓取了一段时间,发现了下面的情况:上图中,web服务器在空闲1...

			
		

	





	

		

			

				
					
别让防火墙阻塞了数据库连接

				
			

			

				

					ruyi574812039的专栏
				

				

					11-09
					
					1276
					
				

			

		

		

			
				
  转自:http://www.360doc.com/content/08/0524/18/49194_1281450.shtml

在我进行的技术支持的项目中,有不少情况下,防火墙的设置会给J2EE应用带来一些麻烦。你遇上过吗?   

  通常的Web应用都是无状态的连接,一般来说对于防火墙是非常友好的。但是,大多数JavaEE应用服务器都有连接池的概念。为了提高性能,应用服 务器会预...

			
		

	





	

		

			

				
					
浅谈防火墙长连接与短连接

				
			

			

				

					qq_43205578的博客
				

				

					06-17
					
					2926
					
				

			

		

		

			
				
浅谈防火墙长连接与短连接
引言:在银行项目日常投产中,开发人员会发现系统上线后应用访问数据库连接中断的问题,这很有可能是因为应用程序与数据库之间的连接使用了长连接。当应用程序与数据库建立的同一个TCP会话的两个连续报文到达防火墙的时间间隔大于防火墙上默认TCP会话的保持时间间隔,会话超时后防火墙将从会话表中删除此TCP会话信息。所以当后续该TCP会话中的第二个报文到达防火墙后,防火墙发现会话表中无...

			
		

	





	

		

			

				
					
DPtechFW1000防火墙运维手册:接口线缆连接与管理

				
			

			

				

					
				

			

		

		

			
				
"《连接接口线缆-版本控制之道:使用Subversion 第2版》是一份关于IT设备接口线缆连接管理的手册,特别是在迪普防火墙DPtechFW1000系列的运维实践中。内容详细地介绍了两种类型的接口线缆连接:配置口线缆和网络管理...

			
		

	



              




          




        



    





    



      

      

        
      

      





	

		评论	
	

	
	




  

    

      添加红包
      
    

    

      

        
        

          
          
        

        
请填写红包祝福语或标题

      

      

        
        

          
          
        

        
红包个数最小为10个

      

      

        
        

          
          
        

        
红包金额最低5元

      

      

        
        

          当前余额3.43前往充值 >
        

      

      

        

          需支付:10.00

        
        
      

    

  





  

    
    
  

  

    
    
  








  

    

      

        

          

            
            
成就一亿技术人!

          

          

        

        

          

          

            领取后你会自动成为博主和红包主的粉丝
            规则
          

        

      

      

        

          

            
              
            
            

              
hope_wisdom
 发出的红包
            

          

        

        

          

          

          

        

      

    

    

  



      
      

      
实付

      
使用余额支付

      

        

          

            
            点击重新获取
          

        

        
扫码支付

      

      

        
          
            
          
          
        
      

      

        
        钱包余额
          0
          

            
            

              

                
抵扣说明:

                
 1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
 2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

              

            

          

      

      余额充值