浅谈防火墙长连接与短连接

最新推荐文章于 2023-06-25 07:00:00 发布
最新推荐文章于 2023-06-25 07:00:00 发布
阅读量2.8k 收藏 9
点赞数 3
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43205578/article/details/92106489
版权

浅谈防火墙长连接与短连接
引言:在银行项目日常投产中,开发人员会发现系统上线后应用访问数据库连接中断的问题,这很有可能是因为应用程序与数据库之间的连接使用了长连接。当应用程序与数据库建立的同一个TCP会话的两个连续报文到达防火墙的时间间隔大于防火墙上默认TCP会话的保持时间间隔,会话超时后防火墙将从会话表中删除此TCP会话信息。所以当后续该TCP会话中的第二个报文到达防火墙后,防火墙发现会话表中无此会话条目,防火墙会根据自身的转发机制从而丢弃该非tcp syn报文,导致连接中断,所以开发人员要把使用长连接的需求告之运维人员,把防火墙上针对该条访问关系策略默认的会话时间设置久一点,从而可以避免会话中断的情况。由此可见项目的前期沟通显得至关重要。(注:本文防火墙的一些时间参数仅为华为某型号防火墙,不代表所有厂家防火墙的参数)
一、TCP连接建立和拆除过程
1、TCP标志位
SYN,ACK,FIN存放在TCP的标志位,一共有6个字符,这里就介绍这三个:
SYN:请求创建连接,在三次握手中前两次要SYN=1,表示这两次用于建立连接。
FIN:请求关闭连接,在四次分手时,我们发现FIN发了两遍。这是因为TCP的连接是双向的,所以一次FIN只能关闭一个方向。
ACK:确认接收,不管是三次握手还是四次分手,在回应的时候都会加上ACK=1,表示消息接收到了,并且在建立连接以后发送数据的时候,都需加上ACK=1,表示数据接收成功。
seq:序列号:当发送一个数据时,数据是被拆成多个数据包来发送,序列号就是对每个数据包进行编号,这样接收方才能对数据包进行再次拼接。
2、TCP连接的建立-三次握手
在这里插入图片描述
1.客户端首先发起连接请求,SYN=1,ACK=0,本次发送包的序列号seq=x。
2.服务端接收到后,要告诉客户端:我接收到了!ACK=1表示回应,SYN=1表示发送数据,所以就变成了ACK=1,SYN=1,本次发送包的序列号为seq=y,希望下一次收到包的序列号为ack=x+1。
3.理论上这时的连接就创建成功了,但是客户端要再发一个消息给服务端确认一下,这时只需要ACK=1就行了,发送包的序列号seq=x+1,ack=y+1。
3、TCP连接的拆除-四次挥手
在这里插入图片描述
1.

最低0.47元/天 解锁文章
无溪居士
关注
  • 3
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
防火墙长连接连接
weixin_34356310的博客
02-18 1915
众所周知,TCP是有状态的连接,状态检测的防火墙能根据该IP包所属的连接是新的还是旧的,决定该IP包是否符合防火墙的政策约定。因此,防火墙必须在内存中保留这一记录,每一个连接,就是一个会话。防火墙支持多少会话连接,取决于防火墙的内存多少,系统会自动使用所有内存,直至内存用光,系统崩溃为止。因此,许多防火墙都会设定一个会话连接最大值,一旦系统记录的会话达到这个数值...
防火墙长连接连接介绍相关命令与操作
weixin_34167043的博客
06-14 5265
防火墙长连接连接介绍相关命令与操作,防火墙长连接连接firewall session aging-time tcp (?察看时间)[SecBlade_FW]display firewall session aging-timeFirewall aging-time value information:tcp —- aging-time value is 24...
【Cisco 思科 Firepower/ASA 系列防火墙策略长链接配置方法】
wzhj891119的博客
05-06 1545
金融行业城市商业银行应用和数据库之间之间长链接保活实现。 思科防火墙 ASA配置命令
Ios长连接AsyncSocket使用
qq_29075087的博客
02-26 348
现在的App中有很多即时聊天功能,而即时聊天功能则是运用了长连接技术,但长连接技术又不仅仅运用到聊天实现中。网上有很多关于长连接的实现,我一般运用的是AsyncSocket,所以在这,介绍就我使用的加工一次后的AsyncSocket。        当要使用AsyncSocket时,其使用前提我这儿就不具体介绍了,需要是用时,我们首先需要连接准备好的客户端, 这里的publicHost/pub
关于防火墙配置长连接的设置
qq_23930765的博客
06-25 2303
客户端发送请求后,服务端响应时间超过应用会话存活期(例如海量数据库查询用时超过1800S),回包经过防火墙时,相关会话已经因超时关闭,从而导致报文被丢弃业务失败。StoneOS相关会话的生存期需要大于应用的等待和响应时间,如果该时长大于系统预定义生存期,则需要做相关配置。如下图,已经命中预定义应用,超时时间仍然是1800,如应用配置没问题,大概率全局没开启长效会话比例。当服务和应用中配置的超时时间不一致,以命中策略服务为准,上图会话配置如下;如超时时间配置单位为秒,不需要开启长效会话即可生效。
防火墙超时关闭TCP长连接 设置TCP长连接心跳机制
ZouTaooo的博客
08-31 4441
Error Traceback (most recent call last): File "/usr/lib/python3.5/threading.py", line 914, in _bootstrap_inner self.run() File "/usr/lib/python3.5/threading.py", line 862, in run self._target(*self._args, **self._kwargs) File "/home/zt/CI/Mas
浅谈防火墙对FTP的影响及故障排除分析
01-10
当客户端与服务器建立一个FTP会话时,使用TCP创建一个持久的控制连接以传递命令和应答。当发送文件和其它数据传输时,它们在独立的TCP数据连接上进行传递,这个连接根据需要创建和拆除。 更为复杂的是,FTP标准指定...
浅谈简单使用CentOS7防火墙及开放端口
01-11
Firewalld提供动态管理的防火墙,支持网络/防火墙区域,用于定义网络连接或接口的信任级别。它支持IPv4,IPv6防火墙设置,以太网桥和IP集。运行时和永久配置选项分开。它还为服务或应用程序提供了直接添加防火墙规则...
浅谈运维人员应该掌握的常用技术
10-22
ISA(Internet Security and Acceleration Server)提供防火墙和代理服务,Exchange是邮件服务器,SQL Server则为企业级数据存储和处理提供解决方案。随着Windows 2008及后续版本的普及,Hyper-V虚拟化技术成为必备...
CISCO ASA 5520一个配置实例
12-26
这是一个关于CISCO网络设备中ASA 5520防火墙的一个配置实例!
浅谈计算机网络安全与病毒防治.doc
06-08
浅谈计算机网络安全与病毒防治 摘要:伴随网络技术的迅猛发展,计算机网络给人民的工作和生活带来了极大的便利 。但是计算机网络在给人们代理方便的同时它自身的安全问题也不可忽视。网络安全问 题也会给人们带来很...
浅谈 FTP、FTPS 与 SFTP的区别
01-09
FTP(File Transfer Protocol)是一种应用层协议,用于在客户端和服务器之间进行文件传输。...基本的 FTP 协议在传输过程中不提供数据加密,...此外,正确配置服务器端的防火墙和端口设置也是确保这些服务正常运行的关键。
12-思科防火墙ASA会话超时
weixin_33966365的博客
07-07 1686
一、实验拓扑:二、实验要求:DCD:死亡检测时间,默认R2 Telnet上去保持时间为1个小时,超时就会被清除掉,这里要求变为4小时,每15s就会发送5个DCD检测包,如没回应就剔除掉,回收资源。有时候R2挂机、死机这类的,就会一直暂用连接数量,暂用状态化信息和资源。1、配置每15秒内发5个DCD检测包;2、如对方没有回复,则认为对方挂掉,清除连接。三、命令部署:1、抓包——>class-m...
linux 防火墙 超时时间,linux – TCP Keepalive和防火墙杀死空闲会话
weixin_32211739的博客
05-04 2270
在客户站点中,网络团队在客户端和服务器之间添加了防火墙.这导致空闲连接在大约40分钟的空闲时间后断开连接.网络人员说防火墙没有任何空闲连接超时,但事实是空闲连接被破坏了.为了解决这个问题,我们首先使用tcp_keepalive_time = 300,tcp_keepalive_intvl = 300和tcp_keepalive_probes = 30000来配置启用TCP keepalive的服务...
防火墙——防火墙基础知识
m0_49864110的博客
06-01 6470
FW通过状态检测功能来对报文的链路状态进行合法性检查,丢弃链路状态不合法的报文。回来的报文不需要额外的策略(通过会话表控制)状态检测为通过的首包建立会话表,当收到回应的包时会先去匹配会话表,不会再去对后续包一一控制了(即只需要做单向控制)安全策略是FW的核心特性,通过对FW的数据流进行检验,只有符合安全策略的合法流量才可以通过FW进行转发。防火墙将不同信任度的网络通过安全区域来进行划分,并且大部分的安全策略都是通过安全区域进行实施的。当配置了多条安全策略时,按照排列的顺序进行匹配,顺序越高,优先级越高。
FortiGate防火墙修改会话默认的超时时间
叫我小火柴
02-11 2209
通过命令行设置FortiGate防火墙默认超时时间,可以基于全局,基于策略或者基于定义的某个端口
网络防火墙长连接限制的修改方法
cuanjie9484的博客
03-02 2408
网络防火墙对任务分发连接时间限制的修改方法 背景: 宁波分行文件服务器(装有任务分发、流程控制)与事后监督系统客户端在不同局域网中,文件服务器的IP为 *.*.9.*,客户端的网段是*.*.1.*,9网段为核心生产网段,9网...
光纤振动传感器的研究.doc
最新发布
07-16
传感器
浅谈软件开发与软件测试
11-09
件开发和软件测试是软件工程中两个非常重要的环节。软件开发是指通过一系列的过程和方法,将软件需求转化为可执行的软件程序的过程。而软件测试则是在软件开发过程中,通过一系列的测试活动,检查和评估软件的质量和可靠性,以确保软件能够满足用户的需求和预期。 在软件开发过程中,软件测试应该贯穿整个开发周期,而不是仅仅在开发的中后期才介入。这样可以及早发现和解决软件缺陷,避免软件开发过程中的错误和漏洞,提高软件的质量和可靠性。 软件测试包括功能测试、性能测试、安全测试、兼容性测试等多个方面。其中,功能测试是最基本的测试类型,它主要是针对软件的功能进行测试,以确保软件能够按照用户需求和预期正常工作。性能测试则是测试软件在不同负载下的性能表现,以确保软件能够在高负载下正常工作。安全测试则是测试软件的安全性,以确保软件不会被黑客攻击或者被恶意软件感染。兼容性测试则是测试软件在不同的操作系统、浏览器、设备等环境下的兼容性,以确保软件能够在不同的环境下正常工作。 总之,软件开发和软件测试是软件工程中两个不可分割的环节,它们的目的都是为了提高软件的质量和可靠性,满足用户的需求和预期。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

无溪居士

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值