某企業在内網核心與伺服器交換機之間增加防火牆,通過在防火牆上配置嚴格地通路控制政策并應用威脅防護,提升伺服器區網絡安全。增加防火牆後,客戶可以正常通路伺服器區域中各應用。實體拓撲如下:
但第二天客戶反應連接配接資料庫後過段時間資料庫會斷開。詢問之前是否有過該現象,得到的回答是之前正常沒有過資料庫斷開的情況,初步判斷是增加防火牆的原因。
通過現場觀察發現,客戶習慣打開資料庫使用一段時間後會忙别的事情,差不多40分鐘後會再使用資料庫,這時候應用界面會限速SQL斷開,判斷是防火牆TCP長連接配接地問題。
問題分析:當業務中有需要和内網伺服器互動傳輸大量資料時經常由于 TCP 預設逾時時間 1800 秒導緻資料中斷,此時需要修改會話的預設時長即長連接配接的配置,針對業務的某個端口進行修改會話逾時時間。
配置步驟:
山石防火牆軟體版本:5.5R3P7
1、配置通路地目的位址與端口
2、根據需求修改逾時時間
3、全局開啟長效會話
4、政策引用相應的應用放行