Print

客户某应用基于TCP连接,但在业务交互过程中可能会出现在客户端和服务器之间会话长时间没有报文交互,但V5防火墙TCP协议EST状态老化时间只有1小时,应该如何解决?

2019-11-04发表

问题描述

客户某应用基于TCP连接,但在业务交互过程中可能会出现在客户端和服务器之间会话长时间没有报文交互,但V5防火墙TCP协议EST状态老化时间只有1小时,应该如何解决?

解决方法

针对这种情况,如果简单地将TCP协议EST状态会话老化时间改为较长时间,会造成防火墙上创建的所有会话的老化时间都比较长,进而大大增加防火墙并发会话数,因此不建议使用这种方式。

在V5平台防火墙上,支持会话长连接功能,可以预先配置一条描述需要设置较长老化时间TCP流的ACL,然后基于这个ACL配置长连接并单独设置老化时间,这样既可以保证个别业务应用的使用,又避免防火墙上出现大量长时间不能老化的TCP会话。