情景:从A地区设备下载请求,下载50多个文件,丢失若干个文件,排查网络
通过设置,设置防火墙对应策略的长链接为多个小时
防火墙的长链接:定义与核心作用
防火墙层面的长链接 ,本质是状态检测防火墙对网络会话的 超时老化时间做针对性延长配置 ,让已建立的 TCP/UDP 连接(防火墙中体现为会话表项)在无数据交互时,不会被防火墙按默认短时间清理,而是保持连接状态一段时间;当该连接有新数据交互时,可直接复用现有会话表项,无需重新建立网络连接。
其核心是修改防火墙会话表的老化规则 ,适配业务本身的长连接设计,是防火墙为保障特定业务正常运行的基础配置,与网络层 "长连接" 的设计逻辑一致,但更聚焦防火墙的状态检测特性(防火墙依赖会话表做包转发,无表项则会丢弃报文)。
补充:与之相对的是防火墙的默认短链接(默认会话超时),多数防火墙对普通 TCP 连接默认超时为 60~300 秒,UDP 伪会话默认超时为 30~60 秒,无数据交互时会快速删除会话表项,释放防火墙资源。
长链接的核心作用(结合防火墙实际应用场景)
防火墙配置长链接的核心目的是适配业务、保障通信连续性、优化交互效率,所有作用均围绕防火墙 "会话表转发" 的核心逻辑展开,以下是工程中最常用的场景化作用:
1. 保障长连接型业务的正常运行,避免被防火墙 "误切断"
企业核心业务(如 ERP/CRM 系统、数据库集群、金融交易系统、远程桌面 RDP、VPN 隧道、视频会议 / 语音通话)本身是长连接设计 :这类业务建立连接后,会间隔数分钟 / 数十分钟才有小数据交互(比如数据库隔 5 分钟执行一次查询、VPN 隧道隔 10 秒发一次保活包),若用防火墙默认短超时,会在业务空闲期直接删除会话表项,导致后续业务数据报文因 "无匹配会话表项" 被防火墙丢弃,表现为业务断连、登录失效、隧道掉线、音视频卡顿 。长链接配置通过延长会话超时时间,让防火墙匹配业务的空闲周期,避免 "误切断" 核心业务。
2. 减少连接建立开销,提升业务交互效率
TCP 连接的建立 / 断开需要三次握手、四次挥手 ,这一过程存在固定的网络延迟和服务器资源消耗;对于频繁小数据交互 的业务(如电商后台的数据库查询、企业 OA 的高频数据同步),若每次交互都重新建连,会累积大量延迟,降低业务响应速度。防火墙长链接让连接复用现有会话表项,无需重复执行握手 / 挥手,直接转发后续数据,大幅减少跨防火墙的连接建立开销,提升业务的实时性和响应效率。
3. 反向优化防火墙会话表资源消耗
很多人会误以为 "长链接会占满会话表",但实际对高频交互的核心业务 ,长链接反而能节省防火墙资源:默认短超时会让这类业务频繁创建 / 销毁会话表项,产生大量 "短生命周期表项",增加防火墙的表项创建、删除、刷新开销;而长链接通过复用单个会话表项,减少了表项的生成 / 销毁频次,避免会话表因大量短表项频繁波动导致的资源占用,同时降低防火墙的 CPU 算力消耗。
4. 适配跨网 / 公网的长连接通信,提升外网业务体验
企业对外提供的服务(如官网后台、云服务器远程管理、跨地域的分支互联)均为跨网 / 公网通信,公网网络延迟本身高于内网,若因防火墙默认短超时导致连接频繁断开,会让外网业务出现登录反复失效、操作卡顿、文件传输中断等问题。对这类公网暴露的业务配置长链接,能保证跨网连接的连续性,让外网访问的体验与内网一致。
防火墙长链接的关键配置与注意事项
1. 核心配置方式
防火墙的长链接并非单独的 "开关",而是针对具体协议 / 端口 / 源目 IP 配置会话超时时间,工程中常用两种配置方式:
- 全局配置:修改某类协议的默认超时(如将全局 TCP 超时从 300 秒改为 1800 秒),适合全企业通用的长连接业务;
- 策略级配置 :在防火墙的安全策略 / 转发策略中,为特定业务(如数据库 3306 端口、RDP3389 端口)单独配置超时时间(如 TCP 3306 端口超时配 3600 秒),精准适配核心业务,不影响普通业务。
2. 核心注意事项(工程中避坑关键)
- 按需配置,不全局无脑延长 :若将所有业务的会话超时都设为几小时 / 几天,会导致大量闲置长链接 占用防火墙会话表,最终表项溢出,新的网络连接无法建立(表现为新业务无法访问、新设备无法联网);仅对核心长连接业务配置长链接,普通业务(如网页浏览、微信)保留默认短超时。
- UDP 协议的 "伪长链接" :UDP 本身是无连接协议,防火墙对 UDP 的 "会话" 是伪会话(基于源目 IP / 端口 / 协议的五元组),配置 UDP 长链接实际是延长 UDP 伪会话的超时时间,适配如视频流、DNS 长查询、UDP 型 VPN 等业务。
- 结合业务保活包配置 :若业务本身有保活机制 (如数据库的 keepalive、VPN 的保活包),建议将防火墙长链接的超时时间略长于业务保活周期(如业务保活周期 60 秒,防火墙超时配 120 秒),避免保活包未及时到达时,防火墙提前清理会话。
- 监控会话表状态 :配置长链接后,需定期查看防火墙的会话表使用率,若使用率持续高于 80%,需及时清理闲置长链接、缩短非核心业务的超时时间,避免资源耗尽。
工程中典型的长链接超时配置参考
以下是企业防火墙中最常用的业务 - 协议 - 超时时间配置参考,均为工程实践值,可直接复用:
| 业务类型 | 协议 / 端口 | 防火墙超时配置 |
|---|---|---|
| 数据库(MySQL/Oracle) | TCP/3306/1521 | 1800~3600 秒 |
| 远程桌面(RDP) | TCP/3389 | 3600~7200 秒 |
| VPN 隧道(IPSec/SSL) | TCP/UDP/500/4500 | 7200~14400 秒 |
| 视频会议 / 语音通话 | TCP/UDP/1723/8000-9000 | 1800 秒 |
| ERP/CRM/OA 系统 | 自定义 TCP 端口 | 3600 秒 |
| 云服务器 SSH | TCP/22 | 1800 秒 |
普通业务(网页浏览 TCP/80/443、DNS UDP/53)保留防火墙默认超时即可,无需配置长链接。