别让防火墙阻塞了数据库连接

标签: 防火墙 数据库 | 发表时间:2015-11-09 16:40 | 作者:ruyi574812039
出处:http://www.iteye.com
  转自:http://www.360doc.com/content/08/0524/18/49194_1281450.shtml

在我进行的技术支持的项目中,有不少情况下,防火墙的设置会给J2EE应用带来一些麻烦。你遇上过吗?  

  通常的Web应用都是无状态的连接,一般来说对于防火墙是非常友好的。但是,大多数JavaEE应用服务器都有连接池的概念。为了提高性能,应用服 务器会预先打开并保持一些和后台数据库服务器、LDAP服务器或其他服务器的连接。这些连接通常会将TCP的连接永久保持,除非发生了意外的情况。 

   我有几个项目发生的问题都是应用服务器和数据库之间由于安全级别的问题,设有不同的防火墙。在系统运行的时候,偶尔会发生数据库连接无法获得的错误(在系统很闲的时候)。客户怀疑应用服务器的不稳定性。

   通过各种工具的分析(snoop),发现当应用服务器的数据库连接出现问题的时候,数据库这端没有任何问题,所有的Session连接都在,但是从应用服务器发过来的TCP请求没有到达数据库服务器。是中间的防火墙阻断了数据库的连接。在一个空闲的TCP连接上,可以很长时间没有任何的数据流,许多TCP/IP的初学者都对此感到惊奇。因此当数据库连接长时间不用(这种情况很常见,例如连接池中有10个连接,由于负载很小,一直只用到前几个)。一般来说,防火墙软件都会定时检查空闲的连接,并将它们阻断,来保证一些异常的中断连接被清除。 

    这样,我们对数 据库连接问题的原因找到了,由于空闲的数据库连接长时间不用被防火墙给阻断是主要的原因。被阻断了的数据库连接在使用的时候不会自动重新连接吗?大多数应 用服务器所使用的专业的数据库连接池都会有自动重新连接来解决这个问题。也有一些客户使用自己的连接池,或者一些简单的开源的方案,没有自动重联的功能, 导致应用不可用。 

     就算有的连接池能够自动重连中断的连接,也不会时时刻刻都去检查这些在连接池中的连接是否被可用。因为这种检查非常消耗时间,还会影响应用,因此会每隔几分钟检查一次。在间隔时间内发生的连接中断仍然会引起系统的错误。
     另外的解决方案 就是从数据库服务器端进行配置,保证连接的畅通。例如在Oracle中可以设置SQLNET.EXPIRE_TIME小于防火墙的中断时间,就能够是 Oracle的数据库连接在没有数据交换的情况下,由服务器端自动发出探测的数据报,使得防火墙不再认为数据库连接是空闲的连接。

已有 0 人发表留言,猛击->> 这里<<-参与讨论


ITeye推荐



相关 [防火墙 数据库] 推荐:

别让防火墙阻塞了数据库连接

- - 研发管理 - ITeye博客
  转自:http://www.360doc.com/content/08/0524/18/49194_1281450.shtml. 在我进行的技术支持的项目中,有不少情况下,防火墙的设置会给J2EE应用带来一些麻烦.   通常的Web应用都是无状态的连接,一般来说对于防火墙是非常友好的. 但是,大多数JavaEE应用服务器都有连接池的概念.

firewalld防火墙基础

- - 掘金 后端
firewalld防火墙是centos7系统默认的防火墙管理工具,取代了之前的iptables防火墙,也是工作在网络层,属于包过滤防火墙. firewalld和iptables的区别. 基于区域内分防火墙规则来过滤数据包. 基于网络接口的规则来过滤数据包. 不会修改当前服务配置,不会现有连接. 修改完配置会立即生效,有可能会中断当前连接.

竞速下一代防火墙

- wuwu - 弯曲评论
由于版面及内容形式等因素限制,文章在报纸上分3期共10个版进行连载. 本文是在连载结束后,重新调整了内容框架,修正、更新了一部分文字而成,看起来更像是一个完整的内容专题. 尤其是对13家厂商的采访部分,除了错别字和极个别不妥当的措辞或叙述外,未再做其他修改. 文章撰写过程中,得到了许多来自咨询机构、厂商、学术界的朋友的大力支持,在此表示感谢.

防火墙是科学家的敌人

- - Solidot
在一个数据驱动的世界里,共享数据是必不可少的. 因为复现的需要,科学家对数据共享尤为重视. 但在中国,你不能确信自己肯定能正常访问到数据或其他人能正常访问到你共享的数据. 在审查日益收紧的情况下,你不知道数据存放的网站是否会在某一天突然无法访问. 互联网本来是连通世界的伟大发明,但防火长城赋予了“越过长城走向世界”真正的含义,防火长城是科学的敌人,是中国科学家的敌人.

[转]iptables防火墙与NAT服务

- - 小鸥的博客
iptables防火墙与NAT服务. (1)设置在不同的网络或网络安全域之间的一系列部件的组合,它能增强机构内部网络的安全性. (2)通过审查经过每一个数据包,判断它是否有相匹配的过滤规则,根据规则先后顺序一一进行比较,直到满足其中的一条规则为止,然后依据控制机制做出相应的动作,若都不能满足,则将数据包丢弃,从而保护网络安全.

openresty+lua实现WAF应用防火墙

- - C1G军火库
pcre没找到,编辑时加上–with-pcre=../pcre-8.30 \. 4.下载ngx_cache_purge清缓组件. 伪装openresty为xcdn. 4.下载和配置 ngx_lua_waf. nginx下常见的开源 waf 有 mod_security、naxsi、ngx_lua_waf 这三个,ngx_lua_waf 性能高和易用性强,基本上零配置,而且常见的攻击类型都能防御,是比较省心的选择.

重庆建立没有防火墙的“云特区”

- Bryan - Solidot
重庆以其红色口味闻名中国,然而出人意料的是它在互联网建设上正走在中国前列. 据《南方周末》报导(原文已删除,快照),重庆“云特区”是中国唯一特批的“特别管理区”,高墙内数据中心与国内互联网物理隔离,不经防火长城,通过专用光缆直接连接国际互联网. 外商在这个名为“国际离岸云计算特别管理区”开展离岸数据业务,可以不经过国家关口局的数据检查,可以获得电信和数据营业执照,甚至可以对电信业务100%控股.

Gmail服务疑遭防火墙不定时封锁

- Alei - Solidot
过去几周,中国的Gmail用户发现访问十分困难,经常出现“找不到服务器”等错误信息. 有人利用2台VPS服务器,一台在上海,一台在香港,运行测试程序,对Google的HTTP服务和HTTPS服务同时进行测试. 结果显示,HTTP服务连接正常,HTTPS服务连接失败的周期为15分钟左右(最初几天是间隔10分钟),15分钟正常访问服务,15分钟TCP协议无法建立连接,周而复始.

顶级防火墙Outpost Firewall Pro 7.5(附注册码)

- 安得米 - 软矿
Agnitum旗下的防火墙软件Outpost Firewall Pro 深得人心,是一款功能强大的防火墙软件. 也正因如此Outpost Firewall Pro的注册码(序列号)变得一码难求. 即使网上泄露出有效注册码,也很大机会被封杀. Agnitum Outpost Firewall 功能之强大,可以秒杀很多防火墙软件,包括了广告和图片过滤、内容过滤、DNS缓存等功能.