供应商请求允许 DMZ 中的服务器与内部网络之间建立持久 TCP(非端口 80)连接。我对这种设置没有太多经验。有人能解释一下允许持久连接的缺点吗?非常感谢您的指导。
答案1
我会向供应商询问这个问题,看看为什么他们想要它,并让他们解释一下,以确保你知道他们在说什么。我不太确定,但听起来他们是指启用可选的保持活动 TCP 功能。我现在能想到的 Keep-Alive 可以实现几个目的:
- 识别已断开的连接并确保及时关闭该连接,并且应用程序知道该连接已断开。这可能是他们想要它的原因。
- 只要另一端响应探测,就保持会话打开。这可以节省小的开销较少,因为您不需要多次打开和关闭会话(握手和 FIN)。如果顶层协议也有相当多的打开和关闭工作要做,则可以节省更多开销。
这是一个有争议的话题,正如TCP/IP 图解第 1 卷,很多人觉得keep alive应该由应用层来处理,而不是传输层。