转载：别让防火墙中断数据库连接

通常的Web应用都是无状态的连接，一般来说对于防火墙是非常友好的。但是，大多数JavaEE应用服务器都有连接池的概念。为了提高性能，应用服 务器会预先打开并保持一些和后台数据库服务器、LDAP服务器或其他服务器的连接。这些连接通常会将TCP的连接永久保持，除非发生了意外的情况。

我有几个项目发生的问题都是应用服务器和数据库之间由于安全级别的问题，设有不同的防火墙。在系统运行的时候，偶尔会发生数据库连接无法获得的错误（在系统很闲的时候）。客户怀疑应用服务器的不稳定性。

通过各种工具的分析（snoop），发现当应用服务器的数据库连接出现问题的时候，数据库这端没有任何问题，所有的Session连接都在，但是从应用服务器发过来的TCP请求没有到达数据库服务器。是中间的防火墙阻断了数据库的连接。在一个空闲的 TCP 连接上，可以很长时间没有任何的数据流，许多 TCP/IP 的初学者都对此感到惊奇。因此当数据库连接长时间不用（这种情况很常见，例如连接池中有10个连接，由于负载很小，一直只用到前几个）。一般来说，防火墙软件都会定时检查空闲的连接，并将它们阻断，来保证一些异常的中断连接被清除。

这样，我们对数 据库连接问题的原因找到了，由于空闲的数据库连接长时间不用被防火墙给阻断是主要的原因。被阻断了的数据库连接在使用的时候不会自动重新连接吗？大多数应 用服务器所使用的专业的数据库连接池都会有自动重新连接来解决这个问题。也有一些客户使用自己的连接池，或者一些简单的开源的方案，没有自动重联的功能， 导致应用不可用。

就算有的连接池能够自动重连中断的连接，也不会时时刻刻都去检查这些在连接池中的连接是否被可用。因为这种检查非常消耗时间，还会影响应用，因此会每隔几分钟检查一次。在间隔时间内发生的连接中断仍然会引起系统的错误。

另外的解决方案 就是从数据库服务器端进行配置，保证连接的畅通。例如在Oracle中可以设置SQLNET.EXPIRE_TIME小于防火墙的中断时间，就能够是 Oracle的数据库连接在没有数据交换的情况下，由服务器端自动发出探测的数据报，使得防火墙不再认为数据库连接是空闲的连接。