问题点:
Tomcat 7使用AJP协议导致AJP对应端口被暴露给外网
环境:
Linux(CentOS7) Tomcat7
Step1:问题表现
Step2:问题分析
一般情况下AJP协议不会发生非常频繁的通信协议错误问题, 当尝试从外网连接Tomcat的Ajp端口8009,telnet连接成功,说明端口被暴露给了外网 根据The AJP Connector中的介绍说明(address部分):如果没有指定IP地址,默认是绑定任意地址,这样就导致外网可以通过8009端口访问主机。出于安全考虑,需要增加这个address的设置(如下图),并且绑定到127.0.0.1。最终结果如下:
修改后重启即可
<补充>
关于tomcat的优化
1.Executor配置
项目 | Value |
---|---|
maxThreads | 线程池中最大并发线程数, 默认值为200, 一般建议设置400~ 800 , 要根据服务器配置和业务需求而定. |
minSpareThreads | 最小活跃线程数, 也就是核心线程数, 不会被销毁, 会一直存在. |
maxIdleTime | 线程最大空闲时间, 超过该时间后, 空闲线程会被销毁, 默认值为6000, 单位为毫秒. |
2.Connector配置
项目 | Value |
---|---|
connectionTimeout | 网络连接超时时间, 默认值为20000ms, 设置为0表示永不超时 —— 存在隐患. 通常可设置为30000ms. |
acceptCount | 当tomcat启动的线程数达到最大时,接受排队的请求个数,默认值为100 |
maxThreads | 最大线程数,即同时处理的任务个数,默认值为200 |