Contrôler la persistance des connexions asynchrones

Lorsqu'une politique de filtrage est appliquée alors que le rechargement asynchrone est activé, les connexions TCP / UDP passent en état asynchrone. Elles persistent dans cet état jusqu'à leur réévaluation.

La réévaluation des connexions TCP / UDP se produit dans trois cas :

  • Réception ou émission d'un paquet pour la connexion. Elle revient alors en état synchrone.

  • Atteinte du délai d'inactivité de la connexion : vous pouvez personnaliser ce délai pour les connexions TCP / UDP en fonction de votre architecture et de vos besoins. Nous vous conseillons de personnaliser ce délai avant d'activer le rechargement asynchrone. Vous pouvez également le faire lorsque le rechargement asynchrone est activé.

  • Réévaluation manuelle : vous pouvez provoquer la réévaluation immédiate de toutes les connexions TCP / UDP. Elles reviennent alors en état synchrone.

Premier cas : réception ou émission d'un paquet pour la connexion

Dans ce cas, la connexion est réévaluée et revient en état synchrone si elle est toujours autorisée par la nouvelle politique active. Si elle n'est plus autorisée, elle est supprimée.

Deuxième cas : atteinte du délai d'inactivité de la connexion

Dans ce cas, la connexion est supprimée car elle a atteint son délai d'inactivité.

Vous pouvez personnaliser le délai d'inactivité des connexions TCP / UDP. Nous vous conseillons d'adapter ce délai selon vos besoins et votre architecture avant d'activer la fonctionnalité.

Pour personnaliser le délai d'inactivité de la connexion :

  1. Rendez-vous dans le module Configuration > Protection applicative > Protocoles > Protocoles IP > TCP-UDP.

  2. Dans la zone Expiration (en secondes) adaptez la valeur du délai d'inactivité des connexions :

    • Connexion TCP : valeur par défaut : 3600 secondes (1800 secondes par exemple),

    • Session UDP : valeur par défaut : 120 secondes (vous pouvez conserver cette valeur par exemple).

     

Troisième cas : réévaluation manuelle des connexions

Vous pouvez provoquer la réévaluation immédiate de toutes les connexions TCP / UDP. Dans ce cas, elles sont réévaluées immédiatement au regard de la politique de filtrage active et sont conservées ou supprimées selon les règles définies dans la nouvelle politique.

Pour provoquer la réévaluation de toutes le connexions TCP / UDP, depuis la console CLI (module Configuration > Système > Console CLI), exécutez la commande suivante :

CONFIG FILTER RELOAD