Avant de commencer
Produit concerné : SNS 5.x
En réponse à l'application d'une politique de filtrage (règles de filtrage et de NAT), ses règles sont rechargées et les connexions sont réévaluées, soit en mode synchrone, soit en mode asynchrone.
Le rechargement synchrone est le mode par défaut. Lorsqu'une politique de filtrage est appliquée, les connexions sont réévaluées immédiatement pour s'y conformer. La durée de cette opération varie en fonction du nombre de connexions présentes dans la table d'état du moteur de prévention d'intrusion et du nombre de règles de filtrage présentes dans la politique appliquée. Elle peut atteindre quelques millisecondes. Pendant ce temps, aucun flux ne peut transiter au travers du firewall.
Le rechargement asynchrone nécessite d'être activé par l'administrateur. Il induit que lorsqu'une politique de filtrage est appliquée, les connexions TCP et UDP ne sont pas réévaluées immédiatement, mais lors de leur prochaine utilisation, ce qui permet de répartir dans le temps la charge de travail du moteur de prévention d'intrusion. Vous pouvez choisir d'activer le rechargement asynchrone si vous constatez une lenteur ou des coupures réseau lorsqu'une politique de filtrage est appliquée (en particulier si celle-ci comporte des objets FQDN).
Cette note technique décrit le principe de fonctionnement du rechargement asynchrone des règles de filtrage et de NAT et comment le mettre en œuvre.
| Date | Description |
|---|---|
| 22 septembre 2025 | Nouveau document |