Connection Tracking

cognitix Threat Defender verfolgt die Verbindungen, um Regeln umzusetzen und den Datenverkehr im Netzwerk zu überwachen.

Die Größe der Connection-Tracking-Tabelle hängt vom verfügbaren Speicherplatz ab. In kleinen Systemen mit 8GB RAM zum Beispiel kann sie ca. 60.000 Einträge umfassen. Da jeder Eintrag eine Verbindung darstellt, sind 60.000 gleichzeitige Verbindungen möglich.

Einträge in der Tabelle können nach einem Timeout entfernt werden. Derzeit gibt es die folgenden Timeouts:

  • 1 Stunde (3600s) für aufgebaute Verbindungen (einschließlich QUIC)

  • 60 Sekunden für Datenströme, die eine Policy mit Drop-Aktion ausgelöst haben

  • 5 Sekunden für verbindungslose Datenströme, wie UDP, oder zustandsbehaftete Verbindungen, die unverbunden sind (wie TCP Reset)

Läuft ein Timeout ab, wird die entsprechende Verbindung aus der Tabelle entfernt. Deshalb werden neue Daten auf dieser Verbindung als neue Verbindung betrachtet.

Warnung

Wenn die Connection-Tracking-Tabelle voll ist, akzeptiert Threat Defender keine neuen Verbindungen mehr.