UDP 연결 시간 초과는 실제로 무엇을 의미합니까?

UDP는 비 연결 프로토콜이므로 "UDP Connection Timeout"에 대한 Sonicwall Firewall의 설정이 혼란 스럽습니다. 기본값은 30 초로 설정되어 있지만 30 초 후에 정확히 어떻게 시간 초과됩니까?

실제 상황은 다음과 같습니다. ntp.org 풀에 분당 약 3000 개의 쿼리를 제공하는 NTP 서버가 있습니다. 이것은 대역폭이 아니라 내 SOHO 등급 TZ-200에 약간의 부담을 안겨줍니다. 그러나 연결 수 측면에서 그것을 통과했습니다. UDP 연결이 SonicWall에서 어떻게 든 '활성화되어 있는지'궁금합니다. 비록 그것들은 (정의 적으로) 비 연결되어 있지만.

내가 여기서 무엇을 놓치고 있습니까? "UDP 연결 시간 초과"에 대해 말할 때 SonicWall은 무엇을 의미합니까?

UDP와의 공식적인 "연결"은 없지만 클라이언트는 여전히 요청을 보내고 소스 IP로 응답을 받고 데스티 나토 인 IP 및 포트로 교환 된 포트를 기대한다는 규칙이 있습니다.

따라서 상태 저장 방화벽 및 NAT는 지정된 소스 IP / 소스 포트 / 대상 IP / 대상 포트 조합이있는 패킷과 소스 및 대상 스왑이 포함 된 해당 조합이 "연결"의 일부로 가정합니다. 이를 통해 "발신 연결 만"과 같은 규칙을 UDP에 적용하고 역변환을 응답 패킷에 적용 할 수 있습니다.

불행히도 방화벽이나 NAT는 클라이언트가 서버와의 통신을 완료 한 시점을 알 방법이 없습니다. 따라서 상태 추적 테이블에서 항목을 제거하기 전에 시간 초과를 기다려야합니다. 그것은 당신이 설정하는 시간 초과입니다.

원칙적으로 나가는 연결에 대한 상태 저장 접근 방식을 유지하면서 포트 전달에 상태 비 저장 접근 방식을 사용하는 NAT 상자를 구축하는 것이 가능하지만 모든 경우에 상태 저장 NAT를 사용하는 것이 더 간단하며 공급 업체가하는 것처럼 들립니다.

불행히도 이것은 많은 수의 작은 요청을 처리하는 상태 비 저장 UDP 서버를 빨아들입니다. 방화벽이 서버 자체보다 훨씬 많은 리소스를 소비하는 상황이 발생합니다.

방화벽이 UDP 연결을위한 연결 테이블을 유지 관리하고 있습니다. 예를 들어 DNS 쿼리를 보내면 방화벽에서 해당 흐름에 대한 항목을 만들어 DNS 응답이 네트워크에 다시 허용되도록합니다. 활동이 없으면 30 초 후에 테이블의 항목이 시간 초과됩니다.

NTP 서버는 NAT (방화벽) 뒤에 있습니다. UDP는 응용 프로그램과 OS의 관점에서 볼 때 연결이되지 않으며 대부분의 네트워크 어플라이언스에 연결됩니다.

그러나 NAT 방화벽의 경우 UDP 패킷이 나올 때마다 기록되어 다른 쪽 끝의 응답이 네트워크 내의 동일한 컴퓨터로 리디렉션됩니다. 이를 방화벽에 의해 "연결"이라고합니다.

이론적으로 NAT는 외부 포트가 NTP의 잘 알려진 포트임을 알고 있지만 방화벽이이를 지원하지 않는 것 같습니다. 이 방화벽을 통해 UDP로만 사용하는 경우 연결 시간 제한을 더 작은 수로 설정할 수 있습니다. 또는 응용 프로그램 포트로 설정할 수 있으면 특정 포트에 대해 더 작은 시간 (1 초)으로 설정할 수 있습니다.

IPv6에는 NAT가 필요하지 않지만 여전히 방화벽이 UDP와 관련하여 상태가있는 것처럼 보입니다.