UDP连接超时到底是什么意思？

由于UDP是无连接协议，因此我对Sonicwall防火墙上的“ UDP连接超时”设置感到困惑。默认设置为30秒-但是30秒后究竟会超时吗？

这是我的实际情况：我在ntp.org池中有一个NTP服务器，每分钟可处理约3000个查询。这给我的SOHO等级TZ-200带来了压力-带宽方面；但就连接数而言，它已经通过了。我想知道SonicWall上的UDP连接是否以某种方式“保持活动”；即使它们（根据定义）是无连接的。

我在这里想念什么？SonicWall谈论“ UDP连接超时”是什么意思？

尽管与UDP没有正式的“连接”，但仍然存在一个约定，即客户端发送请求并希望通过源IP和端口与Destinatoin IP和端口交换来返回响应。

因此，状态防火墙和NAT假定具有源IP /源端口/目标IP /目标端口的给定组合以及具有源和目标交换的相应组合的数据包构成“连接”的一部分。这允许将“仅传出连接”之类的规则应用于UDP，并将反向转换应用于响应数据包。

不幸的是，防火墙或NAT无法知道客户端何时完成与服务器的对话。因此，它必须等待超时，然后才能从状态跟踪表中删除该条目。那是您设置的超时。

原则上，可以构建一个使用无状态方法进行端口转发，同时保持有状态方法进行传出连接的NAT盒，但是仅对所有内容使用有状态NAT更简单，这似乎是您的供应商正在做的事情。

不幸的是，正如您所发现的那样，这对于服务于大量小请求的无状态UDP服务器很糟糕。您最终会遇到防火墙消耗的资源比服务器本身多得多的情况。

您的防火墙正在维护UDP连接的连接表。例如，当您发送DNS查询时，防火墙会为该流创建一个条目，以便允许DNS回复返回您的网络。30秒无活动后，表中的条目将超时。

您的NTP服务器位于NAT（防火墙）的后面。从应用程序和OS的角度来看，并且对于大多数网络设备而言，UDP是无连接的。

但是，对于您的NAT防火墙，它会记录UDP数据包何时发出，以便来自另一端的响应最终将被重定向到网络内部的同一台计算机。这些被防火墙称为“连接”。

现在，从理论上讲，NAT知道外部端口将是NTP众所周知的端口，但是您的防火墙似乎不支持该端口。如果这是通过该防火墙的UDP唯一用途，则可以将“连接超时”设置为较小的数字。或者，如果允许您按应用程序端口进行设置，则可以为该特定端口将其设置为更短的时间（例如1秒）。

IPv6不需要NAT，但它仍然看起来像防火墙对于UDP而言是有状态的。