Threat Defender verwendet Connection Tracking, um Regeln umzusetzen und den Datenverkehr im Netzwerk zu überwachen.


Die Größe der Connection-Tracking-Tabelle hängt vom verfügbaren Speicher in Ihrem System ab. Auf kleinen Systemen mit 8 GB RAM fasst sie beispielsweise etwa 60.000 Einträge. Jeder Eintrag stellt eine Verbindung dar, somit sind in diesem Beispiel 60.000 gleichzeitige Verbindungen möglich.


Einträge in der Tabelle werden nach Ablauf eines Timeouts entfernt. Aktuell gibt es folgende Timeouts:

  • 1 Stunde (3600 s) für etablierte Verbindungen (einschließlich QUIC-Verbindungen)
  • 60 Sekunden für Flows, die eine Policy mit Drop-Aktion ausgelöst haben
  • 5 Sekunden für verbindungslose Flows, wie UDP oder zustandsbehaftete Verbindungen im unverbundenen Zustand (wie TCP Reset)

Wenn ein Timeout abläuft, wird die zugehörige Verbindung aus der Tabelle entfernt. Deshalb werden neue Daten auf dieser Verbindung als neue Verbindung betrachtet.


Wenn die Connection-Tracking-Tabelle voll ist, lässt Threat Defender keine neuen Verbindungen zu.