Nota
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
En este artículo se explica el comportamiento de las sesiones de ejecución prolongada y el tiempo de espera de inactividad de TCP para Azure Firewall. Comprender estos conceptos es fundamental para mantener la seguridad de red, optimizar los recursos del firewall y garantizar la conectividad ininterrumpida para las aplicaciones críticas.
Sesiones TCP de larga duración
Las sesiones de larga duración hacen referencia a las conexiones TCP que permanecen activas durante duraciones extendidas. Estas sesiones de larga duración se suelen usar en aplicaciones como SSH, RDP, túneles VPN y conexiones de base de datos. Para evitar desconexiones inesperadas, es esencial configurar estas sesiones correctamente. Comprender los factores que influyen en su estabilidad es fundamental para garantizar la conectividad ininterrumpida.
Algunos escenarios pueden provocar la eliminación de sesiones TCP de ejecución prolongada. Azure Firewall está diseñado para controlar un gran número de conexiones simultáneas, pero es posible que no pueda mantener sesiones de larga duración en determinadas condiciones.
Los escenarios siguientes en Azure Firewall pueden dar lugar a la terminación de sesiones TCP de larga duración:
Escalado horizontal: Cuando Azure Firewall se escala, entra en modo de purga durante 90 segundos antes de reciclar la instancia. Cualquier conexión de larga duración que siga activa después de este período se desconectará.
Mantenimiento del firewall: durante las actualizaciones de mantenimiento, Azure Firewall permite completar sesiones de corta duración. Sin embargo, las sesiones de larga duración que persisten más allá del período de purga se terminan durante el proceso de reinicio.
Autorecovery: si una instancia de Azure Firewall deja de responder, se somete a un proceso de recuperación automática. Esta recuperación puede provocar la desconexión de sesiones de larga duración.
Tiempo de inactividad: Las conexiones que permanecen inactivas durante un tiempo superior al tiempo de espera de inactividad de TCP son cerradas por Azure Firewall.
Configuración de tiempo de inactividad
El tiempo de espera de inactividad de TCP especifica la duración en la que una conexión puede permanecer inactiva antes de que Azure Firewall finalice la conexión. Esta configuración ayuda a optimizar Azure Firewall cerrando las conexiones inactivas y manteniendo el rendimiento general de la red.
El tiempo de espera de inactividad de TCP proporciona varias ventajas:
- Uso eficaz de los recursos: al finalizar las conexiones inactivas, Azure Firewall conserva la memoria y los recursos de proceso, lo que garantiza un rendimiento óptimo.
- Mitigación de riesgos de DDoS: ayuda a protegerse frente a ataques de denegación de servicio distribuido (DDoS) que aprovechan las conexiones inactivas y persistentes.
- Rendimiento de red mejorado: mejora el rendimiento general y reduce la latencia mediante la administración eficaz de las conexiones inactivas.
Comportamiento de tiempo de espera
En el contexto de Azure Firewall, el tráfico norte-sur hace referencia al tráfico entre Azure Firewall e Internet, mientras que el tráfico este-oeste hace referencia al tráfico interno entre los recursos de Azure dentro de la misma región, entre regiones y redes locales conectadas a través de vpn de Azure, Azure ExpressRoute o emparejamiento de redes virtuales que pasan por Azure Firewall.
El comportamiento del tiempo de espera de inactividad de TCP difiere para el tráfico norte-sur y este-oeste:
- Tráfico norte-sur: el tiempo de espera de inactividad tcp predeterminado es de 4 minutos. Puede ampliar este tiempo de espera hasta un máximo de 15 minutos mediante el envío de una solicitud de soporte técnico a través de Azure Portal.
- Tráfico este-oeste: el tiempo de espera de inactividad de TCP se fija en 5 minutos y no se puede modificar.
Paquetes de restablecimiento TCP (RST)
Cuando se finaliza una conexión TCP debido a un tiempo de espera de inactividad, Azure Firewall envía un paquete de restablecimiento TCP (RST) al cliente y al servidor. Este paquete notifica a ambas partes que se cerró la conexión. El comportamiento de los paquetes de restablecimiento TCP difiere para el tráfico norte-sur y este-oeste.
- Tráfico norte-sur: Azure Firewall notifica al cliente y al servidor cuando se produce un tiempo de espera de inactividad mediante el envío de un paquete de restablecimiento TCP (RST).
- Tráfico este-oeste: Azure Firewall no envía un paquete de restablecimiento (RST) cuando se produce un tiempo de espera de inactividad. Este comportamiento puede provocar problemas inesperados en las aplicaciones. Configure un mecanismo de mantenimiento activo dentro de la aplicación para mantener activas las sesiones de ejecución prolongada y evitar interrupciones durante los eventos de escalado, mantenimiento o recuperación automática.
Algunas aplicaciones, como la GUI de SAP tradicional y las aplicaciones basadas en llamadas a funciones remotas (RFC) de SAP, son sensibles a los restablecimientos de sesión y pueden experimentar problemas de conectividad cuando las sesiones finalizan inesperadamente. Para evitar estos problemas, puede implementar una lógica de reintento en la aplicación para controlar los restablecimientos de sesión correctamente. Este mecanismo debe incluir lógica para volver a establecer las conexiones y reanudar las operaciones sin problemas.
Nota:
Si ejecuta cargas de trabajo de SAP a través de Azure Firewall, pruebe la configuración y revise la documentación de diseño de SAP para garantizar una implementación correcta de Azure.
Pasos siguientes
Para más información sobre el rendimiento de Azure Firewall, consulte Rendimiento de Azure Firewall.