Verstehen Sie SRX Services Gateway Flow-Verarbeitung

In TCP / IP, a fließen wird als ein Satz von Paketen definiert, die die gleichen Werte in einer Anzahl von Header-Felder teilt. Der SRX erzwingt Sicherheitspolitik durch die Verarbeitung der flowof Pakete durch das Gerät. Daher ist Flow-Verarbeitung ein wichtiges Konzept in SRX Konfiguration und Management.

Der SRX hat tatsächlich viele komplexe Dinge, bevor es in den etablierten Sicherheitsrichtlinien (Regeln) sieht, und eine Menge hängt davon ab, ob der SRX hat bereits den Fluss (Session) gesehen. Wenn ja, gibt es eine große Menge an Informationen über die Strömung bereits und ist auf der SRX installiert.

Wenn es keine Übereinstimmung für die Sitzung ist, unterzieht das SRX das Paket an erste Weg Verarbeitung. Wenn die Paket-Header-Felder eine installierte Sitzung übereinstimmen, unterzieht das SRX das Paket an schnelle Weg Verarbeitung (etwa die Hälfte der Schritte des ersten Pfades Verarbeitung).

Auch Regeln genannt policers auf die Pakete angewendet werden, wie sie die SRX geben. Diese Überwacher festzustellen, ob das Paket weiterverarbeitet werden sollte oder nicht. (Auf der Ausgangsseite, Regeln genannt Shaper angewendet werden, um zu bestimmen, ob und wann das SRX sollte das Paket senden.)

bild0.jpg

Die Hauptströmungs SRX Verarbeitungsschritte sind wie folgt:

  1. Ziehen das Paket von der Eingangsschnittstelle Warteschlange.

  2. Anwenden Wachern an das Paket.

  3. Führen stateless (das heißt, nicht-flow) Paketfilterung.

  4. Entscheiden Sie sich für erste Weg oder schnellen Pfad.

  5. Filter, das Paket für die Ausgabe.

  6. Bewerben Shaper zu Paket.

  7. Übertragen Sie das Paket.

Policing und Gestaltung und staatenlos Filterung sind Dinge, die fast jeder Router tun können. Der wahre Wert des SRX ist in dem ersten Pfad und anschließenden schnellen Pfad Flow-Verarbeitung.

Hier sind die Schritte für den ersten Weg Flow-Verarbeitung:

  1. Führen Sie einen Bildschirm überprüfen.

  2. Führen Ziel oder statische Ziel NAT einen Satz von Paket-Header-Adressinformationen mit einem anderen zu ersetzen.

  3. Führen Route-Lookup den nächsten Hop zu bestimmen.

  4. Finden Ziel-Schnittstelle und Zone.

  5. Schauen Sie Firewall-Richtlinie auf.

  6. Führen Sie NAT-Lookup-Adresse Informationen zu ersetzen.

  7. Stellen Sie die Application Layer Gateway (ALG) Dienste Vektor (Felder).

  8. Bewerben Intrusion Detection und Prevention (IDP), VPN oder andere Dienstleistungen.

  9. Installieren Sie die neue Session im SRX.

Hier sind die Schritte für den schnellen Weg Flow-Verarbeitung:

  1. Führen Bildschirm überprüfen.

  2. Führen Sie TCP-Header und Flag überprüft.

  3. Führen Route-Lookup und NAT-Übersetzung.

  4. Bewerben ALG Dienste.

  5. Bewerben IDP, VPN und andere Dienstleistungen.

Alle Sicherheits Flow-Verarbeitung beginnt mit einem Bildschirm zu überprüfen. In der SRX ist ein Bildschirm eine eingebaute (aber abstimmbaren) Schutzmechanismus, der eine Vielzahl von Sicherheitsfunktionen ausführt. Die Abstimmung kann der Bildschirm Schutz für kleine Unternehmen oder große Carrier-Netze, für den Netzwerkrand zum inneren Kern anzupassen. Screens sind für die Erkennung und viele Arten von schädlichen Datenverkehr, wie Denial-of-Service (DoS) Angriffe zu verhindern.

Bildschirmkontrollen stattfinden, bevor andere Sicherheits Flow-Verarbeitung in einem Versuch, Probleme zu beseitigen, bevor Angriffe ein Chaos der anderen Schritte machen können. Bildschirmkontrollen tiefer in das Paket und fließen als Firewall-Filter und lassen Sie das SRX große und komplizierte Angriffe zu blockieren. Auf High-End-SRX-Modelle, nehmen viele der Bildschirm überprüft in Hardware, in der Nähe der Eingangsschnittstelle.

Beachten Sie, dass selbst wenn die Strömungs Sitzung eingerichtet wird und der schnelle Pfad verwendet wird, anstelle des ersten Pfads, der Schirm Check immer noch stattfindet. Bösartige Verkehr kann immer noch versuchen und huckepack auf einer etablierten Strömung und der SRX kann immer noch blockieren und Mitte Sitzungspaket Angriffe fallen.

Bildschirme werden auf den eingehenden Datenverkehr ausgewertet und werden in Bildschirmprofile gruppiert. Große Sorgfalt ist erforderlich, wenn neue Bildwechsel oder das Erstellen, weil sie ernsthafte und unbeabsichtigte Nebenwirkungen haben können.

Sie können die Verwendung Alarm-ohne-Drop Keyword-Traffic zu erkennen, die von einem Bildschirm Profil gefangen werden würde, ohne es wirklich fallen. Auf diese Weise können Sie den Bildschirm Profil zu testen, ohne Live-Verkehr zu beeinflussen.

Ähnliche

Menü