Forstå SRX Services Gateway Flow Processing - dummies

I TCP / IP defineres en flow som et sæt pakker, der deler de samme værdier i et antal headerfelter. SRX håndhæver sikkerhedspolitikken ved at behandle strømmen af ​​pakker gennem enheden. Derfor er flowbehandling et vigtigt koncept i SRX konfiguration og styring.

SRX'en gør faktisk mange komplekse ting, før den ser på de etablerede sikkerhedspolitikker (regler), og meget afhænger af, om SRX allerede har set strømmen (session). Hvis det er tilfældet, eksisterer der allerede en stor mængde oplysninger om strømmen og installeres på SRX.

Når der ikke er nogen kamp for sessionen, underkaster SRX pakken til første bane behandling. Hvis pakkeoverskriftsfelterne matcher en installeret session, underkaster SRX pakken til hurtigbane behandling (ca. halvdelen af ​​første baneforarbejdning).

Også regler, der hedder policere, anvendes til pakkerne, når de kommer ind i SRX. Disse politikere bestemmer om pakken skal behandles yderligere eller ej. (På udgangssiden anvendes regler, der hedder shapers, for at bestemme om og hvornår SRX skal sende pakken.)

De vigtigste trin i SRX-strømningsbehandlingen er som følger:

1. Træk pakken fra indgangsgrænse køen.

2. Anvend policere til pakken.

3. Udfør statsløs (dvs. ikke-flow) pakkefiltrering.

4. Beslut om første sti eller hurtig vej.

5. Filtrer pakken til udgang.

6. Anvend shapers til pakke.

7. Send pakken.

Politisering og formgivning og statsløs filtrering er ting, som næsten enhver router kan gøre. Den reelle værdi af SRX er i den første vej og efterfølgende hurtig bane flow behandling.

Her er trinene til første path flowbehandling:

1. Udfør en skærmkontrol.

2. Udfør destination eller statisk destination NAT for at erstatte et sæt pakkeoverskriftsadresser med en anden.

3. Udfør ruteopsøgning for at bestemme næste hop.

4. Find destinationsgrænseflade og zone.

5. Søg efter firewall-politik.

6. Udfør NAT opslag til erstatning adresseoplysninger.

7. Sæt applikationslags gateway (ALG) -tjenesterne vektor (felter).

8. Anvend indbrudsdetektering og forebyggelse (IDP), VPN eller andre tjenester.

9. Installer den nye session i SRX.

Her er trinene til hurtig vejstrømbehandling:

1. Udfør skærmkontrol.

2. Udfør TCP header og flag kontrol.

3. Udfør ruteopsøgning og NAT-oversættelse.

4. Anvend ALG-tjenester.

5. Anvend IDP, VPN og andre tjenester.

Alle sikkerhedsflowbehandling begynder med en skærmkontrol.I SRX er en skærm en indbygget (men indstillelig) beskyttelsesmekanisme, der udfører en række sikkerhedsfunktioner. Tuningen kan justere skærmbeskyttelsen til små virksomheder eller store transportnetværk, for netværkskanten til den interne kerne. Skærme er til detektion og forebyggelse af mange former for ondsindet trafik, som f.eks. Denial-of-Service (DoS) -angreb.

Skærmkontroller finder sted inden anden sikkerhedsflowbehandling i et forsøg på at eliminere problemer, før angreb kan gøre et rod i de andre trin. Skærmkontrol graver dybere ind i pakken og strømmer end firewall filtre og tillader SRX at blokere store og komplicerede angreb. På avancerede SRX-modeller finder mange af skærmkontrolerne sted i hardware, tæt på indgangsgrænsefladen.

Bemærk, at selvom strømningssessionen er etableret, og den hurtige sti bruges i stedet for den første sti, finder skærmbilledet stadig sted. Ondsindet trafik kan stadig forsøge at piggyback på et etableret flow, og SRX kan stadig blokere og slippe pakkeangreb i midten af ​​sessionen.

Skærme evalueres ved indgående trafik og grupperes i skærmprofiler. Der kræves stor omhu ved ændring eller oprettelse af nye skærme, fordi de kan have alvorlige og utilsigtede bivirkninger.

Du kan bruge alarm-uden-slip-søgeordet til at registrere trafik, der ville blive fanget af en skærmprofil uden at tabe den faktisk. Dette giver dig mulighed for at teste skærmprofilen uden at påvirke live trafik.