Forstå SRX Services Gateway Flow Processing - dummies

I TCP / IP defineres en strømning som et sett med pakker som deler de samme verdiene i en rekke toppfelter. SRX håndhever sikkerhetspolitikken ved å behandle strømmen av pakker gjennom enheten. Derfor er flytbehandlingen et viktig konsept i SRX-konfigurasjon og -administrasjon.

SRX gjør faktisk mange komplekse ting før det ser på de etablerte sikkerhetspolitikkene (reglene), og mye avhenger av om SRX allerede har sett strømmen (økt). I så fall finnes det mye informasjon om strømmen og er installert på SRX.

Når det ikke er noen kamp for økten, behandler SRX pakken til første bane behandling. Hvis pakkehodefeltene samsvarer med en installert økt, behandler SRX pakken til rask bane behandling (omtrent halvparten av trinnene for første banebehandling).

Også regler som kalles policere blir brukt på pakkene når de går inn i SRX. Disse policerne bestemmer om pakken skal behandles videre eller ikke. (På utgangssiden benyttes regler som kalles shapers for å bestemme om og når SRX skal sende pakken.)

De viktigste prosessstrinnene for SRX-strømning er som følger:

1. Trekk pakken fra inngangsgrensesnittkøen.

2. Bruk policere til pakken.

3. Utfør statsløs (det vil si ikke-flyt) pakkefiltrering.

4. Bestem på første sti eller rask sti.

5. Filtrer pakken for utgang.

6. Bruk shapers til pakke.

7. Send pakken.

Politisering og formgivning og statsløs filtrering er ting som nesten alle rutere kan gjøre. Den reelle verdien av SRX er i den første bane og påfølgende rask baneflowbehandling.

Her er trinnene for første baneflowbehandling:

1. Utfør en skjermkontroll.

2. Utfør destinasjon eller statisk destinasjon NAT for å erstatte ett sett med pakkehodetadresseinformasjon med en annen.

3. Utfør ruteoppslag for å bestemme neste hopp.

4. Finn destinasjonsgrensesnitt og sone.

5. Slå opp brannmurpolitikken.

6. Utfør NAT-oppslag til erstatningsadresseinformasjon.

7. Sett applikasjonslag gateway (ALG) tjenester vektor (felt).

8. Bruk inntrengingsdeteksjon og forebygging (IDP), VPN eller andre tjenester.

9. Installer den nye økten i SRX.

Her er trinnene for rask veibanebehandling:

1. Utfør skjermkontroll.

2. Utfør TCP header og flagg sjekker.

3. Utfør ruteoppslag og NAT-oversettelse.

4. Bruk ALG-tjenester.

5. Bruk IDP, VPN og andre tjenester.

Alle sikkerhetsflytbehandling begynner med en skjermkontroll.I SRX er en skjerm en innebygd (men avstembar) beskyttelsesmekanisme som utfører en rekke sikkerhetsfunksjoner. Tuningen kan justere skjermbeskyttelsen for små bedrifter eller store transportnettverk, for nettverkskanten til den indre kjerne. Skjermene er for å oppdage og forebygge mange typer ondsinnet trafikk, for eksempel angrep på tjenesten (DoS).

Skjermkontrollene finner sted før annen sikkerhetsflytbehandling i et forsøk på å eliminere problemer før angrep kan gjøre et rot i de andre trinnene. Skjermkontrollene graver dypere inn i pakken og strømmer enn brannmurfiltre og lar SRX blokkere store og kompliserte angrep. På high-end SRX-modeller finner mange av skjermkontrollene seg i maskinvare, nær inngangsgrensesnittet.

Merk at selv om strømningsøkten er opprettet og den raske banen brukes i stedet for den første banen, skjer skjermkontrollen fortsatt. Ondsinnelig trafikk kan fortsatt forsøke å piggyback på en etablert strøm, og SRX kan fortsatt blokkere og slippe midtsesspakkeangrep.

Skjermene vurderes på innkommende trafikk og grupperes i skjermprofiler. Stor forsiktighet er nødvendig når du endrer eller lager nye skjermer, fordi de kan få alvorlige og utilsiktede bivirkninger.

Du kan bruke alarm-uten-nøkkelordet for å oppdage trafikk som vil bli fanget av en skjermprofil uten å faktisk slippe den. Dette lar deg teste skjermprofilen uten å påvirke live trafikk.