Entenda Serviços SRX gateway fluxo de processamento

No TCP / IP, uma fluxo é definido como um conjunto de pacotes que partilha os mesmos valores em um número de campos de cabeçalho. O SRX reforça a política de segurança através do processamento dos pacotes flowof através do dispositivo. Portanto, o processamento de fluxo é um conceito importante na configuração e gerenciamento SRX.

O SRX, na verdade, faz muitas coisas complexas antes que olha para as políticas de segurança estabelecidas (regras), e muito depende se o SRX já viu o fluxo (sessão). Se assim for, uma grande dose de informação sobre o fluxo já existe e está instalado sobre o SRX.

Quando não houver nenhuma correspondência para a sessão, o SRX submete o pacote para primeiro caminho em processamento. Se os campos de cabeçalho do pacote coincidir com uma sessão de instalado, o SRX submete o pacote para caminho rápido processamento (cerca de metade das etapas de processamento primeiro caminho).

Além disso, as regras de chamada policers são aplicadas aos pacotes como eles entram no SRX. Estes policers determinar se o pacote deve ser processado adicionalmente ou não. (No lado da saída, as regras chamado formadores são aplicados para determinar se e quando o SRX deve enviar o pacote.)

image0.jpg

As principais etapas de processamento de fluxo SRX são como se segue:

  1. Puxar o pacote a partir da fila de interface de entrada.

  2. Aplicar policers para o pacote.

  3. Executar a filtragem de pacotes sem estado (isto é, não-fluxo).

  4. Decidir sobre primeiro caminho ou caminho rápido.

  5. Filtra-se a pacotes para a saída.

  6. Aplicar shapers ao pacote.

  7. Transmitir o pacote.

Policiamento e modelagem e filtragem sem estado são coisas que quase todo o roteador pode fazer. O valor real do SRX é o primeiro caminho e processamento de fluxo de caminho rápido subsequente.

Aqui estão as etapas para o processamento de fluxo primeiro caminho:

  1. Executar uma verificação de tela.

  2. Execute destino ou NAT destino estática para substituir um conjunto de informações de endereço cabeçalho do pacote com o outro.

  3. Executar a pesquisa de rota para determinar o próximo hop.

  4. Encontrar interface de destino e zona.

  5. Olhe-se política de firewall.

  6. Executar a pesquisa de NAT para substituir informações de endereço.

  7. Definir o vector de gateway de camada de aplicação (ALG) Serviços (campos).

  8. Aplicar de detecção de intrusão e prevenção (IDP), VPN ou outros serviços.

  9. Instalar a nova sessão no SRX.

Aqui estão as etapas para o processamento de fluxo de caminho rápido:

  1. Faça a verificação da tela.

  2. Execute cabeçalho TCP e verifica bandeira.

  3. Executar a pesquisa de rota e de tradução NAT.

  4. Aplicar serviços ALG.

  5. Aplicar IDP, VPN e outros serviços.

Todo o processamento de fluxo de segurança começa com um cheque tela. No SRX, uma tela é um mecanismo de proteção built-in (mas sintonizável) que executa uma variedade de funções de segurança. O ajuste pode ajustar as proteções de tela para redes de operadoras grandes pequena empresa ou, para a borda da rede ao núcleo interno. As telas são para a detecção e prevenção de vários tipos de tráfego malicioso, tais como ataques de negação de serviço (DoS).

cheques de tela ter lugar antes de outro processamento de fluxo de segurança em uma tentativa de eliminar problemas antes que os ataques podem fazer uma bagunça com as outras etapas. cheques tela aprofundar o pacote e fluxo do que os filtros de firewall e permitir que o SRX para bloquear ataques grandes e complicados. Em modelos SRX high-end, muitos dos controlos de tela acontecer em hardware, perto da penetração interface.

Note-se que mesmo se a sessão de fluxo é estabelecido e o caminho rápido é utilizado em vez do primeiro percurso, o ecrã de verificação ainda ocorre. tráfego malicioso ainda pode tentar pegar carona em um fluxo estabelecido, eo SRX ainda pode bloquear e soltar ataques de pacotes meados de sessão.

As telas são avaliadas em tráfego de entrada e são agrupadas em perfis de tela. Grande cuidado é necessário quando se muda ou a criação de novas telas, porque eles podem ter efeitos secundários graves e inesperadas.

Você pode usar o alarme, sem soltar palavra-chave para detectar tráfego que seria capturado por um perfil de tela sem realmente deixá-la cair. Isto permite-lhe testar o perfil de tela sem afetar o tráfego ao vivo.

Semelhante

menu