Förstå SRX Services Gateway Flow Processing - dummies

I TCP / IP definieras ett flöde som en uppsättning paket som delar samma värden i ett antal huvudfält. SRX tillämpar säkerhetspolicy genom att behandla flödet av paket via enheten. Flödesbearbetning är därför ett viktigt begrepp inom SRX-konfiguration och -ledning.

SRX gör faktiskt många komplexa saker innan det ser ut på de etablerade säkerhetspolitiken (reglerna), och mycket beror på om SRX redan har sett flödet (session). Om så är fallet finns en hel del information om flödet redan och installeras på SRX.

När det inte finns någon match för sessionen, underkastar SRX paketet till första sökväg behandling. Om pakethuvudfälten matchar en installerad session, underkastar SRX paketet till snabbbana -behandling (ungefär hälften av förstabana-processen).

Även regler som heter policers tillämpas på paketen när de kommer in i SRX. Dessa policys bestämmer om paketet ska behandlas vidare eller inte. (På utsidan används regler som kallas shapers för att avgöra om och när SRX ska skicka paketet.)

De stora processerna för flödesbehandling av SRX är följande:

1. Dra paketet från ingångsgränskön.

2. Applicera policys till paketet.

3. Utför statslös (det vill säga icke-flödes) paketfiltrering.

4. Bestäm på första sökväg eller snabbväg.

5. Filtrera paketet för utmatning.

6. Applicera shapers till paketet.

7. Överför paketet.

Polis och formning och statslös filtrering är saker som nästan alla router kan göra. Det verkliga värdet av SRX ligger i den första vägen och efterföljande snabbvägflödesbehandling.

Här följer stegen för första flödesbehandling:

1. Utför en skärmkontroll.

2. Utför destination eller statisk destination NAT för att ersätta en uppsättning pakethuvudadressinformation med en annan.

3. Utför ruttsökning för att bestämma nästa hop.

4. Hitta destinationsgränssnitt och zon.

5. Leta upp brandväggspolicy.

6. Utför NAT-sökning till ersättningsadressinformation.

7. Ställ in tjänstets gateway-gateway (ALG) -tjänster vektor (fält).

8. Ansök intrångsdetektering och förebyggande (IDP), VPN eller andra tjänster.

9. Installera den nya sessionen i SRX.

Här är stegen för snabbvägflödesbehandling:

1. Utför skärmkontroll.

2. Utför TCP-huvud och flaggkontroll.

3. Utför ruttsökning och NAT-översättning.

4. Ansök ALG-tjänster.

5. Använd IDP, VPN och andra tjänster.

All säkerhetsflödesbehandling börjar med en skärmkontroll.I SRX är en skärm en inbyggd (men inställbar) skyddsmekanism som utför en mängd olika säkerhetsfunktioner. Inställningen kan justera skärmskyddet för småföretag eller stora operatörsnätverk, för nätverkskanten till den inre kärnan. Skärmar är avsedda för att upptäcka och förebygga många typer av skadlig trafik, till exempel angrepp mot beteende (DoS).

Skärmkontrollen sker före andra säkerhetsflödesbehandling i ett försök att eliminera problem innan attacker kan göra en röra av de andra stegen. Skärmkontrollen gräver djupare in i paketet och flyter än brandväggsfilter och låter SRX blockera stora och komplicerade attacker. På avancerade SRX-modeller sker många av skärmkontrollerna i maskinvara, nära ingressgränssnittet.

Observera att även om flödesperioden är etablerad och den snabba banan används istället för den första sökvägen, sker skärmkontrollen fortfarande. Skadlig trafik kan fortfarande försöka piggyback på ett etablerat flöde, och SRX kan fortfarande blockera och släppa mitt-session paketattacker.

Skärmen utvärderas på inkommande trafik och grupperas i skärmprofiler. Stor omsorg krävs när du byter eller skapar nya skärmar, eftersom de kan få allvarliga och oavsiktliga biverkningar.

Du kan använda larm utan lösenord för att upptäcka trafik som skulle fångas av en skärmprofil utan att du faktiskt släppte den. Detta gör att du kan testa skärmprofilen utan att påverka levande trafik.