Verstehen SRX Services Gateway Flussverarbeitung - Dummies

In TCP / IP ist ein Fluss als eine Gruppe von Paketen definiert, die dieselben Werte in einer Anzahl von Kopffeldern teilen. Der SRX erzwingt eine Sicherheitsrichtlinie, indem er den Fluss von Paketen durch das Gerät verarbeitet. Daher ist die Flow-Verarbeitung ein wichtiges Konzept in der SRX-Konfiguration und -Verwaltung.

Der SRX macht tatsächlich viele komplexe Dinge, bevor er sich mit den etablierten Sicherheitsrichtlinien (Regeln) befasst, und es hängt viel davon ab, ob der SRX den Fluss bereits gesehen hat (Sitzung). Wenn dies der Fall ist, sind bereits viele Informationen über den Ablauf vorhanden und auf dem SRX installiert.

Wenn es keine Übereinstimmung für die Sitzung gibt, unterzieht das SRX das Paket der Verarbeitung des ersten Pfades . Wenn die Paketheaderfelder mit einer installierten Sitzung übereinstimmen, unterzieht das SRX das Paket einer Fast-Path -Verarbeitung (etwa die Hälfte der Schritte der ersten Pfadverarbeitung).

Außerdem werden Regeln, die als Policer bezeichnet werden, auf die Pakete angewendet, wenn sie in den SRX eintreten. Diese Policer bestimmen, ob das Paket weiter verarbeitet werden soll oder nicht. (Auf der Ausgabeseite werden Regeln, die Shaper genannt werden, angewendet, um zu bestimmen, ob und wann das SRX das Paket senden soll.)

Die wichtigsten Verarbeitungsschritte für den SRX-Fluss lauten wie folgt:

1. Ziehen Sie das Paket aus der Eingabeschnittstellenwarteschlange.

2. Wendet Policer auf das Paket an.

3. Führe statusfreie Paketfilterung (dh Nichtfluss) aus.

4. Entscheiden Sie sich für den ersten Pfad oder den schnellen Pfad.

5. Filtern Sie das Paket für die Ausgabe.

6. Shaper auf das Paket anwenden.

7. Übertrage das Paket.

Policing und Shaping und Stateless Filtering sind Dinge, die fast jeder Router ausführen kann. Der reale Wert des SRX liegt im ersten Pfad und in der nachfolgenden schnellen Pfadflussverarbeitung.

Hier sind die Schritte für die Verarbeitung des ersten Pfadflusses:

1. Führen Sie eine Bildschirmprüfung durch.

2. Führt ein Ziel oder ein statisches Ziel-NAT aus, um einen Satz von Paketkopfadressinformationen durch ein anderes zu ersetzen.

3. Führen Sie eine Routensuche durch, um den nächsten Hop zu bestimmen.

4. Zielschnittstelle und Zone suchen.

5. Schlagen Sie nach der Firewall-Richtlinie.

6. Führen Sie eine NAT-Suche durch, um die Adressinformationen zu ersetzen.

7. Legen Sie den ALG-Dienstvektor (Felder) fest.

8. Wenden Sie Intrusion Detection and Prevention (IDP), VPN oder andere Dienste an.

9. Installieren Sie die neue Sitzung im SRX.

Hier sind die Schritte für die schnelle Pfadflussverarbeitung:

1. Durchführen der Bildschirmprüfung.

2. Führt TCP-Header- und Flag-Prüfungen durch.

3. Führen Sie Routensuche und NAT-Übersetzung durch.

4. Wenden Sie ALG-Dienste an.

5. Wenden Sie IDP, VPN und andere Dienste an.

Die gesamte Verarbeitung des Sicherheitsflusses beginnt mit einer Bildschirmprüfung.Im SRX ist ein Bildschirm ein eingebauter (aber abstimmbarer) Schutzmechanismus, der eine Vielzahl von Sicherheitsfunktionen ausführt. Die Abstimmung kann den Bildschirmschutz für kleine Unternehmen oder große Carrier-Netzwerke anpassen, für die Netzwerkkante zum internen Core. Bildschirme dienen dazu, viele Arten von bösartigem Datenverkehr zu erkennen und zu verhindern, beispielsweise Denial-of-Service-Angriffe (DoS).

Bildschirmüberprüfungen finden vor der Verarbeitung anderer Sicherheitsabläufe statt, um Probleme zu beseitigen, bevor Angriffe die anderen Schritte durcheinander bringen können. Screen-Checks greifen tiefer in das Paket und den Flow ein als Firewall-Filter und erlauben es dem SRX, große und komplizierte Angriffe zu blockieren. Bei High-End-SRX-Modellen finden viele der Bildschirmprüfungen in Hardware in der Nähe der Eingangsschnittstelle statt.

Beachten Sie, dass selbst dann, wenn die Flow-Sitzung eingerichtet ist und der schnelle Pfad anstelle des ersten Pfads verwendet wird, die Bildschirmprüfung immer noch stattfindet. Böswilliger Datenverkehr kann weiterhin versuchen, sich in einem etablierten Datenfluss zu huckepack zu machen, und der SRX kann weiterhin Paketangriffe in der Mitte der Sitzung blockieren und löschen.

Bildschirme werden im eingehenden Datenverkehr ausgewertet und in Bildschirmprofile gruppiert. Beim Ändern oder Erstellen neuer Bildschirme ist große Sorgfalt erforderlich, da sie schwerwiegende und unbeabsichtigte Nebenwirkungen haben können.

Sie können das Schlüsselwort ohne Schlüsselabfrage verwenden, um Verkehr zu ermitteln, der von einem Bildschirmprofil erfasst würde, ohne es tatsächlich zu löschen. Auf diese Weise können Sie das Bildschirmprofil testen, ohne den Live-Verkehr zu beeinträchtigen.