Begrijp SRX Services Gateway Flow Processing - dummies

In TCP / IP wordt een stroom gedefinieerd als een reeks pakketten die dezelfde waarden delen in een aantal kopvelden. De SRX dwingt beveiligingsbeleid af door de stroom van pakketten via het apparaat te verwerken. Daarom is stroomverwerking een belangrijk concept in SRX-configuratie en -beheer.

De SRX doet veel complexe dingen voordat het naar het gevestigde beveiligingsbeleid (regels) kijkt, en veel hangt af van of de SRX al de flow (sessie) heeft gezien. Als dat zo is, bestaat er al veel informatie over de flow en deze is geïnstalleerd op de SRX.

Wanneer er geen overeenkomst voor de sessie is, onderwerpt de SRX het pakket aan eerste pad -verwerking. Als de velden van de pakketkop overeenkomen met een geïnstalleerde sessie, onderwerpt de SRX het pakket aan snelpad -verwerking (ongeveer de helft van de stappen van de eerste padverwerking).

Ook worden regels met de naam policers op de pakketten toegepast wanneer ze de SRX binnenkomen. Deze beleidsmakers bepalen of het pakket verder moet worden verwerkt of niet. (Aan de uitgangszijde worden regels genaamd shapers toegepast om te bepalen of en wanneer de SRX het pakket moet verzenden.)

De belangrijkste SRX-stroomverwerkingsstappen zijn als volgt:

1. Trek het pakket uit de wachtrij van de invoerinterface.

2. Policers op het pakket toepassen.

3. Stateloze (dat wil zeggen, non-flow) pakketfiltering uitvoeren.

4. Bepaal het eerste pad of het snelle pad.

5. Filter het pakket voor uitvoer.

6. Pas shapers toe op pakket.

7. Verzend het pakket.

Policing en shaping en stateless filtering zijn zaken die bijna elke router kan doen. De werkelijke waarde van de SRX ligt in het eerste pad en de daaropvolgende verwerking van snelle trajectstromen.

Dit zijn de stappen voor de verwerking van de eerste padstroom:

1. Voer een schermcontrole uit.

2. Voer NAT voor bestemming of statische bestemming uit om een ​​set adresgegevens van de pakketheader door een ander pakket te vervangen.

3. Routebezoeken uitvoeren om de volgende hop te bepalen.

4. Zoek naar de bestemmingsinterface en -zone.

5. Firewallbeleid opzoeken.

6. Voer NAT-lookup uit om adresinformatie te vervangen.

7. Stel de servicesvector (velden) van de applicatielaaggateway (ALG) in.

8. Intrusion detection and prevention (IDP), VPN of andere services toepassen.

9. Installeer de nieuwe sessie in de SRX.

Dit zijn de stappen voor de verwerking van snelle padstromen:

1. Schermcontrole uitvoeren.

2. Voer de TCP-header en vlagcontroles uit.

3. Voer route-opzoekingen en NAT-vertalingen uit.

4. ALG-services toepassen.

5. IDP-, VPN- en andere services toepassen.

Alle beveiligingsstroomverwerking begint met een schermcontrole.In de SRX is een scherm een ​​ingebouwd (maar afstembare) beveiligingsmechanisme dat verschillende beveiligingsfuncties uitvoert. De afstemming kan de schermbeveiligingen aanpassen voor kleine ondernemingen of grote netwerkaanbieders, voor de netwerkrand naar de interne kern. Schermen zijn voor het detecteren en voorkomen van veel soorten kwaadaardig verkeer, zoals Denial-of-Service (DoS) -aanvallen.

Schermcontroles vinden plaats voordat andere beveiligingsflowverwerking plaatsvindt in een poging om problemen te elimineren voordat aanvallen een puinzooi kunnen vormen van de andere stappen. Schermcontroles graven dieper in het pakket en vloeien dan firewallfilters en staan ​​de SRX toe om grote en gecompliceerde aanvallen te blokkeren. Op high-end SRX-modellen vinden veel van de schermcontroles plaats in hardware, dicht bij de ingangsinterface.

Merk op dat zelfs als de flowsessie is gemaakt en het snelle pad wordt gebruikt in plaats van het eerste pad, de schermcontrole nog steeds plaatsvindt. Schadelijk verkeer kan nog steeds proberen op een vastgelegde manier te meeliften en de SRX kan mid-session-pakketaanvallen nog steeds blokkeren en stoppen.

Schermen worden op binnenkomend verkeer geëvalueerd en gegroepeerd in schermprofielen. Grote zorg is vereist bij het veranderen of creëren van nieuwe schermen, omdat ze ernstige en onbedoelde bijwerkingen kunnen hebben.

U kunt het alarm-zonder-drop-trefwoord gebruiken om verkeer te detecteren dat zou worden gevangen door een schermprofiel zonder het daadwerkelijk te laten vallen. Hiermee kunt u het schermprofiel testen zonder het live verkeer te beïnvloeden.