Понимать обработку потока шлюзов служб SRX

Понимать обработку потока шлюзов служб SRX - манекены

В TCP / IP поток определяется как набор пакетов, которые имеют одни и те же значения в нескольких полях заголовка. SRX применяет политику безопасности, обрабатывая поток пакетов через устройство. Поэтому обработка потока является важной концепцией конфигурации и управления SRX.

SRX на самом деле выполняет множество сложных задач, прежде чем проверяет установленные политики безопасности (правила), и многое зависит от того, видел ли SRX поток (сеанс). Если это так, много информации о потоке уже существует и устанавливается на SRX.

Если совпадение не выполняется для сеанса, SRX подвергает пакет обработке первый путь . Если поля заголовка пакета соответствуют установленному сеансу, SRX подвергает пакет обработке быстрый путь (примерно половина шагов обработки первого пути).

Кроме того, правила, называемые полицейскими, применяются к пакетам при входе в SRX. Эти полицейские определяют, должен ли пакет обрабатываться дальше или нет. (На стороне вывода применяются правила, называемые шейперами, чтобы определить, следует ли и когда SRX должен отправить пакет.)

Основные шаги обработки потока SRX заключаются в следующем:

  1. Потяните пакет из очереди входного интерфейса.

  2. Применить к пакету полицейских.

  3. Выполнять фильтрацию пакетов без учета состояния (то есть, без потока).

  4. Определите первый путь или быстрый путь.

  5. Отфильтровать пакет для вывода.

  6. Применить формирователи к пакету.

  7. Передача пакета.

Фильтрация и форматирование и фильтрация без учета состояния - это то, что может сделать практически любой маршрутизатор. Реальное значение SRX находится в первом пути и последующей обработке потока быстрого пути.

Вот шаги для обработки потока первого пути:

  1. Выполните проверку экрана.

  2. Назначить NAT назначения или статического назначения для замены одного набора информации адреса заголовка пакета другим.

  3. Выполните поиск маршрута, чтобы определить следующий прыжок.

  4. Найдите целевой интерфейс и зону.

  5. Посмотрите политику брандмауэра.

  6. Выполните поиск NAT, чтобы заменить адресную информацию.

  7. Установить вектор служб шлюза прикладного уровня (ALG) (поля).

  8. Применение обнаружения вторжений и предотвращения (IDP), VPN или других служб.

  9. Установите новый сеанс в SRX.

Вот шаги для быстрой обработки потока пути:

  1. Выполнить проверку экрана.

  2. Выполнить проверку TCP-заголовка и флага.

  3. Выполнение поиска маршрута и трансляция NAT.

  4. Применить службы ALG.

  5. Применить IDP, VPN и другие сервисы.

Вся обработка потока безопасности начинается с проверки экрана.В SRX экран представляет собой встроенный (но настраиваемый) механизм защиты, который выполняет множество функций безопасности. Настройка может регулировать защиту экрана для небольших корпоративных сетей или крупных сетей, для края сети для внутреннего ядра. Экраны предназначены для обнаружения и предотвращения многих видов вредоносного трафика, таких как атаки типа «отказ в обслуживании» (DoS).

Экранные проверки выполняются перед другой обработкой потока безопасности в попытке устранить проблемы до того, как атаки могут вызвать беспорядок других шагов. Экран проверяет глубже в пакет и поток, чем фильтры брандмауэра, и позволяет SRX блокировать большие и сложные атаки. На high-end SRX-моделях многие проверки экрана выполняются на аппаратных средствах, рядом с входным интерфейсом.

Обратите внимание, что даже если сеанс потока установлен и быстрый путь используется вместо первого пути, проверка экрана все же имеет место. Вредоносный трафик все еще может попытаться подключиться к установленному потоку, и SRX все равно может блокировать и отбрасывать атаки пакетов в середине сеанса.

Экраны оцениваются по входящему трафику и группируются в профили экрана. При изменении или создании новых экранов требуется большая осторожность, поскольку они могут иметь серьезные и непреднамеренные побочные эффекты.

Вы можете использовать ключевое слово alarm-without-drop, чтобы обнаружить трафик, который был бы захвачен профилем экрана, и фактически не сбросил бы его. Это позволяет протестировать профиль экрана, не затрагивая прямой трафик.