Κατανοήσουν ότι η υπηρεσία ροής Gateway Processing Flow - dummies

Στο TCP / IP, μια ροή ορίζεται ως ένα σύνολο πακέτων που μοιράζονται τις ίδιες τιμές σε διάφορα πεδία κεφαλίδας. Το SRX επιβάλλει την πολιτική ασφάλειας επεξεργάζοντας τη ροή των πακέτων μέσω της συσκευής. Επομένως, η επεξεργασία ροής είναι μια σημαντική ιδέα στη διαμόρφωση και τη διαχείριση του SRX.

Το SRX κάνει πολλά πολύπλοκα πράγματα πριν εξετάσει τις καθιερωμένες πολιτικές ασφαλείας (κανόνες) και πολλά εξαρτώνται από το αν ο SRX έχει ήδη δει τη ροή (session). Αν ναι, υπάρχουν ήδη πολλές πληροφορίες σχετικά με τη ροή και είναι εγκατεστημένες στο SRX.

Όταν δεν υπάρχει αντιστοιχία για την περίοδο λειτουργίας, το SRX υποβάλλει το πακέτο σε επεξεργασία πρώτη διαδρομή . Εάν τα πεδία κεφαλίδας πακέτων αντιστοιχούν σε μια εγκατεστημένη περίοδο λειτουργίας, το SRX υποβάλλει το πακέτο σε επεξεργασία γρήγορη διαδρομή (περίπου τα μισά βήματα της επεξεργασίας της πρώτης διαδρομής).

Επίσης, κανόνες που ονομάζονται αστυνομικοί εφαρμόζονται στα πακέτα κατά την είσοδό τους στο SRX. Αυτοί οι αστυνομικοί καθορίζουν εάν το πακέτο θα πρέπει να επεξεργαστεί περαιτέρω ή όχι. (Στην πλευρά εξόδου, εφαρμόζονται κανόνες που ονομάζονται διαμορφωτές για να προσδιοριστεί εάν και πότε πρέπει να στείλει το SRX το πακέτο.)

Τα κύρια βήματα επεξεργασίας ροής SRX έχουν ως εξής:

1. Τραβήξτε το πακέτο από την ουρά διεπαφής εισόδου.

2. Εφαρμόστε αστυνομικούς στο πακέτο.

3. Πραγματοποιήστε φιλτράρισμα πακέτων ανήλικων (δηλαδή μη ροής).

4. Αποφασίστε για την πρώτη διαδρομή ή την γρήγορη διαδρομή.

5. Φιλτράρετε το πακέτο για έξοδο.

6. Εφαρμόστε διαμορφωτές στο πακέτο.

7. Μεταδώστε το πακέτο.

Η αστυνόμευση και η διαμόρφωση και η απάτη φιλτραρίσματος είναι πράγματα που σχεδόν κάθε δρομολογητής μπορεί να κάνει. Η πραγματική τιμή του SRX είναι στην πρώτη διαδρομή και την επακόλουθη επεξεργασία ροής διαδρομής.

Δείτε τα βήματα για την πρώτη επεξεργασία της ροής πορείας:

1. Πραγματοποιήστε έλεγχο οθόνης.

2. Εκτελέστε τον προορισμό ή τον στατικό προορισμό NAT για να αντικαταστήσετε ένα σύνολο πληροφοριών διεύθυνσης κεφαλίδας πακέτων με ένα άλλο.

3. Εκτελέστε αναζήτηση διαδρομής για να καθορίσετε το επόμενο βήμα.

4. Εύρεση διασύνδεσης προορισμού και ζώνης.

5. Βρείτε την πολιτική τείχους προστασίας.

6. Εκτελέστε αναζήτηση NAT για να αντικαταστήσετε τις πληροφορίες διεύθυνσης.

7. Ρυθμίστε τον φορέα (πεδία) υπηρεσιών πύλης εφαρμογής στρώματος (ALG).

8. Εφαρμογή ανίχνευσης και πρόληψης εισβολής (IDP), VPN ή άλλων υπηρεσιών.

9. Εγκαταστήστε τη νέα συνεδρία στο SRX.

Ακολουθούν τα βήματα για την γρήγορη επεξεργασία ροής διαδρομής:

1. Πραγματοποιήστε έλεγχο οθόνης.

2. Εκτελέστε ελέγχους κεφαλίδας και σημαίας TCP.

3. Εκτελέστε αναζήτηση διαδρομής και μετάφραση NAT.

4. Εφαρμογή υπηρεσιών ALG.

5. Εφαρμογή IDP, VPN και άλλων υπηρεσιών.

Όλη η επεξεργασία ροής ασφαλείας αρχίζει με έλεγχο οθόνης.Στο SRX, μια οθόνη είναι ένας ενσωματωμένος (αλλά συντονισμένος) μηχανισμός προστασίας που εκτελεί μια ποικιλία λειτουργιών ασφαλείας. Ο συντονισμός μπορεί να προσαρμόσει τις προστασίες οθόνης για δίκτυα μικρών επιχειρήσεων ή μεγάλων φορέων, για την άκρη του δικτύου έως τον εσωτερικό πυρήνα. Οι οθόνες είναι για την ανίχνευση και την αποτροπή πολλών ειδών κακόβουλης κίνησης, όπως οι επιθέσεις άρνησης εξυπηρέτησης (DoS).

Οι έλεγχοι οθόνης πραγματοποιούνται πριν από την επεξεργασία άλλων ροών ασφαλείας σε μια προσπάθεια να εξαλειφθούν τα ζητήματα πριν από τις επιθέσεις μπορεί να βλάψει τα άλλα βήματα. Οι έλεγχοι οθόνης σκάβουν βαθύτερα στο πακέτο και τη ροή από τα φίλτρα τείχους προστασίας και επιτρέπουν στο SRX να μπλοκάρει τις μεγάλες και πολύπλοκες επιθέσεις. Σε μοντέλα SRX υψηλού επιπέδου, πολλοί έλεγχοι οθόνης πραγματοποιούνται στο υλικό, κοντά στη διεπαφή εισόδου.

Παρατηρήστε ότι ακόμη και αν η περίοδος ροής είναι καθορισμένη και η γρήγορη διαδρομή χρησιμοποιείται αντί της πρώτης διαδρομής, ο έλεγχος της οθόνης εξακολουθεί να γίνεται. Η κακόβουλη επισκεψιμότητα μπορεί ακόμα να προσπαθήσει και να απομακρυνθεί από μια καθιερωμένη ροή και το SRX μπορεί ακόμα να μπλοκάρει και να αποβάλλει τις επιθέσεις πακέτων κατά τη διάρκεια της περιόδου συνόδου.

Οι οθόνες αξιολογούνται στην εισερχόμενη κίνηση και ομαδοποιούνται σε προφίλ οθόνης. Μεγάλη προσοχή απαιτείται όταν αλλάζετε ή δημιουργείτε νέες οθόνες, επειδή μπορεί να έχουν σοβαρές και ακούσιες παρενέργειες.

Μπορείτε να χρησιμοποιήσετε τη λέξη-κλειδί συναγερμού χωρίς διακοπή για να ανιχνεύσετε την επισκεψιμότητα που θα έπρεπε να συλληφθεί από ένα προφίλ οθόνης χωρίς να την ρίξετε. Αυτό σας επιτρέπει να δοκιμάσετε το προφίλ της οθόνης χωρίς να επηρεάσετε τη ζωντανή κίνηση.