Vídeo: 177th Knowledge Seekers Workshop, June 22, 2017 2025
No TCP / IP, um fluxo é definido como um conjunto de pacotes que compartilha os mesmos valores em vários campos de cabeçalho. O SRX impõe uma política de segurança ao processar o fluxo de pacotes através do dispositivo. Portanto, o processamento de fluxo é um conceito importante na configuração e gerenciamento do SRX.
O SRX realmente faz muitas coisas complexas antes de analisar as políticas de segurança estabelecidas (regras), e muito depende se o SRX já viu o fluxo (sessão). Se assim for, uma grande quantidade de informações sobre o fluxo já existe e está instalada no SRX.
Quando não há correspondência para a sessão, o SRX submete o pacote ao processamento primeiro caminho . Se os campos do cabeçalho do pacote coincidirem com uma sessão instalada, o SRX submete o pacote ao processamento caminho rápido (aproximadamente metade das etapas do primeiro processamento do caminho).
Além disso, as regras chamadas polímeros são aplicadas aos pacotes à medida que entram no SRX. Esses policiais determinam se o pacote deve ser processado mais ou menos. (No lado da saída, as regras chamadas formadores são aplicadas para determinar se e quando o SRX deve enviar o pacote.)
Os principais passos de processamento de fluxo SRX são os seguintes:
-
Puxe o pacote a partir da fila da interface de entrada.
-
Aplicar policiais ao pacote.
-
Executa a filtragem de pacotes sem estado (isto é, não fluxo).
-
Decida no primeiro caminho ou no caminho rápido.
-
Filtra o pacote para saída.
-
Aplicar formadores ao pacote.
-
Transmita o pacote.
Policiamento e modelagem e filtragem sem estado são coisas que quase qualquer roteador pode fazer. O valor real do SRX está no primeiro caminho e no subsequente processamento de fluxo de caminho rápido.
Aqui estão as etapas para o primeiro processamento de fluxo de caminho:
-
Execute uma verificação de tela.
-
Execute destino ou destino estático NAT para substituir um conjunto de informações de endereço de cabeçalho de pacote por outro.
-
Execute pesquisa de rota para determinar o próximo salto.
-
Encontre interface de destino e zona.
-
Consulte a política de firewall.
-
Execute pesquisa de NAT para substituir informações de endereço.
-
Defina o vetor de serviços de gateway da camada de aplicação (ALG) (campos).
-
Aplicação de detecção e prevenção de intrusão (IDP), VPN ou outros serviços.
-
Instale a nova sessão no SRX.
Aqui estão as etapas para o processamento de fluxo de caminho rápido:
-
Executar verificação de tela.
-
Execute cheques de cabeçalho e sinalizador TCP.
-
Execute pesquisa de rota e tradução de NAT.
-
Aplicar serviços ALG.
-
Aplicar IDP, VPN e outros serviços.
Todo o processamento de fluxo de segurança começa com uma verificação de tela.No SRX, uma tela é um mecanismo de proteção incorporado (mas ajustável) que executa uma variedade de funções de segurança. O ajuste pode ajustar as proteções de tela para pequenas empresas ou grandes redes de operadoras, para a borda da rede para o núcleo interno. As telas são para detectar e prevenir muitos tipos de tráfego malicioso, como ataques de negação de serviço (DoS).
As verificações de tela ocorrem antes de outro processamento de fluxo de segurança na tentativa de eliminar problemas antes que os ataques possam fazer uma bagunça das outras etapas. As verificações de tela ultrapassam o pacote e fluem do que os filtros de firewall e permitem que o SRX bloqueie ataques grandes e complicados. Em modelos SRX high-end, muitas verificações de tela ocorrem em hardware, perto da interface de ingresso.
Observe que mesmo se a sessão de fluxo for estabelecida e o caminho rápido for usado em vez do primeiro caminho, a verificação da tela ainda ocorre. O tráfego malicioso ainda pode tentar e acompanhar um fluxo estabelecido, e o SRX ainda pode bloquear e soltar ataques de pacotes na meia sessão.
As telas são avaliadas no tráfego de entrada e são agrupadas em perfis de tela. É necessário um grande cuidado ao mudar ou criar novas telas, porque podem ter efeitos colaterais sérios e involuntários.
Você pode usar a palavra-chave de alarme sem soltar para detectar o tráfego que seria capturado por um perfil de tela sem realmente descartá-lo. Isso permite que você teste o perfil da tela sem afetar o tráfego ao vivo.