Comprendre le traitement du flux SRX Services Gateway - les mannequins

En TCP / IP, un flux est défini comme un ensemble de paquets partageant les mêmes valeurs dans un certain nombre de champs d'en-tête. Le SRX applique la politique de sécurité en traitant le flux de paquets à travers le dispositif. Par conséquent, le traitement de flux est un concept important dans la configuration et la gestion du SRX.

Le SRX fait beaucoup de choses complexes avant de regarder les règles de sécurité établies (règles), et beaucoup dépend si le SRX a déjà vu le flux (session). Si c'est le cas, une grande quantité d'informations sur le flux existe déjà et est installé sur le SRX.

Lorsqu'il n'y a pas de correspondance pour la session, le SRX soumet le paquet au traitement premier chemin . Si les champs d'en-tête de paquet correspondent à une session installée, le SRX soumet le paquet à un traitement de raccourci (environ la moitié des étapes du premier traitement de chemin).

De plus, les règles appelées policers sont appliquées aux paquets lorsqu'ils entrent dans le SRX. Ces policiers déterminent si le paquet doit être traité plus loin ou non. (Du côté de la sortie, des règles appelées shapers sont appliquées pour déterminer si et quand le SRX devrait envoyer le paquet.)

Les principales étapes du traitement du flux SRX sont les suivantes:

1. Extraire le paquet de la file d'attente de l'interface d'entrée.

2. Appliquez des policiers au paquet.

3. Effectuer un filtrage de paquets sans état (c'est-à-dire sans flux).

4. Choisissez le premier chemin ou le raccourci.

5. Filtrer le paquet pour la sortie.

6. Appliquez les shapers au paquet.

7. Transmettre le paquet.

Le maintien de l'ordre et la mise en forme et le filtrage sans état sont des choses que presque n'importe quel routeur peut faire. La valeur réelle du SRX est dans le premier chemin et dans le traitement du flux de chemin rapide suivant.

Voici les étapes du traitement du premier chemin:

1. Effectuez une vérification de l'écran.

2. Effectuer un NAT de destination ou de destination statique pour remplacer un jeu d'informations d'adresse d'en-tête de paquet par un autre.

3. Effectuer une recherche d'itinéraire pour déterminer le saut suivant.

4. Trouver l'interface et la zone de destination.

5. Recherchez la stratégie de pare-feu.

6. Effectuez une recherche NAT pour remplacer les informations d'adresse.

7. Définissez le vecteur de services ALG (application layer gateway) (champs).

8. Appliquer la détection et la prévention d'intrusion (IDP), le VPN ou d'autres services.

9. Installez la nouvelle session dans le SRX.

Voici les étapes pour le traitement du flux rapide:

1. Effectuer un contrôle d'écran.

2. Effectuez les vérifications d'en-tête et d'indicateur TCP.

3. Effectuer la recherche d'itinéraire et la traduction NAT.

4. Appliquer les services ALG.

5. Appliquez IDP, VPN et d'autres services.

Tout le traitement du flux de sécurité commence par une vérification de l'écran.Dans le SRX, un écran est un mécanisme de protection intégré (mais réglable) qui effectue une variété de fonctions de sécurité. Le réglage peut ajuster les protections d'écran pour les petites entreprises ou les grands réseaux de transport, pour le bord du réseau au cœur interne. Les écrans permettent de détecter et d'empêcher de nombreux types de trafic malveillant, tels que les attaques par déni de service (DoS).

Les vérifications d'écran ont lieu avant les autres traitements de flux de sécurité, dans le but d'éliminer les problèmes avant que les attaques ne gâchent les autres étapes. Les contrôles d'écran creusent plus profondément dans le paquet et le flux que les filtres de pare-feu et permettent au SRX de bloquer les attaques volumineuses et compliquées. Sur les modèles SRX haut de gamme, de nombreuses vérifications d'écran ont lieu dans le matériel, à proximité de l'interface d'entrée.

Notez que même si la session de flux est établie et que le chemin rapide est utilisé à la place du premier chemin, la vérification de l'écran a toujours lieu. Le trafic malveillant peut toujours tenter de se greffer sur un flux établi, et le SRX peut toujours bloquer et abandonner les attaques par paquets en cours de session.

Les écrans sont évalués sur le trafic entrant et sont regroupés en profils d'écran. Un grand soin est requis lors du changement ou de la création de nouveaux écrans, car ils peuvent avoir des effets secondaires graves et involontaires.

Vous pouvez utiliser le mot-clé alarm-without-drop pour détecter le trafic qui serait intercepté par un profil d'écran sans le laisser tomber. Cela vous permet de tester le profil d'écran sans affecter le trafic en direct.