Entenda serviços srx processamento de fluxo de passagem
Em TCP / IP, um fluxo
Conteúdo
Video: Week 8, continued
O SRX realmente faz muitas coisas complexas antes que ela olha para as políticas de segurança estabelecidas (regras), e muito depende se o SRX já viu o fluxo (sessão). Se assim for, uma grande quantidade de informações sobre o fluxo já existe e está instalado no SRX.
Quando não é páreo para a sessão, o SRX submete o pacote para primeiro caminho em processamento. Se os campos de cabeçalho do pacote coincidir com uma sessão de instalado, o SRX submete o pacote para caminho rápido de processamento (cerca de metade dos passos de processamento de primeiro caminho).
Video: Part 2 - The Return of Sherlock Holmes Audiobook by Sir Arthur Conan Doyle (Adventures 04-05)
Além disso, as regras chamado policers são aplicadas aos pacotes que entram na SRX. Estes policers determinar se o pacote deve ser processado ou não. (Do lado da produção, regras chamado shapers são aplicados para determinar se e quando o SRX deve enviar o pacote.)
As principais etapas de processamento de fluxo SRX são como se segue:
Puxar o pacote a partir da fila de interface de entrada.
Aplicar policers ao pacote.
Executar a filtragem de pacotes sem estado (isto é, não-fluxo).
Decidir sobre primeiro caminho ou caminho rápido.
Filtrar o pacote para a saída.
Aplicar shapers ao pacote.
Transmitir o pacote.
Policiamento e moldar e filtragem apátridas são coisas que praticamente qualquer roteador pode fazer. O valor real do SRX é o primeiro caminho e processamento de fluxo de caminho rápido subseqüente.
Aqui estão os passos para o processamento de fluxo primeiro caminho:
Executar uma verificação de tela.
Execute destino ou NAT destino estática para substituir um conjunto de informações de endereço cabeçalho do pacote com outro.
Executar a pesquisa de rota para determinar o próximo hop.
Encontrar interface de destino e zona.
Olhe-se política de firewall.
Executar a pesquisa de NAT para substituir informações de endereço.
Definir o vector de gateway de camada de aplicação (ALG) serviços (campos).
Video: Part 4 - Ann Veronica Audiobook by H. G. Wells (Chs 11 -14)
Aplicar de detecção de intrusão e prevenção (IDP), VPN ou outros serviços.
Instalar a nova sessão no SRX.
Video: manuseio do revolver .38
Aqui estão os passos para o processamento de fluxo de caminho rápido:
Realize a verificação do ecrã.
Execute cabeçalho TCP e verifica bandeira.
Executar a pesquisa de rota e de tradução NAT.
Aplicar serviços ALG.
Aplicar IDP, VPN e outros serviços.
Todo o processamento de fluxo de segurança começa com um cheque tela. No SRX, um ecrã é um mecanismo de protecção embutido (mas sintonizável) que realiza uma variedade de funções de segurança. O ajuste pode ajustar as proteções de tela para redes de operadoras grandes pequena empresa ou, para a borda da rede ao núcleo interno. As telas são para detectar e prevenir muitos tipos de tráfego malicioso, tais como ataques de negação de serviço (DoS).
cheques de tela ter lugar antes de outro processamento de fluxo de segurança em uma tentativa de eliminar problemas antes que os ataques podem fazer uma bagunça com as outras etapas. cheques tela aprofundar o pacote e fluir do que os filtros de firewall e permitir que o SRX para bloquear ataques grandes e complicados. Nos modelos SRX high-end, muitos dos cheques tela ocorrer em hardware, perto da penetração interface.
Observe que mesmo se a sessão fluxo é estabelecido eo caminho rápido é usado em vez do primeiro caminho, a verificação de tela ainda ocorre. tráfego malicioso ainda pode tentar pegar carona em um fluxo estabelecido, ea SRX ainda pode bloquear e soltar ataques de pacotes meados de sessão.
As telas são avaliadas em tráfego de entrada e são agrupadas em perfis de tela. Grande cuidado é necessário quando se muda ou a criação de novas telas, porque eles podem ter efeitos secundários graves e inesperadas.
Você pode usar o alarme-sem-drop palavra-chave para detectar tráfego que seria capturado por um perfil de tela sem realmente deixá-la cair. Isto permite-lhe testar o perfil tela sem afetar o tráfego ao vivo.