Entenda serviços srx processamento de fluxo de passagem

Em TCP / IP, um fluxo

é definido como um conjunto de pacotes, o qual partilha os mesmos valores em um número de campos de cabeçalho. O SRX reforça a política de segurança processando o fluxo de pacotes através do dispositivo. Portanto, o processamento de fluxo é um conceito importante na configuração e gerenciamento SRX.

Video: Week 8, continued

O SRX realmente faz muitas coisas complexas antes que ela olha para as políticas de segurança estabelecidas (regras), e muito depende se o SRX já viu o fluxo (sessão). Se assim for, uma grande quantidade de informações sobre o fluxo já existe e está instalado no SRX.

Quando não é páreo para a sessão, o SRX submete o pacote para primeiro caminho em processamento. Se os campos de cabeçalho do pacote coincidir com uma sessão de instalado, o SRX submete o pacote para caminho rápido de processamento (cerca de metade dos passos de processamento de primeiro caminho).

Video: Part 2 - The Return of Sherlock Holmes Audiobook by Sir Arthur Conan Doyle (Adventures 04-05)

Além disso, as regras chamado policers são aplicadas aos pacotes que entram na SRX. Estes policers determinar se o pacote deve ser processado ou não. (Do lado da produção, regras chamado shapers são aplicados para determinar se e quando o SRX deve enviar o pacote.)

As principais etapas de processamento de fluxo SRX são como se segue:

  1. Puxar o pacote a partir da fila de interface de entrada.

  2. Aplicar policers ao pacote.

  3. Executar a filtragem de pacotes sem estado (isto é, não-fluxo).

  4. Decidir sobre primeiro caminho ou caminho rápido.

  5. Filtrar o pacote para a saída.

  6. Aplicar shapers ao pacote.

  7. Transmitir o pacote.

Policiamento e moldar e filtragem apátridas são coisas que praticamente qualquer roteador pode fazer. O valor real do SRX é o primeiro caminho e processamento de fluxo de caminho rápido subseqüente.

Aqui estão os passos para o processamento de fluxo primeiro caminho:

Executar uma verificação de tela.

  • Execute destino ou NAT destino estática para substituir um conjunto de informações de endereço cabeçalho do pacote com outro.



  • Executar a pesquisa de rota para determinar o próximo hop.

  • Encontrar interface de destino e zona.

  • Olhe-se política de firewall.

  • Executar a pesquisa de NAT para substituir informações de endereço.

  • Definir o vector de gateway de camada de aplicação (ALG) serviços (campos).

    Video: Part 4 - Ann Veronica Audiobook by H. G. Wells (Chs 11 -14)

  • Aplicar de detecção de intrusão e prevenção (IDP), VPN ou outros serviços.

  • Instalar a nova sessão no SRX.

    Video: manuseio do revolver .38

    • Aqui estão os passos para o processamento de fluxo de caminho rápido:

    1. Realize a verificação do ecrã.

    2. Execute cabeçalho TCP e verifica bandeira.

    3. Executar a pesquisa de rota e de tradução NAT.

    4. Aplicar serviços ALG.

    5. Aplicar IDP, VPN e outros serviços.

    Todo o processamento de fluxo de segurança começa com um cheque tela. No SRX, um ecrã é um mecanismo de protecção embutido (mas sintonizável) que realiza uma variedade de funções de segurança. O ajuste pode ajustar as proteções de tela para redes de operadoras grandes pequena empresa ou, para a borda da rede ao núcleo interno. As telas são para detectar e prevenir muitos tipos de tráfego malicioso, tais como ataques de negação de serviço (DoS).

    cheques de tela ter lugar antes de outro processamento de fluxo de segurança em uma tentativa de eliminar problemas antes que os ataques podem fazer uma bagunça com as outras etapas. cheques tela aprofundar o pacote e fluir do que os filtros de firewall e permitir que o SRX para bloquear ataques grandes e complicados. Nos modelos SRX high-end, muitos dos cheques tela ocorrer em hardware, perto da penetração interface.

    Observe que mesmo se a sessão fluxo é estabelecido eo caminho rápido é usado em vez do primeiro caminho, a verificação de tela ainda ocorre. tráfego malicioso ainda pode tentar pegar carona em um fluxo estabelecido, ea SRX ainda pode bloquear e soltar ataques de pacotes meados de sessão.

    As telas são avaliadas em tráfego de entrada e são agrupadas em perfis de tela. Grande cuidado é necessário quando se muda ou a criação de novas telas, porque eles podem ter efeitos secundários graves e inesperadas.

    Você pode usar o alarme-sem-drop palavra-chave para detectar tráfego que seria capturado por um perfil de tela sem realmente deixá-la cair. Isto permite-lhe testar o perfil tela sem afetar o tráfego ao vivo.


    Publicações relacionadas
    As questões de segurança você deve saber sobre começar um trabalho em rede
    Implementação de firewall de rede
    Protegendo redes com listas de controle de acesso (acls)
    Ssh controle e acesso telnet para routers junos
    Classificar o tráfego usando dscp em roteadores junos
    Como configurar e verificar as políticas de segurança de gateway de serviços srx
    Como limitar o tráfego em interfaces de roteador junos
    Como coincidir com o tráfego com base usando classificadores com diversos campos em junos
    Compreender fraquezas wep
    Como descarregar pacotes cran em r
    Cisco networking: pacotes
    Como classificar o tráfego de entrada usando cos em roteadores junos
    Como configurar uma rota explícita usando junos
    Como gerenciar várias políticas de segurança em gateway de serviços srx
    Etiqueta de comutação e caminhos de comutação de etiqueta (pel)
    Opções nat tradução de endereço de fonte em junos
    Empilhamento rótulo em redes mpls
    Peças necessárias de uma configuração cos
    Tipos de roteadores label switching
    Java nomenclatura pacote