Hiểu về dịch vụ Xử lý lưu lượng cổng dịch vụ SRX - núm vú

Trong TCP / IP, dòng được định nghĩa là một tập hợp các gói tin chia sẻ cùng một giá trị trong một số trường tiêu đề. SRX thực thi chính sách bảo mật bằng cách xử lý dòng chảy của các gói thông qua thiết bị. Do đó, xử lý dòng chảy là một khái niệm quan trọng trong cấu hình và quản lý SRX.

Các SRX thực sự làm nhiều điều phức tạp trước khi nó nhìn vào các chính sách an ninh được thành lập (quy tắc), và rất nhiều phụ thuộc vào việc liệu SRX đã thấy dòng chảy (phiên). Nếu có, rất nhiều thông tin về dòng chảy đã tồn tại và đã được cài đặt trên SRX.

Khi không có sự trùng khớp cho phiên, SRX sẽ chuyển gói tin đến xử lý đường dẫn đầu tiên . Nếu các trường tiêu đề gói khớp với phiên đã cài đặt, SRX sẽ chuyển gói tin đến xử lý đường dẫn nhanh (khoảng một nửa bước của việc xử lý đường dẫn đầu tiên).

Ngoài ra, các quy tắc được gọi là cảnh sát được áp dụng cho các gói khi họ vào SRX. Những cảnh sát này xác định xem gói tin có nên được xử lý thêm hay không. (Ở phía đầu ra, các quy tắc được gọi là shapers được áp dụng để xác định nếu và khi nào SRX nên gửi gói tin.)

Kéo gói từ hàng đợi giao diện đầu vào.

1. Áp dụng các cảnh sát vào gói.

2. Thực hiện lọc không trạng thái (tức là không luồng).

3. Quyết định đường dẫn đầu tiên hoặc đường nhanh.

4. Lọc gói tin cho đầu ra.

5. Áp dụng shapers vào gói.

6. Gửi gói tin.

7. Cảnh sát và định hình và lọc không trạng thái là những thứ mà hầu như bất kỳ router nào có thể làm. Giá trị thực của SRX nằm ở con đường đầu tiên và quá trình xử lý dòng chảy nhanh sau đó.

Dưới đây là các bước để xử lý luồng đường dẫn đầu tiên:

Thực hiện kiểm tra màn hình.

1. Thực hiện NAT đích đến hoặc đích tĩnh để thay thế một tập thông tin địa chỉ header header khác.

2. Thực hiện tra cứu tuyến đường để xác định hop tiếp theo.

3. Tìm giao diện đích và vùng.

4. Tìm kiếm chính sách tường lửa.

5. Thực hiện tra cứu NAT để thay thế thông tin địa chỉ.

6. Thiết lập cổng dịch vụ (ALG) của lớp ứng dụng (trường).

7. Ứng dụng phát hiện và ngăn chặn xâm nhập (IDP), VPN hoặc các dịch vụ khác.

8. Cài đặt phiên mới trong SRX.

9. Dưới đây là các bước để xử lý dòng chảy nhanh:

Thực hiện kiểm tra màn hình.

1. Thực hiện kiểm tra tiêu đề và cờ cờ TCP.

2. Thực hiện tra cứu đường đi và dịch NAT.

3. Áp dụng các dịch vụ ALG.

4. Áp dụng IDP, VPN và các dịch vụ khác.

5. Tất cả quá trình xử lý luồng an toàn bắt đầu bằng một kiểm tra màn hình.Trong SRX, màn hình là một cơ chế bảo vệ tích hợp (nhưng có thể điều chỉnh được) thực hiện nhiều chức năng bảo mật. Việc điều chỉnh có thể điều chỉnh bảo vệ màn hình cho các doanh nghiệp nhỏ hoặc các mạng mạng di động lớn, cho cạnh mạng với lõi bên trong. Màn hình cho phép phát hiện và ngăn chặn nhiều loại giao thông độc hại, chẳng hạn như các cuộc tấn công từ chối dịch vụ (DoS).

Kiểm tra màn hình xảy ra trước khi xử lý luồng bảo mật khác nhằm loại bỏ các vấn đề trước khi các cuộc tấn công có thể tạo ra một sự lộn xộn của các bước khác. Kiểm tra màn hình đào sâu sâu vào gói tin và dòng chảy hơn các bộ lọc tường lửa và cho phép SRX chặn các cuộc tấn công lớn và phức tạp. Trên các mô hình SRX cao cấp, nhiều kiểm tra màn hình diễn ra trong phần cứng, gần với giao diện người nhập.

Lưu ý rằng ngay cả khi phiên lưu lượng được thiết lập và con đường nhanh được sử dụng thay vì đường dẫn đầu tiên, việc kiểm tra màn hình vẫn diễn ra. Lưu lượng truy cập độc hại vẫn có thể thử và piggyback trên một luồng được thiết lập, và SRX vẫn có thể chặn và thả các cuộc tấn công gói giữa kỳ.

Màn hình được đánh giá về lưu lượng gửi đến và được nhóm vào các cấu hình màn hình. Cần phải được chăm sóc cẩn thận khi thay đổi hoặc tạo ra màn hình mới, bởi vì chúng có thể có các phản ứng phụ nghiêm trọng và không mong muốn.

Bạn có thể sử dụng từ khóa báo động-không-thả để phát hiện lưu lượng truy cập có thể bị bắt bởi màn hình màn hình mà không thực sự thả nó. Điều này cho phép bạn kiểm tra cấu hình màn hình mà không ảnh hưởng đến giao thông trực tiếp.