Comprender servicios srx de procesamiento de flujo de puerta de enlace

En TCP / IP, una fluir se define como un conjunto de paquetes que comparte los mismos valores en un número de campos de cabecera. El SRX hace cumplir las políticas de seguridad mediante el procesamiento del flujo de paquetes a través del dispositivo. Por lo tanto, el procesamiento de flujo es un concepto importante en la configuración y gestión SRX.

Video: Экстремизм Веганизма | Разоблачая величайшую ложь [речь]

El SRX en realidad hace muchas cosas complejas antes de que se ve en las políticas de seguridad establecidas (reglas), y mucho depende de si el SRX ya ha visto el flujo (sesión). Si es así, una gran cantidad de información sobre el flujo ya existe y está instalado en el SRX.

Cuando no hay ninguna coincidencia para la sesión, el SRX somete el paquete a primer camino tratamiento. Si los campos de cabecera de paquete coincide con una sesión instalado, el SRX somete el paquete a vía rápida procesamiento (aproximadamente la mitad de las etapas de procesamiento de primera ruta).

Video: Мартин Селигман о позитивной психологии

Además, las reglas llamados policers se aplican a los paquetes a medida que entran en la SRX. Estos policers determinar si el paquete debe ser procesada adicionalmente o no. (En el lado de salida, reglas llamadas talladoras se aplican para determinar si y cuando el SRX debe enviar el paquete.)

Video: Next Generation Scania

Los principales pasos de procesamiento de flujo SRX son los siguientes:

  1. Tire del paquete de la cola de interfaz de entrada.

  2. Aplicar policers al paquete.

  3. Realizar el filtrado de paquetes sin estado (es decir, sin flujo).

  4. Decidir el primer camino o ruta de acceso rápido.

  5. Filtrar el paquete para la salida.

  6. Aplicar a formadores de paquetes.

  7. Transmitir el paquete.

La actuación policial y dar forma y filtrado sin estado son cosas que casi cualquier router puede hacer. El valor real de la SRX se encuentra en la primera vía de acceso y procesamiento de flujo de vía rápida subsiguiente.

Estos son los pasos para el procesamiento de flujo primera ruta:

Realizar una comprobación de la pantalla.

  • Realizar destino o destino NAT estática para sustituir un conjunto de información de dirección encabezado del paquete con otro.

  • Realizar una búsqueda de rutas para determinar el siguiente salto.

  • Encuentra interfaz de destino y de la zona.

  • Busque política de firewall.

  • Realizar las operaciones de búsqueda NAT para sustituir la información de dirección.

  • Ajuste el vector de puerta de enlace de capa de aplicación (ALG) Servicios (campos).

  • Aplicar la detección y prevención de intrusiones (IDP), VPN, u otros servicios.

  • Instalar la nueva sesión en el SRX.

    • Estos son los pasos para el procesamiento de la vía de circulación rápida:

    1. Realizar la comprobación de la pantalla.

    2. Realizar cabecera TCP y los cheques bandera.

    3. Realizar una búsqueda de rutas y la traducción NAT.

    4. Aplicar servicios de ALG.

    5. Aplicar IDP, VPN y otros servicios.

    Todo el procesamiento de flujo de seguridad comienza con una comprobación de la pantalla. En el SRX, una pantalla es un mecanismo de protección integrado (pero ajustable) que realiza una variedad de funciones de seguridad. La afinación puede ajustar las protecciones de pantalla para la pequeña empresa o redes de transporte grandes, para el borde de la red para el núcleo interno. Las pantallas son para detectar y prevenir muchos tipos de tráfico malicioso, tales como ataques de denegación de servicio (DoS).

    comprueba la trama tienen lugar antes de que otro procesamiento del flujo de seguridad en un intento de eliminar los problemas antes de que los ataques pueden hacer un lío de los otros pasos. controles de pantalla profundizar en el paquete y el flujo de filtros de cortafuegos y permitir que el SRX para bloquear los ataques grandes y complicados. En los modelos SRX de gama alta, muchos de los controles de pantalla se realizan en hardware, cerca de la interfaz de entrada.

    Tenga en cuenta que incluso si se establece la sesión de flujo y la vía rápida se utiliza en lugar de la primera pista, la comprobación de la pantalla sigue teniendo lugar. el tráfico malicioso todavía puede tratar de aprovecharse de un flujo establecido, y el SRX todavía puede bloquear y soltar ataques de paquetes media sesión.

    Las pantallas son evaluados en el tráfico entrante y se agrupan en perfiles de pantalla. Se requiere un gran cuidado al cambiar o crear nuevas pantallas, ya que pueden tener efectos secundarios graves y no deseadas.

    Se puede utilizar el alarma-sin-drop palabra clave para detectar el tráfico que sería atrapado por un perfil de pantalla sin tener que dejarlo caer. Esto le permite probar el perfil de la pantalla sin afectar al tráfico en vivo.

    Artículos Relacionados
    Las cuestiones de seguridad que usted debe saber acerca de conseguir un trabajo en red
    Windows 10 características básicas de cortafuegos
    Los flujos de trabajo de datos grandes
    Implementación del cortafuegos de la red
    Ssh control y el acceso a telnet a los routers junos
    Cómo configurar y verificar las políticas de seguridad en la puerta de enlace de servicios srx
    Cómo configurar el nat en una srx junos
    Cómo limitar el tráfico en las interfaces del router junos
    Cómo hacer coincidir el tráfico basado en el uso de clasificadores multicampo en junos
    Osi para la capa ccna 3: red
    Cómo descargar los paquetes cran en r
    Cisco networking: paquetes
    ¿Cómo clasificar el tráfico entrante usando cos en los routers junos
    Cómo administrar múltiples políticas de seguridad en la puerta de enlace de servicios srx
    La conmutación de etiquetas y las rutas de etiquetas conmutadas (lsp)
    Opciones de traducción de direcciones nat de origen en junos
    Apilamiento de etiquetas en redes mpls
    Piezas requeridas de una configuración cos
    La función de los tres planos del sistema operativo de red junos
    Tipos de conmutación de etiquetas routers