Video: The Thinning 2024
Di TCP / IP, aliran didefinisikan sebagai kumpulan paket yang memiliki nilai sama di sejumlah bidang header. SRX memberlakukan kebijakan keamanan dengan memproses aliran paket melalui perangkat. Oleh karena itu, flow processing merupakan konsep penting dalam konfigurasi dan manajemen SRX.
SRX sebenarnya melakukan banyak hal yang kompleks sebelum melihat kebijakan keamanan yang ditetapkan (peraturan), dan banyak tergantung pada apakah SRX telah melihat arus (sesi). Jika demikian, banyak informasi tentang arus sudah ada dan terpasang di SRX.
Bila tidak ada yang cocok untuk sesi ini, SRX mengarahkan paket ke jalan pertama . Jika field header paket sesuai dengan sesi yang terinstal, SRX mengarahkan paket ke pemrosesan fast path (sekitar setengah langkah pemrosesan jalur pertama).
Juga, peraturan yang disebut policer diterapkan pada paket saat mereka memasuki SRX. Policer ini menentukan apakah paket tersebut harus diproses lebih lanjut atau tidak. (Di sisi output, aturan yang disebut shaper diterapkan untuk menentukan apakah dan kapan SRX harus mengirim paketnya.)
Langkah pemrosesan arus utama SRX adalah sebagai berikut:
-
Tarik paket dari antrian antarmuka input.
-
Terapkan policer ke paket.
-
Lakukan penyaringan paket tanpa negara (yaitu, non-aliran).
-
Tentukan jalur pertama atau jalur cepat.
-
Filter paket untuk output
-
Terapkan pembentuk ke paket.
-
Mengirimkan paket.
Pemolisian dan pembentukan dan penyaringan tanpa kewarganegaraan adalah hal-hal yang hampir dapat dilakukan oleh setiap router. Nilai sebenarnya dari SRX ada di jalur pertama dan pemrosesan jalur cepat berikutnya.
Berikut adalah langkah-langkah untuk pemrosesan alur pertama:
-
Lakukan pemeriksaan layar.
-
Lakukan tujuan atau tujuan statis NAT untuk mengganti satu set informasi alamat header paket dengan yang lain.
-
Lakukan pencarian rute untuk menentukan hop berikutnya.
-
Temukan antarmuka dan zona tujuan.
-
Carilah kebijakan firewall.
-
Lakukan pencarian NAT untuk mengganti informasi alamat.
-
Tetapkan vektor layanan layer gateway (ALG) vektor (bidang).
-
Terapkan deteksi dan pencegahan intrusi (IDP), VPN, atau layanan lainnya.
-
Instal sesi baru di SRX.
Berikut adalah langkah-langkah pemrosesan alur cepat:
-
Lakukan pemeriksaan layar.
-
Lakukan pemeriksaan header dan bendera TCP.
-
Lakukan pencarian rute dan terjemahan NAT.
-
Terapkan layanan ALG.
-
Terapkan IDP, VPN, dan layanan lainnya.
Semua pemrosesan arus pengaman dimulai dengan pemeriksaan layar.Di SRX, layar adalah mekanisme perlindungan built-in (tapi merdu) yang melakukan berbagai fungsi keamanan. Penyetelan ini dapat menyesuaikan perlindungan layar untuk usaha kecil atau jaringan operator besar, untuk tepi jaringan ke inti internal. Layar untuk mendeteksi dan mencegah berbagai jenis lalu lintas berbahaya, seperti serangan penolakan layanan (DoS).
Pemeriksaan layar dilakukan sebelum pemrosesan arus pengaman lainnya dalam upaya untuk menghilangkan masalah sebelum serangan dapat membuat kekacauan pada langkah-langkah lainnya. Pemeriksaan layar menggali lebih dalam paket dan arus dari pada filter firewall dan membiarkan SRX memblokir serangan besar dan rumit. Pada model SRX kelas atas, banyak pemeriksaan layar berlangsung di perangkat keras, dekat dengan antarmuka ingress.
Perhatikan bahwa bahkan jika sesi aliran dibuat dan jalur cepat digunakan sebagai pengganti jalan pertama, pemeriksaan layar masih berlangsung. Lalu lintas yang berbahaya masih bisa mencoba dan menumbuhkan arus yang mapan, dan SRX masih bisa memblokir dan menjatuhkan serangan paket tengah sesi. Layar
dievaluasi pada lalu lintas masuk dan dikelompokkan ke dalam profil layar. Perhatian yang besar diperlukan saat mengganti atau membuat layar baru, karena bisa menimbulkan efek samping yang serius dan tidak diinginkan.
Anda dapat menggunakan kata kunci tanpa-drop alarm untuk mendeteksi lalu lintas yang akan tertangkap oleh profil layar tanpa benar-benar menjatuhkannya. Ini memungkinkan Anda menguji profil layar tanpa mempengaruhi lalu lintas langsung.
