SSG - Packet Flow



 ◆ SSG : ScreenOSの基本的なパケットフロー

 下記のパケットフローは、ScreenOSが搭載されたSSGのデフォルト動作です。UTM機能を使用していない
 前提のフローとなります。以下フローをしっかりと理解しておけばトラブルシューティング時に役立ちます。
 ※ 正確には、パケット着信時の 0 番目のアクションとして、不正なパケットでないかどうかのsanity checkが行われます。


   


 D 宛先ルートのルックアップ後のアクションについては以下の記事もご参考ください。
 ⇒ https://kb.juniper.net/InfoCenter/index?page=content&id=KB14429&pmv=print


フロー項目 説明
 1. ソースゾーンの決定

 パケットを受信したインターフェースを確認し、インターフェースがバインドされる
 ソースゾーン(送信元のゾーン)を確認する。パケットがカプセル化されていない
 場合、ソースゾーンは受信I/Fがバインドされているセキュリティゾーンとなる。
 パケットがカプセル化され、トンネルI/FがVPNトンネルにバインドされている場合
 ソースゾーンは、トンネルI/Fが構成されているセキュリティゾーンとなる。

 2. スクリーンフィルタ

 UntrustゾーンにScreenオプションが有効になっていれば、セキュリティデバイス
 はこの時点でScreenモジュールをアクティブにする。異常な動きを検出した場合
 パケットの破棄を行ったり、異常がなければB以降の決定プロセスを続行する。

 3. 既存セッションであるか?

 このセッション内のパケットを以前に受信したことがあり通過を許可していた場合
 その情報がセッションテーブルに保持されているので、パケット転送にその情報
 を使用しプロセス終了。新規フローの場合、C以降の決定プロセスを続行していく。

 4. VIP/MIPの解決

 VIPやMIPアドレスが使用されている場合、ルーティングテーブルから実際の
 アドレスを検索できるように、アドレスマッピングモジュールがVIP/MIPを解決。

 5. 宛先に到達可能か?

 ScreenOSでは、ポリシーテーブルをチェックする前に、ルーティングテーブルを
 確認する。ルーティングテーブルに宛先がなければ、その時点でドロップされる。
 ルーティングテーブルに宛先があれば、E以降の決定プロセスを続行していく。
 ※ ルーティングテーブルよりも前にPBR(Policy Based Routing)が適用される。

 6. ゾーンをまたぐ?
  イントラゾーンブロック?

 パケットの着信したインターフェースと、パケットが送出されるインターフェースの
 所属するゾーンが異なる場合、(ゾーンをまたぐ場合)、またはゾーンが同じ場合
 でも、Block Intra-Zone Trafficにチェックがあれば、Fのポリシーチェックを実施。

 7. ポリシーで許可しているか?

 ゾーン間に適用されたポリシーで許可されていないパケットである場合、破棄。
 許可されている場合、パケットは転送されて、セッションテーブルに追加される。

 8. NAT-dst/NAT-src 処理

 ポリシーで、NAT-Dst や NAT-Src が設定されている場合、アドレス変換が行われる。
 NAT-DstとNAT-Srcの両方が設定されている場合は、NAT-Dst を先に実行して、次に
 NAT-Srcが実行される。

 9. ARPクエリ―

 パケットが次に転送されるデバイス(ネクストホップのデバイス)のMACアドレス
 を解決するために、ARPクエリ―を実行する。




 ◆ SSG : ScreenOSのグローバルポリシーとデフォルトポリシー

 上記のパケットフローのなかで「7.ポリシーのルックアップ(ポリシーで許可されているかどうか)」と、
 1行で説明していますが、7.の詳細は以下です。ポリシーの合致シーケンスは、そのゾーンに一致したもの
 だけでなく、最後にGlobalゾーンに定義されたデフォルトポリシーが適用されます。デフォルトポリシーは
 暗黙のAny Any denyなので全てのパケットが破棄されますが、そのデフォルトポリシーを変更して全ての
 パケットを許可する設定を行っている場合はパケットが転送されることになります。※ 一般的に変更しない。







Juniper SSG - ScreenOS 設定コマンド解説

Copyright(C) 2002-2024 ネットワークエンジニアとして All Rights Reserved