Ethernet rules
NGFW Engine, Ethernet Frame’lerini Policy’deki Ethernet
kurallarına göre kontrol eder. Packet, packet'e allow ya da discard edilen
Ethernet kuralına uyuncaya kadar işlenir.
Packet sanity checks
Bu aşamada drop edilen Packets TCP_Segment-SYN-No-Options
gibi belirli durumlara sahip log girişleri üretir. Packet Filter diagnostics etkinleştirilmediği sürece “packet drops” Loglara kaydedilmez.
Antispoofing
Firewall, trafiğin Routing ve Antispoofing konfigürasyonunda veya VPN konfigürasyonunda tanımlandığı gibi doğru Interface veya VPN tünelinden geldiğini kontrol eder.
Connection tracking
Firewall, Packet'in belirlenmiş bir bağlantının parçası olup olmadığını (örneğin, izin verilen bir isteğe reply packet) görmek için geçerli "Connection Tracking" bilgilerini kontrol eder.
TCP SYN rate Limits veya diğer DoS Protection özellikleri etkinleştirilirse, bu aşamada "Enforce" edilir.
Firewall, Packet'in belirlenmiş bir bağlantının parçası olup olmadığını (örneğin, izin verilen bir isteğe reply packet) görmek için geçerli "Connection Tracking" bilgilerini kontrol eder.
TCP SYN rate Limits veya diğer DoS Protection özellikleri etkinleştirilirse, bu aşamada "Enforce" edilir.
Access Rules Matching
Packet mevcut bir bağlantının parçası değilse, Yüklü olan Firewall Policy’deki Erişim kuralları ile “Compared” edilir. İşlem, Packet için Firewall’da izin vermesini veya durdurmasını bildiren bir kuralla eşleşene kadar devam eder. Policy’de başka hiçbir kural eşleşmesi yoksa, Firewall Policy sonuna geldiğinde Packet “Discard” edilir.
Packet mevcut bir bağlantının parçası değilse, Yüklü olan Firewall Policy’deki Erişim kuralları ile “Compared” edilir. İşlem, Packet için Firewall’da izin vermesini veya durdurmasını bildiren bir kuralla eşleşene kadar devam eder. Policy’de başka hiçbir kural eşleşmesi yoksa, Firewall Policy sonuna geldiğinde Packet “Discard” edilir.
Protocol Validation
Packet'e "mevcut bağlantı" olarak veya bir Erişim kuralında izin verilirse, packet'in bağlantı durumu için geçerli olup olmadığını kontrol eder. Eğer geçerli Değilse, Packet "Dropped"edilir.
Örneğin, bir TCP bağlantısı her zaman bir SYN packet'iyle başlamalıdır (protokol standartlarında tanımlandığı gibi) NGFW, yeni bir bağlantının ilk packet'inin geçerli bir SYN paketi olup olmadığını kontrol eder.
Inspection and File
Filtering Rules
NGFW, Access kurallarında "deep packet inspection" veya "File Filtering" için seçilen bağlantılara "Inspection" kuralları uygular. "Inspection" bir bağlantıdaki tüm packets için geçerlidir, Bu nedenle packet mevcut bir packet'in parçası olsa bile "Inspection" kuralları uygulanır.
"Inspection” kuralları, izin verilen bağlantılarda ilgili “patterns”leri aramak için kullanılır.
"Patterns", potansiyel saldırıları veya diğer olası tehditleri, exploits, multiple logon denemeleri, peer-to-peer ya da instant messaging yazılımları veya protocol violations gösterebilir.
Trafikteki bir Pattern, kuralda tanımlanan bir Pattern ile eşleşiyorsa, aksiyon olarak kuralda tanımlanan eylemler gerçekleştirilir.
NGFW, Access kurallarında "deep packet inspection" veya "File Filtering" için seçilen bağlantılara "Inspection" kuralları uygular. "Inspection" bir bağlantıdaki tüm packets için geçerlidir, Bu nedenle packet mevcut bir packet'in parçası olsa bile "Inspection" kuralları uygulanır.
"Inspection” kuralları, izin verilen bağlantılarda ilgili “patterns”leri aramak için kullanılır.
"Patterns", potansiyel saldırıları veya diğer olası tehditleri, exploits, multiple logon denemeleri, peer-to-peer ya da instant messaging yazılımları veya protocol violations gösterebilir.
Trafikteki bir Pattern, kuralda tanımlanan bir Pattern ile eşleşiyorsa, aksiyon olarak kuralda tanımlanan eylemler gerçekleştirilir.
NAT Modifications
NGFW, IPv4 ve IPv6 bağlantılarına Ağ Adresi Çevirisi (NAT) kurallarını uygular.
Source ve Destination adresler, eşleşen ilk NAT kuralına göre çevrilir (veya bir NAT kuralı tanımlanırsa hiç yapılmaz) NAT kurallarından hiçbiri eşleşmezse, Packet orijinal adreslerle devam eder.
Default olarak, NAT policy-based VPN’lerden gelen veya giden trafiğe uygulanmaz.
NGFW, IPv4 ve IPv6 bağlantılarına Ağ Adresi Çevirisi (NAT) kurallarını uygular.
Source ve Destination adresler, eşleşen ilk NAT kuralına göre çevrilir (veya bir NAT kuralı tanımlanırsa hiç yapılmaz) NAT kurallarından hiçbiri eşleşmezse, Packet orijinal adreslerle devam eder.
Default olarak, NAT policy-based VPN’lerden gelen veya giden trafiğe uygulanmaz.
VPN
Policy-based VPN işlemi, VPN konfigürasyonundan doğru Tunnel’in bulunmasını içerir.
VPN konfigürasyonu Access kurallarına tam olarak uymuyorsa, packet'ler ” VPN tunnel selection failed” mesajı ile "discarded" edilebilir.
Policy-based VPN işlemi, VPN konfigürasyonundan doğru Tunnel’in bulunmasını içerir.
VPN konfigürasyonu Access kurallarına tam olarak uymuyorsa, packet'ler ” VPN tunnel selection failed” mesajı ile "discarded" edilebilir.
Routing/Route-based
VPN
Access Rule’da Destination olarak Zone kullanılıyorsa, Son route seçildikten sonra Packet Access Rules ile eşleştirilir.
Packet, uygulanan NAT nedeniyle bir kuralla eşleşmezse, Dropped edilir.
Packet bir tünel arayüzüne route edilirse, Route-Based VPN konfigürasyonuna göre encapsulated edilir.
Not: policy-based VPN ile encapsulated GRE / IP-IP packets için, packet policy-based VPN işlemeye geri döner.
QoS
Packet, önceliğine (Priority) ve mevcut olabilecek Bandwidth Limits veya Guarantees göre güvenlik duvarından geçirilir.
Access Rule’da Destination olarak Zone kullanılıyorsa, Son route seçildikten sonra Packet Access Rules ile eşleştirilir.
Packet, uygulanan NAT nedeniyle bir kuralla eşleşmezse, Dropped edilir.
Packet bir tünel arayüzüne route edilirse, Route-Based VPN konfigürasyonuna göre encapsulated edilir.
Not: policy-based VPN ile encapsulated GRE / IP-IP packets için, packet policy-based VPN işlemeye geri döner.
QoS
Packet, önceliğine (Priority) ve mevcut olabilecek Bandwidth Limits veya Guarantees göre güvenlik duvarından geçirilir.
Traffic Inspection
Process
Traffic Inspection sürecinde iki ana aşama vardır.
İlk olarak, NGFW ağ trafiğini herhangi bir anormallik açısından denetler (Inspects).
Engine trafikte belirsizlikler tespit ederse, daha fazla incelemeden (Inspecting) önce trafiği normalleştirir.
Trafik normalizasyonu aynı zamanda Engine için "evasion techniques" kullanma girişimlerini saptamada
(Örneğin; Packet Fragmentation, TCP segmentation or combinations of evasions) Inspection’ı tamamen atlamak için.
Daha sonra NGFW trafiği protokole böler, ayrıştırır ve bir veya daha fazla bağlama (contexts) aktarır. Protokole özgü bağlamlar, NGFW tarafından ağ trafiğinde belirli bir özelliği tespit etmek için kullanılır.
Her Pattern (attack signatures gibi) doğru traffic türü ile eşleştirilir (Örneğin; HTTP trafiğinde pattern görüldüğünde HTTP kullanan bir saldırı algılanabilir) Ancak SMTP üzerinden taşınan bir e-posta iletisi üstbilgisiyle yanlış eşleşme durumu oluşmaz.
Her protokol için, trafik imzalarının doğru bir şekilde eşleşmesini sağlayan çoklu bağlamlar vardır.
Bu nedenle, FTP Client stream’de algılanan traffic "patterns"leri FTP Client strem görünüyorsa eşleşir. Protokol ve bağlam farkındalığı basit imzalara (simple signatures) kıyasla false positives sayısını azaltır.
Protokol tanımlama (identification) işleminde trafiğin port/service (protokol agents tanımına göre) bölündüğünü ve IPS Politikasının veya Firewall Inspection Template içerisindeki continue rules’da tanımlandığı şekilde deep inspection’a gönderildiği unutulmamalıdır.
Traffic Inspection sürecinde iki ana aşama vardır.
İlk olarak, NGFW ağ trafiğini herhangi bir anormallik açısından denetler (Inspects).
Engine trafikte belirsizlikler tespit ederse, daha fazla incelemeden (Inspecting) önce trafiği normalleştirir.
Trafik normalizasyonu aynı zamanda Engine için "evasion techniques" kullanma girişimlerini saptamada
(Örneğin; Packet Fragmentation, TCP segmentation or combinations of evasions) Inspection’ı tamamen atlamak için.
Daha sonra NGFW trafiği protokole böler, ayrıştırır ve bir veya daha fazla bağlama (contexts) aktarır. Protokole özgü bağlamlar, NGFW tarafından ağ trafiğinde belirli bir özelliği tespit etmek için kullanılır.
Her Pattern (attack signatures gibi) doğru traffic türü ile eşleştirilir (Örneğin; HTTP trafiğinde pattern görüldüğünde HTTP kullanan bir saldırı algılanabilir) Ancak SMTP üzerinden taşınan bir e-posta iletisi üstbilgisiyle yanlış eşleşme durumu oluşmaz.
Her protokol için, trafik imzalarının doğru bir şekilde eşleşmesini sağlayan çoklu bağlamlar vardır.
Bu nedenle, FTP Client stream’de algılanan traffic "patterns"leri FTP Client strem görünüyorsa eşleşir. Protokol ve bağlam farkındalığı basit imzalara (simple signatures) kıyasla false positives sayısını azaltır.
Protokol tanımlama (identification) işleminde trafiğin port/service (protokol agents tanımına göre) bölündüğünü ve IPS Politikasının veya Firewall Inspection Template içerisindeki continue rules’da tanımlandığı şekilde deep inspection’a gönderildiği unutulmamalıdır.
Yorumlar
Yorum Gönder