Juniper SRX Firewall Packet Mode vs. Flow Mode

Juniper SRX Firewall varsayılan olarak FLOW MODE da çalışıp üzerinde session table tutmakta ve ilgili UTM/IPS/APPSEC lisansları satın alındığında bu özelliklerden de yararlanılabilmektedir. Herhangi bir lisans almaksızın cihazı LDAP Sunucular (örn. Active Directory) ile entegre ederek kullanıcı bazlı kural tanımlaması yapılabilmekte.

Cihazı router olarak konumlandırmak istediğimizde ise  PACKET MODE a alıp restart etmemiz gerekiyor. Böylece cihaz üzerindeki zone, session table, IPSEC, NAT, UTM gibi güvenlik özellikleri kapatılmakta ve cihaz stateless çalışmakta. Paket mode da routing kapasitesi yaklaşık olarak cihazın layer4 throughput una tekabul etmektedir.
Paket mode a almak için ise aşağıdaki komutu çalıştırmamız ve cihazı restart etmemiz gerekiyor.
set security forwarding-options family mpls mode packet-based

Varsayılan olarak flow mode da gelen cihazın statüsünü aşağıdaki komut ile görebiliriz.

root> show security flow status
Flow forwarding mode:
Inet forwarding mode: flow based
Inet6 forwarding mode: drop
MPLS forwarding mode: drop
ISO forwarding mode: drop
Enhanced route scaling mode: Disabled
Flow trace status
Flow tracing status: off
Flow session distribution
Distribution mode: RR-based
Flow ipsec performance acceleration: off
Flow packet ordering
Ordering mode: Hardware

 

About Emre BAŞTUĞ

Emre BAŞTUĞ