Mylinking™ Network Packet Broker plus Inline Bypass Switch ML-BYPASS-M2000
Bypass modul: 8*10G SFP+ a 4*100GE, monitorovací modul: 16*10GE SFP+ a 4*100GE, max. 2,4 Tb/s
1-Přehledy
S rychlým rozvojem internetu se hrozba pro bezpečnost síťových informací stává stále závažnější, a proto se stále častěji používá řada aplikací na ochranu informační bezpečnosti. Ať už se jedná o tradiční zařízení pro řízení přístupu (firewall) nebo o nové typy pokročilejších ochranných prostředků, jako jsou systémy prevence narušení (IPS), Unified Threat Management Platform (UTM), Anti-Denial Service Attack System (Anti-DDoS), Anti-spam Gateway, Unified DPI Traffic Identification and Control System a mnoho dalších bezpečnostních zařízení je nasazováno sériově v klíčových uzlech sítě a implementuje odpovídající politiku zabezpečení dat pro identifikaci a řešení legálního/nelegálního provozu. Zároveň však počítačová síť v případě selhání, údržby, modernizace, výměny zařízení atd. ve vysoce spolehlivém prostředí produkčních síťových aplikací generuje velké zpoždění sítě nebo dokonce narušení sítě, což uživatelé nemohou snést.
Síťový broker paketů Mylinking™ ML-BYPASS-M2000 a přepínač Inline Bypass jsou vyvinuty pro flexibilní nasazení různých typů sériových bezpečnostních zařízení a zároveň poskytují vysokou spolehlivost sítě.
Nasazením Mylinking™ Network Packet Broker a Inline Bypass Switche:
● Uživatelé mohou flexibilně instalovat/odeinstalovat bezpečnostní ochranná zařízení, aniž by to ovlivnilo nebo přerušilo stávající síť;
● Má inteligentní funkci detekce stavu, která v reálném čase monitoruje normální provozní stav připojených bezpečnostních zařízení. Jakmile dojde k poruše připojeného bezpečnostního zařízení, ochrana jej automaticky obejde, aby udržovala normální síťovou komunikaci.
●Technologii selektivní ochrany provozu lze použít k nasazení specifického bezpečnostního zařízení pro čištění provozu, zařízení pro audit založeného na šifrování atd. Efektivně implementuje inline ochranu přístupu pro specifické typy provozu a odlehčuje tak zátěž inline zařízení spojenou se zpracováním provozu.
● Technologie ochrany provozu s vyvažováním zátěže může být použita k nasazení zabezpečených inline zařízení v klastrech, aby splňovala potřeby inline bezpečnostní ochrany v prostředích s vysokým tlakem na šířku pásma.
● Disponuje funkcemi SSL proxy, což splňuje požadavky na monitorování a analýzu datových obsahů v prostém textu, které jsou pro bezpečnostní zařízení kladeny.
● Disponuje základními funkcemi zpracování provozu, jako je replikace provozu, agregace, filtrování a označování, a také pokročilými funkcemi zpracování provozu, jako je deduplikace, maskování, identifikace protokolu aplikační vrstvy a tvarování provozu.
2-Mylinking™ Network Packet Broker plus Inline Bypass Switch – pokročilé funkce a technologie
Technologie ochranného režimu „SpecFlow“ a ochranného režimu „FullLink“ od Mylinking™
Technologie ochrany proti přepínání Mylinking™ Fast Bypass
Technologie Mylinking™ „LinkSafeSwitch“
Technologie dynamického přeposílání/vydávání zásad Mylinking™ „WebService“
Technologie inteligentní detekce paketů srdečního tepu Mylinking™
Moje propojení™ Technologie definovatelných paketů srdečního tepu
Moje propojení™ Technologie vyvažování zátěže Multi-link
Moje propojení™ Technologie inteligentního rozložení provozu
Moje propojení™ Technologie dynamického vyvažování zátěže
Moje propojení™ Technologie vzdálené správy (HTTP/WEB, TELNET/SSH, funkce „EasyConfig/AdvanceConfig“)
3-Průvodce konfigurací síťového zprostředkovatele paketů Mylinking™ a přepínače Inline Bypass
Jak je znázorněno na výše uvedeném diagramu, celá jednotka se skládá ze čtyř modulárních slotů:
Sloty modulů SLOT1, SLOT2, SLOT3 a SLOT4 mohou obsahovat moduly ochranných portů BYPASS nebo moduly portů MONITOR s různými rychlostmi a čísly portů. Nahrazením různých modelů modulů je možné podporovat ochranu BYPASS pro více linek 10G/40G/100G a také nasazení monitorovacího zařízení Inline Bypass pro více linek 10G/40G/100G.
Poznámka: Modul BYPASS i modul MONITOR podporují výměnu za provozu.
3.1-Seznam specifikací modulů
| Model produktu | FunkčníPparametry |
| Cchasis | |
| ML-BYPASS-M2000-CHS/AC | Standardní 2U 19palcový rack; maximální spotřeba energie 300 W; modulární hlavní jednotka s ochranou BYPASS; 4 sloty pro moduly; 1*konzolové rozhraní RS232, 1*rozhraní 10/100/1000M RJ45 s externí správou sítě; duální napájení AC-220V; |
| NT-BYPASS-M2000-CHS/DC | Standardní 2U 19palcový rack; maximální spotřeba energie 300 W; modulární hlavní jednotka s ochranou BYPASS; 4 sloty pro moduly; 1*konzolové rozhraní RS232, 1*rozhraní 10/100/1000M RJ45 s externí správou sítě; duální napájení DC-48V; |
| BYPASSModule | |
| INL-I8XM8X(LM/SM) | Podporuje 4cestnou ochranu sériového připojení 10GE (kompatibilní s 1G) s celkem 8 rozhraními 10GE; podporuje 8 monitorovacích portů 10G SFP+ (kromě optických modulů). |
| INL-I4HM2H (LM/SM) | Podporuje obousměrnou sériovou ochranu linky 100GE (kompatibilní s 40GE) s celkem 4 rozhraními 100GE; podporuje 2 monitorovací porty 100GE QSFP28 (kromě optických modulů). |
| MONITOROVÝ MODUL | |
| MON-M16X | 16*10GE SFP+ monitorovacích portů (bez optických modulů); |
| MON-M16X-CN98 | 16*10GE SFP+ monitorovacích portů (optický modul není součástí balení); vybaven pokročilým funkčním enginem, který podporuje pokročilé funkce pro zpracování provozu, jako je obcházení SSL dešifrování, SSL proxy a deduplikace provozu; |
| PO-M4H | 4*100GE QSFP28 monitorovací porty (optické moduly nejsou součástí dodávky); |
| MON-M4H-CN98 | 4 monitorovací porty 100GE QSFP28 (optické moduly nejsou součástí dodávky); vybavené pokročilým funkčním enginem, který podporuje pokročilé funkce pro zpracování provozu, jako je obcházení dešifrování SSL, proxy SSL a deduplikace provozu; |
3.2-Pravidla pro výběr modulů
Na základě různých požadavků na nasazení chráněných spojů a monitorovacího zařízení si můžete flexibilně vybrat různé konfigurace modulů, které splňují skutečné potřeby vašeho prostředí; při výběru se prosím řiďte těmito pravidly:
1) Sestava šasi je povinnou součástí a musí být vybrána před výběrem jakýchkoli dalších modulů. Vyberte si také vhodný způsob napájení (AC/DC) podle vašich potřeb.
2) Jednotka podporuje maximálně 4 sloty pro moduly; nelze vybrat více modulů, než je počet slotů pro konfiguraci. Díky flexibilní kombinaci různých modelů modulů může jednotka podporovat sériovou ochranu až pro 16 linek 10GE/GE nebo 8 linek 100GE/40GE.
4-Inteligentní schopnosti zpracování provozu
4.1-Inline nasazení
Ochrana specifického provozu v rámci inline
PodporujeVložený(seriál)režim ochrany pro specifické typy provozu v libovolnémvloženýodkaz.Topřesměrovat některé uživatelem zadané typy provozu navloženýodkaz naVložený Sbezpečnostzařízenípro zpracování a zbývající provoz je přeposílán přímo, aniž by procházelVložený SbezpečnostzařízeníZároveň,itprovádí monitorování provozního stavu v reálném časeVložený SbezpečnostzařízeníJakmile je zjištěn abnormální stav zpracování provozu,itbude automaticky vyřazen z trasy přenosu provozu, aby byla zajištěna kontinuita síťových služeb.
Veškerá inline ochrana provozu
PodporujeVložený(seriál)režim ochrany pro všechny typy provozu v jakémkolivloženýodkaz.Topřenášet veškerý provoz vvloženýodkaz naVložený Sbezpečnostzařízenípro zpracování a monitorování stavu běhu Inline Securityzařízenív reálném čase. Jakmile je zjištěn abnormální stav zpracování provozu,itbude automaticky vyřazen z trasy přenosu provozu, aby byla zajištěna kontinuita síťových služeb.
Vyrovnávání zátěže
Má inteligentní funkci vyvažování zátěže provozu. Když je výkon zpracování jednohoVložený Sbezpečnostzařízenínestačí se s tím vypořádatvloženýkomunikační provoz propojení, může přidělitvloženýPropojení provozu s rozhraními N Monitor konfigurací skupiny pro vyvažování zátěže. Podle informací o MAC adrese, IP adrese, čísle portu, protokolu a dalších informacíitprovádí volitelný výstup vyvažování zátěže pomocí algoritmu Hash, takževloženýprovoz odkazů je rovnoměrně rozdělen do vícevloženýzabezpečenínástrojpro zpracování clusterů, což efektivně zlepšuje celkový výkon zpracovánívloženýzabezpečenínástrojs. Aby se přizpůsobilo požadavkům scénářů aplikací s vysokou šířkou pásma a velkým provozem.
Detekce paketů prezenčního signálu
PodporujeTxaRxpakety pro detekci prezenčního signálu prostřednictvím uplinku a downlinku připojenýchvloženýbezpečnostní zařízení a detekujeinline nástrojeprovozní stav a zda je proces zpracování provozu normální. Obousměrný prezenční signálbalíčekdetekční mechanismus může přesněji odrážet aktuální provozní stavvloženýzabezpečenízařízenía efektivněji zajistit normální provoz sítě.
Může přizpůsobit parametry srdečního tepu libovolnéhovloženýbezpečnostní zařízení, jako je například prezenční signálTxčasový interval, maximální počet opakování prezenčního signálu, prezenční signálTxsměr atd. Dokáže detekovat a posoudit poruchový stavvloženývčas zabezpečovací zařízení a realizovat rychlé přepínání ochranných linek.
Pakety detekce heartbeatu jsou výchozí rámce Ethernetu vrstvy 2. Pokud je nasazen transparentní režim mostu vrstvy 2 (například IPS/FW), rámce Ethernetu vrstvy 2 budou přeposílány normálně bez blokování nebo ztráty. Zároveň může také podporovat vlastní pakety detekce heartbeatu Ethernetu vrstvy 2, vrstvy 3 a vrstvy 4 pro přizpůsobení se některým speciálním požadavkům.vloženýBezpečnostní zařízení normálně nemohou přeposílat běžné rámce ethernetové vrstvy 2.
Na základě výše uvedeného mechanismu si uživatelé mohou uvědomit efekt detekce stavu připojených bezpečnostních zařízení na úrovni služeb, aby mohli efektivněji zajistit normální fungování bezpečnostních služeb.
Přepínání bypassu
Podporuje velmi nízký bypasspřepínánízpoždění (<8 ms) a uživatelé sotva pocítí dopad na síť, když zařízení provádí bypasspřepínáníTechnologie přepínání linek specifická pro dané zařízení zároveň zajišťuje, že stav primárního spojení nebude během bypassu ovlivněn.přepínáníTato technologie zajistí, že obtokpřepínáníje bezpečnější a nezpůsobí přepočítávání a konvergenci protokolu topologie vrstvy 2 / vrstvy 3 chráněných spojů, aby se minimalizoval dopad na uživatelskou síť běhempřepínání.
Blokování provozu
Když bezpečnostní zařízení detekuje v provozu nelegální nebo abnormální připojení a potřebuje je včas zablokovat, může zachytit jakékoli zadané pakety v up/down provozuvloženýodkaz založený na podmínkách filtru porovnávání n-tic, aby byl zajištěn bezpečný provoz síťových služeb.
Dopravní zrcadlo
Kromě ochrany provozu inline linky a inline bezpečnostního zařízení (například IPS, WAF) může být jakýkoli zrcadlený provoz SPAN také odeslán do bezpečnostního monitorovacího systému SPAN (například IDS, APT), aby byly splněny požadavky na nasazení monitorování provozních dat SPAN nebo testování a ověřování provozu.
SSL proxy
Prostřednictvím funkce SSL proxy je původní šifrovaný paket dešifrován a odeslán do inline bezpečnostního systému. Poté jsou dešifrovaná data obnovena a odeslána zpět na původní spojení, aby se dešifrovaná data poskytla inline bezpečnostnímu systému, aniž by to ovlivnilo přenos šifrovaných dat na původním spojení uživatele, a analytický systém provádí monitorování a analýzu šifrovaných dat.
4.2-Nasazení SPAN
Replikace síťového provozu
PodporujeVložený(seriál)režim ochrany pro specifické typy provozu v libovolnémvloženýodkaz.Topřesměrovat některé uživatelem zadané typy provozu navloženýodkaz naVložený Sbezpečnostzařízenípro zpracování a zbývající provoz je přeposílán přímo, aniž by procházelVložený SbezpečnostzařízeníZároveň,itprovádí monitorování provozního stavu v reálném časeVložený SbezpečnostzařízeníJakmile je zjištěn abnormální stav zpracování provozu,itbude automaticky vyřazen z trasy přenosu provozu, aby byla zajištěna kontinuita síťových služeb.
Agregace síťového provozu
Původní vstupní provoz a předzpracovaný provoz lze zkopírovat do signálu N kanálu podle signálu 1 kanálu nebo zkopírovat do signálu M kanálu po agregaci signálu N kanálu při rychlosti přesměrování linek GE, 10GE, 40G a 100G, což dokonale řeší potřeby nasazení více než dvou víceportových odposlechových bypass zařízení v síti současně.
Distribuce/přeposílání dat
Přesně klasifikoval příchozí metadata a podle předdefinovaných pravidel uživatelem zahodil nebo přesměroval různé datové služby na více výstupů rozhraní.
Filtrování paketových dat
Vstupní dataprovozlze přesně klasifikovat a různé datové služby lze přidat na bílou listinu nebo černou listinu a více výstupů rozhraní lze zahodit nebo přeposílat. Podporuje flexibilní kombinace na základě typu Ethernetu, tagu VLAN, pětinásobné IP adresy,TCPidentifikátor, charakteristiky paketů a další prvky pro další splnění požadavků na nasazení různých síťových bezpečnostních zařízení, analýzu protokolů, analýzu signalizace a další monitorování provozu.
Vyrovnávání zátěže
Vyvažování zátěže volitelného hašovacího algoritmu lze provádět podle charakteristik vnitřní a vnější vrstvy L2-L4, aby byla zajištěna integrita relace datového toku přijatého serverem.ROZPĚTÍmonitorovací zařízení. Když se stav spojení změní, členové skupiny odlehčovacích portů mohou flexibilně ukončit (odlehčení spojení) nebo se připojit (připojení spojení) a skupina odlehčovacích portů může automaticky přerozdělovat provoz, aby bylo zajištěno dynamické vyvažování zátěže výstupního provozu portu.
Označená VLAN
VLAN bez označení
VLAN nahrazena
Podporováno porovnávání libovolného klíčového pole v prvních 128 bajtech paketu. Uživatel si může přizpůsobit hodnotu offsetu a délku a obsah klíčového pole a určit politiku výstupu provozu podle konfigurace uživatele.
Časové razítko
Podporováno pro synchronizovat NTP server pro korekci času a zapsat zprávu do paketu ve formě relativní časové značky s časovým razítkem na konci rámce s přesností na nanosekundy
Odstraňování zapouzdření tunelů
Podporovala hlavičky VxLAN, VLAN, GRE, GTP, MPLS a IPIP, které byly v původním datovém paketu odstraněny a výstup byl přeposlán.
Dělení dat/paketů
Podporujepaketový segmentZpracování původních dat na základě vstupního a výstupního rozhraní pro provoz na úrovni zásad (64, 96, 128, 160, 192, 224, 256, 288, 320, 384, 512, 640, 768, 896, 960 bajtů je volitelné) a zásady pro výstup provozu lze implementovat podle konfigurace uživatele.
Identifikace tunelovacího protokolu
Podporuje automatickou identifikaci různých tunelovacích protokolů, jako například GTP / GRE / VxLAN / PPTP / L2TP / PPPOE / IPIP. Strategii výstupu provozu lze implementovat podle konfigurace uživatele podle vnitřní nebo vnější vrstvy tunelu.
Priorita přesměrování paketů
Podporuje definici priority datových paketů podle důležitosti služby na příchozím portu a pakety s vysokou prioritou jsou přednostně přeposílány na výstupu. Po přeposílání paketů s vysokou prioritou jsou přeposílány další pakety se střední a nízkou prioritou. Zabraňuje alarmům analytického systému způsobeným chybějícími důležitými datovými pakety.
Abnormální alarm
Podporuje monitorování alarmů v reálném čase a historické záznamy alarmů trendů provozu rozhraní na základě nastavení prahových hodnot. Podporuje monitorování alarmů v reálném čase a historické záznamy alarmů na základě stavu hardwaru zařízení (procesor, paměť, teplota, ventilátor, napájení atd.).
Zálohování rozhraní za provozu
Podporuje konfiguraci vstupního rozhraní 1+1 s primárním/záložním režimem, konfiguraci výstupního rozhraní 1+1 s primárním/záložním režimem a konfiguraci skupiny pro vyvažování zátěže N+1 s primárním/záložním režimem pro dosažení vysoké spolehlivosti v procesu přenosu dat od vstupu k výstupu.
Měření mikroburstů v dopravě
Dokáže detekovat čas výskytu, trvání a rychlost mikroburstů v provozu v reálném čase a poskytovat uchovávání historických záznamů měření, což poskytuje kvantifikovatelné a pozorovatelné prostředky a základ pro řešení problémů s provozem a údržbou a detekci ztráty paketů.
Ochrana proti kmitání rozhraní
Podporuje detekci a ochranu před oscilacemi link up/down libovolného rozhraní, aby se zabránilo ztrátě vstupního a výstupního provozu způsobené častým link up/down rozhraní a zlepšila se stabilita sběru a přeposílání provozu.
Výstup zapouzdření tunelu
Podporuje zapouzdření shromážděného provozu a výstupu pomocí tunelů typu ERSPAN2, GRE, VXLAN a NVGRE, aby splňoval požadavky aplikace na přenos shromážděného provozu do vzdáleného analytického systému.
Ukončení tunelových paketů
Podporuje funkci ukončení tunelových zpráv. Tato funkce umožňuje konfiguraci IP adres/masek a MAC adres na vstupním portu pro provoz. Umožňuje přímý přenos provozu, který je třeba shromažďovat v uživatelské síti, pomocí metod zapouzdření tunelu, jako jsou GRE, GTP a VXLAN, na sběrný port zařízení.
Dešifrování SPAN SSL
Podporováno načítání odpovídajícího dešifrování SSL certifikátu. Po dešifrování HTTPS šifrovaných dat pro zadaný provoz budou tato data dle potřeby přeposlána do back-endových monitorovacích a analytických systémů. Podporovány protokoly TLS1.0, TLS1.2 a SSL3.0.
Deduplikace dat/paketů
Podpora statistické granularity na základě portů nebo zásad pro porovnání více datových zdrojů kolekce a opakování stejného datového paketu v zadaném čase. Uživatelé si mohou zvolit různé identifikátory paketů (dst.ip, src.port, dst.port, tcp.seq, tcp.ack, dst.mac, src.mac, vlan.id).
Maskování data utajení
Podpora granularity na základě zásad pro nahrazení libovolného klíčového pole v nezpracovaných datech za účelem ochrany citlivých informací. Zásady pro výstup provozu lze implementovat v závislosti na konfiguraci uživatele.
Identifikace protokolu vrstvy APP
Podporuje identifikaci, výstup a zahazování protokolů aplikační vrstvy na základě režimu porovnávání DNS/URL. Knihovnu funkcí DPI lze integrovat pro rozpoznávání, výstup a zahazování nejméně 1800 druhů funkcí aplikačních protokolů (jako je zvuk a video, hry, rychlé zasílání zpráv, databáze, e-mail, P2P atd.) a knihovnu funkcí DPI lze upgradovat a aktualizovat. V případě speciálních potřeb lze provést i sekundární vývoj.
Uživatelsky definovaná dekapsulace paketů
Podporuje funkci samodefinovaného odzapouzdření paketů, která dokáže odstranit zapouzdřená pole a obsah na libovolné pozici prvních 128 bajtů paketu a vypsat je.
Tvarování provozu
Zároveň se ve výstupním rozhraní používá technologie tvarování provozu pro plynulý výstup datového toku do analytického nástroje, což zásadně řeší jev ztráty paketů způsobený mikrobursty a zabraňuje abnormálnímu alarmu způsobenému ztrátou provozu v analytickém systému.
Párování klíčových slov paketů
Poté, co je jakýkoli obsah pole v části datové části paketu porovnán a nalezen, je příslušný paket nebo tok relace přeposlán a odeslán nebo zahozen, aby byly splněny požadavky na předzpracování specifických provozních dat.
Odstraňování zapouzdření tunelů
Podporuje výstup záhlaví paketů VXLAN, MPLS, GRE, SRV6, FABRICPATCH, GENEVE a dalších v původním datovém paketu po odstraňování.
Odlehčení zátěže pro dlouhodobé připojení
Podle potřeb uživatele lze libovolný tok relace přeposílat a odesílat podle počtu přenesených bajtů a počtu přenesených paketů a následný tok relace lze zahodit, aby se v některých specifických scénářích splnily požadavky analytického systému back-endu, který potřebuje získat pouze část provozu toku relace, snížit tlak na analýzu provozu a zlepšit efektivitu analytického systému.
Statistická analýza provozu
Podporuje statistiky komponent libovolného provozu vstupního rozhraní a dokáže zobrazit velikost trendu provozu, velikost/podíl provozu TOPN IP adresy, velikost/podíl provozu TOPN kategorie aplikačního protokolu, velikost/podíl provozu TOPN názvu aplikačního protokolu a informace o relaci provozu ve formě grafů v reálném čase a umožňuje export statistických výsledků do lokálních souborů. Uživatelé tak mohou lépe pochopit strukturu shromažďovaného provozu a poskytnout nejpřímější datovou základnu pro přizpůsobení strategií provozu a měnících se obchodních požadavků.
Viditelnost provozu - základní analýza dat
Základní analytický modul funkce detekce vizualizace provozu dokáže zobrazit základní informace o zachycených cílových datech provozu, jako je počet paketů, distribuce paketů unicast/multicast/broadcast, počet připojení relace, distribuce paketových protokolů a velikost zachyceného provozu.
Viditelnost provozu - hloubková analýza DPI
Modul hloubkové analýzy DPI funkce detekce viditelnosti provozu dokáže provádět hloubkovou analýzu zachycených cílových dopravních dat z více perspektiv a prezentovat podrobné statistiky ve formě grafů a tabulek.
Viditelnost provozu - Analýza podílu provozu
● Analýza poměru protokolů transportní vrstvy: například TCP, UDP, ICMP, IGMP, ARP a další, podíl paketů a statistiky provozu a zobrazení koláčového grafu
● Analýza poměru IP provozu: například statistiky provozu generované různými IP adresami, pořadí provozu na základě IP adres podle TOP N a zobrazení sloupcového grafu
● Analýza poměru aplikací DPI: například HTTP, QQ, FTP a další aplikační protokoly, počet bajtů, statistické rozložení komunikačního provozu a zobrazení koláčového grafu
Viditelnost provozu - analýza časové osy provozu
Podle různých podmínek filtrování, jako je IP adresa, port, protokol transportní vrstvy, protokol aplikační vrstvy a další specifikovaný obsah, lze analyzovat a prezentovat aktuální data o provozu zachyceném cíli na základě doby vzorkování. Velikost a trend provozu lze dotazovat posunutím posuvníku času a statistickým škálováním granularity s přesností až 1 milisekundu.
Viditelnost provozu – analýza tabulky toku
Podle různých podmínek filtrování, jako je ID toku, IP adresa, port, protokol transportní vrstvy, protokol aplikační vrstvy a další specifikovaný obsah, lze aktuálně zachycená cílová data provozu analyzovat a počítávat na základě režimu toku relace, tj. podrobného zobrazení informací o toku relace, včetně informací o pětičlenném systému každého toku, typu přenášející aplikace, počtu a bajtů přenesených paketů a souvisejícího datového toku. Na základě výše uvedených informací je k dispozici zobrazení pořadí. Na základě těchto informací mohou uživatelé snadno vybrat typy provozu, které je zajímají, což jim poskytuje nejpřímější základ pro formulování politik přesměrování provozu.
Viditelnost provozu – analýza paketů
Na základě různých filtrovacích kritérií, jako je ID paketu, IP adresa, port, protokol transportní vrstvy, protokol aplikační vrstvy a další specifikovaný obsah, mohou být zachycená cílová data o provozu prezentována s analýzou na úrovni jednotlivých paketů, včetně:
● Analýza časového razítka sběru paketů
● Analýza klíčových informací o paketech, jako například SIP, DIP, SMAC, DMAC, protokol, příznak, TTL, délka zprávy, klíčové události
● Analýza přenosové cesty paketů a animace zobrazení, například: doby přesměrování, zpoždění přesměrování, typ přesměrování (směrování, přepínání, firewall, vyvažování zátěže, NAT)
● Souhrn informací o paketech a zobrazení podrobné struktury
● Analýza počtu opakovaných sběrů paketů
Viditelnost dopravy – přesná analýza poruch
Modul analýzy poruch funkce detekce viditelnosti provozu může poskytovat různé vizuální analýzy poruch pro zachycená cílová dopravní data, včetně:
● Přehled abnormálních stavů, například: výsledky analýzy síťových služeb, výsledky analýzy abnormálních událostí, síťový proces založený na analýze chování (například počet směrovacích zařízení, zařízení NAT, zařízení firewall, zařízení pro vyvažování zátěže procházejících přenosem paketů)
● Analýza selhání na úrovni tabulky toků, například typy abnormálních událostí (spojení odmítnuto/spojení nereaguje/spojení neprobíhá přenos dat/spojení je částečně otevřené/trasa relace nedostupná atd.), ● Analýza selhání na úrovni paketů, například: typ abnormální události (chyba kontrolního součtu paketu /TTL 0/ chyba nedostupnosti / chyba kontrolního součtu FCS atd.), podrobný popis abnormálních informací a podrobnosti o souvisejícím toku dat
● Analýza bezpečnostních chyb, jako například: typ abnormální události (útok DDOS/blokování firewallem/útok ARP/zahlcení UDP/SYN FLOOD atd.), podrobný popis abnormálních informací a podrobnosti o souvisejícím toku dat
● Analýza poruch sítě, jako například: typ abnormální události (spínací smyčka/směrovací smyčka/nedosažitelná cesta/přerušení spojení atd.), podrobný popis abnormálních informací a podrobnosti o souvisejícím toku dat
5-Specifikace síťového zprostředkovatele paketů Mylinking™ a inline bypass přepínače
| ML-BYPASS-M2000 Mylinking™ Network Packet Broker plus Inline Bypass Switch Funkční specifikace | ||||
| Síťové rozhraní | Slot modulu | 4 sloty pro moduly BYPASS nebo MONITOR | ||
| Počet vložených odkazů | Podporuje ochranu až 16 optických linek 1G/10G nebo 8 optických linek 40G/100G. | |||
| Rozhraní pro monitorování monitoru | Podporuje maximálně 64 monitorovacích rozhraní 1G/10GE nebo 16 monitorovacích rozhraní 40G/100G. | |||
| Rozhraní pro správu mimo pásmo | 1*10/100/1000M ethernetový port; | |||
| Režim nasazení | Vložené nasazení | Podpora | ||
| Nasazení SPANu | Podpora | |||
| Systémové funkce | Režim inline nasazení | Ochrana proti zřetězení specifických toků | Podpora | |
| Ochrana všech řad průtoku | Podpora | |||
| Vyvažování zátěže | Podpora | |||
| Detekce srdečního tepu | Podpora | |||
| Přepínání BYPASS | Podpora | |||
| Blokování dopravy | Podpora | |||
| Zrcadlení provozu | Podpora | |||
| SSL proxy | Podpora | |||
| Režim nasazení SPAN | Základní zpracování provozu | Replikace/agregace/distribuce provozu | Podpora | |
| Vyvažování zátěže | Podpora | |||
| Filtrování provozu na základě identifikátoru 5-tuple IP/protokolu/portu | Podpora | |||
| Označování/úprava/smazání VLAN | Podpora | |||
| Časové razítko | Podpora | |||
| Odstraňování zapouzdření tunelu | Podpora | |||
| Rozdělování dat | Podpora | |||
| Identifikace tunelovacího protokolu | Podpora | |||
| Priorita přeposílání paketů | Podpora | |||
| Varování před neobvyklým stavem | Podpora | |||
| Rozhraní pro horký pohotovostní režim | Podpora | |||
| Měření mikroburstů | Podpora | |||
| Ochrana rozhraní před kmitáním | Podpora | |||
| Výstup zapouzdření tunelu | Podpora | |||
| Ukončení tunelových paketů | Podpora | |||
| Pokročilé zpracování provozu | Obejít dešifrování SSL | Podpora | ||
| Deduplikace dat | Podpora | |||
| Maskování dat | Podpora | |||
| Identifikace protokolu aplikační vrstvy | Podpora | |||
| Vlastní dekapsulace | Podpora | |||
| Tvarování toku | Podpora | |||
| Párování klíčových slov | Podpora | |||
| Odstraňování zapouzdření tunelu | Podpora | |||
| Dlouhodobé odlehčení spojení | Podpora | |||
| Pozorování složek proudění | Podpora | |||
| Diagnostika a monitorování | Monitorování v reálném čase | Podpora | ||
| Dotaz na historickou návštěvnost | Podpora | |||
| Zachycení provozu | Podpora | |||
| Detekce vizualizace provozu | Fundamentální analýza | Podporuje souhrnné statistické zobrazení na základě základních informací, jako je počet paketů, distribuce typů paketů, počet připojení relací a distribuce protokolů paketů. | ||
| Hloubková analýza DPI | Podporuje analýzu podílu protokolů transportní vrstvy, podílu unicast, broadcast a multicast, podílu IP provozu a podílu aplikací DPI. Podporuje analýzu a prezentaci datového obsahu na základě doby vzorkování a objemu dat. Podporuje analýzu dat a statistiky na základě streamů relací. | |||
| Přesná analýza poruch | Podporuje analýzu a lokalizaci chyb s využitím dat o provozu z různých hledisek, včetně: analýzy chování přenosu paketů, analýzy chyb na úrovni datového proudu, analýzy chyb na úrovni datových paketů, analýzy chyb souvisejících se zabezpečením a analýzy chyb souvisejících se sítí. | |||
| Zpracovatelská kapacita | 2,4 Tb/s | |||
| Spravovat | Správa sítě CONSOLE | Podpora | ||
| Správa IP/WEB sítě | Podpora | |||
| Správa sítě SNMP | Podpora | |||
| Správa sítě TELNET/SSH | Podpora | |||
| Protokol SYSLOG | Podpora | |||
| Centralizované ověřování autorizace RADIUS nebo TADACS+ | Podpora | |||
| Funkce ověřování uživatele | Ověřování uživatelského jména a hesla | |||
| Elektrický | Jmenovité napájecí napětí | AC-220V/DC-48V [Volitelné] | ||
| Jmenovitý výkonový kmitočet | AC-50HZ | |||
| Jmenovitý vstupní proud | AC-3A / DC-10A | |||
| Jmenovitý funkční výkon | Maximálně 300 W | |||
| Prostředí | Provozní teplota | 0-50℃ | ||
| Skladovací teplota | -20-70 ℃ | |||
| Provozní vlhkost | 10 %–95 %, bez kondenzace | |||
| Konfigurace uživatele | Konfigurace konzole | Rozhraní RS232, 115200, 8, N, 1 | ||
| Ověřování heslem | Spodpora | |||
| Velikost stojanu | Prostor v racku (U) | 2U 444 mm * 88 mm * 670 mm | ||
6-Aplikace Mylinking™ Network Packet Broker a Inline Bypass Switch
6.1Ten/Ta/ToRrizikoŘadové SbezpečnostEvybavení (IPS / FW)
Následuje typický režim nasazení FW (firewallu) systému IPS (Intrusion Prevention System). IPS/FW je nasazen sériově do síťového zařízení (routery, přepínače atd.) mezi jednotlivými provozy pomocí bezpečnostních kontrol v souladu s odpovídající bezpečnostní politikou, aby se určilo uvolnění nebo blokování odpovídajícího provozu a dosáhlo se tak účinku bezpečnostní obrany.
Následuje typický režim nasazení FW (firewallu) systému IPS (Intrusion Prevention System). IPS/FW je nasazen sériově do síťového zařízení (routery, přepínače atd.) mezi jednotlivými provozy pomocí bezpečnostních kontrol v souladu s odpovídající bezpečnostní politikou, aby se určilo uvolnění nebo blokování odpovídajícího provozu a dosáhlo se tak účinku bezpečnostní obrany.
6.2 Ochrana zařízení řady Inline Link
Mylinking™ Network Packet Broker plus Inline Bypass Switch je nasazován sériově mezi síťová zařízení (routery, přepínače atd.), takže tok dat mezi síťovými zařízeními již nevede přímo k IPS/FW. „Smart Inline Bypass Switch“ přepíná IPS/FW. Pokud dojde k přetížení, havárii, aktualizaci softwaru, aktualizaci zásad a dalším selháním IPS/FW, „Smart Inline Bypass Switch“ díky inteligentní funkci detekce heartbeatových zpráv včas odhalí vadná zařízení a tím je přeskočí bez přerušení provozu sítě. Rychle se síťové zařízení přímo připojí k ochraně normální komunikace v síti. V případě selhání IPS/FW a také díky inteligentní funkci detekce heartbeatových paketů včas obnovuje původní spojení a kontroluje bezpečnost podnikové sítě.
Mylinking™ Network Packet Broker plus Inline Bypass Switch má výkonnou inteligentní funkci detekce zpráv o prezenčním signálu. Uživatel si může přizpůsobit interval prezenčního signálu a maximální počet opakování pomocí vlastní zprávy o prezenčním signálu na IPS/FW pro testování stavu, například odesláním zprávy o kontrole prezenčního signálu na upstream/downstream port IPS/FW a následným přijetím zprávy z upstream/downstream portu IPS/FW a posouzením, zda IPS/FW funguje normálně, odesláním a přijetím zprávy o prezenčním signálu.
6.3 Vložený tok zásad „SpecFlow“ZabezpečeníSériová ochrana
Pokud bezpečnostní síťové zařízení potřebuje v rámci sériové bezpečnostní ochrany zpracovávat pouze specifický provoz, pak se prostřednictvím funkce zpracování provozu Mylinking™ Network Packet Broker a Inline Bypass Switch a pomocí zásad screeningu provozu připojí k inline bezpečnostnímu zařízení. „Dotčený“ provoz je odeslán zpět přímo do síťového spojení a „dotčená sekce provozu“ je následně přenesena k inline bezpečnostnímu zařízení k provedení bezpečnostních kontrol. Tím se nejen zachová normální aplikace funkce bezpečnostní detekce bezpečnostního zařízení, ale také se sníží neefektivní tok bezpečnostního zařízení při zvládání tlaku. Zároveň „inteligentní inline bypass switch“ dokáže v reálném čase detekovat provozní stav bezpečnostního zařízení. Bezpečnostní zařízení pracuje abnormálně a přímo obchází datový provoz, aby se zabránilo narušení síťových služeb.
Síťový zprostředkovatel paketů Mylinking™ a přepínač Inline Bypass dokáží identifikovat provoz na základě identifikátoru záhlaví vrstev L2-L4, jako je například tag VLAN, zdrojová/cílová MAC adresa, zdrojová IP adresa, typ IP paketu, port protokolu transportní vrstvy, tag klíče záhlaví protokolu atd. Lze flexibilně definovat různé kombinace podmínek shody, které definují specifické typy provozu, jež jsou pro konkrétní bezpečnostní zařízení zajímavé, a lze je široce používat pro nasazení speciálních zařízení pro audit zabezpečení (RDP, SSH, audit databází atd.).
6.4Lvyvážené zatíženíVložené zabezpečeníSériová ochrana
Síťový broker paketů Mylinking™ a přepínač Inline Bypass se nasazují sériově mezi síťová zařízení (routery, přepínače atd.). Pokud výkon jednoho IPS/FW nestačí k zvládnutí špičkového provozu síťového spojení, funkce vyvažování zátěže provozu chrániče, tedy „sdružování“ více clusterů IPS/FW zpracovávajících provoz síťového spojení, může efektivně snížit zátěž jednoho IPS/FW a zlepšit celkový výkon zpracování tak, aby splňovaly požadavky na vysokou šířku pásma daného nasazeného prostředí.
Mylinking™ Network Packet Broker plus Inline Bypass Switch má výkonnou funkci vyvažování zátěže. Na základě VLAN tagu rámce, informací o MAC adrese, IP adrese, čísle portu, protokolu a dalších informací o hashování vyvažuje zátěž a zajišťuje integritu datového toku přijatého každým IPS/FW v rámci relace.
60,5VícesériovéInline zařízení FnízkýTreakcePochrana(PřeměnaFyzikálníSériové připojení kLogickýParalelní připojení)
V některých klíčových oblastech (jako jsou internetové zásuvky, ústředny pro servery) je umístění často způsobeno potřebami bezpečnostních prvků a nasazením více in-line bezpečnostních testovacích zařízení (jako je firewall, zařízení proti DDoS útokům, firewall webových aplikací, zařízení pro prevenci narušení atd.). Více bezpečnostních detekčních zařízení je zapojeno současně v sérii na jednom propojení, čímž se zvyšuje riziko vzniku jediného bodu selhání a snižuje se celková spolehlivost sítě. A při výše zmíněném online nasazení bezpečnostního zařízení, modernizaci zařízení, výměně zařízení a dalších operacích může dojít k dlouhodobému přerušení provozu sítě a k většímu zkrácení doby trvání projektu, aby se takový projekt úspěšně dokončil.
Díky jednotnému nasazení Mylinking™ Network Packet Broker a Inline Bypass Switch lze změnit režim nasazení více bezpečnostních zařízení zapojených sériově na stejném spoji z „Režim fyzického sériového připojení“ na „Režim fyzického paralelního připojení, ale logického sériového připojení“. Tím se efektivně sníží počet zdrojů selhání sériového spoje a zvýší se jeho spolehlivost. Zároveň může Mylinking™ Network Packet Broker a Inline Bypass Switch řídit provoz spoje na vyžádání a dosahovat stejného efektu zabezpečení provozu jako původní režim sériového připojení.
Schéma sériového nasazení více než jednoho zařízení Inline Security současně:
Schéma nasazení síťového zprostředkovatele paketů Mylinking™ a inline bypass přepínače:
(Změňte fyzické sériové připojení na logické paralelní připojení)
60,6Na základěDdynamická politikaTRafický inlineSbezpečnostDetekcePochrana
Mylinking™ Network Packet Broker plus Inline Bypass Switch, další pokročilý aplikační scénář, je založen na dynamické politice aplikací pro detekci a ochranu proti trakci provozu, jehož nasazení je znázorněno níže:
Vezměte si například bezpečnostní testovací zařízení „ochrana a detekce útoků proti DDoS“. Nasazením „inteligentního bypassového přepínače“ na front-endu a následným připojením ochranného zařízení proti DDoS útoku k „inteligentnímu bypassovému přepínači“ se v obvyklém „inteligentním bypassovém přepínači“ přeposílá plný objem provozu s rychlostí kabelu a zároveň se zrcadlí tok do „zařízení na ochranu proti DDoS útokům“. Jakmile je po útoku detekována IP adresa serveru (nebo segment IP sítě), „zařízení na ochranu proti DDoS útokům“ vygeneruje pravidla pro porovnávání toku cílového provozu a odešle je do „inteligentního bypassového přepínače“ prostřednictvím rozhraní pro dynamické doručování politik. „Bypassový přepínač“ může po přijetí dynamických pravidel politik aktualizovat „dynamickou trakci provozu“ a okamžitě „pravidlo“ zasáhne „trakci provozu“ útočného serveru do zařízení „ochrana a detekce útoků proti DDoS útokům“ pro zpracování, aby bylo po útoku účinné a poté znovu vstříknuto do sítě.
Aplikační schéma založené na „Smart Bypass Switch“ je snadněji implementovatelné než tradiční injektáž tras BGP nebo jiné schéma trakce provozu, prostředí je méně závislé na síti a spolehlivost je vyšší.
„Inteligentní bypassový přepínač“ má následující vlastnosti pro podporu ochrany detekcí dynamických zásad zabezpečení:
1. „Inteligentní bypassový přepínač“ pro zajištění snadné integrace s bezpečnostními zařízeními třetích stran mimo pravidla založená na rozhraní WEBSERIVCE.
2. „Inteligentní bypassový přepínač“ založený na hardwarovém čistě ASIC čipu, který přeposílá pakety rychlostí až 100 Gb/s bez blokování přeposílání přepínače, a „knihovna dynamických pravidel pro sledování provozu“ bez ohledu na počet paketů.
3. Vestavěná profesionální funkce BYPASS „Smart Bypass Switch“ dokáže i v případě selhání samotného chrániče okamžitě obejít původní sériové spojení, aniž by to ovlivnilo původní spojení normální komunikace.
6,7Zrcadlení sériového provozu v inlinepro zabezpečení mimo pásmo (inline + SPAN)
Přepínač Mylinking™ Network Packet Broker plus Inline Bypass se obvykle nasazují v IT síti zákazníka nebo v síti cloudové platformy, aby poskytovaly inline ochranu pro zařízení WAF/IPS a původní linku. Uživatelé mohou mít také další požadavky na testování, ověřování nebo nasazení monitorovacích zařízení bypassu, což vyžaduje získávání dat o provozu na této lince.
Proto lze pomocí funkce zrcadlení provozu zařízení Mylinking™ Network Packet Broker plus Inline Bypass Switch zrcadlit provoz sériového linku inline z monitorovacího portu, jak je znázorněno na následujícím obrázku:
Níže uvedený diagram znázorňuje rozšířený scénář aplikace pro provoz inline linků a provoz zrcadlených portů přepínačů. To umožňuje ochranu provozu inline linků, aniž by byl ovlivněn provozem zrcadlených portů přepínačů. Systém analýzy IDS může současně získávat provoz inline linků i provoz zrcadlených portů přepínačů. Metoda nasazení je znázorněna na níže uvedeném diagramu:
6,8Deduplikace dat/paketůAplikace
Jak je znázorněno ve výše uvedené struktuře nasazení aplikace, aby byla zajištěna integrita původního sběru dat podél celého spojení, mohou být některé identické datové pakety shromažďovány vícekrát v rámci jedné cesty. To vede ke zvýšení počtu falešných poplachů a opakovaných přenosů v backendovém systému, což zvyšuje výkonnostní režijní náklady analytického systému a ovlivňuje přesnost a efektivitu analýzy. Na základě tohoto řešení se nejprve duplicitní datové pakety deduplikují v různých zachycujících uzlech. Pouze jeden datový paket je přeposílán do backendového systému pro analýzu výkonu sítě NPM a systému pro analýzu výkonu aplikace APM, čímž se šetří výkon analytického systému a zlepšuje se efektivita a přesnost analýzy.
6,9Data/BalíčekVLAN TaggingAplikace
V síťovém prostředí znázorněném na výše uvedeném diagramu se toto řešení používá k označování nezpracovaných dat z různých síťových zařízení a propojovacích uzlů. Když se v síti vyskytne abnormální provoz nebo datové pakety, analytické zařízení backendu dokáže rychle a přesně lokalizovat zdroj abnormálních dat zpětným sledováním na základě datových štítků.
6.10 Síťový provozSjednocený rozvrhAplikace
V síťovém prostředí znázorněném na výše uvedeném diagramu jsou data z více zdrojových linek 10GE, 25GE, 40GE a 100GE plně vstupována do zařízení Mylinking™ Network Packet Broker plus Inline Bypass Switch pomocí optického rozdělení nebo zrcadlení portů. Poté se filtrování a rozdělení provozu používá k výstupu různých servisních datových provozů do různých zařízení backendového mimopásmového monitorovacího a bezpečnostního systému sítě. Pokud anomálie síťových paketů nebo abnormální výkyvy provozu vyžadují ruční zásah, lze okamžitě provést zachycení paketů v reálném čase a analýzu původních datových paketů, což uživatelům pomůže rychle analyzovat a lokalizovat závadu.
6.11SíťAnalýza viditelnosti dopravních datAplikace
Dokáže prezentovat veškerá detekovaná a zachycená data vícerozměrným a multiperspektivním způsobem prostřednictvím uživatelsky přívětivého grafického a textového interaktivního rozhraní, včetně struktury složení provozu, distribuce aplikačních protokolů, distribuce provozu všech síťových uzlů, cesty přenosu dat, detekce abnormálních událostí, přesné lokalizace poruch síťových prvků/spoje, stavu interakce zpráv, trendu vývoje provozu a dalších aspektů pro monitorování a analýzu, aby se vytvořila komplexní, viditelná a kontrolovatelná platforma pro sběr dat a zabezpečení podnikových sítí.
