1. Co je balíček Definice srdečního tepu?
Pakety heartbeatu přepínače Mylinking™ Network Tap Bypass jsou standardně nastaveny na rámce Ethernetu Layer 2. Při nasazení transparentního přemosťovacího režimu Layer 2 (například IPS / FW) jsou rámce Ethernetu Layer 2 obvykle přeposílány, blokovány nebo zahazovány. Zároveň přepínač Mylinking™ Network Tap Bypass podporuje vlastní formát zpráv heartbeatu, aby vyhověl situaci, kdy některá speciální sériová bezpečnostní zařízení nemohou normálně přeposílat běžné rámce Ethernetu Layer 2.
A přepínač Mylinking™ Network Tap Bypass také podporuje detekci paketů heartbeat na základě tagu VLAN a vlastních typů zpráv vrstvy 3 a vrstvy 4. Na základě tohoto mechanismu může uživatel implementovat funkci testu bezpečnosti služeb zařízení pro zabezpečení připojení, aby se zefektivnilo zajištění správného fungování odpovídajících bezpečnostních služeb.
Přepínač Mylinking™ Network Tap Bypass umožňuje monitoru odesílat různé pakety heartbeat v obou směrech. Například pakety heartbeat typu TCP a UDP jsou v „Strategy Traffic Traction Protector“ přizpůsobeny specifikaci sériového zařízení. Můžete nakonfigurovat odesílání paketů heartbeat TCP na portu A uplink monitoru a odesílání paketů heartbeat UDP na portu B downlink monitoru, aby se přizpůsobil mechanismu přeposílání zpráv sériového bezpečnostního zařízení. Tato funkce může efektivněji zaručit spolehlivost řetězce. Připojte bezpečnostní zařízení do normálního provozu.
Síťový inline bypassový přepínač Mylinking™ byl vyvinut pro flexibilní nasazení různých typů sériových bezpečnostních zařízení a zároveň poskytuje vysokou spolehlivost sítě.
2-síťový inline bypassový přepínač Pokročilé funkce a technologie
Technologie ochranného režimu Mylinking™ „SpecFlow“ a ochranného režimu „FullLink“
Technologie ochrany proti přepínání Mylinking™ Fast Bypass
Technologie Mylinking™ „LinkSafeSwitch“
Technologie dynamického přeposílání/vydávání Mylinking™ „WebService“
Technologie inteligentní detekce zpráv o srdečním tepu Mylinking™
Technologie definovatelných zpráv o srdečním tepu Mylinking™
Technologie vyvažování zátěže Multi-link Mylinking™
Technologie inteligentní distribuce provozu Mylinking™
Technologie dynamického vyvažování zátěže Mylinking™
Technologie vzdálené správy Mylinking™ (HTTP/WEB, TELNET/SSH, funkce „EasyConfig/AdvanceConfig“)
Aplikace 3-síťového inline bypassového přepínače (viz následující)
3.1 Riziko inline bezpečnostního zařízení (IPS / FW)
Následuje typický režim nasazení FW (firewallu) systému IPS (Intrusion Prevention System). IPS/FW je nasazen sériově do síťového zařízení (routery, přepínače atd.) mezi jednotlivými provozy pomocí bezpečnostních kontrol v souladu s odpovídající bezpečnostní politikou, aby se určilo uvolnění nebo blokování odpovídajícího provozu a dosáhlo se tak účinku bezpečnostní obrany.
Zároveň můžeme IPS/FW vnímat jako sériové nasazení zařízení, obvykle rozmístěného v klíčových místech podnikové sítě za účelem implementace sériového zabezpečení. Spolehlivost připojených zařízení přímo ovlivňuje celkovou dostupnost podnikové sítě. Pokud dojde k přetížení sériových zařízení, jejich havárii, aktualizacím softwaru, aktualizacím politik atd., bude dostupnost celé podnikové sítě výrazně ovlivněna. V tomto okamžiku můžeme síť obnovit pouze přerušením sítě nebo fyzickým bypassem, což vážně ovlivňuje spolehlivost sítě. IPS/FW a další sériová zařízení na jedné straně zlepšují zabezpečení podnikové sítě, na druhé straně však také snižují spolehlivost podnikových sítí a zvyšují riziko, že síť nebude k dispozici.
3.2 Ochrana zařízení řady Inline Link
Mylinking™ „Network Inline Bypass“ je nasazován sériově mezi síťová zařízení (routery, přepínače atd.), takže tok dat mezi síťovými zařízeními již nevede přímo k IPS/FW. „Network Inline Bypass“ přechází k IPS/FW. Pokud dojde k přetížení, havárii, aktualizaci softwaru, aktualizaci politik a dalším selháním IPS/FW, „Network Inline Bypass“ včas odhalí vadné zařízení pomocí inteligentní detekce heartbeat paketů, aniž by došlo k přerušení provozu sítě. Rychle se síťové zařízení přímo připojí k ochraně normální komunikace v síti a v případě selhání IPS/FW se také pomocí inteligentní detekce heartbeat paketů včas obnoví spojení a obnoví bezpečnost podnikové sítě.
Mylinking™ „Network Inline Bypass“ má výkonnou inteligentní funkci detekce zpráv o prezenčním signálu. Uživatel si může přizpůsobit interval prezenčního signálu a maximální počet opakování pomocí vlastní zprávy o prezenčním signálu na IPS/FW pro testování stavu, například odesláním zprávy o kontrole prezenčního signálu na upstream/downstream port IPS/FW a následným přijetím zprávy z upstream/downstream portu IPS/FW a posouzením, zda IPS/FW funguje normálně, odesláním a přijetím zprávy o prezenčním signálu.
3.3 Ochrana řady inline trakce podle zásad „SpecFlow“
Pokud bezpečnostní síťové zařízení potřebuje zpracovávat pouze specifický provoz v rámci sériové bezpečnostní ochrany, pak se pomocí funkce Mylinking™ „Network Inline Bypass“ pro zpracování provozu a pomocí strategie screeningu provozu připojí k bezpečnostnímu zařízení „dotčený“ provoz. Dotyčný provoz je odeslán zpět přímo do síťového spojení a „dotčená sekce provozu“ je přivedena k bezpečnostnímu zařízení inline k provedení bezpečnostních kontrol. Tím se nejen zachová normální aplikace funkce bezpečnostní detekce bezpečnostního zařízení, ale také se sníží neefektivní tok bezpečnostního zařízení při zvládání tlaku. Zároveň „Network Inline Bypass“ dokáže v reálném čase detekovat provozní stav bezpečnostního zařízení. Bezpečnostní zařízení pracuje abnormálně a přímo obchází datový provoz, aby se zabránilo narušení síťových služeb.
3.4 Sériová ochrana s vyváženou zátěží
Mylinking™ „Network Inline Bypass“ se nasazují sériově mezi síťová zařízení (routery, přepínače atd.). Pokud výkon jednoho IPS/FW nestačí k zvládnutí špičkového provozu síťového spojení, funkce vyvažování zátěže provozu chrániče, „sdružování“ více clusterů IPS/FW zpracovávajících provoz síťového spojení, může efektivně snížit zátěž jednoho IPS/FW a zlepšit celkový výkon zpracování tak, aby splňovala požadavky na vysokou šířku pásma daného nasazeného prostředí.
Mylinking™ „Network Inline Bypass“ má výkonnou funkci vyvažování zátěže, která na základě tagu VLAN rámce, informací o MAC adrese, IP adrese, čísle portu, protokolu a dalších informací o hashování distribuuje zátěž a zajišťuje integritu relace datového toku každého IPS/FW.
3.5 Ochrana proti průtoku víceřadého řadového zařízení (změna sériového připojení na paralelní připojení)
V některých klíčových oblastech (jako jsou internetové zásuvky, ústředny pro servery) je umístění často způsobeno potřebami bezpečnostních prvků a nasazením více in-line bezpečnostních testovacích zařízení (jako je firewall, zařízení proti DDoS útokům, firewall webových aplikací, zařízení pro prevenci narušení atd.). Více bezpečnostních detekčních zařízení je zapojeno současně v sérii na jednom propojení, čímž se zvyšuje riziko vzniku jediného bodu selhání a snižuje se celková spolehlivost sítě. A při výše zmíněném online nasazení bezpečnostního zařízení, modernizaci zařízení, výměně zařízení a dalších operacích může dojít k dlouhodobému přerušení provozu sítě a k většímu zkrácení doby trvání projektu, aby se takový projekt úspěšně dokončil.
Jednotným nasazením „Network Inline Bypass“ lze změnit režim nasazení více bezpečnostních zařízení zapojených sériově na stejném spoji z „režimu fyzického zřetězení“ na „režim fyzického zřetězení, logického zřetězení“. Spoj na spoji s jediným bodem selhání zlepšuje spolehlivost spoje, zatímco „Network Inline Bypass“ na spoji zajišťuje trakci toku na vyžádání, čímž se dosahuje stejného toku jako v původním režimu bezpečného zpracování.
Schéma sériového zapojení více než jednoho bezpečnostního zařízení současně:
Schéma nasazení síťového inline bypassového přepínače:
3.6 Na základě dynamické strategie ochrany proti detekci a trakci provozu
„Network Inline Bypass“ Další pokročilý aplikační scénář je založen na dynamické strategii aplikací pro detekci a ochranu proti dopravním problémům, přičemž nasazení je znázorněno níže:
Vezměte si například bezpečnostní testovací zařízení „ochrana a detekce útoků proti DDoS“, které se provádí nasazením zařízení „Network Inline Bypass“ na front-endu a následným připojením k zařízení „Network Inline Bypass“. V obvyklém režimu „ochrana trakce“ se plný objem provozu přesměruje na rychlost drátu a zároveň se zrcadlí výstup toku do „zařízení na ochranu proti DDoS útokům“. Jakmile je po útoku detekována IP adresa serveru (nebo segment IP sítě), zařízení na ochranu proti DDoS útokům vygeneruje pravidla pro porovnávání toku cílového provozu a odešle je do „Network Inline Bypass“ prostřednictvím rozhraní pro dynamické doručování politik. „Network Inline Bypass“ může po obdržení dynamických pravidel politik aktualizovat „dynamiku trakce provozu“ a okamžitě „pravidlo“ zasáhne „trakci provozu“ útočného serveru do zařízení „ochrana a detekce útoků proti DDoS“ pro zpracování, aby bylo efektivní po skončení útoku a poté znovu vstříknuto do sítě.
Aplikační schéma založené na „Network Inline Bypass“ je implementovatelnější než tradiční BGP route injection nebo jiné schéma pro zvýšení kapacity sítě, prostředí je méně závislé na síti a spolehlivost je vyšší.
„Network Inline Bypass“ má následující vlastnosti pro podporu ochrany detekcí dynamických zásad zabezpečení:
1, „Network Inline Bypass“ pro zajištění snadné integrace s bezpečnostními zařízeními třetích stran mimo pravidla založená na rozhraní WEBSERIVCE.
2, „Network Inline Bypass“ založený na hardwarovém čistém čipu ASIC, který přeposílá pakety rychlostí až 10 Gb/s bez blokování přepínače a „knihovně dynamických pravidel pro sledování provozu“ bez ohledu na počet paketů.
3. Vestavěná profesionální funkce „Network Inline Bypass“ umožňuje okamžité obejití původního sériového spojení i v případě selhání samotné ochrany, aniž by to ovlivnilo původní spojení pro normální komunikaci.
Čas zveřejnění: 23. prosince 2021
