1- Ce este pachetul Define Heartbeat?
Pachetele de semnale cardiace ale comutatorului Mylinking™ Network Tap Bypass sunt setate implicit ca cadre Ethernet Layer 2. Atunci când se implementează modul de bridging transparent Layer 2 (cum ar fi IPS / FW), cadrele Ethernet Layer 2 sunt în mod normal redirecționate, blocate sau eliminate. În același timp, comutatorul Mylinking™ Network Tap Bypass acceptă un format personalizat de mesaje de semnal cardiac pentru a face față situației în care unele dispozitive speciale de securitate serială nu pot redirecționa în mod normal cadre Ethernet Layer 2 obișnuite.
Iar comutatorul Mylinking™ Network Tap Bypass acceptă și detectarea pachetelor heartbeat pe baza etichetei VLAN, a tipurilor de mesaje personalizate Layer 3 și Layer 4. Pe baza acestui mecanism, utilizatorul poate implementa o funcție de testare a siguranței serviciilor pentru dispozitivul de siguranță a conexiunii, pentru a-l face mai eficient și a asigura funcționarea corectă a serviciilor de securitate corespunzătoare.
Comutatorul de bypass Mylinking™ Network Tap poate permite monitorului să trimită diferite pachete de pulsații heartbeat în ambele direcții. De exemplu, pachetele de pulsații heartbeat de tip TCP și UDP sunt personalizate în „Strategy Traffic Traction Protector”, în funcție de particularitățile dispozitivului serial. Puteți configura trimiterea pachetelor de pulsații heartbeat TCP pe portul A al monitorului de uplink și trimiterea pachetelor de pulsații heartbeat UDP pe portul B al monitorului de downlink pentru a se adapta mecanismului de redirecționare a mesajelor al dispozitivului de securitate serial. Această funcție poate garanta mai eficient funcționarea șirului. Conectați echipamentul de siguranță la funcționarea normală.
Comutatorul de bypass în linie de rețea Mylinking™ este cercetat și dezvoltat pentru a fi utilizat pentru implementarea flexibilă a diferitelor tipuri de echipamente de securitate serială, oferind în același timp o fiabilitate ridicată a rețelei.
Caracteristici și tehnologii avansate ale comutatorului de bypass în linie pentru 2 rețele
Mod de protecție Mylinking™ „SpecFlow” și tehnologie mod de protecție „FullLink”
Tehnologie de protecție prin comutare prin bypass rapid Mylinking™
Tehnologia Mylinking™ „LinkSafeSwitch”
Tehnologie de redirecționare/rezolvare a problemelor Mylinking™ „WebService” pentru strategia dinamică
Tehnologie inteligentă de detectare a mesajelor cardiace Mylinking™
Tehnologie de mesaje cardiace definibile Mylinking™
Tehnologie de echilibrare a încărcării multi-link Mylinking™
Tehnologie inteligentă de distribuție a traficului Mylinking™
Tehnologie de echilibrare dinamică a încărcării Mylinking™
Tehnologie de gestionare la distanță Mylinking™ (HTTP/WEB, TELNET/SSH, caracteristică „EasyConfig/AdvanceConfig”)
Aplicație comutator bypass inline 3-Network (după cum urmează)
3.1 Riscul echipamentelor de securitate inline (IPS / FW)
Următorul este un mod tipic de implementare IPS (Intrusion Prevention System), FW (Firewall). IPS/FW este implementat în serie cu echipamentele de rețea (routere, switch-uri etc.) între trafic prin implementarea unor verificări de securitate, în conformitate cu politica de securitate corespunzătoare pentru a determina eliberarea sau blocarea traficului corespunzător, pentru a obține efectul de apărare a securității.
În același timp, putem observa IPS/FW ca o implementare serială a echipamentelor, de obicei implementate în locații cheie ale rețelei întreprinderii pentru a implementa securitatea serială. Fiabilitatea dispozitivelor conectate afectează direct disponibilitatea generală a rețelei întreprinderii. Odată cu supraîncărcarea dispozitivelor seriale, blocarea acestora, actualizările de software, politicile etc., disponibilitatea întregii rețele a întreprinderii va fi puternic afectată. În acest moment, doar printr-o întrerupere a rețelei sau un jumper de bypass fizic se poate restabili rețeaua, afectând serios fiabilitatea acesteia. IPS/FW și alte dispozitive seriale, pe de o parte, îmbunătățesc implementarea securității rețelei întreprinderii, iar pe de altă parte, reduc și fiabilitatea rețelelor întreprinderii, crescând riscul ca rețeaua să nu fie disponibilă.
3.2 Protecția echipamentelor din seria Inline Link
„Network Inline Bypass” de la Mylinking™ este implementat în serie între dispozitivele de rețea (routere, switch-uri etc.), iar fluxul de date dintre dispozitivele de rețea nu mai duce direct la IPS/FW, ci la IPS/FW. Când IPS/FW se defectează din cauza supraîncărcării, blocării, actualizărilor de software, actualizărilor de politici sau a altor condiții, „Network Inline Bypass” detectează la timp dispozitivele defecte prin funcția inteligentă de detectare a mesajelor heartbeat, omițând astfel dispozitivul defect fără a întrerupe funcționarea rețelei. Echipamentul de rețea este conectat direct la rețea pentru a proteja rețeaua normală de comunicații. În cazul recuperării în urma unei erori IPS/FW, prin funcția inteligentă de detectare a pachetelor heartbeat, se efectuează verificări de securitate a securității rețelei întreprinderii prin intermediul legăturii originale.
Mylinking™ „Network Inline Bypass” are o funcție inteligentă puternică de detectare a mesajelor heartbeat. Utilizatorul poate personaliza intervalul heartbeat și numărul maxim de reîncercări, prin intermediul unui mesaj heartbeat personalizat pe IPS / FW pentru testarea stării de funcționare, cum ar fi trimiterea mesajului de verificare a heartbeat către portul upstream/downstream al IPS / FW, apoi recepționarea de la portul upstream/downstream al IPS / FW și evaluarea dacă IPS / FW funcționează normal prin trimiterea și primirea mesajului heartbeat.
3.3 Fluxul politicii „SpecFlow” Protecție în serie cu tracțiune în linie
Când dispozitivul de rețea de securitate trebuie să gestioneze doar traficul specific în cadrul protecției de securitate în serie, prin funcția Mylinking™ „Network Inline Bypass” pentru procesarea traficului, prin strategia de filtrare a traficului, traficul „în cauză” al dispozitivului de securitate este trimis înapoi direct către legătura de rețea, iar „secțiunea de trafic în cauză” este direcționată către dispozitivul de siguranță în linie pentru a efectua verificări de siguranță. Acest lucru nu numai că va menține aplicarea normală a funcției de detectare a siguranței a dispozitivului de siguranță, dar va reduce și fluxul ineficient al echipamentului de siguranță pentru a face față presiunii; în același timp, „Network Inline Bypass” poate detecta starea de funcționare a dispozitivului de siguranță în timp real. Dispozitivul de siguranță funcționează anormal și ocolește direct traficul de date pentru a evita întreruperea serviciului de rețea.
3.4 Protecție serie cu sarcină echilibrată
„Network Inline Bypass”-ul Mylinking™ este implementat în serie între dispozitivele de rețea (routere, switch-uri etc.). Atunci când performanța unui singur IPS/FW nu este suficientă pentru a face față vârfurilor de trafic ale legăturilor de rețea, funcția de echilibrare a încărcării traficului a protectorului, „gruparea” traficului de legături de rețea de procesare în cluster IPS/FW multiple, poate reduce eficient presiunea de procesare a unui singur IPS/FW, îmbunătățind performanța generală de procesare pentru a satisface lățimea de bandă mare a mediului de implementare.
Mylinking™ „Network Inline Bypass” are o funcție puternică de echilibrare a încărcării, în funcție de eticheta VLAN a cadrului, informațiile MAC, informațiile IP, numărul portului, protocolul și alte informații despre distribuția hash a traficului pentru a asigura integritatea sesiunii fluxului de date primit de fiecare IPS/FW.
3.5 Protecție la tracțiune în flux pentru echipamente multi-serie în linie (schimbarea conexiunii seriale în conexiune paralelă)
În cazul unor legături cheie (cum ar fi prizele de internet, legăturile de schimb de servere), amplasarea se datorează adesea nevoilor de caracteristici de securitate și implementării mai multor echipamente de testare a securității în linie (cum ar fi firewall, echipamente anti-atac DDOS, firewall pentru aplicații WEB, echipamente de prevenire a intruziunilor etc.), conectând simultan mai multe echipamente de detectare a securității în serie pe legătură pentru a crește rezistența la un singur punct de defecțiune, reducând fiabilitatea generală a rețelei. Iar în cadrul implementării online a echipamentelor de securitate menționate mai sus, modernizările echipamentelor, înlocuirea echipamentelor și alte operațiuni, vor cauza întreruperi lungi ale serviciului rețelei și întreruperi ale proiectelor mai mari, pentru a finaliza implementarea cu succes a unor astfel de proiecte.
Prin implementarea unificată a funcției „Network Inline Bypass”, modul de implementare a mai multor dispozitive de securitate conectate în serie pe aceeași legătură poate fi schimbat de la „modul de concatenare fizică” la „modul de concatenare fizică, concatenare logică”. Fiabilitatea legăturii se îmbunătățește prin conectarea la un singur punct de defecțiune, în timp ce funcția „Network Inline Bypass” menține fluxul de date la cerere, obținând același flux cu efectul original de procesare sigură.
Diagrama de implementare în serie a mai multor dispozitive de securitate simultan:
Diagrama de implementare a comutatorului de bypass în linie de rețea:
3.6 Bazat pe strategia dinamică a securității tracțiunii în trafic, detectarea și protecția
„Ocolirea rețelei în linie” Un alt scenariu de aplicație avansată se bazează pe strategia dinamică a aplicațiilor de protecție a detectării și securității tracțiunii în trafic, implementarea fiind prezentată mai jos:
De exemplu, pentru echipamentele de testare a securității „protecție și detectare anti-DDoS”, se implementează front-end un „Network Inline Bypass” și apoi un echipament de protecție anti-DDOS, conectat la „Network Inline Bypass”. În modul obișnuit, „Protecție de tracțiune”, se transmite simultan fluxul de trafic la viteză maximă prin cablu către „Dispozitivul de protecție anti-DDOS”. Odată detectat un IP al serverului (sau un segment de rețea IP) după atac, „Dispozitivul de protecție anti-DDOS” va genera reguli de potrivire a fluxului de trafic țintă și le va trimite către „Network Inline Bypass” prin interfața de livrare a politicilor dinamice. „Network Inline Bypass” poate actualiza „Dynamic Traction Traffic Seed” după ce primește regulile de politică dinamică și poate imediat „regula” atinge traficul serverului de atac pentru procesare, pentru ca acesta să fie eficient după atac și apoi să fie reinjectat în rețea.
Schema de aplicație bazată pe „Network Inline Bypass” este mai ușor de implementat decât injecția tradițională de rute BGP sau alte scheme de tracțiune a traficului, iar mediul este mai puțin dependent de rețea, iar fiabilitatea este mai mare.
„Network Inline Bypass” are următoarele caracteristici pentru a susține protecția dinamică prin detectarea securității politicilor:
1, „Network Inline Bypass” pentru a oferi în afara regulilor, bazată pe interfața WEBSERVICE, integrare ușoară cu dispozitive de securitate terțe.
2, „Bypass în linie de rețea” bazat pe cipul ASIC pur hardware care redirecționează pachete cu viteză prin cablu de până la 10 Gbps fără a bloca redirecționarea comutatorului și „bibliotecă de reguli dinamice de tracțiune a traficului” indiferent de număr.
3. Funcția profesională BYPASS încorporată „Network Inline Bypass” permite ocolirea imediată a legăturii seriale originale chiar și în cazul unei defecțiuni a dispozitivului de protecție, fără a afecta legătura originală de comunicare normală.
Data publicării: 23 decembrie 2021
