1- Czym jest pakiet Define Heartbeat?
Pakiety heartbeat przełącznika Mylinking™ Network Tap Bypass Switch domyślnie przesyłają ramki Ethernet Layer 2. Podczas wdrażania trybu mostkowania transparentnego Layer 2 (takiego jak IPS/FW), ramki Ethernet Layer 2 są zazwyczaj przesyłane dalej, blokowane lub odrzucane. Jednocześnie przełącznik Mylinking™ Network Tap Bypass Switch obsługuje niestandardowy format wiadomości heartbeat, aby sprostać sytuacji, w której niektóre specjalne urządzenia zabezpieczające szeregowe nie mogą normalnie przesyłać dalej zwykłych ramek Ethernet Layer 2.
A Mylinking™ Network Tap Bypass Switch obsługuje również wykrywanie pakietów heartbeat na podstawie znacznika VLAN, niestandardowych typów wiadomości warstwy 3 i warstwy 4. Na podstawie tego mechanizmu użytkownik może wdrożyć funkcję testu bezpieczeństwa usługi urządzenia bezpieczeństwa połączenia, aby zwiększyć skuteczność w zapewnianiu prawidłowego działania odpowiednich usług bezpieczeństwa.
Mylinking™ Network Tap Bypass Switch może obsługiwać monitor w celu wysyłania różnych pakietów heartbeat w obu kierunkach. Na przykład pakiety heartbeat typu TCP i UDP są dostosowywane w „Strategy Traffic Traction Protector”, zgodnie ze specyfiką urządzenia szeregowego. Możesz skonfigurować wysyłanie pakietów heartbeat TCP na porcie monitora łącza w górę A i wysyłanie pakietów heartbeat UDP na porcie monitora łącza w dół B, aby dostosować mechanizm przekazywania wiadomości urządzenia zabezpieczającego szeregowego. Ta funkcja może skuteczniej zagwarantować ciąg. Podłącz sprzęt bezpieczeństwa do normalnej pracy.
Przełącznik obejściowy sieciowy Mylinking™ został opracowany i przebadany pod kątem elastycznego wdrażania różnych typów urządzeń zabezpieczających przy jednoczesnym zapewnieniu wysokiej niezawodności sieci.
2-sieciowy przełącznik obejściowy Inline Zaawansowane funkcje i technologie
Technologia trybu ochrony Mylinking™ „SpecFlow” i trybu ochrony „FullLink”
Technologia ochrony przełączania szybkiego obejścia Mylinking™
Technologia Mylinking™ „LinkSafeSwitch”
Mylinking™ „WebService” Dynamiczna strategia przekazywania/wydawania technologii
Technologia inteligentnego wykrywania wiadomości Heartbeat Mylinking™
Technologia Mylinking™ Definiowalnych Wiadomości Heartbeat
Technologia równoważenia obciążenia wielolinkowego Mylinking™
Mylinking™ Inteligentna technologia dystrybucji ruchu
Technologia dynamicznego równoważenia obciążenia Mylinking™
Technologia zdalnego zarządzania Mylinking™ (HTTP/WEB, TELNET/SSH, cechy „EasyConfig/AdvanceConfig”)
3-Aplikacja przełącznika obejściowego sieciowego (jak poniżej)
3.1 Ryzyko związane ze sprzętem zabezpieczającym w linii (IPS/FW)
Poniżej przedstawiono typowy tryb wdrożenia IPS (systemu zapobiegania włamaniom), FW (zapory sieciowej). IPS/FW wdrażany jest szeregowo w sprzęcie sieciowym (routerach, przełącznikach itp.) pomiędzy ruchem poprzez wdrożenie kontroli bezpieczeństwa, zgodnie z odpowiednią polityką bezpieczeństwa w celu określenia zwolnienia lub zablokowania odpowiedniego ruchu, aby osiągnąć efekt obrony bezpieczeństwa.
Jednocześnie możemy obserwować IPS/FW jako szeregowe wdrożenie sprzętu, zwykle wdrażane w kluczowej lokalizacji sieci przedsiębiorstwa w celu wdrożenia szeregowego bezpieczeństwa, niezawodność podłączonych urządzeń bezpośrednio wpływa na ogólną dostępność sieci przedsiębiorstwa. Gdy urządzenia szeregowe ulegną przeciążeniu, awarii, aktualizacji oprogramowania, aktualizacji zasad itp., dostępność całej sieci przedsiębiorstwa zostanie znacznie naruszona. W tym momencie, tylko poprzez odcięcie sieci, fizyczny zworka obejściowa może przywrócić sieć, poważnie wpływając na niezawodność sieci. IPS/FW i inne urządzenia szeregowe z jednej strony poprawiają wdrożenie zabezpieczeń sieci przedsiębiorstwa, z drugiej strony również zmniejszają niezawodność sieci przedsiębiorstwa, zwiększając ryzyko, że sieć nie będzie dostępna.
3.2 Ochrona sprzętu serii Inline Link
Mylinking™ „Network Inline Bypass” jest wdrażany szeregowo między urządzeniami sieciowymi (routerami, przełącznikami itp.), a przepływ danych między urządzeniami sieciowymi nie prowadzi już bezpośrednio do IPS/FW, „Network Inline Bypass” do IPS/FW, gdy IPS/FW z powodu przeciążenia, awarii, aktualizacji oprogramowania, aktualizacji zasad i innych warunków awarii, „Network Inline Bypass” poprzez inteligentną funkcję wykrywania wiadomości heartbeat w odpowiednim czasie, a tym samym pomija wadliwe urządzenie, bez przerywania działania sieci, szybki sprzęt sieciowy bezpośrednio podłączony w celu ochrony normalnej sieci komunikacyjnej; gdy odzyskiwanie awarii IPS/FW, ale także poprzez inteligentne pakiety heartbeat Wykrywanie w odpowiednim czasie funkcji, oryginalne łącze w celu przywrócenia bezpieczeństwa kontroli bezpieczeństwa sieci przedsiębiorstwa.
Mylinking™ „Network Inline Bypass” ma potężną, inteligentną funkcję wykrywania wiadomości pulsu. Użytkownik może dostosować interwał pulsu i maksymalną liczbę ponownych prób za pomocą niestandardowej wiadomości pulsu na IPS/FW w celu przeprowadzenia testów stanu, np. wysłania wiadomości sprawdzającej puls do portu nadrzędnego/podrzędnego IPS/FW, a następnie odebrania jej z portu nadrzędnego/podrzędnego IPS/FW i oceny, czy IPS/FW działa normalnie, poprzez wysyłanie i odbieranie wiadomości pulsu.
3.3 Polityka „SpecFlow” Ochrona serii Flow Inline Traction
Gdy urządzenie sieciowe zabezpieczające musi poradzić sobie tylko ze specyficznym ruchem w szeregowej ochronie bezpieczeństwa, poprzez funkcję przetwarzania ruchu Mylinking™ „Network Inline Bypass”, poprzez strategię przesiewania ruchu, aby połączyć urządzenie zabezpieczające „Concerned” ruch jest odsyłany bezpośrednio do łącza sieciowego, a „sekcja ruchu zaniepokojonego” jest trakcją dla urządzenia bezpieczeństwa w linii, aby wykonać kontrole bezpieczeństwa. To nie tylko utrzyma normalne zastosowanie funkcji wykrywania bezpieczeństwa urządzenia bezpieczeństwa, ale także zmniejszy nieefektywny przepływ sprzętu bezpieczeństwa w celu radzenia sobie z ciśnieniem; w tym samym czasie „Network Inline Bypass” może wykryć stan roboczy urządzenia bezpieczeństwa w czasie rzeczywistym. Urządzenie bezpieczeństwa działa nieprawidłowo, omijając ruch danych bezpośrednio, aby uniknąć zakłócenia usługi sieciowej.
3.4 Ochrona szeregowa z równoważonym obciążeniem
Mylinking™ „Network Inline Bypass” jest wdrażany szeregowo między urządzeniami sieciowymi (routerami, przełącznikami itp.). Gdy pojedyncza wydajność przetwarzania IPS/FW nie jest wystarczająca, aby poradzić sobie ze szczytowym ruchem łącza sieciowego, funkcja równoważenia obciążenia ruchem ochraniacza, „łączenie” wielu klastrów przetwarzania ruchu łącza sieciowego IPS/FW, może skutecznie zmniejszyć nacisk przetwarzania pojedynczego IPS/FW, poprawić ogólną wydajność przetwarzania, aby sprostać dużej przepustowości środowiska wdrożenia.
Funkcja Mylinking™ „Network Inline Bypass” ma wydajną funkcję równoważenia obciążenia, która opiera się na znaczniku ramki VLAN, informacjach MAC, informacjach IP, numerze portu, protokole i innych informacjach dotyczących rozkładu obciążenia Hash w ruchu, aby zapewnić integralność sesji przepływu otrzymanych danych przez każdy IPS/FW.
3.5 Ochrona przepływu w urządzeniach wielosezonowych (zmiana połączenia szeregowego na połączenie równoległe)
W niektórych kluczowych łączach (takich jak gniazda internetowe, łącze wymiany obszaru serwera) lokalizacja jest często spowodowana potrzebami funkcji bezpieczeństwa i wdrożeniem wielu in-line'owych urządzeń testujących bezpieczeństwo (takich jak zapora sieciowa, sprzęt anty-DDOS, zapora aplikacji WEB, sprzęt zapobiegający włamaniom itp.), wiele urządzeń wykrywających bezpieczeństwo w tym samym czasie szeregowo na łączu w celu zwiększenia łącza pojedynczego punktu awarii, zmniejszając ogólną niezawodność sieci. A w wyżej wymienionym wdrożeniu online sprzętu bezpieczeństwa, uaktualnieniach sprzętu, wymianie sprzętu i innych operacjach, spowoduje to długotrwałą przerwę w świadczeniu usług w sieci i większe cięcia projektu w celu ukończenia pomyślnej realizacji takich projektów.
Dzięki wdrożeniu „Network Inline Bypass” w sposób ujednolicony, tryb wdrażania wielu urządzeń zabezpieczających połączonych szeregowo na tym samym łączu można zmienić z „trybu fizycznej konkatenacji” na „fizyczną konkatenację, tryb logicznej konkatenacji”. Łącze na łączu pojedynczego punktu awarii poprawia niezawodność łącza, podczas gdy „Network Inline Bypass” na łączu przepływa na żądanie trakcji, aby osiągnąć ten sam przepływ z oryginalnym trybem bezpiecznego przetwarzania.
Schemat rozmieszczenia więcej niż jednego urządzenia zabezpieczającego w tym samym czasie w układzie szeregowym:
Schemat wdrożenia przełącznika obejściowego sieciowego:
3.6 Na podstawie dynamicznej strategii wykrywania zagrożeń ruchu drogowego
„Omijanie sieci w trybie inline” Inny zaawansowany scenariusz aplikacji opiera się na dynamicznej strategii aplikacji zabezpieczających wykrywanie zagrożeń ruchu drogowego, których wdrożenie pokazano poniżej:
Weźmy na przykład sprzęt do testowania bezpieczeństwa „Ochrona i wykrywanie ataków anty-DDoS”, poprzez wdrożenie front-end „Network Inline Bypass”, a następnie sprzęt do ochrony anty-DDoS, a następnie podłączony do „Network Inline Bypass”, w zwykłym „Traction Protector” do pełnej ilości ruchu przesyłanego z prędkością łącza w tym samym czasie, gdy wyjście lustrzane przepływu jest przesyłane do „urządzenia do ochrony przed atakami anty-DDoS”, po wykryciu dla serwera IP (lub segmentu sieci IP) po ataku, „urządzenie do ochrony przed atakami anty-DDoS” wygeneruje reguły dopasowania docelowego przepływu ruchu i wyśle je do „Network Inline Bypass” za pośrednictwem dynamicznego interfejsu dostarczania zasad. „Network Inline Bypass” może zaktualizować „dynamikę trakcji ruchu” po otrzymaniu dynamicznych zasad puli reguł „i natychmiast” reguła uderzy w ruch serwera atakującego „trakcja do sprzętu do ochrony przed atakami anty-DDoS i wykrywania” w celu przetworzenia, aby był skuteczny po przepływie ataku, a następnie ponownie wprowadzony do sieci.
Schemat aplikacji oparty na „Network Inline Bypass” jest łatwiejszy do wdrożenia niż tradycyjny schemat wtrysku tras BGP lub inny schemat trakcji ruchu, a środowisko jest mniej zależne od sieci, a niezawodność jest wyższa.
„Network Inline Bypass” ma następujące cechy umożliwiające obsługę dynamicznej ochrony wykrywania zasad bezpieczeństwa:
1. „Network Inline Bypass” umożliwia poza regułami opartymi na interfejsie WEBSERIVCE łatwą integrację z urządzeniami zabezpieczającymi innych firm.
2. „Network Inline Bypass” oparty na czystym układzie scalonym ASIC przesyłającym pakiety z prędkością do 10 Gb/s bez blokowania przesyłania przełącznika oraz „biblioteka dynamicznych reguł trakcji ruchu” niezależnie od liczby.
3. Wbudowana profesjonalna funkcja BYPASS „Network Inline Bypass” pozwala nawet w przypadku awarii samego zabezpieczenia natychmiast ominąć oryginalne łącze szeregowe, nie wpływając na oryginalne łącze normalnej komunikacji.
Czas publikacji: 23-12-2021
