1- Czym jest pakiet Define Heartbeat?
Pakiety Heartbeat przełącznika Mylinking™ Network Tap Bypass Switch domyślnie przesyłają ramki Ethernet warstwy 2. Podczas wdrażania transparentnego trybu mostowania warstwy 2 (takiego jak IPS/FW), ramki Ethernet warstwy 2 są zazwyczaj przekazywane, blokowane lub odrzucane. Jednocześnie przełącznik Mylinking™ Network Tap Bypass Switch obsługuje niestandardowy format wiadomości Heartbeat, aby sprostać sytuacji, w której niektóre specjalne urządzenia zabezpieczające nie mogą normalnie przekazywać zwykłych ramek Ethernet warstwy 2.
Przełącznik Mylinking™ Network Tap Bypass Switch obsługuje również detekcję pakietów Heartbeat na podstawie znacznika VLAN oraz niestandardowych typów komunikatów warstwy 3 i 4. Dzięki temu mechanizmowi użytkownik może wdrożyć funkcję testu bezpieczeństwa usługi urządzenia zabezpieczającego połączenie, aby zwiększyć skuteczność i zapewnić prawidłowe działanie odpowiednich usług bezpieczeństwa.
Przełącznik obejścia sieci Mylinking™ Network Tap Bypass może obsługiwać monitor w celu wysyłania różnych pakietów heartbeat w obu kierunkach. Na przykład, pakiety heartbeat typu TCP i UDP są dostosowywane w „Strategy Traffic Traction Protector” zgodnie ze specyfiką urządzenia szeregowego. Można skonfigurować wysyłanie pakietów heartbeat TCP na porcie A monitora łącza w górę i wysyłanie pakietów heartbeat UDP na porcie B monitora łącza w dół, aby dostosować mechanizm przekazywania komunikatów urządzenia zabezpieczającego port szeregowy. Ta funkcja może skuteczniej gwarantować ciąg. Podłącz urządzenia zabezpieczające do normalnej pracy.
Przełącznik obejściowy sieciowy Mylinking™ został przebadany i opracowany z myślą o elastycznym wdrażaniu różnych typów szeregowego sprzętu zabezpieczającego, zapewniając jednocześnie wysoką niezawodność sieci.
2-sieciowy przełącznik obejściowy z zaawansowanymi funkcjami i technologiami
Technologia trybu ochrony Mylinking™ „SpecFlow” i trybu ochrony „FullLink”
Technologia ochrony przełączania szybkiego obejścia Mylinking™
Technologia Mylinking™ „LinkSafeSwitch”
Technologia dynamicznej strategii przekazywania/wydawania Mylinking™ „WebService”
Technologia inteligentnego wykrywania wiadomości Heartbeat Mylinking™
Technologia definiowalnych komunikatów Heartbeat Mylinking™
Technologia równoważenia obciążenia wielolinkowego Mylinking™
Technologia inteligentnej dystrybucji ruchu Mylinking™
Technologia dynamicznego równoważenia obciążenia Mylinking™
Technologia zdalnego zarządzania Mylinking™ (HTTP/WEB, TELNET/SSH, cechy „EasyConfig/AdvanceConfig”)
3-Zastosowanie przełącznika obejściowego sieciowego (jak poniżej)
3.1 Ryzyko związane ze sprzętem zabezpieczającym w linii (IPS/FW)
Poniżej przedstawiono typowy tryb wdrożenia IPS (system zapobiegania włamaniom), FW (zapora sieciowa). IPS/FW wdrażany jest szeregowo w sprzęcie sieciowym (routerach, przełącznikach itp.) pomiędzy ruchem poprzez wdrożenie kontroli bezpieczeństwa, zgodnie z odpowiednią polityką bezpieczeństwa w celu określenia zwolnienia lub zablokowania odpowiedniego ruchu, aby osiągnąć efekt obrony bezpieczeństwa.
Jednocześnie możemy zaobserwować, że IPS/FW to szeregowe wdrażanie sprzętu, zazwyczaj w kluczowej lokalizacji sieci przedsiębiorstwa w celu wdrożenia zabezpieczeń szeregowych. Niezawodność podłączonych urządzeń ma bezpośredni wpływ na ogólną dostępność sieci przedsiębiorstwa. Przeciążenie urządzeń szeregowych, awarie, aktualizacje oprogramowania, aktualizacje zasad itp. znacząco wpływają na dostępność całej sieci przedsiębiorstwa. W tym momencie, jedynie poprzez odcięcie sieci i fizyczne obejście, możemy przywrócić sieć, co poważnie wpływa na jej niezawodność. IPS/FW i inne urządzenia szeregowe z jednej strony poprawiają wdrażanie zabezpieczeń sieci przedsiębiorstwa, z drugiej strony obniżają niezawodność sieci przedsiębiorstwa, zwiększając ryzyko braku dostępności sieci.
3.2 Ochrona sprzętu serii Inline Link
Mylinking™ „Network Inline Bypass” jest wdrażany szeregowo między urządzeniami sieciowymi (routerami, przełącznikami itp.), a przepływ danych między urządzeniami sieciowymi nie prowadzi już bezpośrednio do IPS/FW, „Network Inline Bypass” do IPS/FW. Gdy IPS/FW z powodu przeciążenia, awarii, aktualizacji oprogramowania, aktualizacji zasad i innych warunków awarii, „Network Inline Bypass” poprzez inteligentną funkcję wykrywania wiadomości heartbeat ma funkcję szybkiego wykrywania, a tym samym pomija wadliwe urządzenie, bez przerywania działania sieci, szybki sprzęt sieciowy jest bezpośrednio podłączony do ochrony normalnej sieci komunikacyjnej; gdy odzyskiwanie po awarii IPS/FW, ale także poprzez inteligentne pakiety heartbeat. Wykrywanie funkcji w odpowiednim czasie, oryginalne łącze przywraca bezpieczeństwo kontroli bezpieczeństwa sieci przedsiębiorstwa.
Mylinking™ „Network Inline Bypass” ma potężną, inteligentną funkcję wykrywania wiadomości pulsu. Użytkownik może dostosować interwał pulsu i maksymalną liczbę ponownych prób za pomocą niestandardowej wiadomości pulsu na IPS/FW w celu sprawdzenia stanu, np. wysłania wiadomości sprawdzającej puls do portu upstream/downstream IPS/FW, a następnie odebrania jej z portu upstream/downstream IPS/FW i oceny, czy IPS/FW działa normalnie, wysyłając i odbierając wiadomość pulsu.
3.3 Polityka „SpecFlow” Ochrona serii Flow Inline Traction
Gdy urządzenie sieciowe zabezpieczające musi obsłużyć tylko określony ruch w szeregu zabezpieczeń, funkcja przetwarzania ruchu Mylinking™ „Network Inline Bypass” za pomocą strategii kontroli ruchu łączy urządzenie zabezpieczające z ruchem „Concerned”, który jest odsyłany bezpośrednio do łącza sieciowego, a „zainteresowana sekcja ruchu” jest kierowana do urządzenia zabezpieczającego w celu przeprowadzenia kontroli bezpieczeństwa. Pozwoli to nie tylko na utrzymanie normalnego działania funkcji wykrywania bezpieczeństwa urządzenia zabezpieczającego, ale także zmniejszy nieefektywny przepływ urządzeń zabezpieczających w celu radzenia sobie z ciśnieniem; jednocześnie „Network Inline Bypass” może wykrywać stan pracy urządzenia zabezpieczającego w czasie rzeczywistym. Urządzenie zabezpieczające działa nieprawidłowo, bezpośrednio omijając ruch danych, aby uniknąć zakłóceń w usłudze sieciowej.
3.4 Zabezpieczenie szeregowe z równoważonym obciążeniem
Funkcja Mylinking™ „Network Inline Bypass” jest wdrażana szeregowo między urządzeniami sieciowymi (routerami, przełącznikami itp.). Gdy wydajność przetwarzania pojedynczego IPS/FW nie jest wystarczająca do obsługi szczytowego ruchu w łączu sieciowym, funkcja równoważenia obciążenia w module Protector, czyli „grupowanie” wielu klastrów IPS/FW przetwarzających ruch w łączu sieciowym, może skutecznie zmniejszyć obciążenie pojedynczego IPS/FW i poprawić ogólną wydajność przetwarzania, aby sprostać wysokim wymaganiom przepustowości środowiska wdrożeniowego.
Funkcja Mylinking™ „Network Inline Bypass” ma wydajną funkcję równoważenia obciążenia, która na podstawie znacznika VLAN ramki, informacji MAC, informacji IP, numeru portu, protokołu i innych informacji dotyczących rozkładu obciążenia Hash równoważy ruch, aby zapewnić integralność sesji każdego IPS/FW otrzymanego przepływu danych.
3.5 Zabezpieczenie trakcji przepływu w urządzeniach wielosegmentowych (zmiana połączenia szeregowego na równoległe)
W przypadku niektórych kluczowych łączy (takich jak gniazda internetowe, łącza wymiany serwerów) lokalizacja często wynika z potrzeb związanych z zabezpieczeniami i koniecznością wdrożenia wielu urządzeń do testowania bezpieczeństwa (takich jak zapora sieciowa, sprzęt anty-DDOS, zapora sieciowa aplikacji internetowych, sprzęt zapobiegający włamaniom itp.), a także jednoczesnego szeregowego stosowania wielu urządzeń do wykrywania zagrożeń na łączu, co zwiększa ryzyko awarii pojedynczego punktu, zmniejszając ogólną niezawodność sieci. W przypadku wspomnianego sprzętu zabezpieczającego, jego wdrożenie on-line, modernizacja, wymiana i inne operacje spowodują długotrwałe przerwy w działaniu sieci i konieczność przeprowadzenia działań mających na celu pomyślne wdrożenie.
Dzięki wdrożeniu „Network Inline Bypass” w sposób ujednolicony, tryb wdrażania wielu urządzeń zabezpieczających połączonych szeregowo na tym samym łączu można zmienić z „trybu łączenia fizycznego” na „tryb łączenia fizycznego, logicznego”. Łącze na łączu pojedynczego punktu awarii poprawia niezawodność łącza, podczas gdy „Network Inline Bypass” na łączu przepływa na żądanie, aby osiągnąć ten sam przepływ z oryginalnym trybem bezpiecznego przetwarzania.
Schemat rozmieszczenia więcej niż jednego urządzenia zabezpieczającego jednocześnie w układzie szeregowym:
Schemat wdrożenia przełącznika obejściowego sieciowego:
3.6 W oparciu o dynamiczną strategię ochrony przed wykrywaniem zagrożeń ruchu drogowego
„Omijanie sieciowe” Inny zaawansowany scenariusz zastosowania opiera się na dynamicznej strategii aplikacji zabezpieczających wykrywanie zagrożeń ruchu drogowego, wdrażanie w sposób pokazany poniżej:
Weźmy na przykład testowanie sprzętu bezpieczeństwa „Ochrona przed atakami DDoS i ich wykrywanie”, poprzez wdrożenie front-endu „Network Inline Bypass”, a następnie sprzętu ochrony przed atakami DDoS, który następnie jest podłączony do „Network Inline Bypass”, w zwykłym „Traction Protector” do pełnej ilości ruchu przesyłanego z prędkością łącza, jednocześnie przesyłając dane wyjściowe do „urządzenia ochrony przed atakami DDoS”, po wykryciu adresu IP serwera (lub segmentu sieci IP) po ataku „urządzenie ochrony przed atakami DDoS” wygeneruje reguły dopasowania docelowego przepływu ruchu i wyśle je do „Network Inline Bypass” za pośrednictwem interfejsu dostarczania dynamicznych zasad. „Network Inline Bypass” może aktualizować „dynamikę trakcji ruchu” po otrzymaniu dynamicznych reguł zasad puli reguł „i natychmiast” reguła trafia do atakującego ruchu serwera „trakcji” do sprzętu „ochrona przed atakami DDoS i ich wykrywanie” w celu przetworzenia, aby był skuteczny po przepływie ataku, a następnie ponownie wprowadzony do sieci.
Schemat aplikacji bazujący na „Network Inline Bypass” jest łatwiejszy do wdrożenia niż tradycyjny schemat wstrzykiwania tras BGP lub inny schemat trakcji ruchu, a środowisko jest mniej zależne od sieci, a niezawodność jest wyższa.
„Network Inline Bypass” ma następujące cechy umożliwiające obsługę dynamicznej ochrony wykrywania zasad bezpieczeństwa:
1. „Network Inline Bypass” umożliwia wyjście poza reguły oparte na interfejsie WEBSERIVCE i łatwą integrację z urządzeniami zabezpieczającymi innych firm.
2. „Network Inline Bypass” oparty na czystym układzie scalonym ASIC przesyłającym pakiety z prędkością do 10 Gb/s bez blokowania przesyłania przełącznika oraz „biblioteka dynamicznych reguł trakcji ruchu” niezależnie od liczby.
3. Wbudowana profesjonalna funkcja BYPASS „Network Inline Bypass” umożliwia natychmiastowe ominięcie oryginalnego łącza szeregowego nawet w przypadku awarii samego zabezpieczenia, nie wpływając na oryginalne łącze normalnej komunikacji.
Czas publikacji: 23-12-2021
