Mylinking™ Network Packet Broker con switch di bypass in linea ML-NPB-M2000
Modulo bypass: 8*10G SFP+ e 4*100GE, Modulo monitor: 16*10GE SFP+ e 4*100GE, Max 2,4 Tbps
1-Panoramiche
Con il rapido sviluppo di Internet, la minaccia alla sicurezza delle informazioni di rete sta diventando sempre più seria, pertanto si sta diffondendo sempre di più una varietà di applicazioni per la protezione della sicurezza delle informazioni. Che si tratti di tradizionali dispositivi di controllo degli accessi (firewall) o di nuovi tipi di strumenti di protezione più avanzati come sistemi di prevenzione delle intrusioni (IPS), piattaforme unificate di gestione delle minacce (UTM), sistemi anti-attacco denial-service (Anti-DDoS), gateway antispam, sistemi unificati di identificazione e controllo del traffico DPI, molti dispositivi di sicurezza vengono implementati in serie nei nodi chiave della rete, con l'applicazione delle relative politiche di sicurezza dei dati per identificare e gestire il traffico lecito/illegale. Allo stesso tempo, tuttavia, in un ambiente di rete di produzione altamente affidabile, si verificano notevoli ritardi o addirittura interruzioni di rete in caso di failover, manutenzione, aggiornamento, sostituzione di apparecchiature e così via, una situazione inaccettabile per gli utenti.
Il broker di pacchetti di rete Mylinking™ ML-NPB-M2000 con switch di bypass in linea è stato progettato e sviluppato per consentire un'implementazione flessibile di diverse tipologie di apparecchiature di sicurezza seriali, garantendo al contempo un'elevata affidabilità di rete.
Implementando Mylinking™ Network Packet Broker e Inline Bypass Switch:
●Gli utenti possono installare/disinstallare in modo flessibile i dispositivi di protezione di sicurezza senza influire o interrompere la rete esistente;
● È dotato di una funzione intelligente di rilevamento dello stato di salute per monitorare in tempo reale il normale funzionamento dei dispositivi di sicurezza collegati. Qualora un dispositivo di sicurezza collegato non funzioni correttamente, il sistema di protezione lo bypasserà automaticamente per mantenere la normale comunicazione di rete.
●La tecnologia di protezione selettiva del traffico può essere utilizzata per implementare apparecchiature di sicurezza specifiche per il filtraggio del traffico, apparecchiature di audit basate sulla crittografia, ecc. Implementa efficacemente la protezione dell'accesso in linea per specifici tipi di traffico, alleggerendo il carico di elaborazione del traffico dei dispositivi in linea.
● La tecnologia di protezione del traffico con bilanciamento del carico può essere utilizzata per implementare dispositivi in linea sicuri in cluster, al fine di soddisfare le esigenze di protezione della sicurezza in linea in ambienti con elevata pressione sulla larghezza di banda.
●È dotato di funzionalità proxy SSL, che soddisfano i requisiti di monitoraggio e analisi dei dispositivi di protezione della sicurezza per i contenuti di dati in chiaro.
● Possiede funzionalità di elaborazione del traffico di base come la replica, l'aggregazione, il filtraggio e l'etichettatura del traffico, nonché funzionalità di elaborazione del traffico avanzate come la deduplicazione, il mascheramento, l'identificazione del protocollo a livello applicativo e la modellazione del traffico.
2-Mylinking™ Network Packet Broker con switch di bypass in linea: funzionalità e tecnologie avanzate
Tecnologia Mylinking™ con modalità di protezione “SpecFlow” e “FullLink”.
Tecnologia di protezione con commutazione a bypass rapido Mylinking™
Tecnologia Mylinking™ “LinkSafeSwitch”
Tecnologia Mylinking™ “WebService” per l’inoltro/emissione dinamica delle policy.
Tecnologia Mylinking™ per il rilevamento intelligente dei pacchetti del battito cardiaco
Mylinking™ Tecnologia dei pacchetti di battito cardiaco definibili
Mylinking™ Tecnologia di bilanciamento del carico multilink
Mylinking™ Tecnologia intelligente per la distribuzione del traffico
Mylinking™ Tecnologia di bilanciamento dinamico del carico
Mylinking™ Tecnologia di gestione remota (HTTP/WEB, TELNET/SSH, funzionalità "EasyConfig/AdvanceConfig")
3-Guida alla configurazione di Mylinking™ Network Packet Broker con switch di bypass in linea
Come illustrato nello schema sopra riportato, l'intera unità è composta da quattro slot modulari:
Gli slot per moduli SLOT1, SLOT2, SLOT3 e SLOT4 possono ospitare moduli per porte di protezione BYPASS o moduli per porte MONITOR con diverse velocità e numero di porte. Sostituendo i diversi modelli di moduli, è possibile supportare la protezione BYPASS per più collegamenti 10G/40G/100G, nonché l'implementazione di apparecchiature di monitoraggio Inline Bypass per più collegamenti 10G/40G/100G.
Nota: sia il modulo BYPASS che il modulo MONITOR supportano la sostituzione a caldo.
3.1-Elenco delle specifiche del modulo
| Modello di prodotto | FunzionalePparametri |
| CHassis | |
| ML-NPB-M2000-CHS/AC | Montaggio su rack standard 2U da 19 pollici; consumo energetico massimo 300 W; unità principale di protezione BYPASS modulare; 4 slot per moduli; 1 interfaccia console RS232, 1 interfaccia RJ45 10/100/1000M con gestione di rete esterna; doppia alimentazione CA-220 V; |
| NT-BYPASS-M2000-CHS/DC | Montaggio su rack standard 2U da 19 pollici; consumo energetico massimo 300 W; unità principale di protezione BYPASS modulare; 4 slot per moduli; 1 interfaccia console RS232, 1 interfaccia RJ45 10/100/1000M con gestione di rete esterna; doppia alimentazione CC-48 V; |
| BYPASSMmodulo | |
| INL-I8XM8X(LM/SM) | Supporta la protezione della connessione seriale a 4 vie 10GE (compatibile con 1G), con un totale di 8 interfacce 10GE; supporta 8 porte di monitoraggio SFP+ 10G (esclusi i moduli ottici). |
| INL-I4HM2H (LM/SM) | Supporta la protezione seriale del collegamento 100GE bidirezionale (compatibile con 40GE), con un totale di 4 interfacce 100GE; supporta 2 porte di monitoraggio QSFP28 100GE (esclusi i moduli ottici). |
| Modulo MONITOR | |
| MON-M16X | 16 porte di monitoraggio SFP+ 10GE (esclusi i moduli ottici); |
| MON-M16X-CN98 | 16 porte di monitoraggio 10GE SFP+ (modulo ottico non incluso); dotato di un motore di funzioni avanzato, che supporta funzioni avanzate di elaborazione del traffico come la decrittazione SSL bypass, il proxy SSL e la deduplicazione del traffico; |
| LUN-M4H | 4 porte di monitoraggio 100GE QSFP28 (moduli ottici non inclusi); |
| MON-M4H-CN98 | 4 porte di monitoraggio 100GE QSFP28 (moduli ottici non inclusi); dotato di un motore di funzioni avanzato, che supporta funzioni avanzate di elaborazione del traffico come la decrittazione SSL bypass, il proxy SSL e la deduplicazione del traffico; |
3.2-Regole di selezione del modulo
In base ai diversi collegamenti protetti e ai requisiti di installazione delle apparecchiature di monitoraggio, è possibile scegliere in modo flessibile diverse configurazioni di moduli per soddisfare le esigenze specifiche del proprio ambiente; si prega di seguire queste regole durante la selezione:
1) L'assemblaggio del telaio è un componente obbligatorio e deve essere selezionato prima di scegliere qualsiasi altro modulo. Selezionare inoltre il metodo di alimentazione appropriato (CA/CC) in base alle proprie esigenze.
2) L'unità supporta un massimo di 4 slot per moduli; non è possibile selezionare un numero di moduli superiore al numero di slot disponibili per la configurazione. Grazie alla combinazione flessibile di diversi modelli di moduli, l'unità può supportare la protezione seriale fino a 16 collegamenti 10GE/GE o 8 collegamenti 100GE/40GE.
4-Capacità di elaborazione intelligente del traffico
4.1-Distribuzione in linea
Protezione in linea del traffico specifico
SupportaIn linea(seriale)modalità di protezione per specifici tipi di traffico in qualsiasiin lineacollegamento.Toinoltrare alcuni tipi di traffico specificati dall'utente suin lineacollegamento alIn linea Ssicurezzadispositivoper l'elaborazione e il resto del traffico viene inoltrato direttamente senza passare attraverso ilIn linea SsicurezzadispositivoAllo stesso tempo,itesegue il monitoraggio in tempo reale dello stato di esecuzione diIn linea Ssicurezzadispositivo. Una volta rilevato lo stato anomalo di elaborazione del traffico,itverrà automaticamente escluso dal percorso di trasmissione del traffico per garantire la continuità del servizio di rete.
Protezione in linea per tutto il traffico
SupportaIn linea(seriale)modalità di protezione per tutti i tipi di traffico in qualsiasiin lineacollegamento.Totrasmettere tutto il traffico nelin lineacollegamento alIn linea Ssicurezzadispositivoper l'elaborazione e il monitoraggio dello stato di funzionamento della sicurezza in lineadispositivoin tempo reale. Una volta rilevato lo stato anomalo di elaborazione del traffico,itverrà automaticamente escluso dal percorso di trasmissione del traffico per garantire la continuità del servizio di rete.
Bilanciamento del carico
Dispone di funzionalità intelligenti di bilanciamento del carico del traffico. Quando le prestazioni di elaborazione di un singoloIn linea Ssicurezzadispositivonon è sufficiente per affrontare ilin lineacollega il traffico di comunicazione, può allocare ilin lineacollega il traffico alle interfacce N Monitor configurando un gruppo di bilanciamento del carico. In base alle informazioni MAC, IP, numero di porta, protocollo e altre informazioni,itesegue l'output di bilanciamento del carico dell'algoritmo Hash opzionale, in modo chein lineaIl traffico del collegamento è distribuito uniformemente a piùin lineasicurezzaattrezzos per l'elaborazione cluster, che migliora efficacemente le prestazioni di elaborazione complessive delin lineasicurezzaattrezzos. Al fine di adattarsi ai requisiti di scenari applicativi ad alta larghezza di banda e traffico elevato.
Rilevamento del pacchetto del battito cardiaco
SupportaTxERxpacchetti di rilevamento del battito cardiaco attraverso il collegamento in salita e in discesa dei dispositivi connessiin lineadispositivi di sicurezza e rileva ilstrumenti in lineastato di funzionamento e se il processo di elaborazione del traffico è normale. Il battito cardiaco bidirezionalepacchettoIl meccanismo di rilevamento può riflettere in modo più accurato lo stato di funzionamento attuale delin lineasicurezzadispositivoe garantire in modo più efficace il normale funzionamento della rete.
Può personalizzare i parametri del battito cardiaco di qualsiasiin lineadispositivo di sicurezza, come il battito cardiacoTxtempo di intervallo, numero massimo di tentativi di battito cardiaco, battito cardiacoTxdirezione, ecc. Può rilevare e valutare lo stato di guasto diin lineadispositivi di sicurezza in tempo e realizzare una commutazione rapida dei collegamenti di protezione.
I pacchetti di rilevamento heartbeat sono frame Ethernet di livello 2 predefiniti. Quando viene implementata la modalità bridge trasparente di livello 2 (come IPS/FW), i frame Ethernet di livello 2 vengono inoltrati normalmente senza essere bloccati o scartati. Allo stesso tempo, può anche supportare pacchetti di rilevamento heartbeat Ethernet personalizzati di livello 2, livello 3 e livello 4 per adattarsi ad alcune esigenze specifiche.in lineaI dispositivi di sicurezza normalmente non possono inoltrare i frame Ethernet di livello 2 standard.
Grazie al meccanismo descritto, gli utenti possono monitorare lo stato di salute dei dispositivi di sicurezza connessi, garantendo così un funzionamento più efficiente dei servizi di sicurezza.
commutazione di bypass
Supporta un bypass molto bassocambiareritardo (<8ms) e gli utenti difficilmente percepiscono l'impatto sulla rete quando il dispositivo esegue il bypasscambiareAllo stesso tempo, la tecnologia di commutazione del collegamento specifica del dispositivo può garantire che lo stato del collegamento primario non venga influenzato durante il bypass.cambiareQuesta tecnologia garantirà che il bypasscambiareè più sicuro e non causerà il ricalcolo e la convergenza del protocollo di topologia layer 2 / layer 3 dei collegamenti protetti, in modo da ridurre al minimo l'impatto sulla rete utente durante ilcambiare.
Blocco del traffico
Quando il dispositivo di sicurezza rileva connessioni di sessione illegali o anomale nel traffico e deve bloccarle in tempo, il dispositivo può intercettare qualsiasi pacchetto specificato nel traffico in entrata/in uscita delin lineacollegamento basato sulle condizioni del filtro di corrispondenza delle tuple per garantire il funzionamento sicuro dei servizi di rete.
Specchio del traffico
Oltre alla protezione del traffico del collegamento in linea e del dispositivo di sicurezza in linea (come IPS, WAF), qualsiasi traffico replicato SPAN può essere inviato anche al sistema di monitoraggio della sicurezza SPAN (come IDS, APT), in modo da soddisfare i requisiti di implementazione del monitoraggio dei dati di traffico SPAN o di test e verifica del traffico.
Proxy SSL
Tramite la funzione proxy SSL, il pacchetto crittografato originale viene decrittografato e inviato al sistema di protezione di sicurezza in linea; successivamente, i dati decrittografati vengono ripristinati e ritrasmessi al collegamento originale, in modo da fornire i dati decrittografati al sistema di protezione di sicurezza in linea senza interferire con la trasmissione dei dati crittografati sul collegamento originale dell'utente, e consentire al sistema di analisi di monitorare e analizzare i dati crittografati.
4.2-Implementazione SPAN
Replica del traffico di rete
SupportaIn linea(seriale)modalità di protezione per specifici tipi di traffico in qualsiasiin lineacollegamento.Toinoltrare alcuni tipi di traffico specificati dall'utente suin lineacollegamento alIn linea Ssicurezzadispositivoper l'elaborazione e il resto del traffico viene inoltrato direttamente senza passare attraverso ilIn linea SsicurezzadispositivoAllo stesso tempo,itesegue il monitoraggio in tempo reale dello stato di esecuzione diIn linea Ssicurezzadispositivo. Una volta rilevato lo stato anomalo di elaborazione del traffico,itverrà automaticamente escluso dal percorso di trasmissione del traffico per garantire la continuità del servizio di rete.
Aggregazione del traffico di rete
Il traffico di input originale e il traffico pre-elaborato possono essere copiati su un segnale a N canali in base a un segnale a 1 canale oppure copiati su un segnale a M canali dopo l'aggregazione del segnale a N canali a velocità di linea GE, 10GE, 40G e 100G, risolvendo perfettamente le esigenze di implementazione simultanea di più di due dispositivi di bypass di ascolto multiporta nella rete.
Distribuzione/Inoltro dei dati
Classificazione accurata dei metadati in ingresso e scartazione o inoltro di diversi servizi dati a più uscite di interfaccia in base alle regole predefinite dall'utente.
Filtro dei dati dei pacchetti
I dati di inputtrafficopuò essere classificato accuratamente e diversi servizi dati possono essere regole di whitelist o blacklist e più uscite di interfaccia possono essere scartate o inoltrate. Supporta combinazioni flessibili basate su tipo Ethernet, tag vlan, quintupla IP,TCPidentificatore, caratteristiche del pacchetto e altri elementi per soddisfare ulteriormente i requisiti di implementazione di varie apparecchiature di sicurezza di rete, analisi del protocollo, analisi della segnalazione e altro monitoraggio del traffico.
Bilanciamento del carico
Il bilanciamento del carico dell'algoritmo Hash opzionale può essere effettuato in base alle caratteristiche del livello interno ed esterno di L2-L4 per garantire l'integrità della sessione del flusso di dati ricevuto daSPADispositivo di monitoraggio. Quando lo stato del collegamento cambia, i membri del gruppo di porte di offloading possono uscire (collegamento DOWN) o unirsi (collegamento UP) in modo flessibile, e il gruppo di offloading può ridistribuire automaticamente il traffico per garantire il bilanciamento dinamico del carico del traffico in uscita dalla porta.
Etichettato VLAN
VLAN non taggata
VLAN sostituita
Supporta la corrispondenza di qualsiasi campo chiave nei primi 128 byte di un pacchetto. L'utente può personalizzare il valore di offset, la lunghezza e il contenuto del campo chiave e determinare la politica di output del traffico in base alla configurazione utente.
Marcatura temporale
Supportato a sincronizzare il server NTP per correggere l'ora e scrivere il messaggio nel pacchetto sotto forma di tag temporale relativo con un timestamp alla fine del frame, con una precisione di nanosecondi
Rimozione dell'incapsulamento del tunnel
Supportava l'intestazione VxLAN, VLAN, GRE, GTP, MPLS, IPIP rimossa dal pacchetto dati originale e inoltrata in uscita.
Segmentazione dei dati/pacchetti
Supportasezione di pacchettoutilizzando i dati originali in base all'interfaccia di input e output del traffico a livello di policy (64, 96, 128, 160, 192, 224, 256, 288, 320, 384, 512, 640, 768, 896, 960 byte sono opzionali) e la policy di output del traffico può essere implementata in base alla configurazione dell'utente.
Protocollo di tunneling Identifica
Supporta l'identificazione automatica di vari protocolli di tunneling come GTP / GRE / VxLAN / PPTP / L2TP / PPPOE / IPIP. In base alla configurazione dell'utente, la strategia di output del traffico può essere implementata in base al livello interno o esterno del tunnel.
Priorità di inoltro dei pacchetti
Questo sistema supporta la definizione della priorità dei pacchetti di dati in base all'importanza del servizio sulla porta di ingresso, e i pacchetti ad alta priorità vengono inoltrati in via preferenziale in uscita. Dopo l'inoltro dei pacchetti ad alta priorità, vengono inoltrati i pacchetti a priorità media e bassa. In questo modo si evitano allarmi di sistema causati dalla perdita di pacchetti di dati importanti.
Allarme anomalo
Supporta il monitoraggio in tempo reale degli allarmi e la registrazione storica degli allarmi relativi alle tendenze del traffico di interfaccia in base all'impostazione di una soglia. Supporta il monitoraggio in tempo reale degli allarmi e la registrazione storica degli allarmi in base allo stato di salute dell'hardware del dispositivo (CPU, memoria, temperatura, ventola, alimentatore, ecc.).
Interfaccia di backup a caldo
Supporta la configurazione primaria/di standby 1+1 per l'interfaccia di ingresso, la configurazione primaria/di standby 1+1 per l'interfaccia di uscita e la configurazione primaria/di standby N+1 per il gruppo di bilanciamento del carico, al fine di garantire un'elevata affidabilità nel flusso di traffico dall'ingresso all'uscita.
Misurazione dei microburst di traffico
È in grado di rilevare in tempo reale l'ora di occorrenza, la durata e la frequenza di picco dei micro-burst di traffico, e di conservare i dati storici di misurazione, fornendo così strumenti e basi quantificabili e osservabili per la risoluzione dei problemi operativi e di manutenzione e per il rilevamento della perdita di pacchetti.
Protezione dalle oscillazioni dell'interfaccia
Supporta il rilevamento e la protezione dagli eventi di oscillazione di attivazione/disattivazione del collegamento di qualsiasi interfaccia, in modo da evitare la perdita di traffico in ingresso e in uscita causata da frequenti attivazioni/disattivazioni delle interfacce e migliorare la stabilità della raccolta e dell'inoltro del traffico.
Uscita dell'incapsulamento del tunnel
Supporta l'incapsulamento di tunnel di tipo ERSPAN2, GRE, VXLAN e NVGRE per qualsiasi traffico raccolto e l'output per soddisfare i requisiti applicativi di trasmissione del traffico raccolto al sistema di analisi remoto.
Terminazione del pacchetto tunnel
Supporta la funzione di terminazione dei messaggi del tunnel. Questa funzione consente di configurare indirizzi IP/maschera e indirizzi MAC sulla porta di ingresso del traffico. Permette la trasmissione diretta del traffico da raccogliere nella rete utente tramite metodi di incapsulamento del tunnel come GRE, GTP e VXLAN alla porta di raccolta del dispositivo.
Decrittazione SSL SPAN
Supporta il caricamento della decrittazione del certificato SSL corrispondente. Dopo la decrittazione dei dati crittografati HTTPS per il traffico specificato, questi verranno inoltrati ai sistemi di monitoraggio e analisi back-end secondo necessità. Supporta TLS 1.0, TLS 1.2 e SSL 3.0.
Deduplicazione di dati/pacchetti
Supporto per granularità statistica a livello di porta o di policy per confrontare più dati provenienti da diverse fonti di raccolta e ripetizioni dello stesso pacchetto di dati in un momento specificato. Gli utenti possono scegliere diversi identificatori di pacchetto (dst.ip, src.port, dst.port, tcp.seq, tcp.ack, dst.mac, src.mac, vlan.id).
Mascheramento delle date classificate
È supportata una granularità basata su policy per sostituire qualsiasi campo chiave nei dati grezzi al fine di proteggere le informazioni sensibili. In base alla configurazione dell'utente, è possibile implementare la policy di output del traffico.
Protocollo del livello APP Identificazione
Supporta l'identificazione, l'output e l'eliminazione dei protocolli del livello applicativo in base alla modalità di corrispondenza DNS/URL. La libreria di funzionalità DPI può essere integrata per riconoscere, output ed eliminare non meno di 1800 tipi di funzionalità di protocolli applicativi (come audio e video, giochi, messaggistica istantanea, database, e-mail, P2P, ecc.) e la libreria di funzionalità DPI può essere aggiornata e modificata. In caso di esigenze particolari, è possibile anche effettuare sviluppi secondari.
Decapsulamento del pacchetto definito dall'utente
Supporta la funzione di decapsulamento dei pacchetti definita dall'utente, che consente di rimuovere i campi e il contenuto di incapsulamento in qualsiasi posizione dei primi 128 byte del pacchetto e di visualizzarli.
Gestione del traffico
Allo stesso tempo, la tecnologia di traffic shaping viene utilizzata nell'interfaccia di output per trasmettere il flusso di dati in modo fluido allo strumento di analisi, risolvendo in modo fondamentale il fenomeno della perdita di pacchetti causata dai micro-burst ed evitando allarmi anomali dovuti alla perdita di traffico nel sistema di analisi.
Corrispondenza delle parole chiave del pacchetto
Dopo che un qualsiasi campo del contenuto della parte payload del pacchetto è stato abbinato e trovato, il flusso di pacchetto o sessione associato viene inoltrato e pubblicato oppure scartato per soddisfare i requisiti di preelaborazione dei dati di traffico specifici.
Rimozione dell'incapsulamento del tunnel
Supporta l'output di VXLAN, MPLS, GRE, SRV6, FABRICPATCH, GENEVE e altre intestazioni di pacchetto nel pacchetto dati originale dopo la rimozione dei caratteri indesiderati.
Offload della connessione di lunga durata
In base alle esigenze dell'utente, qualsiasi flusso di sessione può essere inoltrato e generato in base al numero di byte trasmessi e al numero di pacchetti trasmessi, mentre il flusso di sessione successivo può essere scartato, in modo da soddisfare i requisiti del sistema di analisi back-end in alcuni scenari specifici, che necessitano di ottenere solo una parte del traffico del flusso di sessione, riducendo la pressione sull'analisi del traffico e migliorando l'efficienza del sistema di analisi.
Analisi statistica del traffico
Supporta le statistiche dei componenti del traffico di qualsiasi interfaccia di input e può visualizzare in tempo reale, sotto forma di grafici, la dimensione dell'andamento del traffico, la dimensione/proporzione del traffico TOPN per indirizzo IP, la dimensione/proporzione del traffico TOPN per categoria di protocollo applicativo, la dimensione/proporzione del traffico TOPN per nome di protocollo applicativo e le informazioni sulla sessione di traffico. Offre inoltre la possibilità di esportare i risultati statistici in file locali. In questo modo, gli utenti possono comprendere più chiaramente la struttura compositiva di qualsiasi traffico raccolto e disporre di una base di dati di supporto diretta per personalizzare le strategie di traffico e adattarsi alle mutevoli esigenze aziendali.
Visibilità del traffico - Analisi dei dati di base
Il modulo di analisi di base della funzione di rilevamento della visualizzazione del traffico può mostrare le informazioni di base dei dati di traffico target acquisiti, come il conteggio dei pacchetti, la distribuzione dei pacchetti unicast/multicast/broadcast, il numero di connessioni di sessione, la distribuzione del protocollo dei pacchetti e la dimensione del traffico acquisito.
Visibilità del traffico - Analisi approfondita DPI
Il modulo di analisi approfondita DPI della funzione di rilevamento della visibilità del traffico è in grado di condurre un'analisi approfondita dei dati sul traffico target acquisiti da molteplici prospettive e di presentare statistiche dettagliate sotto forma di grafici e tabelle.
Analisi della visibilità del traffico e della proporzione del traffico
● Analisi della proporzione dei protocolli del livello di trasporto: ad esempio TCP, UDP, ICMP, IGMP, ARP e altri protocolli, proporzione dei pacchetti e statistiche sul traffico, con visualizzazione tramite grafico a torta.
● Analisi della proporzione del traffico IP: ad esempio, statistiche sul traffico generato da diversi indirizzi IP, classifica del traffico basata su IP TOP N e visualizzazione tramite grafico a barre.
● Analisi della proporzione delle applicazioni DPI: ad esempio, HTTP, QQ, FTP e altri protocolli applicativi, numero di byte, distribuzione statistica del traffico di comunicazione e visualizzazione tramite grafico a torta
Visibilità del traffico - Analisi della cronologia del traffico
In base a diverse condizioni di filtraggio, come IP, porta, protocollo di livello di trasporto, protocollo di livello applicativo e altri contenuti specificati, i dati di traffico acquisiti dal target corrente possono essere analizzati e presentati in base al tempo di campionamento, e le dimensioni e l'andamento del traffico possono essere interrogati spostando il cursore temporale e la scala della granularità statistica, con una precisione che può raggiungere 1 millisecondo.
Visibilità del traffico – Analisi del diagramma di flusso
In base a diverse condizioni di filtro, come ID flusso, IP, porta, protocollo di livello di trasporto, protocollo di livello applicativo e altri contenuti specificati, i dati di traffico catturati dal target corrente possono essere analizzati e conteggiati in base alla modalità di flusso di sessione, ovvero una presentazione dettagliata delle informazioni sul flusso di sessione, incluse le informazioni a cinque parametri di ciascun flusso, il tipo di applicazione che lo trasporta, il numero e i byte dei pacchetti trasmessi e il flusso di dati associato. Viene inoltre visualizzata una classifica basata sulle informazioni di cui sopra. Sulla base di queste informazioni, gli utenti possono facilmente selezionare i tipi di traffico di loro interesse, il che fornisce una base più diretta per la formulazione di politiche di inoltro del traffico.
Visibilità del traffico – Analisi dei pacchetti
In base a diversi criteri di filtraggio, come ID del pacchetto, IP, porta, protocollo del livello di trasporto, protocollo del livello applicativo e altri contenuti specificati, i dati di traffico target acquisiti possono essere presentati con un'analisi a livello di pacchetto, che include:
● Analisi del timestamp di raccolta dei pacchetti
● Analisi delle informazioni chiave del pacchetto, come sip, dip, smac, dmac, protocollo, flag, TTL, lunghezza del messaggio, eventi chiave
● Analisi del percorso di trasmissione dei pacchetti e visualizzazione animata, ad esempio: tempi di inoltro, ritardo di inoltro, tipo di inoltro (routing, switching, firewall, bilanciamento del carico, NAT)
● Riepilogo delle informazioni del pacchetto e visualizzazione della struttura dettagliata
● Analisi del numero di raccolte di pacchetti ripetute
Visibilità del traffico – Analisi precisa dei guasti
Il modulo di analisi dei guasti della funzione di rilevamento della visibilità del traffico può fornire diversi posizionamenti di analisi visiva dei guasti per i dati di traffico target acquisiti, tra cui:
● Panoramica anomala, ad esempio: risultati dell'analisi dei servizi di rete, risultati dell'analisi degli eventi anomali, analisi del comportamento dei processi di rete (come il numero di dispositivi di routing, dispositivi NAT, dispositivi firewall, dispositivi di bilanciamento del carico che transitano attraverso la trasmissione dei pacchetti)
● Analisi degli errori a livello di tabella di flusso, ad esempio tipi di eventi anomali (connessione rifiutata/connessione non responsiva/nessuna trasmissione dati/connessione semiaperta/percorso di sessione irraggiungibile, ecc.), ● Analisi degli errori a livello di pacchetto, ad esempio: tipo di evento anomalo (errore di checksum del pacchetto/TTL 0/errore irraggiungibile/errore di checksum FCS, ecc.), descrizione dettagliata delle informazioni anomale e dettagli del flusso di dati associato
● Analisi dei guasti di sicurezza, quali: tipo di evento anomalo (attacco DDOS/blocco del firewall/attacco ARP/attacco UDP flood/SYN FLOOD, ecc.), descrizione dettagliata delle informazioni anomale e dettagli del flusso di dati associato.
● Analisi dei guasti di rete, quali: tipo di evento anomalo (loop di commutazione/loop di routing/percorso irraggiungibile/interruzione del collegamento, ecc.), descrizione dettagliata delle informazioni anomale e dettagli del flusso di dati associato
5-Specifiche del broker di pacchetti di rete Mylinking™ con switch di bypass in linea
| ML-NPB-M2000 Mylinking™ Network Packet Broker con switch di bypass in linea Specifiche funzionali | ||||
| Interfaccia di rete | Slot per modulo | 4 slot per moduli BYPASS o MONITOR | ||
| Numero di collegamenti in linea | Supporta la protezione di un massimo di 16 collegamenti ottici da 1G/10G o 8 collegamenti ottici da 40G/100G. | |||
| Interfaccia di monitoraggio del monitor | Supporta un massimo di 64 interfacce di monitoraggio 1G/10GE o 16 interfacce di monitoraggio 40G/100G. | |||
| Interfaccia di gestione fuori banda | 1 porta Ethernet 10/100/1000M; | |||
| Modalità di distribuzione | Distribuzione in linea | Supporto | ||
| Implementazione SPAN | Supporto | |||
| Funzioni di sistema | Modalità di distribuzione in linea | Protezione specifica dalla concatenazione dei flussi | Supporto | |
| Protezione completa della serie Flow | Supporto | |||
| Bilanciamento del carico | Supporto | |||
| Rilevamento del battito cardiaco | Supporto | |||
| commutazione BYPASS | Supporto | |||
| Blocco del traffico | Supporto | |||
| Mirroring del traffico | Supporto | |||
| Proxy SSL | Supporto | |||
| Modalità di implementazione SPAN | Elaborazione di base del traffico | Replicazione/aggregazione/distribuzione del traffico | Supporto | |
| Bilanciamento del carico | Supporto | |||
| Filtro del traffico basato sull'identificatore a 5 componenti IP/protocollo/porta | Supporto | |||
| Etichettatura/modifica/eliminazione VLAN | Supporto | |||
| Marcatura temporale | Supporto | |||
| Rimozione dell'incapsulamento del tunnel | Supporto | |||
| Analisi dei dati | Supporto | |||
| Identificazione del protocollo di tunneling | Supporto | |||
| Priorità di inoltro dei pacchetti | Supporto | |||
| Avviso anomalo | Supporto | |||
| Interfaccia in standby a caldo | Supporto | |||
| Misurazione a micro-burst | Supporto | |||
| Protezione dalle oscillazioni dell'interfaccia | Supporto | |||
| Uscita dell'incapsulamento del tunnel | Supporto | |||
| Terminazione del pacchetto tunnel | Supporto | |||
| Elaborazione avanzata del traffico | Bypassare la decrittazione SSL | Supporto | ||
| Deduplicazione dei dati | Supporto | |||
| Mascheramento dei dati | Supporto | |||
| Identificazione del protocollo del livello applicativo | Supporto | |||
| Decapsulazione personalizzata | Supporto | |||
| Modellamento del flusso | Supporto | |||
| Corrispondenza delle parole chiave | Supporto | |||
| Rimozione dell'incapsulamento del tunnel | Supporto | |||
| Scaricamento della connessione a lunga durata | Supporto | |||
| Osservazione della componente del flusso | Supporto | |||
| Diagnosi e monitoraggio | Monitoraggio in tempo reale | Supporto | ||
| query sul traffico storico | Supporto | |||
| Registrazione del traffico | Supporto | |||
| Rilevamento della visualizzazione del traffico | Analisi fondamentale | Supporta la visualizzazione statistica riassuntiva basata su informazioni di base quali il numero di pacchetti, la distribuzione dei tipi di pacchetto, il numero di connessioni di sessione e la distribuzione dei protocolli di pacchetto. | ||
| Analisi approfondita di DPI | Supporta l'analisi della proporzione dei protocolli del livello di trasporto, la proporzione di unicast, broadcast e multicast, la proporzione del traffico IP e la proporzione delle applicazioni DPI. Supporta l'analisi e la presentazione del contenuto dei dati in base al tempo di campionamento e al volume dei dati. Supporta l'analisi dei dati e le statistiche basate sui flussi di sessione. | |||
| Analisi precisa dei guasti | Supporta l'analisi e la localizzazione dei guasti utilizzando i dati di traffico da diverse prospettive, tra cui: analisi del comportamento di trasmissione dei pacchetti, analisi dei guasti a livello di flusso di dati, analisi dei guasti a livello di pacchetto di dati, analisi dei guasti relativi alla sicurezza e analisi dei guasti relativi alla rete. | |||
| Capacità di elaborazione | 2,4 Tbps | |||
| Maneggio | CONSOLE Gestione della rete | Supporto | ||
| Gestione di reti IP/WEB | Supporto | |||
| Gestione della rete SNMP | Supporto | |||
| Gestione della rete TELNET/SSH | Supporto | |||
| Protocollo SYSLOG | Supporto | |||
| Autenticazione centralizzata tramite autorizzazione RADIUS o TADACS+ | Supporto | |||
| Funzione di autenticazione utente | Autenticazione tramite nome utente e password | |||
| Elettrico | tensione nominale di alimentazione | AC-220V/DC-48V [Opzionale] | ||
| frequenza di potenza nascosta | AC-50Hz | |||
| Corrente di ingresso nominale | CA 3A / CC 10A | |||
| potenza funzionale incrociata | Massimo 300W | |||
| Ambiente | Temperatura di esercizio | 0-50°C | ||
| Temperatura di conservazione | -20-70℃ | |||
| Umidità di esercizio | 10%-95%, senza condensa | |||
| Configurazione utente | Configurazione della console | Interfaccia RS232, 115200, 8, N, 1 | ||
| Autenticazione tramite password | Ssupporto | |||
| Dimensioni del rack | Spazio rack (U) | 2U 444mm*88mm*670mm | ||
6-Applicazione Mylinking™ Network Packet Broker con switch di bypass in linea
6.1ILRrischio diIn linea SsicurezzaEapparecchiatura (IPS / FW)
Di seguito viene illustrato un tipico schema di implementazione di un IPS (Intrusion Prevention System) e di un FW (Firewall). L'IPS/FW viene installato in serie tra le apparecchiature di rete (router, switch, ecc.) e il traffico viene instradato attraverso controlli di sicurezza, determinando se consentire o bloccare il traffico corrispondente in base alla policy di sicurezza applicata, al fine di garantire la protezione della rete.
Di seguito viene illustrato un tipico schema di implementazione di un IPS (Intrusion Prevention System) e di un FW (Firewall). L'IPS/FW viene installato in serie tra le apparecchiature di rete (router, switch, ecc.) e il traffico viene instradato attraverso controlli di sicurezza, determinando se consentire o bloccare il traffico corrispondente in base alla policy di sicurezza applicata, al fine di garantire la protezione della rete.
6.2 Protezione delle apparecchiature della serie Inline Link
Il Mylinking™ Network Packet Broker con Inline Bypass Switch viene installato in serie tra i dispositivi di rete (router, switch, ecc.) e il flusso di dati tra i dispositivi di rete non passa più direttamente attraverso l'IPS/FW. Lo "Smart Inline Bypass Switch" collega l'IPS/FW all'IPS/FW. Quando l'IPS/FW si guasta a causa di sovraccarico, crash, aggiornamenti software, aggiornamenti delle policy o altre condizioni, lo "Smart Inline Bypass Switch" rileva tempestivamente il problema tramite la funzione di rilevamento intelligente dei messaggi heartbeat, bypassando così il dispositivo difettoso e consentendo la connessione diretta e rapida delle apparecchiature di rete per proteggere la normale rete di comunicazione. Al ripristino del guasto dell'IPS/FW, lo "Smart Inline Bypass Switch" rileva tempestivamente il problema tramite la funzione di rilevamento intelligente dei pacchetti heartbeat, ripristinando il collegamento originale e garantendo la sicurezza della rete aziendale.
Il broker di pacchetti di rete Mylinking™ con switch di bypass in linea è dotato di una potente funzione intelligente di rilevamento del messaggio heartbeat. L'utente può personalizzare l'intervallo heartbeat e il numero massimo di tentativi, tramite un messaggio heartbeat personalizzato sull'IPS/FW per il test di integrità, ad esempio inviando il messaggio di controllo heartbeat alla porta upstream/downstream dell'IPS/FW e ricevendolo dalla stessa porta, per valutare se l'IPS/FW funziona correttamente.
6.3 Flusso di policy “SpecFlow” in lineaSicurezzaProtezione della serie
Quando il dispositivo di rete di sicurezza deve gestire solo il traffico specifico nella protezione di sicurezza in serie, tramite la funzione di pre-elaborazione del traffico del Mylinking™ Network Packet Broker più Inline Bypass Switch, attraverso la politica di screening del traffico per connettere il dispositivo di sicurezza in linea, il traffico "interessato" viene inviato direttamente al collegamento di rete e la "sezione di traffico interessata" viene indirizzata al dispositivo di sicurezza in linea per eseguire i controlli di sicurezza. Ciò non solo manterrà la normale applicazione della funzione di rilevamento della sicurezza del dispositivo di sicurezza, ma ridurrà anche il flusso inefficiente di apparecchiature di sicurezza sotto pressione; allo stesso tempo, lo "Smart Inline Bypass Switch" può rilevare le condizioni di funzionamento del dispositivo di sicurezza in tempo reale. Il dispositivo di sicurezza funziona in modo anomalo, bypassando direttamente il traffico dati per evitare l'interruzione del servizio di rete.
Il broker di pacchetti di rete Mylinking™ con switch di bypass in linea è in grado di identificare il traffico in base agli identificatori dell'intestazione dei livelli L2-L4, come tag VLAN, indirizzo MAC di origine/destinazione, indirizzo IP di origine, tipo di pacchetto IP, porta del protocollo di trasporto, tag chiave dell'intestazione del protocollo e così via. È possibile definire in modo flessibile una varietà di combinazioni di condizioni di corrispondenza per identificare i tipi di traffico specifici di interesse per un particolare dispositivo di sicurezza e può essere ampiamente utilizzato per l'implementazione di dispositivi di audit di sicurezza speciali (RDP, SSH, audit di database, ecc.).
6.4Lcarico bilanciatoSicurezza in lineaProtezione della serie
Il Mylinking™ Network Packet Broker con Inline Bypass Switch viene installato in serie tra i dispositivi di rete (router, switch, ecc.). Quando le prestazioni di elaborazione di un singolo IPS/FW non sono sufficienti a gestire i picchi di traffico del collegamento di rete, la funzione di bilanciamento del carico del dispositivo di protezione, che raggruppa il traffico di rete elaborato da più cluster IPS/FW, può ridurre efficacemente la pressione di elaborazione sul singolo IPS/FW e migliorare le prestazioni di elaborazione complessive per soddisfare le elevate esigenze di larghezza di banda dell'ambiente di implementazione.
Il broker di pacchetti di rete Mylinking™ con switch di bypass in linea dispone di una potente funzione di bilanciamento del carico che, in base al tag VLAN del frame, alle informazioni MAC, alle informazioni IP, al numero di porta, al protocollo e ad altre informazioni, distribuisce il traffico tramite hash per garantire l'integrità della sessione del flusso di dati ricevuto da ciascun IPS/FW.
6.5MultiserieApparecchiature in linea FBassoTrapportoPprotezione(ModificaFisicoConnessione seriale aLogicoCollegamento in parallelo)
In alcuni collegamenti chiave (come punti di accesso Internet, collegamenti di interscambio nell'area server) la posizione è spesso determinata dalle esigenze di sicurezza e dall'implementazione di più apparecchiature di test di sicurezza in linea (come firewall, apparecchiature anti-attacco DDoS, firewall per applicazioni web, apparecchiature di prevenzione delle intrusioni, ecc.). La presenza simultanea di più apparecchiature di rilevamento della sicurezza in serie sul collegamento aumenta il numero di punti di guasto singoli, riducendo l'affidabilità complessiva della rete. Inoltre, l'implementazione in linea delle suddette apparecchiature di sicurezza, gli aggiornamenti, la sostituzione delle apparecchiature e altre operazioni possono causare lunghe interruzioni del servizio di rete e interventi di interruzione di progetti più ampi per il completamento con successo di tali progetti.
Grazie all'implementazione unificata del Network Packet Broker Mylinking™ e dello switch di bypass in linea, è possibile modificare la modalità di implementazione di più dispositivi di sicurezza collegati in serie sullo stesso collegamento, passando dalla "Connessione seriale fisica" alla "Connessione parallela fisica ma con connessione seriale logica". Ciò riduce efficacemente i punti critici di guasto sul collegamento seriale e ne migliora l'affidabilità. Allo stesso tempo, il Network Packet Broker Mylinking™ e lo switch di bypass in linea possono instradare il traffico di collegamento su richiesta, garantendo lo stesso livello di sicurezza del traffico della modalità di connessione seriale originale.
Schema di installazione in serie di più dispositivi di sicurezza in linea contemporaneamente:
Schema di implementazione del broker di pacchetti di rete Mylinking™ con switch di bypass in linea:
(Convertire la connessione seriale fisica in connessione parallela logica)
6.6In base alDPolitica dinamica diTraffico in lineaSsicurezzaDrilevamentoPprotezione
Mylinking™ Network Packet Broker più Inline Bypass Switch, un altro scenario applicativo avanzato basato sulla politica dinamica di rilevamento della sicurezza del traffico, la cui implementazione è illustrata di seguito:
Prendiamo ad esempio l'apparecchiatura di test di sicurezza "Anti-DDoS attack protection and detection", tramite l'implementazione front-end di uno "Smart Bypass Switch" e quindi l'apparecchiatura di protezione anti-DDoS, che viene poi collegata allo "Smart Bypass Switch". Nello "Smart Bypass Switch" standard, l'intero volume di traffico viene inoltrato alla velocità di linea e contemporaneamente l'output del flusso viene replicato al "dispositivo di protezione anti-DDoS attack protection". Una volta rilevato un attacco per un IP del server (o segmento di rete IP), il "dispositivo di protezione anti-DDoS attack protection" genera le regole di corrispondenza del flusso di traffico target e le invia allo "Smart Bypass Switch" tramite l'interfaccia di consegna delle policy dinamiche. Lo "Smart Bypass Switch" può aggiornare il "traffic tract dynamic" dopo aver ricevuto le regole del pool di policy dinamiche e "indirizzare immediatamente" il traffico del server di attacco all'"apparecchiatura di protezione anti-DDoS attack detection" per l'elaborazione, in modo che sia efficace dopo l'attacco e quindi reiniettato nella rete.
Lo schema applicativo basato su "Smart Bypass Switch" è più facile da implementare rispetto alla tradizionale iniezione di route BGP o ad altri schemi di gestione del traffico, inoltre l'ambiente è meno dipendente dalla rete e l'affidabilità è maggiore.
"Smart Bypass Switch" presenta le seguenti caratteristiche per supportare la protezione dinamica dal rilevamento della sicurezza delle policy:
1. "Smart Bypass Switch" per fornire un accesso esterno alle regole basato sull'interfaccia WEBSERVICE, facile integrazione con dispositivi di sicurezza di terze parti.
2. "Smart Bypass Switch" basato su un chip ASIC puro hardware che inoltra pacchetti fino a 100 Gbps alla velocità di linea senza bloccare l'inoltro dello switch e "libreria di regole dinamiche di trazione del traffico" indipendentemente dal numero.
3. La funzione BYPASS professionale integrata "Smart Bypass Switch" consente, anche in caso di guasto del dispositivo di protezione stesso, di bypassare immediatamente il collegamento seriale originale, senza compromettere la normale comunicazione.
6.7Mirroring del traffico seriale in lineaper la sicurezza fuori banda (in linea + SPAN)
Il Mylinking™ Network Packet Broker con Inline Bypass Switch viene in genere implementato nella rete IT o nella piattaforma cloud di un cliente per fornire protezione in linea ai dispositivi WAF/IPS e al collegamento originale. Gli utenti potrebbero inoltre avere ulteriori esigenze per il test, la verifica o l'implementazione di dispositivi di monitoraggio del bypass, che richiedono l'acquisizione di dati sul traffico su questo collegamento.
Pertanto, utilizzando la funzione di mirroring del traffico del Mylinking™ Network Packet Broker più Inline Bypass Switch, il traffico del collegamento seriale in linea può essere replicato dalla porta di monitoraggio, come mostrato nella figura seguente:
Il diagramma seguente illustra uno scenario applicativo esteso del traffico di collegamento in linea e del traffico di porte replicate dello switch. Ciò consente di proteggere il traffico di collegamento in linea senza che venga influenzato dal traffico di porte replicate dello switch. Il sistema di analisi IDS può acquisire simultaneamente sia il traffico di collegamento in linea che il traffico di porte replicate dello switch. Il metodo di implementazione è mostrato nel diagramma seguente:
6.8Deduplicazione di dati/pacchettiApplicazione
Come illustrato nella struttura di implementazione dell'applicazione sopra riportata, per garantire l'integrità della raccolta dati originale lungo l'intero collegamento, alcuni pacchetti di dati identici possono essere raccolti più volte all'interno di un singolo percorso. Ciò comporta un aumento dei falsi allarmi e delle ritrasmissioni nel sistema back-end, incrementando il carico prestazionale del sistema di analisi e compromettendone l'accuratezza e l'efficacia. La soluzione proposta prevede innanzitutto la deduplicazione dei pacchetti di dati duplicati in diversi nodi di acquisizione. Un solo pacchetto di dati viene quindi inoltrato al sistema di analisi delle prestazioni di rete NPM e al sistema di analisi delle prestazioni dell'applicazione APM, ottimizzando così le prestazioni del sistema di analisi e migliorando l'efficienza e l'accuratezza dell'analisi stessa.
6.9Dati/PacchettoEtichettatura VLANingApplicazione
Nell'ambiente di rete illustrato nel diagramma precedente, la soluzione viene utilizzata per etichettare i dati grezzi provenienti da diversi dispositivi di rete e nodi di collegamento. Quando si verificano traffico o pacchetti di dati anomali nella rete, l'apparecchiatura di analisi back-end può individuare rapidamente e con precisione la fonte dei dati anomali risalendo al percorso originale in base alle etichette dei dati.
6.10 Traffico di reteOrario unificatoApplicazione
Nell'ambiente di rete illustrato nel diagramma precedente, i dati provenienti da più collegamenti sorgente 10GE, 25GE, 40GE e 100GE vengono immessi completamente nel Mylinking™ Network Packet Broker con Inline Bypass Switch tramite suddivisione ottica o mirroring di porta. Successivamente, il filtraggio e la suddivisione del traffico vengono utilizzati per instradare i diversi flussi di dati di servizio verso diversi dispositivi di monitoraggio e sicurezza di rete out-of-band. Quando anomalie nei pacchetti di rete o fluttuazioni anomale del traffico richiedono un intervento manuale, è possibile acquisire e analizzare immediatamente i pacchetti di dati originali in tempo reale, consentendo agli utenti di individuare e risolvere rapidamente il problema.
6.11ReteAnalisi della visibilità dei dati sul trafficoApplicazione
È in grado di presentare qualsiasi dato rilevato e acquisito in modo multidimensionale e multiprospettico attraverso un'interfaccia interattiva grafica e testuale di facile utilizzo, includendo la struttura della composizione del traffico, la distribuzione dei protocolli applicativi, la distribuzione del traffico di tutti i nodi di rete, il percorso di trasmissione dei dati, il rilevamento di eventi anomali, la posizione precisa dei guasti degli elementi/collegamenti di rete, lo stato di interazione dei messaggi, l'andamento dello sviluppo del traffico e altri aspetti per il monitoraggio e l'analisi, in modo da creare una piattaforma di raccolta dati e sicurezza complessiva, completa, visibile e controllabile per le reti aziendali.
Categoria di prodotti
-
Mylinking™ Network Packet Broker (NPB) ML-NPB-4810P
-
Mylinking™ Network Packet Broker (NPB) ML-NPB-54...
-
Mylinking™ Network Packet Broker (NPB) ML-NPB-3210+
-
Mylinking™ Network Packet Broker (NPB) ML-NPB-6410+
-
Mylinking™ Network Packet Broker (NPB) ML-NPB-3210L
-
Mylinking™ Network Packet Broker (NPB) ML-NPB-2410
