Interruttore bypass rubinetto di rete Mylinking™ ML-BYPASS-200
2*Bypass più 1*Monitor Design modulare, collegamenti 10/40/100GE, massimo 640 Gbps
1-Panoramiche
Implementando Mylinking™ Smart Bypass Switch:
- Gli utenti possono installare/disinstallare in modo flessibile le apparecchiature di sicurezza e non influenzeranno la rete attuale né interromperanno;
- Mylinking™ Network Tap Bypass Switch con funzione di rilevamento intelligente dello stato per il monitoraggio in tempo reale del normale stato di funzionamento del dispositivo di sicurezza seriale, una volta che l'eccezione del dispositivo di sicurezza seriale funziona, la protezione verrà automaticamente bypassata per mantenere la normale comunicazione di rete;
- La tecnologia di protezione selettiva del traffico può essere utilizzata per implementare specifiche apparecchiature di sicurezza per la pulizia del traffico, tecnologia di crittografia basata sulle apparecchiature di controllo. Effettuare efficacemente la protezione dell'accesso seriale per il tipo di traffico specifico, scaricando la pressione di gestione del flusso del dispositivo di serie;
- La tecnologia Load Balanced Traffic Protection può essere utilizzata per la distribuzione in cluster di dispositivi seriali sicuri per soddisfare l'esigenza di sicurezza seriale in ambienti con larghezza di banda elevata.
Con il rapido sviluppo di Internet, la minaccia alla sicurezza delle informazioni di rete sta diventando sempre più grave, pertanto vengono utilizzate sempre più ampiamente una varietà di applicazioni per la protezione della sicurezza delle informazioni. Che si tratti di apparecchiature tradizionali di controllo degli accessi (firewall) o di un nuovo tipo di mezzi di protezione più avanzati come il sistema di prevenzione delle intrusioni (IPS), la piattaforma unificata di gestione delle minacce (UTM), il sistema di attacco al servizio anti-denial (Anti-DDoS), l'Anti- span Gateway, sistema di identificazione e controllo del traffico DPI unificato e molti dispositivi di sicurezza sono distribuiti in serie nei nodi chiave della rete, l'implementazione della politica di sicurezza dei dati corrispondente per identificare e gestire il traffico legale/illegale. Allo stesso tempo, tuttavia, la rete di computer genererà un notevole ritardo di rete o addirittura un'interruzione della rete in caso di failover, manutenzione, aggiornamento, sostituzione di apparecchiature e così via in un ambiente applicativo di rete di produzione altamente affidabile, gli utenti non lo sopporteranno.
2-Network Tap Bypass Switch Funzionalità e tecnologie avanzate
Tecnologia della modalità di protezione Mylinking™ “SpecFlow” e della modalità di protezione “FullLink”.
Tecnologia di protezione con commutazione di bypass veloce Mylinking™
Tecnologia Mylinking™ “LinkSafeSwitch”.
Mylinking™ “WebService” Tecnologia di inoltro/emissione di strategie dinamiche
Tecnologia di rilevamento intelligente dei messaggi del battito cardiaco Mylinking™
Tecnologia dei messaggi cardiaci definibili Mylinking™
Tecnologia di bilanciamento del carico multi-link Mylinking™
Tecnologia di distribuzione intelligente del traffico Mylinking™
Tecnologia di bilanciamento del carico dinamico Mylinking™
Tecnologia di gestione remota Mylinking™ (HTTP/WEB, TELNET/SSH, caratteristica “EasyConfig/AdvanceConfig”)
3-Guida alla configurazione dell'interruttore di bypass del tocco di rete
ESCLUSIONESlot del modulo porta di protezione:
Questo slot può essere inserito nel modulo della porta di protezione BYPASS con velocità/numero di porta diversi. Sostituendo diversi tipi di moduli, può supportare la protezione BYPASS di più collegamenti 10G/40G/100G.
MONITORARESlot per modulo porta;
Questo slot può essere inserito nel modulo porta MONITOR con velocità/porte diverse. Può supportare l'implementazione di più dispositivi di monitoraggio seriale online con collegamento 10G/40G/100G sostituendo diversi modelli.
Regole di selezione dei moduli
In base ai diversi collegamenti distribuiti e ai requisiti di distribuzione delle apparecchiature di monitoraggio, è possibile scegliere in modo flessibile diverse configurazioni dei moduli per soddisfare le effettive esigenze dell'ambiente; si prega di seguire le seguenti regole quando si seleziona:
1. I componenti dello chassis sono obbligatori ed è necessario selezionarli prima di selezionare qualsiasi altro modulo. Allo stesso tempo, scegli diversi metodi di alimentazione (AC/DC) in base alle tue esigenze.
2. L'intera macchina supporta fino a 2 slot per moduli BYPASS e 1 slot per moduli MONITOR; non è possibile selezionare più del numero di slot da configurare. In base alla combinazione del numero di slot e del modello del modulo, il dispositivo può supportare fino a quattro protezioni di collegamento 10GE; oppure può supportare fino a quattro collegamenti 40GE; oppure può supportare fino a un collegamento 100GE.
3. Il modello del modulo "BYP-MOD-L1CG" può essere inserito solo nello SLOT1 per funzionare correttamente.
4. Il tipo di modulo "BYP-MOD-XXX" può essere inserito solo nello slot del modulo BYPASS; il tipo di modulo "MON-MOD-XXX" può essere inserito nello slot del modulo MONITOR solo per il normale funzionamento.
Modello del prodotto | Parametri di funzione |
Telaio (ospite) | |
ML-BYPASS-M200 | Montaggio su rack standard da 19 pollici 1U; consumo energetico massimo 250 W; host di protezione BYPASS modulare; 2 slot per moduli BYPASS; 1 slot per modulo MONITOR; CA e CC opzionali; |
MODULO BYPASS | |
BYP-MOD-L2XG(LM/SM) | Supporta protezione seriale collegamento 10GE a 2 vie, interfaccia 4*10GE, connettore LC; ricetrasmettitore ottico integrato; collegamento ottico singolo/multimodale opzionale, supporta 10GBASE-SR/LR; |
BYP-MOD-L2QXG(LM/SM) | Supporta protezione seriale collegamento 40GE a 2 vie, interfaccia 4*40GE, connettore LC; ricetrasmettitore ottico integrato; collegamento ottico singolo/multimodale opzionale, supporta 40GBASE-SR4/LR4; |
BYP-MOD-L1CG (LM/SM) | Supporta protezione seriale collegamento 1 canale 100GE, interfaccia 2*100GE, connettore LC; ricetrasmettitore ottico integrato; collegamento ottico singolo multimodale opzionale, supporta 100GBASE-SR4/LR4; |
MODULO MONITOR | |
MON-MOD-L16XG | Modulo porta di monitoraggio SFP+ 16*10GE; nessun modulo ricetrasmettitore ottico; |
MON-MOD-L8XG | Modulo porta di monitoraggio 8*10GE SFP+; nessun modulo ricetrasmettitore ottico; |
MON-MOD-L2CG | Modulo porta di monitoraggio QSFP28 2 * 100GE; nessun modulo ricetrasmettitore ottico; |
MON-MOD-L8QXG | Modulo porta di monitoraggio 8* 40GE QSFP+; nessun modulo ricetrasmettitore ottico; |
4-Specifiche dell'interruttore di bypass TAP di rete
Modalità del prodotto | Interruttore di bypass seriale ML-BYPASS-M200 | |
Tipo di interfaccia | Interfaccia MGT | 1 interfaccia di gestione adattiva 10/100/1000BASE-T; Supporta la gestione HTTP/IP remota |
Slot del modulo | 2*Slot per modulo BYPASS; 1*Slot per modulo MONITOR; | |
Collegamenti che supportano il massimo | Il dispositivo supporta un massimo di collegamenti 4*10GE o collegamenti 4*40GE o collegamenti 1*100GE | |
Monitorare | Il dispositivo supporta un massimo di 16 porte di monitoraggio 10GE o 8 porte di monitoraggio 40GE o 2 porte di monitoraggio 100GE; | |
Funzione | Capacità di elaborazione full duplex | 640 Gbps |
Basato sulla protezione a cascata del traffico specifico per IP/protocollo/porta, cinque tuple | Supporto | |
Protezione in cascata basata sul traffico totale | Supporto | |
Bilanciamento del carico multiplo | Supporto | |
Funzione di rilevamento del battito cardiaco personalizzata | Supporto | |
Supporta l'indipendenza del pacchetto Ethernet | Supporto | |
INTERRUTTORE DI BYPASS | Supporto | |
Interruttore BYPASS senza flash | Supporto | |
CONSOLE MGT | Supporto | |
Gestione IP/WEB | Supporto | |
SNMP V1/V2C MGT | Supporto | |
GESTIONE TELNET/SSH | Supporto | |
Protocollo SYSLOG | Supporto | |
Autorizzazione dell'utente | Basato sull'autorizzazione tramite password/AAA/TACACS+ | |
Elettrico | Tensione di alimentazione nominale | AC-220V/DC-48V【Opzionale】 |
Frequenza di alimentazione nominale | 50 Hz | |
Corrente di ingresso nominale | AC-3A / DC-10A | |
Potenza nominale | 100 W | |
Ambiente | Temperatura di lavoro | 0-50℃ |
Temperatura di conservazione | -20-70℃ | |
Umidità di lavoro | 10%-95%, senza condensa | |
Configurazione utente | Configurazione della consolle | Interfaccia RS232,115200,8,N,1 |
Interfaccia MGT fuori banda | 1 interfaccia Ethernet 10/100/1000M | |
Autorizzazione della password | Supporto | |
Altezza del telaio | Spazio sul telaio (U) | 1U da 19 pollici, 485 mm*44,5 mm*350 mm |
Applicazione interruttore bypass TAP a 5 reti (come segue)
Quella che segue è una tipica modalità di implementazione IPS (Intrusion Prevention System), FW (Firewall), IPS/FW viene distribuito in serie alle apparecchiature di rete (router, switch, ecc.) tra il traffico attraverso l'implementazione di controlli di sicurezza, secondo la corrispondente politica di sicurezza per determinare il rilascio o il blocco del traffico corrispondente, per ottenere l'effetto di difesa della sicurezza.
Allo stesso tempo, possiamo osservare IPS/FW come un'implementazione seriale delle apparecchiature, solitamente implementate nella posizione chiave della rete aziendale per implementare la sicurezza seriale, l'affidabilità dei dispositivi collegati influisce direttamente sulla disponibilità complessiva della rete aziendale. Una volta che i dispositivi seriali si sovraccaricano, si bloccano, si verificano aggiornamenti software, aggiornamenti delle policy, ecc., la disponibilità dell'intera rete aziendale sarà notevolmente influenzata. A questo punto, solo attraverso l'interruzione della rete, il ponticello di bypass fisico può ripristinare la rete, compromettendo seriamente l'affidabilità della rete. IPS/FW e altri dispositivi seriali da un lato migliorano l'implementazione della sicurezza della rete aziendale, dall'altro riducono anche l'affidabilità delle reti aziendali, aumentando il rischio che la rete non sia disponibile.
5.2 Protezione delle apparecchiature della serie Inline Link
Mylinking™ " Bypass Switch " viene distribuito in serie tra i dispositivi di rete (router, switch, ecc.) e il flusso di dati tra i dispositivi di rete non porta più direttamente a IPS / FW, " Bypass Switch " a IPS / FW, quando IPS / FW dovuto a sovraccarico, crash, aggiornamenti software, aggiornamenti policy e altre condizioni di guasto, il "Bypass Switch" attraverso la funzione di rilevamento intelligente dei messaggi heartbeat di rilevamento tempestivo e quindi di saltare il dispositivo difettoso, senza interrompere la premessa della rete, il rapido apparecchiature di rete direttamente collegate per proteggere la normale rete di comunicazione; quando il ripristino degli errori IPS / FW, ma anche attraverso pacchetti heartbeat intelligenti Rilevamento del rilevamento tempestivo della funzione, il collegamento originale per ripristinare la sicurezza dei controlli di sicurezza della rete aziendale.
Mylinking™ "Bypass Switch" dispone di una potente funzione intelligente di rilevamento dei messaggi di battito cardiaco, l'utente può personalizzare l'intervallo di battito cardiaco e il numero massimo di tentativi, tramite un messaggio di battito cardiaco personalizzato sull'IPS/FW per test di integrità, come inviare il messaggio di controllo del battito cardiaco alla porta upstream/downstream di IPS/FW, quindi ricevere dalla porta upstream/downstream di IPS/FW e giudicare se IPS/FW funziona normalmente inviando e ricevendo il messaggio heartbeat.
5.3 Protezione della serie di trazione in linea del flusso di policy "SpecFlow".
Quando il dispositivo di rete di sicurezza deve gestire solo il traffico specifico nella protezione di sicurezza in serie, attraverso la funzione di elaborazione del traffico "Bypass Switch" di Mylinking™, attraverso la strategia di screening del traffico per connettere il dispositivo di sicurezza "Concerned" il traffico viene rimandato direttamente al collegamento di rete, e la "sezione di traffico interessata" è la trazione verso il dispositivo di sicurezza in linea per eseguire i controlli di sicurezza. Ciò non solo manterrà la normale applicazione della funzione di rilevamento di sicurezza del dispositivo di sicurezza, ma ridurrà anche il flusso inefficiente dell'attrezzatura di sicurezza per gestire la pressione; allo stesso tempo, l '"Interruttore Bypass" può rilevare in tempo reale la condizione di funzionamento del dispositivo di sicurezza. Il dispositivo di sicurezza funziona in modo anomalo bypassando direttamente il traffico dati per evitare interruzioni del servizio di rete.
Mylinking™ Traffic Bypass Protector è in grado di identificare il traffico in base all'identificatore dell'intestazione del livello L2-L4, come tag VLAN, indirizzo MAC di origine/destinazione, indirizzo IP di origine, tipo di pacchetto IP, porta del protocollo del livello di trasporto, tag chiave dell'intestazione del protocollo e così via SU. È possibile definire in modo flessibile una varietà di combinazioni flessibili di condizioni di corrispondenza per definire i tipi di traffico specifici che interessano un particolare dispositivo di sicurezza e possono essere ampiamente utilizzati per l'implementazione di speciali dispositivi di controllo della sicurezza (RDP, SSH, controllo del database, ecc.) .
5.4 Protezione in serie con bilanciamento del carico
Il Mylinking™ "Bypass Switch" viene utilizzato in serie tra i dispositivi di rete (router, switch, ecc.). Quando le prestazioni di elaborazione di un singolo IPS/FW non sono sufficienti per far fronte al traffico di picco del collegamento di rete, la funzione di bilanciamento del carico del traffico della protezione, il "raggruppamento" di più traffico di collegamento di rete di elaborazione cluster IPS/FW, può ridurre efficacemente il singolo IPS/ Pressione di elaborazione FW, miglioramento delle prestazioni di elaborazione complessive per soddisfare l'elevata larghezza di banda dell'ambiente di distribuzione.
Mylinking™ "Bypass Switch" ha una potente funzione di bilanciamento del carico, in base al tag VLAN del frame, informazioni MAC, informazioni IP, numero di porta, protocollo e altre informazioni sulla distribuzione del bilanciamento del carico Hash del traffico per garantire che ciascun IPS / FW riceva dati flusso Integrità della sessione.
5.5 Protezione dalla trazione del flusso delle apparecchiature in linea multi-serie (cambiare la connessione seriale in connessione parallela)
In alcuni collegamenti chiave (come prese Internet, collegamenti di scambio di aree server) la posizione è spesso dovuta alle esigenze di funzionalità di sicurezza e all'implementazione di più apparecchiature di test di sicurezza in linea (come firewall, apparecchiature anti-attacco DDOS, firewall per applicazioni WEB , apparecchiature di prevenzione delle intrusioni, ecc.), più apparecchiature di rilevamento di sicurezza contemporaneamente in serie sul collegamento per aumentare il collegamento di un singolo punto di guasto, riducendo l'affidabilità complessiva della rete. Inoltre, nell'implementazione online delle apparecchiature di sicurezza sopra menzionate, gli aggiornamenti delle apparecchiature, la sostituzione delle apparecchiature e altre operazioni, causeranno un'interruzione del servizio della rete per un lungo periodo e un'azione di riduzione del progetto più ampia per completare l'implementazione di successo di tali progetti.
Distribuendo il "Bypass Switch" in modo unificato, la modalità di distribuzione di più dispositivi di sicurezza collegati in serie sullo stesso collegamento può essere modificata da "modalità di concatenazione fisica" a "concatenazione fisica, modalità di concatenazione logica" Il collegamento sul collegamento di un singolo punto di guasto per migliorare l'affidabilità del collegamento, mentre l '"interruttore di bypass" sul flusso del collegamento su richiesta di trazione, per ottenere lo stesso flusso con la modalità originale di effetto di elaborazione sicura.
Più di un dispositivo di sicurezza contemporaneamente nel diagramma di distribuzione in serie:
Diagramma di implementazione dello switch di bypass TAP di rete Mylinking™:
5.6 Basato sulla strategia dinamica di protezione del rilevamento della sicurezza della trazione del traffico
"Interruttore di bypass" Un altro scenario applicativo avanzato si basa sulla strategia dinamica delle applicazioni di protezione del rilevamento della sicurezza della trazione del traffico, l'implementazione del modo come mostrato di seguito:
Prendiamo ad esempio l'attrezzatura per test di sicurezza "Protezione e rilevamento degli attacchi anti-DDoS", attraverso l'implementazione front-end di " Bypass Switch " e poi l'attrezzatura di protezione anti-DDOS e quindi collegata al " Bypass Switch ", nel solito " Protezione di trazione "per l'intero volume di traffico, inoltro a velocità wire-speed e allo stesso tempo l'output dello specchio di flusso al" dispositivo di protezione contro gli attacchi DDOS ", una volta rilevato per un IP del server (o un segmento di rete IP) dopo l'attacco," anti -Dispositivo di protezione dagli attacchi DDOS" genererà le regole di corrispondenza del flusso di traffico target e inviarle al " Bypass Switch " tramite l'interfaccia di distribuzione della politica dinamica. Il " Bypass Switch " può aggiornare la "trazione dinamica del traffico" dopo aver ricevuto le regole della politica dinamica Pool di regole "e immediatamente" la regola colpisce il traffico del server di attacco "la trazione verso l'attrezzatura" di protezione e rilevamento degli attacchi anti-DDoS "per l'elaborazione, da essere efficace dopo il flusso di attacco e poi re-iniettato nella rete.
Lo schema applicativo basato sul " Bypass Switch " è più semplice da implementare rispetto alla tradizionale iniezione del percorso BGP o ad altri schemi di trazione del traffico, e l'ambiente è meno dipendente dalla rete e l'affidabilità è maggiore.
"Bypass Switch" ha le seguenti caratteristiche per supportare la protezione del rilevamento di sicurezza della policy dinamica:
1, " Bypass Switch " per fornire al di fuori delle regole basate sull'interfaccia WEBSERIVCE, facile integrazione con dispositivi di sicurezza di terze parti.
2, " Bypass Switch " basato sul chip ASIC hardware puro che inoltra pacchetti wire-speed fino a 10 Gbps senza bloccare l'inoltro dello switch e "libreria di regole dinamiche per la trazione del traffico" indipendentemente dal numero.
3, la funzione BYPASS professionale incorporata "Interruttore di bypass", anche in caso di guasto della protezione stessa, può anche bypassare immediatamente il collegamento seriale originale, non influisce sul collegamento originale della normale comunicazione.