1- Cos'è il pacchetto Define Heartbeat?
I pacchetti heartbeat di Mylinking™ Network Tap Bypass Switch utilizzano per impostazione predefinita i frame Ethernet Layer 2. Quando si implementa la modalità bridging Layer 2 trasparente (come IPS/FW), i frame Ethernet Layer 2 vengono normalmente inoltrati, bloccati o scartati. Allo stesso tempo, Mylinking™ Network Tap Bypass Switch supporta il formato di messaggio heartbeat personalizzato per soddisfare la situazione in cui alcuni speciali dispositivi di sicurezza seriale non possono normalmente inoltrare i normali frame Ethernet Layer 2.
Inoltre, Mylinking™ Network Tap Bypass Switch supporta anche il rilevamento dei pacchetti heartbeat basato su tag VLAN e tipi di messaggi personalizzati Layer 3 e Layer 4. Sulla base di questo meccanismo, l'utente può implementare una funzione di test di sicurezza del servizio del dispositivo di sicurezza della connessione per renderlo più efficace nel garantire che i servizi di sicurezza corrispondenti funzionino correttamente.
Mylinking™ Network Tap Bypass Switch può supportare il monitor per inviare diversi pacchetti heartbeat in entrambe le direzioni. Ad esempio, i pacchetti heartbeat di tipo TCP e UDP vengono personalizzati sullo “Strategy Traffic Traction Protector”, in base alle particolarità del dispositivo seriale. È possibile configurare l'invio di pacchetti heartbeat TCP sulla porta A del monitor uplink e l'invio di pacchetti heartbeat UDP sulla porta B del monitor downlink per adattare il meccanismo di inoltro dei messaggi del dispositivo di sicurezza seriale. Questa funzione può garantire in modo più efficace la stringa. Collegare i dispositivi di sicurezza al funzionamento normale.
Lo switch di bypass in linea di rete Mylinking™ è studiato e sviluppato per essere utilizzato per l'implementazione flessibile di vari tipi di apparecchiature di sicurezza seriale fornendo allo stesso tempo un'elevata affidabilità di rete.
Switch di bypass in linea a 2 reti Funzionalità e tecnologie avanzate
Tecnologia della modalità di protezione Mylinking™ “SpecFlow” e della modalità di protezione “FullLink”.
Tecnologia di protezione con commutazione di bypass veloce Mylinking™
Tecnologia Mylinking™ “LinkSafeSwitch”.
Mylinking™ “WebService” Tecnologia di inoltro/emissione di strategie dinamiche
Tecnologia di rilevamento intelligente dei messaggi del battito cardiaco Mylinking™
Tecnologia dei messaggi cardiaci definibili Mylinking™
Tecnologia di bilanciamento del carico multi-link Mylinking™
Tecnologia di distribuzione intelligente del traffico Mylinking™
Tecnologia di bilanciamento del carico dinamico Mylinking™
Tecnologia di gestione remota Mylinking™ (HTTP/WEB, TELNET/SSH, caratteristica “EasyConfig/AdvanceConfig”)
Applicazione interruttore di bypass in linea a 3 reti (come segue)
3.1 Il rischio delle apparecchiature di sicurezza in linea (IPS / FW)
Quella che segue è una tipica modalità di implementazione IPS (Intrusion Prevention System), FW (Firewall), IPS/FW viene distribuito in serie alle apparecchiature di rete (router, switch, ecc.) tra il traffico attraverso l'implementazione di controlli di sicurezza, secondo la corrispondente politica di sicurezza per determinare il rilascio o il blocco del traffico corrispondente, per ottenere l'effetto di difesa della sicurezza.
Allo stesso tempo, possiamo osservare IPS/FW come un'implementazione seriale delle apparecchiature, solitamente implementate nella posizione chiave della rete aziendale per implementare la sicurezza seriale, l'affidabilità dei dispositivi collegati influisce direttamente sulla disponibilità complessiva della rete aziendale. Una volta che i dispositivi seriali si sovraccaricano, si bloccano, si verificano aggiornamenti software, aggiornamenti delle policy, ecc., la disponibilità dell'intera rete aziendale sarà notevolmente influenzata. A questo punto, solo attraverso l'interruzione della rete, il ponticello di bypass fisico può ripristinare la rete, compromettendo seriamente l'affidabilità della rete. IPS/FW e altri dispositivi seriali da un lato migliorano l'implementazione della sicurezza della rete aziendale, dall'altro riducono anche l'affidabilità delle reti aziendali, aumentando il rischio che la rete non sia disponibile.
3.2 Protezione delle apparecchiature della serie Inline Link
Mylinking™ "Network Inline Bypass" viene distribuito in serie tra i dispositivi di rete (router, switch, ecc.) e il flusso di dati tra i dispositivi di rete non conduce più direttamente a IPS / FW, "Network Inline Bypass" a IPS / FW, quando l'IPS/FW a causa di sovraccarico, arresto anomalo, aggiornamenti software, aggiornamenti delle policy e altre condizioni di guasto, il "Network Inline Bypass" attraverso la funzione di rilevamento intelligente dei messaggi heartbeat per il rilevamento tempestivo, e quindi ignorare il dispositivo difettoso, senza interrompere la premessa di la rete, le apparecchiature di rete rapide direttamente collegate per proteggere la normale rete di comunicazione; quando il ripristino degli errori IPS / FW, ma anche attraverso pacchetti heartbeat intelligenti Rilevamento del rilevamento tempestivo della funzione, il collegamento originale per ripristinare la sicurezza dei controlli di sicurezza della rete aziendale.
Mylinking™ “Network Inline Bypass” dispone di una potente funzione di rilevamento intelligente dei messaggi di battito cardiaco, l'utente può personalizzare l'intervallo di battito cardiaco e il numero massimo di tentativi, tramite un messaggio di battito cardiaco personalizzato sull'IPS/FW per test di integrità, come inviare il controllo del battito cardiaco messaggio alla porta upstream/downstream di IPS/FW, quindi ricevere dalla porta upstream/downstream di IPS/FW e giudicare se IPS/FW funziona normalmente inviando e ricevendo il messaggio heartbeat.
3.3 Protezione della serie di trazione in linea del flusso di policy "SpecFlow".
Quando il dispositivo di rete di sicurezza deve gestire solo il traffico specifico nella protezione di sicurezza in serie, attraverso la funzione di elaborazione del traffico Mylinking™ "Network Inline Bypass", attraverso la strategia di screening del traffico per collegare il dispositivo di sicurezza "Concerned" il traffico viene rimandato indietro direttamente al collegamento di rete, e la “sezione di traffico interessata” è la trazione verso il dispositivo di sicurezza in linea per eseguire i controlli di sicurezza. Ciò non solo manterrà la normale applicazione della funzione di rilevamento di sicurezza del dispositivo di sicurezza, ma ridurrà anche il flusso inefficiente dell'attrezzatura di sicurezza per gestire la pressione; allo stesso tempo, il "Network Inline Bypass" può rilevare in tempo reale la condizione di funzionamento del dispositivo di sicurezza. Il dispositivo di sicurezza funziona in modo anomalo bypassando direttamente il traffico dati per evitare interruzioni del servizio di rete.
3.4 Protezione in serie con bilanciamento del carico
Il Mylinking™ “Network Inline Bypass” viene distribuito in serie tra i dispositivi di rete (router, switch, ecc.). Quando le prestazioni di elaborazione di un singolo IPS/FW non sono sufficienti a far fronte al traffico di picco del collegamento di rete, la funzione di bilanciamento del carico di traffico del protettore, il "raggruppamento" di più traffico di collegamento di rete di elaborazione cluster IPS/FW, può ridurre efficacemente il singolo IPS/ Pressione di elaborazione FW, miglioramento delle prestazioni di elaborazione complessive per soddisfare l'elevata larghezza di banda dell'ambiente di distribuzione.
Mylinking™ “Network Inline Bypass” ha una potente funzione di bilanciamento del carico, in base al tag VLAN del frame, informazioni MAC, informazioni IP, numero di porta, protocollo e altre informazioni sulla distribuzione del bilanciamento del carico Hash del traffico per garantire che ciascun IPS/FW riceva flusso di dati Integrità della sessione.
3.5 Protezione dalla trazione del flusso delle apparecchiature in linea multi-serie (cambiare la connessione seriale in connessione parallela)
In alcuni collegamenti chiave (come prese Internet, collegamenti di scambio di aree server) la posizione è spesso dovuta alle esigenze di funzionalità di sicurezza e all'implementazione di più apparecchiature di test di sicurezza in linea (come firewall, apparecchiature anti-attacco DDOS, firewall per applicazioni WEB , apparecchiature di prevenzione delle intrusioni, ecc.), più apparecchiature di rilevamento di sicurezza contemporaneamente in serie sul collegamento per aumentare il collegamento di un singolo punto di guasto, riducendo l'affidabilità complessiva della rete. Inoltre, nell'implementazione online delle apparecchiature di sicurezza sopra menzionate, gli aggiornamenti delle apparecchiature, la sostituzione delle apparecchiature e altre operazioni, causeranno un'interruzione del servizio della rete per un lungo periodo e un'azione di riduzione del progetto più ampia per completare l'implementazione di successo di tali progetti.
Distribuendo il "Network Inline Bypass" in modo unificato, la modalità di distribuzione di più dispositivi di sicurezza collegati in serie sullo stesso collegamento può essere modificata da "modalità di concatenazione fisica" a "concatenazione fisica, modalità di concatenazione logica" Il collegamento sul collegamento di un singolo punto di guasto per migliorare l'affidabilità del collegamento, mentre il "Network Inline Bypass" sul flusso del collegamento su trazione richiesta, per ottenere lo stesso flusso con la modalità originale di effetto di elaborazione sicura.
Più di un dispositivo di sicurezza contemporaneamente nel diagramma di distribuzione in serie:
Diagramma di distribuzione dello switch di bypass in linea di rete:
3.6 Basato sulla strategia dinamica di protezione del rilevamento della sicurezza della trazione del traffico
"Network Inline Bypass" Un altro scenario applicativo avanzato si basa sulla strategia dinamica delle applicazioni di protezione del rilevamento della sicurezza della trazione del traffico, l'implementazione del modo come mostrato di seguito:
Prendiamo ad esempio l'attrezzatura per test di sicurezza "Protezione e rilevamento degli attacchi anti-DDoS", attraverso l'implementazione front-end di "Network Inline Bypass" e quindi l'attrezzatura di protezione anti-DDOS e quindi collegata al "Network Inline Bypass", nel il solito "Traction Protector" per l'intera quantità di traffico wire-speed inoltrando allo stesso tempo l'output del mirroring del flusso al "dispositivo di protezione dagli attacchi anti-DDOS", una volta rilevato per un IP del server (o un segmento di rete IP) dopo l'attacco, Il "dispositivo di protezione dagli attacchi anti-DDOS" genererà le regole di corrispondenza del flusso di traffico target e le invierà al "Network Inline Bypass" attraverso l'interfaccia di distribuzione della politica dinamica. Il "Network Inline Bypass" può aggiornare la "trazione dinamica del traffico" dopo aver ricevuto le regole della politica dinamica Pool di regole "e immediatamente" la regola colpisce il traffico del server di attacco "trazione verso l'apparecchiatura" di protezione e rilevamento degli attacchi anti-DDoS "per l'elaborazione, per essere efficaci dopo il flusso di attacco e quindi re-iniettati nella rete.
Lo schema applicativo basato sul “Network Inline Bypass” è più facile da implementare rispetto alla tradizionale iniezione del percorso BGP o ad altri schemi di trazione del traffico, e l’ambiente è meno dipendente dalla rete e l’affidabilità è maggiore.
"Network Inline Bypass" ha le seguenti caratteristiche per supportare la protezione del rilevamento di sicurezza della policy dinamica:
1, "Network Inline Bypass" per fornire al di fuori delle regole basato sull'interfaccia WEBSERIVCE, facile integrazione con dispositivi di sicurezza di terze parti.
2, "Network Inline Bypass" basato sul chip ASIC hardware puro che inoltra pacchetti wire-speed fino a 10 Gbps senza bloccare l'inoltro dello switch e "libreria di regole dinamiche per la trazione del traffico" indipendentemente dal numero.
3, la funzione BYPASS professionale incorporata "Network Inline Bypass", anche in caso di guasto della protezione stessa, può anche bypassare immediatamente il collegamento seriale originale, senza influenzare il collegamento originale della normale comunicazione.
Orario di pubblicazione: 23 dicembre 2021