1- Che cosa si intende per pacchetto Heartbeat?
I pacchetti heartbeat di Mylinking™ Network Tap Bypass Switch sono impostati di default su frame Ethernet Layer 2. Quando si implementa la modalità di bridging trasparente Layer 2 (come IPS/FW), i frame Ethernet Layer 2 vengono normalmente inoltrati, bloccati o scartati. Allo stesso tempo, Mylinking™ Network Tap Bypass Switch supporta un formato di messaggio heartbeat personalizzato per gestire la situazione in cui alcuni dispositivi di sicurezza seriali speciali non sono normalmente in grado di inoltrare frame Ethernet Layer 2 ordinari.
Mylinking™ Network Tap Bypass Switch supporta anche il rilevamento dei pacchetti heartbeat in base al tag VLAN e ai tipi di messaggio personalizzati di Livello 3 e Livello 4. Grazie a questo meccanismo, l'utente può implementare una funzione di test di sicurezza del servizio del dispositivo di sicurezza della connessione per renderlo più efficace e garantire il corretto funzionamento dei servizi di sicurezza corrispondenti.
Mylinking™ Network Tap Bypass Switch può supportare il monitor per inviare pacchetti heartbeat diversi in entrambe le direzioni. Ad esempio, i pacchetti heartbeat di tipo TCP e UDP sono personalizzati sullo "Strategy Traffic Traction Protector", in base alle caratteristiche specifiche del dispositivo seriale. È possibile configurare l'invio di pacchetti heartbeat TCP sulla porta A del monitor di uplink e l'invio di pacchetti heartbeat UDP sulla porta B del monitor di downlink per adattarsi al meccanismo di inoltro dei messaggi del dispositivo di sicurezza seriale. Questa funzione può garantire la stringa in modo più efficace. Collegare l'apparecchiatura di sicurezza al normale funzionamento.
Lo switch di bypass in linea di rete Mylinking™ è stato studiato e sviluppato per essere utilizzato per l'implementazione flessibile di vari tipi di apparecchiature di sicurezza seriali, garantendo al contempo un'elevata affidabilità di rete.
Funzionalità e tecnologie avanzate dello switch bypass in linea a 2 reti
Tecnologia Mylinking™ “SpecFlow” Protection Mode e “FullLink” Protection Mode
Tecnologia di protezione di commutazione bypass rapido Mylinking™
Tecnologia Mylinking™ “LinkSafeSwitch”
Tecnologia di inoltro/segnalazione di strategie dinamiche "WebService" Mylinking™
Tecnologia di rilevamento intelligente dei messaggi di battito cardiaco Mylinking™
Tecnologia di messaggi di battito cardiaco definibili Mylinking™
Tecnologia di bilanciamento del carico multi-link Mylinking™
Tecnologia di distribuzione intelligente del traffico Mylinking™
Tecnologia di bilanciamento dinamico del carico Mylinking™
Tecnologia di gestione remota Mylinking™ (HTTP/WEB, TELNET/SSH, caratteristica “EasyConfig/AdvanceConfig”)
3-Applicazione dell'interruttore di bypass in linea di rete (come segue)
3.1 Il rischio delle apparecchiature di sicurezza in linea (IPS/FW)
Di seguito è riportata una tipica modalità di distribuzione di IPS (Intrusion Prevention System), FW (Firewall): IPS/FW viene distribuito in serie alle apparecchiature di rete (router, switch, ecc.) tra il traffico mediante l'implementazione di controlli di sicurezza, in base alla corrispondente politica di sicurezza per determinare il rilascio o il blocco del traffico corrispondente, per ottenere l'effetto di difesa della sicurezza.
Allo stesso tempo, possiamo osservare IPS/FW come un'implementazione seriale delle apparecchiature, solitamente distribuite nelle posizioni chiave della rete aziendale per implementare la sicurezza seriale. L'affidabilità dei dispositivi connessi influisce direttamente sulla disponibilità complessiva della rete aziendale. Sovraccarico, crash, aggiornamenti software, aggiornamenti delle policy, ecc. dei dispositivi seriali compromettono notevolmente la disponibilità dell'intera rete aziendale. A questo punto, solo un'interruzione di rete o un bypass fisico possono ripristinare la rete, compromettendone seriamente l'affidabilità. IPS/FW e altri dispositivi seriali, da un lato, migliorano l'implementazione della sicurezza della rete aziendale, dall'altro ne riducono l'affidabilità, aumentando il rischio di indisponibilità.
3.2 Protezione delle apparecchiature in serie con collegamento in linea
Mylinking™ "Network Inline Bypass" viene distribuito in serie tra i dispositivi di rete (router, switch, ecc.) e il flusso di dati tra i dispositivi di rete non porta più direttamente a IPS / FW, "Network Inline Bypass" a IPS / FW, quando l'IPS / FW a causa di sovraccarico, crash, aggiornamenti software, aggiornamenti dei criteri e altre condizioni di errore, il "Network Inline Bypass" attraverso la funzione di rilevamento intelligente dei messaggi heartbeat della scoperta tempestiva, e quindi salta il dispositivo difettoso, senza interrompere i premesse della rete, l'apparecchiatura di rete rapida collegata direttamente per proteggere la normale rete di comunicazione; quando il ripristino dell'errore IPS / FW, ma anche attraverso pacchetti heartbeat intelligenti Rilevamento tempestivo della funzione, il collegamento originale per ripristinare la sicurezza dei controlli di sicurezza della rete aziendale.
Mylinking™ "Network Inline Bypass" ha una potente funzione di rilevamento intelligente dei messaggi heartbeat, l'utente può personalizzare l'intervallo heartbeat e il numero massimo di tentativi, tramite un messaggio heartbeat personalizzato sull'IPS/FW per i test di integrità, come inviare il messaggio di controllo heartbeat alla porta upstream/downstream dell'IPS/FW, quindi ricevere dalla porta upstream/downstream dell'IPS/FW e valutare se l'IPS/FW funziona normalmente inviando e ricevendo il messaggio heartbeat.
3.3 Protezione della serie di trazione in linea del flusso di policy "SpecFlow"
Quando il dispositivo di sicurezza di rete deve gestire solo il traffico specifico nella protezione di sicurezza in serie, tramite la funzione di elaborazione del traffico "Network Inline Bypass" di Mylinking™, tramite la strategia di screening del traffico per collegare il dispositivo di sicurezza, il traffico "interessato" viene reinviato direttamente al collegamento di rete e la "sezione di traffico interessata" viene indirizzata al dispositivo di sicurezza in linea per eseguire i controlli di sicurezza. Ciò non solo manterrà la normale applicazione della funzione di rilevamento di sicurezza del dispositivo di sicurezza, ma ridurrà anche il flusso inefficiente dell'apparecchiatura di sicurezza per gestire la pressione; allo stesso tempo, la funzione "Network Inline Bypass" può rilevare lo stato di funzionamento del dispositivo di sicurezza in tempo reale. Il dispositivo di sicurezza, in caso di funzionamento anomalo, bypassa direttamente il traffico dati per evitare interruzioni del servizio di rete.
3.4 Protezione in serie con bilanciamento del carico
Il "Network Inline Bypass" di Mylinking™ viene implementato in serie tra i dispositivi di rete (router, switch, ecc.). Quando le prestazioni di elaborazione di un singolo IPS/FW non sono sufficienti a gestire i picchi di traffico sui collegamenti di rete, la funzione di bilanciamento del carico del traffico del protettore, ovvero il "raggruppamento" del traffico di elaborazione di più cluster IPS/FW, può ridurre efficacemente la pressione di elaborazione del singolo IPS/FW e migliorare le prestazioni di elaborazione complessive per soddisfare l'elevata larghezza di banda dell'ambiente di implementazione.
Mylinking™ “Network Inline Bypass” ha una potente funzione di bilanciamento del carico, in base al tag VLAN del frame, alle informazioni MAC, alle informazioni IP, al numero di porta, al protocollo e ad altre informazioni sulla distribuzione del bilanciamento del carico Hash del traffico per garantire che ogni IPS/FW riceva l'integrità della sessione del flusso di dati.
3.5 Protezione della trazione del flusso delle apparecchiature in linea multi-serie (cambiare la connessione seriale in connessione parallela)
In alcuni collegamenti chiave (come le prese Internet e i collegamenti di scambio di aree server), la posizione è spesso dovuta alle esigenze di sicurezza e all'implementazione di più apparecchiature di test di sicurezza in linea (come firewall, dispositivi anti-attacco DDOS, firewall per applicazioni Web, dispositivi di prevenzione delle intrusioni, ecc.), nonché all'installazione simultanea di più apparecchiature di rilevamento della sicurezza in serie sul collegamento per aumentare il rischio di un singolo punto di errore, riducendo l'affidabilità complessiva della rete. Inoltre, l'implementazione online delle apparecchiature di sicurezza sopra menzionate, gli aggiornamenti, la sostituzione e altre operazioni causeranno interruzioni di servizio prolungate della rete e richiederanno interventi di riduzione più ampi per completare l'implementazione di tali progetti.
Distribuendo il "Network Inline Bypass" in modo unificato, la modalità di distribuzione di più dispositivi di sicurezza collegati in serie sullo stesso collegamento può essere modificata da "modalità di concatenazione fisica" a "modalità di concatenazione fisica, concatenazione logica". Il collegamento sul collegamento di un singolo punto di errore per migliorare l'affidabilità del collegamento, mentre il "Network Inline Bypass" sul flusso di collegamento su richiesta trazione, per ottenere lo stesso flusso con la modalità originale di effetto di elaborazione sicura.
Più dispositivi di sicurezza contemporaneamente nello schema di distribuzione in serie:
Diagramma di distribuzione dello switch di bypass in linea di rete:
3.6 Basato sulla strategia dinamica di protezione del rilevamento della sicurezza della trazione del traffico
"Bypass in linea di rete": un altro scenario applicativo avanzato si basa sulla strategia dinamica delle applicazioni di protezione del rilevamento della sicurezza della trazione del traffico, la cui distribuzione avviene come mostrato di seguito:
Ad esempio, si consideri l'apparecchiatura di test di sicurezza "Protezione e rilevamento attacchi anti-DDoS", tramite l'implementazione front-end di "Network Inline Bypass" e quindi l'apparecchiatura di protezione anti-DDoS, e quindi connessa a "Network Inline Bypass", nel consueto "Traction Protector" per l'intera quantità di traffico inoltro a velocità di rete, contemporaneamente l'output mirror del flusso al "dispositivo di protezione dagli attacchi anti-DDoS". Una volta rilevato un IP del server (o un segmento di rete IP) dopo l'attacco, il "dispositivo di protezione dagli attacchi anti-DDoS" genererà le regole di corrispondenza del flusso di traffico di destinazione e le invierà a "Network Inline Bypass" tramite l'interfaccia di distribuzione dinamica delle policy. "Network Inline Bypass" può aggiornare la "trazione dinamica del traffico" dopo aver ricevuto il pool di regole delle policy dinamiche e "inviare immediatamente la regola al server di attacco" per l'elaborazione del traffico di "trazione" all'apparecchiatura di protezione e rilevamento attacchi anti-DDoS, in modo che sia efficace dopo l'attacco e quindi reiniettato nella rete.
Lo schema applicativo basato sul "Network Inline Bypass" è più facile da implementare rispetto al tradizionale schema di iniezione di rotta BGP o ad altri schemi di trazione del traffico, inoltre l'ambiente è meno dipendente dalla rete e l'affidabilità è maggiore.
"Network Inline Bypass" presenta le seguenti caratteristiche per supportare la protezione del rilevamento della sicurezza tramite policy dinamica:
1, "Network Inline Bypass" per fornire al di fuori delle regole basate sull'interfaccia WEBSERVICE, una facile integrazione con dispositivi di sicurezza di terze parti.
2, "Network Inline Bypass" basato sul chip ASIC hardware puro che inoltra pacchetti a velocità di rete fino a 10 Gbps senza bloccare l'inoltro dello switch e "libreria di regole dinamiche di trazione del traffico" indipendentemente dal numero.
3. La funzione BYPASS professionale integrata "Network Inline Bypass" consente, anche in caso di guasto del protettore stesso, di bypassare immediatamente il collegamento seriale originale, senza compromettere il collegamento originale della normale comunicazione.
Data di pubblicazione: 23 dicembre 2021
