1- Che cosa è il pacchetto Define Heartbeat?
I pacchetti heartbeat di Mylinking™ Network Tap Bypass Switch sono impostati di default su frame Ethernet Layer 2. Quando si implementa la modalità di bridging Layer 2 trasparente (come IPS/FW), i frame Ethernet Layer 2 vengono normalmente inoltrati, bloccati o scartati. Allo stesso tempo, Mylinking™ Network Tap Bypass Switch supporta un formato di messaggio heartbeat personalizzato per far fronte alla situazione in cui alcuni dispositivi di sicurezza seriali speciali non riescono normalmente a inoltrare frame Ethernet Layer 2 ordinari.
Mylinking™ Network Tap Bypass Switch supporta anche il rilevamento dei pacchetti heartbeat in base al tag VLAN e ai tipi di messaggi personalizzati di Livello 3 e Livello 4. Grazie a questo meccanismo, l'utente può implementare una funzione di test di sicurezza del servizio del dispositivo di sicurezza della connessione per renderlo più efficace e garantire il corretto funzionamento dei servizi di sicurezza corrispondenti.
Mylinking™ Network Tap Bypass Switch può supportare il monitor per inviare pacchetti heartbeat diversi in entrambe le direzioni. Ad esempio, i pacchetti heartbeat di tipo TCP e UDP sono personalizzati sullo "Strategy Traffic Traction Protector", in base alle caratteristiche specifiche del dispositivo seriale. È possibile configurare l'invio di pacchetti heartbeat TCP sulla porta A del monitor uplink e l'invio di pacchetti heartbeat UDP sulla porta B del monitor downlink per adattarsi al meccanismo di inoltro dei messaggi del dispositivo di sicurezza seriale. Questa funzione può garantire la stringa in modo più efficace. Collegare l'apparecchiatura di sicurezza al normale funzionamento.
Lo switch di bypass in linea di rete Mylinking™ è stato studiato e sviluppato per essere utilizzato per l'implementazione flessibile di vari tipi di apparecchiature di sicurezza seriali, garantendo al contempo un'elevata affidabilità di rete.
Funzionalità e tecnologie avanzate dello switch bypass in linea a 2 reti
Tecnologia Mylinking™ "SpecFlow" Protection Mode e "FullLink" Protection Mode
Tecnologia di protezione di commutazione bypass rapido Mylinking™
Tecnologia Mylinking™ “LinkSafeSwitch”
Tecnologia di inoltro/emissione di strategie dinamiche "WebService" Mylinking™
Tecnologia di rilevamento intelligente dei messaggi di heartbeat Mylinking™
Tecnologia di messaggi di battito cardiaco definibili Mylinking™
Tecnologia di bilanciamento del carico multi-link Mylinking™
Tecnologia di distribuzione intelligente del traffico Mylinking™
Tecnologia di bilanciamento dinamico del carico Mylinking™
Tecnologia di gestione remota Mylinking™ (HTTP/WEB, TELNET/SSH, caratteristica “EasyConfig/AdvanceConfig”)
Applicazione dell'interruttore di bypass in linea a 3 reti (come segue)
3.1 Il rischio delle apparecchiature di sicurezza in linea (IPS/FW)
Di seguito è riportata una tipica modalità di distribuzione di IPS (Intrusion Prevention System), FW (Firewall); IPS/FW viene distribuito in serie alle apparecchiature di rete (router, switch, ecc.) tra il traffico attraverso l'implementazione di controlli di sicurezza, in base alla corrispondente politica di sicurezza per determinare il rilascio o il blocco del traffico corrispondente, per ottenere l'effetto di difesa della sicurezza.
Allo stesso tempo, possiamo osservare IPS/FW come un'implementazione seriale delle apparecchiature, solitamente distribuite nelle posizioni chiave della rete aziendale per implementare la sicurezza seriale; l'affidabilità dei dispositivi connessi influisce direttamente sulla disponibilità complessiva della rete aziendale. In caso di sovraccarico, crash, aggiornamenti software, aggiornamenti delle policy, ecc. dei dispositivi seriali, la disponibilità dell'intera rete aziendale ne risente notevolmente. A questo punto, solo un'interruzione di rete, un jumper di bypass fisico può ripristinare la rete, compromettendone seriamente l'affidabilità. IPS/FW e altri dispositivi seriali, da un lato, migliorano l'implementazione della sicurezza della rete aziendale, dall'altro ne riducono l'affidabilità, aumentando il rischio di indisponibilità.
3.2 Protezione delle apparecchiature in serie con collegamento in linea
Mylinking™ "Network Inline Bypass" viene distribuito in serie tra i dispositivi di rete (router, switch, ecc.) e il flusso di dati tra i dispositivi di rete non conduce più direttamente a IPS/FW, "Network Inline Bypass" a IPS/FW, quando l'IPS/FW a causa di sovraccarico, crash, aggiornamenti software, aggiornamenti delle policy e altre condizioni di errore, il "Network Inline Bypass" tramite la funzione di rilevamento intelligente dei messaggi heartbeat della scoperta tempestiva, e quindi salta il dispositivo difettoso, senza interrompere i locali della rete, l'apparecchiatura di rete rapida collegata direttamente per proteggere la normale rete di comunicazione; quando il ripristino dell'errore IPS/FW, ma anche tramite pacchetti heartbeat intelligenti Rilevamento del rilevamento tempestivo della funzione, il collegamento originale per ripristinare la sicurezza dei controlli di sicurezza della rete aziendale.
Mylinking™ "Network Inline Bypass" ha una potente funzione di rilevamento intelligente dei messaggi heartbeat, l'utente può personalizzare l'intervallo heartbeat e il numero massimo di tentativi, tramite un messaggio heartbeat personalizzato sull'IPS/FW per i test di integrità, come inviare il messaggio di controllo heartbeat alla porta upstream/downstream dell'IPS/FW, quindi ricevere dalla porta upstream/downstream dell'IPS/FW e valutare se l'IPS/FW funziona normalmente inviando e ricevendo il messaggio heartbeat.
3.3 Protezione della serie di trazione in linea del flusso di policy "SpecFlow"
Quando il dispositivo di sicurezza di rete deve gestire solo il traffico specifico nella protezione di sicurezza in serie, tramite la funzione di elaborazione del traffico "Network Inline Bypass" di Mylinking™, tramite la strategia di screening del traffico per collegare il dispositivo di sicurezza, il traffico "interessato" viene reinviato direttamente al collegamento di rete e la "sezione di traffico interessata" viene indirizzata al dispositivo di sicurezza in linea per eseguire i controlli di sicurezza. Ciò non solo manterrà la normale applicazione della funzione di rilevamento di sicurezza del dispositivo di sicurezza, ma ridurrà anche il flusso inefficiente dell'apparecchiatura di sicurezza per gestire la pressione; allo stesso tempo, il "Network Inline Bypass" può rilevare le condizioni di funzionamento del dispositivo di sicurezza in tempo reale. Il dispositivo di sicurezza funziona in modo anomalo bypassando direttamente il traffico dati per evitare interruzioni del servizio di rete.
3.4 Protezione in serie con bilanciamento del carico
Il "Network Inline Bypass" Mylinking™ viene distribuito in serie tra i dispositivi di rete (router, switch, ecc.). Quando le prestazioni di elaborazione di un singolo IPS/FW non sono sufficienti a far fronte al picco di traffico del collegamento di rete, la funzione di bilanciamento del carico del traffico del protettore, il "raggruppamento" del traffico di collegamento di rete di elaborazione di più cluster IPS/FW, può ridurre efficacemente la pressione di elaborazione del singolo IPS/FW, migliorando le prestazioni di elaborazione complessive per soddisfare l'elevata larghezza di banda dell'ambiente di distribuzione.
Mylinking™ "Network Inline Bypass" ha una potente funzione di bilanciamento del carico, in base al tag VLAN del frame, alle informazioni MAC, alle informazioni IP, al numero di porta, al protocollo e ad altre informazioni sulla distribuzione del bilanciamento del carico Hash del traffico per garantire che ogni IPS/FW riceva l'integrità della sessione del flusso di dati.
3.5 Protezione della trazione del flusso delle apparecchiature in linea multi-serie (cambiare la connessione seriale in connessione parallela)
In alcuni collegamenti chiave (come le prese Internet, i collegamenti di scambio di aree server), la posizione è spesso dovuta alle esigenze di sicurezza e all'implementazione di più apparecchiature di test di sicurezza in linea (come firewall, apparecchiature anti-attacco DDOS, firewall per applicazioni Web, apparecchiature di prevenzione delle intrusioni, ecc.), più apparecchiature di rilevamento di sicurezza contemporaneamente in serie sul collegamento per aumentare il collegamento di un singolo punto di errore, riducendo l'affidabilità complessiva della rete. Inoltre, nell'implementazione online delle apparecchiature di sicurezza sopra menzionate, l'aggiornamento delle apparecchiature, la sostituzione delle apparecchiature e altre operazioni causeranno un'interruzione prolungata del servizio di rete e una maggiore necessità di tagli ai progetti per completare con successo tali progetti.
Distribuendo il "Network Inline Bypass" in modo unificato, la modalità di distribuzione di più dispositivi di sicurezza collegati in serie sullo stesso collegamento può essere modificata da "modalità di concatenazione fisica" a "modalità di concatenazione fisica, concatenazione logica". Il collegamento sul collegamento di un singolo punto di errore per migliorare l'affidabilità del collegamento, mentre il "Network Inline Bypass" sul flusso di collegamento su richiesta trazione, per ottenere lo stesso flusso con la modalità originale di effetto di elaborazione sicura.
Diagramma di distribuzione in serie di più dispositivi di sicurezza contemporaneamente:
Diagramma di distribuzione dello switch di bypass in linea di rete:
3.6 Basato sulla strategia dinamica di protezione del rilevamento della sicurezza della trazione del traffico
"Bypass in linea di rete" Un altro scenario applicativo avanzato si basa sulla strategia dinamica delle applicazioni di protezione del rilevamento della sicurezza della trazione del traffico, la cui distribuzione è illustrata di seguito:
Prendiamo ad esempio l'apparecchiatura di test di sicurezza "Protezione e rilevamento attacchi anti-DDoS", tramite l'implementazione front-end di "Network Inline Bypass" e quindi l'apparecchiatura di protezione anti-DDoS e quindi collegata al "Network Inline Bypass", nel solito "Traction Protector" per l'intera quantità di traffico inoltro a velocità di rete allo stesso tempo il mirroring del flusso in uscita al "dispositivo di protezione dagli attacchi anti-DDoS". Una volta rilevato un IP del server (o un segmento di rete IP) dopo l'attacco, il "dispositivo di protezione dagli attacchi anti-DDoS" genererà le regole di corrispondenza del flusso di traffico di destinazione e le invierà al "Network Inline Bypass" tramite l'interfaccia di distribuzione dinamica delle policy. Il "Network Inline Bypass" può aggiornare il "traffic traction dynamic" dopo aver ricevuto il pool di regole delle policy dinamiche e immediatamente "la regola colpisce il traffico del server di attacco" "traction" all'apparecchiatura di "protezione e rilevamento attacchi anti-DDoS" per l'elaborazione, per essere efficace dopo il flusso di attacco e quindi reiniettato nella rete.
Lo schema applicativo basato sul "Network Inline Bypass" è più facile da implementare rispetto al tradizionale BGP route injection o ad altri schemi di trazione del traffico, inoltre l'ambiente è meno dipendente dalla rete e l'affidabilità è maggiore.
"Network Inline Bypass" presenta le seguenti caratteristiche per supportare la protezione del rilevamento della sicurezza tramite policy dinamica:
1, "Bypass in linea di rete" per fornire al di fuori delle regole basate sull'interfaccia WEBSERVICE, una facile integrazione con dispositivi di sicurezza di terze parti.
2, "Network Inline Bypass" basato sul chip ASIC hardware puro che inoltra pacchetti a velocità di rete fino a 10 Gbps senza bloccare l'inoltro dello switch e "libreria di regole dinamiche di trazione del traffico" indipendentemente dal numero.
3, la funzione BYPASS professionale integrata "Network Inline Bypass", anche in caso di guasto del protettore stesso, può bypassare immediatamente il collegamento seriale originale, senza influire sul collegamento originale della normale comunicazione.
Data di pubblicazione: 23-12-2021
