1- Cos'è il pacchetto Define Heartbeat?
I pacchetti heartbeat dello switch di bypass Mylinking™ Network Tap sono di default frame Ethernet di livello 2. Quando si implementa una modalità di bridging trasparente di livello 2 (come IPS/FW), i frame Ethernet di livello 2 vengono normalmente inoltrati, bloccati o scartati. Allo stesso tempo, lo switch di bypass Mylinking™ Network Tap supporta un formato personalizzato per i messaggi heartbeat per far fronte a situazioni in cui alcuni dispositivi di sicurezza seriali speciali non sono in grado di inoltrare i normali frame Ethernet di livello 2.
Inoltre, lo switch Mylinking™ Network Tap Bypass supporta anche il rilevamento dei pacchetti heartbeat basato su tag VLAN e tipi di messaggio personalizzati di livello 3 e livello 4. Grazie a questo meccanismo, l'utente può implementare una funzione di test di sicurezza del servizio del dispositivo di sicurezza della connessione per renderlo più efficace e garantire il corretto funzionamento dei relativi servizi di sicurezza.
Lo switch di bypass Mylinking™ Network Tap può supportare l'invio di diversi pacchetti heartbeat in entrambe le direzioni da parte del monitor. Ad esempio, i pacchetti heartbeat di tipo TCP e UDP sono personalizzabili sulla "Strategy Traffic Traction Protector", in base alle specificità del dispositivo seriale. È possibile configurare l'invio di pacchetti heartbeat TCP sulla porta A del monitor uplink e l'invio di pacchetti heartbeat UDP sulla porta B del monitor downlink per adattarsi al meccanismo di inoltro dei messaggi del dispositivo di sicurezza seriale. Questa funzione può garantire in modo più efficace il corretto funzionamento della stringa. Collegare l'apparecchiatura di sicurezza per un funzionamento normale.
Lo switch di bypass in linea di rete Mylinking™ è stato progettato e sviluppato per consentire un'implementazione flessibile di diverse tipologie di apparecchiature di sicurezza seriali, garantendo al contempo un'elevata affidabilità di rete.
2-Interruttore di bypass in linea di rete: funzionalità e tecnologie avanzate
Tecnologia Mylinking™ con modalità di protezione “SpecFlow” e “FullLink”.
Tecnologia di protezione con commutazione a bypass rapido Mylinking™
Tecnologia Mylinking™ “LinkSafeSwitch”
Mylinking™ “WebService” Strategia dinamica di inoltro/emissione Tecnologia
Tecnologia Mylinking™ per il rilevamento intelligente del battito cardiaco
Tecnologia Mylinking™ per messaggi di heartbeat configurabili
Tecnologia di bilanciamento del carico multi-link Mylinking™
Tecnologia di distribuzione del traffico intelligente Mylinking™
Tecnologia di bilanciamento dinamico del carico Mylinking™
Tecnologia di gestione remota Mylinking™ (HTTP/WEB, TELNET/SSH, funzionalità "EasyConfig/AdvanceConfig")
3- Applicazione dell'interruttore di bypass in linea di rete (come di seguito)
3.1 Il rischio delle apparecchiature di sicurezza in linea (IPS/FW)
Di seguito viene illustrato un tipico schema di implementazione di un IPS (Intrusion Prevention System) e di un FW (Firewall). L'IPS/FW viene installato in serie tra le apparecchiature di rete (router, switch, ecc.) e il traffico viene instradato attraverso controlli di sicurezza, determinando se consentire o bloccare il traffico corrispondente in base alla policy di sicurezza applicata, al fine di garantire la protezione della rete.
Allo stesso tempo, possiamo osservare che IPS/FW sono dispositivi installati in serie, solitamente in posizioni chiave della rete aziendale per implementare la sicurezza seriale. L'affidabilità dei dispositivi ad essi collegati influisce direttamente sulla disponibilità complessiva della rete aziendale. In caso di sovraccarico, crash, aggiornamenti software, aggiornamenti delle policy, ecc., dei dispositivi seriali, la disponibilità dell'intera rete aziendale ne risentirà gravemente. A questo punto, l'unico modo per ripristinare la rete è interrompere la connessione o utilizzare ponticelli di bypass fisici, compromettendo seriamente l'affidabilità della rete. IPS/FW e altri dispositivi seriali, da un lato, migliorano la sicurezza della rete aziendale, ma dall'altro ne riducono l'affidabilità, aumentando il rischio di indisponibilità della rete.
3.2 Protezione delle apparecchiature della serie Inline Link
Mylinking™ "Network Inline Bypass" viene installato in serie tra i dispositivi di rete (router, switch, ecc.) e il flusso di dati tra i dispositivi di rete non passa più direttamente attraverso l'IPS/FW. "Network Inline Bypass" collega l'IPS/FW all'IPS/FW. Quando l'IPS/FW si guasta a causa di sovraccarico, crash, aggiornamenti software, aggiornamenti delle policy o altre condizioni, "Network Inline Bypass" rileva tempestivamente il problema tramite la funzione intelligente di rilevamento dei messaggi heartbeat, bypassando così il dispositivo difettoso e consentendo la connessione diretta e rapida delle apparecchiature di rete per proteggere la normale rete di comunicazione. Al ripristino del guasto dell'IPS/FW, la funzione intelligente di rilevamento dei pacchetti heartbeat rileva tempestivamente il problema, ripristinando il collegamento originale e garantendo la sicurezza della rete aziendale.
Mylinking™ “Network Inline Bypass” dispone di una potente funzione intelligente di rilevamento del messaggio heartbeat. L'utente può personalizzare l'intervallo heartbeat e il numero massimo di tentativi, tramite un messaggio heartbeat personalizzato sull'IPS/FW per il test di integrità, ad esempio inviando il messaggio di controllo heartbeat alla porta upstream/downstream dell'IPS/FW e quindi ricevendolo dalla porta upstream/downstream dell'IPS/FW, e valutando se l'IPS/FW funziona normalmente inviando e ricevendo il messaggio heartbeat.
3.3 Politica “SpecFlow” Flusso Trazione in linea Protezione Serie
Quando il dispositivo di rete di sicurezza deve gestire solo il traffico specifico nella protezione di sicurezza in serie, tramite la funzione di pre-elaborazione del traffico "Network Inline Bypass" di Mylinking™, attraverso la strategia di screening del traffico, il traffico "interessato" viene inviato direttamente al collegamento di rete e la "sezione di traffico interessata" viene indirizzata al dispositivo di sicurezza in linea per eseguire i controlli di sicurezza. Ciò non solo mantiene la normale applicazione della funzione di rilevamento della sicurezza del dispositivo di sicurezza, ma riduce anche il flusso inefficiente di gestione della pressione sulle apparecchiature di sicurezza; allo stesso tempo, il "Network Inline Bypass" può rilevare in tempo reale le condizioni di funzionamento del dispositivo di sicurezza. In caso di funzionamento anomalo del dispositivo di sicurezza, il traffico dati viene bypassato direttamente per evitare l'interruzione del servizio di rete.
3.4 Protezione in serie con bilanciamento del carico
Il dispositivo Mylinking™ “Network Inline Bypass” viene installato in serie tra i dispositivi di rete (router, switch, ecc.). Quando le prestazioni di elaborazione di un singolo IPS/FW non sono sufficienti a gestire i picchi di traffico del collegamento di rete, la funzione di bilanciamento del carico del dispositivo di protezione, che raggruppa il traffico di rete elaborato da più cluster IPS/FW, può ridurre efficacemente la pressione di elaborazione sul singolo IPS/FW e migliorare le prestazioni di elaborazione complessive per soddisfare le elevate esigenze di larghezza di banda dell'ambiente di implementazione.
Mylinking™ “Network Inline Bypass” dispone di una potente funzione di bilanciamento del carico che, in base al tag VLAN del frame, alle informazioni MAC, alle informazioni IP, al numero di porta, al protocollo e ad altre informazioni, distribuisce il traffico tramite Hash per garantire l'integrità della sessione del flusso di dati ricevuto da ciascun IPS/FW.
3.5 Apparecchiature in linea multiserie con protezione contro la trazione del flusso (Modifica della connessione seriale in connessione parallela)
In alcuni collegamenti chiave (come punti di accesso Internet, collegamenti di interscambio nell'area server) la posizione è spesso determinata dalle esigenze di sicurezza e dall'implementazione di più apparecchiature di test di sicurezza in linea (come firewall, apparecchiature anti-attacco DDoS, firewall per applicazioni web, apparecchiature di prevenzione delle intrusioni, ecc.). La presenza simultanea di più apparecchiature di rilevamento della sicurezza in serie sul collegamento aumenta il numero di punti di guasto singoli, riducendo l'affidabilità complessiva della rete. Inoltre, l'implementazione in linea delle suddette apparecchiature di sicurezza, gli aggiornamenti, la sostituzione delle apparecchiature e altre operazioni possono causare lunghe interruzioni del servizio di rete e interventi di interruzione di progetti più ampi per il completamento con successo di tali progetti.
Grazie all'implementazione unificata del "Network Inline Bypass", la modalità di implementazione di più dispositivi di sicurezza collegati in serie sullo stesso collegamento può essere modificata dalla "modalità di concatenazione fisica" alla "modalità di concatenazione fisica e logica". Il collegamento, in presenza di un singolo punto di guasto, migliora l'affidabilità del collegamento, mentre il "Network Inline Bypass" gestisce il flusso di dati sul collegamento su richiesta, garantendo lo stesso flusso con la modalità di elaborazione sicura originale.
Schema di installazione in serie di più dispositivi di sicurezza contemporaneamente:
Schema di installazione di uno switch di bypass in linea di rete:
3.6 Basato sulla strategia dinamica di rilevamento e protezione della sicurezza della trazione del traffico
"Bypass in linea di rete" Un altro scenario applicativo avanzato si basa sulla strategia dinamica di rilevamento e protezione della sicurezza del traffico, con la seguente modalità di implementazione:
Prendiamo ad esempio l'apparecchiatura di test di sicurezza "Protezione e rilevamento degli attacchi anti-DDoS", tramite l'implementazione front-end di "Network Inline Bypass" e quindi l'apparecchiatura di protezione anti-DDoS e quindi collegata a "Network Inline Bypass", nel normale "Traction Protector" a tutto il traffico inoltra alla velocità di linea contemporaneamente l'uscita mirror del flusso al "dispositivo di protezione dagli attacchi anti-DDoS", una volta rilevato per un IP del server (o segmento di rete IP) dopo l'attacco, il "dispositivo di protezione dagli attacchi anti-DDoS" genererà le regole di corrispondenza del flusso di traffico target e le invierà a "Network Inline Bypass" tramite l'interfaccia di consegna delle policy dinamiche. Il "Network Inline Bypass" può aggiornare il "traffico dinamico" dopo aver ricevuto le regole della policy dinamica Il pool di regole "e immediatamente" colpisce il traffico del server di attacco "traccia" all'apparecchiatura "Protezione e rilevamento degli attacchi anti-DDoS" per l'elaborazione, in modo che sia efficace dopo il flusso di attacco e quindi reiniettato nella rete.
Lo schema applicativo basato sul "Network Inline Bypass" è più facile da implementare rispetto alla tradizionale iniezione di route BGP o ad altri schemi di trazione del traffico, inoltre l'ambiente è meno dipendente dalla rete e l'affidabilità è maggiore.
"Network Inline Bypass" presenta le seguenti caratteristiche per supportare la protezione dinamica dal rilevamento della sicurezza delle policy:
1. "Network Inline Bypass" per fornire un accesso esterno alle regole basato sull'interfaccia WEBSERVICE, con facile integrazione con dispositivi di sicurezza di terze parti.
2, "Network Inline Bypass" basato su un chip ASIC puro hardware che inoltra pacchetti a velocità di linea fino a 10 Gbps senza bloccare l'inoltro dello switch e "libreria di regole dinamiche di trazione del traffico" indipendentemente dal numero.
3. La funzione BYPASS professionale integrata "Network Inline Bypass" consente, anche in caso di guasto del dispositivo di protezione stesso, di bypassare immediatamente il collegamento seriale originale, senza compromettere la normale comunicazione.
Data di pubblicazione: 23 dicembre 2021
