Mylinking™ nettverkspakkemegler pluss innebygd bypass-svitsj ML-NPB-M2000
Bypass-modul: 8*10G SFP+ og 4*100GE, Skjermmodul: 16*10GE SFP+ og 4*100GE, Maks. 2,4 Tbps
1-Oversikter
Med den raske utviklingen av internett blir trusselen mot nettverksinformasjonssikkerhet stadig mer alvorlig, så en rekke informasjonssikkerhetsapplikasjoner brukes i økende grad. Enten det er tradisjonelt tilgangskontrollutstyr (brannmur) eller en ny type mer avanserte beskyttelsesmidler som inntrengingsforebyggingssystem (IPS), Unified Threat Management Platform (UTM), Anti-DDoS (Anti-Denial Service Attack System), Anti-spam Gateway, Unified DPI Traffic Identification and Control System, og mange sikkerhetsenheter er distribuert i serie i nettverkets nøkkelnoder, og implementeringen av den tilhørende datasikkerhetspolicyen identifiserer og håndterer lovlig/ulovlig trafikk. Samtidig vil imidlertid datanettverket generere en stor nettverksforsinkelse eller til og med nettverksforstyrrelser i tilfelle failover, vedlikehold, oppgradering, utskifting av utstyr og så videre, i et svært pålitelig produksjonsnettverksapplikasjonsmiljø, det kan ikke brukerne tåle.
ML-NPB-M2000 Mylinking™ Network Packet Broker plus Inline Bypass Switch er forsket på og utviklet for å brukes til fleksibel distribusjon av ulike typer serielt sikkerhetsutstyr, samtidig som det gir høy nettverkspålitelighet.
Ved å implementere Mylinking™ Network Packet Broker pluss Inline Bypass Switch:
●Brukere kan fleksibelt installere/avinstallere sikkerhetsenheter uten å påvirke eller avbryte det eksisterende nettverket;
● Den har en intelligent helsedeteksjonsfunksjon for å overvåke normal driftsstatus for tilkoblede sikkerhetsenheter i sanntid. Når en tilkoblet sikkerhetsenhet ikke fungerer som den skal, vil beskytteren automatisk omgå for å opprettholde normal nettverkskommunikasjon.
● Selektiv trafikkbeskyttelsesteknologi kan brukes til å distribuere spesifikt sikkerhetsutstyr for trafikkrensing, krypteringsbasert revisjonsutstyr osv. Den implementerer effektivt innebygd tilgangsbeskyttelse for spesifikke trafikktyper, og avlaster trafikkbehandlingsbelastningen til innebygde enheter.
● Lastbalanserende trafikkbeskyttelsesteknologi kan brukes til å distribuere sikre innebygde enheter i klynger for å møte behovene til innebygd sikkerhetsbeskyttelse under miljøer med høyt båndbreddepress.
● Den har SSL-proxyfunksjoner, som oppfyller overvåkings- og analysekravene til sikkerhetsbeskyttelsesenheter for klartekstdatainnhold.
● Den har grunnleggende trafikkbehandlingsfunksjoner som trafikkreplikering, aggregering, filtrering og merking, samt avanserte trafikkbehandlingsfunksjoner som deduplisering, maskering, protokollidentifikasjon på applikasjonslaget og trafikkforming.
2-Mylinking™ Network Packet Broker pluss Inline Bypass Switch Avanserte funksjoner og teknologier
Mylinking™ «SpecFlow»-beskyttelsesmodus og «FullLink»-beskyttelsesmodusteknologi
Mylinking™ Fast Bypass Switching Protection Technology
Mylinking™ «LinkSafeSwitch»-teknologi
Mylinking™ «WebService» Dynamisk teknologi for videresending/utstedelse av retningslinjer
Mylinking™ intelligent teknologi for deteksjon av hjerteslagpakker
Min kobling™ Definerbar Heartbeat Packets-teknologi
Min kobling™ Multi-link lastbalanseringsteknologi
Min kobling™ Intelligent trafikkdistribusjonsteknologi
Min kobling™ Dynamisk lastbalanseringsteknologi
Min kobling™ Fjernstyringsteknologi (HTTP/WEB, TELNET/SSH, «EasyConfig/AdvanceConfig»-karakteristikk)
3-Konfigurasjonsveiledning for Mylinking™ Network Packet Broker pluss Inline Bypass Switch
Som vist i diagrammet ovenfor, består hele enheten av fire modulære spor:
Modulplassene SLOT1, SLOT2, SLOT3 og SLOT4 kan alle romme BYPASS-beskyttelsesportmoduler eller MONITOR-portmoduler med forskjellige hastigheter og portnumre. Ved å erstatte forskjellige modulmodeller er det mulig å støtte BYPASS-beskyttelse for flere 10G/40G/100G-lenker, samt utplassering av Inline Bypass-overvåkingsutstyr for flere 10G/40G/100G-lenker.
Merk: Både BYPASS-modulen og MONITOR-modulen støtter hot-swapping.
3.1-Modulspesifikasjonsliste
| Produktmodell | FunksjonellPparametere |
| Chassis | |
| ML-NPB-M2000-CHS/AC | 2U standard 19-tommers rackmontering; maksimalt strømforbruk 300 W; modulær BYPASS-beskytter hovedenhet; 4 modulspor; 1*RS232 konsollgrensesnitt, 1*10/100/1000M RJ45-grensesnitt med ekstern nettverksadministrasjon; dobbel strømforsyning AC-220V; |
| NT-BYPASS-M2000-CHS/DC | 2U standard 19-tommers rackmontering; maksimalt strømforbruk 300 W; modulær BYPASS-beskytter hovedenhet; 4 modulspor; 1*RS232 konsollgrensesnitt, 1*10/100/1000M RJ45-grensesnitt med ekstern nettverksadministrasjon; dobbel strømforsyning DC-48V; |
| OMKJØRINGMmodul | |
| INL-I8XM8X(LM/SM) | Støtter 4-veis 10GE (kompatibel med 1G) seriell tilkoblingsbeskyttelse, med totalt 8*10GE-grensesnitt; støtter 8*10G SFP+ overvåkingsporter (unntatt optiske moduler). |
| INL-I4HM2H (LM/SM) | Støtter 2-veis 100GE (40GE-kompatibel) seriell beskyttelse av lenken, med totalt 4*100GE-grensesnitt; støtter 2*100GE QSFP28-overvåkingsporter (unntatt optiske moduler). |
| MONITOR-modul | |
| MON-M16X | 16*10GE SFP+ overvåkingsporter (unntatt optiske moduler); |
| MON-M16X-CN98 | 16*10GE SFP+ overvåkingsporter (optisk modul ikke inkludert); utstyrt med en avansert funksjonsmotor som støtter avanserte trafikkbehandlingsfunksjoner som bypass SSL-dekryptering, SSL-proxy og trafikkdeduplisering; |
| MAN-M4H | 4*100GE QSFP28 overvåkingsporter (optiske moduler ikke inkludert); |
| MON-M4H-CN98 | 4*100GE QSFP28 overvåkingsporter (optiske moduler ikke inkludert); utstyrt med en avansert funksjonsmotor som støtter avanserte trafikkbehandlingsfunksjoner som bypass SSL-dekryptering, SSL-proxy og trafikkdeduplisering; |
3.2-Regler for modulvalg
Basert på de ulike beskyttede koblingene og kravene til implementering av overvåkingsutstyr, kan du fleksibelt velge ulike modulkonfigurasjoner for å møte dine faktiske miljøbehov. Følg disse reglene når du velger:
1) Chassismonteringen er en obligatorisk komponent og må velges før du velger andre moduler. Velg også riktig strømforsyningsmetode (AC/DC) i henhold til dine behov.
2) Enheten støtter maksimalt 4 modulspor; du kan ikke velge flere moduler enn antallet spor for konfigurasjon. Basert på den fleksible kombinasjonen av forskjellige modulmodeller, kan enheten støtte seriell beskyttelse for opptil 16 10GE/GE-lenker eller 8 100GE/40GE-lenker.
4-Intelligente trafikkbehandlingsevner
4.1-Innebygd distribusjon
Spesifikk trafikkbeskyttelse i linje
Den støtterInnebygd(serienummer)beskyttelsesmodus for spesifikke trafikktyper i enhverinnebygdlenke.Tovideresende noen brukerspesifiserte trafikktyper påinnebygdlenke tilInnebygd Ssikkerhetenhetfor behandling, og resten av trafikken videresendes direkte uten å flyte gjennomInnebygd SsikkerhetenhetSamtidig,itutfører sanntidsovervåking av driftstilstanden tilInnebygd SsikkerhetenhetNår den unormale trafikkbehandlingstilstanden er funnet,itvil automatisk bli omgått fra trafikkoverføringsbanen for å sikre kontinuiteten i nettverkstjenesten.
All trafikk innebygd beskyttelse
Den støtterInnebygd(serienummer)beskyttelsesmodus for alle trafikktyper i alleinnebygdlenke.Tooverføre all trafikk iinnebygdlenke tilInnebygd Ssikkerhetenhetfor behandling, og overvåke kjøretilstanden til Inline Securityenheti sanntid. Når den unormale trafikkbehandlingstilstanden er funnet,itvil automatisk bli omgått fra trafikkoverføringsbanen for å sikre kontinuiteten i nettverkstjenesten.
Lastbalanse
Den har intelligent trafikkbelastningsbalanseringsfunksjon. Når behandlingsytelsen til en enkeltInnebygd Ssikkerhetenheter ikke nok til å håndtereinnebygdlenkekommunikasjonstrafikk, kan den tildeleinnebygdKoble trafikk til N Monitor-grensesnitt ved å konfigurere en lastbalanseringsgruppe. I henhold til MAC-adresse, IP-informasjon, portnummer, protokoll og annen informasjon,itutfører valgfri Hash-algoritme lastbalanseringsutgang, slik atinnebygdlenketrafikken er jevnt fordelt på flereinnebygdsikkerhetverktøys for klyngebehandling, noe som effektivt forbedrer den generelle behandlingsytelsen tilinnebygdsikkerhetverktøys. For å tilpasse seg kravene i applikasjonsscenarier med høy båndbredde og stor trafikk.
Hjerteslagpakkedeteksjon
Den støtterTxogRxhjerteslagdeteksjonspakker gjennom opplink og nedlink til tilkobledeinnebygdsikkerhetsenheter, og oppdagerinnebygde verktøyarbeidsstatus og om trafikkbehandlingsprosessen er normal. Det toveis hjerteslagetpakkedeteksjonsmekanismen kan mer nøyaktig gjenspeile den nåværende arbeidstilstanden tilinnebygdsikkerhetenhet, og mer effektivt sikre normal drift av nettverket.
Den kan tilpasse hjerteslagparametrene til enhverinnebygdsikkerhetsenhet, for eksempel hjerteslagTxintervalltid, maksimale antall ganger hjerteslag gjentar forsøk, hjerteslagTxretning osv. Den kan oppdage og bedømme feiltilstanden tilinnebygdsikkerhetsenheter i tide, og realisere rask bypass-bytte av beskyttelseslenker.
Hjerteslagdeteksjonspakkene er standard Ethernet-lag 2-rammer. Når den transparente lag 2-bromodusen (som IPS/FW) er distribuert, vil lag 2 Ethernet-rammene videresendes normalt uten blokkering eller tap. Samtidig kan den også støtte tilpassede Ethernet-lag 2-, lag 3- og lag 4-hjerteslagdeteksjonspakker for å tilpasse seg spesielle forhold.innebygdSikkerhetsenheter kan vanligvis ikke videresende vanlige Ethernet Lag 2-rammer.
Basert på mekanismen ovenfor kan brukere realisere effekten av helsedeteksjon på tjenestenivå for tilkoblede sikkerhetsenheter, slik at sikkerhetstjenestene kan fungere normalt mer effektivt.
Bypass-bryting
Den støtter svært lav bypassbytteforsinkelse (<8 ms), og brukere kan knapt føle påvirkningen på nettverket når enheten utfører bypassbytteSamtidig kan den enhetsspesifikke Link-svitsjingsteknologien sikre at lenketilstanden til den primære lenken ikke påvirkes under bypass-prosessen.bytteDenne teknologien vil sikre at bypass-systemetbytteer sikrere, og vil ikke føre til at topologiprotokollen for lag 2/lag 3 til de beskyttede lenkene beregnes på nytt og konvergerer, for å minimere påvirkningen på brukernettverket underveisbytte.
Trafikkblokkering
Når sikkerhetsenheten oppdager ulovlige eller unormale øktforbindelser i trafikken og må blokkere dem i tide, kan enheten fange opp eventuelle spesifiserte pakker i opp-/nedtrafikken tilinnebygdlenke basert på tuple-samsvarende filterbetingelsene for å sikre sikker drift av nettverkstjenester.
Trafikkspeil
I tillegg til trafikkbeskyttelsen til den innebygde lenken og den innebygde sikkerhetsenheten (som IPS, WAF), kan all SPAN-speilet trafikk også sendes ut til SPAN-sikkerhetsovervåkingssystemet (som IDS, APT), for å oppfylle distribusjonskravene til SPAN-overvåking av trafikkdata eller trafikktesting og -verifisering.
SSL-proxy
Gjennom SSL-proxyfunksjonen dekrypteres den originale krypterte pakken og sendes til det innebygde sikkerhetsbeskyttelsessystemet, og deretter gjenopprettes de dekrypterte dataene og sendes tilbake til den opprinnelige lenken, slik at de dekrypterte dataene sendes til det innebygde sikkerhetsbeskyttelsessystemet uten å påvirke overføringen av krypterte data på brukerens opprinnelige lenke, og slik at analysesystemet kan overvåke og analysere de krypterte dataene.
4.2-SPAN-distribusjon
Replikering av nettverkstrafikk
Den støtterInnebygd(serienummer)beskyttelsesmodus for spesifikke trafikktyper i enhverinnebygdlenke.Tovideresende noen brukerspesifiserte trafikktyper påinnebygdlenke tilInnebygd Ssikkerhetenhetfor behandling, og resten av trafikken videresendes direkte uten å flyte gjennomInnebygd SsikkerhetenhetSamtidig,itutfører sanntidsovervåking av driftstilstanden tilInnebygd SsikkerhetenhetNår den unormale trafikkbehandlingstilstanden er funnet,itvil automatisk bli omgått fra trafikkoverføringsbanen for å sikre kontinuiteten i nettverkstjenesten.
Nettverkstrafikkaggregering
Den opprinnelige inngangstrafikken og forhåndsbehandlet trafikk kan kopieres til N-kanalsignal i henhold til 1-kanalsignal eller kopieres til M-kanalsignal etter N-kanalsignalaggregering ved GE-, 10GE-, 40G- og 100G-linjehastighetsforwarding, noe som perfekt løser behovene for å distribuere mer enn to lyttebypass-enheter med flere porter i nettverket samtidig.
Datadistribusjon/videresending
Klassifiserte innkommende metadata nøyaktig og forkastet eller videresendte forskjellige datatjenester til flere grensesnittutganger i henhold til brukerens forhåndsdefinerte regler.
Pakkedatafiltrering
Inndataenetrafikkkan klassifiseres nøyaktig, og ulike datatjenester kan hvitelistes eller svartelistes, og flere grensesnittutganger kan forkastes eller videresendes. Den støtter fleksibel kombinasjon basert på Ethernet-type, VLAN-tagg, IP fem-tuple,TCPidentifikator, pakkeegenskaper og andre elementer for ytterligere å oppfylle distribusjonskravene til diverse nettverkssikkerhetsutstyr, protokollanalyse, signalanalyse og annen trafikkovervåking.
Lastbalanse
Lastbalanseringen av den valgfrie hash-algoritmen kan utføres i henhold til de indre og ytre lagegenskapene til L2-L4 for å sikre sesjonsintegriteten til dataflyten som mottas avSPANovervåkingsenhet. Når koblingstilstanden endres, kan medlemmene i avlastningsportgruppen gå ut (kobling NED) eller bli med (kobling OPP) fleksibelt, og avlastningsgruppen kan automatisk omfordele trafikken for å sikre dynamisk lastbalansering av utgangstrafikken til porten.
VLAN-merket
VLAN Umerket
VLAN erstattet
Støttet samsvar mellom et hvilket som helst nøkkelfelt i de første 128 bytene av en pakke. Brukeren kan tilpasse offset-verdien og lengden og innholdet på nøkkelfeltet, og bestemme trafikkutdatapolicyen i henhold til brukerkonfigurasjonen.
Tidsstempling
Støttet til synkronisere NTP-serveren for å korrigere tiden og skrive meldingen inn i pakken i form av en relativ tidskode med et tidsstempelmerke på slutten av rammen, med en nøyaktighet på nanosekunder
Stripping av tunnelinnkapsling
Støttet VxLAN-, VLAN-, GRE-, GTP-, MPLS- og IPIP-headeren som ble fjernet i den originale datapakken og videresendt utgang.
Data-/pakkedeling
Den støtterpakkestykkeDe opprinnelige dataene er basert på trafikkinngangsgrensesnittet og utgangsgrensesnittet på policynivå (64, 96, 128, 160, 192, 224, 256, 288, 320, 384, 512, 640, 768, 896, 960 byte er valgfrie), og trafikkutgangspolicyen kan implementeres i henhold til brukerkonfigurasjonen.
Identifisering av tunnelprotokoll
Støtter automatisk identifisering av ulike tunnelprotokoller som GTP / GRE / VxLAN / PPTP / L2TP / PPPOE / IPIP. I henhold til brukerkonfigurasjonen kan trafikkutgangsstrategien implementeres i henhold til det indre eller ytre laget av tunnelen.
Prioritet for videresending av pakker
Den støtter definisjonen av prioritet for datapakker i henhold til viktigheten av tjenesten ved den innkommende porten, og pakker med høy prioritet videresendes prioritert ved utgangen. Etter at pakkene med høy prioritet er videresendt, videresendes andre pakker med middels og lav prioritet. Unngå systemalarm forårsaket av manglende viktige datapakker.
Unormal alarmerende
Den støtter sanntidsovervåkingsalarmer og historiske alarmregistreringer av grensesnitttrafikktrender basert på terskelinnstilling. Den støtter sanntidsovervåkingsalarmer og historiske alarmregistreringer basert på helsestatusen til enhetens maskinvare (CPU, minne, temperatur, vifte, strømforsyning osv.).
Grensesnitt Hot Backup
Den støtter inngangsgrensesnitt 1+1 primær/standby-konfigurasjon, utgangsgrensesnitt 1+1 primær/standby-konfigurasjon og lastbalanseringsgruppe N+1 primær/standby-konfigurasjon for å oppnå høy pålitelighet i trafikkprosessen fra inngang til utgang.
Måling av trafikkmikroutbrudd
Den kan oppdage forekomsttidspunkt, varighet og burst-rate for trafikk-mikroburst i sanntid, og gi historisk måleregistrering, noe som gir kvantifiserbare og observerbare metoder og grunnlag for feilsøking av drift og vedlikehold og deteksjon av pakketap.
Beskyttelse mot grensesnittoscillasjon
Den støtter deteksjon og beskyttelse av oscillasjonshendelser ved kobling opp/ned i ethvert grensesnitt, for å unngå tap av input- og output-trafikk forårsaket av hyppig kobling opp/ned av grensesnitt, og forbedre stabiliteten til trafikkinnsamling og videresending.
Tunnelinnkapslingsutgang
Den støtter tunnelinnkapsling av ERSPAN2-, GRE-, VXLAN- og NVGRE-typene for all innsamlet trafikk og utdata for å oppfylle applikasjonskravene for overføring av innsamlet trafikk til et eksternt analysesystem.
Avslutning av tunnelpakker
Den støtter funksjonen for avslutning av tunnelmeldinger. Denne funksjonen tillater konfigurering av IP-adresser/masker og MAC-adresser ved trafikkinngangsporten. Den muliggjør direkte overføring av trafikken som må samles inn i brukernettverket gjennom tunnelinnkapslingsmetoder som GRE, GTP og VXLAN til enhetens innsamlingsport.
SPAN SSL-dekryptering
Støtter lasting av tilhørende SSL-sertifikatdekryptering. Etter dekryptering av HTTPS-krypterte data for den spesifiserte trafikken, vil den bli videresendt til backend-overvåkings- og analysesystemene etter behov. Støtter TLS1.0, TLS1.2 og SSL3.0
Data-/pakkededuplisering
Støttet portbasert eller statistisk granularitet på policynivå for å sammenligne flere innsamlingskildedata og repetisjoner av samme datapakke på et bestemt tidspunkt. Brukere kan velge forskjellige pakkeidentifikatorer (dst.ip, src.port, dst.port, tcp.seq, tcp.ack, dst.mac, src.mac, vlan.id)
Maskering av rubrikkannonser
Støttet policybasert granularitet for å erstatte ethvert nøkkelfelt i rådataene for å oppnå formålet med å skjerme sensitiv informasjon. I henhold til brukerkonfigurasjonen kan trafikkutdatapolicyen implementeres.
APP-lagprotokollidentifikasjon
Den støtter identifisering, utdata og forkasting av applikasjonslagsprotokoller basert på DNS/URL-samsvarsmodus. DPI-funksjonsbiblioteket kan integreres for å gjenkjenne, utdata og forkaste ikke mindre enn 1800 typer applikasjonsprotokollfunksjoner (som lyd og video, spill, direktemeldinger, database, e-post, P2P, osv.), og DPI-funksjonsbiblioteket kan oppgraderes og oppdateres. Ved spesielle behov kan sekundærutvikling også utføres.
Pakkebrukerdefinert dekapsling
Den støtter funksjonen for selvdefinert pakkeavkapsling, som kan fjerne innkapslingsfeltene og innholdet på en hvilken som helst posisjon av de første 128 bytene i pakken og sende det ut.
Trafikkforming
Samtidig brukes trafikkformingsteknologi i utgangsgrensesnittet for å sende dataflyten jevnt til analyseverktøyet, noe som fundamentalt løser pakketapsfenomenet forårsaket av mikroburst og unngår den unormale alarmen forårsaket av trafikktap i analysesystemet.
Pakkesøkeordsamsvar
Etter at et hvilket som helst feltinnhold i nyttelastdelen av pakken er matchet og truffet, videresendes den tilhørende pakken eller øktflyten og sendes ut eller kastes for å oppfylle forbehandlingskravene for spesifikke trafikkdata.
Stripping av tunnelinnkapsling
Den støtter utdata fra VXLAN, MPLS, GRE, SRV6, FABRICPATCH, GENEVE og andre pakkeoverskrifter i den originale datapakken etter stripping.
Langvarig forbindelsesavlastning
I henhold til brukerens behov kan enhver øktflyt videresendes og sendes ut i henhold til antall overførte byte og antall overførte pakker, og den påfølgende øktflyten kan forkastes for å oppfylle kravene til backend-analysesystemet i noen spesifikke scenarier, som bare trenger å hente en del av trafikken i øktflyten, redusere trykket på trafikkanalysen og forbedre effektiviteten til analysesystemet.
Trafikkstatistisk analyse
Den støtter statistikk over komponentene i all trafikk i inndatagrensesnittet, og kan vise trafikktrendstørrelse, trafikkstørrelse/-andel TOPN for IP-adresse, trafikkstørrelse/-andel TOPN for applikasjonsprotokollkategori, trafikkstørrelse/-andel TOPN for applikasjonsprotokollnavn og trafikkøktinformasjon i form av diagrammer i sanntid, og tilbyr eksport av statistiske resultater til lokale filer. Dermed kan brukerne tydeligere forstå sammensetningsstrukturen til all innsamlet trafikk, og gi det mest direkte datastøttegrunnlaget for å tilpasse trafikkstrategier og endrede forretningskrav.
Trafikksikt – grunnleggende dataanalyse
Den grunnleggende analysemodulen for trafikkvisualiseringsdeteksjonsfunksjonen kan vise grunnleggende informasjon om innsamlede måltrafikkdata, for eksempel pakkeantall, unicast-/multicast-/kringkastingspakkedistribusjon, økttilkoblingsnummer, pakkeprotokolldistribusjon og størrelse på innsamlet trafikk.
Trafikksikt – DPI-dypanalyse
DPI-dypanalysemodulen i trafikksiktdeteksjonsfunksjonen kan utføre grundige analyser av de innsamlede trafikkdataene fra flere perspektiver og presentere detaljert statistikk i form av grafer og tabeller.
Trafikksikt – Analyse av trafikkforhold
● Analyse av proporsjonalitet for transportlagsprotokoll: som TCP, UDP, ICMP, IGMP, ARP og annen pakkeproporsjon og trafikkstatistikk og visning av kakediagram
● Analyse av IP-trafikkforhold: for eksempel trafikkstatistikk generert av forskjellige IP-adresser, IP-basert trafikkrangering TOP N og visning av søylediagram
● DPI-applikasjonsproporsjonsanalyse: for eksempel HTTP, QQ, FTP og andre applikasjonsprotokoller, antall byte, statistisk fordeling av kommunikasjonstrafikk og visning av kakediagram
Trafikksikt – Analyse av trafikktidslinje
I henhold til ulike filtreringsforhold, som IP, port, transportlagsprotokoll, applikasjonslagsprotokoll og annet spesifisert innhold, kan gjeldende måltrafikkdata analyseres og presenteres basert på samplingstiden, og trafikkstørrelse og trend kan spørres ved å flytte tidsglidebryteren og statistisk granularitetsskalering, og nøyaktigheten kan nå opptil 1 millisekund.
Trafikksikt – analyse av flyttabell
I henhold til ulike filterforhold, som flyt-ID, IP, port, transportlagsprotokoll, applikasjonslagsprotokoll og annet spesifisert innhold, kan de nåværende målinnfangede trafikkdataene analyseres og telles basert på øktflytmodus, det vil si detaljert presentasjon av øktflytinformasjon, inkludert femdelsinformasjon for hver flyt, typen bærende applikasjon, antall og byte av pakkeoverføring, og den tilhørende dataflyten. Og har en rangeringsvisning basert på informasjonen ovenfor. Basert på denne informasjonen kan brukerne enkelt velge trafikktypene de er interessert i, noe som gir det mest direkte grunnlaget for brukere å formulere retningslinjer for trafikkvideresending.
Trafikksikt – pakkeanalyse
Basert på ulike filtreringskriterier, som pakke-ID, IP, port, transportlagsprotokoll, applikasjonslagsprotokoll og annet spesifisert innhold, kan de innsamlede trafikkdataene gis med en analysepresentasjon per pakke, inkludert:
● Analyse av tidsstempel for pakkeinnsamling
● Analyse av viktig pakkeinformasjon, som sip, dip, smac, DMAC, protokoll, flagg, TTL, meldingslengde, viktige hendelser
● Analyse av pakkeoverføringsbane og animasjonsvisning, for eksempel: videresendingstider, videresendingsforsinkelse, videresendingstype (ruting, svitsjing, brannmur, lastbalansering, NAT)
● Oppsummering av pakkeinformasjon og detaljert strukturvisning
● Analyse av antall gjentatte pakkeinnsamlinger
Trafikksikt – presis feilanalyse
Feilanalysemodulen i trafikksiktdeteksjonsfunksjonen kan gi ulik visuell feilanalyseposisjonering for de innsamlede måltrafikkdataene, inkludert:
● Unormal oversikt, for eksempel: resultater av analyse av nettverkstjenester, resultater av analyse av unormale hendelser, nettverksprosess basert på atferdsanalyse (for eksempel antall rutingsenheter, NAT-enheter, brannmurenheter, lastbalanseringsenheter som passerer av pakkeoverføringen)
● Feilanalyse på flyttabellnivå, for eksempel unormale hendelsestyper (tilkobling avvist/tilkobling svarer ikke/tilkobling uten dataoverføring/tilkobling halvveis åpen/øktrute utilgjengelig osv.), ● Feilanalyse på pakkenivå, for eksempel: type unormal hendelse (pakkesjekksumfeil /TTL 0/ utilgjengelig feil /FCS-sjekksumfeil osv.), detaljert beskrivelse av unormal informasjon og detaljer om tilhørende dataflyt
● Analyse av sikkerhetsfeil, for eksempel: type unormal hendelse (DDOS-angrep/brannmurblokkering/ARP-angrep/UDP-flom/SYN-FLOOD osv.), detaljert beskrivelse av unormal informasjon og detaljer om tilhørende dataflyt
● Analyse av nettverksfeil, for eksempel: type unormal hendelse (svitsjeløkke/rutingsløkke/bane ikke tilgjengelig/koblingsavbrudd osv.), detaljert beskrivelse av unormal informasjon og detaljer om tilhørende dataflyt
5-Spesifikasjoner for Mylinking™ Network Packet Broker pluss Inline Bypass Switch
| ML-NPB-M2000 Mylinking™ nettverkspakkemegler pluss innebygd bypass-svitsj Funksjonelle spesifikasjoner | ||||
| Nettverksgrensesnitt | Modulspor | 4 BYPASS- eller MONITOR-modulplasser | ||
| Antall innebygde lenker | Støtter beskyttelse for opptil 16 1G/10G optiske lenker eller 8 40G/100G optiske lenker. | |||
| Overvåkingsgrensesnitt for skjerm | Støtter maksimalt 64 * 1G / 10GE overvåkingsgrensesnitt eller 16 * 40G / 100G overvåkingsgrensesnitt. | |||
| Grensesnitt for administrasjon utenfor båndet | 1 * 10/100/1000M Ethernet-port; | |||
| Distribusjonsmodus | Innebygd distribusjon | Støtte | ||
| SPAN-distribusjon | Støtte | |||
| Systemfunksjoner | Innebygd distribusjonsmodus | Spesifikk beskyttelse mot sammenkobling av strømninger | Støtte | |
| All flow-seriebeskyttelse | Støtte | |||
| Lastbalansering | Støtte | |||
| Hjerteslagdeteksjon | Støtte | |||
| BYPASS-bryting | Støtte | |||
| Trafikkblokkering | Støtte | |||
| Trafikkspeiling | Støtte | |||
| SSL-proxy | Støtte | |||
| SPAN-distribusjonsmodus | Grunnleggende trafikkbehandling | Trafikkreplikering/aggregering/distribusjon | Støtte | |
| Lastbalansering | Støtte | |||
| Trafikkfiltrering basert på IP/protokoll/port 5-tuple-identifikator | Støtte | |||
| VLAN-tagging/endring/sletting | Støtte | |||
| Tidsstempling | Støtte | |||
| Stripping av tunnelinnkapsling | Støtte | |||
| Dataslicing | Støtte | |||
| Identifikasjon av tunnelprotokoll | Støtte | |||
| Prioritet for videresending av pakker | Støtte | |||
| Unormal advarsel | Støtte | |||
| Grensesnitt i standbymodus | Støtte | |||
| Mikro-burst-måling | Støtte | |||
| Beskyttelse mot grensesnittoscillasjon | Støtte | |||
| Tunnelinnkapslingsutgang | Støtte | |||
| Avslutning av tunnelpakke | Støtte | |||
| Avansert trafikkbehandling | Omgå SSL-dekryptering | Støtte | ||
| Datadeduplisering | Støtte | |||
| Datamaskering | Støtte | |||
| Identifisering av applikasjonslagsprotokoll | Støtte | |||
| Tilpasset dekapsling | Støtte | |||
| Flytforming | Støtte | |||
| Søkeordsamsvar | Støtte | |||
| Stripping av tunnelinnkapsling | Støtte | |||
| Langvarig tilkoblingsavlastning | Støtte | |||
| Observasjon av strømningskomponenter | Støtte | |||
| Diagnose og overvåking | Sanntidsovervåking | Støtte | ||
| Forespørsel om historisk trafikk | Støtte | |||
| Trafikkfangst | Støtte | |||
| Deteksjon av trafikkvisualisering | Fundamental analyse | Støtter visning av sammendragsstatistikk basert på grunnleggende informasjon som pakkeantall, pakketypefordeling, antall økttilkoblinger og pakkeprotokollfordeling. | ||
| DPI-dybdeanalyse | Den støtter analyse av andelen transportlagsprotokoller, andelen unicast, kringkasting og multicast, andelen IP-trafikk og andelen DPI-applikasjoner. Den støtter analyse og presentasjon av datainnhold basert på samplingstid og datavolum. Den støtter dataanalyse og statistikk basert på øktstrømmer. | |||
| Presis feilanalyse | Støtter feilanalyse og lokalisering ved hjelp av trafikkdata fra ulike perspektiver, inkludert: Analyse av pakkeoverføringsatferd, feilanalyse på datastrømnivå, feilanalyse på datapakkenivå, sikkerhetsrelatert feilanalyse og nettverksrelatert feilanalyse. | |||
| Prosesseringskapasitet | 2,4 TB/s | |||
| Administrer | KONSOL-nettverksadministrasjon | Støtte | ||
| IP/WEB-nettverksadministrasjon | Støtte | |||
| SNMP-nettverksadministrasjon | Støtte | |||
| TELNET/SSH-nettverksadministrasjon | Støtte | |||
| SYSLOG-protokollen | Støtte | |||
| RADIUS- eller TADACS+ sentralisert autorisasjonsautentisering | Støtte | |||
| Brukerautentiseringsfunksjon | Autentisering av brukernavn og passord | |||
| Elektrisk | Nominell strømforsyningsspenning | AC-220V/DC-48V [Valgfritt] | ||
| Nominell effektfrekvens | AC-50Hz | |||
| Nominell inngangsstrøm | AC-3A / DC-10A | |||
| Nominell funksjonell effekt | Maksimum 300 W | |||
| Miljø | Driftstemperatur | 0-50℃ | ||
| Lagringstemperatur | -20–70 ℃ | |||
| Driftsfuktighet | 10–95 %, ikke-kondenserende | |||
| Brukerkonfigurasjon | Konsollkonfigurasjon | RS232-grensesnitt, 115200, 8, N, 1 | ||
| Passordautentisering | Sstøtte | |||
| Størrelse på stativet | Rackplass (U) | 2U 444 mm * 88 mm * 670 mm | ||
6-Mylinking™ Network Packet Broker pluss Inline Bypass Switch-applikasjon
6.1DeRrisiko forRekkemontert SsikkerhetEutstyr (IPS / FW)
Følgende er en typisk IPS (Intrusion Prevention System)-distribusjonsmodus for FW (Firewall). IPS/FW distribueres i serie med nettverksutstyret (rutere, svitsjer osv.) gjennom sikkerhetskontroller. I henhold til tilhørende sikkerhetspolicy bestemmes om trafikken skal frigjøres eller blokkeres for å oppnå en sikkerhetsforsvarseffekt.
Følgende er en typisk IPS (Intrusion Prevention System)-distribusjonsmodus for FW (Firewall). IPS/FW distribueres i serie med nettverksutstyret (rutere, svitsjer osv.) gjennom sikkerhetskontroller. I henhold til tilhørende sikkerhetspolicy bestemmes om trafikken skal frigjøres eller blokkeres for å oppnå en sikkerhetsforsvarseffekt.
6.2 Beskyttelse av utstyr i Inline Link-serien
Mylinking™ Network Packet Broker plus Inline Bypass Switch distribueres i serie mellom nettverksenheter (rutere, svitsjer osv.), og dataflyten mellom nettverksenheter går ikke lenger direkte til IPS/FW. "Smart Inline Bypass Switch" går til IPS/FW. Når IPS/FW oppstår på grunn av overbelastning, krasj, programvareoppdateringer, policyoppdateringer og andre feiltilstander, oppdager "Smart Inline Bypass Switch" feilen rettidig gjennom intelligent hjerteslagmeldingsdeteksjon. Dermed hopper de defekte enheter over, uten å avbryte nettverkets premisser. Nettverksutstyr kobles raskt direkte til for å beskytte det normale kommunikasjonsnettverket. Når IPS/FW-feil oppstår, kan også intelligent hjerteslagpakkedeteksjon, rettidig deteksjon, gjenopprette den opprinnelige koblingen for å kontrollere sikkerheten til bedriftsnettverket.
Mylinking™ Network Packet Broker plus Inline Bypass Switch har en kraftig intelligent funksjon for deteksjon av hjerteslagmeldinger. Brukeren kan tilpasse hjerteslagintervallet og maksimalt antall forsøk gjennom en tilpasset hjerteslagmelding på IPS/FW for helsetesting, for eksempel å sende hjerteslagsjekkmeldingen til oppstrøms-/nedstrømsporten til IPS/FW, og deretter motta fra oppstrøms-/nedstrømsporten til IPS/FW, og bedømme om IPS/FW fungerer normalt ved å sende og motta hjerteslagmeldingen.
6.3 «SpecFlow»-policyflyt innebygdSikkerhetSeriebeskyttelse
Når sikkerhetsnettverksenheten bare trenger å håndtere den spesifikke trafikken i seriebeskyttelse, sendes trafikk per prosessering via Mylinking™ Network Packet Broker pluss Inline Bypass Switch-trafikk per prosesseringsfunksjon, og trafikkscreeningspolicyen for å koble den inline sikkerhetsenheten sendes "berørt" trafikk direkte tilbake til nettverkskoblingen, og den "berørte trafikkdelen" trekkes til den inline sikkerhetsenheten for å utføre sikkerhetskontroller. Dette vil ikke bare opprettholde normal bruk av sikkerhetsdeteksjonsfunksjonen til sikkerhetsenheten, men også redusere den ineffektive flyten av sikkerhetsutstyret for å håndtere trykket. Samtidig kan "Smart Inline Bypass Switch" oppdage sikkerhetsenhetens driftstilstand i sanntid. Sikkerhetsenheten fungerer unormalt og omgår datatrafikken direkte for å unngå avbrudd i nettverkstjenesten.
Mylinking™ Network Packet Broker pluss Inline Bypass Switch kan identifisere trafikk basert på L2-L4-lagsheaderidentifikatoren, for eksempel VLAN-tag, kilde-/destinasjons-MAC-adresse, kilde-IP-adresse, IP-pakketype, transportlagsprotokollport, protokollheadernøkkeltagg og så videre. En rekke fleksible kombinasjoner av samsvarende betingelser kan defineres fleksibelt for å definere de spesifikke trafikktypene som er av interesse for en bestemt sikkerhetsenhet, og kan brukes mye for utplassering av spesielle sikkerhetsrevisjonsenheter (RDP, SSH, databaserevisjon osv.).
6.4Load balansertInnebygd sikkerhetSeriebeskyttelse
Mylinking™ Network Packet Broker plus Inline Bypass Switch distribueres i serie mellom nettverksenheter (rutere, svitsjer osv.). Når en enkelt IPS/FW-behandlingsytelse ikke er tilstrekkelig til å håndtere topptrafikk i nettverkskoblingen, kan trafikkbalanseringsfunksjonen til beskytteren, "bundling" av nettverkskoblingstrafikk for flere IPS/FW-klynger, effektivt redusere behandlingstrykket på enkeltstående IPS/FW og forbedre den generelle behandlingsytelsen for å møte kravene til distribusjonsmiljøet med høy båndbredde.
Mylinking™ Network Packet Broker plus Inline Bypass Switch har en kraftig lastbalanseringsfunksjon som bruker VLAN-taggen for rammen, MAC-informasjon, IP-informasjon, portnummer, protokoll og annen informasjon om hash-lastbalanseringsfordelingen av trafikk for å sikre at hver IPS/FW mottar dataflyt og sesjonsintegritet.
6.5MultiserieInline-utstyr FlavTfraksjonPbeskyttelse(EndreFysiskSeriell tilkobling tilLogiskParallellkobling)
I noen viktige lenker (som internettuttak, serverområdeutvekslingslenker) skyldes plasseringen ofte behovet for sikkerhetsfunksjoner og utplassering av flere innebygde sikkerhetstestutstyr (som brannmurer, anti-DDOS-angrepsutstyr, WEB-applikasjonsbrannmurer, inntrengingsforebyggende utstyr, osv.), for å øke koblingens effektivitet ved å seriekoble flere sikkerhetsdeteksjonsutstyr på lenkene, noe som reduserer nettverkets generelle pålitelighet. Og i den ovennevnte nettbaserte utplasseringen av sikkerhetsutstyr, utstyrsoppgraderinger, utstyrsutskiftninger og andre operasjoner, vil det føre til langvarige nettverksavbrudd og større prosjektkutt for å fullføre en vellykket implementering av slike prosjekter.
Ved å distribuere Mylinking™ Network Packet Broker pluss Inline Bypass Switch på en enhetlig måte, kan distribusjonsmodusen for flere sikkerhetsenheter koblet i serie på samme lenke endres fra "Fysisk seriell tilkoblingsmodus" til "Fysisk parallelltilkobling, men logisk seriell tilkoblingsmodus". Dette reduserer effektivt kildene til enkeltfeil på seriellkoblingen og forbedrer påliteligheten til lenken. Samtidig kan Mylinking™ Network Packet Broker pluss Inline Bypass Switch styre lenketrafikken på forespørsel, og oppnå samme trafikksikkerhetsbehandlingseffekt som den opprinnelige serielle tilkoblingsmodusen.
Mer enn én innebygd sikkerhetsenhet samtidig i seriedistribusjonsdiagram:
Diagram for implementering av Mylinking™ Network Packet Broker pluss Inline Bypass Switch:
(Endre fysisk seriell tilkobling til logisk parallelltilkobling)
6.6Basert påDdynamisk politikk forTRaffic InlineSsikkerhetDdeteksjonPbeskyttelse
Mylinking™ Network Packet Broker pluss Inline Bypass Switch, et annet avansert applikasjonsscenario, er basert på den dynamiske policyen for trafikksporingssikkerhetsdeteksjonsbeskyttelsesapplikasjoner, distribusjonen av måten som vist nedenfor:
Ta for eksempel sikkerhetstestutstyret "Anti-DDoS-angrepsbeskyttelse og -deteksjon", gjennom frontend-distribusjon av "Smart Bypass Switch" og deretter anti-DDoS-beskyttelsesutstyr og deretter tilkobling til "Smart Bypass Switch", i den vanlige "Smart Bypass Switch" for å videresende full trafikkmengde med kabelhastighet samtidig som flytspeilet sendes til "Anti-DDoS-angrepsbeskyttelsesenheten". Når en server-IP (eller IP-nettverkssegment) er oppdaget etter angrepet, vil "Anti-DDoS-angrepsbeskyttelsesenheten" generere måltrafikkflytmatchingsregler og sende dem til "Smart Bypass Switch" via det dynamiske policyleveringsgrensesnittet. "Bypass Switch" kan oppdatere "trafikktrekkingsdynamikken" etter å ha mottatt den dynamiske policyregelpoolen "og umiddelbart" treffe angrepsservertrafikken "trekking til "anti-DDoS-angrepsbeskyttelses- og -deteksjonsutstyret for behandling, for å være effektiv etter angrepsflyten og deretter injiseres på nytt i nettverket.
Applikasjonsskjemaet basert på «Smart Bypass Switch» er enklere å implementere enn den tradisjonelle BGP-ruteinjeksjonen eller andre trafikktrekkskjemaer, og miljøet er mindre avhengig av nettverket og påliteligheten er høyere.
«Smart Bypass Switch» har følgende egenskaper for å støtte dynamisk policysikkerhetsdeteksjonsbeskyttelse:
1. "Smart Bypass Switch" for å tilby utenfor reglene basert på WEBSERIVCE-grensesnitt, enkel integrering med tredjeparts sikkerhetsenheter.
2. «Smart Bypass Switch» basert på den maskinvarebaserte ASIC-brikken som videresender pakker med kabelhastighet på opptil 100 Gbps uten å blokkere videresending av svitsjen, og «dynamisk regelbibliotek for trafikktrekking» uavhengig av antall.
3. Den innebygde profesjonelle BYPASS-funksjonen "Smart Bypass Switch", selv om selve beskytteren svikter, kan også omgå den originale serielle lenken umiddelbart, uten å påvirke den originale lenken for normal kommunikasjon.
6.7Inline seriell trafikkspeilingfor sikkerhet utenfor båndet (Inline + SPAN)
Mylinking™ Network Packet Broker plus Inline Bypass Switch distribueres vanligvis i en kundes IT-nettverk eller skyplattformnettverk for å gi innebygd beskyttelse for WAF/IPS-enheter og den opprinnelige lenken. Brukere kan også ha ytterligere krav til testing, verifisering eller distribusjon av bypass-overvåkingsenheter, noe som nødvendiggjør innhenting av trafikkdata på denne lenken.
Derfor kan trafikken til den innebygde serielle lenken speiles fra monitorporten ved å bruke trafikkspeilingsfunksjonen til Mylinking™ Network Packet Broker pluss Inline Bypass Switch, som vist i figuren nedenfor:
Diagrammet nedenfor illustrerer et utvidet applikasjonsscenario for innebygd lenketrafikk og svitsjekket porttrafikk. Dette muliggjør beskyttelse av innebygd lenketrafikk uten å bli påvirket av svitsjekket porttrafikk. IDS-analysesystemet kan samtidig hente inn både innebygd lenketrafikk og svitsjekket porttrafikk. Distribusjonsmetoden er vist i diagrammet nedenfor:
6,8Data-/pakkededupliseringSøknad
Som vist i applikasjonsdistribusjonsstrukturen ovenfor, kan noen identiske datapakker samles inn flere ganger innenfor en enkelt bane for å sikre integriteten til den opprinnelige datainnsamlingen langs hele lenken. Dette fører til økte falske alarmer og retransmisjoner i backend-systemet, noe som øker ytelsesoverheaden til analysesystemet og påvirker nøyaktigheten og effektiviteten til analysen. Basert på løsningen dupliseres først datapakker som dedupliseres i forskjellige opptaksnoder. Bare én datapakke videresendes til backend NPM-nettverksytelsesanalysesystemet og APM-applikasjonsytelsesanalysesystemet, og sparer dermed ytelsen til analysesystemet og forbedrer effektiviteten og nøyaktigheten til analysen.
6,9Data/PakkeVLAN-taggingSøknad
I nettverksmiljøet vist i diagrammet ovenfor, brukes løsningen til å merke rådata fra forskjellige nettverksenheter og koble noder. Når unormal trafikk eller datapakker oppstår i nettverket, kan backend-analyseutstyret raskt og nøyaktig finne kilden til de unormale dataene ved å spore tilbake basert på dataetikettene.
6.10 NettverkstrafikkEnhetlig timeplanSøknad
I nettverksmiljøet vist i diagrammet ovenfor, mates flere 10GE, 25GE, 40GE og 100GE kildekoblingsdata fullstendig inn i Mylinking™ Network Packet Broker plus Inline Bypass Switch ved hjelp av optisk deling eller portspeil. Deretter brukes filtrering og trafikkdeling til å sende ut forskjellig tjenestedatatrafikk til forskjellige backend out-of-band nettverksovervåkings- og sikkerhetssystemenheter. Når nettverkspakkeavvik eller unormale trafikksvingninger krever manuell inngripen, kan sanntids pakkefangst og analyse av de originale datapakkene utføres umiddelbart for å hjelpe brukere med å raskt analysere og finne feilen.
6.11NettverkAnalyse av trafikkdatas synlighetSøknad
Den kan presentere alle data som oppdages og fanges opp på en flerdimensjonal og flerperspektiv måte gjennom et brukervennlig grafisk og tekstbasert interaktivt grensesnitt, inkludert trafikksammensetningsstruktur, applikasjonsprotokollfordeling, trafikkfordeling av alle nettverksnoder, dataoverføringsbane, deteksjon av unormale hendelser, presis plassering av nettverkselement-/lenkefeil, status for meldingsinteraksjon, trafikkutviklingstrend og andre aspekter for overvåking og analyse, for å etablere en omfattende, synlig og kontrollerbar overordnet datainnsamlings- og sikkerhetsplattform for bedriftsnettverk.
Produktkategorier
-
Mylinking™ Nettverkspakkemegler (NPB) ML-NPB-4810P
-
Mylinking™ Nettverkspakkemegler (NPB) ML-NPB-54...
-
Mylinking™ Nettverkspakkemegler (NPB) ML-NPB-3210+
-
Mylinking™ Nettverkspakkemegler (NPB) ML-NPB-6410+
-
Mylinking™ Nettverkspakkemegler (NPB) ML-NPB-3210L
-
Mylinking™ Nettverkspakkemegler (NPB) ML-NPB-2410
