Mylinking™ Network Trykk på Bypass Switch ML-BYPASS-200
2*Bypass pluss 1*Monitor Modular Design, 10/40/100GE Links, Max 640Gbps
1-Oversikter
Ved å distribuere Mylinking™ Smart Bypass Switch:
- Brukere kan fleksibelt installere/avinstallere sikkerhetsutstyr og vil ikke påvirke gjeldende nettverk og avbryte;
- Mylinking™ Network Tap Bypass Switch med intelligent helsedeteksjonsfunksjon til sanntidsovervåking av den normale arbeidstilstanden til den serielle sikkerhetsenheten, når den serielle sikkerhetsenheten fungerer unntak, vil beskyttelsen automatisk omgå for å opprettholde normal nettverkskommunikasjon;
- Selektiv trafikkbeskyttelsesteknologi kan brukes til å distribuere spesifikt trafikkrensingssikkerhetsutstyr, krypteringsteknologi basert på revisjonsutstyret. Utfør effektivt den serielle tilgangsbeskyttelsen for den spesifikke trafikktypen, og avlast strømningshåndteringstrykket til serieenheten;
- Load Balanced Traffic Protection-teknologi kan brukes til gruppert distribusjon av sikre serielle enheter for å møte behovet for seriell sikkerhet i miljøer med høy båndbredde.
Med den raske utviklingen av Internett blir trusselen om nettverksinformasjonssikkerhet mer og mer alvorlig, så en rekke applikasjoner for beskyttelse av informasjonssikkerhet brukes mer og mer utbredt. Enten det er tradisjonelt tilgangskontrollutstyr (brannmur) eller en ny type mer avanserte beskyttelsesmidler som for eksempel inntrengingsforebyggende system (IPS), Unified trusselhåndteringsplattform (UTM), Anti-denial service attack system (Anti-DDoS), Anti- span Gateway, Unified DPI Traffic Identification and Control System, og mange sikkerhetsenheter er distribuert i serie i nettverkets nøkkelnoder, implementeringen av den tilsvarende datasikkerhetspolitikken for å identifisere og håndtere lovlig / ulovlig trafikk. Samtidig vil imidlertid datanettverket generere en stor nettverksforsinkelse eller til og med nettverksavbrudd i tilfelle feil, vedlikehold, oppgradering, utstyrsutskifting og så videre i et svært pålitelig produksjonsnettverksapplikasjonsmiljø, brukere tåler det ikke.
2-Nettverkstrykk Bypass Switch Avanserte funksjoner og teknologier
Mylinking™ "SpecFlow" beskyttelsesmodus og "FullLink" beskyttelsesmodusteknologi
Mylinking™ Fast Bypass Switching Protection-teknologi
Mylinking™ "LinkSafeSwitch"-teknologi
Mylinking™ “WebService” dynamisk strategivideresending/utstedelsesteknologi
Mylinking™ Intelligent Heartbeat Message Detection-teknologi
Mylinking™ Definable Heartbeat Messages Technology
Mylinking™ Multi-link Load Balancing Technology
Mylinking™ Intelligent Traffic Distribution Technology
Mylinking™ Dynamic Load Balancing Technology
Mylinking™ fjernstyringsteknologi (HTTP/WEB, TELNET/SSH, "EasyConfig/AdvanceConfig"-karakteristikk)
3-Nettverk Trykk Bypass Switch Configuration Guide
OMGANGBeskyttelsesportmodulspor:
Dette sporet kan settes inn i BYPASS beskyttelsesportmodul med forskjellig hastighet/portnummer. Ved å erstatte ulike typer moduler, kan den støtte BYPASS-beskyttelse av flere 10G/40G/100G-koblinger.
FØLGEportmodulspor;
Dette sporet kan settes inn i MONITOR-portmodulen med forskjellige hastigheter/porter. Den kan støtte flere 10G/40G/100G-koblinger for online seriell overvåkingsenhet ved å erstatte forskjellige modeller.
Regler for modulvalg
Basert på ulike distribuerte koblinger og krav til utplassering av overvåkingsutstyr, kan du fleksibelt velge ulike modulkonfigurasjoner for å møte dine faktiske miljøbehov; følg følgende regler når du velger:
1. Chassiskomponentene er obligatoriske, og du må velge chassiskomponentene før du velger andre moduler. Samtidig, vennligst velg forskjellige strømforsyningsmetoder (AC/DC) i henhold til dine behov.
2. Hele maskinen støtter opptil 2 BYPASS-modulspor og 1 MONITOR-modulspor; du kan ikke velge mer enn antall spor som skal konfigureres. Basert på kombinasjonen av antall spor og modulmodellen, kan enheten støtte opptil fire 10GE-linkbeskyttelser; eller den kan støtte opptil fire 40GE-koblinger; eller den kan støtte opptil én 100GE-kobling.
3. Modulmodellen "BYP-MOD-L1CG" kan bare settes inn i SLOT1 for å fungere skikkelig.
4. Modultypen "BYP-MOD-XXX" kan bare settes inn i BYPASS-modulsporet; modultypen "MON-MOD-XXX" kan bare settes inn i MONITOR-modulsporet for normal drift.
| Produktmodell | Funksjonsparametere |
| Chassis (vert) | |
| ML-BYPASS-M200 | 1U standard 19-tommers rackmontering; maksimalt strømforbruk 250W; modulær BYPASS beskytter vert; 2 BYPASS-modulspor; 1 MONITOR-modulspor; AC og DC valgfritt; |
| OMGANGSMODUL | |
| BYP-MOD-L2XG(LM/SM) | Støtter 2-veis 10GE link seriell beskyttelse, 4*10GE grensesnitt, LC-kontakt; innebygd optisk transceiver; optisk lenke enkelt/multimode valgfritt, støtter 10GBASE-SR/LR; |
| BYP-MOD-L2QXG(LM/SM) | Støtter 2-veis 40GE link seriell beskyttelse, 4*40GE grensesnitt, LC-kontakt; innebygd optisk transceiver; optisk lenke enkelt/multimode valgfritt, støtter 40GBASE-SR4/LR4; |
| BYP-MOD-L1CG (LM/SM) | Støtter 1-kanals 100GE-link seriell beskyttelse, 2*100GE-grensesnitt, LC-kontakt; innebygd optisk transceiver; optisk lenke enkelt multimodus valgfritt, støtter 100GBASE-SR4/LR4 ; |
| MONITOR MODUL | |
| MON-MOD-L16XG | 16*10GE SFP+ overvåkingsportmodul; ingen optisk sender/mottakermodul; |
| MON-MOD-L8XG | 8*10GE SFP+ overvåkingsportmodul; ingen optisk sender/mottakermodul; |
| MON-MOD-L2CG | 2*100GE QSFP28 overvåkingsportmodul; ingen optisk sender/mottakermodul; |
| MON-MOD-L8QXG | 8* 40GE QSFP+ overvåkingsportmodul; ingen optisk sender/mottakermodul; |
Spesifikasjoner for 4-nettverk TAP Bypass Switch
| Produktmodalitet | ML-BYPASS-M200 seriell bypass-bryter | |
| Type grensesnitt | MGT-grensesnitt | 1*10/100/1000BASE-T Adaptivt administrasjonsgrensesnitt; Støtte ekstern HTTP/IP-administrasjon |
| Modulspor | 2*BYPASS-modulspor;1*MONITOR-modulspor; | |
| Lenker som støtter maksimum | Enhetsstøtte maksimalt 4*10GE-koblinger eller 4*40GE-koblinger eller 1*100GE-koblinger | |
| Følge | Enhetsstøtte maksimalt 16*10GE overvåkingsporter eller 8*40GE overvåkingsporter eller 2*100GE overvåkingsporter; | |
| Funksjon | Full dupleksbehandlingsevne | 640 Gbps |
| Basert på IP/protokoll/port fem tuppel spesifikk trafikkkaskadebeskyttelse | Støtte | |
| Kaskadebeskyttelse basert på full trafikk | Støtte | |
| Multippel belastningsbalansering | Støtte | |
| Egendefinert hjerteslagdeteksjonsfunksjon | Støtte | |
| Støtt Ethernet-pakkeuavhengighet | Støtte | |
| BYPASS-BRYTER | Støtte | |
| BYPASS Bryter uten blits | Støtte | |
| KONSOL MGT | Støtte | |
| IP/WEB MGT | Støtte | |
| SNMP V1/V2C MGT | Støtte | |
| TELNET/SSH MGT | Støtte | |
| SYSLOG-protokoll | Støtte | |
| Brukerautorisasjon | Basert på passordautorisasjon/AAA/TACACS+ | |
| Elektrisk | Nominell forsyningsspenning | AC-220V/DC-48V【Valgfritt】 |
| Nominell strømfrekvens | 50 HZ | |
| Nominell inngangsstrøm | AC-3A / DC-10A | |
| Nominell effekt | 100W | |
| Miljø | Arbeidstemperatur | 0–50 ℃ |
| Lagringstemperatur | -20-70 ℃ | |
| Arbeidsfuktighet | 10%-95%, Ingen kondens | |
| Brukerkonfigurasjon | Konsollkonfigurasjon | RS232-grensesnitt,115200,8,N,1 |
| MGT-grensesnitt utenfor båndet | 1*10/100/1000M Ethernet-grensesnitt | |
| Passordautorisasjon | Støtte | |
| Chassishøyde | Chassisplass(U) | 1U 19 tommer, 485mm*44,5mm*350mm |
5-nettverk TAP Bypass Switch Application (som følger)
Følgende er en typisk IPS (Intrusion Prevention System), FW (Brannmur) distribusjonsmodus, IPS / FW er distribuert i serie til nettverksutstyret (rutere, switcher, etc.) mellom trafikken gjennom gjennomføring av sikkerhetssjekker, iht. den tilsvarende sikkerhetspolitikken for å bestemme utgivelsen eller blokkere den tilsvarende trafikken, for å oppnå effekten av sikkerhetsforsvar.
Samtidig kan vi observere IPS / FW som en seriell distribusjon av utstyret, vanligvis distribuert i nøkkelplasseringen til bedriftsnettverket for å implementere seriell sikkerhet, påliteligheten til dens tilkoblede enheter påvirker direkte den generelle tilgjengeligheten av bedriftens nettverk. Når de serielle enhetene overbelastes, krasjer, programvareoppdateringer, policyoppdateringer osv., vil hele bedriftens nettverkstilgjengelighet bli sterkt påvirket. På dette punktet, vi bare gjennom nettverket kutt, fysisk bypass jumper kan gjøre nettverket som skal gjenopprettes, alvorlig påvirker påliteligheten til nettverket. IPS / FW og andre serielle enheter på den ene siden forbedre distribusjonen av bedriftens nettverkssikkerhet, på den annen side reduserer også påliteligheten til bedriftsnettverk, øker risikoen for at nettverket ikke er tilgjengelig.
5.2 Inline Link-seriens utstyrsbeskyttelse
Mylinking™ " Bypass Switch " er distribuert i serie mellom nettverksenheter (rutere, svitsjer, etc.), og dataflyten mellom nettverksenheter fører ikke lenger direkte til IPS / FW, " Bypass Switch " til IPS / FW, når IPS / FW på grunn av overbelastning, krasj, programvareoppdateringer, policyoppdateringer og andre forhold for feil, "Bypass Switch" gjennom intelligent hjerteslag meldingsdeteksjon Funksjon av rettidig oppdagelse, og dermed hoppe over den defekte enheten, uten å forstyrre forutsetningen til nettverket, det raske nettverksutstyret direkte koblet for å beskytte det normale kommunikasjonsnettverket; Når IPS / FW feil gjenoppretting, men også gjennom intelligente hjerteslag pakker Deteksjon av rettidig gjenkjenning av funksjonen, den opprinnelige koblingen for å gjenopprette sikkerheten til bedriftens nettverk sikkerhetssjekker.
Mylinking™ "Bypass Switch" har en kraftig intelligent funksjon for registrering av hjerteslagmeldinger, brukeren kan tilpasse hjerteslagintervallet og maksimalt antall forsøk, gjennom en tilpasset hjerteslagmelding på IPS/FW for helsetesting, for eksempel å sende hjerteslagssjekkmeldingen til oppstrøms/nedstrømsporten til IPS/FW, og motta deretter fra oppstrøms/nedstrømsporten til IPS/FW, og bedømme om IPS/FW fungerer normalt ved å sende og motta hjerteslagmeldingen.
5.3 "SpecFlow" Policy Flow Inline Traction Series Protection
Når sikkerhetsnettverksenheten bare trenger å håndtere den spesifikke trafikken i serie sikkerhetsbeskyttelse, gjennom Mylinking™ " Bypass Switch " trafikk per-behandlingsfunksjon, gjennom trafikkscreeningsstrategien for å koble sikkerhetsenheten " Bekymret "trafikk sendes tilbake direkte til nettverksforbindelsen, og den "berørte trafikkdelen" er trekkraft til in-line sikkerhetsanordningen for å utføre sikkerhetskontroller. Dette vil ikke bare opprettholde den normale bruken av sikkerhetsdeteksjonsfunksjonen til sikkerhetsanordningen, men også redusere den ineffektive strømmen av sikkerhetsutstyret for å håndtere trykket; samtidig kan " Bypass Switch " oppdage arbeidstilstanden til sikkerhetsanordningen i sanntid. Sikkerhetsenheten fungerer unormalt forbigår datatrafikken direkte for å unngå avbrudd i nettverkstjenesten.
Mylinking™ Traffic Bypass Protector kan identifisere trafikk basert på L2-L4-laghodeidentifikatoren, for eksempel VLAN-tag, kilde-/destinasjons-MAC-adresse, kilde-IP-adresse, IP-pakketype, transportlagsprotokollport, protokollhodenøkkeltag, og så på. En rekke samsvarende forhold fleksible kombinasjoner kan defineres fleksibelt for å definere de spesifikke trafikktypene som er av interesse for en bestemt sikkerhetsenhet og kan brukes mye for utplassering av spesielle sikkerhetsrevisjonsenheter (RDP, SSH, databaserevisjon, etc.) .
5.4 Lastbalansert seriebeskyttelse
Mylinking™ "Bypass Switch" er distribuert i serie mellom nettverksenheter (rutere, brytere, etc.). Når en enkelt IPS / FW-behandlingsytelse ikke er tilstrekkelig til å takle topptrafikk for nettverkslinker, kan trafikkbelastningsbalanseringsfunksjonen til beskytteren, "sammenkoblingen" av flere IPS / FW-klyngebehandlingsnettverkslinktrafikk, effektivt redusere enkelt IPS / FW-behandlingspress, forbedre den generelle behandlingsytelsen for å møte den høye båndbredden til distribusjonsmiljøet.
Mylinking™ "Bypass Switch" har en kraftig lastbalanseringsfunksjon, i henhold til rammens VLAN-tag, MAC-informasjon, IP-informasjon, portnummer, protokoll og annen informasjon om Hash-lastbalanseringsfordelingen av trafikk for å sikre at hver IPS / FW mottok data flyt Sesjonsintegritet.
5.5 Multi-series inline-utstyr flyttraksjonsbeskyttelse (endre seriekobling til parallellkobling)
I noen nøkkellenker (som Internett-uttak, utveksling av serverområde) skyldes plasseringen ofte behovene til sikkerhetsfunksjoner og utplassering av flere in-line sikkerhetstestingsutstyr (som brannmur, anti-DDOS-angrepsutstyr, WEB-applikasjonsbrannmur , inntrengningsforebyggende utstyr, etc.), flere sikkerhetsdeteksjonsutstyr samtidig i serie på koblingen for å øke koblingen til et enkelt feilpunkt, redusere den generelle påliteligheten til nettverket. Og i det ovennevnte sikkerhetsutstyret online distribusjon, utstyrsoppgraderinger, utstyrsutskifting og andre operasjoner, vil føre til at nettverket i lang tid tjenesteavbrudd og et større prosjektkutt handling for å fullføre en vellykket gjennomføring av slike prosjekter.
Ved å distribuere "Bypass-bryteren" på en enhetlig måte, kan distribusjonsmodusen til flere sikkerhetsenheter koblet i serie på samme kobling endres fra "fysisk sammenkoblingsmodus" til "fysisk sammenkoblingsmodus, logisk sammenkoblingsmodus" Koblingen på lenken til et enkelt punkt av svikt for å forbedre påliteligheten til koblingen, mens "bypass-bryteren" på koblingen flyt på forespørsel trekkraft, for å oppnå samme flyt med den opprinnelige modusen for sikker behandling effekt.
Mer enn én sikkerhetsenhet samtidig i seriedistribusjonsdiagram:
Mylinking™ Network TAP Bypass Switch-distribusjonsdiagram:
5.6 Basert på den dynamiske strategien for Traffic Traction Security Detection Protection
"Bypass Switch" Et annet avansert applikasjonsscenario er basert på den dynamiske strategien for beskyttelsesapplikasjoner for trafikksikkerhetsdeteksjon, utrullingen av måten som vist nedenfor:
Ta "Anti-DDoS angrepsbeskyttelse og deteksjon" sikkerhetstestutstyret, for eksempel gjennom front-end-distribusjonen av " Bypass Switch " og deretter anti-DDOS-beskyttelsesutstyr og deretter koblet til " Bypass Switch ", i vanlig " Trekkbeskytter "til hele mengden trafikk wire-speed forwarding samtidig flytspeilet utgang til" anti-DDOS angrepsbeskyttelsesenhet ", en gang oppdaget for en server IP (eller IP-nettverkssegment) etter angrepet," anti -DDOS-angrepsbeskyttelsesenhet " vil generere samsvarsregler for måltrafikkflyt og sende dem til " Bypass Switch " gjennom det dynamiske grensesnittet for policylevering. " Bypass Switch " kan oppdatere "trafikk traction dynamic" etter å ha mottatt de dynamiske policyreglene Regel pool "og umiddelbart" regelen treffer angrepsserveren trafikk "traction til" anti-DDoS angrep beskyttelse og deteksjon "utstyr for behandling, for å være effektiv etter angrepsflyten og deretter re-injisert inn i nettverket.
Applikasjonsskjemaet basert på " Bypass Switch " er enklere å implementere enn den tradisjonelle BGP-ruteinjeksjonen eller annen trafikktrekkordning, og miljøet er mindre avhengig av nettverket og påliteligheten er høyere.
"Bypass Switch" har følgende egenskaper for å støtte dynamisk sikkerhetsdeteksjonsbeskyttelse:
1, "Bypass Switch" for å gi utenfor reglene basert på WEBSERIVCE-grensesnitt, enkel integrasjon med tredjeparts sikkerhetsenheter.
2, " Bypass Switch " basert på maskinvaren ren ASIC chip videresending opp til 10 Gbps wire-speed pakker uten å blokkere bryter videresending, og "trafikk trekkraft dynamisk regel bibliotek" uavhengig av antall.
3, "Bypass Switch" innebygd profesjonell BYPASS-funksjon, selv om beskytteren selv feiler, kan også omgå den originale serielle koblingen umiddelbart, påvirker ikke den opprinnelige koblingen til normal kommunikasjon.
