1- Hva er Define Heartbeat-pakken?
Hjerteslagpakkene til Mylinking™ Network Tap Bypass Switch bruker standard Ethernet Layer 2-rammer. Når man distribuerer transparent Layer 2-bromodus (som IPS/FW), blir vanligvis Layer 2 Ethernet-rammer videresendt, blokkert eller forkastet. Samtidig støtter Mylinking™ Network Tap Bypass Switch tilpasset hjerteslagmeldingsformat for å imøtekomme situasjonen der noen spesielle serielle sikkerhetsenheter normalt ikke kan videresende vanlige Layer 2 Ethernet-rammer.
Mylinking™ Network Tap Bypass Switch støtter også hjerteslagspakkedeteksjon basert på VLAN-tagg, tilpassede meldingstyper for lag 3 og lag 4. Basert på denne mekanismen kan brukeren implementere en sikkerhetstestfunksjon for tilkoblingssikkerhetsenheten for å gjøre det mer effektivt å sikre at de tilsvarende sikkerhetstjenestene fungerer som de skal.
Mylinking™ Network Tap Bypass Switch kan støtte skjermen til å sende forskjellige hjerteslagpakker i begge retninger. For eksempel er hjerteslagpakker av typen TCP og UDP tilpasset på "Strategy Traffic Traction Protector", i henhold til den serielle enhetens spesifikasjoner. Du kan konfigurere sending av TCP-hjerteslagpakker på uplink-monitor A-porten og sending av UDP-hjerteslagpakker på downlink-monitor B-porten for å tilpasse meldingsvideresendingsmekanismen til den serielle sikkerhetsenheten. Denne funksjonen kan garantere strengen mer effektivt. Koble sikkerhetsutstyret til normal drift.
Mylinking™ Network Inline Bypass Switch er forsket på og utviklet for å brukes til fleksibel distribusjon av ulike typer serielt sikkerhetsutstyr, samtidig som den gir høy nettverkspålitelighet.
Avanserte funksjoner og teknologier for 2-nettverks innebygd bypass-svitsj
Mylinking™ «SpecFlow»-beskyttelsesmodus og «FullLink»-beskyttelsesmodusteknologi
Mylinking™ Fast Bypass Switching Protection Technology
Mylinking™ «LinkSafeSwitch»-teknologi
Mylinking™ «WebService» Dynamisk strategi for videresending/utstedelse av meldinger
Mylinking™ intelligent teknologi for gjenkjenning av hjerteslagmeldinger
Mylinking™ Definerbare hjerteslagmeldingsteknologi
Mylinking™ Multi-link lastbalanseringsteknologi
Mylinking™ intelligent trafikkdistribusjonsteknologi
Mylinking™ dynamisk lastbalanseringsteknologi
Mylinking™ fjernstyringsteknologi (HTTP/WEB, TELNET/SSH, «EasyConfig/AdvanceConfig»-karakteristikk)
3-nettverks innebygd bypass-svitsjapplikasjon (som følger)
3.1 Risikoen ved innebygd sikkerhetsutstyr (IPS / FW)
Følgende er en typisk IPS (Intrusion Prevention System)-distribusjonsmodus for FW (Firewall). IPS/FW distribueres i serie med nettverksutstyret (rutere, svitsjer osv.) gjennom sikkerhetskontroller. I henhold til tilhørende sikkerhetspolicy bestemmes om trafikken skal frigjøres eller blokkeres for å oppnå en sikkerhetsforsvarseffekt.
Samtidig kan vi observere IPS/FW som seriell utplassering av utstyr, vanligvis distribuert på viktige steder i bedriftsnettverket for å implementere seriell sikkerhet. Påliteligheten til de tilkoblede enhetene påvirker direkte den generelle tilgjengeligheten til bedriftsnettverket. Når serielle enheter overbelastes, krasjer, programvareoppdateringer, policyoppdateringer osv., vil hele tilgjengeligheten til bedriftsnettverket bli sterkt påvirket. På dette tidspunktet kan vi bare gjenopprette nettverket gjennom nettverkskutt og fysisk bypass-jumper, noe som påvirker nettverkets pålitelighet alvorlig. IPS/FW og andre serielle enheter forbedrer på den ene siden sikkerheten i utplasseringen av bedriftsnettverk, men reduserer på den annen side også påliteligheten til bedriftsnettverkene, noe som øker risikoen for at nettverket ikke er tilgjengelig.
3.2 Beskyttelse av utstyr i Inline Link-serien
Mylinking™ «Network Inline Bypass» distribueres i serie mellom nettverksenheter (rutere, svitsjer osv.), og dataflyten mellom nettverksenheter går ikke lenger direkte til IPS/FW. «Network Inline Bypass» går til IPS/FW. Når IPS/FW feiler på grunn av overbelastning, krasj, programvareoppdateringer, policyoppdateringer og andre tilstander, oppdager «Network Inline Bypass» feilen rettidig gjennom intelligent hjerteslagmeldingsdeteksjon. Dermed hopper de defekte enheter over uten å avbryte nettverkets premisser. Nettverksutstyr kobles raskt direkte til for å beskytte det normale kommunikasjonsnettverket. Når IPS/FW feiler, gjenopprettes den også rettidig gjennom intelligent hjerteslagpakkedeteksjon, og den opprinnelige lenken gjenoppretter sikkerheten til bedriftsnettverkets sikkerhetskontroller.
Mylinking™ «Network Inline Bypass» har en kraftig intelligent funksjon for deteksjon av hjerteslagmeldinger. Brukeren kan tilpasse hjerteslagintervallet og maksimalt antall forsøk gjennom en tilpasset hjerteslagmelding på IPS/FW for helsetesting, for eksempel å sende hjerteslagsjekkmeldingen til oppstrøms-/nedstrømsporten på IPS/FW, og deretter motta fra oppstrøms-/nedstrømsporten på IPS/FW, og bedømme om IPS/FW fungerer normalt ved å sende og motta hjerteslagmeldingen.
3.3 «SpecFlow»-policy for strømningsbeskyttelse i linje med trekkraftserie
Når sikkerhetsnettverksenheten bare trenger å håndtere den spesifikke trafikken i seriebeskyttelse, sendes trafikk per prosessering via Mylinking™ «Network Inline Bypass»-funksjonen, og trafikkscreeningsstrategien for å koble til sikkerhetsenhetens «berørte» trafikk sendes direkte tilbake til nettverkskoblingen, og den «berørte trafikkdelen» trekkes til den innebygde sikkerhetsenheten for å utføre sikkerhetskontroller. Dette vil ikke bare opprettholde normal bruk av sikkerhetsenhetens sikkerhetsdeteksjonsfunksjon, men også redusere den ineffektive flyten av sikkerhetsutstyret for å håndtere trykket. Samtidig kan «Network Inline Bypass» oppdage sikkerhetsenhetens driftstilstand i sanntid. Sikkerhetsenheten fungerer unormalt og omgår datatrafikken direkte for å unngå avbrudd i nettverkstjenesten.
3.4 Lastbalansert seriebeskyttelse
Mylinking™ «Network Inline Bypass» distribueres i serie mellom nettverksenheter (rutere, svitsjer osv.). Når en enkelt IPS/FW-behandlingsytelse ikke er tilstrekkelig til å håndtere topptrafikk i nettverkskoblingen, kan trafikkbalanseringsfunksjonen til beskytteren, «bundling» av nettverkskoblingstrafikk for flere IPS/FW-klynger, effektivt redusere behandlingstrykket på enkeltstående IPS/FW og forbedre den generelle behandlingsytelsen for å møte den høye båndbredden i distribusjonsmiljøet.
Mylinking™ «Network Inline Bypass» har en kraftig lastbalanseringsfunksjon som bruker VLAN-taggen for rammen, MAC-informasjon, IP-informasjon, portnummer, protokoll og annen informasjon om hash-lastbalanseringsfordelingen av trafikk for å sikre at hver IPS/FW mottar dataflyt og sesjonsintegritet.
3.5 Beskyttelse mot strømningstrekk i flerserieutstyr (endre seriekobling til parallellkobling)
I noen viktige lenker (som internettuttak, serverområdeutvekslingslenker) skyldes plasseringen ofte behovet for sikkerhetsfunksjoner og utplassering av flere innebygde sikkerhetstestutstyr (som brannmurer, anti-DDOS-angrepsutstyr, WEB-applikasjonsbrannmurer, inntrengingsforebyggende utstyr, osv.), for å øke koblingens effektivitet ved å seriekoble flere sikkerhetsdeteksjonsutstyr på lenkene, noe som reduserer nettverkets generelle pålitelighet. Og i den ovennevnte nettbaserte utplasseringen av sikkerhetsutstyr, utstyrsoppgraderinger, utstyrsutskiftninger og andre operasjoner, vil det føre til langvarige nettverksavbrudd og større prosjektkutt for å fullføre en vellykket implementering av slike prosjekter.
Ved å distribuere «Network Inline Bypass» på en enhetlig måte, kan distribusjonsmodusen for flere sikkerhetsenheter koblet i serie på samme lenke endres fra «fysisk sammenkoblingsmodus» til «fysisk sammenkoblingsmodus, logisk sammenkoblingsmodus». Lenken på lenken til et enkelt feilpunkt for å forbedre koblingens pålitelighet, mens «Network Inline Bypass» på lenken flyter på forespørsel, for å oppnå samme flyt med den opprinnelige modusen for sikker behandlingseffekt.
Mer enn én sikkerhetsenhet samtidig i seriedistribusjonsdiagram:
Diagram for implementering av nettverksbypassbryter:
3.6 Basert på den dynamiske strategien for trafikksporingssikkerhetsdeteksjonsbeskyttelse
«Network Inline Bypass» Et annet avansert applikasjonsscenario er basert på den dynamiske strategien for trafikksporingssikkerhetsdeteksjonsbeskyttelsesapplikasjoner, distribusjonen av måten som vist nedenfor:
Ta for eksempel sikkerhetstestutstyret «Anti-DDoS-angrepsbeskyttelse og -deteksjon» gjennom frontend-distribusjon av «Network Inline Bypass» og deretter anti-DDoS-beskyttelsesutstyr, og deretter koblet til «Network Inline Bypass». I den vanlige «Traction Protector» sendes full trafikkmengde med kabelhastighet videre, samtidig som flytspeilet sendes til «anti-DDoS-angrepsbeskyttelsesenheten». Når en server-IP (eller IP-nettverkssegment) er oppdaget etter angrepet, genererer anti-DDoS-angrepsbeskyttelsesenheten måltrafikkflytmatchingsregler og sender dem til «Network Inline Bypass» via det dynamiske policyleveringsgrensesnittet. «Network Inline Bypass» kan oppdatere «trafikktrekkingsdynamikken» etter å ha mottatt regelpuljen for dynamiske policyregler, «og umiddelbart» treffer angrepsservertrafikken til «anti-DDoS-angrepsbeskyttelses- og -deteksjonsutstyret» for behandling, slik at den er effektiv etter angrepsflyten og deretter injiseres på nytt i nettverket.
Applikasjonsskjemaet basert på «Network Inline Bypass» er enklere å implementere enn den tradisjonelle BGP-ruteinjeksjonen eller andre trafikktrekkskjemaer, og miljøet er mindre avhengig av nettverket og påliteligheten er høyere.
«Network Inline Bypass» har følgende egenskaper for å støtte dynamisk policysikkerhetsdeteksjonsbeskyttelse:
1. «Network Inline Bypass» for å tilby integrasjon utenfor reglene basert på WEBSERIVCE-grensesnitt, enkel integrering med tredjeparts sikkerhetsenheter.
2, «Network Inline Bypass» basert på den rene ASIC-brikken for maskinvare som videresender pakker med kabelhastighet på opptil 10 Gbps uten å blokkere videresending av svitsj, og «dynamisk regelbibliotek for trafikktrekking» uavhengig av antall.
3. Den innebygde profesjonelle BYPASS-funksjonen «Network Inline Bypass» kan omgå den opprinnelige serielle lenken umiddelbart, selv om selve beskytteren skulle svikte, uten å påvirke den opprinnelige lenken for normal kommunikasjon.
Publisert: 23. desember 2021
