Сетевой пакетный брокер Mylinking™ плюс встроенный обходной коммутатор ML-NPB-M2000
Модуль обхода: 8*10G SFP+ и 4*100GE, модуль мониторинга: 16*10GE SFP+ и 4*100GE, максимальная скорость 2,4 Тбит/с.
1. Обзоры
С быстрым развитием интернета угроза информационной безопасности сети становится все более серьезной, поэтому все шире используются различные приложения для защиты информации. Будь то традиционное оборудование контроля доступа (брандмауэр) или новые, более совершенные средства защиты, такие как системы предотвращения вторжений (IPS), платформы унифицированного управления угрозами (UTM), системы защиты от DDoS-атак (Anti-DDoS), шлюзы защиты от спама, системы идентификации и контроля трафика DPI, и многие другие устройства безопасности развертываются последовательно на ключевых узлах сети, реализуя соответствующую политику защиты данных для идентификации и обработки легального/нелегального трафика. В то же время, однако, компьютерная сеть может генерировать значительные задержки или даже сбои в случае переключения на резервный сервер, технического обслуживания, обновления, замены оборудования и т.д. в высоконадежной производственной сетевой среде, чего пользователи не могут допустить.
Сетевой пакетный брокер ML-NPB-M2000 Mylinking™ с встроенным обходным коммутатором разработан для гибкого развертывания различных типов оборудования последовательной защиты, обеспечивая при этом высокую надежность сети.
Развернув сетевой пакетный брокер Mylinking™ и встроенный коммутатор обхода:
●Пользователи могут гибко устанавливать/удалять устройства защиты, не затрагивая и не прерывая работу существующей сети;
● Устройство оснащено интеллектуальной функцией мониторинга состояния подключенных устройств безопасности в режиме реального времени. В случае неисправности подключенного устройства безопасности, устройство автоматически переключится в другое положение для поддержания нормальной связи с сетью.
●Технология выборочной защиты трафика может использоваться для развертывания специализированного оборудования для очистки трафика, оборудования для аудита на основе шифрования и т. д. Она эффективно реализует защиту доступа в режиме реального времени для определенных типов трафика, разгружая нагрузку по обработке трафика от устройств, работающих в режиме реального времени.
● Технология защиты трафика с балансировкой нагрузки может использоваться для развертывания защищенных встроенных устройств в кластерах, чтобы удовлетворить потребности в защите трафика в условиях высокой нагрузки на пропускную способность сети.
●Обладает возможностями SSL-прокси, отвечающими требованиям мониторинга и анализа, предъявляемым устройствами защиты данных в открытом текстовом формате.
● Он обладает базовыми возможностями обработки трафика, такими как репликация, агрегация, фильтрация и маркировка трафика, а также расширенными возможностями обработки трафика, такими как дедупликация, маскирование, идентификация протоколов прикладного уровня и формирование трафика.
2-Расширенные возможности и технологии сетевого пакетного брокера Mylinking™ плюс встроенного обходного коммутатора.
Технология Mylinking™ «SpecFlow» и «FullLink»
Технология быстрой защиты от переключения Mylinking™
Технология Mylinking™ “LinkSafeSwitch”
Технология динамической пересылки/выдачи политик Mylinking™ “WebService”.
Технология интеллектуального обнаружения пакетов пульса Mylinking™
Mylinking™ Технология определяемых пакетов сердцебиения
Mylinking™ Технология многозвенной балансировки нагрузки
Mylinking™ Технология интеллектуального распределения трафика
Mylinking™ Технология динамической балансировки нагрузки
Mylinking™ Технологии удаленного управления (HTTP/WEB, TELNET/SSH, характеристики «EasyConfig/AdvanceConfig»)
3-Руководство по настройке сетевого пакетного брокера Mylinking™ плюс коммутатора с функцией обхода в режиме реального времени.
Как показано на схеме выше, весь блок состоит из четырех модульных слотов:
В слоты SLOT1, SLOT2, SLOT3 и SLOT4 можно устанавливать модули защиты BYPASS или модули мониторинга с различными скоростями и количеством портов. Заменяя модули разных моделей, можно обеспечить защиту BYPASS для нескольких каналов 10G/40G/100G, а также развернуть оборудование мониторинга Inline Bypass для нескольких каналов 10G/40G/100G.
Примечание: И модуль BYPASS, и модуль MONITOR поддерживают горячую замену.
3.1-Список технических характеристик модуля
| Модель продукта | ФункциональныйPпараметры |
| Cхассис | |
| ML-NPB-M2000-CHS/AC | Стандартный 2U корпус для установки в 19-дюймовую стойку; максимальное энергопотребление 300 Вт; модульный основной блок защиты BYPASS; 4 слота для модулей; 1 интерфейс консоли RS232, 1 интерфейс RJ45 10/100/1000 Мбит/с с внешним сетевым управлением; двухканальное питание от сети переменного тока 220 В; |
| NT-BYPASS-M2000-CHS/DC | Стандартный 2U корпус для установки в 19-дюймовую стойку; максимальное энергопотребление 300 Вт; модульный основной блок защиты BYPASS; 4 слота для модулей; 1 интерфейс консоли RS232, 1 интерфейс RJ45 10/100/1000 Мбит/с с внешним сетевым управлением; двухканальное питание DC-48V; |
| ОБХОДMодул | |
| INL-I8XM8X(LM/SM) | Поддерживает защиту последовательного соединения 4-х каналов 10GE (совместимо с 1G), всего 8 интерфейсов 10GE; поддерживает 8 портов мониторинга 10G SFP+ (без оптических модулей). |
| INL-I4HM2H (LM/SM) | Поддерживает двустороннюю последовательную защиту канала 100GE (совместимую с 40GE), всего 4 интерфейса 100GE; поддерживает 2 порта мониторинга QSFP28 100GE (без оптических модулей). |
| Модуль МОНИТОРА | |
| МОН-М16Х | 16 портов мониторинга 10GE SFP+ (без оптических модулей); |
| MON-M16X-CN98 | 16 портов мониторинга 10GE SFP+ (оптический модуль не входит в комплект); оснащен усовершенствованным функциональным модулем, поддерживающим расширенные функции обработки трафика, такие как обход расшифровки SSL, прокси-сервер SSL и дедупликация трафика; |
| MON-M4H | 4 порта мониторинга 100GE QSFP28 (оптические модули в комплект не входят); |
| MON-M4H-CN98 | 4 порта мониторинга 100GE QSFP28 (оптические модули в комплект не входят); оснащены усовершенствованным функциональным модулем, поддерживающим расширенные функции обработки трафика, такие как обход расшифровки SSL, прокси-сервер SSL и дедупликация трафика; |
3.2-Правила выбора модулей
В зависимости от требований к развертыванию защищаемых каналов связи и оборудования мониторинга, вы можете гибко выбирать различные конфигурации модулей в соответствии с потребностями вашей реальной среды; при выборе, пожалуйста, следуйте этим правилам:
1) Корпус является обязательным компонентом и должен быть выбран до выбора любых других модулей. Также выберите подходящий способ питания (переменный/постоянный ток) в соответствии с вашими потребностями.
2) Устройство поддерживает максимум 4 слота для модулей; для конфигурации нельзя выбрать больше модулей, чем указано в количестве слотов. Благодаря гибкому сочетанию различных моделей модулей, устройство может поддерживать последовательную защиту до 16 каналов 10GE/GE или 8 каналов 100GE/40GE.
4-Интеллектуальные возможности обработки трафика
4.1-Встроенное развертывание
Специальная защита от столкновений на дороге
Это поддерживаетВ соответствии(серийный)режим защиты для определенных типов трафика в любомв соответствиисвязь.Toперенаправлять некоторые указанные пользователем типы трафикав соответствииссылка наВ соответствии Sбезопасностьустройстводля обработки, а остальной трафик перенаправляется напрямую, минуя систему.В соответствии Sбезопасностьустройство. В то же время,itосуществляет мониторинг состояния системы в режиме реального времени.В соответствии SбезопасностьустройствоПосле обнаружения аномального состояния обработки трафика,itЭтот фрагмент будет автоматически исключен из пути передачи трафика для обеспечения непрерывности работы сети.
Защита всего транспортного потока на линии
Это поддерживаетВ соответствии(серийный)режим защиты для всех типов трафика в любом режимев соответствиисвязь.Toпередавать весь трафик вв соответствииссылка наВ соответствии Sбезопасностьустройстводля обработки и мониторинга состояния работы встроенной системы безопасности.устройствов режиме реального времени. После обнаружения аномального состояния обработки трафика,itЭтот фрагмент будет автоматически исключен из пути передачи трафика для обеспечения непрерывности работы сети.
Балансировка нагрузки
Он обладает интеллектуальной функцией балансировки нагрузки трафика. Когда производительность обработки одного устройства снижается.В соответствии Sбезопасностьустройствонедостаточно для решения проблемыв соответствиитрафик связи канала, он может распределятьв соответствииНаправьте трафик на интерфейсы N Monitor, настроив группу балансировки нагрузки. В соответствии с MAC-адресом, IP-адресом, номером порта, протоколом и другой информацией,itвыполняет необязательную балансировку нагрузки алгоритма хеширования, так чтов соответствииТрафик по ссылкам равномерно распределяется между несколькимив соответствиибезопасностьинструментдля кластерной обработки, что эффективно повышает общую производительность обработки.в соответствиибезопасностьинструментс. Для адаптации к требованиям сценариев применения с высокой пропускной способностью и большим объемом трафика.
Обнаружение пакетов сердцебиения
Это поддерживаетTxиRxПакеты обнаружения сердцебиения передаются по восходящему и нисходящему каналам связи подключенных устройств.в соответствииустройства безопасности и обнаруживаютвстроенные инструментыРабочее состояние и нормальность процесса обработки трафика. Двустороннее пульсирование.пакетМеханизм обнаружения может более точно отражать текущее рабочее состояниев соответствиибезопасностьустройствои более эффективно обеспечивать нормальное функционирование сети.
Она позволяет настраивать параметры пульса для любого устройства.в соответствииустройство безопасности, например, датчик сердцебиенияTxинтервал времени, максимальное количество повторных попыток сердцебиения, сердцебиениеTxнаправление и т. д. Он может обнаруживать и оценивать состояние неисправности.в соответствиисвоевременно активировать устройства безопасности и обеспечить быстрое переключение защитных каналов в обход существующих.
Пакеты обнаружения пульса по умолчанию представляют собой кадры второго уровня Ethernet. При использовании прозрачного режима моста второго уровня (например, IPS/FW) кадры Ethernet второго уровня будут передаваться в обычном режиме без блокировок или потерь. Одновременно с этим, поддерживаются также пользовательские пакеты обнаружения пульса второго, третьего и четвертого уровней Ethernet для адаптации к некоторым специфическим условиям.в соответствииУстройства безопасности обычно не могут пересылать обычные кадры Ethernet уровня 2.
На основе описанного выше механизма пользователи могут реализовать функцию проверки работоспособности подключенных устройств безопасности на уровне сервиса, что позволяет более эффективно обеспечить нормальную работу служб безопасности.
Обходное переключение
Он поддерживает очень низкий уровень байпаса.переключениезадержка (<8 мс), и пользователи практически не ощущают влияния на сеть, когда устройство выполняет обходной режим.переключениеВ то же время, технология переключения каналов связи, специфичная для конкретного устройства, гарантирует, что состояние основного канала связи не будет затронуто во время обхода.переключениеЭта технология обеспечит обходной путь.переключениеЭто обеспечивает более высокую безопасность и не приводит к перерасчету и сходимости протоколов топологии уровня 2/уровня 3 защищаемых каналов, что минимизирует воздействие на сеть пользователя во время работы.переключение.
Блокировка движения
Когда устройство безопасности обнаруживает незаконные или аномальные соединения в трафике и нуждается в их своевременной блокировке, оно может перехватывать любые указанные пакеты в входящем/исходящем трафике.в соответствииСоздание связи на основе условий фильтра, соответствующего кортежу, для обеспечения безопасной работы сетевых сервисов.
Зеркало дорожного движения
В дополнение к защите трафика на встроенном канале связи и устройствах встроенной безопасности (таких как IPS, WAF), любой зеркалированный трафик SPAN также может передаваться в систему мониторинга безопасности SPAN (такую как IDS, APT), что позволяет удовлетворить требования к развертыванию системы мониторинга данных трафика SPAN или тестированию и проверке трафика.
SSL-прокси
Благодаря функции SSL-прокси исходный зашифрованный пакет расшифровывается и отправляется в систему защиты в режиме реального времени, после чего расшифрованные данные восстанавливаются и отправляются обратно по исходному каналу связи, обеспечивая передачу расшифрованных данных в систему защиты в режиме реального времени без влияния на передачу зашифрованных данных по исходному каналу связи пользователя, а также осуществляя мониторинг и анализ зашифрованных данных аналитической системой.
4.2-Развертывание SPAN
Репликация сетевого трафика
Это поддерживаетВ соответствии(серийный)режим защиты для определенных типов трафика в любомв соответствиисвязь.Toперенаправлять некоторые указанные пользователем типы трафикав соответствииссылка наВ соответствии Sбезопасностьустройстводля обработки, а остальной трафик перенаправляется напрямую, минуя систему.В соответствии Sбезопасностьустройство. В то же время,itосуществляет мониторинг состояния системы в режиме реального времени.В соответствии SбезопасностьустройствоПосле обнаружения аномального состояния обработки трафика,itЭтот фрагмент будет автоматически исключен из пути передачи трафика для обеспечения непрерывности работы сети.
Агрегация сетевого трафика
Исходный и предварительно обработанный трафик могут быть скопированы в N-канальный сигнал в соответствии с 1-канальным сигналом или скопированы в M-канальный сигнал после агрегации N-канальных сигналов при скорости передачи данных по линиям GE, 10GE, 40G и 100G, что идеально решает задачу одновременного развертывания более двух многопортовых устройств обхода прослушивания в сети.
Передача/пересылка данных
Точно классифицировали входящие метаданные и отбрасывали или перенаправляли различные службы данных на несколько выходных интерфейсов в соответствии с предопределенными пользователем правилами.
Фильтрация пакетных данных
Входные данныетрафикМожно точно классифицировать данные, использовать правила белого или черного списка для различных служб передачи данных, а также отбрасывать или перенаправлять выходные данные нескольких интерфейсов. Поддерживается гибкая комбинация на основе типа Ethernet, метки VLAN, IP-пятикордовой таблицы.TCPИдентификатор, характеристики пакетов и другие элементы для дальнейшего удовлетворения требований к развертыванию различного оборудования сетевой безопасности, анализа протоколов, анализа сигналов и других средств мониторинга трафика.
Балансировка нагрузки
Балансировка нагрузки опционального хеш-алгоритма может осуществляться в соответствии с характеристиками внутреннего и внешнего уровней L2-L4 для обеспечения целостности сеанса потока данных, получаемого устройством.ОХВАТЫВАТЬУстройство мониторинга. При изменении состояния соединения участники группы разгрузочных портов могут гибко выходить из системы (соединение разорвано) или входить в нее (соединение поднято), а группа разгрузочных портов может автоматически перераспределять трафик для обеспечения динамической балансировки нагрузки исходящего трафика порта.
VLAN с метками
VLAN без тегов
VLAN заменен
Поддерживается сопоставление любого ключевого поля в первых 128 байтах пакета. Пользователь может настроить значение смещения, длину и содержимое ключевого поля, а также определить политику вывода трафика в соответствии со своей конфигурацией.
Отметка времени
Поддерживается Синхронизировать NTP-сервер для корректировки времени и записать сообщение в пакет в виде относительной временной метки с меткой времени в конце кадра с точностью до наносекунд.
Инкапсуляция туннеля и удаление покрытия
Поддерживается удаление заголовков VxLAN, VLAN, GRE, GTP, MPLS, IPIP из исходного пакета данных и их пересылка на выходной ресурс.
Разделение данных/пакетов
Это поддерживаетпакетный фрагментИсходные данные формируются на основе интерфейса ввода и вывода трафика на уровне политики (64, 96, 128, 160, 192, 224, 256, 288, 320, 384, 512, 640, 768, 896, 960 байт являются необязательными), а политика вывода трафика может быть реализована в соответствии с пользовательской конфигурацией.
Идентификация протокола туннелирования
Поддерживается автоматическое определение различных протоколов туннелирования, таких как GTP / GRE / VxLAN / PPTP / L2TP / PPPOE / IPIP. В соответствии с настройками пользователя, стратегия вывода трафика может быть реализована для внутреннего или внешнего уровня туннеля.
Приоритет пересылки пакетов
Это позволяет определять приоритет пакетов данных в соответствии с важностью услуги на входящем порту, при этом пакеты с высоким приоритетом пересылаются в первую очередь на выходе. После пересылки пакетов с высоким приоритетом пересылаются пакеты со средним и низким приоритетом. Это позволяет избежать срабатывания сигнализации аналитической системы, вызванного отсутствием важных пакетов данных.
Аномальная тревожная ситуация
Он поддерживает мониторинг тревожных сигналов в реальном времени и запись истории тревожных сигналов о тенденциях трафика интерфейса на основе заданных пороговых значений. Он также поддерживает мониторинг тревожных сигналов в реальном времени и запись истории тревожных сигналов на основе состояния аппаратного обеспечения устройства (процессор, память, температура, вентилятор, блок питания и т. д.).
Горячее резервирование интерфейса
Он поддерживает конфигурацию входного интерфейса 1+1 основной/резервный, конфигурацию выходного интерфейса 1+1 основной/резервный и конфигурацию балансировки нагрузки N+1 основной/резервный для обеспечения высокой надежности в процессе передачи трафика от входа к выходу.
Измерение микроимпульсов в дорожном движении
Она позволяет в режиме реального времени определять время возникновения, продолжительность и частоту всплесков трафика, а также сохранять исторические записи измерений, что обеспечивает количественные и наблюдаемые средства и основу для устранения неполадок при эксплуатации и техническом обслуживании, а также для обнаружения потери пакетов.
Защита от колебаний интерфейса
Она поддерживает обнаружение и защиту от колебаний соединения (переключение каналов) на любом интерфейсе, что позволяет избежать потери входящего и исходящего трафика, вызванной частыми переключениями каналов, и повысить стабильность сбора и пересылки трафика.
Выход инкапсуляции туннеля
Он поддерживает инкапсуляцию туннелей типов ERSPAN2, GRE, VXLAN, NVGRE для любого собранного трафика и выводит его данные для удовлетворения требований приложения по передаче собранного трафика в удаленную аналитическую систему.
Завершение туннельного пакета
Он поддерживает функцию завершения туннельных сообщений. Эта функция позволяет настраивать IP-адреса/маску и MAC-адреса на входном порту трафика. Она обеспечивает прямую передачу трафика, который необходимо собрать в пользовательской сети, посредством методов инкапсуляции туннеля, таких как GRE, GTP и VXLAN, на порт сбора устройства.
Расшифровка SSL-трафика SPAN
Поддерживается загрузка соответствующего расшифрованного SSL-сертификата. После расшифровки зашифрованных HTTPS-данных для указанного трафика они будут переданы в системы мониторинга и анализа на стороне сервера по мере необходимости. Поддерживаются TLS 1.0, TLS 1.2 и SSL 3.0.
Дедупликация данных/пакетов
Поддерживается статистическая детализация на уровне портов или политик для сравнения данных из нескольких источников сбора и повторов одного и того же пакета данных в указанное время. Пользователи могут выбирать различные идентификаторы пакетов (dst.ip, src.port, dst.port, tcp.seq, tcp.ack, dst.mac, src.mac, vlan.id).
Секретная маскировка даты
Поддерживается детализация на основе политик для замены любого ключевого поля в исходных данных с целью защиты конфиденциальной информации. Политика вывода трафика может быть реализована в соответствии с настройками пользователя.
Идентификация протокола уровня приложений
Он поддерживает идентификацию, вывод и отбрасывание протоколов прикладного уровня на основе сопоставления DNS/URL. Библиотека функций DPI может быть интегрирована для распознавания, вывода и отбрасывания не менее 1800 типов функций прикладных протоколов (таких как аудио и видео, игры, мгновенные сообщения, базы данных, электронная почта, P2P и т. д.), и библиотека функций DPI может быть обновлена и модернизирована. При наличии особых потребностей может быть проведена и вторичная разработка.
Пользовательская декапсуляция пакетов
Он поддерживает функцию самостоятельно определяемой деинкапсуляции пакетов, которая позволяет удалять поля и содержимое инкапсуляции в любой позиции первых 128 байт пакета и выводить их.
Формирование транспортного потока
В то же время, технология управления трафиком используется в выходном интерфейсе для бесперебойной передачи потока данных в инструмент анализа, что принципиально решает проблему потери пакетов, вызванную микроимпульсами, и предотвращает срабатывание аварийных сигналов, связанных с потерей трафика в системе анализа.
Сопоставление ключевых слов в пакете
После того, как содержимое любого поля в полезной нагрузке пакета будет сопоставлено и найдено, соответствующий пакет или поток сеанса пересылается и выводится или отбрасывается в соответствии с требованиями предварительной обработки конкретных данных трафика.
Инкапсуляция туннеля и удаление покрытия
Он поддерживает вывод заголовков пакетов VXLAN, MPLS, GRE, SRV6, FABRICPATCH, GENEVE и других типов в исходный пакет данных после удаления лишних символов.
Разгрузка долгоживущих соединений
В соответствии с потребностями пользователя, любой поток сеанса может быть перенаправлен и выведен в зависимости от количества переданных байтов и количества переданных пакетов, а последующий поток сеанса может быть отброшен, что соответствует требованиям системы анализа бэкэнда в некоторых конкретных сценариях, позволяя получить только часть трафика сеанса, снизить нагрузку на систему анализа трафика и повысить ее эффективность.
Статистический анализ трафика
Программа поддерживает статистику компонентов трафика любого входного интерфейса и может отображать в режиме реального времени графики тенденций трафика, размер/долю трафика по IP-адресам, размер/долю трафика по категориям протоколов приложений, размер/долю трафика по названиям протоколов приложений и информацию о сессиях трафика, а также предоставляет возможность экспорта статистических результатов в локальные файлы. Таким образом, пользователи могут более четко понимать структуру любого собранного трафика и получать наиболее надежную базу данных для разработки стратегий управления трафиком и изменения бизнес-требований.
Обзорность дорожного движения — базовый анализ данных
Базовый модуль анализа функции визуализации трафика позволяет отображать основную информацию о захваченных данных целевого трафика, такую как количество пакетов, распределение пакетов по одноадресной/многоадресной/широковещательной рассылке, количество сеансовых соединений, распределение протоколов пакетов и размер захваченного трафика.
Анализ видимости трафика — DPI Deep Analysis
Модуль глубокого анализа DPI функции обнаружения видимости дорожного движения позволяет проводить углубленный анализ захваченных данных о целевом трафике с разных точек зрения и представлять подробную статистику в виде графиков и таблиц.
Видимость дорожного движения - анализ пропорций транспортного потока
● Анализ соотношения протоколов транспортного уровня: например, TCP, UDP, ICMP, IGMP, ARP и другие, анализ соотношения пакетов и статистики трафика, а также отображение данных в виде круговой диаграммы.
● Анализ доли IP-трафика: например, статистика трафика, генерируемого различными IP-адресами, рейтинг трафика TOP N на основе IP-адресов и отображение в виде гистограмм.
● Анализ доли приложений в DPI: например, HTTP, QQ, FTP и другие протоколы, количество байтов, статистическое распределение трафика и отображение в виде круговой диаграммы.
Видимость дорожного движения - анализ динамики движения транспорта
В зависимости от различных условий фильтрации, таких как IP-адрес, порт, протокол транспортного уровня, протокол прикладного уровня и другие указанные параметры, данные о трафике, полученные в ходе захвата, могут быть проанализированы и представлены на основе времени выборки. Размер и тенденции трафика могут быть определены путем перемещения ползунка времени и масштабирования статистической детализации, при этом точность может достигать 1 миллисекунды.
Анализ транспортной ситуации по диаграммам потока: видимость движения
В зависимости от различных условий фильтрации, таких как идентификатор потока, IP-адрес, порт, протокол транспортного уровня, протокол прикладного уровня и другие указанные параметры, данные о захваченном трафике могут быть проанализированы и подсчитаны на основе режима потока сессии, то есть с подробным представлением информации о потоке сессии, включая информацию о каждом потоке в виде пятикомпонентной таблицы, тип приложения-передатчика, количество и объем передаваемых пакетов, а также связанный поток данных. На основе этой информации отображается рейтинг. Таким образом, пользователи могут легко выбрать интересующие их типы трафика, что обеспечивает наиболее прямую основу для разработки политик переадресации трафика.
Анализ трафика – анализ пакетов
На основе различных критериев фильтрации, таких как идентификатор пакета, IP-адрес, порт, протокол транспортного уровня, протокол прикладного уровня и другие указанные параметры, данные о захваченном целевом трафике могут быть представлены в виде анализа на уровне каждого пакета, включая:
● Анализ временной метки сбора пакетов
● Анализ ключевой информации о пакетах, такой как SIP, DIP, SMAC, DMAC, протокол, флаг, TTL, длина сообщения, ключевые события.
● Анализ пути передачи пакетов и анимация отображения таких данных, как: время пересылки, задержка пересылки, тип пересылки (маршрутизация, коммутация, межсетевой экран, балансировка нагрузки, NAT).
● Сводная информация о пакете и подробное отображение его структуры
● Анализ количества повторных сборов пакетов.
Обзорность дорожного движения – точный анализ неисправностей
Модуль анализа неисправностей функции обнаружения дефектов в дорожной обстановке может предоставлять различные варианты визуального анализа неисправностей для захваченных данных о дорожном движении, включая:
● Обзор аномальных данных, таких как: результаты анализа сетевых служб, результаты анализа аномальных событий, анализ поведения сетевых процессов (например, количество маршрутизирующих устройств, устройств NAT, межсетевых экранов, устройств балансировки нагрузки, через которые проходят пакеты).
● Анализ сбоев на уровне таблицы потоков, например, типы аномальных событий (соединение отклонено/соединение не отвечает/соединение не передает данные/соединение частично открыто/маршрут сессии недоступен и т. д.), ● Анализ сбоев на уровне пакетов, например: тип аномального события (ошибка контрольной суммы пакета / TTL 0 / ошибка недоступности / ошибка контрольной суммы FCS и т. д.), подробное описание аномальной информации и сведения о соответствующем потоке данных.
● Анализ уязвимостей безопасности, таких как: тип аномального события (DDOS-атака/блокировка брандмауэром/ARP-атака/UDP-флуд/SYN-флуд и т. д.), подробное описание аномальной информации и детали связанного потока данных.
● Анализ сетевых неисправностей, таких как: тип аномального события (петля коммутации/петля маршрутизации/недоступность пути/разрыв канала связи и т. д.), подробное описание аномальной информации и сведения о соответствующем потоке данных.
5-Технические характеристики сетевого пакетного брокера Mylinking™ плюс встроенного обходного коммутатора.
| ML-НПБ-M2000 Сетевой пакетный брокер Mylinking™ плюс встроенный обходной коммутатор Функциональные характеристики | ||||
| Сетевой интерфейс | слот модуля | 4 слота для модулей обхода или мониторинга | ||
| Количество встроенных ссылок | Поддерживает защиту до 16 оптических каналов 1G/10G или 8 оптических каналов 40G/100G. | |||
| Интерфейс мониторинга | Поддерживает максимум 64 интерфейса мониторинга 1G/10GE или 16 интерфейсов мониторинга 40G/100G. | |||
| Интерфейс внеполосного управления | 1 порт Ethernet 10/100/1000 Мбит/с; | |||
| Режим развертывания | Встроенное развертывание | Поддерживать | ||
| развертывание SPAN | Поддерживать | |||
| Функции системы | Встроенный режим развертывания | Специфическая защита от конкатенации потоков | Поддерживать | |
| Защита всей серии потока | Поддерживать | |||
| Балансировка нагрузки | Поддерживать | |||
| Обнаружение сердцебиения | Поддерживать | |||
| Переключение обхода | Поддерживать | |||
| Блокировка движения | Поддерживать | |||
| Зеркальное отображение трафика | Поддерживать | |||
| SSL-прокси | Поддерживать | |||
| режим развертывания SPAN | Базовая обработка трафика | Репликация/агрегация/распределение трафика | Поддерживать | |
| Балансировка нагрузки | Поддерживать | |||
| Фильтрация трафика на основе идентификатора в виде 5-кортежа IP-адрес/протокол/порт. | Поддерживать | |||
| маркировка/модификация/удаление VLAN | Поддерживать | |||
| Отметка времени | Поддерживать | |||
| туннельная инкапсуляция и удаление | Поддерживать | |||
| Разделение данных на фрагменты | Поддерживать | |||
| Идентификация протокола туннелирования | Поддерживать | |||
| Приоритет пересылки пакетов | Поддерживать | |||
| Аномальное предупреждение | Поддерживать | |||
| Интерфейс в режиме горячего резерва | Поддерживать | |||
| Измерение микроимпульсов | Поддерживать | |||
| защита от колебаний интерфейса | Поддерживать | |||
| Выход инкапсуляции туннеля | Поддерживать | |||
| Завершение туннельного пакета | Поддерживать | |||
| Расширенная обработка трафика | Обход расшифровки SSL | Поддерживать | ||
| Дедупликация данных | Поддерживать | |||
| Маскирование данных | Поддерживать | |||
| Идентификация протокола прикладного уровня | Поддерживать | |||
| Индивидуальная декапсуляция | Поддерживать | |||
| Формирование потока | Поддерживать | |||
| Сопоставление ключевых слов | Поддерживать | |||
| туннельная инкапсуляция и удаление | Поддерживать | |||
| Разгрузка долгоживущего соединения | Поддерживать | |||
| Наблюдение за компонентами потока | Поддерживать | |||
| Диагностика и мониторинг | Мониторинг в режиме реального времени | Поддерживать | ||
| Запрос исторических данных о трафике | Поддерживать | |||
| Захват трафика | Поддерживать | |||
| Обнаружение визуализации трафика | Фундаментальный анализ | Поддерживает сводное статистическое отображение на основе базовой информации, такой как количество пакетов, распределение типов пакетов, количество сеансовых соединений и распределение протоколов пакетов. | ||
| Углубленный анализ DPI | Он поддерживает анализ доли протоколов транспортного уровня, доли одноадресной, широковещательной и многоадресной рассылки, доли IP-трафика и доли приложений DPI. Он поддерживает анализ и представление содержимого данных на основе времени выборки и объема данных. Он поддерживает анализ данных и статистику на основе потоков сессий. | |||
| Точный анализ неисправностей | Поддерживает анализ и локализацию неисправностей с использованием данных о трафике с различных точек зрения, включая: анализ поведения при передаче пакетов, анализ неисправностей на уровне потока данных, анализ неисправностей на уровне пакетов данных, анализ неисправностей, связанных с безопасностью, и анализ неисправностей, связанных с сетью. | |||
| Производственная мощность | 2,4 Тбит/с | |||
| Управлять | Управление сетью через консоль | Поддерживать | ||
| Управление IP/веб-сетями | Поддерживать | |||
| Управление сетью по протоколу SNMP | Поддерживать | |||
| Управление сетью TELNET/SSH | Поддерживать | |||
| Протокол SYSLOG | Поддерживать | |||
| Централизованная авторизация и аутентификация RADIUS или TADACS+ | Поддерживать | |||
| Функция аутентификации пользователя | аутентификация по имени пользователя и паролю | |||
| Электрический | Номинальное напряжение питания | AC-220V/DC-48V [Опционально] | ||
| Номинальная частота мощности | AC-50HZ | |||
| Номинальный входной ток | AC-3A / DC-10A | |||
| Номинальная функциональная мощность | Максимальная мощность 300 Вт | |||
| Среда | Рабочая температура | 0—50℃ | ||
| Температура хранения | -20-70℃ | |||
| Рабочая влажность | 10%-95%, неконденсирующийся | |||
| Пользовательская конфигурация | Конфигурация консоли | Интерфейс RS232, 115200, 8, N, 1 | ||
| аутентификация по паролю | Sподдержка | |||
| Размер стойки | Место в стойке (U) | 2U 444 мм*88 мм*670 мм | ||
6-Приложение Mylinking™ Network Packet Broker plus Inline Bypass Switch
6.1ОнRрискВстроенный SбезопасностьEоборудование (IPS / FW)
Ниже представлен типичный режим развертывания IPS (системы предотвращения вторжений) и FW (брандмауэра): IPS/FW развертываются последовательно на сетевом оборудовании (маршрутизаторах, коммутаторах и т. д.), осуществляя проверки безопасности между трафиками. В соответствии с соответствующей политикой безопасности определяется разрешение или блокировка соответствующего трафика для достижения эффекта защиты.
Ниже представлен типичный режим развертывания IPS (системы предотвращения вторжений) и FW (брандмауэра): IPS/FW развертываются последовательно на сетевом оборудовании (маршрутизаторах, коммутаторах и т. д.), осуществляя проверки безопасности между трафиками. В соответствии с соответствующей политикой безопасности определяется разрешение или блокировка соответствующего трафика для достижения эффекта защиты.
6.2 Защита оборудования серии Inline Link
Сетевой пакетный брокер Mylinking™ в сочетании с встроенным обходным коммутатором развертывается последовательно между сетевыми устройствами (маршрутизаторами, коммутаторами и т. д.), и поток данных между сетевыми устройствами больше не направляется напрямую к IPS/FW, а к IPS/FW осуществляется «интеллектуальный встроенный обходной коммутатор». В случае перегрузки, сбоя, обновления программного обеспечения, обновления политик и других причин отказа IPS/FW, «интеллектуальный встроенный обходной коммутатор» благодаря функции интеллектуального обнаружения сигналов пульса своевременно обнаруживает неисправное устройство, минуя его, и не прерывает работу сети, обеспечивая быстрое прямое подключение сетевого оборудования и защиту нормальной связи. В случае восстановления после сбоя IPS/FW, функция интеллектуального обнаружения сигналов пульса также обеспечивает своевременное обнаружение неисправности и восстановление исходного соединения для проверки безопасности корпоративной сети.
Сетевой пакетный брокер Mylinking™ плюс встроенный обходной коммутатор обладает мощной интеллектуальной функцией обнаружения сигналов пульса. Пользователь может настроить интервал пульса и максимальное количество повторных попыток. Для проверки работоспособности IPS/FW можно отправить пользовательское сообщение пульса на восходящий/нисходящий порт IPS/FW, а затем получить его оттуда и определить, работает ли IPS/FW нормально.
6.3 Встроенная политика “SpecFlow”БезопасностьСерийная защита
Когда сетевому устройству безопасности необходимо обрабатывать только определенный трафик в рамках последовательной защиты, благодаря функции предварительной обработки трафика с помощью сетевого пакетного брокера Mylinking™ и встроенного обходного коммутатора, политика фильтрации трафика направляет «соответствующий» трафик обратно в сетевой канал, а «соответствующий участок трафика» передается встроенному устройству безопасности для проведения проверок безопасности. Это не только обеспечивает нормальное функционирование функции обнаружения безопасности устройства, но и снижает неэффективную нагрузку на оборудование безопасности; одновременно «умный встроенный обходной коммутатор» может в режиме реального времени определять рабочее состояние устройства безопасности. При нештатной ситуации устройство безопасности напрямую обходит трафик данных, чтобы избежать сбоев в работе сети.
Сетевой пакетный брокер Mylinking™ в сочетании с коммутатором Inline Bypass позволяет идентифицировать трафик на основе идентификаторов заголовков уровней L2-L4, таких как тег VLAN, MAC-адрес источника/назначения, IP-адрес источника, тип IP-пакета, порт протокола транспортного уровня, ключевой тег заголовка протокола и т. д. Можно гибко задавать различные условия сопоставления для определения конкретных типов трафика, представляющих интерес для конкретного устройства безопасности, и широко использовать его для развертывания специализированных устройств аудита безопасности (RDP, SSH, аудит баз данных и т. д.).
6.4Lсбалансированная дорогаВстроенная безопасностьСерийная защита
Сетевой пакетный брокер Mylinking™ в сочетании с встроенным коммутатором обхода устанавливается последовательно между сетевыми устройствами (маршрутизаторами, коммутаторами и т. д.). Когда производительности обработки одной системы IPS/FW недостаточно для решения пиковых нагрузок на сетевом канале, функция балансировки нагрузки защитного устройства, «объединяющая» обработку трафика несколькими кластерами IPS/FW, позволяет эффективно снизить нагрузку на отдельную систему IPS/FW и повысить общую производительность обработки для обеспечения высокой пропускной способности в условиях развертывания.
Mylinking™ Network Packet Broker plus Inline Bypass Switch обладает мощной функцией балансировки нагрузки, распределяя трафик на основе тега VLAN кадра, информации MAC, IP-адреса, номера порта, протокола и другой информации, обеспечивая целостность сеанса при получении данных каждым IPS/FW.
6.5МногосерийныйВстроенное оборудование FнизкийTреакцияPзащита(ИзменятьФизическийПоследовательное соединение кЛогическийПараллельное соединение)
В некоторых ключевых звеньях (таких как интернет-розетки, коммутаторы серверной зоны) местоположение часто определяется необходимостью обеспечения безопасности и развертывания множества средств тестирования безопасности (таких как межсетевые экраны, средства защиты от DDoS-атак, межсетевые экраны веб-приложений, средства предотвращения вторжений и т. д.), а также одновременного последовательного размещения нескольких средств обнаружения угроз на звене, что увеличивает вероятность отказа одного звена и снижает общую надежность сети. Кроме того, развертывание, модернизация и замена вышеупомянутого оборудования безопасности в режиме онлайн приводят к длительным перебоям в работе сети и требуют масштабных сокращений для успешной реализации подобных проектов.
Благодаря унифицированному развертыванию сетевого пакетного брокера Mylinking™ и встроенного коммутатора обхода, режим работы нескольких устройств безопасности, соединенных последовательно по одному каналу связи, может быть изменен с «режима физического последовательного соединения» на «режим физического параллельного соединения, но логического последовательного соединения». Это эффективно снижает источники единой точки отказа на последовательном канале связи и повышает его надежность. В то же время, сетевой пакетный брокер Mylinking™ и встроенный коммутатор обхода могут направлять трафик канала связи по запросу, обеспечивая тот же эффект обработки безопасности трафика, что и в исходном режиме последовательного соединения.
Схема последовательного развертывания более чем одного устройства Inline Security одновременно:
Схема развертывания сетевого пакетного брокера Mylinking™ плюс встроенного обходного коммутатора:
(Измените тип подключения с физического последовательного на логический параллельный)
6.6Исходя изDдинамическая политикаTтранспортная доступность в потокеSбезопасностьDобнаружениеPзащита
Mylinking™ Network Packet Broker плюс Inline Bypass Switch — еще один передовой сценарий применения, основанный на динамической политике защиты трафика и обнаружения угроз, развертывание которого показано ниже:
Рассмотрим, к примеру, оборудование для тестирования безопасности «Защита от DDoS-атак и обнаружение», которое, используя «умный обходной коммутатор» (Smart Bypass Switch), подключается к нему через устройство защиты от DDoS-атак. В обычном режиме «умный обходной коммутатор» осуществляет пересылку трафика на полной скорости, одновременно передавая зеркальный вывод потока на устройство защиты от DDoS-атак. После обнаружения атаки на IP-адрес сервера (или сегмент IP-сети) устройство защиты от DDoS-атак генерирует правила сопоставления целевого трафика и отправляет их на «умный обходной коммутатор» через интерфейс динамической доставки политик. «Обходной коммутатор» может обновлять «динамический трафик» после получения пула правил динамической политики и немедленно передавать правила, применяемые к трафику атакующего сервера, на устройство защиты от DDoS-атак и обнаружения для обработки, чтобы они вступили в силу после атаки и были повторно внедрены в сеть.
Схема применения, основанная на «умном обходном коммутаторе», проще в реализации, чем традиционная инъекция маршрутов BGP или другие схемы управления трафиком, при этом она менее зависима от сети и обладает более высокой надежностью.
«Интеллектуальный обходной переключатель» обладает следующими характеристиками для поддержки динамической защиты от обнаружения угроз с помощью политик безопасности:
1. «Умный обходной переключатель» обеспечивает обход правил на основе веб-интерфейса, а также простую интеграцию с устройствами безопасности сторонних производителей.
2. «Интеллектуальный обходной коммутатор» на основе аппаратного обеспечения, использующего микросхему ASIC для пересылки пакетов со скоростью до 100 Гбит/с без блокировки коммутатора, а также «библиотека динамических правил управления трафиком» независимо от количества пакетов.
3. Встроенная профессиональная функция обхода "Smart Bypass Switch" позволяет даже в случае отказа самого защитного устройства немедленно обойти исходный последовательный канал связи, не влияя на нормальную работу исходного канала связи.
6.7Встроенное зеркалирование последовательного трафикадля внеполосной защиты (Inline + SPAN)
Устройство Mylinking™ Network Packet Broker в сочетании с Inline Bypass Switch обычно развертывается в ИТ-сети заказчика или сети облачной платформы для обеспечения встроенной защиты устройств WAF/IPS и исходного канала связи. У пользователей также могут быть дополнительные требования к тестированию, проверке или развертыванию устройств мониторинга обхода, что требует сбора данных о трафике на этом канале связи.
Таким образом, используя функцию зеркалирования трафика сетевого пакетного брокера Mylinking™ и коммутатора Inline Bypass, трафик последовательного канала связи может быть зеркалирован с порта мониторинга, как показано на следующем рисунке:
Приведенная ниже диаграмма иллюстрирует расширенный сценарий применения трафика в линейном канале связи и трафика зеркальных портов коммутатора. Это позволяет защитить трафик в линейном канале связи, не подвергаясь влиянию трафика зеркальных портов коммутатора. Система анализа IDS может одновременно отслеживать как трафик в линейном канале связи, так и трафик зеркальных портов коммутатора. Метод развертывания показан на диаграмме ниже:
6.8Дедупликация данных/пакетовПриложение
Как показано в структуре развертывания приложения выше, для обеспечения целостности исходного сбора данных по всему каналу связи некоторые идентичные пакеты данных могут собираться несколько раз в пределах одного пути. Это приводит к увеличению количества ложных срабатываний и повторных передач в бэкэнд-системе, повышению накладных расходов на производительность аналитической системы и влиянию на точность и эффективность анализа. В предлагаемом решении сначала дублируются пакеты данных, которые дедуплицируются на разных узлах захвата. Только один пакет данных пересылается в бэкэнд-систему анализа производительности сети NPM и систему анализа производительности приложений APM, что позволяет экономить ресурсы аналитической системы и повышать эффективность и точность анализа.
6.9Данные/ПакетVLAN TaggингПриложение
В сетевой среде, показанной на диаграмме выше, данное решение используется для маркировки необработанных данных с различных сетевых устройств и узлов связи. При возникновении аномального трафика или пакетов данных в сети, оборудование для анализа данных может быстро и точно определить источник аномальных данных, отслеживая их на основе меток данных.
6.10 Сетевой трафикЕдиное расписаниеПриложение
В сетевой среде, показанной на диаграмме выше, данные с нескольких каналов 10GE, 25GE, 40GE и 100GE полностью поступают в сетевой пакетный брокер Mylinking™ плюс коммутатор Inline Bypass с использованием оптического разделения или зеркалирования портов. Затем фильтрация и разделение трафика используются для вывода различных сервисных данных на различные устройства мониторинга сети и системы безопасности. Когда аномалии сетевых пакетов или аномальные колебания трафика требуют ручного вмешательства, можно немедленно выполнить захват и анализ исходных пакетов данных в режиме реального времени, чтобы помочь пользователям быстро проанализировать и обнаружить неисправность.
6.11СетьАнализ видимости данных о дорожном движенииПриложение
Она позволяет представлять любые обнаруженные и собранные данные в многомерном и многоперспективном виде через удобный графический и текстовый интерактивный интерфейс, включая структуру состава трафика, распределение протоколов приложений, распределение трафика всех сетевых узлов, путь передачи данных, обнаружение аномальных событий, точное местоположение неисправностей сетевых элементов/каналов, состояние взаимодействия сообщений, тенденции развития трафика и другие аспекты для мониторинга и анализа, тем самым создавая комплексную, наглядную и контролируемую платформу для сбора данных и обеспечения безопасности корпоративных сетей.
Категории товаров
-
Сетевой пакетный брокер Mylinking™ (NPB) ML-NPB-4810P
-
Сетевой пакетный брокер Mylinking™ (NPB) ML-NPB-54...
-
Mylinking™ Network Packet Broker (NPB) ML-NPB-3210+
-
Mylinking™ Network Packet Broker (NPB) ML-NPB-6410+
-
Сетевой пакетный брокер Mylinking™ (NPB) ML-NPB-3210L
-
Сетевой пакетный брокер Mylinking™ (NPB) ML-NPB-2410
