1. Что такое пакет Define Heartbeat?
Пакеты Heartbeat коммутатора Mylinking™ Network Tap по умолчанию представляют собой кадры Ethernet Layer 2. При развертывании режима прозрачного моста уровня 2 (например, IPS/FW) кадры Ethernet уровня 2 обычно пересылаются, блокируются или отбрасываются. В то же время, Mylinking™ Network Tap Bypass Switch поддерживает собственный формат сообщений тактового сигнала, чтобы удовлетворить ситуацию, когда некоторые специальные последовательные устройства безопасности не могут нормально пересылать обычные кадры Ethernet уровня 2.
А обходной коммутатор Mylinking™ Network Tap также поддерживает обнаружение пакетов пульса на основе тега VLAN, а также пользовательских типов сообщений уровня 3 и уровня 4. На основе этого механизма пользователь может реализовать функцию проверки безопасности службы устройства безопасности соединения, чтобы сделать ее более эффективной и гарантировать правильную работу соответствующих служб безопасности.
Mylinking™ Network Tap Bypass Switch может поддерживать отправку монитором различных пакетов пульса в обоих направлениях. Например, пакеты контрольного сигнала типа TCP и UDP настраиваются в «Strategy Traffic Traction Protector» в соответствии с особенностями последовательного устройства. Вы можете настроить отправку контрольных пакетов TCP на порт монитора A восходящей линии связи и отправку пакетов пульса UDP на порт монитора B нисходящей линии связи, чтобы обеспечить механизм пересылки сообщений последовательного устройства безопасности. Эта функция может более эффективно гарантировать строку. Подключите защитное оборудование к нормальной работе.
Сетевой обходной переключатель Mylinking™ исследован и разработан для гибкого развертывания различных типов последовательного оборудования безопасности, обеспечивая при этом высокую надежность сети.
2-сетевой линейный обходной переключатель. Расширенные функции и технологии.
Режим защиты Mylinking™ «SpecFlow» и технология режима защиты «FullLink»
Технология защиты от быстрого переключения Mylinking™
Технология Mylinking™ «LinkSafeSwitch»
Технология динамической стратегии пересылки/выдачи Mylinking™ «WebService»
Интеллектуальная технология обнаружения сообщений Mylinking™ Heartbeat
Технология настраиваемых сообщений Mylinking™ Heartbeat
Технология многоканальной балансировки нагрузки Mylinking™
Интеллектуальная технология распределения трафика Mylinking™
Технология динамической балансировки нагрузки Mylinking™
Технология удаленного управления Mylinking™ (HTTP/WEB, TELNET/SSH, характеристика «EasyConfig/AdvanceConfig»)
3-сетевой линейный обходной переключатель (как показано ниже)
3.1 Риск встроенного оборудования безопасности (IPS/FW)
Ниже приведен типичный режим развертывания IPS (системы предотвращения вторжений), FW (брандмауэра), IPS/FW развертывается последовательно на сетевом оборудовании (маршрутизаторах, коммутаторах и т. д.) между трафиком посредством реализации проверок безопасности, в соответствии с соответствующая политика безопасности для определения выпуска или блокировки соответствующего трафика для достижения эффекта защиты безопасности.
В то же время мы можем наблюдать IPS/FW как последовательное развертывание оборудования, обычно развертываемого в ключевом месте корпоративной сети для реализации последовательной безопасности, надежность подключенных к нему устройств напрямую влияет на общую доступность сети предприятия. Перегрузка, сбой последовательных устройств, обновления программного обеспечения, обновления политик и т. д. сильно повлияют на доступность всей корпоративной сети. На данный момент мы можем восстановить сеть только через обрыв сети, перемычку физического обхода, что серьезно повлияет на надежность сети. IPS/FW и другие последовательные устройства, с одной стороны, улучшают развертывание безопасности корпоративной сети, с другой стороны, также снижают надежность корпоративных сетей, увеличивая риск недоступности сети.
3.2 Защита оборудования серии Inline Link
Mylinking™ «Inline Bypass» развертывается последовательно между сетевыми устройствами (маршрутизаторами, коммутаторами и т. д.), и поток данных между сетевыми устройствами больше не ведет напрямую к IPS/FW, «Network Inline Bypass» к IPS/FW, когда IPS / FW из-за перегрузки, сбоя, обновлений программного обеспечения, обновлений политики и других условий сбоя, «Встроенный сетевой обход» посредством интеллектуального обнаружения сообщений Heartbeat. Функция своевременного обнаружения и, таким образом, пропускает неисправное устройство, не прерывая работу помещения. сеть, быстрое сетевое оборудование, напрямую подключенное для защиты нормальной сети связи; при восстановлении сбоя IPS / FW, но и с помощью интеллектуальных пакетов пульса. Обнаружение своевременного обнаружения функции, исходная ссылка для восстановления безопасности проверок безопасности корпоративной сети.
Mylinking™ «Встроенный сетевой обход» имеет мощную интеллектуальную функцию обнаружения сообщений о тактовом сигнале. Пользователь может настроить интервал тактового сигнала и максимальное количество повторов с помощью специального тактового сообщения на IPS/прошивке для проверки работоспособности, например, отправить контрольный сигнал сообщение на восходящий/нисходящий порт IPS/FW, а затем получить от восходящего/нисходящего порта IPS/FW и оценить, работает ли IPS/FW нормально, отправляя и получая сообщение Heartbeat.
3.3 Поток политики «SpecFlow» Защита серии Inline Traction
Когда сетевому устройству безопасности необходимо иметь дело только с определенным трафиком в последовательной защите безопасности, с помощью функции обработки трафика Mylinking™ «Inline Bypass» с помощью стратегии проверки трафика для подключения устройства безопасности. Обеспокоенный «трафик отправляется обратно». непосредственно к сетевому каналу, а «соответствующий участок трафика» подключается к встроенному устройству безопасности для выполнения проверок безопасности. Это не только обеспечит нормальное применение функции обнаружения безопасности защитного устройства, но также уменьшит неэффективный поток защитного оборудования для борьбы с давлением; в то же время «Сетевой встроенный обход» может определять рабочее состояние защитного устройства в режиме реального времени. Устройство безопасности работает ненормально, напрямую пропуская трафик данных, чтобы избежать нарушения сетевого обслуживания.
3.4 Последовательная защита со сбалансированной нагрузкой
Mylinking™ «Network Inline Bypass» применяется последовательно между сетевыми устройствами (маршрутизаторами, коммутаторами и т. д.). Когда производительности обработки одного IPS/FW недостаточно для обработки пикового трафика сетевого канала, функция балансировки трафика предохранителя, «объединение» нескольких кластеров IPS/FW, обрабатывающих сетевой трафик, может эффективно уменьшить одиночный IPS/FW. Давление обработки FW, повышение общей производительности обработки для обеспечения высокой пропускной способности среды развертывания.
Mylinking™ «Inline Bypass» имеет мощную функцию балансировки нагрузки в соответствии с тегом VLAN кадра, информацией MAC, информацией IP, номером порта, протоколом и другой информацией о распределении хэш-балансировки нагрузки трафика, чтобы гарантировать, что каждый полученный IPS / FW поток данных. Целостность сеанса.
3.5 Защита от тяги многосерийного линейного оборудования (изменение последовательного соединения на параллельное)
В некоторых ключевых ссылках (таких как интернет-магазины, каналы обмена серверными зонами) местоположение часто обусловлено потребностями функций безопасности и развертыванием множественного встроенного оборудования для тестирования безопасности (например, межсетевого экрана, оборудования для защиты от DDOS-атак, межсетевого экрана веб-приложений). , оборудование для предотвращения вторжений и т. д.), несколько устройств обнаружения безопасности одновременно последовательно включены в ссылку, чтобы увеличить связь с одной точкой отказа, снижая общую надежность сети. А в ходе вышеупомянутого онлайн-развертывания оборудования безопасности, модернизации оборудования, замены оборудования и других операций, это приведет к длительному перерыву в обслуживании сети и более масштабным действиям по сокращению проекта для завершения успешной реализации таких проектов.
Путем унифицированного развертывания «Сетевого встроенного обхода» режим развертывания нескольких устройств безопасности, подключенных последовательно по одному и тому же каналу, можно изменить с «режима физической конкатенации» на «режим физической конкатенации, логического конкатенации». Ссылка на ссылку единой точки отказа для повышения надежности связи, в то время как «Сетевой встроенный обход» на линии потока по требованию тяги, чтобы достичь того же потока с исходным режимом безопасной обработки эффекта.
Более одного устройства безопасности одновременно на схеме последовательного развертывания:
Схема развертывания сетевого обходного переключателя:
3.6 На основе динамической стратегии защиты от обнаружения безопасности движения
«Встроенный обход сети». Другой сценарий расширенного приложения основан на динамической стратегии приложений защиты от обнаружения трафика, развертывание которого показано ниже:
Возьмите оборудование для тестирования безопасности «Защита и обнаружение DDoS-атак», например, посредством внешнего развертывания «Встроенного сетевого обхода», а затем оборудования защиты от DDOS, а затем подключите его к «Встроенному обходу сети» в обычный «Защитник тяги» для перенаправления всего объема трафика на скорости провода, в то же время выход зеркала потока на «устройство защиты от DDOS-атак», однажды обнаруженное для IP-адреса сервера (или сегмента IP-сети) после атаки, «Устройство защиты от DDOS-атак» сгенерирует правила сопоставления целевого потока трафика и отправит их в «Внутренний обход сети» через интерфейс динамической доставки политик. «Встроенный обход сети» может обновлять «динамику тяги трафика» после получения правил динамической политики. Правило «Пул пула правил» и «немедленно» попадает в «трафик» трафика атакующего сервера на «оборудование для защиты и обнаружения анти-DDoS-атак» для обработки, чтобы быть эффективным после потока атаки, а затем повторно внедряться в сеть.
Схема приложения, основанная на «Inline Bypass сети», проще в реализации, чем традиционное внедрение маршрута BGP или другая схема захвата трафика, а среда меньше зависит от сети и надежность выше.
«Сетевой встроенный обход» имеет следующие характеристики для поддержки динамической защиты при обнаружении политики безопасности:
1, «Внутренний обход сети», обеспечивающий вне правил на основе интерфейса WEBSERIVCE, простую интеграцию со сторонними устройствами безопасности.
2, «Внутренний обход сети» на основе аппаратного чистого чипа ASIC, пересылающего пакеты со скоростью до 10 Гбит / с без блокировки пересылки коммутатора, и «библиотека динамических правил тяги трафика» независимо от количества.
3. Встроенная профессиональная функция ОБХОДА «Встроенный сетевой обход», даже если сам предохранитель выходит из строя, также может немедленно обойти исходный последовательный канал, не влияет на исходный канал нормальной связи.
Время публикации: 23 декабря 2021 г.