1- Что такое пакет Define Heartbeat?
Пакеты тактовых импульсов коммутатора Mylinking™ Network Tap Bypass по умолчанию представляют собой кадры Ethernet уровня 2. При использовании прозрачного режима моста уровня 2 (например, IPS/FW) кадры Ethernet уровня 2 обычно пересылаются, блокируются или отбрасываются. Кроме того, коммутатор Mylinking™ Network Tap Bypass поддерживает настраиваемый формат сообщений тактовых импульсов, что позволяет избежать ситуаций, когда некоторые специальные последовательные устройства безопасности не могут пересылать обычные кадры Ethernet уровня 2.
Сетевой коммутатор Mylinking™ также поддерживает обнаружение пакетов Heartbeat на основе тега VLAN и пользовательских типов сообщений уровня 3 и уровня 4. Используя этот механизм, пользователь может реализовать функцию проверки безопасности сервиса устройства безопасности соединения, чтобы повысить эффективность и гарантировать корректную работу соответствующих сервисов безопасности.
Сетевой коммутатор Mylinking™ поддерживает отправку различных пакетов тактовых импульсов в обоих направлениях. Например, пакеты тактовых импульсов типов TCP и UDP настраиваются в «Strategy Traffic Traction Protector» в соответствии с особенностями последовательного устройства. Вы можете настроить отправку пакетов тактовых импульсов TCP на порт A восходящего монитора и отправку пакетов тактовых импульсов UDP на порт B нисходящего монитора для обеспечения работы механизма пересылки сообщений последовательного устройства безопасности. Эта функция позволяет более эффективно гарантировать последовательность. Подключите оборудование безопасности к нормальному режиму работы.
Сетевой обходной коммутатор Mylinking™ разработан и предназначен для гибкого развертывания различных типов последовательного оборудования безопасности, обеспечивая при этом высокую надежность сети.
Расширенные функции и технологии двухсетевого обходного коммутатора
Технология режима защиты Mylinking™ «SpecFlow» и режима защиты «FullLink»
Технология защиты быстрого обходного переключения Mylinking™
Технология Mylinking™ «LinkSafeSwitch»
Технология динамической пересылки/выпуска стратегий Mylinking™ «WebService»
Интеллектуальная технология обнаружения сообщений о сердечном ритме Mylinking™
Технология определяемых сообщений о сердечном ритме Mylinking™
Технология многоканальной балансировки нагрузки Mylinking™
Технология интеллектуального распределения трафика Mylinking™
Технология динамической балансировки нагрузки Mylinking™
Технология удаленного управления Mylinking™ (HTTP/WEB, TELNET/SSH, характеристика «EasyConfig/AdvanceConfig»)
Применение 3-сетевого встроенного обходного переключателя (как указано ниже)
3.1 Риск встроенного оборудования безопасности (IPS/FW)
Ниже приведен типичный режим развертывания IPS (системы предотвращения вторжений), FW (межсетевого экрана). IPS/FW развертываются последовательно на сетевом оборудовании (маршрутизаторах, коммутаторах и т. д.) между трафиком путем реализации проверок безопасности, согласно соответствующей политике безопасности для определения освобождения или блокировки соответствующего трафика для достижения эффекта защиты безопасности.
В то же время мы можем рассматривать IPS/FW как последовательное развертывание оборудования, обычно развертываемого в ключевых местах корпоративной сети для реализации последовательной безопасности. Надёжность подключенных к нему устройств напрямую влияет на общую доступность корпоративной сети. Перегрузка, сбой, обновление программного обеспечения, обновление политик и т. д. последовательных устройств значительно повлияют на доступность всей корпоративной сети. В этот момент мы можем восстановить сеть только через отключение сети, физическую обходную перемычку, что серьёзно влияет на надёжность сети. IPS/FW и другие последовательные устройства, с одной стороны, улучшают развертывание безопасности корпоративной сети, с другой стороны, также снижают надёжность корпоративных сетей, увеличивая риск недоступности сети.
3.2 Защита оборудования серии Inline Link
Mylinking™ «Network Inline Bypass» последовательно развертывается между сетевыми устройствами (маршрутизаторами, коммутаторами и т. д.), и поток данных между сетевыми устройствами больше не ведет напрямую к IPS / FW, «Network Inline Bypass» к IPS / FW, когда IPS / FW из-за перегрузки, сбоя, обновления программного обеспечения, обновления политики и других условий сбоя, «Network Inline Bypass» через интеллектуальное обнаружение сообщений Heartbeat Функция своевременного обнаружения и, таким образом, пропускает неисправное устройство, не прерывая предпосылку сети, быстрое сетевое оборудование напрямую подключено для защиты нормальной сети связи; когда восстановление сбоя IPS / FW, но также через интеллектуальное обнаружение пакетов Heartbeat Своевременное обнаружение функции, исходное соединение восстанавливает безопасность проверки безопасности корпоративной сети.
Mylinking™ «Network Inline Bypass» имеет мощную интеллектуальную функцию обнаружения сообщений о тактовом сигнале. Пользователь может настраивать интервал между отправками и максимальное количество повторных попыток с помощью настраиваемого сообщения о тактовом сигнале на IPS/FW для проверки работоспособности, например, отправлять сообщение о проверке тактового сигнала на восходящий/нисходящий порт IPS/FW, а затем получать его с восходящего/нисходящего порта IPS/FW и судить о том, нормально ли работает IPS/FW, отправляя и получая сообщение о тактовом сигнале.
3.3 Политика «SpecFlow» Поток Встроенная Защита Тяговой Серии
Когда сетевому устройству безопасности необходимо обрабатывать только определенный трафик в последовательной защите безопасности, через функцию Mylinking™ «Network Inline Bypass» для каждой обработки трафика, через стратегию проверки трафика для подключения устройства безопасности «Соответствующий» трафик отправляется обратно непосредственно в сетевое соединение, а «соответствующий участок трафика» тянется к встроенному устройству безопасности для выполнения проверок безопасности. Это не только обеспечит нормальное применение функции обнаружения безопасности устройства безопасности, но и сократит неэффективный поток оборудования безопасности для борьбы с давлением; в то же время «Network Inline Bypass» может обнаруживать рабочее состояние устройства безопасности в режиме реального времени. Устройство безопасности работает ненормально, обходит трафик данных напрямую, чтобы избежать нарушения обслуживания сети.
3.4 Последовательная защита с балансировкой нагрузки
Технология Mylinking™ «Network Inline Bypass» последовательно подключается к сетевым устройствам (маршрутизаторам, коммутаторам и т. д.). Когда производительности обработки одного IPS/FW недостаточно для обработки пикового трафика сетевого соединения, функция балансировки нагрузки устройства защиты, объединяющая несколько кластеров IPS/FW, обрабатывающих трафик сетевого соединения, позволяет эффективно снизить нагрузку на обработку одного IPS/FW и повысить общую производительность обработки, удовлетворяя требованиям высокой пропускной способности среды развертывания.
Mylinking™ «Network Inline Bypass» имеет мощную функцию балансировки нагрузки, в соответствии с тегом VLAN фрейма, информацией MAC, информацией IP, номером порта, протоколом и другой информацией о распределении хэш-нагрузки балансировки трафика, чтобы гарантировать целостность сеанса каждого полученного IPS/FW потока данных.
3.5 Защита от тяги многопоточного оборудования (изменение последовательного соединения на параллельное)
В некоторых ключевых соединениях (например, интернет-розетках, каналах обмена данными между серверами) местоположение часто обусловлено потребностями в функциях безопасности и развертыванием нескольких встроенных устройств тестирования безопасности (таких как межсетевые экраны, системы защиты от DDOS-атак, межсетевые экраны веб-приложений, системы предотвращения вторжений и т. д.). Одновременное последовательное подключение нескольких устройств обнаружения безопасности на одном соединении увеличивает вероятность отказа одной точки соединения и снижает общую надежность сети. Кроме того, в вышеупомянутых случаях оперативное развертывание оборудования безопасности, модернизация оборудования, замена оборудования и другие операции приведут к длительному перерыву в работе сети и значительному сокращению проекта для успешного завершения таких проектов.
Развертывание «сетевого внутреннего обхода» унифицированным образом позволяет изменить режим развертывания нескольких устройств безопасности, последовательно подключенных к одному каналу связи, с «режима физической конкатенации» на «режим физической конкатенации, логической конкатенации». Соединение на линии связи с единой точкой отказа повышает надежность связи, в то время как «сетевой внутренний обход» на линии связи по требованию тяги позволяет достичь того же потока с исходным режимом безопасной обработки.
Схема последовательного развертывания более одного устройства безопасности одновременно:
Схема развертывания сетевого обходного коммутатора:
3.6 На основе динамической стратегии обнаружения нарушений правил дорожного движения
«Сетевой встроенный обход». Другой передовой сценарий применения основан на динамической стратегии приложений обнаружения и защиты дорожного движения, развертывание которых показано ниже:
Возьмите, например, оборудование для тестирования безопасности «Защита от DDoS-атак и их обнаружение», например, через фронтальное развертывание «Сетевого обхода» и затем оборудование защиты от DDOS, а затем подключите к «Сетевому обходу», в обычном «Защитнике тяги» для полного объема трафика, пересылаемого со скоростью провода, в то же время поток зеркалируется на «Устройство защиты от DDOS-атак», как только обнаружено, что IP-адрес сервера (или сегмент сети IP) после атаки, «Устройство защиты от DDOS-атак» сгенерирует правила сопоставления целевого потока трафика и отправит их в «Сетевой обход» через интерфейс доставки динамической политики. «Сетевой обход» может обновить «динамику тяги трафика» после получения динамических правил политики «Пул правил» и немедленно «правило попало на атакующий сервер трафика» тяги на оборудование «Защита от DDoS-атак и их обнаружение» для обработки, чтобы быть эффективным после потока атаки, а затем повторно введено в сеть.
Схема применения на основе «сетевого внутреннего обхода» проще в реализации, чем традиционная инъекция маршрута BGP или другая схема перенаправления трафика, а окружающая среда меньше зависит от сети, а надежность выше.
«Сетевой встроенный обход» имеет следующие характеристики для поддержки динамической политики обнаружения безопасности:
1. «Сетевой встроенный обход» для обеспечения выхода за рамки правил на основе интерфейса WEBSERIVCE, простая интеграция со сторонними устройствами безопасности.
2. «Сетевой встроенный обход» на основе чисто аппаратного чипа ASIC, пересылающего пакеты со скоростью до 10 Гбит/с без блокировки пересылки коммутатором, и «библиотека динамических правил перемещения трафика» независимо от количества.
3. Встроенная профессиональная функция BYPASS «Network Inline Bypass» позволяет даже в случае отказа самого защитного устройства немедленно обойти исходный последовательный канал, не влияя на исходный канал нормальной связи.
Время публикации: 23 декабря 2021 г.
