1- Что такое пакет Define Heartbeat?
Пакеты heartbeat коммутатора Mylinking™ Network Tap Bypass по умолчанию являются кадрами Ethernet уровня 2. При развертывании прозрачного режима моста уровня 2 (например, IPS / FW) кадры Ethernet уровня 2 обычно пересылаются, блокируются или отбрасываются. В то же время коммутатор Mylinking™ Network Tap Bypass поддерживает пользовательский формат сообщений heartbeat для решения ситуации, когда некоторые специальные последовательные устройства безопасности не могут нормально пересылать обычные кадры Ethernet уровня 2.
А сетевой обходной коммутатор Mylinking™ также поддерживает обнаружение пакетов heartbeat на основе тега VLAN, пользовательских типов сообщений уровня 3 и уровня 4. На основе этого механизма пользователь может реализовать функцию проверки безопасности сервиса устройства безопасности подключения, чтобы сделать его более эффективным для обеспечения надлежащей работы соответствующих сервисов безопасности.
Mylinking™ Network Tap Bypass Switch может поддерживать монитор для отправки различных пакетов heartbeat в обоих направлениях. Например, пакеты heartbeat типа TCP и UDP настраиваются на «Strategy Traffic Traction Protector» в соответствии с особенностями последовательного устройства. Вы можете настроить отправку пакетов heartbeat TCP на порт uplink monitor A и отправку пакетов heartbeat UDP на порт downlink monitor B для размещения механизма пересылки сообщений последовательного устройства безопасности. Эта функция может более эффективно гарантировать строку. Подключите оборудование безопасности к нормальной работе.
Сетевой обходной коммутатор Mylinking™ разработан и разработан для гибкого развертывания различных типов последовательного оборудования безопасности, обеспечивая при этом высокую надежность сети.
2-сетевой встроенный обходной коммутатор с расширенными функциями и технологиями
Технология режима защиты Mylinking™ «SpecFlow» и режима защиты «FullLink»
Технология защиты быстрого обходного переключения Mylinking™
Технология Mylinking™ «LinkSafeSwitch»
Технология динамической пересылки/выпуска стратегии Mylinking™ «WebService»
Технология обнаружения интеллектуальных сообщений Mylinking™ Heartbeat
Технология определяемых сообщений о сердцебиении Mylinking™
Технология многоканальной балансировки нагрузки Mylinking™
Технология интеллектуального распределения трафика Mylinking™
Технология динамической балансировки нагрузки Mylinking™
Технология удаленного управления Mylinking™ (HTTP/WEB, TELNET/SSH, характеристика «EasyConfig/AdvanceConfig»)
Применение 3-сетевого встроенного обходного переключателя (как указано ниже)
3.1 Риск встроенного оборудования безопасности (IPS/FW)
Ниже приведен типичный режим развертывания IPS (системы предотвращения вторжений), FW (межсетевого экрана). IPS / FW развертывается последовательно на сетевом оборудовании (маршрутизаторах, коммутаторах и т. д.) между трафиком путем реализации проверок безопасности, согласно соответствующей политике безопасности, для определения освобождения или блокировки соответствующего трафика, для достижения эффекта защиты безопасности.
В то же время мы можем наблюдать IPS / FW как последовательное развертывание оборудования, обычно развертываемого в ключевом месте корпоративной сети для реализации последовательной безопасности, надежность его подключенных устройств напрямую влияет на общую доступность корпоративной сети. После перегрузки последовательных устройств, сбоя, обновления программного обеспечения, обновления политики и т. д., доступность всей корпоративной сети будет сильно затронута. На этом этапе мы только через сетевой разрез, физическую обходную перемычку можем восстановить сеть, серьезно влияя на надежность сети. IPS / FW и другие последовательные устройства, с одной стороны, улучшают развертывание безопасности корпоративной сети, с другой стороны, также снижают надежность корпоративных сетей, увеличивая риск недоступности сети.
3.2 Защита оборудования серии Inline Link
Mylinking™ «Сетевой встроенный обход» развертывается последовательно между сетевыми устройствами (маршрутизаторами, коммутаторами и т. д.), и поток данных между сетевыми устройствами больше не ведет напрямую к IPS / FW, «Сетевой встроенный обход» к IPS / FW, когда IPS / FW из-за перегрузки, сбоя, обновления программного обеспечения, обновления политики и других условий сбоя, «Сетевой встроенный обход» через интеллектуальную функцию обнаружения сообщений heartbeat своевременно обнаруживает и, таким образом, пропускает неисправное устройство, не прерывая предпосылку сети, быстрое сетевое оборудование напрямую подключается для защиты нормальной сети связи; когда восстановление сбоя IPS / FW, но также через интеллектуальное обнаружение пакетов heartbeat своевременно обнаруживает функцию, исходное соединение для восстановления безопасности корпоративной сети проверяет безопасность.
Mylinking™ «Network Inline Bypass» имеет мощную интеллектуальную функцию обнаружения сообщений о тактовых импульсах. Пользователь может настраивать интервал между отправками и максимальное количество повторных попыток с помощью настраиваемого сообщения о тактовых импульсах на IPS/FW для проверки работоспособности, например, отправлять сообщение о проверке тактовых импульсов на восходящий/нисходящий порт IPS/FW, а затем получать его с восходящего/нисходящего порта IPS/FW и определять, нормально ли работает IPS/FW, отправляя и получая сообщение о тактовых импульсах.
3.3 Политика «SpecFlow» Поток Встроенная Защита Тяговой Серии
Когда сетевому устройству безопасности нужно иметь дело только с определенным трафиком в последовательной защите безопасности, через функцию Mylinking™ «Сетевой встроенный обход» трафика за обработку, через стратегию скрининга трафика для подключения устройства безопасности «Обеспокоенный» трафик отправляется обратно непосредственно в сетевое соединение, а «соответствующий раздел трафика» тянется к встроенному устройству безопасности для выполнения проверок безопасности. Это не только сохранит нормальное применение функции обнаружения безопасности устройства безопасности, но и сократит неэффективный поток оборудования безопасности для борьбы с давлением; в то же время «Сетевой встроенный обход» может обнаруживать рабочее состояние устройства безопасности в режиме реального времени. Устройство безопасности работает ненормально, обходит трафик данных напрямую, чтобы избежать нарушения работы сети.
3.4 Последовательная защита с балансировкой нагрузки
Mylinking™ «Network Inline Bypass» развертывается последовательно между сетевыми устройствами (маршрутизаторами, коммутаторами и т. д.). Когда производительность обработки одного IPS / FW недостаточна для обработки пикового трафика сетевого соединения, функция балансировки нагрузки трафика защитника, «объединение» нескольких кластеров IPS / FW, обрабатывающих трафик сетевого соединения, может эффективно снизить нагрузку обработки одного IPS / FW, улучшить общую производительность обработки для соответствия высокой пропускной способности среды развертывания.
Mylinking™ «Network Inline Bypass» имеет мощную функцию балансировки нагрузки, в соответствии с тегом кадра VLAN, информацией MAC, информацией IP, номером порта, протоколом и другой информацией о хэш-распределении нагрузки балансировки трафика, чтобы гарантировать, что каждый IPS / FW получает поток данных целостности сеанса.
3.5 Защита от тяги многопоточного линейного оборудования (изменение последовательного соединения на параллельное)
В некоторых ключевых соединениях (таких как интернет-розетки, соединение обмена серверной зоной) расположение часто обусловлено потребностями функций безопасности и развертыванием нескольких встроенных тестовых устройств безопасности (таких как брандмауэр, оборудование для защиты от DDOS-атак, брандмауэр веб-приложений, оборудование для предотвращения вторжений и т. д.), несколько устройств обнаружения безопасности одновременно в ряд на соединении увеличивают связь единой точки отказа, снижая общую надежность сети. А в вышеупомянутом развертывании оборудования безопасности в режиме онлайн, модернизации оборудования, замене оборудования и других операциях, приведут к длительному перерыву в обслуживании сети и более масштабному сокращению проекта для завершения успешной реализации таких проектов.
Развертывая «сетевой встроенный обход» унифицированным образом, режим развертывания нескольких устройств безопасности, подключенных последовательно к одному каналу, можно изменить с «режима физической конкатенации» на «режим физической конкатенации, логической конкатенации». Соединение на канале с единственной точкой отказа повышает надежность канала, в то время как «сетевой встроенный обход» на канале потока по требованию тяги, чтобы достичь того же потока с исходным режимом безопасной обработки эффекта.
Схема последовательного развертывания более одного устройства безопасности одновременно:
Схема развертывания сетевого обходного коммутатора:
3.6 На основе динамической стратегии обнаружения дорожного движения и защиты
«Сетевой встроенный обход» Другой передовой сценарий применения основан на динамической стратегии приложений обнаружения и защиты тяги дорожного движения, развертывание которых показано ниже:
Возьмите, например, оборудование для тестирования безопасности «Защита от атак Anti-DDoS и их обнаружение», через фронтальное развертывание «Сетевого встроенного обхода», а затем оборудование для защиты от DDOS, а затем подключите к «Сетевому встроенному обходу», в обычном «Защитнике тяги» для полного объема трафика, пересылающего скорость провода, в то же время поток зеркалируется на «Устройство защиты от атак Anti-DDOS», после обнаружения IP-адреса сервера (или сегмента сети IP) после атаки, «Устройство защиты от атак Anti-DDOS» сгенерирует правила соответствия целевого потока трафика и отправит их в «Сетевой встроенный обход» через интерфейс доставки динамической политики. «Сетевой встроенный обход» может обновить «динамическую тягу трафика» после получения динамических правил политики «Пул правил» и немедленно «правило попало на трафик сервера атаки» тяга на «оборудование защиты от атак Anti-DDoS и обнаружения» для обработки, чтобы быть эффективным после потока атаки, а затем повторно введено в сеть.
Схема применения на основе «сетевого внутреннего обхода» проще в реализации, чем традиционная инъекция маршрута BGP или другая схема передачи трафика, а среда меньше зависит от сети, а надежность выше.
«Network Inline Bypass» имеет следующие характеристики для поддержки динамической политики безопасности обнаружения:
1. «Сетевой встроенный обход» для обеспечения внешних правил на основе интерфейса WEBSERIVCE, простая интеграция со сторонними устройствами безопасности.
2, «Сетевой встроенный обход» на основе аппаратной микросхемы ASIC, пересылающей пакеты со скоростью до 10 Гбит/с без блокировки пересылки коммутатором, и «библиотека динамических правил перемещения трафика» независимо от количества.
3. Встроенная профессиональная функция ОБХОДА «Сетевой встроенный обход», даже если сам протектор выходит из строя, также может немедленно обойти исходный последовательный канал, не влияя на исходный канал нормальной связи.
Время публикации: 23 декабря 2021 г.
