1. Что такое пакет Define Heartbeat?
В коммутаторе Mylinking™ Network Tap Bypass Switch пакеты пульсации по умолчанию представляют собой кадры Ethernet уровня 2. При использовании прозрачного режима моста уровня 2 (например, IPS/FW) кадры Ethernet уровня 2 обычно пересылаются, блокируются или отбрасываются. В то же время коммутатор Mylinking™ Network Tap Bypass Switch поддерживает пользовательский формат сообщений пульсации для решения ситуаций, когда некоторые специальные последовательные устройства безопасности не могут пересылать обычные кадры Ethernet уровня 2.
Коммутатор Mylinking™ Network Tap Bypass Switch также поддерживает обнаружение пакетов пульсации на основе тегов VLAN, а также пользовательских типов сообщений уровней 3 и 4. На основе этого механизма пользователь может реализовать функцию проверки безопасности соединения, что позволит более эффективно гарантировать корректную работу соответствующих служб безопасности.
Коммутатор обхода сетевого трафика Mylinking™ позволяет монитору отправлять различные пакеты пульсации в обоих направлениях. Например, пакеты пульсации типов TCP и UDP настраиваются на «Защитнике трафика стратегии» в соответствии со спецификой последовательного устройства. Вы можете настроить отправку пакетов пульсации TCP на порт восходящего монитора A и отправку пакетов пульсации UDP на порт нисходящего монитора B, чтобы учесть механизм пересылки сообщений устройства последовательной безопасности. Эта функция позволяет более эффективно гарантировать нормальную работу защитного оборудования.
Сетевой коммутатор Mylinking™ Network Inline Bypass Switch разработан для гибкого развертывания различных типов последовательного защитного оборудования, обеспечивая при этом высокую надежность сети.
Расширенные возможности и технологии двухсетевого коммутатора обхода сети.
Технология Mylinking™ «SpecFlow» и «FullLink»
Технология быстрой защиты от переключения Mylinking™
Технология Mylinking™ “LinkSafeSwitch”
Технология динамической стратегии пересылки/выдачи Mylinking™ “WebService”.
Технология интеллектуального обнаружения сообщений пульса Mylinking™
Технология Mylinking™ для определения параметров пульсации
Технология балансировки нагрузки Mylinking™ Multi-link
Технология интеллектуального распределения трафика Mylinking™
Технология динамической балансировки нагрузки Mylinking™
Технология удаленного управления Mylinking™ (HTTP/WEB, TELNET/SSH, функция «EasyConfig/AdvanceConfig»)
Применение трехсетевого коммутатора с линейным обходом (как показано ниже)
3.1 Риск, связанный с оборудованием встроенной системы безопасности (IPS/FW)
Ниже представлен типичный режим развертывания IPS (системы предотвращения вторжений) и FW (брандмауэра): IPS/FW развертываются последовательно на сетевом оборудовании (маршрутизаторах, коммутаторах и т. д.), осуществляя проверки безопасности между трафиками. В соответствии с соответствующей политикой безопасности определяется разрешение или блокировка соответствующего трафика для достижения эффекта защиты.
В то же время, мы можем рассматривать IPS/FW как последовательное развертывание оборудования, обычно устанавливаемое в ключевых местах корпоративной сети для реализации последовательной безопасности. Надежность подключенных к нему устройств напрямую влияет на общую доступность корпоративной сети. В случае перегрузки, сбоя, обновления программного обеспечения, обновления политик и т. д., доступность всей корпоративной сети значительно снижается. В этот момент восстановить сеть можно только путем отключения сети или использования физических обходных перемычек, что серьезно влияет на ее надежность. IPS/FW и другие последовательные устройства, с одной стороны, повышают уровень безопасности корпоративной сети, а с другой — снижают ее надежность, увеличивая риск недоступности сети.
3.2 Защита оборудования серии Inline Link
Технология Mylinking™ «Network Inline Bypass» развертывается последовательно между сетевыми устройствами (маршрутизаторами, коммутаторами и т. д.), и поток данных между сетевыми устройствами больше не ведет напрямую к IPS/FW, а «Network Inline Bypass» к IPS/FW. В случае перегрузки, сбоя, обновления программного обеспечения, обновления политик и других причин отказа IPS/FW, «Network Inline Bypass» с помощью интеллектуальной функции обнаружения сигналов пульса своевременно обнаруживает неисправное устройство, минуя его, без прерывания работы сети, обеспечивая быстрое прямое подключение сетевого оборудования и защиту нормальной связи. В случае восстановления после сбоя IPS/FW, функция интеллектуального обнаружения сигналов пульса также обеспечивает своевременное обнаружение неисправности и восстановление исходного соединения для проверки безопасности корпоративной сети.
Mylinking™ «Network Inline Bypass» обладает мощной интеллектуальной функцией обнаружения сигналов пульса. Пользователь может настроить интервал пульса и максимальное количество повторных попыток. Для проверки работоспособности IPS/FW можно отправить пользовательское сообщение пульса на порт IPS/FW, например, отправить сообщение проверки пульса на восходящий/нисходящий порт IPS/FW, а затем получить его оттуда и определить, работает ли IPS/FW нормально.
3.3 Страховой полис “SpecFlow” серии Inline Traction
Когда сетевому устройству безопасности необходимо обрабатывать только определенный трафик в рамках последовательной защиты, функция предварительной обработки трафика Mylinking™ «Network Inline Bypass» с помощью стратегии фильтрации трафика направляет «соответствующий» трафик обратно в сетевой канал, а «соответствующий участок трафика» передается на встроенное устройство безопасности для проведения проверок безопасности. Это не только обеспечивает нормальное функционирование функции обнаружения безопасности устройства, но и снижает неэффективный поток нагрузки на оборудование безопасности; одновременно «Network Inline Bypass» позволяет в режиме реального времени обнаруживать рабочее состояние устройства безопасности. При ненормальной работе устройство безопасности напрямую обходит трафик данных, чтобы избежать сбоев в работе сети.
3.4 Защита последовательного соединения со сбалансированной нагрузкой
Устройство Mylinking™ “Network Inline Bypass” устанавливается последовательно между сетевыми устройствами (маршрутизаторами, коммутаторами и т. д.). Когда производительности обработки одной системы IPS/FW недостаточно для решения пиковых нагрузок на сетевом канале, функция балансировки нагрузки защитного устройства, “объединяющая” обработку трафика на сетевом канале несколькими кластерами IPS/FW, позволяет эффективно снизить нагрузку на отдельную систему IPS/FW и повысить общую производительность обработки для обеспечения высокой пропускной способности в условиях развертывания.
Функция Mylinking™ “Network Inline Bypass” обладает мощной функцией балансировки нагрузки, которая, основываясь на метке VLAN кадра, информации MAC, IP-адресе, номере порта, протоколе и другой информации, распределяет трафик с помощью хэш-распределения, обеспечивая целостность сеанса при получении данных каждым IPS/FW.
3.5 Многосерийная линейная защита от тяги потока (замена последовательного соединения на параллельное)
В некоторых ключевых звеньях (таких как интернет-розетки, коммутаторы серверной зоны) местоположение часто определяется необходимостью обеспечения безопасности и развертывания множества средств тестирования безопасности (таких как межсетевые экраны, средства защиты от DDoS-атак, межсетевые экраны веб-приложений, средства предотвращения вторжений и т. д.), а также одновременного последовательного размещения нескольких средств обнаружения угроз на звене, что увеличивает вероятность отказа одного звена и снижает общую надежность сети. Кроме того, развертывание, модернизация и замена вышеупомянутого оборудования безопасности в режиме онлайн приводят к длительным перебоям в работе сети и требуют масштабных сокращений для успешной реализации подобных проектов.
Благодаря унифицированному внедрению «Сетевого встроенного обхода» режим развертывания нескольких устройств безопасности, соединенных последовательно по одному каналу связи, может быть изменен с «режима физического соединения» на «режим физического и логического соединения». Это повышает надежность канала связи, поскольку наличие единой точки отказа повышает надежность, а «Сетевой встроенный обход» обеспечивает передачу данных по требованию, что позволяет добиться безопасного эффекта обработки данных в том же режиме, что и в исходном.
Схема последовательного развертывания более чем одного устройства безопасности одновременно:
Схема развертывания сетевого коммутатора обходного режима:
3.6. На основе динамической стратегии обнаружения и защиты в условиях нарушения безопасности дорожного движения.
«Обход сети в режиме реального времени» — еще один передовой сценарий применения, основанный на динамической стратегии защиты от обнаружения и обнаружения нарушений безопасности дорожного движения, развертывание которого показано ниже:
Рассмотрим, к примеру, оборудование для тестирования безопасности «Защита от DDoS-атак и обнаружение». Сначала развертывается устройство «Network Inline Bypass», затем подключается к нему устройство защиты от DDoS-атак, и, используя стандартный «Traction Protector», устройство одновременно передает весь объем трафика на высокой скорости и зеркалирует потоки на устройство защиты от DDoS-атак. После обнаружения атаки на IP-адрес сервера (или сегмент IP-сети) устройство защиты от DDoS-атак генерирует правила сопоставления целевого трафика и отправляет их в «Network Inline Bypass» через интерфейс динамической доставки политик. «Network Inline Bypass» обновляет «динамические правила трафика» после получения пула правил динамической политики и немедленно передает правила, которые обрабатывают атакующий трафик сервера, на устройство защиты от DDoS-атак и обнаруживают его, после чего они вступают в силу и повторно внедряются в сеть.
Схема применения, основанная на «встроенном обходе сети», проще в реализации, чем традиционная инъекция маршрутов BGP или другие схемы управления трафиком, при этом она менее зависима от сети и обладает более высокой надежностью.
Функция «Обход сети в режиме реального времени» обладает следующими характеристиками для поддержки защиты от обнаружения угроз с помощью динамических политик безопасности:
1. Функция «Обход сети в режиме реального времени» обеспечивает обход правил на основе интерфейса WEBSERIVCE и упрощает интеграцию со сторонними устройствами безопасности.
2. «Обход сети в режиме реального времени» на основе аппаратного обеспечения, использующего микросхему ASIC для пересылки пакетов со скоростью до 10 Гбит/с без блокировки коммутатора, а также «библиотека динамических правил управления трафиком» независимо от количества.
3. Функция «Обход сетевого соединения» — это встроенная профессиональная функция обхода, позволяющая даже в случае отказа самого устройства защиты немедленно обойти исходный последовательный канал связи, не влияя на нормальную работу исходного канала связи.
Дата публикации: 23 декабря 2021 г.
