Брокер сетевых пакетов(NPB), который включает в себя широко используемые 1G NPB, 10G NPB, 25G NPB, 40G NPB, 100G NPB, 400G NPB иПорт доступа к сетевому тестированию (TAP), — это аппаратное устройство, которое подключается непосредственно к сетевому кабелю и отправляет часть сетевого сообщения на другие устройства.
Брокеры сетевых пакетов обычно используются в системах обнаружения сетевых вторжений (IDS), сетевых детекторах и профилировщиках. Сеанс зеркалирования портов. В шунтовом режиме контролируемый канал UTP (немаскированный канал) разделяется на две части шунтирующим устройством TAP. Шунтированные данные подключаются к интерфейсу сбора для сбора данных для системы мониторинга информационной безопасности Интернет.
Что для вас делает Network Packet Broker (NPB)?
Ключевые особенности:
1. Независимый
Это независимая аппаратная часть, не влияющая на нагрузку существующих сетевых устройств, что имеет большие преимущества перед зеркалированием портов.
Это встроенное устройство, а это просто означает, что его необходимо подключить к сети. Однако это также имеет недостаток, заключающийся в создании точки отказа, а поскольку это онлайн-устройство, текущую сеть необходимо прерывать во время развертывания, в зависимости от того, где она развернута.
2. Прозрачный
Прозрачный означает указатель на текущую сеть. После доступа к сетевому шунту он не оказывает влияния на все устройства в текущей сети и полностью прозрачен для них. Разумеется, сюда также входит трафик, отправляемый сетевым шунтом на устройство мониторинга, которое также прозрачно для сети.
Принцип работы:
Шунтирование (распределение) трафика на основе входных данных, репликация, сбор, фильтрация, преобразование данных POS 10G посредством преобразования протокола в десятки мегабайт данных локальной сети в соответствии со специальным алгоритмом для балансировки нагрузки на выходе, вывод одновременно для обеспечения что все пакеты одного и того же сеанса или одного и того же IP-адреса выводят все пакеты из одного и того же пользовательского интерфейса.
Функциональные особенности:
1. Преобразование протокола
Основные интерфейсы передачи данных через Интернет, используемые интернет-провайдерами, включают 40G POS, 10G POS/WAN/LAN, 2,5G POS и GE, а интерфейсы приема данных, используемые серверами приложений, — это интерфейсы GE и 10GE LAN. Таким образом, преобразование протокола, обычно упоминаемое в интерфейсах связи через Интернет, в основном относится к преобразованию между 40G POS, 10G POS и 2,5G POS в 10GE LAN или GE, а также к двунаправленной совместной передаче между 10GE WAN и 10GE LAN и GE.
2. Сбор и распространение данных.
Большинство приложений по сбору данных в основном извлекают интересующий их трафик и отбрасывают ненужный трафик. Трафик данных определенного IP-адреса, протокола и порта извлекается путем конвергенции пяти кортежей (IP-адрес источника, IP-адрес назначения, порт источника, порт назначения и протокол). При выводе тот же источник, то же местоположение и баланс нагрузки обеспечиваются в соответствии со специальным алгоритмом HASH.
3. Фильтрация кодов функций
Для сбора P2P-трафика система приложений может фокусироваться только на некотором конкретном трафике, например потоковом мультимедиа PPStream, BT, Thunderbolt, а также общих ключевых словах HTTP, таких как GET и POST и т. д. Для извлечения можно использовать метод сопоставления кода функции. и конвергенция. Дивертер поддерживает фильтрацию кодов объектов с фиксированным положением и фильтрацию кодов плавающих объектов. Плавающий код объекта — это смещение, заданное на основе кода объекта с фиксированным местоположением. Он подходит для приложений, которые указывают код функции для фильтрации, но не указывают конкретное расположение кода функции.
4. Управление сеансами
Идентифицирует трафик сеанса и гибко настраивает значение N пересылки сеанса (от N=1 до 1024). То есть первые N пакетов каждого сеанса извлекаются и пересылаются внутренней системе анализа приложений, а пакеты после N отбрасываются, что позволяет сэкономить накладные расходы на ресурсы для нижестоящей платформы анализа приложений. В общем, когда вы используете IDS для мониторинга событий, вам не нужно обрабатывать все пакеты всего сеанса; вместо этого вам просто нужно извлечь первые N пакетов каждого сеанса для завершения анализа и мониторинга событий.
5. Зеркальное отображение и репликация данных
Сплиттер может реализовать зеркалирование и репликацию данных на выходном интерфейсе, что обеспечивает доступ к данным нескольких прикладных систем.
6. Сбор и пересылка данных в сети 3G.
Сбор и распространение данных в сетях 3G отличаются от традиционных режимов сетевого анализа. Пакеты в сетях 3G передаются по магистральным каналам через несколько уровней инкапсуляции. Длина пакета и формат инкапсуляции отличаются от пакетов в обычных сетях. Сплиттер может точно идентифицировать и обрабатывать туннельные протоколы, такие как пакеты GTP и GRE, многоуровневые пакеты MPLS и пакеты VLAN. Он может извлекать пакеты сигнализации IUPS, пакеты сигнализации GTP и пакеты Radius в указанные порты на основе характеристик пакета. Кроме того, он может разделять пакеты по внутреннему IP-адресу. Поддержка обработки пакетов большого размера (MTU> 1522 байт) позволяет идеально реализовать сбор данных в сети 3G и приложение для шунтирования.
Требования к функциям:
- Поддерживает распределение трафика по протоколу приложений L2-L7.
- Поддерживает 5-кортежную фильтрацию по точному IP-адресу источника, IP-адресу назначения, порту источника, порту назначения и протоколу, а также по маске.
- Поддерживает балансировку выходной нагрузки, а также гомологию и гомологию вывода.
- Поддерживает фильтрацию и пересылку по символьным строкам.
- Поддерживает управление сеансами. Переслать первые N пакетов каждого сеанса. Значение N может быть указано.
- Поддержка нескольких пользователей. Пакеты данных, соответствующие одному и тому же правилу, могут быть одновременно предоставлены третьей стороне, или данные на выходном интерфейсе могут быть зеркалированы и реплицированы, обеспечивая доступ к данным нескольких прикладных систем.
Решение для финансовой отрасли Решение Преимущество решения
С быстрым развитием глобальных информационных технологий и углублением информатизации масштабы корпоративной сети постепенно расширяются, а зависимость различных отраслей от информационных систем становится все более высокой. В то же время корпоративная сеть внутренних и внешних атак, нарушений и угроз информационной безопасности также растет, с большим количеством сетевой защиты, системой мониторинга бизнес-приложений, введенной в эксплуатацию последовательно, всеми видами мониторинга бизнеса, оборудованием для обеспечения безопасности. развернутый по всей сети, будет напрасная трата информационных ресурсов, мониторинг слепых зон, повторный мониторинг, топология сети и беспорядочные проблемы, такие как невозможность эффективного получения целевых данных, что приведет к мониторингу оборудования, низкой эффективности работы, высоким инвестициям, низкому доходу. , трудности с поздним обслуживанием и управлением, ресурсы данных трудно контролировать.
Время публикации: 08 сентября 2022 г.
