Mylinking™ желілік пакет брокері және ML-BYPASS-M2000 кірістірілген айналма коммутаторы
Айналма модуль: 8*10G SFP+ және 4*100GE, Монитор модулі: 16*10GE SFP+ және 4*100GE, макс. 2,4 Тбит/с
1-Шолулар
Интернеттің қарқынды дамуымен желілік ақпараттық қауіпсіздік қаупі барған сайын күшейіп келеді, сондықтан ақпараттық қауіпсіздікті қорғаудың әртүрлі қолданбалары кеңінен қолданылады. Дәстүрлі кіруді бақылау жабдықтары (брандмауэр) немесе жаңа типтегі озық қорғаныс құралдары, мысалы, бұзудың алдын алу жүйесі (IPS), Бірыңғай қауіптерді басқару платформасы (UTM), бас тартуға қарсы қызмет көрсету шабуыл жүйесі (Anti-DDoS), спамға қарсы шлюз, Бірыңғай DPI трафигін анықтау және басқару жүйесі және көптеген қауіпсіздік құрылғылары желілік кілт түйіндерінде тізбектей орналастырылған болса, заңды/заңсыз трафикті анықтау және онымен күресу үшін тиісті деректер қауіпсіздігі саясатын енгізу қажет. Дегенмен, сонымен бірге, компьютерлік желі үлкен желілік кідіріске немесе тіпті желінің бұзылуына әкеледі, бұл өте сенімді өндірістік желілік қолданбалы ортада істен шығу, техникалық қызмет көрсету, жаңарту, жабдықты ауыстыру және т.б. жағдайларда пайдаланушылар бұған шыдай алмайды.
ML-BYPASS-M2000 Mylinking™ желілік пакет брокері және ішкі айналма коммутатор жоғары желілік сенімділікті қамтамасыз ете отырып, әртүрлі сериялық қауіпсіздік жабдықтарын икемді орналастыру үшін пайдаланылатындай етіп зерттеліп, әзірленген.
Mylinking™ желілік пакет брокерін және кірістірілген айналып өту қосқышын орналастыру арқылы:
●Пайдаланушылар қолданыстағы желіге әсер етпей немесе үзбей қауіпсіздікті қорғау құрылғыларын икемді түрде орната/жоя алады;
● Қосылған қауіпсіздік құрылғыларының қалыпты жұмыс күйін нақты уақыт режимінде бақылауға арналған интеллектуалды денсаулықты анықтау функциясы бар. Қосылған қауіпсіздік құрылғысы істен шыққаннан кейін, қорғаушы қалыпты желілік байланысты сақтау үшін автоматты түрде айналып өтеді.
●Таңдамалы трафикті қорғау технологиясын трафикті тазалаудың арнайы қауіпсіздік жабдықтарын, шифрлауға негізделген аудит жабдықтарын және т.б. орналастыру үшін пайдалануға болады. Ол белгілі бір трафик түрлері үшін ішкі кіруді қорғауды тиімді түрде жүзеге асырады, ішкі құрылғылардың трафикті өңдеу жүктемесін азайтады.
● Жүктемені теңестіру трафигінен қорғау технологиясын жоғары өткізу қабілеттілігі қысымы орталарында желі ішіндегі қауіпсіздікті қорғау қажеттіліктерін қанағаттандыру үшін кластерлерде қауіпсіз желі ішіндегі құрылғыларды орналастыру үшін пайдалануға болады.
●Ол ашық мәтіндік деректер мазмұны үшін қауіпсіздікті қорғау құрылғыларының мониторинг және талдау талаптарына сай келетін SSL прокси мүмкіндіктеріне ие.
● Ол трафикті репликациялау, агрегациялау, сүзу және белгілеу сияқты негізгі трафикті өңдеу мүмкіндіктеріне, сондай-ақ қайталануларды жою, маскалау, қолданбалы деңгей хаттамасын анықтау және трафикті қалыптастыру сияқты кеңейтілген трафикті өңдеу мүмкіндіктеріне ие.
2-Mylinking™ желілік пакет брокері және кірістірілген айналма коммутатордың кеңейтілген мүмкіндіктері мен технологиялары
Mylinking™ «SpecFlow» қорғаныс режимі және «FullLink» қорғаныс режимі технологиясы
Mylinking™ жылдам айналып өту коммутациясынан қорғау технологиясы
Mylinking™ “LinkSafeSwitch” технологиясы
Mylinking™ “WebService” динамикалық саясатты бағыттау/шығару технологиясы
Mylink™ интеллектуалды жүрек соғысы пакетін анықтау технологиясы
Mylinking™ Анықталатын жүрек соғысы пакеттері технологиясы
Mylinking™ Көп буынды жүктемені теңестіру технологиясы
Mylinking™ Интеллектуалды трафикті бөлу технологиясы
Mylinking™ Динамикалық жүктемені теңестіру технологиясы
Mylinking™ Қашықтан басқару технологиясы (HTTP/WEB, TELNET/SSH, «EasyConfig/AdvanceConfig» сипаттамасы)
3-Mylinking™ желілік пакет брокері және кірістірілген айналма коммутаторды конфигурациялау бойынша нұсқаулық
Жоғарыдағы диаграммада көрсетілгендей, бүкіл блок төрт модульдік ұяшықтан тұрады:
SLOT1, SLOT2, SLOT3 және SLOT4 модуль ұяшықтарының барлығы әртүрлі жылдамдықтары мен порт нөмірлері бар BYPASS қорғаныс порт модульдерін немесе MONITOR порт модульдерін орналастыра алады. Модульдердің әртүрлі үлгілерін ауыстыру арқылы бірнеше 10G/40G/100G байланыстары үшін BYPASS қорғанысын қолдауға, сондай-ақ бірнеше 10G/40G/100G байланыстары үшін Inline Bypass бақылау жабдығын орналастыруға болады.
Ескертпе: BYPASS модулі де, MONITOR модулі де ыстық ауыстыруды қолдайды.
3.1-Модуль сипаттамаларының тізімі
| Өнім моделі | ФункционалдыPараметрлер |
| Cхассис | |
| ML-BYPASS-M2000-CHS/AC | 2U стандартты 19 дюймдік тірекке орнату; максималды қуат тұтынуы 300 Вт; модульдік BYPASS қорғанысының негізгі блогы; 4 модуль ұясы; 1*RS232 консоль интерфейсі, сыртқы желіні басқаруы бар 1*10/100/1000M RJ45 интерфейсі; қос қуат көзі AC-220V; |
| NT-BYPASS-M2000-CHS/DC | 2U стандартты 19 дюймдік тірекке орнату; максималды қуат тұтынуы 300 Вт; модульдік BYPASS қорғанысының негізгі блогы; 4 модуль ұясы; 1*RS232 консоль интерфейсі, сыртқы желіні басқару мүмкіндігі бар 1*10/100/1000M RJ45 интерфейсі; қос қуат көзі DC-48V; |
| Айналма жолMодуле | |
| INL-I8XM8X(LM/SM) | Барлығы 8 * 10GE интерфейстері бар 4 жақты 10GE (1G-мен үйлесімді) сериялық қосылым қорғанысын қолдайды; 8 * 10G SFP+ бақылау порттарын қолдайды (оптикалық модульдерді қоспағанда). |
| INL-I4HM2H (LM/SM) | Барлығы 4 * 100GE интерфейстері бар 2 жақты 100GE (40GE үйлесімді) сериялық қорғанысын қолдайды; 2 * 100GE QSFP28 бақылау порттарын қолдайды (оптикалық модульдерді қоспағанда). |
| МОНИТОР модулі | |
| MON-M16X | 16*10GE SFP+ бақылау порттары (оптикалық модульдерді қоспағанда); |
| MON-M16X-CN98 | 16 * 10GE SFP+ бақылау порттары (оптикалық модуль кірмейді); SSL шифрын ашуды айналып өту, SSL прокси және трафикті қайталауды жою сияқты кеңейтілген трафикті өңдеу функцияларын қолдайтын кеңейтілген функция қозғалтқышымен жабдықталған; |
| Дүйсенбі-M4H | 4 * 100GE QSFP28 бақылау порттары (оптикалық модульдер кірмейді); |
| MON-M4H-CN98 | 4 * 100GE QSFP28 бақылау порттары (оптикалық модульдер кірмейді); SSL шифрын ашуды айналып өту, SSL прокси және трафикті қайталауды жою сияқты кеңейтілген трафикті өңдеу функцияларын қолдайтын кеңейтілген функция қозғалтқышымен жабдықталған; |
3.2-Модульді таңдау ережелері
Әр түрлі қорғалған сілтемелер мен мониторинг жабдықтарын орналастыру талаптарына сүйене отырып, сіз нақты орта қажеттіліктеріңізді қанағаттандыру үшін әртүрлі модуль конфигурацияларын икемді түрде таңдай аласыз; таңдаған кезде келесі ережелерді орындаңыз:
1) Шасси жинағы міндетті компонент болып табылады және басқа модульдерді таңдамас бұрын таңдалуы керек. Сондай-ақ, қажеттіліктеріңізге сәйкес тиісті қуат көзі әдісін (АТ/ТТ) таңдаңыз.
2) Құрылғы ең көбі 4 модуль ұяшығын қолдайды; конфигурация үшін ұяшықтар санынан артық модульдерді таңдай алмайсыз. Әртүрлі модуль үлгілерінің икемді үйлесіміне сүйене отырып, құрылғы 16 10GE/GE сілтемелеріне немесе 8 100GE/40GE сілтемелеріне дейін сериялық қорғанысты қолдай алады.
4-Трафикті интеллектуалды өңдеу мүмкіндіктері
4.1-Кіріктірілген орналастыру
Арнайы трафикті қорғау желісі
Ол қолдайдыКезекте(сериялық)кез келген жердегі белгілі бір трафик түрлеріне арналған қорғаныс режимікезектесілтеме.Toпайдаланушы көрсеткен кейбір трафик түрлерін бағыттаукезектесілтемеКезекте Sқауіпсіздікқұрылғыөңдеу үшін, ал қалған трафик тікелей ағып кетпей жіберіледіКезекте Sқауіпсіздікқұрылғы. Осы уақытта,itжұмыс күйін нақты уақыт режимінде бақылайдыКезекте SқауіпсіздікқұрылғыТрафикті өңдеудің қалыптан тыс күйі анықталғаннан кейін,itжелілік қызметтің үздіксіздігін қамтамасыз ету үшін трафикті беру жолынан автоматты түрде айналып өтеді.
Барлық трафикті желі ішінде қорғау
Ол қолдайдыКезекте(сериялық)кез келген жердегі барлық трафик түрлері үшін қорғаныс режимікезектесілтеме.Toбарлық трафикті жіберукезектесілтемеКезекте Sқауіпсіздікқұрылғыөңдеу үшін және кірістірілген қауіпсіздіктің жұмыс күйін бақылау үшінқұрылғынақты уақыт режимінде. Трафикті өңдеудің қалыптан тыс күйі анықталғаннан кейін,itжелілік қызметтің үздіксіздігін қамтамасыз ету үшін трафикті беру жолынан автоматты түрде айналып өтеді.
Жүктеме балансы
Оның ақылды трафик жүктемесін теңестіру мүмкіндігі бар. Бір өнімді өңдеу кезіндеКезекте Sқауіпсіздікқұрылғыонымен күресу жеткіліксізкезектебайланыс трафигін байланыстыра отырып, ол бөле аладыкезектежүктемені теңестіру тобын конфигурациялау арқылы трафикті N Monitor интерфейстеріне байланыстырыңыз. MAC, IP ақпараты, порт нөмірі, хаттама және басқа ақпаратқа сәйкес,itқосымша Хэш алгоритмінің жүктемені теңестіру шығысын орындайды, осылайшакезектебайланыс трафигі бірнеше адамға біркелкі бөлінедікезектеқауіпсіздікқұралкластерлік өңдеуге арналған, бұл жалпы өңдеу өнімділігін тиімді түрде жақсартадыкезектеқауіпсіздікқұралs. Жоғары өткізу қабілеттілігі мен үлкен трафикті қолдану сценарийлерінің талаптарына бейімделу үшін.
Жүрек соғу пакетін анықтау
Ол қолдайдыTxжәнеRxЖүрек соғуын анықтау пакеттері қосылған байланыстардың жоғары және төмен байланысы арқылыкезектеқауіпсіздік құрылғыларын анықтайды және анықтайдыкірістірілген құралдаржұмыс күйі және трафикті өңдеу процесі қалыпты ма. Екі бағытты жүрек соғысыпакетанықтау механизмі ағымдағы жұмыс күйін дәлірек көрсете аладыкезектеқауіпсіздікқұрылғыжәне желінің қалыпты жұмысын тиімдірек қамтамасыз етеді.
Ол кез келген жүрек соғу параметрлерін реттей аладыкезектежүрек соғысы сияқты қауіпсіздік құрылғысы,Txаралық уақыт, жүрек соғуының максималды қайталану уақыты, жүрек соғуының жиілігіTxбағыт және т.б. Ол ақаулық күйін анықтап, бағалай аладыкезектеқауіпсіздік құрылғыларын уақытында іске қосыңыз және қорғаныс байланыстарын жылдам айналып өтуді жүзеге асырыңыз.
Жүрек соғуын анықтау пакеттері - әдепкі Ethernet 2-қабатының кадрлары. Мөлдір 2-қабаттың көпір режимі (мысалы, IPS/FW) орналастырылған кезде, 2-қабаттың Ethernet кадрлары бұғатталмай немесе түсіп қалмай қалыпты түрде жіберіледі. Сонымен қатар, ол кейбір арнайы жағдайларға бейімделу үшін арнайы Ethernet 2, 3 және 4-қабаттың жүрек соғуын анықтау пакеттерін де қолдай алады.кезектеҚауіпсіздік құрылғылары әдеттегі Ethernet 2-деңгейлі кадрларын жібере алмайды.
Жоғарыда аталған механизмге сүйене отырып, пайдаланушылар қосылған қауіпсіздік құрылғыларының қызмет көрсету деңгейіндегі денсаулықты анықтау әсерін түсіне алады, осылайша қауіпсіздік қызметтерінің қалыпты жұмысын тиімдірек қамтамасыз ете алады.
Айналып өту коммутациясы
Ол өте төмен айналып өтуді қолдайдыауыстырукідіріс (<8мс), және құрылғы айналып өту кезінде пайдаланушылар желіге әсерін әрең сезінедіауыстыруСонымен қатар, құрылғыға тән сілтеме коммутация технологиясы айналып өту кезінде негізгі сілтеменің сілтеме күйіне әсер етпейтініне кепілдік бере алады.ауыстыруБұл технология айналып өтуді қамтамасыз етедіауыстыруқауіпсізірек және қорғалған сілтемелердің 2-қабат / 3-қабат топологиясы хаттамасының қайта есептеуіне және конвергенциясына әкелмейді, осылайша пайдаланушы желісіне әсерді азайтуға болады.ауыстыру.
Жол қозғалысын блоктау
Қауіпсіздік құрылғысы трафиктегі заңсыз немесе қалыптан тыс сеанс қосылымдарын анықтаған кезде және оларды уақытында бұғаттау қажет болғанда, құрылғы кез келген көрсетілген пакеттерді жоғары/төмен трафикте ұстап ала алады.кезектежелілік қызметтердің қауіпсіз жұмысын қамтамасыз ету үшін кортежді сәйкестендіру сүзгісінің шарттарына негізделген сілтеме.
Жол қозғалысы айнасы
Кірістірілген байланыс пен Кірістірілген қауіпсіздік құрылғысының (мысалы, IPS, WAF) трафигін қорғаумен қатар, кез келген SPAN айналы трафигін SPAN қауіпсіздік мониторингі жүйесіне (мысалы, IDS, APT) шығаруға болады, бұл трафик деректерін SPAN бақылау немесе трафикті тестілеу және тексеру талаптарын қанағаттандыру үшін қажет.
SSL проксиі
SSL прокси функциясы арқылы түпнұсқа шифрланған пакет шифрдан шығарылып, ішкі қауіпсіздікті қорғау жүйесіне жіберіледі, содан кейін шифрдан шығарылған деректер қалпына келтіріліп, бастапқы сілтемеге қайтарылады, осылайша шифрдан шығарылған деректерді пайдаланушының бастапқы сілтемесіндегі шифрланған деректердің берілуіне әсер етпей ішкі қауіпсіздікті қорғау жүйесіне береді және талдау жүйесі арқылы шифрланған деректерді бақылау мен талдауды жүзеге асырады.
4.2-SPAN орналастыру
Желілік трафикті репликациялау
Ол қолдайдыКезекте(сериялық)кез келген жердегі белгілі бір трафик түрлеріне арналған қорғаныс режимікезектесілтеме.Toпайдаланушы көрсеткен кейбір трафик түрлерін бағыттаукезектесілтемеКезекте Sқауіпсіздікқұрылғыөңдеу үшін, ал қалған трафик тікелей ағып кетпей жіберіледіКезекте Sқауіпсіздікқұрылғы. Осы уақытта,itжұмыс күйін нақты уақыт режимінде бақылайдыКезекте SқауіпсіздікқұрылғыТрафикті өңдеудің қалыптан тыс күйі анықталғаннан кейін,itжелілік қызметтің үздіксіздігін қамтамасыз ету үшін трафикті беру жолынан автоматты түрде айналып өтеді.
Желілік трафикті агрегациялау
Бастапқы кіріс трафигі мен алдын ала өңделген трафикті GE, 10GE, 40G және 100G желілік жылдамдықты бағыттау кезінде N арналық сигналды агрегациялағаннан кейін 1 арналық сигналға сәйкес N арналық сигналға көшіруге немесе M арналық сигналға көшіруге болады, бұл желіде бір уақытта екіден көп портты тыңдау айналма құрылғыларын орналастыру қажеттіліктерін тамаша шешеді.
Деректерді тарату/жіберу
Кіріс метадеректерін дәл жіктеді және пайдаланушының алдын ала анықталған ережелеріне сәйкес әртүрлі деректер қызметтерін бірнеше интерфейс шығыстарына жіберді немесе алып тастады.
Пакеттік деректерді сүзу
Енгізілген деректержол қозғалысыдәл жіктелуі мүмкін, және әртүрлі деректер қызметтері ақ тізімге немесе қара тізім ережелеріне енгізілуі мүмкін, және бірнеше интерфейс шығыстарын алып тастауға немесе қайта жіберуге болады. Ол Ethernet түріне, VLAN тегіне, бес кортежді IP негізінде икемді комбинацияны қолдайды.TCPидентификатор, пакет сипаттамалары және басқа элементтер әртүрлі желілік қауіпсіздік жабдықтарының орналастыру талаптарын, хаттаманы талдауды, сигнал беруді талдауды және басқа да трафикті бақылауды одан әрі қанағаттандыру үшін.
Жүктеме балансы
Қосымша хэш алгоритмінің жүктемені теңестіруін L2-L4 ішкі және сыртқы қабат сипаттамаларына сәйкес жүзеге асыруға болады, бұл алынған деректер ағынының сеанс тұтастығын қамтамасыз етеді.СПАНбақылау құрылғысы. Байланыс күйі өзгерген кезде, түсіру порты тобының мүшелері икемді түрде шыға алады (сілтеме ТӨМЕН) немесе қосыла алады (сілтеме ЖОҒАРЫ), ал түсіру тобы порттың шығыс трафигінің динамикалық жүктеме теңгерімін қамтамасыз ету үшін трафикті автоматты түрде қайта тарата алады.
VLAN тегтелген
VLAN белгісіз
VLAN ауыстырылды
Пакеттің алғашқы 128 байтындағы кез келген кілт өрісін сәйкестендіруді қолдады. Пайдаланушы ығысу мәнін, кілт өрісінің ұзындығы мен мазмұнын реттей алады және пайдаланушы конфигурациясына сәйкес трафик шығыс саясатын анықтай алады.
Уақытты белгілеу
Қолдау көрсетілетін NTP серверін синхрондап, уақытты түзетіңіз және хабарламаны пакетке кадрдың соңында уақыт белгісі бар салыстырмалы уақыт тегі түрінде, наносекунд дәлдігімен жазыңыз
Туннельді капсулалау арқылы бөлу
Бастапқы деректер пакетінде VxLAN, VLAN, GRE, GTP, MPLS, IPIP тақырыбын қолдады және шығысты жіберді.
Деректер/пакеттерді бөлу
Ол қолдайдыпакет тілімісаясат деңгейіндегі трафикті енгізу интерфейсі және шығару интерфейсі негізінде бастапқы деректерді енгізу (64, 96, 128, 160, 192, 224, 256, 288, 320, 384, 512, 640, 768, 896, 960 байт міндетті емес), және трафикті шығару саясатын пайдаланушы конфигурациясына сәйкес енгізуге болады.
Туннельдеу протоколын анықтау
GTP / GRE / VxLAN / PPTP / L2TP / PPPOE / IPIP сияқты әртүрлі туннельдеу хаттамаларын автоматты түрде анықтауға қолдау көрсетіледі. Пайдаланушы конфигурациясына сәйкес, трафик шығыс стратегиясын туннельдің ішкі немесе сыртқы қабатына сәйкес жүзеге асыруға болады.
Пакеттерді жіберу басымдығы
Ол кіріс портындағы қызметтің маңыздылығына сәйкес деректер пакеттерінің басымдығын анықтауды қолдайды және жоғары басымдықты пакеттер шығыста артықшылықты түрде жіберіледі. Жоғары басымдықты пакеттер жіберілгеннен кейін, басқа орташа және төмен басымдықты пакеттер жіберіледі. Маңызды деректер пакеттерінің жоқтығынан туындаған талдау жүйесінің дабылын болдырмаңыз.
Қалыптан тыс дабыл
Ол шекті мән параметріне негізделген интерфейс трафигінің үрдістерінің нақты уақыт режиміндегі дабылын және тарихи дабыл жазбаларын бақылайды. Ол құрылғы жабдықтарының (процессор, жад, температура, желдеткіш, қуат көзі және т.б.) жұмыс жағдайына негізделген нақты уақыт режиміндегі дабылдарды және тарихи дабыл жазбаларын қолдайды.
Интерфейстің ыстық сақтық көшірмесі
Кіріс интерфейсінің 1+1 негізгі/күту режиміндегі конфигурациясын, шығыс интерфейсінің 1+1 негізгі/күту режиміндегі конфигурациясын және жүктемені теңестіру тобының N+1 негізгі/күту режиміндегі конфигурациясын кірістен шығысқа дейінгі трафик процесінде жоғары сенімділікке қол жеткізу үшін қолдайды.
Трафиктің микрожарылысын өлшеу
Ол трафиктің микрожарылысының пайда болу уақытын, ұзақтығын және жарылыс жылдамдығын нақты уақыт режимінде анықтай алады және тарихи өлшеу жазбаларын сақтауды қамтамасыз етеді, бұл пайдалану мен техникалық қызмет көрсету ақауларын жою және пакеттердің жоғалуын анықтау үшін сандық және бақыланатын құралдар мен негіздерді қамтамасыз етеді.
Интерфейстің тербелісінен қорғау
Ол кез келген интерфейстің жоғары/төмен байланыс тербеліс оқиғаларын анықтауды және қорғауды қолдайды, осылайша интерфейстердің жиі жоғары/төмен байланысынан туындаған кіріс және шығыс трафигінің жоғалуын болдырмау және трафикті жинау мен қайта жіберудің тұрақтылығын жақсарту үшін.
Туннельді капсуляциялау шығысы
Жиналған трафикті қашықтан талдау жүйесіне берудің қолданбалы талаптарын қанағаттандыру үшін кез келген жиналған трафик пен шығыстың ERSPAN2, GRE, VXLAN, NVGRE типті туннельдік инкапсуляциясын қолдайды.
Туннель пакетін аяқтау
Ол туннельдік хабарламаны аяқтау функциясын қолдайды. Бұл функция трафикті енгізу портында IP мекенжайларын/маскаларын және MAC мекенжайларын конфигурациялауға мүмкіндік береді. Ол пайдаланушы желісінде жиналуы қажет трафикті GRE, GTP және VXLAN сияқты туннельдік инкапсуляция әдістері арқылы құрылғының жинау портына тікелей жіберуге мүмкіндік береді.
SPAN SSL шифрын шешу
Тиісті SSL сертификатының шифрын ашуды жүктеуді қолдайды. Көрсетілген трафик үшін HTTPS шифрланған деректерінің шифрын ашқаннан кейін, ол қажет болған жағдайда артқы бақылау және талдау жүйелеріне жіберіледі. TLS1.0, TLS1.2 және SSL3.0 қолдауы бар
Деректер/пакеттердің қайталануын жою
Белгілі бір уақытта бірнеше жинақ көзі деректерін және сол деректер пакетінің қайталануларын салыстыру үшін портқа негізделген немесе саясат деңгейіндегі статистикалық түйіршіктілікті қолдайды. Пайдаланушылар әртүрлі пакет идентификаторларын (dst.ip, src.port, dst.port, tcp.seq, tcp.ack, dst.mac, src.mac, vlan.id) таңдай алады.
Құпия күндерді жасыру
Құпия ақпаратты қорғау мақсатына жету үшін шикі деректердегі кез келген негізгі өрісті ауыстыру үшін саясатқа негізделген түйіршіктілікті қолдайды. Пайдаланушы конфигурациясына сәйкес трафик шығыс саясатын енгізуге болады.
APP қабатының протоколын анықтау
Ол DNS/URL сәйкестендіру режиміне негізделген қолданбалы деңгей хаттамаларын анықтауды, шығаруды және жоюды қолдайды. DPI мүмкіндіктер кітапханасын кемінде 1800 түрлі қолданбалы хаттама мүмкіндіктерін (мысалы, аудио және бейне, ойын, лездік хабар алмасу, дерекқор, электрондық пошта, P2P және т.б.) тану, шығару және жою үшін біріктіруге болады, ал DPI мүмкіндіктер кітапханасын жаңартуға және жаңартуға болады. Арнайы қажеттіліктер болған жағдайда, қосымша әзірлеуді де жүзеге асыруға болады.
Пакетті пайдаланушы анықтайтын декапсуляциялау
Ол пакеттің алғашқы 128 байтының кез келген жеріндегі инкапсуляция өрістері мен мазмұнын алып тастап, оны шығара алатын өзін-өзі анықтайтын пакетті капсуладан шығару функциясын қолдайды.
Жол қозғалысын қалыптастыру
Сонымен қатар, деректер ағынын талдау құралына біркелкі шығару үшін шығыс интерфейсінде трафикті қалыптастыру технологиясы қолданылады, бұл микрожарылыстан туындаған пакеттердің жоғалу құбылысын түбегейлі шешеді және талдау жүйесінде трафиктің жоғалуынан туындаған қалыптан тыс дабылды болдырмайды.
Пакеттік кілт сөздерді сәйкестендіру
Пакеттің пайдалы жүктеме бөлігіндегі кез келген өріс мазмұны сәйкестендіріліп, сәйкестендірілгеннен кейін, байланысты пакет немесе сессия ағыны белгілі бір трафик деректерінің алдын ала өңдеу талаптарын қанағаттандыру үшін жіберіледі және шығарылады немесе жойылады.
Туннельді капсулалау арқылы бөлу
Ол VXLAN, MPLS, GRE, SRV6, FABRICPATCH, GENEVE және басқа да пакет тақырыптарының бастапқы деректер пакетіндегі деректерін алып тастағаннан кейін шығаруын қолдайды.
Ұзақ мерзімді қосылымды босату
Пайдаланушының қажеттіліктеріне сәйкес, кез келген сеанс ағынын берілген байттар саны мен берілген пакеттер санына сәйкес қайта жіберуге және шығаруға болады, ал кейінгі сеанс ағынын алып тастауға болады, бұл кейбір нақты сценарийлерде артқы талдау жүйесінің талаптарын қанағаттандыру үшін қажет, себебі бұл тек сеанс ағынының трафигінің бір бөлігін алуды, трафикті талдау қысымын азайтуды және талдау жүйесінің тиімділігін арттыруды қажет етеді.
Трафик статистикалық талдауы
Ол кез келген кіріс интерфейсі трафигінің компоненттерінің статистикасын қолдайды және оның трафик трендінің өлшемін, IP мекенжайының трафик өлшемін/пропорциясын, қолданба хаттамасының санатының трафик өлшемін/пропорциясын, қолданба хаттамасының атауының трафик өлшемін/пропорциясын және трафик сеансы туралы ақпаратты нақты уақыт режимінде диаграммалар түрінде көрсете алады және статистикалық нәтижелерді жергілікті файлдарға экспорттауды қамтамасыз етеді. Осылайша, пайдаланушылар кез келген жиналған трафиктің құрам құрылымын анық түсіне алады және трафик стратегияларын реттеу және бизнес талаптарын өзгерту үшін ең тікелей деректерді қолдау негізін қамтамасыз ете алады.
Жол қозғалысының көрінуі - Негізгі деректерді талдау
Трафикті визуализациялауды анықтау функциясының негізгі талдау модулі пакеттер саны, бір арналы/көп арналы/хабар тарату пакеттерінің таралуы, сеанс қосылымының нөмірі, пакет хаттамасының таралуы және түсірілген трафик өлшемі сияқты түсірілген мақсатты трафик деректерінің негізгі ақпаратын көрсете алады.
Трафиктің көрінуі - DPI терең талдауы
Трафиктің көрінуін анықтау функциясының DPI терең талдау модулі алынған мақсатты трафик деректерін бірнеше тұрғыдан терең талдау жүргізе алады және егжей-тегжейлі статистиканы графиктер мен кестелер түрінде ұсына алады.
Жол қозғалысының көрінуі - жол қозғалысының үлесін талдау
● Тасымалдау қабатының хаттама пропорциясын талдау: мысалы, TCP, UDP, ICMP, IGMP, ARP және басқа да пакет пропорциясы мен трафик статистикасы және дөңгелек диаграмманы көрсету
● IP трафигінің үлесін талдау: мысалы, әртүрлі IP мекенжайларымен жасалған трафик статистикасы, IP негізіндегі трафик рейтингі TOP N және жолақты диаграмманы көрсету
● DPI қолданбасының пропорциясын талдау: мысалы, HTTP, QQ, FTP және басқа қолданба хаттамалары, байттар саны, байланыс трафигінің статистикалық таралуы және дөңгелек диаграммаларды көрсету
Жол қозғалысының көрінуі - жол қозғалысының уақыт шкаласын талдау
IP, порт, тасымалдау қабатының хаттамасы, қолданба қабатының хаттамасы және басқа көрсетілген мазмұн сияқты әртүрлі сүзу шарттарына сәйкес, ағымдағы нысананы түсіру трафигінің деректерін іріктеу уақытына қарай талдап, ұсынуға болады, ал трафик көлемі мен үрдісін уақыт сырғытпасын жылжыту және статистикалық түйіршікті масштабтау арқылы сұрауға болады, ал дәлдік 1 миллисекундқа дейін жетуі мүмкін.
Жол қозғалысының көрінуі – ағын кестесін талдау
Ағын идентификаторы, IP, порт, тасымалдау қабатының хаттамасы, қолданбалы қабат хаттамасы және басқа көрсетілген мазмұн сияқты әртүрлі сүзгі шарттарына сәйкес, ағымдағы нысаналы трафик деректерін сеанс ағынының режиміне, яғни сеанс ағыны туралы ақпараттың егжей-тегжейлі көрсетілуіне, соның ішінде әр ағынның бес кортеждік ақпаратына, тасымалдау қолданбасының түріне, пакеттерді беру саны мен байттарына және байланысты деректер ағынына негіздеп талдауға және санауға болады. Жоғарыда келтірілген ақпаратқа негізделген рейтинг дисплейі бар. Осы ақпаратқа сүйене отырып, пайдаланушылар өздеріне маңызды трафик түрлерін оңай таңдай алады, бұл пайдаланушыларға трафикті бағыттау саясатын қалыптастыру үшін ең тікелей негіз болып табылады.
Трафиктің көрінуі – Пакеттік талдау
Пакет идентификаторы, IP мекенжайы, порт, тасымалдау қабатының хаттамасы, қолданба қабатының хаттамасы және басқа көрсетілген мазмұн сияқты әртүрлі сүзу критерийлеріне сүйене отырып, түсірілген мақсатты трафик деректерін пакет деңгейіндегі талдау презентациясымен бірге беруге болады, соның ішінде:
● Пакеттерді жинау уақыт белгісін талдау
● Негізгі пакеттік ақпаратты талдау, мысалы, sip, dip, smac, DMac, протокол, жалауша, TTL, хабарлама ұзындығы, негізгі оқиғалар
● Пакеттерді беру жолын талдау және анимацияны көрсету, мысалы: жіберу уақыты, жіберу кідірісі, жіберу түрі (маршруттау, коммутация, брандмауэр, жүктемені теңестіру, NAT)
● Пакет туралы ақпараттың қысқаша мазмұны және құрылымның егжей-тегжейлі көрінісі
● Қайталанатын пакеттерді жинау санын талдау
Жол қозғалысының көрінуі – ақауларды дәл талдау
Трафиктің көрінуін анықтау функциясының ақауларды талдау модулі алынған мақсатты трафик деректері үшін әртүрлі визуалды ақауларды талдау позициясын қамтамасыз ете алады, соның ішінде:
● Қалыптан тыс шолу, мысалы: желілік қызметті талдау нәтижелері, қалыптан тыс оқиғаларды талдау нәтижелері, мінез-құлықты талдауға негізделген желілік процесс (мысалы, маршруттау құрылғыларының саны, NAT құрылғылары, брандмауэр құрылғылары, пакеттік тарату арқылы өтетін жүктемені теңестіру құрылғылары)
● Ағын кестесі деңгейіндегі ақауларды талдау, мысалы, қалыптан тыс оқиға түрлері (қосылым қабылданбады/қосылым жауап бермейді/деректер берілмейді/қосылым жартылай ашық/сеанс маршрутына қол жеткізу мүмкін емес және т.б.), ● Пакет деңгейіндегі ақауларды талдау, мысалы: қалыптан тыс оқиға түрі (пакет бақылау сомасының қатесі /TTL 0/ қол жеткізу мүмкін емес қате /FCS бақылау сомасының қатесі және т.б.), қалыптан тыс ақпараттың егжей-тегжейлі сипаттамасы және байланысты деректер ағынының мәліметтері
● Қауіпсіздік ақауларын талдау, мысалы: қалыптан тыс оқиға түрі (DDOS шабуылы/брандмауэрді бұғаттау/ARP шабуылы/UDP тасқыны/ SYN FLOOD және т.б.), қалыптан тыс ақпараттың егжей-тегжейлі сипаттамасы және байланысты деректер ағынының мәліметтері
● Желі ақауларын талдау, мысалы: қалыптан тыс оқиға түрі (коммутациялық цикл/маршруттау циклі/жолға қол жеткізу мүмкін емес/байланыс үзілімі және т.б.), қалыптан тыс ақпараттың егжей-тегжейлі сипаттамасы және байланысты деректер ағынының мәліметтері
5-Mylinking™ желілік пакет брокері және кірістірілген айналма коммутатор сипаттамалары
| ML-Айналма жол-M2000 ж. Mylinking™ желілік пакет брокері және кірістірілген айналма коммутатор Функционалдық сипаттамалары | ||||
| Желі интерфейсі | Модуль ұясы | 4 BYPASS немесе MONITOR модуль ұяшығы | ||
| Ішкі сілтемелер саны | 16 1G/10G оптикалық байланысына немесе 8 40G/100G оптикалық байланысына дейін қорғауды қолдайды. | |||
| Мониторды бақылау интерфейсі | Ең көбі 64 * 1G / 10GE бақылау интерфейстерін немесе 16 * 40G / 100G бақылау интерфейстерін қолдайды. | |||
| Диапазоннан тыс басқару интерфейсі | 1 * 10/100/1000M Ethernet порты; | |||
| Орналастыру режимі | Кіріктірілген орналастыру | Қолдау | ||
| SPAN орналастыру | Қолдау | |||
| Жүйелік функциялар | Кіріктірілген орналастыру режимі | Арнайы ағынды біріктіруден қорғау | Қолдау | |
| Барлық ағын серияларын қорғау | Қолдау | |||
| Жүктемені теңестіру | Қолдау | |||
| Жүрек соғуын анықтау | Қолдау | |||
| АЙНАЛЫП ӨТУ коммутациясы | Қолдау | |||
| Жол қозғалысын жабу | Қолдау | |||
| Жол қозғалысын бейнелеу | Қолдау | |||
| SSL проксиі | Қолдау | |||
| SPAN орналастыру режимі | Негізгі трафикті өңдеу | Трафикті репликациялау/агрегациялау/тарату | Қолдау | |
| Жүктемені теңестіру | Қолдау | |||
| IP/хаттама/порт 5-кортеж идентификаторына негізделген трафикті сүзу | Қолдау | |||
| VLAN тегтеу/өзгерту/жою | Қолдау | |||
| Уақыт белгісін қою | Қолдау | |||
| Туннельді капсулалау арқылы алу | Қолдау | |||
| Деректерді кесу | Қолдау | |||
| Туннельдеу хаттамасын анықтау | Қолдау | |||
| Пакеттерді бағыттау басымдығы | Қолдау | |||
| Қалыптан тыс ескерту | Қолдау | |||
| Интерфейстің күту режимінде жұмыс істеуі | Қолдау | |||
| Микрожарылысты өлшеу | Қолдау | |||
| Интерфейстің тербелістен қорғалуы | Қолдау | |||
| Туннельді капсуляциялау шығысы | Қолдау | |||
| Туннельдік пакеттің аяқталуы | Қолдау | |||
| Кеңейтілген трафикті өңдеу | SSL шифрын айналып өту | Қолдау | ||
| Деректердің қайталануын жою | Қолдау | |||
| Деректерді жасыру | Қолдау | |||
| Қолданбалы деңгей хаттамасының идентификациясы | Қолдау | |||
| Тапсырыс бойынша декапсуляция | Қолдау | |||
| Ағынды қалыптастыру | Қолдау | |||
| Кілт сөздерді сәйкестендіру | Қолдау | |||
| Туннельді капсулалау арқылы алу | Қолдау | |||
| Ұзақ мерзімді қосылымды босату | Қолдау | |||
| Ағын компоненттерін бақылау | Қолдау | |||
| Диагностика және мониторинг | Нақты уақыт режимінде бақылау | Қолдау | ||
| Тарихи трафик сұрауы | Қолдау | |||
| Трафикті түсіру | Қолдау | |||
| Жол қозғалысын визуализациялауды анықтау | Негізгі талдау | Пакеттер саны, пакет түрін тарату, сеанс қосылымын тарату және пакет хаттамасын тарату сияқты негізгі ақпаратқа негізделген жиынтық статистикалық дисплейді қолдайды. | ||
| DPI терең талдауы | Ол тасымалдау қабаты хаттамаларының үлесін, бір арналы, хабар тарату және көп арналы хаттамалардың үлесін, IP трафигінің үлесін және DPI қолданбаларының үлесін талдауды қолдайды. Ол іріктеу уақыты мен деректер көлеміне негізделген деректер мазмұнын талдауды және ұсынуды қолдайды. Ол сессия ағындарына негізделген деректерді талдау мен статистиканы қолдайды. | |||
| Дәл ақаулықтарды талдау | Пакеттерді беру мінез-құлқын талдау, деректер ағыны деңгейіндегі ақаулықтарды талдау, деректер пакеті деңгейіндегі ақаулықтарды талдау, қауіпсіздікке қатысты ақаулықтарды талдау және желіге қатысты ақаулықтарды талдау сияқты әртүрлі көзқарастардан трафик деректерін пайдалана отырып, ақаулықтарды талдауды және локализациялауды қолдайды. | |||
| Өңдеу қуаты | 2,4 Тбит/с | |||
| Басқару | КОНСОЛЬ Желісін басқару | Қолдау | ||
| IP/WEB желісін басқару | Қолдау | |||
| SNMP желісін басқару | Қолдау | |||
| TELNET/SSH желісін басқару | Қолдау | |||
| SYSLOG протоколы | Қолдау | |||
| RADIUS немесе TADACS+ орталықтандырылған авторизациялау аутентификациясы | Қолдау | |||
| Пайдаланушыны аутентификациялау функциясы | Пайдаланушы аты мен құпия сөзді растау | |||
| Электрлік | Номиналды қуат көзінің кернеуі | AC-220V/DC-48V [Қосымша] | ||
| Номиналды қуат жиілігі | AC-50Гц | |||
| Номиналды кіріс тогы | AC-3A / DC-10A | |||
| Номиналды функционалдық қуат | Ең көбі 300 Вт | |||
| Қоршаған орта | Жұмыс температурасы | 0-50℃ | ||
| Сақтау температурасы | -20-70℃ | |||
| Жұмыс ылғалдылығы | 10%-95%, конденсацияланбайды | |||
| Пайдаланушы конфигурациясы | Консоль конфигурациясы | RS232 интерфейсі, 115200, 8, N, 1 | ||
| Құпия сөзді растау | Sқолдау | |||
| Сөре өлшемі | Сөре кеңістігі (U) | 2U 444 мм*88 мм*670 мм | ||
6-Mylinking™ желілік пакет брокері және кірістірілген айналма коммутатор қолданбасы
6.1TheRisk ofКіріктірілген SқауіпсіздікEжабдық (IPS / FW)
Төменде әдеттегі IPS (Intrusion Prevention System), FW (Firewall) орналастыру режимі келтірілген, IPS/FW қауіпсіздікті қорғау әсеріне қол жеткізу үшін тиісті қауіпсіздік саясатына сәйкес тиісті трафикті босатуды немесе бұғаттауды анықтау үшін қауіпсіздік тексерулерін енгізу арқылы желілік жабдыққа (маршрутизаторларға, коммутаторларға және т.б.) тізбектей орналастырылады.
Төменде әдеттегі IPS (Intrusion Prevention System), FW (Firewall) орналастыру режимі келтірілген, IPS/FW қауіпсіздікті қорғау әсеріне қол жеткізу үшін тиісті қауіпсіздік саясатына сәйкес тиісті трафикті босатуды немесе бұғаттауды анықтау үшін қауіпсіздік тексерулерін енгізу арқылы желілік жабдыққа (маршрутизаторларға, коммутаторларға және т.б.) тізбектей орналастырылады.
6.2 Кірістірілген байланыс сериясы жабдықтарын қорғау
Mylinking™ желілік пакет брокері және ішкі айналма коммутатор желілік құрылғылар (маршрутизаторлар, коммутаторлар және т.б.) арасында тізбектей орналастырылған және желілік құрылғылар арасындағы деректер ағыны енді тікелей IPS / FW-ге, «Smart Inline Bypass Switch» IPS / FW-ға бағытталмайды, IPS / FW шамадан тыс жүктелу, апат, бағдарламалық жасақтама жаңартулары, саясат жаңартулары және басқа да ақаулық жағдайларына байланысты «Smart Inline Bypass Switch» ақылды жүрек соғысы хабарламасын анықтау функциясы арқылы уақтылы анықталады және осылайша ақаулы құрылғыны өткізіп жібереді, желінің жұмысын үзбей, қалыпты байланыс желісін қорғау үшін тікелей қосылған желілік жабдық; IPS / FW ақауы қалпына келтірілгенде, сонымен қатар ақылды жүрек соғысы пакеттері арқылы функцияны уақтылы анықтау, кәсіпорын желісінің қауіпсіздігін тексерудің қауіпсіздігін қалпына келтіру үшін бастапқы сілтеме.
Mylinking™ Network Packet Broker және Inline Bypass Switch қуатты интеллектуалды жүрек соғысы хабарламасын анықтау функциясына ие, пайдаланушы IPS/FW құрылғысындағы денсаулықты тексеру үшін арнайы жүрек соғысы хабарламасы арқылы жүрек соғысы аралығын және қайталау әрекеттерінің максималды санын реттей алады, мысалы, жүрек соғысын тексеру хабарламасын IPS/FW құрылғысының жоғары/төменгі ағын портына жіберу, содан кейін IPS/FW құрылғысының жоғары/төменгі ағын портынан қабылдау және жүрек соғысы хабарламасын жіберу және қабылдау арқылы IPS/FW құрылғысының қалыпты жұмыс істеп тұрғанын бағалау.
6.3 «SpecFlow» саясат ағынының кірістірілген нұсқасыҚауіпсіздікСерияны қорғау
Қауіпсіздік желілік құрылғысы тек тізбекті қауіпсіздік қорғанысындағы нақты трафикпен жұмыс істеуі қажет болған кезде, Mylinking™ Network Packet Broker және Inline Bypass Switch трафигін өңдеу функциясы арқылы, трафикті скринингтік саясат арқылы ішкі қауіпсіздік құрылғысын қосу үшін «алаңдаулы» трафик тікелей желілік байланысқа қайтарылады, ал «алаңдаулы трафик бөлімі» қауіпсіздік тексерулерін орындау үшін ішкі қауіпсіздік құрылғысына тартылады. Бұл қауіпсіздік құрылғысының қауіпсіздікті анықтау функциясының қалыпты қолданылуын сақтап қана қоймай, сонымен қатар қысыммен күресу үшін қауіпсіздік жабдығының тиімсіз ағынын азайтады; сонымен бірге, «Smart Inline Bypass Switch» қауіпсіздік құрылғысының жұмыс жағдайын нақты уақыт режимінде анықтай алады. Қауіпсіздік құрылғысы желілік қызметтің үзілуін болдырмау үшін деректер трафигін тікелей айналып өтеді.
Mylinking™ желілік пакет брокері және Inline Bypass Switch VLAN тегі, бастапқы/мақсатты MAC мекенжайы, бастапқы IP мекенжайы, IP пакетінің түрі, тасымалдау қабатының хаттама порты, хаттама тақырыбының кілт тегі және т.б. сияқты L2-L4 қабатының тақырып идентификаторына негізделген трафикті анықтай алады. Белгілі бір қауіпсіздік құрылғысына қызығушылық тудыратын нақты трафик түрлерін анықтау үшін әртүрлі сәйкестендіру шарттарының икемді үйлесімін икемді түрде анықтауға болады және арнайы қауіпсіздік аудиті құрылғыларын (RDP, SSH, дерекқор аудиті және т.б.) орналастыру үшін кеңінен пайдаланылуы мүмкін.
6.4Lжүктеме теңгеріміКірістірілген қауіпсіздікСерияны қорғау
Mylinking™ желілік пакет брокері және кірістірілген айналма коммутатор желілік құрылғылар (маршрутизаторлар, коммутаторлар және т.б.) арасында тізбектей орналастырылады. Бір IPS / FW өңдеу өнімділігі желілік байланыс шыңының трафигімен күресу үшін жеткіліксіз болған кезде, қорғаушының трафик жүктемесін теңестіру функциясы, бірнеше IPS / FW кластерін өңдеу желілік байланыс трафигін «біріктіру», бір IPS / FW өңдеу қысымын тиімді түрде төмендетіп, орналастыру ортасының жоғары өткізу қабілеттілігін қанағаттандыру үшін жалпы өңдеу өнімділігін жақсарта алады.
Mylinking™ желілік пакет брокері және ішкі айналма коммутаторы кадр VLAN тегіне, MAC ақпаратына, IP ақпаратына, порт нөміріне, хаттамаға және трафиктің хэш жүктемесін теңестіру туралы басқа ақпаратқа сәйкес қуатты жүктемені теңестіру функциясына ие, бұл әрбір IPS / FW деректер ағынының сессия тұтастығын қабылдауын қамтамасыз етеді.
6.5Көп сериялыКіріктірілген жабдық FтөменTрационPқорғау(ӨзгерісФизикалықСериялық қосылымЛогикалықПараллель қосылым)
Кейбір негізгі байланыстарда (мысалы, интернет розеткалары, сервер аймағының алмасу байланысы) орналасу көбінесе қауіпсіздік мүмкіндіктерінің қажеттіліктеріне және бірнеше желі ішіндегі қауіпсіздікті тексеру жабдықтарын (мысалы, брандмауэр, DDOS шабуылына қарсы жабдық, WEB қолданбасының брандмауэрі, кірудің алдын алу жабдықтары және т.б.) орналастыруға байланысты болады, бір сәтсіздік нүктесінің байланысын арттыру үшін байланыста бір уақытта бірнеше қауіпсіздікті анықтау жабдықтарын тізбектей пайдалану желінің жалпы сенімділігін төмендетеді. Ал жоғарыда аталған қауіпсіздік жабдықтарын желіде орналастыру, жабдықты жаңарту, жабдықты ауыстыру және басқа да операциялар желінің ұзақ уақыт бойы қызмет көрсетуінің үзілуіне және мұндай жобаларды сәтті іске асыруды аяқтау үшін жобаны қысқартудың үлкен шараларына әкеледі.
Mylinking™ желілік пакет брокері мен ішкі айналма коммутаторды бірыңғай түрде орналастыру арқылы бір арнада тізбектей қосылған бірнеше қауіпсіздік құрылғыларының орналастыру режимін «Физикалық тізбектей қосылу режимінен» «Физикалық параллель қосылу, бірақ логикалық тізбектей қосылу режиміне» өзгертуге болады. Бұл тізбектей қосылымдағы бір нүктенің істен шығу көздерін тиімді түрде азайтады және байланыстың сенімділігін арттырады. Сонымен қатар, Mylinking™ желілік пакет брокері мен ішкі айналма коммутатор бастапқы тізбектей қосылу режиміндегідей трафик қауіпсіздігін өңдеу әсеріне қол жеткізе отырып, байланыс трафигін сұраныс бойынша басқара алады.
Бір уақытта бірнеше ішкі қауіпсіздік құрылғысын тізбектей орналастыру диаграммасында көрсету:
Mylinking™ желілік пакет брокері және кірістірілген айналма коммутаторды орналастыру диаграммасы:
(Физикалық тізбекті қосылымды логикалық параллель қосылымға өзгертіңіз)
6.6НегізіндеDдинамикалық саясатыTрафикалық кірістірілгенSқауіпсіздікDтаңдауPқорғау
Mylinking™ желілік пакет брокері және ішкі айналма ауысу, тағы бір кеңейтілген қолданба сценарийі трафик тарту қауіпсіздігін анықтаудан қорғау қолданбаларының динамикалық саясатына негізделген, төменде көрсетілгендей орналастыру тәсілі:
Мысалы, «DDoS шабуылынан қорғау және анықтау» қауіпсіздік сынақ жабдығын алайық, мысалы, «Smart Bypass Switch» және DDOS қорғаныс жабдығын алдыңғы жағынан орналастыру арқылы, содан кейін «Smart Bypass Switch»-ке қосылып, әдеттегі «Smart Bypass Switch»-те трафик сымының жылдамдығын толық көлемде бағыттау кезінде ағын айнасы шығысын «DDOS шабуылынан қорғау құрылғысына» жібереді, шабуылдан кейін сервер IP мекенжайы (немесе IP желі сегменті) анықталғаннан кейін, «DDOS шабуылынан қорғау құрылғысы» мақсатты трафик ағынын сәйкестендіру ережелерін жасайды және оларды динамикалық саясатты жеткізу интерфейсі арқылы «Smart Bypass Switch»-ке жібереді. «Aypass Switch» динамикалық саясат ережелері ережелері пулын алғаннан кейін «трафик тарту динамикасын» жаңарта алады және дереу шабуыл серверінің трафигін «DDoS шабуылынан қорғау және анықтау» жабдығына бағыттайды, бұл шабуыл ағынынан кейін күшіне енеді және желіге қайта енгізіледі.
«Ақылды айналма қосқышқа» негізделген қолданба схемасын дәстүрлі BGP маршруттық инъекциясына немесе басқа трафик тарту схемасына қарағанда іске асыру оңайырақ, ал қоршаған орта желіге аз тәуелді және сенімділігі жоғарырақ.
«Ақылды айналып өту қосқышы» динамикалық саясат қауіпсіздігін анықтаудан қорғауды қолдау үшін келесі сипаттамаларға ие:
1. WEBSERIVCE интерфейсіне негізделген ережелерден тыс, үшінші тарап қауіпсіздік құрылғыларымен оңай интеграциялауды қамтамасыз ететін «Smart Bypass Switch».
2. Коммутатордың бағытталуын бұғаттамай, 100 Гбит/с сым жылдамдығындағы пакеттерді бағыттайтын аппараттық таза ASIC чипіне негізделген «ақылды айналма коммутатор» және нөміріне қарамастан «трафик тарту динамикалық ережелерінің кітапханасы».
3. «Ақылды айналма қосқыш» кіріктірілген кәсіби BYPASS функциясы, тіпті қорғаушының өзі істен шыққан жағдайда да, бастапқы сериялық байланысты бірден айналып өтуі мүмкін, қалыпты байланыстың бастапқы байланысына әсер етпейді.
6.7Кіріктірілген сериялық трафикті көрсетуДиапазоннан тыс қауіпсіздік үшін (кірістірілген + SPAN)
Mylinking™ желілік пакет брокері және ішкі айналма коммутатор әдетте тұтынушының IT желісінде немесе бұлттық платформа желісінде WAF/IPS құрылғылары мен бастапқы байланысты ішкі қорғауды қамтамасыз ету үшін орналастырылады. Пайдаланушыларда айналма бақылау құрылғыларын сынау, тексеру немесе орналастыру бойынша қосымша талаптар болуы мүмкін, бұл осы байланыстың трафик деректерін алуды қажет етеді.
Сондықтан, Mylinking™ Network Packet Broker және Inline Bypass Switch трафикті айналау функциясын пайдаланып, келесі суретте көрсетілгендей, inline тізбекті байланыс трафигін монитор портынан айналауға болады:
Төмендегі диаграммада ішкі байланыс трафигі мен коммутатор айнасы бар порт трафигінің кеңейтілген қолдану сценарийі көрсетілген. Бұл коммутатор айнасы бар порт трафигінің әсерінсіз ішкі байланыс трафигін қорғауға мүмкіндік береді. IDS талдау жүйесі бір мезгілде ішкі байланыс трафигін де, коммутатор айнасы бар порт трафигін де ала алады. Орналастыру әдісі төмендегі диаграммада көрсетілген:
6.8Деректер/пакеттердің қайталануын жоюҚолданба
Жоғарыдағы қолданбаны орналастыру құрылымында көрсетілгендей, бүкіл байланыс бойынша бастапқы деректер жинаудың тұтастығын қамтамасыз ету үшін кейбір бірдей деректер пакеттері бір жолда бірнеше рет жиналуы мүмкін. Бұл артқы жүйеде жалған дабылдар мен қайта жіберулердің көбеюіне әкеледі, талдау жүйесінің өнімділік шығындарын арттырады және талдаудың дәлдігі мен тиімділігіне әсер етеді. Шешімге сүйене отырып, біріншіден, әртүрлі түсіру түйіндерінде қайталанатын деректер пакеттері қайталанады. Артқы NPM желілік өнімділікті талдау жүйесіне және APM қолданбалық өнімділікті талдау жүйесіне тек бір деректер пакеті жіберіледі, осылайша талдау жүйесінің өнімділігі сақталады және талдаудың тиімділігі мен дәлдігі артады.
6.9Деректер/ПакетVLAN тегіингҚолданба
Жоғарыдағы диаграммада көрсетілген желілік ортада шешім әртүрлі желілік құрылғылар мен байланыс түйіндерінен алынған шикі деректерді белгілеу үшін қолданылады. Желіде қалыптан тыс трафик немесе деректер пакеттері пайда болған кезде, артқы талдау жабдығы деректер белгілеріне сүйене отырып, қалыптан тыс деректердің көзін тез және дәл таба алады.
6.10 Желілік трафикБірыңғай кестеҚолданба
Жоғарыдағы диаграммада көрсетілген желілік ортада бірнеше 10GE, 25GE, 40GE және 100GE бастапқы байланыс деректері оптикалық бөлу немесе порт айнасы арқылы Mylinking™ желілік пакет брокеріне және ішкі айналып өту коммутаторына толығымен енгізіледі. Содан кейін сүзу және трафикті бөлу әртүрлі қызметтік деректер трафигін әртүрлі артқы диапазоннан тыс желілік мониторинг және қауіпсіздік жүйесінің құрылғыларына шығару үшін қолданылады. Желілік пакет ауытқулары немесе трафиктің қалыптан тыс ауытқулары қолмен араласуды қажет еткенде, пайдаланушыларға ақаулықты тез талдауға және табуға көмектесу үшін бастапқы деректер пакеттерін нақты уақыттағы түсіру және талдау дереу орындалуы мүмкін.
6.11ЖеліТрафик деректерінің көрінуін талдауҚолданба
Ол анықталған және түсірілген кез келген деректерді пайдаланушыға ыңғайлы графикалық және мәтіндік интерактивті интерфейс арқылы көп өлшемді және көп перспективалы түрде ұсына алады, соның ішінде трафик құрамының құрылымы, қолданба хаттамасының таралуы, барлық желі түйіндерінің трафик таралуы, деректерді беру жолы, қалыптан тыс оқиғаларды анықтау, желі элементінің/байланыс ақауларының дәл орналасуы, хабарламалардың өзара әрекеттесу күйі, трафиктің даму үрдісі және бақылау мен талдаудың басқа да аспектілері, осылайша кәсіпорын желілері үшін кешенді, көрінетін және басқарылатын жалпы деректерді жинау және қауіпсіздік платформасын құру.
