Mylinking™ желілік түртуді айналып өту қосқышы ML-BYPASS-100
2*Айналып өту және 1*Монитордың модульдік дизайны, 10/40/100GE сілтемелері, макс. 640 Гбит/с
Шолулар
Mylinking™ желілік түртіп айналып өту қосқышы жоғары желілік сенімділікті қамтамасыз ете отырып, әртүрлі типтегі ішкі қауіпсіздік жабдықтарын икемді түрде орналастыру үшін пайдаланылатындай етіп зерттеліп, әзірленген.
Mylinking™ Smart Bypass Switch Tap функциясын орнату арқылы:
- Пайдаланушылар қауіпсіздік жабдықтарын/құралдарын икемді түрде орната/жоя алады және ағымдағы желіге әсер етпейді және үзбейді;
- Mylinking™ желілік түртіп айналып өту қосқышы интеллектуалды денсаулықты анықтау функциясымен ішкі қауіпсіздік құрылғыларының қалыпты жұмыс күйін нақты уақыт режимінде бақылауға мүмкіндік береді. Кірістірілген қауіпсіздік құрылғылары жұмыс істемей қалғаннан кейін, қорғаныс функциясы қалыпты желілік байланысты сақтау үшін автоматты түрде айналып өтеді;
- Таңдамалы трафикті қорғау технологиясын арнайы трафикті тазарту қауіпсіздігі жабдықтарын, аудит жабдықтарына негізделген шифрлау технологиясын орналастыру үшін пайдалануға болады. Белгілі бір трафик түріне арналған желілік кіруді қорғауды тиімді жүзеге асыру, желілік құрылғының ағынды басқару қысымын төмендету;
- Жүктемені теңестіретін трафикті қорғау технологиясын жоғары өткізу қабілеттілігі бар орталарда кірістірілген қауіпсіздікті қамтамасыз ету үшін қауіпсіз сериялық кірістірілген қауіпсіздік құрылғыларын кластерлік орналастыру үшін пайдалануға болады.
Желілік түртуді айналып өту ауыстырғышының кеңейтілген мүмкіндіктері мен технологиялары
Mylinking™ «SpecFlow» қорғаныс режимі және «FullLink» қорғаныс режимі
Mylinking™ жылдам айналып өту коммутациясынан қорғау
Mylinking™ “LinkSafeSwitch”
Mylinking™ “WebService” динамикалық стратегиясын бағыттау/шығару
Mylink™ ақылды жүрек соғысы туралы хабарламаларды анықтау
Mylinking™ анықтайтын жүрек соғысы хабарламалары (жүрек соғысы пакеттері)
Mylinking™ көп буынды жүктемені теңестіру
Mylinking™ интеллектуалды трафикті тарату
Mylinking™ динамикалық жүктемені теңестіру
Mylinking™ қашықтан басқару технологиясы (HTTP/WEB, TELNET/SSH, “EasyConfig/AdvanceConfig” сипаттамасы)
Желілік түртуді айналып өту қосқышының қосымша конфигурация нұсқаулығы
Айналып өту модуліҚорғаныс порты модулінің ұясы:
Бұл ұяшықты әртүрлі жылдамдық/порт нөмірі бар BYPASS қорғаныс порт модуліне салуға болады. Әртүрлі модуль түрлерін ауыстыру арқылы ол бірнеше 10G/40G/100G байланыс талаптарының BYPASS қорғанысын қолдай алады.
МОНИТОР модуліПорт модулінің ұясы;
Бұл ұяшықты әртүрлі жылдамдықтар/порттармен MONITOR модуліне салуға болады. Ол әртүрлі модульдерді ауыстыру арқылы кірістірілген сериялық бақылау құрылғысын орналастыру үшін 10G/40G/100G бірнеше сілтемелерін қолдай алады.
Модульді таңдау ережелері
Әртүрлі орналастырылған сілтемелер мен мониторинг жабдықтарын орналастыру талаптарына сүйене отырып, сіз нақты орта сұранысыңызды қанағаттандыру үшін әртүрлі модуль конфигурацияларын икемді түрде таңдай аласыз; модульді таңдау кезінде келесі ережелерді орындаңыз:
1. Шасси компоненттері міндетті болып табылады және басқа модульдерді таңдамас бұрын шасси компоненттерін таңдауыңыз керек. Сонымен қатар, қажеттіліктеріңізге сәйкес әртүрлі қуатпен жабдықтау әдістерін (АТ/ТТ) таңдаңыз.
2. Құрылғы толығымен 2 BYPASS модуль ұяшығын және 1 MONITOR модуль ұяшығын қолдайды; конфигурациялау үшін ұяшықтар санынан артық таңдай алмайсыз. Ұяшықтар саны мен модуль моделінің үйлесіміне байланысты құрылғы төрт 10GE байланыс қорғанысын қолдай алады; немесе төрт 40GE байланысын қолдай алады; немесе бір 100GE байланысын қолдай алады.
3. "BYP-MOD-L1CG" модуль моделін дұрыс жұмыс істеу үшін тек SLOT1 ұяшығына ғана салуға болады.
4. "BYP-MOD-XXX" модуль түрін тек BYPASS модуль ұясына салуға болады; "MON-MOD-XXX" модуль түрін тек MONITOR модуль ұясына қалыпты жұмыс істеу үшін салуға болады.
| Өнім моделі | Функция параметрлері |
| Шасси (хост) | |
| ML-BYPASS-M100 | 1U стандартты 19 дюймдік тірекке орнату; максималды қуат тұтынуы 250 Вт; модульдік BYPASS қорғаныс хост; 2 BYPASS модулінің ұясы; 1 MONITOR модулінің ұясы; айнымалы және тұрақты ток қосымша; |
| АЙНАЛЫП ӨТУ МОДУЛІ | |
| BYP-MOD-L2XG(LM/SM) | 2 жақты 10GE байланыс сериялық қорғанысын, 4 * 10GE интерфейсін, LC қосқышын қолдайды; кіріктірілген оптикалық қабылдағыш-таратқыш; оптикалық байланыс бір/көп режимді қосымша, 10GBASE-SR/LR қолдайды; |
| BYP-MOD-L2QXG(LM/SM) | 2 жақты 40GE байланыс сериялық қорғанысын, 4*40GE интерфейсін, LC қосқышын қолдайды; кіріктірілген оптикалық қабылдағыш-таратқыш; оптикалық байланыс бір/көп режимді қосымша, 40GBASE-SR4/LR4 қолдайды; |
| BYP-MOD-L1CG (LM/SM) | 1 арналы 100GE байланыс сериялық қорғанысын, 2 * 100GE интерфейсін, LC қосқышын қолдайды; кіріктірілген оптикалық қабылдағыш-таратқыш; оптикалық байланыс бір көп режимді қосымша, 100GBASE-SR4/LR4 қолдайды; |
| МОНИТОР МОДУЛІ | |
| ДҮЙСЕНБІ-МОД-L16XG | 16 * 10GE SFP+ бақылау порт модулі; оптикалық қабылдағыш-таратқыш модуль жоқ; |
| ДҮЙСЕНБІ-МОД-L8XG | 8*10GE SFP+ бақылау порт модулі; оптикалық қабылдағыш-таратқыш модулі жоқ; |
| ДҮЙСЕНБІ-МОД-L2CG | 2*100GE QSFP28 бақылау портының модулі; оптикалық қабылдағыш-таратқыш модулі жоқ; |
| ДҮЙСЕНБІ-МОД-L8QXG | 8* 40GE QSFP+ бақылау порт модулі; оптикалық қабылдағыш-таратқыш модулі жоқ; |
Желілік TAP айналма коммутаторының сипаттамалары
| Өнімнің түрі | ML-BYPASS-M100 желілік кранды айналып өту қосқышы | |
| Интерфейс түрі | MGT интерфейсі | 1*10/100/1000BASE-T бейімделгіш басқару интерфейсі; Қашықтан HTTP/IP басқаруды қолдау |
| Модуль ұясы | 2*BYPASS модулінің ұясы; 1*MONITOR модулінің ұясы; | |
| Максималды қолдау көрсететін сілтемелер | Құрылғы ең көбі 4 * 10GE сілтемелерін немесе 4 * 40GE сілтемелерін немесе 1 * 100GE сілтемелерін қолдайды | |
| Бақылау | Құрылғыны қолдау ең көбі 16 * 10GE бақылау порттары немесе 8 * 40GE бақылау порттары немесе 2 * 100GE бақылау порттары; | |
| Функция | Толық дуплексті өңдеу мүмкіндігі | 640 Гбит/с |
| IP/хаттама/порт негізінде бес кортежге тән трафик каскадын қорғау | Қолдау көрсетілді | |
| Толық трафикке негізделген каскадты қорғаныс | Қолдау көрсетілді | |
| Бірнеше жүктемені теңестіру | Қолдау көрсетілді | |
| Арнайы жүрек соғу жылдамдығын анықтау функциясы | Қолдау көрсетілді | |
| Ethernet пакетінің тәуелсіздігін қолдау | Қолдау көрсетілді | |
| АЙНАЛЫП ӨТУ ҚОСҚЫШЫ | Қолдау көрсетілді | |
| Жарқылсыз айналып өту қосқышы | Қолдау көрсетілді | |
| MGT КОНСОЛЬ | Қолдау көрсетілді | |
| IP/WEB MGT | Қолдау көрсетілді | |
| SNMP V1/V2C MGT | Қолдау көрсетілді | |
| TELNET/SSH MGT | Қолдау көрсетілді | |
| SYSLOG протоколы | Қолдау көрсетілді | |
| Пайдаланушы рұқсаты | Құпия сөзді растау/AAA/TACACS+ негізінде | |
| Электрлік | Номиналды қоректендіру кернеуі | AC-220V/DC-48V【Қосымша】 |
| Номиналды қуат жиілігі | 50 Гц | |
| Номиналды кіріс тогы | AC-3A / DC-10A | |
| Номиналды қуат | 100 Вт | |
| Қоршаған орта | Жұмыс температурасы | 0-50℃ |
| Сақтау температурасы | -20-70℃ | |
| Жұмыс ылғалдылығы | 10%-95%, конденсация жоқ | |
| Пайдаланушы конфигурациясы | Консоль конфигурациясы | RS232 интерфейсі, 115200,8,N,1 |
| MGT интерфейсінен тыс диапазон | 1 * 10/100/1000M Ethernet интерфейсі | |
| Құпия сөзді рұқсат ету | Қолдау көрсетілді | |
| Шасси биіктігі | Шасси кеңістігі (U) | 1U 19 дюйм, 485 мм * 44,5 мм * 350 мм |
Желілік TAP айналып өту коммутациясы қолданбасы (келесідей)
5.1 Кіріктірілген қауіпсіздік жабдықтарының (IPS / FW) қаупі
Төменде әдеттегі IPS (интрузияның алдын алу жүйесі), FW (брандмауэр) орналастыру режимі келтірілген, IPS/FW қауіпсіздікті қорғау әсеріне қол жеткізу үшін тиісті қауіпсіздік саясатына сәйкес тиісті трафикті босатуды немесе бұғаттауды анықтау үшін қауіпсіздік тексерулерін енгізу арқылы трафик арасындағы желілік жабдық (мысалы, маршрутизаторлар, коммутаторлар және т.б.) ретінде орналастырылады.
Сонымен қатар, біз IPS (Бұзылудан қорғау жүйесі) / FW (Брандмауэр) жабдықты желі ішінде орналастыру ретінде байқай аламыз, әдетте желі ішіндегі қауіпсіздікті жүзеге асыру үшін кәсіпорын желісінің негізгі орнына орналастырылады, оның қосылған құрылғыларының сенімділігі кәсіпорын желісінің жалпы қолжетімділігіне тікелей әсер етеді. Желі ішіндегі қауіпсіздік құрылғылары шамадан тыс жүктелгенде, істен шыққанда, бағдарламалық жасақтама жаңартылғанда, саясат жаңартылғанда және т.б. кәсіпорын желісінің бүкіл қолжетімділігіне үлкен әсер етеді. Бұл кезде біз тек желіні кесу, физикалық айналып өту арқылы желіні қалпына келтіре аламыз, бірақ бұл желінің сенімділігіне айтарлықтай әсер етеді. IPS (Бұзылудан қорғау жүйесі) / FW (Брандмауэр) және басқа да желі ішіндегі құрылғылар бір жағынан кәсіпорын желісінің қауіпсіздігін орналастыруды жақсартады, екінші жағынан кәсіпорын желілерінің сенімділігін төмендетеді, желінің қолжетімді болмауы қаупін арттырады.
5.2 Кірістірілген байланыс сериясы жабдықтарын қорғау
Mylinking™ «Айналма қосқыш» желілік құрылғылар (маршрутизаторлар, коммутаторлар және т.б.) арасында желілік ретінде орналастырылған және желілік құрылғылар арасындағы деректер ағыны енді тікелей IPS (Intrusion Prevention System) / FW (Firewall) жүйесіне, IPS / FW жүйесіне «Айналма қосқыш» жүйесіне бағытталмайды, IPS / FW жүйесінде шамадан тыс жүктеме, апат, бағдарламалық жасақтама жаңартулары, саясат жаңартулары және басқа да ақаулық жағдайлары салдарынан IPS / FW жүйесінде «Айналма қосқыш» функциясы ақылды жүрек соғысы хабарламасын анықтау функциясы арқылы уақтылы анықталады және осылайша ақаулы құрылғыны өткізіп жібереді, желінің жұмысын үзбей, желілік жабдықты тікелей қосу арқылы қалыпты байланыс желісін қорғауға мүмкіндік береді; IPS / FW ақауы қалпына келтірілгенде, сонымен қатар ақылды жүрек соғысы пакеттерін анықтау функциясы арқылы уақтылы анықталған кезде кәсіпорын желісінің қауіпсіздігін тексерудің қауіпсіздігін қалпына келтіруге мүмкіндік береді.
Mylinking™ «Айналма қосқышы» қуатты интеллектуалды жүрек соғысы хабарламасын анықтау функциясына ие, пайдаланушы IPS/FW құрылғысындағы денсаулықты тексеру үшін арнайы жүрек соғысы хабарламасы арқылы жүрек соғысы аралығын және қайталау әрекеттерінің максималды санын реттей алады, мысалы, жүрек соғысын тексеру хабарламасын IPS/FW құрылғысының жоғары/төменгі ағын портына жіберу, содан кейін IPS/FW құрылғысының жоғары/төменгі ағын портынан қабылдау және жүрек соғысы хабарламасын жіберу және қабылдау арқылы IPS/FW құрылғысының қалыпты жұмыс істеп тұрғанын бағалау.
5.3 «SpecFlow» саясаты ағынының сызықтық тарту сериясын қорғау
Қауіпсіздік желілік құрылғысы тек тізбекті қауіпсіздік қорғанысындағы белгілі бір трафикпен жұмыс істеуі керек болған кезде, Mylinking™ «Желіні айналып өту қосқышы» арқылы әрбір өңдеу функциясы арқылы, қауіпсіздік құрылғысын қосу үшін трафикті тексеру стратегиясы арқылы «Мүдделі» трафик тікелей желілік байланысқа қайтарылады, ал «мүдделі трафик бөлімі» қауіпсіздік тексерулерін орындау үшін желі ішіндегі қауіпсіздік құрылғысына тартылады. Бұл қауіпсіздік құрылғысының қауіпсіздікті анықтау функциясының қалыпты қолданылуын сақтап қана қоймай, сонымен қатар қысыммен күресу үшін қауіпсіздік жабдығының тиімсіз ағынын азайтады; сонымен бірге «Желіні айналып өту қосқышы» қауіпсіздік құрылғысының жұмыс жағдайын нақты уақыт режимінде анықтай алады. Қауіпсіздік құрылғысы желілік қызметтің үзілуін болдырмау үшін деректер трафигін тікелей айналып өтеді.
Mylinking™ Inline Traffic Bypass Tap функциясы VLAN тегі, бастапқы/мақсатты MAC мекенжайы, бастапқы IP мекенжайы, IP пакетінің түрі, тасымалдау қабатының хаттама порты, хаттама тақырыбының кілт тегі және т.б. сияқты L2-L4 қабатының тақырып идентификаторына негізделген трафикті анықтай алады. Белгілі бір қауіпсіздік құрылғысына қызығушылық тудыратын нақты трафик түрлерін анықтау үшін әртүрлі сәйкестендіру шарттарының икемді үйлесімін икемді түрде анықтауға болады және арнайы қауіпсіздік аудиті құрылғыларын (RDP, SSH, дерекқор аудиті және т.б.) орналастыру үшін кеңінен пайдаланылуы мүмкін.
5.4 Жүктемені теңестіретін сериялық қорғаныс
Mylinking™ «Желілік түртуді айналып өту қосқышы» желілік құрылғылар (маршрутизаторлар, коммутаторлар және т.б.) арасында желілік режимде орналастырылады. Бір IPS/FW өңдеу өнімділігі желілік байланыстың шыңдық трафигімен күресу үшін жеткіліксіз болған кезде, қорғаушының трафик жүктемесін теңестіру функциясы, бірнеше IPS/FW кластерін өңдеу желілік байланыс трафигін «біріктіру», бір IPS/FW өңдеу қысымын тиімді түрде төмендетіп, орналастыру ортасының жоғары өткізу қабілеттілігін қанағаттандыру үшін жалпы өңдеу өнімділігін жақсарта алады.
Mylinking™ «Network Tap Bypass Switch» қуатты жүктемені теңестіру функциясына ие, кадр VLAN тегіне, MAC ақпаратына, IP ақпаратына, порт нөміріне, хаттамаға және трафиктің хэш жүктемесін теңестіру туралы басқа ақпаратқа сәйкес әрбір IPS/FW деректер ағынының сессия тұтастығын қабылдауын қамтамасыз етеді.
5.5 Көп сериялы желілік жабдық ағынының тарту қорғанысы (Сериялық қосылымды параллель қосылымға өзгертіңіз)
Кейбір негізгі байланыстарда (мысалы, интернет розеткалары, сервер аймағының алмасу байланысы) орналасу көбінесе қауіпсіздік мүмкіндіктерінің қажеттіліктеріне және бірнеше желі ішіндегі қауіпсіздікті тексеру жабдықтарын (мысалы, брандмауэр (FW), DDOS шабуылына қарсы жабдықтар, WEB қолданбалы брандмауэр (WAF), кірудің алдын алу жүйесі (IPS) және т.б.) орналастыруға байланысты болады, бір сәтсіздік нүктесінің байланысын арттыру үшін байланыста бір уақытта бірнеше қауіпсіздікті анықтау жабдықтарын тізбектей пайдалану желінің жалпы сенімділігін төмендетеді. Ал жоғарыда аталған қауіпсіздік жабдықтарын желіде орналастыру, жабдықты жаңарту, жабдықты ауыстыру және басқа да операциялар желінің ұзақ уақыт бойы қызмет көрсетуінің үзілуіне және мұндай жобаларды сәтті іске асыруды аяқтау үшін жобаны қысқартудың үлкен шараларына әкеледі.
«Желілік түртіп айналып өту қосқышын» бірыңғай түрде орналастыру арқылы бір буында тізбектей қосылған бірнеше қауіпсіздік құрылғыларының орналастыру режимін «физикалық біріктіру режимінен» «физикалық біріктіру, логикалық біріктіру режиміне» өзгертуге болады. Буындағы бір ақаулық нүктесінің буыны буының сенімділігін арттыру үшін, ал буындағы «айналып өту қосқышы» сұраныс бойынша тартылу арқылы ағып, бастапқы қауіпсіз өңдеу режимімен бірдей ағынға қол жеткізеді.
Кірістірілген орналастыру диаграммасымен бір уақытта бірнеше қауіпсіздік құрылғысы:
Mylinking™ желісінің TAP айналма коммутаторын орналастыру схемасы:
5.6 Жол қозғалысы қауіпсіздігін анықтауды қорғаудың динамикалық стратегиясына негізделген
«Желіні айналып өту ауыстырып қосқышы» Тағы бір кеңейтілген қолданба сценарийі трафик тарту қауіпсіздігін анықтаудан қорғау қолданбаларының динамикалық стратегиясына негізделген, төменде көрсетілгендей жолды орналастыру:
Мысалы, «DDoS шабуылынан қорғау және анықтау» қауіпсіздік сынақ жабдығын «Network Tap Bypass Switch» алдыңғы жағында орналастыру және DDOS қорғаныс жабдығы арқылы «Network Tap Bypass Switch»-ке қосылған кезде, әдеттегі «Traction Protect» құрылғысында трафик сымының толық жылдамдығын бағыттау кезінде ағын айнасының шығысын «DDOS шабуылынан қорғау құрылғысына» жібереді, шабуылдан кейін сервердің IP мекенжайы (немесе IP желі сегменті) анықталғаннан кейін, «DDOS шабуылынан қорғау құрылғысы» мақсатты трафик ағынын сәйкестендіру ережелерін жасайды және оларды динамикалық саясатты жеткізу интерфейсі арқылы «Network Tap Bypass Switch»-ке жібереді. «Network Tap Bypass Switch» динамикалық саясат ережелері пулын алғаннан кейін «трафик тарту динамикасын» жаңарта алады және «бірден» ережесі шабуыл серверінің трафигін «DDoS шабуылынан қорғау және анықтау» жабдығына өңдеу үшін тиеді, шабуыл ағынынан кейін күшіне енеді және желіге қайта енгізіледі.
«Желілік түртіндіні айналып өту қосқышына» негізделген қолданба схемасын дәстүрлі BGP бағытын енгізуге немесе басқа трафикті тарту схемасына қарағанда іске асыру оңайырақ, ал қоршаған орта желіге аз тәуелді және сенімділігі жоғарырақ.
«Желіні түртіп айналып өту қосқышы» динамикалық саясат қауіпсіздігін анықтаудан қорғауды қолдау үшін келесі сипаттамаларға ие:
1, WEBSERIVCE интерфейсіне негізделген ережелерден тыс, үшінші тарап қауіпсіздік құрылғыларымен оңай интеграциялауды қамтамасыз ету үшін «Желіні түртіп айналып өту қосқышы».
2, «BNetwork Tap Bypass Switch» аппараттық таза ASIC чипіне негізделген, коммутаторды бағыттауды бұғаттамай, 10 Гбит/с сым жылдамдығындағы пакеттерді бағыттайды және нөмірге қарамастан «трафик тарту динамикалық ережелер кітапханасы».
3, «Желілік түртуді айналып өту қосқышы» кіріктірілген кәсіби BYPASS функциясы, тіпті қорғаушының өзі істен шыққан жағдайда да, бастапқы сериялық байланысты бірден айналып өте алады, қалыпты байланыстың бастапқы байланысына әсер етпейді.
