Mylinking™ желілік түртуді айналып өту қосқышы ML-BYPASS-200
2*Айналып өту және 1*Монитордың модульдік дизайны, 10/40/100GE сілтемелері, макс. 640 Гбит/с
1-Шолулар
Mylinking™ Smart Bypass Switch бағдарламасын орнату арқылы:
- Пайдаланушылар қауіпсіздік жабдықтарын икемді түрде орната/жоя алады және ағымдағы желіге және үзіліске әсер етпейді;
- Сериялық қауіпсіздік құрылғысының қалыпты жұмыс күйін нақты уақыт режимінде бақылауға арналған ақылды денсаулықты анықтау функциясы бар Mylinking™ желілік түртуді айналып өту қосқышы, сериялық қауіпсіздік құрылғысы жұмыс істемей қалғаннан кейін, қорғаныс қалыпты желілік байланысты сақтау үшін автоматты түрде айналып өтеді;
- Таңдамалы трафикті қорғау технологиясын аудит жабдығына негізделген арнайы трафикті тазарту қауіпсіздік жабдықтарын, шифрлау технологиясын орналастыру үшін пайдалануға болады. Белгілі бір трафик түрі үшін сериялық кіруді қорғауды тиімді жүзеге асыру, сериялық құрылғының ағынды басқару қысымын төмендету;
- Жүктемені теңестіретін трафикті қорғау технологиясын жоғары өткізу қабілеттілігі бар орталарда сериялық қауіпсіздік қажеттілігін қанағаттандыру үшін қауіпсіз сериялық құрылғыларды кластерлік орналастыру үшін пайдалануға болады.
Интернеттің қарқынды дамуымен желілік ақпараттық қауіпсіздік қаупі барған сайын күшейіп келеді, сондықтан ақпараттық қауіпсіздікті қорғаудың әртүрлі қолданбалары кеңінен қолданылады. Дәстүрлі кіруді бақылау жабдықтары (брандмауэр) немесе жаңа типтегі озық қорғаныс құралдары, мысалы, кірудің алдын алу жүйесі (IPS), Бірыңғай қауіптерді басқару платформасы (UTM), Қызмет көрсетуден бас тартуға қарсы шабуыл жүйесі (Anti-DDoS), Анти-span шлюзі, Бірыңғай DPI трафигін анықтау және басқару жүйесі және көптеген қауіпсіздік құрылғылары желілік кілт түйіндерінде тізбектей орналастырылған болса, заңды/заңсыз трафикті анықтау және онымен күресу үшін тиісті деректер қауіпсіздігі саясатын енгізу қажет. Дегенмен, сонымен бірге, компьютерлік желі үлкен желілік кідіріске немесе тіпті желінің бұзылуына әкеледі, бұл өте сенімді өндірістік желілік қолданбалы ортада істен шығу, техникалық қызмет көрсету, жаңарту, жабдықты ауыстыру және т.б. жағдайларда пайдаланушылар бұған шыдай алмайды.
2 желілік түртіп айналып өту қосқышының кеңейтілген мүмкіндіктері мен технологиялары
Mylinking™ «SpecFlow» қорғаныс режимі және «FullLink» қорғаныс режимі технологиясы
Mylinking™ жылдам айналып өту коммутациясынан қорғау технологиясы
Mylinking™ “LinkSafeSwitch” технологиясы
Mylinking™ “WebService” динамикалық стратегиясын бағыттау/шығару технологиясы
Mylink™ ақылды жүрек соғысы туралы хабарламаларды анықтау технологиясы
Mylinking™ анықтайтын жүрек соғысы туралы хабарламалар технологиясы
Mylinking™ көп буынды жүктемені теңестіру технологиясы
Mylinking™ интеллектуалды трафикті тарату технологиясы
Mylinking™ динамикалық жүктемені теңестіру технологиясы
Mylinking™ қашықтан басқару технологиясы (HTTP/WEB, TELNET/SSH, “EasyConfig/AdvanceConfig” сипаттамасы)
3 желілік түртуді айналып өту қосқышын конфигурациялау нұсқаулығы
Айналма жолҚорғаныс порты модулінің ұясы:
Бұл ұяшықты әртүрлі жылдамдық/порт нөмірі бар BYPASS қорғаныс порт модуліне салуға болады. Әртүрлі модуль түрлерін ауыстыру арқылы ол бірнеше 10G/40G/100G сілтемелерінің BYPASS қорғанысын қолдай алады.
МОНИТОРПорт модулінің ұясы;
Бұл ұяшықты MONITOR порт модуліне әртүрлі жылдамдықтар/порттармен енгізуге болады. Ол әртүрлі модельдерді ауыстыру арқылы бірнеше 10G/40G/100G сілтемелі онлайн сериялық бақылау құрылғысын орналастыруды қолдай алады.
Модульді таңдау ережелері
Әртүрлі орналастырылған сілтемелер мен мониторинг жабдықтарын орналастыру талаптарына сүйене отырып, сіз нақты орта қажеттіліктеріңізді қанағаттандыру үшін әртүрлі модуль конфигурацияларын икемді түрде таңдай аласыз; таңдаған кезде келесі ережелерді орындаңыз:
1. Шасси компоненттері міндетті болып табылады және басқа модульдерді таңдамас бұрын шасси компоненттерін таңдауыңыз керек. Сонымен қатар, қажеттіліктеріңізге сәйкес әртүрлі қуатпен жабдықтау әдістерін (АТ/ТТ) таңдаңыз.
2. Тұтас құрылғы 2 BYPASS модуль ұяшығын және 1 MONITOR модуль ұяшығын қолдайды; конфигурациялау үшін ұяшықтар санынан артық таңдай алмайсыз. Ұяшықтар саны мен модуль моделінің үйлесіміне сүйене отырып, құрылғы төрт 10GE байланыс қорғанысын қолдай алады; немесе төрт 40GE байланысын қолдай алады; немесе бір 100GE байланысын қолдай алады.
3. "BYP-MOD-L1CG" модуль моделін дұрыс жұмыс істеу үшін тек SLOT1 ұяшығына ғана салуға болады.
4. "BYP-MOD-XXX" модуль түрін тек BYPASS модуль ұясына салуға болады; "MON-MOD-XXX" модуль түрін тек MONITOR модуль ұясына қалыпты жұмыс істеу үшін салуға болады.
| Өнім моделі | Функция параметрлері |
| Шасси (хост) | |
| ML-BYPASS-M200 | 1U стандартты 19 дюймдік тірекке орнату; максималды қуат тұтынуы 250 Вт; модульдік BYPASS қорғаныс хост; 2 BYPASS модулінің ұясы; 1 MONITOR модулінің ұясы; айнымалы және тұрақты ток қосымша; |
| АЙНАЛЫП ӨТУ МОДУЛІ | |
| BYP-MOD-L2XG(LM/SM) | 2 жақты 10GE байланыс сериялық қорғанысын, 4 * 10GE интерфейсін, LC қосқышын қолдайды; кіріктірілген оптикалық қабылдағыш-таратқыш; оптикалық байланыс бір/көп режимді қосымша, 10GBASE-SR/LR қолдайды; |
| BYP-MOD-L2QXG(LM/SM) | 2 жақты 40GE байланыс сериялық қорғанысын, 4*40GE интерфейсін, LC қосқышын қолдайды; кіріктірілген оптикалық қабылдағыш-таратқыш; оптикалық байланыс бір/көп режимді қосымша, 40GBASE-SR4/LR4 қолдайды; |
| BYP-MOD-L1CG (LM/SM) | 1 арналы 100GE байланыс сериялық қорғанысын, 2 * 100GE интерфейсін, LC қосқышын қолдайды; кіріктірілген оптикалық қабылдағыш-таратқыш; оптикалық байланыс бір көп режимді қосымша, 100GBASE-SR4/LR4 қолдайды; |
| МОНИТОР МОДУЛІ | |
| ДҮЙСЕНБІ-МОД-L16XG | 16 * 10GE SFP+ бақылау порт модулі; оптикалық қабылдағыш-таратқыш модуль жоқ; |
| ДҮЙСЕНБІ-МОД-L8XG | 8*10GE SFP+ бақылау порт модулі; оптикалық қабылдағыш-таратқыш модулі жоқ; |
| ДҮЙСЕНБІ-МОД-L2CG | 2*100GE QSFP28 бақылау портының модулі; оптикалық қабылдағыш-таратқыш модулі жоқ; |
| ДҮЙСЕНБІ-МОД-L8QXG | 8* 40GE QSFP+ бақылау порт модулі; оптикалық қабылдағыш-таратқыш модулі жоқ; |
4 желілік TAP айналма коммутаторының сипаттамалары
| Өнімнің түрі | ML-BYPASS-M200 сериялық айналма қосқышы | |
| Интерфейс түрі | MGT интерфейсі | 1*10/100/1000BASE-T бейімделгіш басқару интерфейсі; Қашықтан HTTP/IP басқаруды қолдау |
| Модуль ұясы | 2*BYPASS модулінің ұясы; 1*MONITOR модулінің ұясы; | |
| Максималды қолдау көрсететін сілтемелер | Құрылғы ең көбі 4 * 10GE сілтемелерін немесе 4 * 40GE сілтемелерін немесе 1 * 100GE сілтемелерін қолдайды | |
| Монитор | Құрылғыны қолдау ең көбі 16 * 10GE бақылау порттары немесе 8 * 40GE бақылау порттары немесе 2 * 100GE бақылау порттары; | |
| Функция | Толық дуплексті өңдеу мүмкіндігі | 640 Гбит/с |
| IP/хаттама/порт негізінде бес кортежге тән трафик каскадын қорғау | Қолдау | |
| Толық трафикке негізделген каскадты қорғаныс | Қолдау | |
| Бірнеше жүктемені теңестіру | Қолдау | |
| Арнайы жүрек соғу жылдамдығын анықтау функциясы | Қолдау | |
| Ethernet пакетінің тәуелсіздігін қолдау | Қолдау | |
| АЙНАЛЫП ӨТУ ҚОСҚЫШЫ | Қолдау | |
| Жарқылсыз айналып өту қосқышы | Қолдау | |
| MGT КОНСОЛЬ | Қолдау | |
| IP/WEB MGT | Қолдау | |
| SNMP V1/V2C MGT | Қолдау | |
| TELNET/SSH MGT | Қолдау | |
| SYSLOG протоколы | Қолдау | |
| Пайдаланушы рұқсаты | Құпия сөзді растау/AAA/TACACS+ негізінде | |
| Электрлік | Номиналды қоректендіру кернеуі | AC-220V/DC-48V【Қосымша】 |
| Номиналды қуат жиілігі | 50 Гц | |
| Номиналды кіріс тогы | AC-3A / DC-10A | |
| Номиналды қуат | 100 Вт | |
| Қоршаған орта | Жұмыс температурасы | 0-50℃ |
| Сақтау температурасы | -20-70℃ | |
| Жұмыс ылғалдылығы | 10%-95%, конденсация жоқ | |
| Пайдаланушы конфигурациясы | Консоль конфигурациясы | RS232 интерфейсі, 115200,8,N,1 |
| MGT интерфейсінен тыс диапазон | 1 * 10/100/1000M Ethernet интерфейсі | |
| Құпия сөзді рұқсат ету | Қолдау | |
| Шасси биіктігі | Шасси кеңістігі (U) | 1U 19 дюйм, 485 мм * 44,5 мм * 350 мм |
5 желілік TAP айналма коммутация қолданбасы (келесідей)
Төменде әдеттегі IPS (Intrusion Prevention System), FW (Firewall) орналастыру режимі келтірілген, IPS/FW қауіпсіздікті қорғау әсеріне қол жеткізу үшін тиісті қауіпсіздік саясатына сәйкес тиісті трафикті босатуды немесе бұғаттауды анықтау үшін қауіпсіздік тексерулерін енгізу арқылы желілік жабдыққа (маршрутизаторларға, коммутаторларға және т.б.) тізбектей орналастырылады.
Сонымен қатар, IPS/FW жабдықты сериялық орналастыру ретінде байқауға болады, әдетте сериялық қауіпсіздікті жүзеге асыру үшін кәсіпорын желісінің негізгі орнына орналастырылады, оның қосылған құрылғыларының сенімділігі кәсіпорын желісінің жалпы қолжетімділігіне тікелей әсер етеді. Сериялық құрылғылар шамадан тыс жүктелгеннен, істен шыққаннан, бағдарламалық жасақтама жаңартылғаннан, саясат жаңартылғаннан және т.б. кейін кәсіпорын желісінің бүкіл қолжетімділігіне үлкен әсер етеді. Бұл кезде біз тек желіні кесу, физикалық айналып өту секіргіші арқылы желіні қалпына келтіре аламыз, бұл желінің сенімділігіне айтарлықтай әсер етеді. IPS/FW және басқа сериялық құрылғылар бір жағынан кәсіпорын желісінің қауіпсіздігін орналастыруды жақсартады, екінші жағынан кәсіпорын желілерінің сенімділігін төмендетеді, желінің қолжетімді болмауы қаупін арттырады.
5.2 Кірістірілген байланыс сериясы жабдықтарын қорғау
Mylinking™ «Айналма қосқыш» желілік құрылғылар (маршрутизаторлар, коммутаторлар және т.б.) арасында тізбектей орналастырылған және желілік құрылғылар арасындағы деректер ағыны енді тікелей IPS/FW-ға әкелмейді, «Айналма қосқыш» IPS/FW-ға ауысады, IPS/FW шамадан тыс жүктелу, апат, бағдарламалық жасақтама жаңартулары, саясат жаңартулары және басқа да ақаулық жағдайларына байланысты «Айналма қосқыш» ақылды жүрек соғысы хабарламасын анықтау функциясы арқылы уақтылы анықталады және осылайша ақаулы құрылғыны өткізіп жібереді, желінің жұмысын үзбей, қалыпты байланыс желісін қорғау үшін тікелей желілік жабдыққа жылдам қосылады; IPS/FW ақауы қалпына келтірілгенде, сонымен қатар ақылды жүрек соғысы пакеттері арқылы функцияны уақтылы анықтау, кәсіпорын желісінің қауіпсіздігін тексерудің қауіпсіздігін қалпына келтіру үшін бастапқы сілтеме.
Mylinking™ «Айналма қосқышы» қуатты интеллектуалды жүрек соғысы хабарламасын анықтау функциясына ие, пайдаланушы IPS/FW құрылғысындағы денсаулықты тексеру үшін арнайы жүрек соғысы хабарламасы арқылы жүрек соғысы аралығын және қайталаудың максималды санын реттей алады, мысалы, жүрек соғысын тексеру хабарламасын IPS/FW құрылғысының жоғары/төменгі ағын портына жіберу, содан кейін IPS/FW құрылғысының жоғары/төменгі ағын портынан қабылдау және жүрек соғысы хабарламасын жіберу және қабылдау арқылы IPS/FW құрылғысының қалыпты жұмыс істеп тұрғанын бағалау.
5.3 «SpecFlow» саясаты ағынының сызықтық тарту сериясын қорғау
Қауіпсіздік желілік құрылғысы тек тізбекті қауіпсіздік қорғанысындағы нақты трафикпен жұмыс істеуі керек болған кезде, Mylinking™ «Айналып өту қосқышы» арқылы әрбір өңдеу функциясы арқылы қауіпсіздік құрылғысын қосу үшін трафикті тексеру стратегиясы арқылы «Мүдделі» трафик тікелей желілік байланысқа қайтарылады, ал «мүдделі трафик бөлімі» қауіпсіздік тексерулерін орындау үшін желі ішіндегі қауіпсіздік құрылғысына тартылады. Бұл қауіпсіздік құрылғысының қауіпсіздікті анықтау функциясының қалыпты қолданылуын сақтап қана қоймай, сонымен қатар қысыммен күресу үшін қауіпсіздік жабдығының тиімсіз ағынын азайтады; сонымен бірге «Айналып өту қосқышы» қауіпсіздік құрылғысының жұмыс жағдайын нақты уақыт режимінде анықтай алады. Қауіпсіздік құрылғысы желілік қызметтің үзілуін болдырмау үшін деректер трафигін тікелей айналып өтеді.
Mylinking™ трафикті айналып өту қорғанысы VLAN тегі, бастапқы/мақсатты MAC мекенжайы, бастапқы IP мекенжайы, IP пакетінің түрі, тасымалдау қабатының хаттама порты, хаттама тақырыбының кілт тегі және т.б. сияқты L2-L4 қабатының тақырып идентификаторына негізделген трафикті анықтай алады. Белгілі бір қауіпсіздік құрылғысына қызығушылық тудыратын нақты трафик түрлерін анықтау үшін әртүрлі сәйкестендіру шарттарының икемді үйлесімін икемді түрде анықтауға болады және арнайы қауіпсіздік аудиті құрылғыларын (RDP, SSH, дерекқор аудиті және т.б.) орналастыру үшін кеңінен пайдаланылуы мүмкін.
5.4 Жүктемені теңестіретін сериялық қорғаныс
Mylinking™ «Айналма коммутатор» желілік құрылғылар (маршрутизаторлар, коммутаторлар және т.б.) арасында тізбектей орналастырылады. Бір IPS/FW өңдеу өнімділігі желілік байланыс шыңының трафигімен күресу үшін жеткіліксіз болған кезде, қорғаушының трафик жүктемесін теңестіру функциясы, бірнеше IPS/FW кластерін өңдеу желілік байланыс трафигін «біріктіру», бір IPS/FW өңдеу қысымын тиімді түрде төмендетіп, орналастыру ортасының жоғары өткізу қабілеттілігін қанағаттандыру үшін жалпы өңдеу өнімділігін жақсарта алады.
Mylinking™ «Айналма қосқышы» қуатты жүктемені теңестіру функциясына ие, кадр VLAN тегіне, MAC ақпаратына, IP ақпаратына, порт нөміріне, хаттамаға және трафиктің хэш жүктемесін теңестіру туралы басқа ақпаратқа сәйкес әрбір IPS/FW деректер ағынының сессия тұтастығын қабылдауын қамтамасыз етеді.
5.5 Көп сериялы желілік жабдық ағынының тарту қорғанысы (Сериялық қосылымды параллель қосылымға өзгертіңіз)
Кейбір негізгі байланыстарда (мысалы, интернет розеткалары, сервер аймағының алмасу байланысы) орналасу көбінесе қауіпсіздік мүмкіндіктерінің қажеттіліктеріне және бірнеше желі ішіндегі қауіпсіздікті тексеру жабдықтарын (мысалы, брандмауэр, DDOS шабуылына қарсы жабдық, WEB қолданбасының брандмауэрі, кірудің алдын алу жабдықтары және т.б.) орналастыруға байланысты болады, бір сәтсіздік нүктесінің байланысын арттыру үшін байланыста бір уақытта бірнеше қауіпсіздікті анықтау жабдықтарын тізбектей пайдалану желінің жалпы сенімділігін төмендетеді. Ал жоғарыда аталған қауіпсіздік жабдықтарын желіде орналастыру, жабдықты жаңарту, жабдықты ауыстыру және басқа да операциялар желінің ұзақ уақыт бойы қызмет көрсетуінің үзілуіне және мұндай жобаларды сәтті іске асыруды аяқтау үшін жобаны қысқартудың үлкен шараларына әкеледі.
«Айналма қосқышты» бірыңғай түрде орналастыру арқылы бір буында тізбектей қосылған бірнеше қауіпсіздік құрылғыларын орналастыру режимін «физикалық біріктіру режимінен» «физикалық біріктіру, логикалық біріктіру режиміне» өзгертуге болады. Буындағы бір ғана істен шығу нүктесінің буыны буының сенімділігін арттыру үшін, ал буындағы «айналма қосқыш» бастапқы қауіпсіз өңдеу режимімен бірдей ағынға қол жеткізу үшін сұраныс бойынша тартылады.
Бір уақытта бірнеше қауіпсіздік құрылғысын тізбектей орналастыру диаграммасында пайдалану:
Mylinking™ желісінің TAP айналма коммутаторын орналастыру схемасы:
5.6 Жол қозғалысы қауіпсіздігін анықтауды қорғаудың динамикалық стратегиясына негізделген
«Айналып өту ауыстырып қосқышы» Тағы бір кеңейтілген қолданба сценарийі төменде көрсетілгендей жол қозғалысының тартымдылығын анықтаудан қорғау қолданбаларының динамикалық стратегиясына негізделген:
Мысалы, «DDoS шабуылынан қорғау және анықтау» қауіпсіздік сынақ жабдығын «айналма қосқыш» және DDOS қорғаныс жабдығын алдыңғы жағынан орналастыру арқылы «айналма қосқышқа» қосыңыз, содан кейін әдеттегі «тарту қорғағышында» трафик сымының толық жылдамдығын бағыттау кезінде ағын айнасының шығысын «DDOS шабуылынан қорғау құрылғысына» жіберіңіз, шабуылдан кейін сервердің IP мекенжайы (немесе IP желі сегменті) анықталғаннан кейін, «DDOS шабуылынан қорғау құрылғысы» мақсатты трафик ағынын сәйкестендіру ережелерін жасайды және оларды динамикалық саясатты жеткізу интерфейсі арқылы «айналма қосқышқа» жібереді. «Айналма қосқыш» динамикалық саясат ережелері ережелері пулын алғаннан кейін «трафик тарту динамикасын» жаңарта алады және «бірден» ережесі шабуыл серверінің трафигін өңдеу үшін «DDoS шабуылынан қорғау және анықтау» жабдығына тиеді, шабуыл ағынынан кейін күшіне енеді және желіге қайта енгізіледі.
«Айналма қосқышқа» негізделген қолданба схемасын дәстүрлі BGP бағытын енгізуге немесе басқа трафикті тарту схемасына қарағанда іске асыру оңайырақ, ал қоршаған орта желіге аз тәуелді және сенімділігі жоғарырақ.
«Айналып өту коммутаторы» динамикалық саясат қауіпсіздігін анықтаудан қорғауды қолдау үшін келесі сипаттамаларға ие:
1, WEBSERIVCE интерфейсіне негізделген ережелерден тыс қамтамасыз ету үшін «айналып өту қосқышы», үшінші тарап қауіпсіздік құрылғыларымен оңай интеграциялау.
2, «Айналып өту коммутаторы» аппараттық таза ASIC чипіне негізделген, коммутаторды бағыттауды бұғаттамай, 10 Гбит/с сым жылдамдығындағы пакеттерді бағыттайды және нөмірге қарамастан «трафик тарту динамикалық ережелер кітапханасы».
3, «Айналып өту қосқышы» кіріктірілген кәсіби BYPASS функциясы, тіпті қорғаушының өзі істен шыққан жағдайда да, бастапқы сериялық байланысты бірден айналып өтуі мүмкін, қалыпты байланыстың бастапқы байланысына әсер етпейді.
