1- Жүрек соғысының пакетін анықтау дегеніміз не?
Mylinking™ Network Tap Bypass Switch құрылғысының жүрек соғысы пакеттері әдепкі бойынша Ethernet 2-қабат кадрларына айналады. Мөлдір 2-қабат көпір режимін (мысалы, IPS / FW) орналастырған кезде, 2-қабат Ethernet кадрлары әдетте жіберіледі, бұғатталады немесе алынып тасталады. Сонымен қатар, Mylinking™ Network Tap Bypass Switch кейбір арнайы сериялық қауіпсіздік құрылғылары әдеттегі 2-қабат Ethernet кадрларын жібере алмайтын жағдайды қанағаттандыру үшін реттелетін жүрек соғысы хабарламасының пішімін қолдайды.
Mylinking™ желілік түртіп айналып өту қосқышы VLAN тегіне, 3-қабат және 4-қабаттағы арнайы хабарлама түрлеріне негізделген жүрек соғысы пакеттерін анықтауды да қолдайды. Осы механизмге сүйене отырып, пайдаланушы тиісті қауіпсіздік қызметтерінің дұрыс жұмыс істеуін қамтамасыз ету үшін байланыс қауіпсіздік құрылғысының қызмет қауіпсіздігін тексеру функциясын енгізе алады.
Mylinking™ желілік түртіп айналып өту қосқышы монитордың екі бағытта да әртүрлі жүрек соғысы пакеттерін жіберуін қолдай алады. Мысалы, TCP және UDP типті жүрек соғысы пакеттері сериялық құрылғының ерекшелігіне сәйкес «Стратегия трафигін тарту қорғанысында» теңшеледі. Сериялық қауіпсіздік құрылғысының хабарламаларды қайта жіберу механизмін бейімдеу үшін жоғары байланыс мониторының A портында TCP жүрек соғысы пакеттерін жіберуді және төмен байланыс мониторының B портында UDP жүрек соғысы пакеттерін жіберуді конфигурациялауға болады. Бұл функция жолдың жұмысын тиімдірек қамтамасыз ете алады. Қауіпсіздік жабдығын қалыпты жұмыс режиміне қосыңыз.
Mylinking™ желілік айналма коммутаторы жоғары желілік сенімділікті қамтамасыз ете отырып, әртүрлі сериялық қауіпсіздік жабдықтарын икемді орналастыру үшін пайдаланылатындай етіп зерттеліп, әзірленген.
2-желілік айналма коммутатордың кеңейтілген мүмкіндіктері мен технологиялары
Mylinking™ «SpecFlow» қорғаныс режимі және «FullLink» қорғаныс режимі технологиясы
Mylinking™ жылдам айналып өту коммутациясынан қорғау технологиясы
Mylinking™ “LinkSafeSwitch” технологиясы
Mylinking™ “WebService” динамикалық стратегиясын бағыттау/шығару технологиясы
Mylink™ ақылды жүрек соғысы туралы хабарламаларды анықтау технологиясы
Mylinking™ анықтайтын жүрек соғысы туралы хабарламалар технологиясы
Mylinking™ көп буынды жүктемені теңестіру технологиясы
Mylinking™ интеллектуалды трафикті тарату технологиясы
Mylinking™ динамикалық жүктемені теңестіру технологиясы
Mylinking™ қашықтан басқару технологиясы (HTTP/WEB, TELNET/SSH, “EasyConfig/AdvanceConfig” сипаттамасы)
3-желілік айналма коммутатор қолданбасы (келесідей)
3.1 Кіріктірілген қауіпсіздік жабдықтарының (IPS / FW) қаупі
Төменде әдеттегі IPS (Intrusion Prevention System), FW (Firewall) орналастыру режимі келтірілген, IPS/FW қауіпсіздікті қорғау әсеріне қол жеткізу үшін тиісті қауіпсіздік саясатына сәйкес тиісті трафикті босатуды немесе бұғаттауды анықтау үшін қауіпсіздік тексерулерін енгізу арқылы желілік жабдыққа (маршрутизаторларға, коммутаторларға және т.б.) тізбектей орналастырылады.
Сонымен қатар, IPS/FW жабдықты сериялық орналастыру ретінде байқауға болады, әдетте сериялық қауіпсіздікті жүзеге асыру үшін кәсіпорын желісінің негізгі орнына орналастырылады, оның қосылған құрылғыларының сенімділігі кәсіпорын желісінің жалпы қолжетімділігіне тікелей әсер етеді. Сериялық құрылғылар шамадан тыс жүктелгеннен, істен шыққаннан, бағдарламалық жасақтама жаңартылғаннан, саясат жаңартылғаннан және т.б. кейін кәсіпорын желісінің бүкіл қолжетімділігіне үлкен әсер етеді. Бұл кезде біз тек желіні кесу, физикалық айналып өту секіргіші арқылы желіні қалпына келтіре аламыз, бұл желінің сенімділігіне айтарлықтай әсер етеді. IPS/FW және басқа сериялық құрылғылар бір жағынан кәсіпорын желісінің қауіпсіздігін орналастыруды жақсартады, екінші жағынан кәсіпорын желілерінің сенімділігін төмендетеді, желінің қолжетімді болмауы қаупін арттырады.
3.2 Кірістірілген байланыс сериясы жабдықтарын қорғау
Mylinking™ «Желілік айналып өту» желілік құрылғылар (маршрутизаторлар, коммутаторлар және т.б.) арасында тізбектей орналастырылады, ал желілік құрылғылар арасындағы деректер ағыны енді тікелей IPS / FW-ға, «Желілік айналып өту» IPS / FW-ға бағытталмайды, IPS / FW шамадан тыс жүктелу, апат, бағдарламалық жасақтама жаңартулары, саясат жаңартулары және басқа да ақаулық жағдайларына байланысты «Желілік айналып өту» ақылды жүрек соғысы хабарламаларын анықтау функциясы арқылы уақтылы анықталады және осылайша ақаулы құрылғыны өткізіп жібереді, желінің негізгі жұмысын үзбей, желілік жабдықты тікелей қосу арқылы қалыпты байланыс желісін қорғауға мүмкіндік береді; IPS / FW ақауы қалпына келтірілгенде, сонымен қатар ақылды жүрек соғысы пакеттері арқылы функцияны уақтылы анықтау, кәсіпорын желісінің қауіпсіздігін тексерудің қауіпсіздігін қалпына келтіру үшін бастапқы сілтеме.
Mylinking™ “Network Inline Bypass” қуатты интеллектуалды жүрек соғысы хабарламасын анықтау функциясына ие, пайдаланушы IPS/FW құрылғысындағы денсаулықты тексеру үшін арнайы жүрек соғысы хабарламасы арқылы жүрек соғысы аралығын және қайталау әрекеттерінің максималды санын реттей алады, мысалы, жүрек соғысын тексеру хабарламасын IPS/FW құрылғысының жоғары/төменгі ағын портына жіберу, содан кейін IPS/FW құрылғысының жоғары/төменгі ағын портынан қабылдау және жүрек соғысы хабарламасын жіберу және қабылдау арқылы IPS/FW құрылғысының қалыпты жұмыс істеп тұрғанын бағалау.
3.3 «SpecFlow» саясаты ағынының сызықтық тарту сериясын қорғау
Қауіпсіздік желілік құрылғысы тек тізбекті қауіпсіздік қорғанысындағы нақты трафикпен жұмыс істеуі керек болған кезде, Mylinking™ «Желілік ішкі айналып өту» трафигін өңдеу функциясы арқылы, қауіпсіздік құрылғысын қосу үшін трафикті тексеру стратегиясы арқылы тиісті трафик тікелей желілік байланысқа қайтарылады, ал тиісті трафик бөлімі қауіпсіздік тексерулерін орындау үшін желілік қауіпсіздік құрылғысына тартылады. Бұл қауіпсіздік құрылғысының қауіпсіздікті анықтау функциясының қалыпты қолданылуын сақтап қана қоймай, сонымен қатар қысыммен күресу үшін қауіпсіздік жабдығының тиімсіз ағынын азайтады; сонымен бірге «Желілік ішкі айналып өту» қауіпсіздік құрылғысының жұмыс күйін нақты уақыт режимінде анықтай алады. Қауіпсіздік құрылғысы желілік қызметтің үзілуін болдырмау үшін деректер трафигін тікелей айналып өтіп, қалыптан тыс жұмыс істейді.
3.4 Жүктемені теңестіретін сериялық қорғаныс
Mylinking™ «Network Inline Bypass» желілік құрылғылар (маршрутизаторлар, коммутаторлар және т.б.) арасында тізбектей орналастырылады. Бір IPS/FW өңдеу өнімділігі желілік байланыс шыңының трафигімен күресу үшін жеткіліксіз болған кезде, қорғаушының трафик жүктемесін теңестіру функциясы, бірнеше IPS/FW кластерін өңдеу желілік байланыс трафигін «біріктіру», бір IPS/FW өңдеу қысымын тиімді түрде төмендетіп, орналастыру ортасының жоғары өткізу қабілеттілігін қанағаттандыру үшін жалпы өңдеу өнімділігін жақсарта алады.
Mylinking™ “Network Inline Bypass” қуатты жүктемені теңестіру функциясына ие, кадр VLAN тегіне, MAC ақпаратына, IP ақпаратына, порт нөміріне, хаттамаға және трафиктің хэш жүктемесін теңестіру туралы басқа ақпаратқа сәйкес әрбір IPS/FW деректер ағынының сессия тұтастығын қабылдауын қамтамасыз етеді.
3.5 Көп сериялы желілік жабдық ағынының тарту қорғанысы (сериялық қосылымды параллель қосылымға өзгертіңіз)
Кейбір негізгі байланыстарда (мысалы, интернет розеткалары, сервер аймағының алмасу байланысы) орналасу көбінесе қауіпсіздік мүмкіндіктерінің қажеттіліктеріне және бірнеше желі ішіндегі қауіпсіздікті тексеру жабдықтарын (мысалы, брандмауэр, DDOS шабуылына қарсы жабдық, WEB қолданбасының брандмауэрі, кірудің алдын алу жабдықтары және т.б.) орналастыруға байланысты болады, бір сәтсіздік нүктесінің байланысын арттыру үшін байланыста бір уақытта бірнеше қауіпсіздікті анықтау жабдықтарын тізбектей пайдалану желінің жалпы сенімділігін төмендетеді. Ал жоғарыда аталған қауіпсіздік жабдықтарын желіде орналастыру, жабдықты жаңарту, жабдықты ауыстыру және басқа да операциялар желінің ұзақ уақыт бойы қызмет көрсетуінің үзілуіне және мұндай жобаларды сәтті іске асыруды аяқтау үшін жобаны қысқартудың үлкен шараларына әкеледі.
«Желілік айналып өтуді» бірыңғай түрде орналастыру арқылы бір буында тізбектей қосылған бірнеше қауіпсіздік құрылғыларын орналастыру режимін «физикалық біріктіру режимінен» «физикалық біріктіру, логикалық біріктіру режиміне» өзгертуге болады. Буындағы бір ғана істен шығу нүктесі буының сенімділігін арттырады, ал «Желілік айналып өту» буындағы сұраныс бойынша тартылу арқылы бастапқы қауіпсіз өңдеу режимімен бірдей ағымға қол жеткізеді.
Бір уақытта бірнеше қауіпсіздік құрылғысын тізбектей орналастыру диаграммасында пайдалану:
Желі ішіндегі айналып өту коммутаторын орналастыру схемасы:
3.6 Жол қозғалысы қауіпсіздігін анықтауды қорғаудың динамикалық стратегиясына негізделген
«Желі ішіндегі айналып өту» Тағы бір кеңейтілген қолданба сценарийі төменде көрсетілгендей жолды орналастыру арқылы трафик тарту қауіпсіздігін анықтаудан қорғау қолданбаларының динамикалық стратегиясына негізделген:
Мысалы, «DDoS шабуылынан қорғау және анықтау» қауіпсіздік сынақ жабдығын «Network Inline Bypass» алдыңғы жағынан орналастыру және DDOS-қа қарсы қорғаныс жабдығы арқылы «Network Inline Bypass»-қа қосылған кезде, әдеттегі «Traction Protect» құрылғысында трафик сымының жылдамдығын толық көлемде бағыттау кезінде ағын айнасының шығысын «DDOS шабуылынан қорғау құрылғысына» жеткізеді, шабуылдан кейін сервер IP мекенжайы (немесе IP желі сегменті) анықталғаннан кейін, «DDOS шабуылынан қорғау құрылғысы» мақсатты трафик ағынын сәйкестендіру ережелерін жасайды және оларды динамикалық саясатты жеткізу интерфейсі арқылы «Network Inline Bypass»-қа жібереді. «Network Inline Bypass» динамикалық саясат ережелері ережелер пулын алғаннан кейін «трафик тарту динамикасын» жаңарта алады «және» дереу ереже шабуыл серверінің трафигін өңдеу үшін «DDoS шабуылынан қорғау және анықтау» жабдығына тигізеді, шабуыл ағынынан кейін күшіне енеді және желіге қайта енгізіледі.
«Желілік айналып өтуге» негізделген қолданба схемасын дәстүрлі BGP маршруттық инъекциясына немесе басқа трафик тарту схемасына қарағанда іске асыру оңайырақ, ал қоршаған орта желіге аз тәуелді және сенімділігі жоғарырақ.
«Network Inline Bypass» динамикалық саясат қауіпсіздігін анықтаудан қорғауды қолдау үшін келесі сипаттамаларға ие:
1, WEBSERIVCE интерфейсіне негізделген ережелерден тыс, үшінші тарап қауіпсіздік құрылғыларымен оңай интеграциялауды қамтамасыз ететін «Network Inline Bypass».
2, «Желі ішіндегі айналып өту» аппараттық таза ASIC чипіне негізделген, коммутаторды бағыттауды бұғаттамай, 10 Гбит/с сым жылдамдығындағы пакеттерді бағыттайды және нөмірге қарамастан «трафик тарту динамикалық ережелер кітапханасы».
3, «Желілік айналып өту» кіріктірілген кәсіби BYPASS функциясы, тіпті қорғаушының өзі істен шыққан жағдайда да, бастапқы сериялық байланысты бірден айналып өтуі мүмкін, қалыпты байланыстың бастапқы байланысына әсер етпейді.
Жарияланған уақыты: 2021 жылғы 23 желтоқсан
