1- Жүрек соғу пакетін анықтау дегеніміз не?
Mylinking™ Network Tap Bypass қолданбасының жүрек соғу пакеттері Әдепкі Ethernet Layer 2 кадрларына ауысады. 2-деңгейдің мөлдір көпірлік режимін (мысалы, IPS/FW) қолданған кезде 2-деңгейдегі Ethernet кадрлары әдетте қайта жіберіледі, блокталады немесе жойылады. Сонымен қатар, Mylinking™ Network Tap Bypass Switch құралы кейбір арнайы сериялық қауіпсіздік құрылғылары әдетте 2-деңгейдегі Ethernet кадрларын бағыттай алмайтын жағдайды қанағаттандыру үшін реттелетін жүрек соғу хабарының пішімін қолдайды.
Mylinking™ Network Tap Bypass Switch сонымен қатар VLAN тегін, 3-деңгей мен 4-деңгейдің реттелетін хабар түрлеріне негізделген жүрек соғу пакетін анықтауды қолдайды. Осы механизм негізінде пайдаланушы сәйкес қауіпсіздік қызметтерінің дұрыс жұмыс істеуін қамтамасыз ету үшін оны тиімдірек ету үшін қосылу қауіпсіздігі құрылғысының қызмет қауіпсіздігін тексеру функциясын жүзеге асыра алады.
Mylinking™ Network Tap Bypass Switch мониторға әртүрлі жүрек соғу пакеттерін екі бағытта жіберу үшін қолдау көрсете алады. Мысалы, TCP және UDP типті жүрек соғу пакеттері сериялық құрылғының ерекшелігіне сәйкес «Strategy Traffic Traction Protector» бағдарламасында теңшелген. Сериялық қауіпсіздік құрылғысының хабарды қайта жіберу механизмін орналастыру үшін жоғары сілтеме мониторының A портында TCP жүрек соғу пакеттерін жіберуді және төмен байланыс мониторының B портында UDP жүрек соғысы пакеттерін жіберуді конфигурациялауға болады. Бұл функция жолға тиімдірек кепілдік бере алады. Қауіпсіздік жабдығын қалыпты жұмысқа қосыңыз.
Mylinking™ Network Inline Bypass Switch желісі жоғары сенімділікті қамтамасыз ете отырып, сериялық қауіпсіздік жабдығының әртүрлі түрлерін икемді орналастыру үшін пайдалану үшін зерттелген және әзірленген.
2-Network Inline Bypass Switch қосымша мүмкіндіктері мен технологиялары
Mylinking™ «SpecFlow» қорғау режимі және «FullLink» қорғау режимінің технологиясы
Mylinking™ Fast Bypass Switching Protection технологиясы
Mylinking™ «LinkSafeSwitch» технологиясы
Mylinking™ «WebService» динамикалық стратегияны бағыттау/шығару технологиясы
Mylinking™ интеллектуалды жүрек соғысы хабарын анықтау технологиясы
Mylinking™ анықталатын жүрек соғу хабарлары технологиясы
Mylinking™ Multi-link Load Balancing технологиясы
Mylinking™ трафикті интеллектуалды тарату технологиясы
Mylinking™ динамикалық жүктемені теңестіру технологиясы
Mylinking™ қашықтан басқару технологиясы (HTTP/WEB, TELNET/SSH, «EasyConfig/AdvanceConfig» сипаттамасы)
3-Network Inline Bypass Switch қолданбасы (төмендегідей)
3.1 Ішкі қауіпсіздік жабдығының тәуекелі (IPS/FW)
Төменде типтік IPS (интрузияның алдын алу жүйесі), FW (брандмауэр) орналастыру режимі берілген, IPS/FW желілік жабдыққа (маршрутизаторлар, коммутаторлар және т.б.) қауіпсіздік тексерулерін жүзеге асыру арқылы трафик арасында сериялық түрде орналастырылған. қауіпсіздікті қорғау әсеріне қол жеткізу үшін сәйкес трафикті шығаруды немесе блоктауды анықтау үшін сәйкес қауіпсіздік саясаты.
Сонымен қатар, IPS/FW-ті сериялық қауіпсіздікті жүзеге асыру үшін әдетте кәсіпорын желісінің негізгі орнында орналастырылған жабдықты сериялық орналастыру ретінде байқауға болады, оның қосылған құрылғыларының сенімділігі кәсіпорын желісінің жалпы қолжетімділігіне тікелей әсер етеді. Сериялық құрылғылар шамадан тыс жүктелгеннен кейін, апатқа ұшырағаннан кейін, бағдарламалық құрал жаңартулары, саясат жаңартулары және т.б., бүкіл кәсіпорын желісінің қолжетімділігі айтарлықтай әсер етеді. Бұл кезде біз тек желіні кесу арқылы, физикалық айналып өту арқылы желіні қалпына келтіре аламыз, бұл желінің сенімділігіне айтарлықтай әсер етеді. IPS/FW және басқа да сериялық құрылғылар бір жағынан кәсіпорынның желілік қауіпсіздігін енгізуді жақсартады, екінші жағынан кәсіпорын желілерінің сенімділігін төмендетеді, желінің қол жетімді емес қаупін арттырады.
3.2 Inline Link Series Equipment Protection
Mylinking™ ” Network Inline Bypass ” желілік құрылғылар (маршрутизаторлар, коммутаторлар және т. шамадан тыс жүктелу, бұзылу, бағдарламалық құрал жаңартулары, саясат жаңартулары және басқа сәтсіздік жағдайларына байланысты IPS / FW, интеллектуалды арқылы «Желіге кірістірілген айналып өту» жүрек соғуы туралы хабарламаны анықтау функциясы қалыпты байланыс желісін қорғау үшін желіге, жылдам желілік жабдықты үзбей, дер кезінде табу және осылайша ақаулы құрылғыны өткізіп жіберу; IPS/FW ақауларын қалпына келтіру кезінде, сонымен қатар интеллектуалды жүрек соғу пакеттері арқылы Функцияны уақтылы анықтауды анықтау, кәсіпорын желісінің қауіпсіздігін қалпына келтіруге арналған бастапқы сілтеме.
Mylinking™ “Network Inline Bypass” қуатты интеллектуалды жүрек соғу хабарын анықтау функциясына ие, пайдаланушы жүрек соғу жиілігін тексеруді жіберу сияқты денсаулықты тексеру үшін IPS/FW жүйесіндегі реттелетін жүрек соғу хабары арқылы жүрек соғу аралығын және қайталаудың ең көп санын реттей алады. хабарды IPS/FW жоғары/төменгі портына жіберіңіз, содан кейін IPS/FW жоғары/төмен ағын портынан қабылдап, төрелік етіңіз. жүрек соғысы туралы хабарды жіберу және қабылдау арқылы IPS/FW қалыпты жұмыс істеп тұр ма.
3.3 «SpecFlow» саясаты ағынының кірістірілген тартқыш сериясын қорғау
Қауіпсіздік желі құрылғысы тек сериялық қауіпсіздікті қорғаудағы арнайы трафикпен жұмыс істеу қажет болғанда, Mylinking™ ” Network Inline Bypass ” трафикті өңдеу функциясы арқылы, ” Қауіпсіздік құрылғысын қосу үшін трафикті тексеру стратегиясы арқылы ” Қауіпсіз “трафик кері жіберіледі. тікелей желілік байланысқа, ал «тиісті трафик бөлімі» қауіпсіздік тексерулерін орындау үшін желідегі қауіпсіздік құрылғысына тарту болып табылады. Бұл қауіпсіздік құрылғысының қауіпсіздікті анықтау функциясының қалыпты қолданылуын сақтап қана қоймайды, сонымен қатар қысыммен күресу үшін қауіпсіздік жабдығының тиімсіз ағынын азайтады; сонымен бірге «Желіге кірістірілген айналып өту» қауіпсіздік құрылғысының жұмыс жағдайын нақты уақытта анықтай алады. Қауіпсіздік құрылғысы қалыпты емес жұмыс істейді, желі қызметінің үзілуін болдырмау үшін деректер трафигін тікелей айналып өтеді.
3.4 Жүктемені теңестіру сериясын қорғау
Mylinking™ «Network Inline Bypass » желілік құрылғылар (маршрутизаторлар, қосқыштар, т.б.) арасында сериялық түрде орналастырылған. Жалғыз IPS/FW өңдеу өнімділігі желілік байланыс ең жоғары трафигімен күресу үшін жеткіліксіз болған кезде, протектордың трафик жүктемесін теңестіру функциясы, бірнеше IPS / FW кластерін өңдейтін желілік сілтеме трафигін «байланыстыру» жалғыз IPS / FW өңдеу қысымы, орналастыру ортасының жоғары өткізу қабілеттілігін қанағаттандыру үшін жалпы өңдеу өнімділігін жақсарту.
Mylinking™ «Network Inline Bypass» кадрлық VLAN тегіне, MAC ақпаратына, IP ақпаратына, порт нөміріне, протоколға және әрбір IPS/FW қабылдануын қамтамасыз ету үшін трафикті хэш жүктемесін теңестіру бойынша басқа ақпаратқа сәйкес қуатты жүктемені теңестіру функциясына ие. деректер ағыны Сеанс тұтастығы.
3.5 Көп сериялы кірістірілген жабдықтың ағынын тартудан қорғау (сериялық қосылымды параллель қосылымға өзгерту)
Кейбір негізгі сілтемелерде (мысалы, интернет розеткалары, сервер аймағының алмасу сілтемесі) орын көбінесе қауіпсіздік мүмкіндіктерінің қажеттіліктеріне және бірнеше желілік қауіпсіздік сынау жабдығын (мысалы, брандмауэр, DDOS шабуылына қарсы жабдық, WEB қолданбасының брандмауэрі) орналастыруға байланысты. , шабуылдың алдын алу жабдықтары және т.б.), бір сәтсіздік нүктесінің сілтемесін арттыру үшін сілтеме бойынша бір уақытта бірнеше қауіпсіздікті анықтау жабдығы, жалпы сенімділікті төмендетеді. желі. Ал жоғарыда аталған қауіпсіздік жабдығын желіде орналастыру, жабдықты жаңарту, жабдықты ауыстыру және басқа операциялар желіде ұзақ уақыт қызмет көрсету үзілістерін тудырады және осындай жобаларды сәтті жүзеге асыруды аяқтау үшін үлкен жобаны қысқарту әрекетін тудырады.
«Желіні кірістірілген айналып өтуді» біртұтас тәсілмен қолдану арқылы бір сілтемеде тізбектей жалғанған бірнеше қауіпсіздік құрылғыларын орналастыру режимін «физикалық біріктіру режимінен» «физикалық біріктіру, логикалық біріктіру режиміне» өзгертуге болады Сілтемедегі сілтеме Сұраныс бойынша сілтеме ағынындағы «Желілік кірісті айналып өту» кезінде сілтеменің сенімділігін арттырудың бір сәтсіздігі, қауіпсіз өңдеу әсерінің бастапқы режимімен бірдей ағынға қол жеткізу.
Сериялық орналастыру диаграммасында бір уақытта бірнеше қауіпсіздік құрылғылары:
Желіні кірістірілген айналып өту коммутаторын орналастыру диаграммасы:
3.6 Қозғалыс қауіпсіздігін анықтауды қорғаудың динамикалық стратегиясына негізделген
«Желіге кірістірілген айналма жол» Басқа жетілдірілген қолданба сценарийі төменде көрсетілгендей жолды орналастыру, трафик қауіпсіздігін анықтауды қорғау қолданбаларының динамикалық стратегиясына негізделген:
«Anti-DDoS шабуылдан қорғау және анықтау» қауіпсіздік тесті жабдығын алыңыз, мысалы, « Network Inline Bypass », содан кейін анти-DDOS қорғау жабдығын қолдану арқылы, содан кейін « Network Inline Bypass » жүйесіне қосыңыз. кәдімгі ” Тартымды қорғағыш “трафиктің сым жылдамдығының толық көлеміне дейін бір уақытта ағын айнасының шығысы” DDOS шабуылынан қорғау құрылғысына”, бір рет анықталғаннан кейін. сервер IP (немесе IP желі сегменті) шабуылдан кейін, «анти-DDOS шабуылдан қорғау құрылғысы» мақсатты трафик ағынының сәйкестік ережелерін жасайды және оларды динамикалық саясатты жеткізу интерфейсі арқылы «Желіге кірістірілген айналып өтуге» жібереді. «Желіге кірістірілген айналып өту» динамикалық саясат ережелерін алғаннан кейін «трафиктің тартылу динамикасын» жаңарта алады Ереже пулы «және дереу» ережесі шабуыл серверінің трафигіне «тарту» DDoS шабуылынан қорғау және анықтау «өңдеуге арналған жабдыққа, шабуылдан кейін тиімді болады, содан кейін желіге қайта енгізіледі.
«Желіге кірістірілген айналма жолға» негізделген қолданба схемасы дәстүрлі BGP маршрутын енгізуге немесе басқа трафикті тарту схемасына қарағанда оңайырақ және орта желіге азырақ тәуелді және сенімділік жоғарырақ.
“Network Inline Bypass” динамикалық саясат қауіпсіздігін анықтау қорғанысын қолдау үшін келесі сипаттамаларға ие:
1, WEBSERIVCE интерфейсіне негізделген ережелерден тыс қамтамасыз ету, үшінші тарап қауіпсіздік құрылғыларымен оңай біріктіру үшін «Желіге кірістірілген айналма».
2, «Желіге кірістірілген айналып өту» коммутаторды қайта бағыттауды блоктаусыз 10 Гбит/с сым жылдамдығы пакеттерін қайта бағыттайтын таза ASIC чипіне және нөмірге қарамастан «трафикті тарту динамикалық ережелерінің кітапханасына» негізделген.
3, ” Network Inline Bypass ” кірістірілген кәсіби BYPASS функциясы, тіпті егер протектордың өзі істен шыққан болса да, бастапқы сериялық сілтемені дереу айналып өтуі мүмкін, қалыпты байланыстың бастапқы сілтемесіне әсер етпейді.
Жіберу уақыты: 23 желтоқсан 2021 ж