Mylinking™ nätverkspaketmäklare plus inline-bypass-switch ML-BYPASS-M2000
Bypassmodul: 8*10G SFP+ och 4*100GE, Monitormodul: 16*10GE SFP+ och 4*100GE, Max 2,4 Tbps
1-Översikter
Med internets snabba utveckling blir hotet mot nätverksinformationssäkerhet allt allvarligare, så en mängd olika informationssäkerhetsskyddsapplikationer används i allt större utsträckning. Oavsett om det är traditionell åtkomstkontrollutrustning (brandvägg) eller en ny typ av mer avancerade skyddsmedel som intrångsskyddssystem (IPS), Unified Threat Management Platform (UTM), Anti-Denial Service Attack System (Anti-DDoS), Anti-spam Gateway, Unified DPI Traffic Identification and Control System och många säkerhetsenheter distribueras i serie i nätverkets nyckelnoder, och implementeringen av motsvarande datasäkerhetspolicy identifierar och hanterar laglig/olaglig trafik. Samtidigt kommer dock datornätverket att generera stora nätverksfördröjningar eller till och med nätverksavbrott vid redundansövergång, underhåll, uppgradering, utbyte av utrustning och så vidare, i en mycket tillförlitlig produktionsmiljö för nätverksapplikationer, vilket användare inte kan stå ut med.
ML-BYPASS-M2000 Mylinking™ Network Packet Broker plus Inline Bypass Switch är utvecklad för flexibel driftsättning av olika typer av seriell säkerhetsutrustning samtidigt som den ger hög nätverkstillförlitlighet.
Genom att driftsätta Mylinking™ Network Packet Broker plus Inline Bypass Switch:
●Användare kan flexibelt installera/avinstallera säkerhetsskyddsenheter utan att påverka eller avbryta det befintliga nätverket;
● Den har en intelligent hälsodetektionsfunktion för att övervaka den normala arbetsstatusen för anslutna säkerhetsenheter i realtid. När en ansluten säkerhetsenhet slutar fungera förbikopplas skyddet automatiskt för att upprätthålla normal nätverkskommunikation.
● Teknik för selektiv trafikskydd kan användas för att driftsätta specifik säkerhetsutrustning för trafikrensning, krypteringsbaserad granskningsutrustning etc. Den implementerar effektivt inline-åtkomstskydd för specifika trafiktyper, vilket avlastar trafikbehandlingsbelastningen för inline-enheter.
● Lastbalanserande trafikskyddsteknik kan användas för att distribuera säkra inline-enheter i kluster för att möta behoven av inline-säkerhetsskydd i miljöer med hög bandbreddsbelastning.
● Den har SSL-proxyfunktioner, vilket uppfyller övervaknings- och analyskraven för säkerhetsskyddsenheter för klartextdatainnehåll.
● Den har grundläggande trafikbehandlingsfunktioner som trafikreplikering, aggregering, filtrering och märkning, samt avancerade trafikbehandlingsfunktioner som deduplicering, maskering, applikationslagerprotokollidentifiering och trafikformning.
2-Mylinking™ Network Packet Broker plus Inline Bypass Switch Avancerade funktioner och tekniker
Mylinking™ ”SpecFlow”-skyddsläge och ”FullLink”-skyddslägesteknik
Mylinking™ Snabb Bypass-omkopplingsskyddsteknik
Mylinking™ “LinkSafeSwitch”-teknik
Mylinking™ “WebService” Dynamisk policyvidarebefordran/problemhanteringsteknik
Mylinking™ Intelligent Heartbeat Packet Detection-teknik
Min länkning™ Definierbar hjärtslagspaketteknik
Min länkning™ Flerlänks lastbalanseringsteknik
Min länkning™ Intelligent trafikdistributionsteknik
Min länkning™ Dynamisk lastbalanseringsteknik
Min länkning™ Fjärrhanteringsteknik (HTTP/WEB, TELNET/SSH, "EasyConfig/AdvanceConfig"-funktion)
3-Mylinking™ Network Packet Broker plus konfigurationsguide för Inline Bypass Switch
Som visas i diagrammet ovan består hela enheten av fyra modulära platser:
Modulplatserna SLOT1, SLOT2, SLOT3 och SLOT4 kan alla hantera BYPASS-skyddsportmoduler eller MONITOR-portmoduler med olika hastigheter och portnummer. Genom att ersätta olika modulmodeller är det möjligt att stödja BYPASS-skydd för flera 10G/40G/100G-länkar, samt driftsätta Inline Bypass-övervakningsutrustning för flera 10G/40G/100G-länkar.
Obs: Både BYPASS-modulen och MONITOR-modulen stöder hot-swapping.
3.1-Modulspecifikationslista
| Produktmodell | FunktionellPparametrar |
| Chassis | |
| ML-BYPASS-M2000-CHS/AC | 2U standard 19-tums rackmontering; maximal strömförbrukning 300W; modulär BYPASS-skyddad huvudenhet; 4 modulplatser; 1*RS232-konsolgränssnitt, 1*10/100/1000M RJ45-gränssnitt med extern nätverkshantering; dubbel strömförsörjning AC-220V; |
| NT-BYPASS-M2000-CHS/DC | 2U standard 19-tums rackmontering; maximal strömförbrukning 300W; modulär BYPASS-skyddad huvudenhet; 4 modulplatser; 1*RS232-konsolgränssnitt, 1*10/100/1000M RJ45-gränssnitt med extern nätverkshantering; dubbel strömförsörjning DC-48V; |
| GÅ FÖRBIMmodul | |
| INL-I8XM8X(LM/SM) | Stöder 4-vägs 10GE (kompatibel med 1G) länk seriell anslutningsskydd, med totalt 8*10GE-gränssnitt; stöder 8*10G SFP+ övervakningsportar (exklusive optiska moduler). |
| INL-I4HM2H (LM/SM) | Stöder 2-vägs 100GE (40GE-kompatibel) länkseriellt skydd, med totalt 4*100GE-gränssnitt; stöder 2*100GE QSFP28-övervakningsportar (exklusive optiska moduler). |
| MONITOR-modul | |
| MÅN-M16X | 16*10GE SFP+ övervakningsportar (exklusive optiska moduler); |
| MÅN-M16X-CN98 | 16*10GE SFP+ övervakningsportar (optisk modul ingår ej); utrustad med en avancerad funktionsmotor som stöder avancerade trafikbehandlingsfunktioner som bypass SSL-dekryptering, SSL-proxy och trafikdeduplicering; |
| MÅN-M4H | 4*100GE QSFP28 övervakningsportar (optiska moduler ingår ej); |
| MÅN-M4H-CN98 | 4*100GE QSFP28 övervakningsportar (optiska moduler ingår ej); utrustad med en avancerad funktionsmotor som stöder avancerade trafikbehandlingsfunktioner som bypass SSL-dekryptering, SSL-proxy och trafikdeduplicering; |
3.2-Regler för modulval
Baserat på de olika skyddade länkarna och kraven för driftsättning av övervakningsutrustning kan du flexibelt välja olika modulkonfigurationer för att möta dina faktiska miljöbehov. Följ dessa regler när du väljer:
1) Chassiaggregatet är en obligatorisk komponent och måste väljas innan du väljer andra moduler. Välj även lämplig strömförsörjningsmetod (AC/DC) enligt dina behov.
2) Enheten stöder maximalt 4 modulplatser; du kan inte välja fler moduler än antalet platser för konfiguration. Baserat på den flexibla kombinationen av olika modulmodeller kan enheten stödja seriellt skydd för upp till 16 10GE/GE-länkar eller 8 100GE/40GE-länkar.
4-Intelligenta trafikbehandlingsförmågor
4.1-Inline-distribution
Specifikt trafikskydd i linje
Den stöderInline(serie)skyddsläge för specifika trafiktyper i allainlinelänk.Tovidarebefordra vissa användarspecificerade trafiktyper påinlinelänk tillInline Ssäkerhetanordningför bearbetning, och resten av trafiken vidarebefordras direkt utan att flyta genomInline SsäkerhetanordningSamtidigt,itutför realtidsövervakning av driftläget förInline SsäkerhetanordningNär det onormala trafikbearbetningstillståndet upptäckts,itkommer automatiskt att kringgås från trafiköverföringsvägen för att säkerställa nätverkstjänstens kontinuitet.
All trafik inline-skydd
Den stöderInline(serie)skyddsläge för alla trafiktyper i allainlinelänk.Toöverföra all trafik iinlinelänk tillInline Ssäkerhetanordningför bearbetning och övervaka körtillståndet för Inline Securityanordningi realtid. När det onormala trafikbearbetningstillståndet upptäckts,itkommer automatiskt att kringgås från trafiköverföringsvägen för att säkerställa nätverkstjänstens kontinuitet.
Lastbalans
Den har intelligent kapacitet för trafikbelastningsbalansering. När bearbetningsprestanda för en endaInline Ssäkerhetanordningräcker inte för att hanterainlinelänkkommunikationstrafik, den kan allokerainlinelänka trafik till N Monitor-gränssnitt genom att konfigurera en lastbalanseringsgrupp. Enligt MAC, IP-information, portnummer, protokoll och annan information,itutför valfri Hash-algoritm lastbalanseringsutmatning, så attinlinelänktrafiken är jämnt fördelad till flerainlinesäkerhetverktygs för klusterbearbetning, vilket effektivt förbättrar den totala bearbetningsprestandan förinlinesäkerhetverktygs. För att anpassa sig till kraven i scenarier med hög bandbredd och stor trafik.
Hjärtslagspaketdetektering
Den stöderTxochRxhjärtslagsdetekteringspaket via upplänken och nedlänken för anslutnainlinesäkerhetsenheter och upptäckerinline-verktygarbetsstatus och huruvida trafikbehandlingsprocessen är normal. Den dubbelriktade hjärtslagenpaketdetekteringsmekanismen kan mer exakt återspegla det aktuella arbetstillståndet förinlinesäkerhetanordningoch mer effektivt säkerställa nätverkets normala drift.
Den kan anpassa hjärtslagsparametrarna för vilken som helstinlinesäkerhetsanordning, såsom pulsslagTxintervalltid, maximala hjärtslagsförsökstider, hjärtslagTxriktning, etc. Den kan upptäcka och bedöma feltillståndet hosinlinesäkerhetsenheter i tid och realisera snabb förbikoppling av skyddslänkar.
Hjärtslagsdetekteringspaketen är standard Ethernet-lager 2-ramar. När det transparenta lager 2-bryggläget (t.ex. IPS/FW) används, kommer lager 2 Ethernet-ramarna att vidarebefordras normalt utan att blockeras eller släppas. Samtidigt kan den också stödja anpassade Ethernet-lager 2-, lager 3- och lager 4-hjärtslagsdetekteringspaket för att anpassa sig till vissa speciellainlineSäkerhetsenheter kan normalt inte vidarebefordra vanliga Ethernet Layer 2-ramar.
Baserat på ovanstående mekanism kan användare inse effekten av hälsodetektering på servicenivån hos anslutna säkerhetsenheter, så att säkerhetstjänsternas normala arbete kan säkerställas mer effektivt.
Bypass-omkoppling
Den stöder mycket låg bypassväxlandefördröjning (<8ms), och användarna kan knappt känna av påverkan på nätverket när enheten utför förbikopplingväxlandeSamtidigt kan den enhetsspecifika länkväxlingstekniken säkerställa att länktillståndet för den primära länken inte påverkas under förbikopplingen.växlandeDenna teknik kommer att säkerställa att förbikopplingenväxlandeär säkrare och kommer inte att orsaka att topologiprotokollet för lager 2/lager 3 för de skyddade länkarna omberäknas och konvergerar, för att minimera påverkan på användarnätverket underväxlande.
Trafikblockering
När säkerhetsenheten upptäcker olagliga eller onormala sessionsanslutningar i trafiken och behöver blockera dem i tid, kan enheten fånga upp specificerade paket i upp-/nedtrafiken.inlinelänk baserad på tupelmatchningsfiltervillkoren för att säkerställa säker drift av nätverkstjänster.
Trafikspegel
Förutom trafikskyddet för inline-länken och Inline-säkerhetsenheten (t.ex. IPS, WAF), kan all SPAN-speglad trafik också matas ut till SPAN-säkerhetsövervakningssystemet (t.ex. IDS, APT) för att uppfylla implementeringskraven för SPAN-övervakning av trafikdata eller trafiktestning och verifiering.
SSL-proxy
Genom SSL-proxyfunktionen dekrypteras det ursprungliga krypterade paketet och skickas till det inline säkerhetsskyddssystemet, och sedan återställs den dekrypterade informationen och skickas tillbaka till den ursprungliga länken, för att tillhandahålla den dekrypterade informationen till det inline säkerhetsskyddssystemet utan att påverka överföringen av krypterad data på användarens ursprungliga länk, och för att realisera övervakning och analys av den krypterade informationen av analyssystemet.
4.2-SPAN-distribution
Replikering av nätverkstrafik
Den stöderInline(serie)skyddsläge för specifika trafiktyper i allainlinelänk.Tovidarebefordra vissa användarspecificerade trafiktyper påinlinelänk tillInline Ssäkerhetanordningför bearbetning, och resten av trafiken vidarebefordras direkt utan att flyta genomInline SsäkerhetanordningSamtidigt,itutför realtidsövervakning av driftläget förInline SsäkerhetanordningNär det onormala trafikbearbetningstillståndet upptäckts,itkommer automatiskt att kringgås från trafiköverföringsvägen för att säkerställa nätverkstjänstens kontinuitet.
Nätverkstrafikaggregering
Den ursprungliga ingångstrafiken och förbearbetad trafik kan kopieras till N-kanalsignal enligt 1-kanalsignal eller kopieras till M-kanalsignal efter N-kanalsignalaggregering vid GE-, 10GE-, 40G- och 100G-linjehastighetsforwarding, vilket perfekt löser behovet av att distribuera mer än två lyssningsbypass-enheter med flera portar i nätverket samtidigt.
Datadistribution/vidarebefordran
Klassificerade inkommande metadata korrekt och kasserade eller vidarebefordrade olika datatjänster till flera gränssnittsutgångar enligt användarens fördefinierade regler.
Paketdatafiltrering
Indatatrafikkan klassificeras korrekt, och olika datatjänster kan vitlistas eller svartlistas, och flera gränssnittsutgångar kan kasseras eller vidarebefordras. Den stöder flexibel kombination baserad på Ethernet-typ, VLAN-tagg, IP fem-tuple,TCPidentifierare, paketegenskaper och andra element för att ytterligare uppfylla driftsättningskraven för olika nätverkssäkerhetsutrustningar, protokollanalys, signalanalys och annan trafikövervakning.
Lastbalans
Lastbalanseringen av den valfria hashalgoritmen kan utföras enligt de inre och yttre lagrens egenskaper hos L2-L4 för att säkerställa sessionsintegriteten hos dataflödet som tas emot avSPÄNNAövervakningsenhet. När länkens tillstånd ändras kan medlemmarna i avlastningsportgruppen flexibelt gå ur (länk NER) eller ansluta sig (länk UPP), och avlastningsgruppen kan automatiskt omfördela trafiken för att säkerställa dynamisk lastbalansering av portens utgående trafik.
VLAN-taggad
VLAN otaggad
VLAN ersatt
Stödde matchning av valfritt nyckelfält i de första 128 byten av ett paket. Användaren kan anpassa offsetvärdet och nyckelfältets längd och innehåll, samt bestämma trafikutdatapolicyn enligt användarkonfigurationen.
Tidsstämpling
Stöds till synkronisera NTP-servern för att korrigera tiden och skriva meddelandet i paketet i form av en relativ tidstagg med en tidsstämpel i slutet av ramen, med en noggrannhet på nanosekunder
Avkapsling av tunneln
Stödde VxLAN-, VLAN-, GRE-, GTP-, MPLS- och IPIP-headern som avlägsnades från det ursprungliga datapaketet och vidarebefordrade utdata.
Data-/paketdelning
Den stöderpaketbitOriginaldata baseras på trafikinmatnings- och utmatningsgränssnittet på policynivå (64, 96, 128, 160, 192, 224, 256, 288, 320, 384, 512, 640, 768, 896, 960 byte är valfria), och trafikutmatningspolicyn kan implementeras enligt användarkonfigurationen.
Identifiera tunnelprotokoll
Stödjer automatisk identifiering av olika tunnelprotokoll som GTP / GRE / VxLAN / PPTP / L2TP / PPPOE / IPIP. Beroende på användarkonfigurationen kan trafikutgångsstrategin implementeras enligt tunnelns inre eller yttre lager.
Prioritet för vidarebefordran av paket
Den stöder definitionen av prioritet för datapaket enligt tjänstens betydelse vid den inkommande porten, och paket med hög prioritet vidarebefordras prioriterat vid utgången. Efter att paketen med hög prioritet har vidarebefordrats vidarebefordras andra paket med medel- och låg prioritet. Undvik larm i analyssystemet orsakade av att viktiga datapaket saknas.
Onormalt alarmerande
Den stöder realtidsövervakning av larm och historiska larmposter av gränssnittstrafiktrender baserat på tröskelinställningar. Den stöder realtidsövervakning av larm och historiska larmposter baserat på enhetens hårdvarustatus (processor, minne, temperatur, fläkt, strömförsörjning etc.).
Gränssnittssäkerhetskopiering
Den stöder ingångsgränssnitt 1+1 primär/standby-konfiguration, utgångsgränssnitt 1+1 primär/standby-konfiguration och lastbalanseringsgrupp N+1 primär/standby-konfiguration för att uppnå hög tillförlitlighet i trafikprocessen från ingång till utgång.
Mätning av trafikmikroburst
Den kan detektera förekomsttid, varaktighet och burstfrekvens för trafikmikroburst i realtid, och tillhandahålla lagring av historiska mätdata, vilket ger kvantifierbara och observerbara medel och grund för felsökning av drift och underhåll samt detektering av paketförlust.
Skydd mot gränssnittsoscillationer
Den stöder detektering och skydd av oscillationshändelser vid länk upp/ned i alla gränssnitt, för att undvika förlust av in- och utgående trafik orsakad av frekventa länkar upp/ned mellan gränssnitt, och förbättra stabiliteten i trafikinsamling och vidarebefordran.
Tunnelinkapslingsutgång
Den stöder tunnelinkapsling av ERSPAN2-, GRE-, VXLAN- och NVGRE-typ för insamlad trafik och utdata för att uppfylla applikationskraven för överföring av insamlad trafik till fjärranalyssystem.
Tunnelpaketavslutning
Den stöder funktionen för tunnelmeddelandeavslutning. Denna funktion möjliggör konfigurering av IP-adresser/masker och MAC-adresser vid trafikingångsporten. Den möjliggör direkt överföring av trafik som behöver samlas in i användarnätverket via tunnelinkapslingsmetoder som GRE, GTP och VXLAN till enhetens insamlingsport.
SPAN SSL-dekryptering
Stöder inläsning av motsvarande SSL-certifikatdekryptering. Efter dekryptering av HTTPS-krypterad data för den angivna trafiken vidarebefordras den till backend-övervaknings- och analyssystemen efter behov. Stöder TLS1.0, TLS1.2 och SSL3.0.
Data-/paketdeduplicering
Stöder portbaserad eller policynivåbaserad statistisk granularitet för att jämföra data från flera insamlingskällor och upprepningar av samma datapaket vid en viss tidpunkt. Användare kan välja olika paketidentifierare (dst.ip, src.port, dst.port, tcp.seq, tcp.ack, dst.mac, src.mac, vlan.id)
Maskering av klassificerade datum
Stöder policybaserad granularitet för att ersätta alla nyckelfält i rådata för att uppnå syftet att skydda känslig information. Trafikutdatapolicyn kan implementeras enligt användarkonfigurationen.
APP-lagerprotokollidentifiering
Den stöder identifiering, utmatning och kassering av applikationslagerprotokoll baserat på DNS/URL-matchningsläge. DPI-funktionsbiblioteket kan integreras för att känna igen, mata ut och kassera inte mindre än 1800 typer av applikationsprotokollfunktioner (som ljud och video, spel, snabbmeddelanden, databas, e-post, P2P, etc.), och DPI-funktionsbiblioteket kan uppgraderas och uppdateras. Vid särskilda behov kan även sekundärutveckling utföras.
Paketanvändardefinierad dekapsling
Den stöder funktionen för självdefinierad paketavkapsling, vilket kan ta bort inkapslingsfälten och innehållet var som helst av de första 128 bytena i paketet och mata ut det.
Trafikhantering
Samtidigt används trafikformningsteknik i utdatagränssnittet för att mata ut dataflödet smidigt till analysverktyget, vilket i grunden löser fenomenet med paketförlust orsakat av mikroburst och undviker onormala larm orsakade av trafikförlust i analyssystemet.
Paketnyckelordsmatchning
Efter att något fältinnehåll i nyttolastdelen av paketet har matchats och träffats, vidarebefordras och matas ut eller kasseras det associerade paketet eller sessionsflödet för att uppfylla förbehandlingskraven för specifika trafikdata.
Avkapsling av tunneln
Den stöder utdata från VXLAN, MPLS, GRE, SRV6, FABRICPATCH, GENEVE och andra paketrubriker i det ursprungliga datapaketet efter strippning.
Långlivad anslutningsavlastning
Enligt användarens behov kan vilket sessionsflöde som helst vidarebefordras och matas ut enligt antalet överförda byte och antalet överförda paket, och det efterföljande sessionsflödet kan kasseras för att uppfylla kraven för backend-analyssystemet i vissa specifika scenarier, vilket bara behöver hämta en del av trafiken i sessionsflödet, minska trycket på trafikanalysen och förbättra analyssystemets effektivitet.
Trafikstatistisk analys
Den stöder statistik över komponenterna i all inmatningsgränssnittstrafik och kan visa dess trafiktrendstorlek, trafikstorlek/andel TOPN för IP-adress, trafikstorlek/andel TOPN för applikationsprotokollkategori, trafikstorlek/andel TOPN för applikationsprotokollnamn och trafiksessionsinformation i form av diagram i realtid, och tillhandahåller export av statistiska resultat till lokala filer. Således kan användare tydligare förstå sammansättningsstrukturen för all insamlad trafik och ge den mest direkta databasbasen för att anpassa trafikstrategier och förändrade affärskrav.
Trafiksynlighet - Grundläggande dataanalys
Den grundläggande analysmodulen för trafikvisualiseringsdetekteringsfunktionen kan visa grundläggande information om insamlad måltrafikdata, såsom paketantal, unicast-/multicast-/broadcast-paketdistribution, sessionsanslutningsnummer, paketprotokolldistribution och insamlad trafikstorlek.
Trafiksynlighet - DPI-djupanalys
DPI-djupanalysmodulen i trafiksiktbarhetsdetekteringsfunktionen kan utföra djupgående analyser av insamlad måltrafikdata från flera perspektiv och presentera detaljerad statistik i form av grafer och tabeller.
Trafiksynlighet - Analys av trafikproportioner
● Analys av transportlagerprotokollproportioner: såsom TCP, UDP, ICMP, IGMP, ARP och annan paketproportion och trafikstatistik samt cirkeldiagramvisning
● Analys av IP-trafikproportioner: såsom trafikstatistik genererad av olika IP-adresser, IP-baserad trafikrankning TOP N och stapeldiagramvisning
● DPI-applikationsproportionsanalys: såsom HTTP, QQ, FTP och andra applikationsprotokoll, antalet byte, statistisk fördelning av kommunikationstrafik och cirkeldiagramvisning
Trafiksynlighet - Analys av trafiktidslinje
Enligt olika filtreringsförhållanden, såsom IP, port, transportlagerprotokoll, applikationslagerprotokoll och annat specificerat innehåll, kan aktuell måltrafikdata analyseras och presenteras baserat på samplingstiden, och trafikstorlek och trend kan efterfrågas genom att flytta tidsreglaget och statistisk granularitetsskalning, och noggrannheten kan nå upp till 1 millisekund.
Trafiksynlighet – flödestabellanalys
Enligt olika filterförhållanden, såsom flödes-ID, IP, port, transportlagerprotokoll, applikationslagerprotokoll och annat specificerat innehåll, kan den aktuella målinsamlade trafikdatan analyseras och räknas baserat på sessionsflödesläget, det vill säga en detaljerad presentation av sessionsflödesinformation, inklusive fempunktsinformation för varje flöde, typen av överföringsapplikation, antalet och byte av paketöverföringen och det tillhörande dataflödet. Och har en rangordningsvisning baserad på ovanstående information. Baserat på denna information kan användare enkelt välja de trafiktyper de är intresserade av, vilket ger den mest direkta grunden för användarna att formulera policyer för trafikvidarebefordran.
Trafiksynlighet – Paketanalys
Baserat på olika filtreringskriterier, såsom paket-ID, IP, port, transportlagerprotokoll, applikationslagerprotokoll och annat specificerat innehåll, kan den insamlade måltrafikdatan förses med en analyspresentation per paketnivå, inklusive:
● Analys av tidsstämpel för paketinsamling
● Analys av viktig paketinformation, såsom sip, dip, smac, dmac, protokoll, flagga, TTL, meddelandelängd, viktiga händelser
● Analys av paketöverföringsväg och animationsvisning, såsom: vidarebefordringstider, vidarebefordringsfördröjning, vidarebefordringstyp (routing, switching, brandvägg, lastbalansering, NAT)
● Sammanfattning av paketinformation och detaljerad strukturvisning
● Analys av antalet upprepade paketinsamlingar
Trafiksikt – Noggrann felanalys
Felanalysmodulen i trafiksiktdetekteringsfunktionen kan tillhandahålla olika visuella felanalyspositioner för de insamlade måltrafikdata, inklusive:
● Onormal översikt, såsom: resultat av nätverkstjänstanalys, resultat av onormala händelser, nätverksprocess baserad på beteendeanalys (såsom antalet routingenheter, NAT-enheter, brandväggsenheter, lastbalanseringsenheter som passerar paketöverföringen)
● Felanalys på flödestabellnivå, såsom onormala händelsetyper (anslutning avvisad/anslutning svarar inte/anslutning utan dataöverföring/anslutning halvöppen/sessionsväg oåtkomlig, etc.), ● Felanalys på paketnivå, såsom: typ av onormal händelse (paketkontrollsummefel /TTL 0/ oåtkomligt fel /FCS-kontrollsummefel, etc.), detaljerad beskrivning av onormal information och detaljer om tillhörande dataflöde
● Analys av säkerhetsfel, såsom: typ av onormal händelse (DDOS-attack/brandväggsblockering/ARP-attack/UDP-översvämning/SYN-översvämning etc.), detaljerad beskrivning av onormal information och detaljer om tillhörande dataflöde
● Analys av nätverksfel, såsom: typ av onormal händelse (switchloop/routingloop/sökväg oåtkomlig/länkavbrott etc.), detaljerad beskrivning av onormal information och detaljer om tillhörande dataflöde
5-Specifikationer för Mylinking™ Network Packet Broker plus Inline Bypass Switch
| ML-GÅ FÖRBI-M2000 Mylinking™ nätverkspaketmäklare plus inline-bypass-switch Funktionella specifikationer | ||||
| Nätverksgränssnitt | Modulplats | 4 BYPASS- eller MONITOR-modulplatser | ||
| Antal inline-länkar | Stöder skydd för upp till 16 1G/10G optiska länkar eller 8 40G/100G optiska länkar. | |||
| Övervakningsgränssnitt | Stöder maximalt 64*1G/10GE övervakningsgränssnitt eller 16*40G/100G övervakningsgränssnitt. | |||
| Gränssnitt för hantering av out-of-band | 1*10/100/1000M Ethernet-port; | |||
| Distributionsläge | Inline-distribution | Stöd | ||
| SPAN-distribution | Stöd | |||
| Systemfunktioner | Inline-distributionsläge | Specifikt skydd mot flödessammankoppling | Stöd | |
| Skydd i alla flödesserier | Stöd | |||
| Lastbalansering | Stöd | |||
| Hjärtslagsdetektering | Stöd | |||
| BYPASS-omkoppling | Stöd | |||
| Trafikblockering | Stöd | |||
| Trafikspegling | Stöd | |||
| SSL-proxy | Stöd | |||
| SPAN-distributionsläge | Grundläggande trafikhantering | Trafikreplikering/aggregering/distribution | Stöd | |
| Lastbalansering | Stöd | |||
| Trafikfiltrering baserad på IP/protokoll/port 5-tupel-identifierare | Stöd | |||
| VLAN-taggning/modifiering/borttagning | Stöd | |||
| Tidsstämpling | Stöd | |||
| Avkapsling av tunneln | Stöd | |||
| Dataslicing | Stöd | |||
| Identifiering av tunnelprotokoll | Stöd | |||
| Prioritet för vidarebefordran av paket | Stöd | |||
| Onormal varning | Stöd | |||
| Gränssnittets standby-läge | Stöd | |||
| Mikroburstmätning | Stöd | |||
| Skydd mot gränssnittsoscillationer | Stöd | |||
| Tunnelinkapslingsutgång | Stöd | |||
| Tunnelpaketavslutning | Stöd | |||
| Avancerad trafikbehandling | Kringgå SSL-dekryptering | Stöd | ||
| Datadeduplicering | Stöd | |||
| Datamaskering | Stöd | |||
| Identifiering av applikationslagerprotokoll | Stöd | |||
| Anpassad dekapsling | Stöd | |||
| Flödesformning | Stöd | |||
| Sökordsmatchning | Stöd | |||
| Avkapsling av tunneln | Stöd | |||
| Långlivad anslutningsavlastning | Stöd | |||
| Observation av flödeskomponenter | Stöd | |||
| Diagnos och övervakning | Realtidsövervakning | Stöd | ||
| Fråga om historisk trafik | Stöd | |||
| Trafikregistrering | Stöd | |||
| Detektion av trafikvisualisering | Fundamental analys | Stöder sammanfattande statistisk visning baserad på grundläggande information såsom paketantal, pakettypsfördelning, sessionsanslutningsantal och paketprotokollfördelning. | ||
| DPI-djupgående analys | Den stöder analys av andelen transportlagerprotokoll, andelen unicast, broadcast och multicast, andelen IP-trafik och andelen DPI-applikationer. Den stöder analys och presentation av datainnehåll baserat på samplingstid och datavolym. Den stöder dataanalys och statistik baserad på sessionsströmmar. | |||
| Noggrann felanalys | Stöder felanalys och lokalisering med hjälp av trafikdata från olika perspektiv, inklusive: paketöverföringsbeteendeanalys, felanalys på dataströmsnivå, felanalys på datapaketnivå, säkerhetsrelaterad felanalys och nätverksrelaterad felanalys. | |||
| Bearbetningskapacitet | 2,4 TB/s | |||
| Hantera | CONSOLE Nätverkshantering | Stöd | ||
| IP/WEB-nätverkshantering | Stöd | |||
| SNMP-nätverkshantering | Stöd | |||
| TELNET/SSH-nätverkshantering | Stöd | |||
| SYSLOG-protokoll | Stöd | |||
| RADIUS- eller TADACS+ centraliserad auktoriseringsautentisering | Stöd | |||
| Funktion för användarautentisering | Autentisering av användarnamn och lösenord | |||
| Elektrisk | Nominell strömförsörjningsspänning | AC-220V/DC-48V [Tillval] | ||
| Nominell effektfrekvens | AC-50Hz | |||
| Nominell ingångsström | AC-3A / DC-10A | |||
| Nominell funktionell effekt | Maximalt 300W | |||
| Miljö | Driftstemperatur | 0-50℃ | ||
| Förvaringstemperatur | -20–70 ℃ | |||
| Driftsfuktighet | 10%–95%, icke-kondenserande | |||
| Användarkonfiguration | Konsolkonfiguration | RS232-gränssnitt, 115200, 8, N, 1 | ||
| Lösenordsautentisering | Sstödja | |||
| Rackstorlek | Rackutrymme (U) | 2U 444 mm * 88 mm * 670 mm | ||
6-Mylinking™ Network Packet Broker plus Inline Bypass Switch-applikation
6.1DeRrisk förInline SsäkerhetEUtrustning (IPS / FW)
Följande är ett typiskt IPS (Intrusion Prevention System) driftsättningsläge för FW (Firewall). IPS/FW distribueras i serie med nätverksutrustningen (routrar, switchar etc.) genom säkerhetskontroller. Enligt motsvarande säkerhetspolicy avgörs om motsvarande trafik ska släppas eller blockeras för att uppnå en säkerhetsförsvarseffekt.
Följande är ett typiskt IPS (Intrusion Prevention System) driftsättningsläge för FW (Firewall). IPS/FW distribueras i serie med nätverksutrustningen (routrar, switchar etc.) genom säkerhetskontroller. Enligt motsvarande säkerhetspolicy avgörs om motsvarande trafik ska släppas eller blockeras för att uppnå en säkerhetsförsvarseffekt.
6.2 Skydd av utrustning i Inline Link-serien
Mylinking™ Network Packet Broker plus Inline Bypass Switch distribueras i serie mellan nätverksenheter (routrar, switchar etc.), och dataflödet mellan nätverksenheter leder inte längre direkt till IPS/FW. "Smart Inline Bypass Switch" till IPS/FW. När IPS/FW uppstår på grund av överbelastning, krascher, programuppdateringar, policyuppdateringar och andra fel, kan "Smart Inline Bypass Switch" genom intelligent pulsslagsmeddelandedetektering upptäcka felaktiga enheter i tid. Därmed hoppar nätverksutrustningen över felaktiga enheter utan att avbryta nätverkets förutsättningar. Nätverksutrustningen ansluts snabbt direkt för att skydda det normala kommunikationsnätverket. Vid återställning av IPS/FW-fel kan även intelligent pulsslagspaketdetektering i tid detektera den ursprungliga länken och återställa säkerheten i företagets nätverkssäkerhetskontroller.
Mylinking™ Network Packet Broker plus Inline Bypass Switch har en kraftfull intelligent funktion för detektering av hjärtslagsmeddelanden. Användaren kan anpassa hjärtslagsintervallet och det maximala antalet försök genom ett anpassat hjärtslagsmeddelande på IPS/FW för hälsotestning, till exempel skicka hjärtslagskontrollmeddelandet till uppströms-/nedströmsporten på IPS/FW och sedan ta emot det från uppströms-/nedströmsporten på IPS/FW och bedöma om IPS/FW fungerar normalt genom att skicka och ta emot hjärtslagsmeddelandet.
6.3 ”SpecFlow”-policyflöde inbyggtSäkerhetSerieskydd
När säkerhetsnätverksenheten bara behöver hantera den specifika trafiken i seriellt säkerhetsskydd, skickas "berörd" trafik direkt tillbaka till nätverkslänken via Mylinking™ Network Packet Broker plus Inline Bypass Switch-funktionen, och trafikscreeningspolicyn för att ansluta den inline säkerhetsenheten skickas "berörd" trafik direkt tillbaka till nätverkslänken, och den "berörda trafiksektionen" dras till den inline säkerhetsenheten för att utföra säkerhetskontroller. Detta kommer inte bara att upprätthålla den normala tillämpningen av säkerhetsenhetens säkerhetsdetekteringsfunktion, utan minskar också det ineffektiva flödet av säkerhetsutrustningen för att hantera trycket. Samtidigt kan "Smart Inline Bypass Switch" detektera säkerhetsenhetens arbetstillstånd i realtid. Säkerhetsenheten arbetar onormalt och kringgår datatrafiken direkt för att undvika avbrott i nätverkstjänsten.
Mylinking™ Network Packet Broker plus Inline Bypass Switch kan identifiera trafik baserat på L2-L4-lagerhuvudidentifieraren, såsom VLAN-tagg, källa/destinations MAC-adress, källans IP-adress, IP-pakettyp, transportlagerprotokollport, protokollhuvudnyckeltagg och så vidare. En mängd olika matchningsvillkor kan definieras flexibelt för att definiera de specifika trafiktyper som är av intresse för en viss säkerhetsenhet och kan användas i stor utsträckning för distribution av speciella säkerhetsrevisionsenheter (RDP, SSH, databasrevision, etc.).
6.4Load balanseradInbyggd säkerhetSerieskydd
Mylinking™ Network Packet Broker plus Inline Bypass Switch distribueras i serie mellan nätverksenheter (routrar, switchar etc.). När en enda IPS/FW-behandlingsprestanda inte är tillräcklig för att hantera nätverkslänkens trafiktopp, kan belastningsbalanseringsfunktionen hos skyddet, "bundling" av flera IPS/FW-kluster som bearbetar nätverkslänktrafik, effektivt minska behandlingstrycket för enskilda IPS/FW och förbättra den totala behandlingsprestanda för att möta den höga bandbredden i distributionsmiljön.
Mylinking™ Network Packet Broker plus Inline Bypass Switch har en kraftfull lastbalanseringsfunktion som bygger på VLAN-tagg, MAC-information, IP-information, portnummer, protokoll och annan information om hash-lastbalanseringsfördelningen av trafik för att säkerställa att varje IPS/FW tar emot dataflöde och sessionsintegritet.
6.5FlerserierInline-utrustning FlågTfraktionPskydd(ÄndraFysiskSeriell anslutning tillLogiskParallell anslutning)
I vissa viktiga länkar (som internetuttag, serverområdesutbyteslänkar) beror placeringen ofta på behovet av säkerhetsfunktioner och utplacering av flera inbyggda säkerhetstestutrustningar (såsom brandväggar, anti-DDOS-utrustning, webbapplikationsbrandväggar, intrångsskyddsutrustning etc.). Multipel säkerhetsdetekteringsutrustning i serie på länken ökar länkens potential för en enda felpunkt, vilket minskar nätverkets totala tillförlitlighet. Och i den ovan nämnda online-utplaceringen av säkerhetsutrustning, utrustningsuppgraderingar, utrustningsbyten och andra operationer kommer nätverket att avbrytas under långa tid och leda till större projektnedskärningar för att slutföra ett framgångsrikt genomförande av sådana projekt.
Genom att driftsätta Mylinking™ Network Packet Broker plus Inline Bypass Switch på ett enhetligt sätt kan driftsättningsläget för flera säkerhetsenheter som är seriekopplade på samma länk ändras från "Fysiskt seriellt anslutningsläge" till "Fysisk parallell anslutning men logiskt seriellt anslutningsläge". Detta minskar effektivt källorna till fel på seriellänken och förbättrar länkens tillförlitlighet. Samtidigt kan Mylinking™ Network Packet Broker plus Inline Bypass Switch styra länktrafiken på begäran och uppnå samma trafiksäkerhetsbehandlingseffekt som det ursprungliga seriella anslutningsläget.
Mer än en Inline Security-enhet samtidigt i seriedistributionsdiagram:
Diagram för implementering av Mylinking™ Network Packet Broker plus Inline Bypass Switch:
(Ändra fysisk seriell anslutning till logisk parallell anslutning)
6.6Baserat påDdynamisk politik förTRaffic InlineSsäkerhetDdetektionPskydd
Mylinking™ Network Packet Broker plus Inline Bypass Switch, ett annat avancerat applikationsscenario, är baserat på den dynamiska policyn för säkerhetsdetektering av trafikspår, distributionen av sättet visas nedan:
Ta till exempel säkerhetstestutrustningen "Anti-DDoS-attackskydd och -detektering", genom frontend-distribution av "Smart Bypass Switch" och sedan anti-DDoS-skyddsutrustning som sedan ansluts till "Smart Bypass Switch", i den vanliga "Smart Bypass Switch" för att vidarebefordra hela trafikmängden med trådhastighet samtidigt som flödesspegeln skickas till "Anti-DDoS-attackskyddsenheten". När en server-IP (eller IP-nätverkssegment) har upptäckts efter attacken, genererar "Anti-DDoS-attackskyddsenheten" matchningsregler för måltrafikflödet och skickar dem till "Smart Bypass Switch" via det dynamiska policyleveransgränssnittet. "Bypass Switch" kan uppdatera "trafikdragningsdynamiken" efter att ha mottagit den dynamiska policyreglerna "och omedelbart" regeln som träffar attackservern "drager till "anti-DDoS-attackskydds- och detekteringsutrustning" för bearbetning, för att vara effektiv efter attackflödet och sedan återinjiceras i nätverket.
Applikationsschemat baserat på "Smart Bypass Switch" är enklare att implementera än traditionell BGP-ruttinjektion eller annat trafikdragningsschema, och miljön är mindre beroende av nätverket och tillförlitligheten är högre.
"Smart Bypass Switch" har följande egenskaper för att stödja dynamisk policysäkerhetsdetektering:
1. "Smart Bypass Switch" för att tillhandahålla utanför reglerna baserat på WEBSERIVCE-gränssnitt, enkel integration med säkerhetsenheter från tredje part.
2. "Smart Bypass Switch" baserad på det hårdvarubaserade ASIC-chipet som vidarebefordrar paket med upp till 100 Gbps trådhastighet utan att blockera vidarebefordran av switchen, och "traffic traction dynamic rule library" oavsett antal.
3. "Smart Bypass Switch" inbyggd professionell BYPASS-funktion, även om skyddet självt misslyckas, kan den omedelbart kringgå den ursprungliga seriella länken, utan att påverka den ursprungliga länken för normal kommunikation.
6,7Inline seriell trafikspeglingför säkerhet utanför bandet (inline + SPAN)
Mylinking™ Network Packet Broker plus Inline Bypass Switch används vanligtvis i en kunds IT-nätverk eller molnplattformsnätverk för att ge inline-skydd för WAF/IPS-enheter och den ursprungliga länken. Användare kan också ha ytterligare krav för testning, verifiering eller driftsättning av bypass-övervakningsenheter, vilket kräver insamling av trafikdata på denna länk.
Därför kan trafiken från den inline seriella länken speglas från monitorporten med hjälp av trafikspeglingsfunktionen hos Mylinking™ Network Packet Broker plus Inline Bypass Switch, som visas i följande figur:
Diagrammet nedan illustrerar ett utökat tillämpningsscenario för inline-länktrafik och switchspeglad porttrafik. Detta möjliggör skydd för inline-länktrafik utan att påverkas av switchspeglad porttrafik. IDS-analyssystemet kan samtidigt hämta både inline-länktrafik och switchspeglad porttrafik. Distribueringsmetoden visas i diagrammet nedan:
6,8Data-/paketdedupliceringAnsökan
Som visas i applikationens distributionsstruktur ovan, för att säkerställa integriteten hos den ursprungliga datainsamlingen längs hela länken, kan vissa identiska datapaket samlas in flera gånger inom en enda väg. Detta leder till ökade falsklarm och omsändningar i backend-systemet, vilket ökar analyssystemets prestanda och påverkar analysens noggrannhet och effektivitet. Baserat på lösningen dupliceras först datapaket som dedupliceras i olika infångningsnoder. Endast ett datapaket vidarebefordras till backend-NPM-nätverkets prestandaanalyssystem och APM-applikationens prestandaanalyssystem, vilket sparar analyssystemets prestanda och förbättrar analysens effektivitet och noggrannhet.
6,9Data/PaketVLAN-taggingAnsökan
I nätverksmiljön som visas i diagrammet ovan används lösningen för att märka rådata från olika nätverksenheter och länka noder. När onormal trafik eller datapaket uppstår i nätverket kan backend-analysutrustningen snabbt och exakt lokalisera källan till den onormala datan genom att spåra tillbaka baserat på dataetiketterna.
6.10 NätverkstrafikEnhetligt schemaAnsökan
I nätverksmiljön som visas i diagrammet ovan matas flera 10GE, 25GE, 40GE och 100GE källänksdata in i Mylinking™ Network Packet Broker plus Inline Bypass Switch med hjälp av optisk delning eller portspegling. Sedan används filtrering och trafikdelning för att mata ut olika tjänstedatatrafiker till olika out-of-band-nätverksövervaknings- och säkerhetssystemenheter. När nätverkspaketavvikelser eller onormala trafikfluktuationer kräver manuell åtgärd kan realtidspaketinsamling och analys av de ursprungliga datapaketen utföras omedelbart för att hjälpa användare att snabbt analysera och lokalisera felet.
6.11NätverkAnalys av trafikdatas synlighetAnsökan
Den kan presentera all detekterad och insamlad data på ett flerdimensionellt och flerperspektivigt sätt genom ett användarvänligt grafiskt och textbaserat interaktivt gränssnitt, inklusive trafiksammansättningsstruktur, distribution av applikationsprotokoll, trafikfördelning av alla nätverksnoder, dataöverföringsväg, detektering av onormala händelser, exakt plats för nätverkselement-/länkfel, status för meddelandeinteraktion, trafikutvecklingstrend och andra aspekter för övervakning och analys, för att etablera en omfattande, synlig och kontrollerbar övergripande datainsamlings- och säkerhetsplattform för företagsnätverk.
