1- Vad är Define Heartbeat-paketet?
Heartbeat-paketen i Mylinking™ Network Tap Bypass Switch använder som standard Ethernet Layer 2-ramar. Vid distribution av transparent Layer 2-bryggningsläge (t.ex. IPS/FW) vidarebefordras, blockeras eller kasseras Layer 2 Ethernet-ramar normalt. Samtidigt stöder Mylinking™ Network Tap Bypass Switch anpassat heartbeat-meddelandeformat för att hantera situationer där vissa speciella seriella säkerhetsenheter normalt inte kan vidarebefordra vanliga Layer 2 Ethernet-ramar.
Och Mylinking™ Network Tap Bypass Switch stöder även hjärtslagspaketdetektering baserat på VLAN-tagg, anpassade meddelandetyper för lager 3 och lager 4. Baserat på denna mekanism kan användaren implementera en säkerhetstestfunktion för anslutningssäkerhetsenheten för att effektivisera säkerställandet av motsvarande säkerhetstjänster.
Mylinking™ Network Tap Bypass Switch kan stödja monitorn för att skicka olika hjärtslagspaket i båda riktningarna. Till exempel anpassas hjärtslagspaket av TCP- och UDP-typ på "Strategy Traffic Traction Protector" enligt den seriella enhetens särdrag. Du kan konfigurera sändningen av TCP-hjärtslagspaket på upplänksmonitorns A-port och sändningen av UDP-hjärtslagspaket på nedlänksmonitorns B-port för att anpassa dig till den seriella säkerhetsenhetens mekanism för vidarebefordran av meddelanden. Denna funktion kan mer effektivt garantera strängen. Anslut säkerhetsutrustningen till normal drift.
Mylinking™ Network Inline Bypass Switch är utforskad och utvecklad för att användas för flexibel distribution av olika typer av seriell säkerhetsutrustning samtidigt som den ger hög nätverkstillförlitlighet.
Avancerade funktioner och tekniker för 2-nätverks inline bypass-switch
Mylinking™ ”SpecFlow”-skyddsläge och ”FullLink”-skyddslägesteknik
Mylinking™ Snabb Bypass-omkopplingsskyddsteknik
Mylinking™ “LinkSafeSwitch”-teknik
Mylinking™ “WebService” Dynamisk strategi för vidarebefordran/utfärdande av e-post
Mylinking™ Intelligent teknik för detektering av hjärtslagsmeddelanden
Mylinking™ Definerbara hjärtslagsmeddelanden Teknik
Mylinking™ Multi-link lastbalanseringsteknik
Mylinking™ Intelligent trafikdistributionsteknik
Mylinking™ dynamisk lastbalanseringsteknik
Mylinking™ fjärrstyrningsteknik (HTTP/WEB, TELNET/SSH, "EasyConfig/AdvanceConfig"-funktion)
3-nätverks inline bypass-switchapplikation (enligt följande)
3.1 Risken med inline-säkerhetsutrustning (IPS/FW)
Följande är ett typiskt IPS (Intrusion Prevention System) driftsättningsläge för FW (Firewall). IPS/FW distribueras i serie med nätverksutrustningen (routrar, switchar etc.) genom säkerhetskontroller. Enligt motsvarande säkerhetspolicy avgörs om motsvarande trafik ska släppas eller blockeras för att uppnå en säkerhetsförsvarseffekt.
Samtidigt kan vi observera IPS/FW som en seriell distribution av utrustning, vanligtvis placerad på nyckelplatser i företagsnätverket för att implementera seriell säkerhet. Tillförlitligheten hos de anslutna enheterna påverkar direkt företagets nätverks totala tillgänglighet. När seriella enheter överbelastas, kraschar, programuppdateringar, policyuppdateringar etc. inträffar, kommer hela företagets nätverks tillgänglighet att påverkas kraftigt. I det här fallet kan vi bara återställa nätverket genom att koppla bort nätverket och använda en fysisk bypass-jumper, vilket allvarligt påverkar nätverkets tillförlitlighet. IPS/FW och andra seriella enheter förbättrar å ena sidan säkerheten i företagsnätverket, men minskar å andra sidan också tillförlitligheten i företagsnätverket, vilket ökar risken för att nätverket inte är tillgängligt.
3.2 Skydd av utrustning i Inline Link-serien
Mylinking™ ”Network Inline Bypass” distribueras i serie mellan nätverksenheter (routrar, switchar etc.). Dataflödet mellan nätverksenheter leder inte längre direkt till IPS/FW. ”Network Inline Bypass” till IPS/FW. När IPS/FW uppstår på grund av överbelastning, krascher, programuppdateringar, policyuppdateringar och andra fel, kan ”Network Inline Bypass” identifiera felaktiga enheter i tid genom intelligent pulsslagsmeddelandedetektering. Detta gör att nätverksutrustning snabbt kan anslutas direkt till nätverket för att skydda det normala kommunikationsnätverket. Vid fel på IPS/FW kan nätverksutrustningen snabbt återställas, utan att störa nätverkets förutsättningar. Dessutom kan den ursprungliga länken identifieras i tid och återställa säkerheten i företagets nätverk.
Mylinking™ “Network Inline Bypass” har en kraftfull intelligent funktion för detektering av hjärtslagsmeddelanden. Användaren kan anpassa hjärtslagsintervallet och det maximala antalet försök genom ett anpassat hjärtslagsmeddelande på IPS/FW för hälsotestning, till exempel skicka hjärtslagskontrollmeddelandet till uppströms-/nedströmsporten på IPS/FW och sedan ta emot det från uppströms-/nedströmsporten på IPS/FW och bedöma om IPS/FW fungerar normalt genom att skicka och ta emot hjärtslagsmeddelandet.
3.3 ”SpecFlow”-policy för flödesskydd i linjedragning
När säkerhetsnätverksenheten endast behöver hantera den specifika trafiken i seriellt säkerhetsskydd, skickas trafiken per bearbetning via Mylinking™ "Network Inline Bypass" via trafikscreeningsstrategin för att ansluta säkerhetsenhetens "berörda" trafik tillbaka direkt till nätverkslänken, och den "berörda trafiksektionen" dras till den inline säkerhetsenheten för att utföra säkerhetskontroller. Detta kommer inte bara att upprätthålla den normala tillämpningen av säkerhetsenhetens säkerhetsdetekteringsfunktion, utan minskar också det ineffektiva flödet av säkerhetsutrustningen för att hantera trycket. Samtidigt kan "Network Inline Bypass" detektera säkerhetsenhetens arbetstillstånd i realtid. Säkerhetsenheten arbetar onormalt och kringgår datatrafiken direkt för att undvika avbrott i nätverkstjänsten.
3.4 Lastbalanserat serieskydd
Mylinking™ "Network Inline Bypass" distribueras i serie mellan nätverksenheter (routrar, switchar etc.). När en enda IPS/FW-behandlingsprestanda inte räcker till för att hantera nätverkslänkens trafiktopp, kan belastningsbalanseringsfunktionen hos skyddet, "bundling" av flera IPS/FW-kluster som bearbetar nätverkslänktrafik, effektivt minska behandlingstrycket för enskilda IPS/FW och förbättra den totala behandlingsprestanda för att möta den höga bandbredden i distributionsmiljön.
Mylinking™ “Network Inline Bypass” har en kraftfull lastbalanseringsfunktion som bygger på VLAN-taggar, MAC-information, IP-information, portnummer, protokoll och annan information om hashbelastningsfördelningen av trafik för att säkerställa att varje IPS/FW tar emot dataflöde och sessionsintegritet.
3.5 Flödesdragningsskydd för inline-utrustning i flera serier (ändra seriell anslutning till parallell anslutning)
I vissa viktiga länkar (som internetuttag, serverområdesutbyteslänkar) beror placeringen ofta på behovet av säkerhetsfunktioner och utplacering av flera inbyggda säkerhetstestutrustningar (såsom brandväggar, anti-DDOS-utrustning, webbapplikationsbrandväggar, intrångsskyddsutrustning etc.). Multipel säkerhetsdetekteringsutrustning i serie på länken ökar länkens potential för en enda felpunkt, vilket minskar nätverkets totala tillförlitlighet. Och i den ovan nämnda online-utplaceringen av säkerhetsutrustning, utrustningsuppgraderingar, utrustningsbyten och andra operationer kommer nätverket att avbrytas under långa tid och leda till större projektnedskärningar för att slutföra ett framgångsrikt genomförande av sådana projekt.
Genom att distribuera "Network Inline Bypass" på ett enhetligt sätt kan distribueringsläget för flera säkerhetsenheter som är seriekopplade på samma länk ändras från "fysiskt sammankopplingsläge" till "fysiskt sammankopplingsläge, logiskt sammankopplingsläge". Länken på länken med en enda felpunkt förbättrar länkens tillförlitlighet, medan "Network Inline Bypass" på länken flödesstyrning vid behov, för att uppnå samma flöde med det ursprungliga läget för säker bearbetningseffekt.
Mer än en säkerhetsenhet samtidigt i seriedistributionsdiagram:
Diagram för implementering av nätverks-inline-bypass-switch:
3.6 Baserat på den dynamiska strategin för trafikspårningssäkerhetsdetekteringsskydd
”Nätverksbaserad förbikoppling” Ett annat avancerat tillämpningsscenario är baserat på den dynamiska strategin för säkerhetsdetektering av trafikledning, vars utplacering visas nedan:
Ta till exempel säkerhetstestutrustningen "Anti-DDoS-attackskydd och -detektering", genom frontend-distribution av "Network Inline Bypass" och sedan anti-DDoS-skyddsutrustning som sedan ansluts till "Network Inline Bypass". Med den vanliga "Traction Protector" skickas hela mängden trafik via wire-speed-vidarebefordran samtidigt som flödesspegeln matas ut till "anti-DDoS-attackskyddsenheten". När en server-IP (eller IP-nätverkssegment) har upptäckts efter attacken genererar "anti-DDoS-attackskyddsenheten" matchningsregler för måltrafikflödet och skickar dem till "Network Inline Bypass" via det dynamiska policyleveransgränssnittet. "Network Inline Bypass" kan uppdatera "trafikdragningsdynamiken" efter att ha mottagit den dynamiska policyregelpoolen "och omedelbart" träffa attackservertrafiken till "anti-DDoS-attackskydds- och detekteringsutrustningen" för bearbetning, för att vara effektiv efter attackflödet och sedan återinjiceras i nätverket.
Applikationsschemat baserat på "Network Inline Bypass" är enklare att implementera än traditionell BGP-ruttinjektion eller annat trafikdragningsschema, och miljön är mindre beroende av nätverket och tillförlitligheten är högre.
”Network Inline Bypass” har följande egenskaper för att stödja dynamisk policysäkerhetsidentifiering:
1, ”Network Inline Bypass” för att tillhandahålla utanför reglerna baserat på WEBSERIVCE-gränssnitt, enkel integration med säkerhetsenheter från tredje part.
2, ”Network Inline Bypass” baserat på det hårdvarubaserade ASIC-chipet som vidarebefordrar paket med upp till 10 Gbps trådhastighet utan att blockera vidarebefordran via switch, och ”traffic traction dynamic rule library” oavsett antal.
3. Den inbyggda professionella BYPASS-funktionen ”Network Inline Bypass” kan, även om skyddet självt misslyckas, omedelbart kringgå den ursprungliga seriella länken utan att påverka den ursprungliga länken för normal kommunikation.
Publiceringstid: 23 december 2021
