Mylinking™ Network Packet Broker plus Inline Bypass Switch ML-NPB-M2000
Bypass-modul: 8*10G SFP+ & 4*100GE, Monitormodul: 16*10GE SFP+ & 4*100GE, Maks. 2,4 Tbps
1-Oversigter
Med internettets hurtige udvikling bliver truslen mod netværksinformationssikkerhed mere og mere alvorlig, så en række forskellige informationssikkerhedsapplikationer anvendes i stigende grad. Uanset om det er traditionelt adgangskontroludstyr (firewall) eller en ny type mere avancerede beskyttelsesmidler såsom Intrusion Prevention System (IPS), Unified Threat Management Platform (UTM), Anti-Denial Service Attack System (Anti-DDoS), Anti-spam Gateway, Unified DPI Traffic Identification and Control System og mange sikkerhedsenheder, der er installeret i serie i netværkets nøglenoder, implementeres den tilsvarende datasikkerhedspolitik for at identificere og håndtere lovlig/ulovlig trafik. Samtidig vil computernetværket dog generere en stor netværksforsinkelse eller endda netværksforstyrrelse i tilfælde af failover, vedligeholdelse, opgradering, udskiftning af udstyr osv. I et meget pålideligt produktionsnetværksapplikationsmiljø kan brugerne ikke holde det ud.
ML-NPB-M2000 Mylinking™ Network Packet Broker plus Inline Bypass Switch er undersøgt og udviklet til fleksibel implementering af forskellige typer serielt sikkerhedsudstyr, samtidig med at den giver høj netværkspålidelighed.
Ved at implementere Mylinking™ Network Packet Broker plus Inline Bypass Switch:
● Brugere kan fleksibelt installere/afinstallere sikkerhedsbeskyttelsesenheder uden at påvirke eller afbryde det eksisterende netværk;
● Den har en intelligent sundhedsdetektionsfunktion til at overvåge den normale driftsstatus for tilsluttede sikkerhedsenheder i realtid. Når en tilsluttet sikkerhedsenhed ikke fungerer korrekt, vil beskytteren automatisk omgå den for at opretholde normal netværkskommunikation.
● Selektiv trafikbeskyttelsesteknologi kan bruges til at implementere specifikt trafikrensningsudstyr, krypteringsbaseret revisionsudstyr osv. Den implementerer effektivt inline-adgangsbeskyttelse for specifikke trafiktyper og aflaster dermed inline-enheders trafikbehandlingsbelastning.
● Teknologi til belastningsbalancering og trafikbeskyttelse kan bruges til at implementere sikre inline-enheder i klynger for at opfylde behovene for inline-sikkerhedsbeskyttelse under miljøer med højt båndbreddetryk.
● Den har SSL-proxyfunktioner, der opfylder overvågnings- og analysekravene for sikkerhedsbeskyttelsesenheder til klartekstdataindhold.
● Den besidder grundlæggende trafikbehandlingsfunktioner såsom trafikreplikering, aggregering, filtrering og mærkning, samt avancerede trafikbehandlingsfunktioner såsom deduplikering, maskering, identifikation af applikationslagsprotokol og trafikformning.
2-Mylinking™ Network Packet Broker plus Inline Bypass Switch Avancerede funktioner og teknologier
Mylinking™ “SpecFlow” beskyttelsestilstand og “FullLink” beskyttelsestilstandsteknologi
Mylinking™ Fast Bypass Switching Protection Technology
Mylinking™ “LinkSafeSwitch”-teknologi
Mylinking™ “WebService” Dynamisk teknologi til videresendelse/udstedelse af politikker
Mylinking™ Intelligent Heartbeat Packet Detection-teknologi
Min linking™ Definerbar Heartbeat Packets-teknologi
Min linking™ Multi-link Load Balancing-teknologi
Min linking™ Intelligent trafikdistributionsteknologi
Min linking™ Dynamisk belastningsbalanceringsteknologi
Min linking™ Fjernstyringsteknologi (HTTP/WEB, TELNET/SSH, "EasyConfig/AdvanceConfig"-egenskab)
3-Mylinking™ Network Packet Broker plus Inline Bypass Switch Konfigurationsvejledning
Som vist i diagrammet ovenfor består hele enheden af fire modulære slots:
Modulpladserne SLOT1, SLOT2, SLOT3 og SLOT4 kan alle rumme BYPASS-beskyttelsesportmoduler eller MONITOR-portmoduler med forskellige hastigheder og portnumre. Ved at udskifte forskellige modulmodeller er det muligt at understøtte BYPASS-beskyttelse til flere 10G/40G/100G-links, samt implementering af Inline Bypass-overvågningsudstyr til flere 10G/40G/100G-links.
Bemærk: Både BYPASS-modulet og MONITOR-modulet understøtter hot-swapping.
3.1-Liste over modulspecifikationer
| Produktmodel | FunktionelPparametre |
| Chassis | |
| ML-NPB-M2000-CHS/AC | 2U standard 19-tommer rackmontering; maksimalt strømforbrug 300W; modulær BYPASS-beskytter hovedenhed; 4 modulpladser; 1*RS232 konsolgrænseflade, 1*10/100/1000M RJ45-grænseflade med ekstern netværksadministration; dobbelt strømforsyning AC-220V; |
| NT-BYPASS-M2000-CHS/DC | 2U standard 19-tommer rackmontering; maksimalt strømforbrug 300W; modulær BYPASS-beskytter hovedenhed; 4 modulpladser; 1*RS232 konsolgrænseflade, 1*10/100/1000M RJ45-grænseflade med ekstern netværksadministration; dobbelt strømforsyning DC-48V; |
| OMKØRSELMmodul | |
| INL-I8XM8X(LM/SM) | Understøtter 4-vejs 10GE (kompatibel med 1G) link seriel forbindelsesbeskyttelse, med i alt 8*10GE grænseflader; understøtter 8*10G SFP+ overvågningsporte (eksklusive optiske moduler). |
| INL-I4HM2H (LM/SM) | Understøtter 2-vejs 100GE (40GE-kompatibel) link seriel beskyttelse, med i alt 4*100GE grænseflader; understøtter 2*100GE QSFP28 overvågningsporte (eksklusive optiske moduler). |
| MONITOR-modul | |
| MON-M16X | 16*10GE SFP+ overvågningsporte (eksklusive optiske moduler); |
| MON-M16X-CN98 | 16*10GE SFP+ overvågningsporte (optisk modul medfølger ikke); udstyret med en avanceret funktionsmotor, der understøtter avancerede trafikbehandlingsfunktioner såsom bypass SSL-dekryptering, SSL-proxy og trafikdeduplikering; |
| MAN-M4H | 4*100GE QSFP28 overvågningsporte (optiske moduler medfølger ikke); |
| MON-M4H-CN98 | 4*100GE QSFP28 overvågningsporte (optiske moduler medfølger ikke); udstyret med en avanceret funktionsmotor, der understøtter avancerede trafikbehandlingsfunktioner såsom bypass SSL-dekryptering, SSL-proxy og trafikdeduplikering; |
3.2-Regler for modulvalg
Baseret på de forskellige beskyttede forbindelser og krav til implementering af overvågningsudstyr kan du fleksibelt vælge forskellige modulkonfigurationer, der opfylder dine faktiske miljøbehov. Følg venligst disse regler, når du vælger:
1) Chassisenheden er en obligatorisk komponent og skal vælges, før du vælger andre moduler. Vælg også den passende strømforsyningsmetode (AC/DC) i henhold til dine behov.
2) Enheden understøtter maksimalt 4 modulpladser; du kan ikke vælge flere moduler end antallet af pladser til konfiguration. Baseret på den fleksible kombination af forskellige modulmodeller kan enheden understøtte seriel beskyttelse af op til 16 10GE/GE-links eller 8 100GE/40GE-links.
4-Intelligente trafikbehandlingsevner
4.1-Inline-implementering
Specifik trafikbeskyttelse i linje
Det understøtterIndlejret(seriel)beskyttelsestilstand for specifikke trafiktyper i enhverindlejretforbindelse.Tovideresende nogle brugerdefinerede trafiktyper påindlejretlink tilIndlejret Ssikkerhedenhedtil behandling, og resten af trafikken videresendes direkte uden at flyde gennemIndlejret SsikkerhedenhedSamtidig,itudfører realtidsovervågning af driftstilstanden forIndlejret SsikkerhedenhedNår den unormale trafikbehandlingstilstand er fundet,itvil automatisk blive omgået fra trafiktransmissionsstien for at sikre netværkstjenestens kontinuitet.
Al trafikbeskyttelse i linje
Det understøtterIndlejret(seriel)beskyttelsestilstand for alle trafiktyper i enhverindlejretforbindelse.Tooverføre al trafik iindlejretlink tilIndlejret Ssikkerhedenhedtil behandling og overvåge den kørende tilstand af Inline Securityenhedi realtid. Når den unormale trafikbehandlingstilstand er fundet,itvil automatisk blive omgået fra trafiktransmissionsstien for at sikre netværkstjenestens kontinuitet.
Belastningsbalance
Den har intelligent trafikbelastningsbalanceringsfunktion. Når behandlingsydelsen for en enkeltIndlejret Ssikkerhedenheder ikke nok til at håndtereindlejretlinkkommunikationstrafik, kan den allokereindlejretForbind trafik til N Monitor-grænseflader ved at konfigurere en load balancing-gruppe. I henhold til MAC-adresse, IP-oplysninger, portnummer, protokol og andre oplysninger,itudfører valgfri Hash-algoritme belastningsbalanceringsoutput, således atindlejretlinktrafikken er jævnt fordelt på flereindlejretsikkerhedværktøjs til klyngebehandling, hvilket effektivt forbedrer den samlede behandlingsydelse afindlejretsikkerhedværktøjs. For at tilpasse sig kravene i applikationsscenarier med høj båndbredde og stor trafik.
Detektion af hjerteslagspakker
Det understøtterTxogRxhjerteslagsdetektionspakker via uplink og downlink af tilsluttedeindlejretsikkerhedsenheder og registrererindbyggede værktøjerarbejdsstatus og om trafikbehandlingsprocessen er normal. Det tovejspulsårepakkedetektionsmekanismen kan mere præcist afspejle den aktuelle driftstilstand forindlejretsikkerhedenhedog mere effektivt sikre netværkets normale drift.
Den kan tilpasse hjerteslagsparametrene for enhverindlejretsikkerhedsenhed, såsom pulsslagTxintervaltid, maksimale hjerteslagsgentagelsestider, hjerteslagTxretning osv. Den kan detektere og bedømme fejltilstanden forindlejretsikkerhedsenheder i tide og realisere hurtig bypass-skift af beskyttelseslinks.
Heartbeat-detektionspakkerne er standard Ethernet Layer 2-rammer. Når den transparente Layer 2-brotilstand (f.eks. IPS/FW) er implementeret, videresendes Layer 2 Ethernet-rammerne normalt uden blokering eller tab. Samtidig kan den også understøtte brugerdefinerede Ethernet Layer 2-, Layer 3- og Layer 4-heartbeat-detektionspakker for at tilpasse sig visse særlige forhold.indlejretSikkerhedsenheder kan normalt ikke videresende almindelige Ethernet Layer 2-frames.
Baseret på ovenstående mekanisme kan brugerne realisere effekten af serviceniveauets sundhedsdetektering for tilsluttede sikkerhedsenheder, så det kan sikre sikkerhedstjenesternes normale funktion mere effektivt.
Bypass-skift
Den understøtter meget lav bypassskiftforsinkelse (<8ms), og brugerne kan næppe mærke påvirkningen på netværket, når enheden udfører bypassskiftSamtidig kan den enhedsspecifikke Link-switching-teknologi sikre, at den primære linktilstand ikke påvirkes under bypass'en.skiftDenne teknologi vil sikre, at bypass'enskifter mere sikker og vil ikke forårsage, at lag 2/lag 3 topologiprotokollen for de beskyttede links genberegnes og konvergerer, for at minimere påvirkningen af brugernetværket underskift.
Trafikblokering
Når sikkerhedsenheden registrerer ulovlige eller unormale sessionsforbindelser i trafikken og skal blokere dem i tide, kan enheden opfange alle specificerede pakker i den opadgående/nedadgående trafik.indlejretlink baseret på tuple-matchningsfilterbetingelserne for at sikre sikker drift af netværkstjenester.
Trafikspejl
Ud over trafikbeskyttelsen af inline-linket og Inline-sikkerhedsenheden (såsom IPS, WAF) kan enhver SPAN-spejlet trafik også sendes til SPAN-sikkerhedsovervågningssystemet (såsom IDS, APT) for at opfylde implementeringskravene til SPAN-overvågning af trafikdata eller trafiktestning og -verifikation.
SSL-proxy
Via SSL-proxyfunktionen dekrypteres den originale krypterede pakke og sendes til det indbyggede sikkerhedsbeskyttelsessystem, og derefter gendannes de dekrypterede data og sendes tilbage til det oprindelige link for at levere de dekrypterede data til det indbyggede sikkerhedsbeskyttelsessystem uden at påvirke transmissionen af krypterede data på brugerens oprindelige link, og for at realisere overvågning og analyse af de krypterede data af analysesystemet.
4.2-SPAN-implementering
Replikering af netværkstrafik
Det understøtterIndlejret(seriel)beskyttelsestilstand for specifikke trafiktyper i enhverindlejretforbindelse.Tovideresende nogle brugerdefinerede trafiktyper påindlejretlink tilIndlejret Ssikkerhedenhedtil behandling, og resten af trafikken videresendes direkte uden at flyde gennemIndlejret SsikkerhedenhedSamtidig,itudfører realtidsovervågning af driftstilstanden forIndlejret SsikkerhedenhedNår den unormale trafikbehandlingstilstand er fundet,itvil automatisk blive omgået fra trafiktransmissionsstien for at sikre netværkstjenestens kontinuitet.
Netværkstrafikaggregering
Den oprindelige inputtrafik og den forbehandlede trafik kan kopieres til N-kanalsignal i henhold til 1-kanalsignal eller kopieres til M-kanalsignal efter N-kanalsignalaggregering ved GE-, 10GE-, 40G- og 100G-linjehastighedsforwarding, hvilket perfekt løser behovet for at implementere mere end to multiport-lyttebypass-enheder i netværket på samme tid.
Datadistribution/videresendelse
Klassificerede de indgående metadata nøjagtigt og kasserede eller videresendte forskellige datatjenester til flere grænsefladeoutput i henhold til brugerens foruddefinerede regler.
Pakkedatafiltrering
Inputdataenetrafikkan klassificeres nøjagtigt, og forskellige datatjenester kan hvidlistes eller sortlistes, og flere interfaceoutput kan kasseres eller videresendes. Det understøtter fleksibel kombination baseret på Ethernet-type, VLAN-tag, IP fem-tuple,TCPidentifikator, pakkekarakteristika og andre elementer for yderligere at opfylde implementeringskravene for forskelligt netværkssikkerhedsudstyr, protokolanalyse, signalanalyse og anden trafikovervågning.
Belastningsbalance
Belastningsbalanceringen af den valgfrie hash-algoritme kan udføres i henhold til de indre og ydre lagkarakteristika for L2-L4 for at sikre sessionsintegriteten af den datastrøm, der modtages afSPANovervågningsenhed. Når linktilstanden ændres, kan medlemmerne af aflastningsportgruppen fleksibelt forlade (link NED) eller tilslutte sig (link OP), og aflastningsgruppen kan automatisk omfordele trafikken for at sikre dynamisk belastningsbalancering af portens outputtrafik.
VLAN-mærket
VLAN Umærket
VLAN erstattet
Understøttede matchning af ethvert nøglefelt i de første 128 bytes af en pakke. Brugeren kan tilpasse offset-værdien og nøglefeltlængden og -indholdet samt bestemme trafikoutputpolitikken i henhold til brugerkonfigurationen.
Tidsstempling
Støttet til synkronisere NTP-serveren for at korrigere tiden og skrive beskeden ind i pakken i form af et relativt tidsmærke med et tidsstempel i slutningen af rammen med en nøjagtighed på nanosekunder.
Afstripning af tunnelindkapsling
Understøttede VxLAN-, VLAN-, GRE-, GTP-, MPLS- og IPIP-headere, der blev fjernet i den originale datapakke og videresendt output.
Data/pakkeopdeling
Det understøtterpakkestykkeDe originale data er baseret på trafikinput- og output-grænsefladen på politikniveau (64, 96, 128, 160, 192, 224, 256, 288, 320, 384, 512, 640, 768, 896, 960 bytes er valgfrie), og trafikoutputpolitikken kan implementeres i henhold til brugerkonfigurationen.
Identifikation af tunnelprotokol
Understøtter automatisk identifikation af forskellige tunnelprotokoller såsom GTP / GRE / VxLAN / PPTP / L2TP / PPPOE / IPIP. Trafikoutputstrategien kan implementeres i henhold til brugerkonfigurationen i henhold til tunnelens indre eller ydre lag.
Prioritet for videresendelse af pakker
Den understøtter definitionen af prioritet for datapakker i henhold til tjenestens vigtighed ved den indgående port, og pakker med høj prioritet videresendes fortrinsvis ved output. Efter at pakkerne med høj prioritet er videresendt, videresendes andre pakker med mellem og lav prioritet. Undgå alarmer i analysesystemet forårsaget af manglende vigtige datapakker.
Unormal alarmerende
Den understøtter realtidsovervågning af alarmer og historiske alarmregistreringer af grænsefladetrafiktendenser baseret på tærskelværdiindstilling. Den understøtter realtidsovervågning af alarmer og historiske alarmregistreringer baseret på enhedens hardwares sundhedsstatus (CPU, hukommelse, temperatur, ventilator, strømforsyning osv.).
Grænseflade Hot Backup
Den understøtter input-interface 1+1 primær/standby-konfiguration, output-interface 1+1 primær/standby-konfiguration og load balancing-gruppe N+1 primær/standby-konfiguration for at opnå høj pålidelighed i trafikprocessen fra input til output.
Måling af trafikmikroburst
Den kan registrere forekomsttidspunktet, varigheden og burst-hastigheden af trafik-microburst i realtid og give opbevaring af historiske måledata, hvilket giver kvantificerbare og observerbare midler og grundlag for fejlfinding og detektion af pakketab.
Beskyttelse mod grænsefladeoscillation
Det understøtter detektering og beskyttelse af oscillationshændelser i forbindelse med link op/ned på enhver grænseflade for at undgå tab af input- og outputtrafik forårsaget af hyppig link op/ned af grænseflader og forbedre stabiliteten af trafikindsamling og videresendelse.
Tunnelindkapslingsoutput
Den understøtter ERSPAN2-, GRE-, VXLAN- og NVGRE-tunnelindkapsling af al indsamlet trafik og output for at opfylde applikationens krav til transmission af indsamlet trafik til fjernanalysesystemer.
Tunnelpakketerminering
Den understøtter funktionen til afslutning af tunnelmeddelelser. Denne funktion giver mulighed for at konfigurere IP-adresser/masker og MAC-adresser ved trafikinputporten. Den muliggør direkte transmission af den trafik, der skal indsamles i brugernetværket, via tunnelindkapslingsmetoder som GRE, GTP og VXLAN til enhedens indsamlingsport.
SPAN SSL-dekryptering
Understøtter indlæsning af den tilsvarende SSL-certifikatdekryptering. Efter dekryptering af HTTPS-krypterede data for den angivne trafik videresendes de til backend-overvågnings- og analysesystemerne efter behov. Understøtter TLS1.0, TLS1.2 og SSL3.0
Data-/pakkededuplikering
Understøttet portbaseret eller statistisk granularitet på politikniveau for at sammenligne flere indsamlingskildedata og gentagelser af den samme datapakke på et bestemt tidspunkt. Brugere kan vælge forskellige pakkeidentifikatorer (dst.ip, src.port, dst.port, tcp.seq, tcp.ack, dst.mac, src.mac, vlan.id)
Maskering af klassificeret dato
Understøttet politikbaseret granularitet til at erstatte ethvert nøglefelt i rådataene for at opnå formålet med at beskytte følsomme oplysninger. Trafikoutputpolitikken kan implementeres i henhold til brugerkonfigurationen.
APP-lagsprotokolidentifikation
Den understøtter identifikation, output og kassering af applikationslagsprotokoller baseret på DNS/URL-matchningstilstand. DPI-funktionsbiblioteket kan integreres til at genkende, outputte og kassere ikke mindre end 1800 typer applikationsprotokolfunktioner (såsom lyd og video, spil, instant messaging, database, e-mail, P2P osv.), og DPI-funktionsbiblioteket kan opgraderes og opdateres. Hvis der er særlige behov, kan sekundær udvikling også udføres.
Brugerdefineret dekapsling af pakker
Den understøtter funktionen med selvdefineret pakkeafkapsling, som kan fjerne indkapslingsfelterne og indholdet på en hvilken som helst position af de første 128 bytes af pakken og outputte det.
Trafikformning
Samtidig bruges trafikformningsteknologi i outputgrænsefladen til at sende datastrømmen gnidningsløst til analyseværktøjet, hvilket fundamentalt løser pakketabsfænomenet forårsaget af mikroburst og undgår den unormale alarm forårsaget af trafiktab i analysesystemet.
Pakkesøgeordsmatchning
Efter at et hvilket som helst feltindhold i nyttelastdelen af pakken er matchet og fundet, videresendes og outputtes eller kasseres den tilhørende pakke- eller sessionsflow for at opfylde forbehandlingskravene for specifikke trafikdata.
Afstripning af tunnelindkapsling
Den understøtter output fra VXLAN, MPLS, GRE, SRV6, FABRICPATCH, GENEVE og andre pakkeoverskrifter i den originale datapakke efter stripping.
Langvarig forbindelsesaflastning
I henhold til brugerens behov kan enhver sessionsflow videresendes og outputtes i henhold til antallet af transmitterede bytes og antallet af transmitterede pakker, og den efterfølgende sessionsflow kan kasseres for at opfylde kravene til backend-analysesystemet i visse specifikke scenarier, som kun behøver at indhente en del af trafikken i sessionsflowet, reducere presset fra trafikanalysen og forbedre analysesystemets effektivitet.
Trafikstatistisk analyse
Den understøtter statistikker over komponenterne i enhver input-grænsefladetrafik og kan vise dens trafiktrendstørrelse, trafikstørrelse/andel TOPN for IP-adresse, trafikstørrelse/andel TOPN for applikationsprotokolkategori, trafikstørrelse/andel TOPN for applikationsprotokolnavn og trafiksessionsoplysninger i form af diagrammer i realtid og muliggør eksport af statistiske resultater til lokale filer. Således kan brugerne bedre forstå sammensætningsstrukturen af enhver indsamlet trafik og give det mest direkte dataunderstøttende grundlag for tilpasning af trafikstrategier og skiftende forretningskrav.
Trafiksynlighed - Grundlæggende dataanalyse
Det grundlæggende analysemodul i trafikvisualiseringsdetektionsfunktionen kan vise grundlæggende oplysninger om opfangede måltrafikdata, såsom pakkeantal, unicast/multicast/broadcast-pakkefordeling, sessionsforbindelsesnummer, pakkeprotokolfordeling og opfanget trafikstørrelse.
Trafiksynlighed - DPI dybdegående analyse
DPI-dybdeanalysemodulet i trafiksynlighedsdetektionsfunktionen kan udføre dybdegående analyser af de opfangede måltrafikdata fra flere perspektiver og præsentere detaljerede statistikker i form af grafer og tabeller.
Trafiksynlighed - Analyse af trafikproportioner
● Analyse af transportlagsprotokolproportioner: såsom TCP, UDP, ICMP, IGMP, ARP og andre pakkeforhold og trafikstatistikker samt visning af cirkeldiagrammer
● Analyse af IP-trafikforhold: såsom trafikstatistik genereret af forskellige IP-adresser, IP-baseret trafikrangering TOP N og visning af søjlediagrammer
● DPI-applikationsproportionsanalyse: såsom HTTP, QQ, FTP og andre applikationsprotokoller, antallet af bytes, statistisk fordeling af kommunikationstrafik og visning af cirkeldiagrammer
Trafiksynlighed - Analyse af trafiktidslinje
I henhold til forskellige filtreringsbetingelser, såsom IP, port, transportlagsprotokol, applikationslagsprotokol og andet specificeret indhold, kan de aktuelle måloptagelsestrafikdata analyseres og præsenteres baseret på samplingstiden, og trafikstørrelsen og -tendensen kan forespørges ved at flytte tidsskyderen og statistisk granularitetsskalering, og nøjagtigheden kan nå op til 1 millisekund.
Trafiksynlighed – Analyse af flowtabel
I henhold til forskellige filterbetingelser, såsom flow-ID, IP, port, transportlagsprotokol, applikationslagsprotokol og andet specificeret indhold, kan de aktuelt måloptagne trafikdata analyseres og tælles baseret på sessionsflowtilstanden, dvs. den detaljerede præsentation af sessionsflowinformation, inklusive fem-tuple-information for hver flow, typen af bærende applikation, antallet og bytes af pakketransmission og den tilhørende dataflow. Og har en rangvisning baseret på ovenstående information. Baseret på disse oplysninger kan brugerne nemt vælge de trafiktyper, de er interesserede i, hvilket giver det mest direkte grundlag for brugerne at formulere trafikvideresendelsespolitikker.
Trafiksynlighed – Pakkeanalyse
Baseret på forskellige filtreringskriterier, såsom pakke-ID, IP, port, transportlagsprotokol, applikationslagsprotokol og andet specificeret indhold, kan de opfangede måltrafikdata leveres med en analysepræsentation pr. pakke, herunder:
● Analyse af tidsstempel for pakkeindsamling
● Analyse af vigtige pakkeoplysninger, såsom sip, dip, smac, DMAC, protokol, flag, TTL, beskedlængde, vigtige begivenheder
● Analyse af pakketransmissionsstier og animationsvisning, såsom: videresendelsestider, videresendelsesforsinkelse, videresendelsestype (routing, switching, firewall, load balancing, NAT)
● Oversigt over pakkeinformation og detaljeret strukturvisning
● Analyse af antallet af gentagne pakkeindsamlinger
Trafiksynlighed – Præcis fejlanalyse
Fejlanalysemodulet i trafiksynlighedsdetekteringsfunktionen kan give forskellige visuelle fejlanalysepositioner for de registrerede måltrafikdata, herunder:
● Oversigt over unormale forhold, såsom: resultater af netværkstjenesteanalyse, resultater af unormale hændelser, netværksproces baseret på adfærdsanalyse (såsom antallet af routing-enheder, NAT-enheder, firewall-enheder, load balancing-enheder, der passerer pakketransmissionen)
● Fejlanalyse på flowtabelniveau, såsom unormale hændelsestyper (forbindelse afvist/forbindelse reagerer ikke/forbindelse ingen datatransmission/forbindelse halvt åben/sessionsrute uopnåelig osv.), ● Fejlanalyse på pakkeniveau, såsom: type af unormal hændelse (pakkechecksumfejl /TTL 0/ uopnåelig fejl /FCS-checksumfejl osv.), detaljeret beskrivelse af unormal information og detaljer om tilhørende dataflow
● Analyse af sikkerhedsfejl, såsom: type unormal hændelse (DDOS-angreb/firewallblokering/ARP-angreb/UDP-oversvømmelse/SYN-oversvømmelse osv.), detaljeret beskrivelse af unormale oplysninger og detaljer om tilhørende dataflow
● Analyse af netværksfejl, såsom: unormal hændelsestype (switching loop/routing loop/sti uopnåelig/linkafbrydelse osv.), detaljeret beskrivelse af unormal information og detaljer om tilhørende dataflow
5-Mylinking™ Network Packet Broker plus Inline Bypass Switch Specifikationer
| ML-NPB-M2000 Mylinking™ Network Packet Broker plus Inline Bypass Switch Funktionelle specifikationer | ||||
| Netværksgrænseflade | Modulplads | 4 BYPASS- eller MONITOR-modulpladser | ||
| Antal indlejrede links | Understøtter beskyttelse af op til 16 1G/10G optiske links eller 8 40G/100G optiske links. | |||
| Overvågningsgrænseflade | Understøtter maksimalt 64*1G/10GE overvågningsgrænseflader eller 16*40G/100G overvågningsgrænseflader. | |||
| Out-of-band-administrationsgrænseflade | 1*10/100/1000M Ethernet-port; | |||
| Implementeringstilstand | Inline-implementering | Støtte | ||
| SPAN-implementering | Støtte | |||
| Systemfunktioner | Inline-implementeringstilstand | Specifik beskyttelse mod flowsammenkædning | Støtte | |
| Beskyttelse af alle flow-serier | Støtte | |||
| Belastningsbalancering | Støtte | |||
| Hjerteslagsdetektion | Støtte | |||
| BYPASS-skift | Støtte | |||
| Trafikblokering | Støtte | |||
| Trafikspejling | Støtte | |||
| SSL-proxy | Støtte | |||
| SPAN-implementeringstilstand | Grundlæggende trafikbehandling | Trafikreplikering/aggregering/distribution | Støtte | |
| Belastningsbalancering | Støtte | |||
| Trafikfiltrering baseret på IP/protokol/port 5-tuple-identifikator | Støtte | |||
| VLAN-tagging/ændring/sletning | Støtte | |||
| Tidsstempling | Støtte | |||
| Afisolering af tunnelindkapsling | Støtte | |||
| Dataslicing | Støtte | |||
| Identifikation af tunnelprotokol | Støtte | |||
| Prioritet for videresendelse af pakker | Støtte | |||
| Unormal advarsel | Støtte | |||
| Grænsefladen er standby | Støtte | |||
| Mikro-burstmåling | Støtte | |||
| Beskyttelse mod grænsefladeoscillation | Støtte | |||
| Tunnelindkapslingsoutput | Støtte | |||
| Afslutning af tunnelpakke | Støtte | |||
| Avanceret trafikbehandling | Omgå SSL-dekryptering | Støtte | ||
| Datadeduplikering | Støtte | |||
| Datamaskering | Støtte | |||
| Identifikation af applikationslagsprotokol | Støtte | |||
| Brugerdefineret dekapsling | Støtte | |||
| Flowformning | Støtte | |||
| Søgeordsmatchning | Støtte | |||
| Afisolering af tunnelindkapsling | Støtte | |||
| Langvarig forbindelsesaflastning | Støtte | |||
| Observation af flowkomponenter | Støtte | |||
| Diagnose og overvågning | Overvågning i realtid | Støtte | ||
| Forespørgsel om historisk trafik | Støtte | |||
| Trafikregistrering | Støtte | |||
| Detektion af trafikvisualisering | Fundamental analyse | Understøtter visning af statistisk sammenfattende data baseret på grundlæggende oplysninger såsom pakkeantal, pakketypefordeling, sessionsforbindelsesantal og pakkeprotokolfordeling. | ||
| DPI dybdegående analyse | Det understøtter analyse af andelen af transportlagsprotokoller, andelen af unicast, broadcast og multicast, andelen af IP-trafik og andelen af DPI-applikationer. Det understøtter analyse og præsentation af dataindhold baseret på samplingstid og datamængde. Det understøtter dataanalyse og statistik baseret på sessionsstrømme. | |||
| Præcis fejlanalyse | Understøtter fejlanalyse og lokalisering ved hjælp af trafikdata fra forskellige perspektiver, herunder: Analyse af pakketransmissionsadfærd, fejlanalyse på datastrømsniveau, fejlanalyse på datapakkeniveau, sikkerhedsrelateret fejlanalyse og netværksrelateret fejlanalyse. | |||
| Bearbejdningskapacitet | 2,4 Tbps | |||
| Styre | CONSOLE Netværksadministration | Støtte | ||
| IP/WEB-netværksadministration | Støtte | |||
| SNMP-netværksadministration | Støtte | |||
| TELNET/SSH-netværksadministration | Støtte | |||
| SYSLOG-protokol | Støtte | |||
| RADIUS- eller TADACS+ centraliseret godkendelsesgodkendelse | Støtte | |||
| Brugergodkendelsesfunktion | Brugernavn- og adgangskodegodkendelse | |||
| Elektrisk | Nominel strømforsyningsspænding | AC-220V/DC-48V [Valgfrit] | ||
| Nominel effektfrekvens | AC-50Hz | |||
| Nominel indgangsstrøm | AC-3A / DC-10A | |||
| Nominel funktionel effekt | Maksimum 300W | |||
| Miljø | Driftstemperatur | 0-50℃ | ||
| Opbevaringstemperatur | -20-70 ℃ | |||
| Driftsfugtighed | 10%-95%, ikke-kondenserende | |||
| Brugerkonfiguration | Konsolkonfiguration | RS232-grænseflade, 115200, 8, N, 1 | ||
| Adgangskodegodkendelse | Sstøtte | |||
| Rackstørrelse | Rackplads (U) | 2U 444 mm * 88 mm * 670 mm | ||
6-Mylinking™ Network Packet Broker plus Inline Bypass Switch-applikation
6.1DeRrisiko forInline SsikkerhedEUdstyr (IPS / FW)
Følgende er en typisk IPS (Intrusion Prevention System), FW (Firewall) implementeringstilstand. IPS/FW implementeres i serie med netværksudstyr (routere, switche osv.) mellem trafikken gennem implementering af sikkerhedskontroller. I henhold til den tilsvarende sikkerhedspolitik bestemmes frigivelse eller blokering af den tilsvarende trafik for at opnå en sikkerhedsforsvarseffekt.
Følgende er en typisk IPS (Intrusion Prevention System), FW (Firewall) implementeringstilstand. IPS/FW implementeres i serie med netværksudstyr (routere, switche osv.) mellem trafikken gennem implementering af sikkerhedskontroller. I henhold til den tilsvarende sikkerhedspolitik bestemmes frigivelse eller blokering af den tilsvarende trafik for at opnå en sikkerhedsforsvarseffekt.
6.2 Beskyttelse af Inline Link-serien af udstyr
Mylinking™ Network Packet Broker plus Inline Bypass Switch installeres i serie mellem netværksenheder (routere, switche osv.), og datastrømmen mellem netværksenheder fører ikke længere direkte til IPS/FW. "Smart Inline Bypass Switch" til IPS/FW. Når IPS/FW opstår på grund af overbelastning, nedbrud, softwareopdateringer, politikopdateringer og andre fejltilstande, finder "Smart Inline Bypass Switch" rettidig opdagelse via intelligent heartbeat-beskeddetektion, og springer dermed defekte enheder over uden at afbryde netværkets præmisser. Netværksudstyr tilsluttes hurtigt direkte for at beskytte det normale kommunikationsnetværk. Når IPS/FW-fejl genoprettes, kan netværksudstyr også rettidig opdagelse af funktionen intelligent heartbeat-pakkedetektion gendanne sikkerheden i virksomhedens netværkssikkerhed.
Mylinking™ Network Packet Broker plus Inline Bypass Switch har en kraftfuld intelligent funktion til detektion af hjerteslagsbeskeder. Brugeren kan tilpasse hjerteslagsintervallet og det maksimale antal forsøg via en brugerdefineret hjerteslagsbesked på IPS/FW til sundhedstest, f.eks. ved at sende hjerteslagstjekbeskeden til upstream/downstream-porten på IPS/FW og derefter modtage den fra upstream/downstream-porten på IPS/FW og bedømme, om IPS/FW fungerer normalt, ved at sende og modtage hjerteslagsbeskeden.
6.3 “SpecFlow” Policy Flow InlineSikkerhedSeriebeskyttelse
Når sikkerhedsnetværksenheden kun skal håndtere den specifikke trafik i seriel sikkerhedsbeskyttelse, sendes "berørt" trafik direkte tilbage til netværksforbindelsen via Mylinking™ Network Packet Broker plus Inline Bypass Switch trafik-per-processing-funktionen, og via trafikscreeningspolitikken til at forbinde den inline sikkerhedsenhed sendes "berørt" trafik direkte tilbage til netværksforbindelsen, og den "berørte trafiksektion" trækkes til den inline sikkerhedsenhed for at udføre sikkerhedskontroller. Dette vil ikke kun opretholde den normale anvendelse af sikkerhedsenhedens sikkerhedsdetekteringsfunktion, men også reducere den ineffektive strøm af sikkerhedsudstyr til at håndtere trykket. Samtidig kan "Smart Inline Bypass Switch" registrere sikkerhedsenhedens driftstilstand i realtid. Sikkerhedsenheden fungerer unormalt og omgår datatrafikken direkte for at undgå afbrydelse af netværkstjenesten.
Mylinking™ Network Packet Broker plus Inline Bypass Switch kan identificere trafik baseret på L2-L4-lagsheader-identifikator, såsom VLAN-tag, kilde-/destinations-MAC-adresse, kilde-IP-adresse, IP-pakketype, transportlagsprotokolport, protokolheader-nøgletag osv. En række fleksible kombinationer af matchende betingelser kan defineres fleksibelt for at definere de specifikke trafiktyper, der er af interesse for en bestemt sikkerhedsenhed, og som kan bruges i vid udstrækning til implementering af specielle sikkerhedsrevisionsenheder (RDP, SSH, databaserevision osv.).
6.4LbalanceretIndlejret sikkerhedSeriebeskyttelse
Mylinking™ Network Packet Broker plus Inline Bypass Switch installeres i serie mellem netværksenheder (routere, switche osv.). Når en enkelt IPS/FW-behandlingsydelse ikke er tilstrækkelig til at håndtere spidsbelastningen på netværkslinket, kan beskytterens trafikbelastningsbalanceringsfunktion, "bundling" af netværkslinktrafik til behandling af flere IPS/FW-klynger, effektivt reducere behandlingstrykket på den enkelte IPS/FW og forbedre den samlede behandlingsydelse for at imødekomme den høje båndbredde i implementeringsmiljøet.
Mylinking™ Network Packet Broker plus Inline Bypass Switch har en kraftfuld load balancing-funktion, der i henhold til frame VLAN-tag, MAC-oplysninger, IP-oplysninger, portnummer, protokol og andre oplysninger om hash-load balancing-fordelingen af trafik for at sikre, at hver IPS/FW modtager dataflow sessionsintegritet.
6.5MultiserierInline-udstyr FlavTfraktionPbeskyttelse(ForandringFysiskSeriel forbindelse tilLogiskParallelforbindelse)
I nogle nøgleforbindelser (såsom internetudgange, serverområder og udvekslingsforbindelser) skyldes placeringen ofte behovet for sikkerhedsfunktioner og implementering af flere forskellige inline-sikkerhedstestudstyr (såsom firewalls, anti-DDOS-angrebsudstyr, WEB-applikationsfirewalls, indtrængningsforebyggelsesudstyr osv.). Flere sikkerhedsdetekteringsudstyr, der er seriekoblet på forbindelsen, øger forbindelsens effektivitet fra et enkelt fejlpunkt, hvilket reducerer netværkets samlede pålidelighed. Og i forbindelse med den ovennævnte online implementering af sikkerhedsudstyr, udstyrsopgraderinger, udstyrsudskiftning og andre operationer vil det medføre langvarige netværksafbrydelser og større projektnedskæringer for at fuldføre den vellykkede implementering af sådanne projekter.
Ved at implementere Mylinking™ Network Packet Broker plus Inline Bypass Switch på en samlet måde kan implementeringstilstanden for flere sikkerhedsenheder, der er forbundet i serie på det samme link, ændres fra "Fysisk seriel forbindelsestilstand" til "Fysisk parallel forbindelse, men logisk seriel forbindelsestilstand". Dette reducerer effektivt kilderne til enkeltfejl på det serielle link og forbedrer linkets pålidelighed. Samtidig kan Mylinking™ Network Packet Broker plus Inline Bypass Switch styre linktrafikken efter behov og opnå den samme trafiksikkerhedsbehandlingseffekt som den oprindelige serielle forbindelsestilstand.
Diagram over mere end én Inline Security-enhed på samme tid i serieinstallation:
Diagram over implementering af Mylinking™ Network Packet Broker plus Inline Bypass Switch:
(Ændr fysisk seriel forbindelse til logisk parallelforbindelse)
6.6Baseret påDDynamisk politik forTraffic InlineSsikkerhedDdetektionPbeskyttelse
Mylinking™ Network Packet Broker plus Inline Bypass Switch, et andet avanceret applikationsscenarie, er baseret på den dynamiske politik for trafiktræksikkerhedsdetekterings- og beskyttelsesapplikationer, implementeringen er vist nedenfor:
Tag for eksempel sikkerhedstestudstyret "Anti-DDoS-angrebsbeskyttelse og -detektion", gennem frontend-implementering af "Smart Bypass Switch" og derefter anti-DDoS-beskyttelsesudstyr, der derefter tilsluttes "Smart Bypass Switch", i den sædvanlige "Smart Bypass Switch" for at videresende den fulde mængde trafik med wire-speed, samtidig med at flow-spejlet output sendes til "Anti-DDoS-angrebsbeskyttelsesenheden". Når en server-IP (eller IP-netværkssegment) er registreret efter angrebet, genererer "Anti-DDoS-angrebsbeskyttelsesenheden" måltrafikflowmatchningsreglerne og sender dem til "Smart Bypass Switch" via den dynamiske politikleveringsgrænseflade. "Bypass Switch" kan opdatere "trafiktrækdynamikken" efter at have modtaget den dynamiske politikregelpulje "og straks" ramme angrebsservertrafikken "trække til "anti-DDoS-angrebsbeskyttelses- og -detektionsudstyr" til behandling, for at være effektiv efter angrebsflowet og derefter genindsende det til netværket.
Applikationsskemaet baseret på "Smart Bypass Switch" er nemmere at implementere end den traditionelle BGP-ruteindsprøjtning eller andre trafikstyringsskemaer, og miljøet er mindre afhængigt af netværket, og pålideligheden er højere.
"Smart Bypass Switch" har følgende egenskaber til at understøtte dynamisk politiksikkerhedsdetektionsbeskyttelse:
1. "Smart Bypass Switch" til at give adgang uden for reglerne baseret på WEBSERIVCE-grænsefladen, nem integration med tredjeparts sikkerhedsenheder.
2. "Smart Bypass Switch" baseret på den rene ASIC-chip, der videresender pakker med op til 100 Gbps trådhastighed uden at blokere videresendelse af switchen, og "bibliotek med dynamisk regel om trafiktrækkraft" uanset antallet.
3. "Smart Bypass Switch" indbygget professionel BYPASS-funktion, selv hvis selve beskytteren fejler, kan den også omgå det originale serielle link med det samme, uden at det originale link til normal kommunikation påvirker.
6,7Inline seriel trafikspejlingtil out-of-band-sikkerhed (Inline + SPAN)
Mylinking™ Network Packet Broker plus Inline Bypass Switch implementeres typisk i en kundes IT-netværk eller cloudplatformnetværk for at yde inline-beskyttelse til WAF/IPS-enheder og det oprindelige link. Brugere kan også have yderligere krav til test, verifikation eller implementering af bypass-overvågningsenheder, hvilket nødvendiggør indsamling af trafikdata på dette link.
Derfor kan trafikken fra det inline serielle link spejles fra monitorporten ved hjælp af trafikspejlingsfunktionen i Mylinking™ Network Packet Broker plus Inline Bypass Switch, som vist i følgende figur:
Diagrammet nedenfor illustrerer et udvidet anvendelsesscenarie for inline-linktrafik og switch-spejlet porttrafik. Dette muliggør beskyttelse af inline-linktrafik uden at blive påvirket af switch-spejlet porttrafik. IDS-analysesystemet kan samtidigt indsamle både inline-linktrafik og switch-spejlet porttrafik. Implementeringsmetoden er vist i diagrammet nedenfor:
6,8Data-/pakkededuplikeringAnvendelse
Som vist i applikationsimplementeringsstrukturen ovenfor, kan nogle identiske datapakker indsamles flere gange inden for en enkelt sti for at sikre integriteten af den oprindelige dataindsamling langs hele linket. Dette fører til øgede falske alarmer og gentransmissioner i backend-systemet, hvilket øger analysesystemets ydeevne og påvirker analysens nøjagtighed og effektivitet. Baseret på løsningen duplikeres først datapakker, som deduplikeres i forskellige indfangningsnoder. Kun én datapakke videresendes til backend NPM-netværksydelsesanalysesystemet og APM-applikationsydelsesanalysesystemet, hvorved analysesystemets ydeevne spares og analysens effektivitet og nøjagtighed forbedres.
6,9Data/PakkeVLAN-mærkningingAnvendelse
I netværksmiljøet vist i diagrammet ovenfor bruges løsningen til at mærke rå data fra forskellige netværksenheder og linknoder. Når der opstår unormal trafik eller datapakker i netværket, kan backend-analyseudstyret hurtigt og præcist finde kilden til de unormale data ved at spore tilbage baseret på datamærkningerne.
6.10 NetværkstrafikEnsartet tidsplanAnvendelse
I netværksmiljøet vist i diagrammet ovenfor, inputtes flere 10GE, 25GE, 40GE og 100GE kildelinkdata fuldt ud i Mylinking™ Network Packet Broker plus Inline Bypass Switch ved hjælp af optisk opdeling eller portspejl. Derefter bruges filtrering og trafikopdeling til at udsende forskellig servicedatatrafik til forskellige backend out-of-band netværksovervågnings- og sikkerhedssystemenheder. Når netværkspakkeanomalier eller unormale trafikudsving kræver manuel indgriben, kan pakkeregistrering og analyse af de originale datapakker udføres øjeblikkeligt for at hjælpe brugerne med hurtigt at analysere og lokalisere fejlen.
6.11NetværkAnalyse af synlighed af trafikdataAnvendelse
Den kan præsentere alle detekterede og indfangede data på en flerdimensionel og flerperspektiveret måde gennem en brugervenlig grafisk og tekstbaseret interaktiv grænseflade, herunder trafiksammensætningsstruktur, applikationsprotokolfordeling, trafikfordeling af alle netværksnoder, datatransmissionssti, detektion af unormale hændelser, præcis placering af netværkselement-/linkfejl, status for meddelelsesinteraktion, trafikudviklingstendens og andre aspekter til overvågning og analyse, for at etablere en omfattende, synlig og kontrollerbar samlet dataindsamlings- og sikkerhedsplatform til virksomhedsnetværk.
