Mylinking™ Network Tryk på Bypass Switch ML-BYPASS-100
2*Bypass plus 1*Monitor Modular Design, 10/40/100GE Links, Max 640Gbps
Oversigter
Mylinking™ Network Tap Bypass Switch er undersøgt og udviklet til at blive brugt til fleksibel implementering af forskellige typer inline-sikkerhedsudstyr, samtidig med at det giver høj netværkspålidelighed.
Ved at implementere Mylinking™ Smart Bypass Switch Tryk på:
- Brugere kan fleksibelt installere/afinstallere sikkerhedsudstyr/værktøjer og vil ikke påvirke og afbryde det aktuelle netværk;
- Mylinking™ Network Tap Bypass Switch med intelligent helbredsdetektionsfunktion til realtidsovervågning af den normale arbejdstilstand for inline-sikkerhedsenhederne. Når de inline-sikkerhedsenheder fungerer som undtagelse, vil beskyttelsesfunktionen automatisk omgå for at opretholde den normale netværkskommunikation;
- Selektiv trafikbeskyttelsesteknologi kan bruges til at implementere specifikt trafikrensningssikkerhedsudstyr, krypteringsteknologi baseret på revisionsudstyret. Udfør effektivt inline-adgangsbeskyttelsen for den specifikke trafiktype, og aflast flowhåndteringstrykket fra inline-enheden;
- Load Balanced Traffic Protection-teknologi kan bruges til grupperet implementering af sikre serielle inline-sikkerhedsenheder for at imødekomme inline-sikkerheden i miljøer med høj båndbredde.
Netværk Tryk Bypass Switch Avancerede funktioner og teknologier
Mylinking™ "SpecFlow" beskyttelsestilstand og "FullLink" beskyttelsestilstand
Mylinking™ Fast Bypass Switching Protection
Mylinking™ "LinkSafeSwitch"
Mylinking™ "WebService" dynamisk strategivideresendelse/udstedelse
Mylinking™ Intelligent Heartbeat Message Detection
Mylinking™-definerbare hjerteslagmeddelelser (hjerteslagspakker)
Mylinking™ Multi-link Load Balancing
Mylinking™ Intelligent Trafikdistribution
Mylinking™ Dynamisk belastningsbalancering
Mylinking™ Remote Management Technology (HTTP/WEB, TELNET/SSH, "EasyConfig/AdvanceConfig" Karakteristik)
Network Tap Bypass Switch Valgfri konfigurationsvejledning
BYPASS modulSlot til beskyttelsesportmodul:
Denne slot kan indsættes i BYPASS-beskyttelsesportmodulet med forskellig hastighed/portnummer. Ved at udskifte forskellige typer moduler kan den understøtte BYPASS-beskyttelse af flere 10G/40G/100G-linkkrav.
MONITOR modulPort Modul Slot;
Denne slot kan indsættes i MONITOR-modulet med forskellige hastigheder/porte. Den kan understøtte flere links på 10G/40G/100G til inline seriel overvågningsenhed ved at udskifte forskellige moduler.
Regler for modulvalg
Baseret på forskellige implementerede links og krav til implementering af overvågningsudstyr kan du fleksibelt vælge forskellige modulkonfigurationer for at imødekomme din faktiske miljøanmodning; følg venligst følgende regler under dit modulvalg:
1. Chassiskomponenterne er obligatoriske, og du skal vælge chassiskomponenterne, før du vælger andre moduler. Samtidig skal du vælge forskellige strømforsyningsmetoder (AC/DC) i henhold til dine behov.
2. Hele enheden understøtter op til 2 BYPASS-modulslots og 1 MONITOR-modulslot; du kan ikke vælge mere end antallet af pladser, der skal konfigureres. Baseret på kombinationen af antallet af slots og modulmodellen kan enheden understøtte op til fire 10GE-linkbeskyttelser; eller den kan understøtte op til fire 40GE-links; eller den kan understøtte op til ét 100GE-link.
3. Modulmodellen "BYP-MOD-L1CG" kan kun indsættes i SLOT1 for at fungere korrekt.
4. Modultypen "BYP-MOD-XXX" kan kun indsættes i BYPASS-modulåbningen; modultypen "MON-MOD-XXX" kan kun indsættes i MONITOR-modulslottet til normal drift.
| Produkt model | Funktionsparametre |
| Chassis (vært) | |
| ML-BYPASS-M100 | 1U standard 19-tommer rackmontering; maksimalt strømforbrug 250W; modulær BYPASS beskytter vært; 2 BYPASS-modulslots; 1 MONITOR-modulslot; AC og DC valgfri; |
| BYPASS MODUL | |
| BYP-MOD-L2XG(LM/SM) | Understøtter 2-vejs 10GE link seriel beskyttelse, 4*10GE interface, LC stik; indbygget optisk transceiver; optisk link single/multimode valgfri, understøtter 10GBASE-SR/LR; |
| BYP-MOD-L2QXG(LM/SM) | Understøtter 2-vejs 40GE link seriel beskyttelse, 4*40GE interface, LC stik; indbygget optisk transceiver; optisk link enkelt/multimode valgfri, understøtter 40GBASE-SR4/LR4; |
| BYP-MOD-L1CG (LM/SM) | Understøtter 1 kanal 100GE link seriel beskyttelse, 2*100GE interface, LC stik; indbygget optisk transceiver; optisk link enkelt multimode valgfri, understøtter 100GBASE-SR4/LR4; |
| MONITOR MODUL | |
| MON-MOD-L16XG | 16*10GE SFP+ overvågningsportmodul; intet optisk transceivermodul; |
| MON-MOD-L8XG | 8*10GE SFP+ overvågningsportmodul; intet optisk transceivermodul; |
| MON-MOD-L2CG | 2*100GE QSFP28 overvågningsportmodul; intet optisk transceivermodul; |
| MON-MOD-L8QXG | 8* 40GE QSFP+ overvågningsportmodul; intet optisk transceivermodul; |
Specifikationer for netværk TAP Bypass Switch
| Produktmodalitet | ML-BYPASS-M100 Inline netværk Tryk på Bypass Switch | |
| Type grænseflade | MGT interface | 1*10/100/1000BASE-T Adaptiv administrationsgrænseflade; Understøtter ekstern HTTP/IP-administration |
| Modul slot | 2*BYPASS-modulslot;1*MONITOR-modulslot; | |
| Links, der understøtter maksimum | Enheden understøtter maksimalt 4*10GE links eller 4*40GE links eller 1*100GE links | |
| Overvågning | Enheden understøtter maksimalt 16*10GE overvågningsporte eller 8*40GE overvågningsporte eller 2*100GE overvågningsporte; | |
| Fungere | Fuld duplex-behandlingsevne | 640 Gbps |
| Baseret på IP/protokol/port fem tuple specifik trafik kaskade beskyttelse | Understøttet | |
| Kaskadebeskyttelse baseret på fuld trafik | Understøttet | |
| Multiple load balancering | Understøttet | |
| Brugerdefineret hjerteslagsdetekteringsfunktion | Understøttet | |
| Understøtter Ethernet-pakkeuafhængighed | Understøttet | |
| BYPASS KONTAKT | Understøttet | |
| BYPASS Switch uden blitz | Understøttet | |
| KONSOL MGT | Understøttet | |
| IP/WEB MGT | Understøttet | |
| SNMP V1/V2C MGT | Understøttet | |
| TELNET/SSH MGT | Understøttet | |
| SYSLOG protokol | Understøttet | |
| Bruger autorisation | Baseret på adgangskodeautorisation/AAA/TACACS+ | |
| Elektrisk | Nominel forsyningsspænding | AC-220V/DC-48V【Valgfri】 |
| Nominel strømfrekvens | 50HZ | |
| Nominel indgangsstrøm | AC-3A / DC-10A | |
| Nominel effekt | 100W | |
| Miljø | Arbejdstemperatur | 0-50 ℃ |
| Opbevaringstemperatur | -20-70 ℃ | |
| Arbejdsfugtighed | 10%-95%, ingen kondens | |
| Brugerkonfiguration | Konsolkonfiguration | RS232 interface,115200,8,N,1 |
| MGT-grænseflade uden for båndet | 1*10/100/1000M Ethernet-interface | |
| Adgangskodegodkendelse | Understøttet | |
| Chassis højde | Chassisplads(U) | 1U 19 tommer, 485mm*44,5mm*350mm |
Network TAP Bypass Switch-applikation (som følgende)
5.1 Risikoen ved indbygget sikkerhedsudstyr (IPS/FW)
Følgende er en typisk IPS (Intrusion Prevention System), FW (Firewall) implementeringstilstand, IPS / FW er implementeret som inline netværksudstyr (såsom routere, switches osv.) mellem trafikken gennem implementering af sikkerhedstjek, iht. den tilsvarende sikkerhedspolitik for at bestemme frigivelsen eller blokering af den tilsvarende trafik, for at opnå effekten af sikkerhedsforsvar.
Samtidig kan vi observere IPS(Intrusion Prevention System) / FW(Firewall) som en inline-implementering af udstyret, normalt implementeret i virksomhedens netværks nøgleplacering for at implementere inline-sikkerhed, pålideligheden af dets tilsluttede enheder påvirker direkte den samlede tilgængelighed af virksomhedens netværk. Når de indbyggede sikkerhedsenheder overbelastes, går ned, softwareopdateringer, politikopdateringer osv., vil hele virksomhedens netværkstilgængelighed blive stærkt påvirket. På dette tidspunkt, vi kun gennem netværket cut, fysisk bypass jumper kan gøre netværket til at blive gendannet, men det er alvorligt påvirker pålideligheden af netværket. IPS(Intrusion Prevention System) / FW(Firewall) og andre inline-enheder forbedrer på den ene side implementeringen af virksomhedens netværkssikkerhed, på den anden side reducerer også pålideligheden af virksomhedens netværk, hvilket øger risikoen for, at netværket ikke er tilgængeligt.
5.2 Inline Link-seriens udstyrsbeskyttelse
Mylinking™ " Bypass Switch " er implementeret som inline mellem netværksenheder (routere, switches osv.), og datastrømmen mellem netværksenheder fører ikke længere direkte til IPS (Intrusion Prevention System) / FW (Firewall), " Bypass Switch " til IPS / FW, når IPS / FW på grund af overbelastning, nedbrud, softwareopdateringer, politikopdateringer og andre betingelser for fejl, "Bypass Switch" gennem intelligent hjerteslag besked detektion Funktion af rettidig opdagelse, og dermed springe den defekte enhed, uden at afbryde forudsætningen for netværket, det hurtige netværksudstyr direkte forbundet for at beskytte det normale kommunikationsnetværk; Når IPS / FW fejl opsving, men også gennem intelligent Heartbeat Packets Detektion af rettidig påvisning af funktionen, det oprindelige link til at genoprette sikkerheden i virksomhedens netværk sikkerhedskontrol.
Mylinking™ "Bypass Switch" har en kraftfuld intelligent Heartbeat Message Detection-funktion, brugeren kan tilpasse hjerteslagsintervallet og det maksimale antal genforsøg gennem en tilpasset hjerteslagsmeddelelse på IPS/FW til sundhedstestning, såsom at sende meddelelsen om hjerteslagskontrol til upstream / downstream porten på IPS / FW, og modtag derefter fra upstream / downstream porten af IPS / FW, og bedømme om IPS / FW fungerer normalt ved at sende og modtage hjerteslagsmeddelelsen.
5.3 "SpecFlow" Policy Flow Inline Traction Series-beskyttelse
Når sikkerhedsnetværksenheden kun skal håndtere den specifikke trafik i seriesikkerhedsbeskyttelse, sendes via Mylinking™ "Netværk Tap Bypass Switch" trafik per-behandlingsfunktion, gennem trafikscreeningsstrategien for at forbinde sikkerhedsenheden "Bekymret" trafik sendes tilbage direkte til netværksforbindelsen, og den "berørte trafiksektion" er trækkraft til in-line sikkerhedsanordningen for at udføre sikkerhedstjek. Dette vil ikke kun opretholde den normale anvendelse af sikkerhedsanordningens sikkerhedsdetekteringsfunktion, men også reducere den ineffektive strøm af sikkerhedsudstyret til at håndtere trykket; Samtidig kan "Network Tap Bypass Switch" registrere sikkerhedsanordningens arbejdstilstand i realtid. Sikkerhedsenheden fungerer unormalt og omgår datatrafikken direkte for at undgå afbrydelse af netværkstjenesten.
Mylinking™ Inline Traffic Bypass Tap kan identificere trafik baseret på L2-L4 lags header-identifikation, såsom VLAN-tag, kilde-/destinations-MAC-adresse, kilde-IP-adresse, IP-pakketype, transportlagsprotokolport, protokolheader-nøgletag og så videre. En række fleksible kombinationer af matchende betingelser kan defineres fleksibelt for at definere de specifikke trafiktyper, der er af interesse for en bestemt sikkerhedsenhed og kan bruges i vid udstrækning til udrulning af specielle sikkerhedsrevisionsenheder (RDP, SSH, databaserevision osv.) .
5.4 Belastningsbalanceret seriebeskyttelse
Mylinking™ "Network Tap Bypass Switch" er implementeret som inline mellem netværksenheder (routere, switches osv.). Når en enkelt IPS/FW-behandlingsydelse ikke er tilstrækkelig til at klare netværksforbindelsesspidstrafik, kan beskytterens trafikbelastningsbalanceringsfunktion, "bundling" af flere IPS/FW-klyngebehandlingsnetværkslinktrafik, effektivt reducere den enkelte IPS/FW behandling pres, forbedre den overordnede behandling ydeevne for at imødekomme den høje båndbredde af implementeringsmiljøet krav.
Mylinking™ "Network Tap Bypass Switch" har en kraftfuld belastningsbalanceringsfunktion i henhold til rammens VLAN-tag, MAC-oplysninger, IP-oplysninger, portnummer, protokol og andre oplysninger om Hash-belastningsbalanceringsfordelingen af trafikken for at sikre, at hver IPS / FW modtaget dataflow Sessionsintegritet.
5.5 Multi-series Inline-udstyr Flow Traction Protection (Skift seriel forbindelse til parallelforbindelse)
I nogle nøglelinks (såsom internetudgange, serverområdeudvekslingslink) skyldes placering ofte behovene for sikkerhedsfunktioner og implementeringen af flere in-line sikkerhedstestudstyr (såsom firewall(FW), anti-DDOS-angrebsudstyr, WEB Application Firewall(WAF), Intrusion Prevention System(IPS) osv.), flere sikkerhedsdetekteringsudstyr på samme tid i serie på linket for at øge forbindelsen til et enkelt fejlpunkt, hvilket reducerer netværkets overordnede pålidelighed. Og i ovennævnte sikkerhedsudstyr on-line implementering, udstyrsopgraderinger, udstyrsudskiftning og andre operationer, vil forårsage netværket i lang tid tjenesteafbrydelse og en større projektnedskæring handling for at fuldføre en vellykket gennemførelse af sådanne projekter.
Ved at implementere "Network Tap Bypass Switch" på en samlet måde, kan implementeringstilstanden for flere sikkerhedsenheder forbundet i serie på samme link ændres fra "fysisk sammenkædningstilstand" til "fysisk sammenkædning, logisk sammenkædningstilstand" Linket på link af et enkelt punkt for manglende forbedring af pålideligheden af linket, mens "bypass switch" på linket flow on demand trækkraft, for at opnå det samme flow med den oprindelige tilstand af sikker behandling effekt.
Mere end én sikkerhedsenhed på samme tid som inline implementeringsdiagram:
Mylinking™ Network TAP Bypass Switch-implementeringsdiagram:
5.6 Baseret på den dynamiske strategi for trafiksikkerhedsdetektionsbeskyttelse
"Network Tap Bypass Switch" Et andet avanceret applikationsscenarie er baseret på den dynamiske strategi for applikationer til beskyttelse af trafiksikkerhedsdetektering, implementeringen af måden som vist nedenfor:
Tag sikkerhedstestudstyret "Anti-DDoS-angrebsbeskyttelse og -detektion", for eksempel gennem front-end-implementeringen af " Network Tap Bypass Switch " og derefter anti-DDOS-beskyttelsesudstyr og derefter forbundet til " Network Tap Bypass Switch ", i den sædvanlige " Traction protector "til den fulde mængde trafik wire-speed forwarding på samme tid flowspejlets output til "anti-DDOS angrebsbeskyttelsesenheden", når først detekteret for en server IP (eller IP netværkssegment) efter angreb," anti-DDOS-angrebsbeskyttelsesenhed " vil generere måltrafikstrømmens matchningsregler og sende dem til "Netværk Tap Bypass Switch" gennem den dynamiske politikleveringsgrænseflade. " Network Tap Bypass Switch " kan opdatere "trafiktrækkraftdynamikken" efter at have modtaget de dynamiske politikregler Regelpulje "og straks"-reglen ramte angrebsserverens trafik "trækkraft til" anti-DDoS-angrebsbeskyttelse og detektionsudstyr til behandling, at være effektiv efter angrebsstrømmen og derefter genindsprøjtet i netværket.
Ansøgningsskemaet baseret på "Network Tap Bypass Switch" er nemmere at implementere end den traditionelle BGP-ruteindsprøjtning eller anden trafiktraktionsordning, og miljøet er mindre afhængigt af netværket, og pålideligheden er højere.
"Network Tap Bypass Switch" har følgende egenskaber til understøttelse af dynamisk beskyttelse af politisikkerhedsdetektion:
1, "Netværk Tap Bypass Switch" for at give uden for reglerne baseret på WEBSERIVCE interface, nem integration med tredjeparts sikkerhedsenheder.
2, "BNetwork Tap Bypass Switch" baseret på hardware-rene ASIC-chip-videresendelse op til 10Gbps wire-speed-pakker uden at blokere switch-videresendelse, og "trafik traction dynamic rule library" uanset antallet.
3, "Netværk Tap Bypass Switch" indbygget professionel BYPASS-funktion, selvom selve beskytteren fejler, kan også omgå den originale serielle forbindelse med det samme, påvirker ikke den originale forbindelse til normal kommunikation.
