Mylinking™ Netværksudtagsbypass-switch ML-BYPASS-100
2*Bypass plus 1*Skærm Modulært design, 10/40/100GE Links, Maks. 640 Gbps
Oversigter
Mylinking™ Network Tap Bypass Switch er undersøgt og udviklet til fleksibel implementering af forskellige typer inline-sikkerhedsudstyr, samtidig med at den giver høj netværkspålidelighed.
Ved at implementere Mylinking™ Smart Bypass Switch Tap:
- Brugere kan fleksibelt installere/afinstallere sikkerhedsudstyr/værktøjer uden at påvirke eller afbryde det nuværende netværk;
- Mylinking™ Network Tap Bypass Switch med intelligent sundhedsdetektionsfunktion til realtidsovervågning af den normale driftstilstand for de indbyggede sikkerhedsenheder. Når de indbyggede sikkerhedsenheder fungerer som undtagelse, vil beskyttelsesfunktionen automatisk bypasse for at opretholde den normale netværkskommunikation;
- Selektiv trafikbeskyttelsesteknologi kan bruges til at implementere specifikt trafikrensningssikkerhedsudstyr, krypteringsteknologi baseret på revisionsudstyr. Effektiv udførelse af inline-adgangsbeskyttelse for den specifikke trafiktype, aflastning af flowhåndteringstrykket fra inline-enheden;
- Load Balanced Traffic Protection-teknologi kan bruges til klynget implementering af sikre serielle inline-sikkerhedsenheder for at opfylde inline-sikkerheden i miljøer med høj båndbredde.
Netværkstrykbypass-switch Avancerede funktioner og teknologier
Mylinking™ “SpecFlow” beskyttelsestilstand og “FullLink” beskyttelsestilstand
Mylinking™ Fast Bypass Switching-beskyttelse
Mylinking™ “LinkSafeSwitch”
Mylinking™ “WebService” Dynamisk Strategi Videresendelse/Udstedelse
Mylinking™ Intelligent registrering af hjerteslagmeddelelser
Mylinking™ Definerbare hjerteslagsmeddelelser (hjerteslagspakker)
Mylinking™ Multi-link Load Balancing
Mylinking™ Intelligent Trafikdistribution
Mylinking™ Dynamisk belastningsbalancering
Mylinking™ fjernstyringsteknologi (HTTP/WEB, TELNET/SSH, "EasyConfig/AdvanceConfig"-egenskab)
Netværksudtagsbypass-switch (valgfri konfigurationsvejledning)
BYPASS-modulBeskyttelsesportmodulslot:
Denne stikplads kan indsættes i BYPASS-beskyttelsesportmodulet med forskellige hastigheder/portnumre. Ved at udskifte forskellige typer moduler kan den understøtte BYPASS-beskyttelse af flere 10G/40G/100G-linkkrav.
MONITOR-modulPortmodulslot;
Dette slot kan indsætte MONITOR-modulet med forskellige hastigheder/porte. Det kan understøtte flere links på 10G/40G/100G til implementering af inline seriel overvågningsenhed ved at udskifte forskellige moduler.
Regler for modulvalg
Baseret på forskellige implementerede links og krav til implementering af overvågningsudstyr kan du fleksibelt vælge forskellige modulkonfigurationer for at imødekomme dine faktiske miljøønsker. Følg venligst følgende regler under modulvalget:
1. Chassiskomponenterne er obligatoriske, og du skal vælge chassiskomponenterne, før du vælger andre moduler. Samtidig skal du vælge forskellige strømforsyningsmetoder (AC/DC) i henhold til dine behov.
2. Hele enheden understøtter op til 2 BYPASS-modulpladser og 1 MONITOR-modulplads; du kan ikke vælge mere end det angivne antal pladser at konfigurere. Baseret på kombinationen af antallet af pladser og modulmodellen kan enheden understøtte op til fire 10GE-linkbeskyttelser; eller den kan understøtte op til fire 40GE-links; eller den kan understøtte op til ét 100GE-link.
3. Modulmodellen "BYP-MOD-L1CG" kan kun indsættes i SLOT1 for at fungere korrekt.
4. Modultypen "BYP-MOD-XXX" kan kun indsættes i BYPASS-modulporten; modultypen "MON-MOD-XXX" kan kun indsættes i MONITOR-modulporten til normal drift.
| Produktmodel | Funktionsparametre |
| Chassis (vært) | |
| ML-BYPASS-M100 | 1U standard 19-tommer rackmontering; maksimalt strømforbrug 250 W; modulær BYPASS-beskyttervært; 2 BYPASS-modulpladser; 1 MONITOR-modulplads; AC og DC valgfri; |
| BYPASS-MODUL | |
| BYP-MOD-L2XG(LM/SM) | Understøtter 2-vejs 10GE link seriel beskyttelse, 4*10GE interface, LC-stik; indbygget optisk transceiver; optisk link single/multimode valgfri, understøtter 10GBASE-SR/LR; |
| BYP-MOD-L2QXG(LM/SM) | Understøtter 2-vejs 40GE link seriel beskyttelse, 4*40GE interface, LC-stik; indbygget optisk transceiver; optisk link single/multimode valgfri, understøtter 40GBASE-SR4/LR4; |
| BYP-MOD-L1CG (LM/SM) | Understøtter 1 kanal 100GE link seriel beskyttelse, 2*100GE interface, LC-stik; indbygget optisk transceiver; optisk link single multimode valgfri, understøtter 100GBASE-SR4/LR4; |
| MONITORMODUL | |
| MON-MOD-L16XG | 16*10GE SFP+ overvågningsportmodul; intet optisk transceivermodul; |
| MON-MOD-L8XG | 8*10GE SFP+ overvågningsportmodul; intet optisk transceivermodul; |
| MON-MOD-L2CG | 2*100GE QSFP28 overvågningsportmodul; intet optisk transceivermodul; |
| MON-MOD-L8QXG | 8* 40GE QSFP+ overvågningsportmodul; intet optisk transceivermodul; |
Specifikationer for netværks-TAP-bypass-switch
| Produktmodalitet | ML-BYPASS-M100 Inline netværks-tap-bypass-switch | |
| Type af grænseflade | MGT-grænseflade | 1*10/100/1000BASE-T adaptiv administrationsgrænseflade; Understøtter fjern HTTP/IP-administration |
| Modulplads | 2*BYPASS-modulplads; 1*MONITOR-modulplads; | |
| Links der understøtter maksimalt | Enheden understøtter maksimalt 4*10GE-links eller 4*40GE-links eller 1*100GE-links | |
| Overvågning | Enheden understøtter maksimalt 16*10GE overvågningsporte eller 8*40GE overvågningsporte eller 2*100GE overvågningsporte; | |
| Fungere | Fuld duplex-behandlingsevne | 640 Gbps |
| Baseret på IP/protokol/port fem tuplespecifik trafikkaskadebeskyttelse | Understøttet | |
| Kaskadebeskyttelse baseret på fuld trafik | Understøttet | |
| Flere belastningsbalanceringer | Understøttet | |
| Brugerdefineret hjerteslagsdetekteringsfunktion | Understøttet | |
| Understøtter Ethernet-pakkeuafhængighed | Understøttet | |
| BYPASS-AFBRYDER | Understøttet | |
| BYPASS-afbryder uden blitz | Understøttet | |
| KONSOLLEDRIFT | Understøttet | |
| IP/WEB-administration | Understøttet | |
| SNMP V1/V2C MGT | Understøttet | |
| TELNET/SSH-administration | Understøttet | |
| SYSLOG-protokol | Understøttet | |
| Brugerautorisation | Baseret på adgangskodegodkendelse/AAA/TACACS+ | |
| Elektrisk | Nominel forsyningsspænding | AC-220V/DC-48V 【Valgfrit】 |
| Nominel effektfrekvens | 50Hz | |
| Nominel indgangsstrøm | AC-3A / DC-10A | |
| Nominel effekt | 100W | |
| Miljø | Arbejdstemperatur | 0-50℃ |
| Opbevaringstemperatur | -20-70 ℃ | |
| Arbejdsfugtighed | 10%-95%, ingen kondensering | |
| Brugerkonfiguration | Konsolkonfiguration | RS232-grænseflade, 115200, 8, N, 1 |
| Out-of-band MGT-grænseflade | 1*10/100/1000M Ethernet-grænseflade | |
| Adgangskodegodkendelse | Understøttet | |
| Chassishøjde | Chassisplads (U) | 1U 19 tommer, 485 mm * 44,5 mm * 350 mm |
Netværk TAP Bypass Switch-applikation (som følger)
5.1 Risikoen ved inline-sikkerhedsudstyr (IPS/FW)
Følgende er en typisk IPS (Intrusion Prevention System), FW (Firewall) implementeringstilstand. IPS/FW implementeres som inline-netværksudstyr (såsom routere, switche osv.) mellem trafikken gennem implementering af sikkerhedskontroller, i henhold til den tilsvarende sikkerhedspolitik for at bestemme frigivelse eller blokering af den tilsvarende trafik for at opnå en sikkerhedsforsvarseffekt.
Samtidig kan vi observere IPS (Intrusion Prevention System) / FW (Firewall) som en inline-implementering af udstyr, der normalt er installeret på nøgleplaceringer i virksomhedsnetværket for at implementere inline-sikkerhed. Pålideligheden af de tilsluttede enheder påvirker direkte virksomhedsnetværkets samlede tilgængelighed. Når inline-sikkerhedsenheder overbelastes, nedbrud, softwareopdateringer, politikopdateringer osv., vil hele virksomhedsnetværkets tilgængelighed blive stærkt påvirket. På dette tidspunkt kan vi kun genoprette netværket ved at afbryde netværket og bruge en fysisk bypass-jumper, men det påvirker netværkets pålidelighed alvorligt. IPS (Intrusion Prevention System) / FW (Firewall) og andre inline-enheder forbedrer på den ene side implementeringen af virksomhedsnetværkssikkerheden, men reducerer på den anden side også pålideligheden af virksomhedsnetværk, hvilket øger risikoen for, at netværket ikke er tilgængeligt.
5.2 Beskyttelse af Inline Link-serien af udstyr
Mylinking™ "Bypass Switch" anvendes som inline mellem netværksenheder (routere, switche osv.), og datastrømmen mellem netværksenheder fører ikke længere direkte til IPS (Intrusion Prevention System) / FW (Firewall), "Bypass Switch" til IPS/FW. Når IPS/FW opstår på grund af overbelastning, nedbrud, softwareopdateringer, politikopdateringer og andre fejltilstande, finder "Bypass Switch" rettidig detektering via intelligent heartbeat message detection, og springer dermed defekte enheder over uden at afbryde netværkets præmisser. Netværksudstyr tilsluttes hurtigt direkte for at beskytte det normale kommunikationsnetværk. Når IPS/FW fejler, kan netværksudstyr også rettidig detektion finde det oprindelige link og gendanne sikkerheden i virksomhedens netværkssikkerhedskontroller.
Mylinking™ "Bypass Switch" har en kraftfuld intelligent funktion til detektion af hjerteslagmeddelelser. Brugeren kan tilpasse hjerteslagsintervallet og det maksimale antal forsøg via en brugerdefineret hjerteslagmeddelelse på IPS/FW til sundhedstest, f.eks. ved at sende hjerteslagstjekmeddelelsen til upstream/downstream-porten på IPS/FW og derefter modtage den fra upstream/downstream-porten på IPS/FW og bedømme, om IPS/FW fungerer normalt, ved at sende og modtage hjerteslagmeddelelsen.
5.3 "SpecFlow"-politik Flow Inline Traction Series-beskyttelse
Når sikkerhedsnetværksenheden kun skal håndtere den specifikke trafik i seriel sikkerhedsbeskyttelse, sendes trafikken pr. behandling via Mylinking™ "Network Tap Bypass Switch" via trafikscreeningsstrategien til at forbinde sikkerhedsenheden "berørt" trafik direkte tilbage til netværksforbindelsen, og den "berørte trafiksektion" trækkes til den indbyggede sikkerhedsenhed for at udføre sikkerhedskontroller. Dette vil ikke kun opretholde den normale anvendelse af sikkerhedsenhedens sikkerhedsdetekteringsfunktion, men også reducere den ineffektive strøm af sikkerhedsudstyr til at håndtere trykket. Samtidig kan "Network Tap Bypass Switch" registrere sikkerhedsenhedens driftstilstand i realtid. Sikkerhedsenheden fungerer unormalt og omgår datatrafikken direkte for at undgå afbrydelse af netværkstjenesten.
Mylinking™ Inline Traffic Bypass Tap kan identificere trafik baseret på L2-L4-lagets header-identifikator, såsom VLAN-tag, kilde-/destinations-MAC-adresse, kilde-IP-adresse, IP-pakketype, transportlagsprotokolport, protokolheader-nøgletag osv. En række fleksible kombinationer af matchende betingelser kan defineres fleksibelt for at definere de specifikke trafiktyper, der er af interesse for en bestemt sikkerhedsenhed, og som kan bruges i vid udstrækning til implementering af specielle sikkerhedsrevisionsenheder (RDP, SSH, databaserevision osv.).
5.4 Belastningsbalanceret seriebeskyttelse
Mylinking™ "Network Tap Bypass Switch" implementeres som inline mellem netværksenheder (routere, switche osv.). Når en enkelt IPS/FW-behandlingsydelse ikke er tilstrækkelig til at håndtere spidsbelastningen på netværkslinket, kan beskytterens trafikbelastningsbalanceringsfunktion, "bundling" af behandling af flere IPS/FW-klynger i netværkslinktrafik, effektivt reducere behandlingstrykket på den enkelte IPS/FW og forbedre den samlede behandlingsydelse for at imødekomme den høje båndbredde i implementeringsmiljøet.
Mylinking™ "Network Tap Bypass Switch" har en kraftfuld load balancing-funktion, der i henhold til frame VLAN-tag, MAC-oplysninger, IP-oplysninger, portnummer, protokol og andre oplysninger om hash-load balancing-fordelingen af trafik sikrer, at hver IPS/FW modtager dataflow sessionsintegritet.
5.5 Beskyttelse mod flowtræk i flere serier af inline-udstyr (ændring af seriel forbindelse til parallel forbindelse)
I nogle nøgleforbindelser (såsom internetudgange, serverområder og udvekslingsforbindelser) skyldes placeringen ofte behovet for sikkerhedsfunktioner og implementering af flere forskellige inline-sikkerhedstestudstyr (såsom firewall (FW), anti-DDOS-angrebsudstyr, WEB Application Firewall (WAF), Intrusion Prevention System (IPS) osv.), hvor flere sikkerhedsdetekteringsudstyr serieforenes på samme tid på forbindelsen for at øge forbindelsens potentiale for et enkelt fejlpunkt, hvilket reducerer netværkets samlede pålidelighed. Og i forbindelse med online implementering af sikkerhedsudstyr, udstyrsopgraderinger, udskiftning af udstyr og andre operationer vil det i lang tid føre til netværksafbrydelser og større projektnedskæringer for at fuldføre den vellykkede implementering af sådanne projekter.
Ved at implementere "Network Tap Bypass Switch" på en samlet måde kan implementeringstilstanden for flere sikkerhedsenheder forbundet i serie på det samme link ændres fra "fysisk sammenkædningstilstand" til "fysisk sammenkædning, logisk sammenkædningstilstand". Linket på linket med et enkelt fejlpunkt forbedrer linkets pålidelighed, mens "bypass switch" på linket flow-on-demand traction opnår det samme flow med den oprindelige tilstand med sikker behandlingseffekt.
Mere end én sikkerhedsenhed på samme tid som indbygget implementeringsdiagram:
Diagram over implementering af Mylinking™ Network TAP Bypass Switch:
5.6 Baseret på den dynamiske strategi for trafiktræksikkerhedsdetektionsbeskyttelse
"Netværksudtagsbypass-switch" Et andet avanceret applikationsscenarie er baseret på den dynamiske strategi for trafiktræksikkerhedsdetekteringsapplikationer, implementeringen af måden som vist nedenfor:
Tag for eksempel sikkerhedstestudstyret "Anti-DDoS-angrebsbeskyttelse og -detektion", gennem frontend-implementering af "Network Tap Bypass Switch" og derefter anti-DDOS-beskyttelsesudstyr, der derefter tilsluttes "Network Tap Bypass Switch". I den sædvanlige "Traction Protector" sendes den fulde mængde trafik med wire-speed videre, samtidig med at flow-spejlet sendes til "anti-DDOS-angrebsbeskyttelsesenheden". Når en server-IP (eller IP-netværkssegment) er registreret efter angrebet, genererer "anti-DDOS-angrebsbeskyttelsesenheden" måltrafikflowmatchningsreglerne og sender dem til "Network Tap Bypass Switch" via den dynamiske politikleveringsgrænseflade. "Network Tap Bypass Switch" kan opdatere "trafiktrækdynamikken" efter at have modtaget den dynamiske politikregelpulje "og straks" ramme angrebsservertrafikken "trækkes til "anti-DDoS-angrebsbeskyttelses- og -detektionsudstyr" til behandling, for at være effektiv efter angrebsflowet og derefter genindsendes til netværket.
Applikationsskemaet baseret på "Network Tap Bypass Switch" er nemmere at implementere end den traditionelle BGP-ruteinjektion eller andre trafikstyringsskemaer, og miljøet er mindre afhængigt af netværket, og pålideligheden er højere.
"Network Tap Bypass Switch" har følgende egenskaber til at understøtte dynamisk politiksikkerhedsdetektionsbeskyttelse:
1. "Network Tap Bypass Switch" giver mulighed for at bruge WEBSERIVCE-grænsefladen uden for reglerne og nem integration med tredjeparts sikkerhedsenheder.
2, "BNetwork Tap Bypass Switch" baseret på den rene ASIC-chip, der videresender pakker med op til 10 Gbps trådhastighed uden at blokere videresendelse af switchen, og "trafiktrækkraftdynamisk regelbibliotek" uanset antallet.
3. Den indbyggede professionelle BYPASS-funktion "Network Tap Bypass Switch" kan, selvom selve beskytteren fejler, også omgå det originale serielle link med det samme uden at påvirke det originale link til normal kommunikation.
