Mylinking™ Network Tryk på Bypass Switch ML-BYPASS-200
2*Bypass plus 1*Monitor Modular Design, 10/40/100GE Links, Max 640Gbps
1-Oversigter
Ved at implementere Mylinking™ Smart Bypass Switch:
- Brugere kan fleksibelt installere/afinstallere sikkerhedsudstyr og vil ikke påvirke det aktuelle netværk og afbryde;
- Mylinking™ Network Tap Bypass Switch med intelligent helbredsdetektionsfunktion til realtidsovervågning af den serielle sikkerhedsenheds normale arbejdstilstand, når den serielle sikkerhedsenhed fungerer undtagelsen, vil beskyttelsen automatisk omgå for at opretholde den normale netværkskommunikation;
- Selektiv trafikbeskyttelsesteknologi kan bruges til at implementere specifikt trafikrensningssikkerhedsudstyr, krypteringsteknologi baseret på revisionsudstyret. Udfør effektivt den serielle adgangsbeskyttelse for den specifikke trafiktype, og aflast seriens flowhåndteringstryk;
- Load Balanced Traffic Protection-teknologi kan bruges til grupperet implementering af sikre serielle enheder for at imødekomme behovet for seriel sikkerhed i miljøer med høj båndbredde.
Med den hurtige udvikling af internettet bliver truslen om netværksinformationssikkerhed mere og mere alvorlig, så en række applikationer til beskyttelse af informationssikkerhed bliver brugt mere og mere udbredt. Uanset om det er traditionelt adgangskontroludstyr (firewall) eller en ny type mere avancerede beskyttelsesmidler såsom intrusion prevention system (IPS), Unified threat management platform (UTM), Anti-denial service attack system (Anti-DDoS), Anti- span Gateway, Unified DPI Traffic Identification and Control System, og mange sikkerhedsenheder er installeret i serie i netværkets nøgleknuder, implementeringen af den tilsvarende datasikkerhedspolitik til at identificere og håndtere lovlige / ulovlige trafik. Samtidig vil computernetværket imidlertid generere en stor netværksforsinkelse eller endda netværksafbrydelse i tilfælde af fail over, vedligeholdelse, opgradering, udskiftning af udstyr og så videre i et yderst pålideligt produktionsnetværksapplikationsmiljø, brugerne kan ikke holde det ud.
2-Netværk Tryk Bypass Switch Avancerede funktioner og teknologier
Mylinking™ "SpecFlow" beskyttelsestilstand og "FullLink" beskyttelsestilstandsteknologi
Mylinking™ Fast Bypass Switching Protection Technology
Mylinking™ "LinkSafeSwitch"-teknologi
Mylinking™ "WebService" dynamisk strategivideresendelse/udstedelsesteknologi
Mylinking™ Intelligent Heartbeat Message Detection-teknologi
Mylinking™ Definable Heartbeat Messages-teknologi
Mylinking™ Multi-link Load Balancing-teknologi
Mylinking™ Intelligent Traffic Distribution Technology
Mylinking™ Dynamic Load Balancing Technology
Mylinking™ Remote Management Technology (HTTP/WEB, TELNET/SSH, "EasyConfig/AdvanceConfig" Karakteristik)
3-Netværk Tryk Bypass Switch Configuration Guide
OMGANGSlot til beskyttelsesportmodul:
Denne slot kan indsættes i BYPASS-beskyttelsesportmodulet med forskellig hastighed/portnummer. Ved at udskifte forskellige typer moduler kan den understøtte BYPASS-beskyttelse af flere 10G/40G/100G-links.
OVERVÅGEPort Modul Slot;
Denne slot kan indsættes i MONITOR-portmodulet med forskellige hastigheder/porte. Den kan understøtte flere 10G/40G/100G link online seriel overvågningsenheder ved at erstatte forskellige modeller.
Regler for modulvalg
Baseret på forskellige implementerede links og krav til implementering af overvågningsudstyr kan du fleksibelt vælge forskellige modulkonfigurationer for at opfylde dine faktiske miljøbehov; følg venligst følgende regler, når du vælger:
1. Chassiskomponenterne er obligatoriske, og du skal vælge chassiskomponenterne, før du vælger andre moduler. Samtidig skal du vælge forskellige strømforsyningsmetoder (AC/DC) i henhold til dine behov.
2. Hele maskinen understøtter op til 2 BYPASS-modulslots og 1 MONITOR-modulslot; du kan ikke vælge mere end antallet af pladser, der skal konfigureres. Baseret på kombinationen af antallet af slots og modulmodellen kan enheden understøtte op til fire 10GE-linkbeskyttelser; eller den kan understøtte op til fire 40GE-links; eller den kan understøtte op til ét 100GE-link.
3. Modulmodellen "BYP-MOD-L1CG" kan kun indsættes i SLOT1 for at fungere korrekt.
4. Modultypen "BYP-MOD-XXX" kan kun indsættes i BYPASS-modulåbningen; modultypen "MON-MOD-XXX" kan kun indsættes i MONITOR-modulslottet til normal drift.
Produkt model | Funktionsparametre |
Chassis (vært) | |
ML-BYPASS-M200 | 1U standard 19-tommer rackmontering; maksimalt strømforbrug 250W; modulær BYPASS beskytter vært; 2 BYPASS-modulslots; 1 MONITOR-modulslot; AC og DC valgfri; |
BYPASS MODUL | |
BYP-MOD-L2XG(LM/SM) | Understøtter 2-vejs 10GE link seriel beskyttelse, 4*10GE interface, LC stik; indbygget optisk transceiver; optisk link single/multimode valgfri, understøtter 10GBASE-SR/LR; |
BYP-MOD-L2QXG(LM/SM) | Understøtter 2-vejs 40GE link seriel beskyttelse, 4*40GE interface, LC stik; indbygget optisk transceiver; optisk link enkelt/multimode valgfri, understøtter 40GBASE-SR4/LR4; |
BYP-MOD-L1CG (LM/SM) | Understøtter 1 kanal 100GE link seriel beskyttelse, 2*100GE interface, LC stik; indbygget optisk transceiver; optisk link enkelt multimode valgfri, understøtter 100GBASE-SR4/LR4; |
MONITOR MODUL | |
MON-MOD-L16XG | 16*10GE SFP+ overvågningsportmodul; intet optisk transceivermodul; |
MON-MOD-L8XG | 8*10GE SFP+ overvågningsportmodul; intet optisk transceivermodul; |
MON-MOD-L2CG | 2*100GE QSFP28 overvågningsportmodul; intet optisk transceivermodul; |
MON-MOD-L8QXG | 8* 40GE QSFP+ overvågningsportmodul; intet optisk transceivermodul; |
4-Netværk TAP Bypass Switch Specifikationer
Produktmodalitet | ML-BYPASS-M200 seriel bypass-switch | |
Type grænseflade | MGT interface | 1*10/100/1000BASE-T Adaptiv administrationsgrænseflade; Understøtter ekstern HTTP/IP-administration |
Modul slot | 2*BYPASS-modulslot;1*MONITOR-modulslot; | |
Links, der understøtter maksimum | Enheden understøtter maksimalt 4*10GE links eller 4*40GE links eller 1*100GE links | |
Overvåge | Enheden understøtter maksimalt 16*10GE overvågningsporte eller 8*40GE overvågningsporte eller 2*100GE overvågningsporte; | |
Fungere | Fuld duplex-behandlingsevne | 640 Gbps |
Baseret på IP/protokol/port fem tuple specifik trafik kaskade beskyttelse | Støtte | |
Kaskadebeskyttelse baseret på fuld trafik | Støtte | |
Multiple load balancering | Støtte | |
Brugerdefineret hjerteslagsdetekteringsfunktion | Støtte | |
Understøtter Ethernet-pakkeuafhængighed | Støtte | |
BYPASS KONTAKT | Støtte | |
BYPASS Switch uden blitz | Støtte | |
KONSOL MGT | Støtte | |
IP/WEB MGT | Støtte | |
SNMP V1/V2C MGT | Støtte | |
TELNET/SSH MGT | Støtte | |
SYSLOG protokol | Støtte | |
Bruger autorisation | Baseret på adgangskodeautorisation/AAA/TACACS+ | |
Elektrisk | Nominel forsyningsspænding | AC-220V/DC-48V【Valgfri】 |
Nominel strømfrekvens | 50HZ | |
Nominel indgangsstrøm | AC-3A / DC-10A | |
Nominel effekt | 100W | |
Miljø | Arbejdstemperatur | 0-50 ℃ |
Opbevaringstemperatur | -20-70 ℃ | |
Arbejdsfugtighed | 10%-95%, ingen kondens | |
Brugerkonfiguration | Konsolkonfiguration | RS232 interface,115200,8,N,1 |
MGT-grænseflade uden for båndet | 1*10/100/1000M Ethernet-interface | |
Adgangskodegodkendelse | Støtte | |
Chassis højde | Chassisplads(U) | 1U 19 tommer, 485mm*44,5mm*350mm |
5-netværk TAP Bypass Switch-applikation (som følgende)
Følgende er en typisk IPS (Intrusion Prevention System), FW (Firewall) deployment mode, IPS / FW er installeret i serie til netværksudstyret (routere, switches osv.) mellem trafikken gennem implementering af sikkerhedstjek, iht. den tilsvarende sikkerhedspolitik for at bestemme frigivelsen eller blokering af den tilsvarende trafik, for at opnå effekten af sikkerhedsforsvar.
Samtidig kan vi observere IPS / FW som en seriel udrulning af udstyret, normalt implementeret i nøgleplaceringen af virksomhedens netværk for at implementere seriel sikkerhed, pålideligheden af dets tilsluttede enheder påvirker direkte den samlede tilgængelighed af virksomhedens netværk. Når de serielle enheder overbelastes, går ned, softwareopdateringer, politikopdateringer osv., vil hele virksomhedens netværkstilgængelighed blive stærkt påvirket. På dette tidspunkt, vi kun gennem netværket cut, fysisk bypass jumper kan gøre netværket skal gendannes, alvorligt påvirker pålideligheden af netværket. IPS / FW og andre serielle enheder på den ene side forbedre implementeringen af virksomhedens netværkssikkerhed, på den anden side reducerer også pålideligheden af virksomhedens netværk, hvilket øger risikoen for, at netværket ikke er tilgængeligt.
5.2 Inline Link-seriens udstyrsbeskyttelse
Mylinking™ " Bypass Switch " er installeret i serier mellem netværksenheder (routere, switches osv.), og datastrømmen mellem netværksenheder fører ikke længere direkte til IPS / FW, " Bypass Switch " til IPS / FW, når IPS'en / FW på grund af overbelastning, nedbrud, softwareopdateringer, politikopdateringer og andre fejltilstande, "Bypass Switch" gennem intelligent hjerteslag-meddelelsesdetektion Funktion af rettidig opdagelse, og dermed springe over defekt enhed, uden at afbryde forudsætningen for netværket, det hurtige netværksudstyr direkte forbundet for at beskytte det normale kommunikationsnetværk; Når IPS / FW fejl opsving, men også gennem intelligente hjerteslag pakker Detektion af rettidig påvisning af funktionen, det oprindelige link til at genoprette sikkerheden i virksomhedens netværk sikkerhedskontrol.
Mylinking™ "Bypass Switch" har en kraftfuld intelligent funktion til registrering af hjerteslagsmeddelelser, brugeren kan tilpasse hjerteslagsintervallet og det maksimale antal genforsøg gennem en tilpasset hjerteslagsmeddelelse på IPS/FW til sundhedstestning, såsom at sende meddelelsen om hjerteslagskontrol til upstream/downstream porten på IPS/FW, og modtag derefter fra upstream/downstream porten på IPS/FW, og bedømme om IPS/FW fungerer normalt ved at at sende og modtage hjerteslagsmeddelelsen.
5.3 "SpecFlow" Policy Flow Inline Traction Series-beskyttelse
Når sikkerhedsnetværksenheden kun skal håndtere den specifikke trafik i serie sikkerhedsbeskyttelse, gennem Mylinking™ "Bypass Switch" trafik per-behandlingsfunktionen, gennem trafikscreeningsstrategien for at forbinde sikkerhedsenheden "Bekymret" trafik sendes direkte tilbage til netværksforbindelsen, og den "berørte trafiksektion" er trækkraft til in-line sikkerhedsanordningen for at udføre sikkerhedstjek. Dette vil ikke kun opretholde den normale anvendelse af sikkerhedsanordningens sikkerhedsdetekteringsfunktion, men også reducere den ineffektive strøm af sikkerhedsudstyret til at håndtere trykket; samtidig kan " Bypass Switch " registrere sikkerhedsanordningens arbejdstilstand i realtid. Sikkerhedsenheden fungerer unormalt og omgår datatrafikken direkte for at undgå afbrydelse af netværkstjenesten.
Mylinking™ Traffic Bypass Protector kan identificere trafik baseret på L2-L4 lag-header-identifikation, såsom VLAN-tag, kilde-/destinations-MAC-adresse, kilde-IP-adresse, IP-pakketype, transportlagsprotokolport, protokolheader-nøgletag og så på. En række fleksible kombinationer af matchende betingelser kan defineres fleksibelt for at definere de specifikke trafiktyper, der er af interesse for en bestemt sikkerhedsenhed og kan bruges i vid udstrækning til udrulning af specielle sikkerhedsrevisionsenheder (RDP, SSH, databaserevision osv.) .
5.4 Belastningsbalanceret seriebeskyttelse
Mylinking™ "Bypass Switch" er installeret i serie mellem netværksenheder (routere, switches osv.). Når en enkelt IPS/FW-behandlingsydelse ikke er tilstrækkelig til at klare netværkslink-spidstrafik, kan beskytterens trafikbelastningsbalanceringsfunktion, "bundling" af flere IPS/FW-klyngebehandlingsnetværkslinktrafik, effektivt reducere den enkelte IPS / FW behandling pres, forbedre den overordnede behandling ydeevne for at imødekomme den høje båndbredde af implementeringsmiljøet krav.
Mylinking™ "Bypass Switch" har en kraftfuld belastningsbalanceringsfunktion i henhold til rammens VLAN-tag, MAC-information, IP-information, portnummer, protokol og anden information om Hash-belastningsbalanceringsfordelingen af trafik for at sikre, at hver IPS/FW modtog data flow Sessionsintegritet.
5.5 Multi-series Inline-udstyr Flow Traction Protection (Skift seriel forbindelse til parallelforbindelse)
I nogle nøglelinks (såsom internetudgange, serverområdeudvekslingslink) skyldes placeringen ofte behovene for sikkerhedsfunktioner og implementeringen af flere in-line sikkerhedstestudstyr (såsom firewall, anti-DDOS-angrebsudstyr, WEB-applikationsfirewall , indbrudsforebyggelse Udstyr osv.), flere sikkerhedsdetekteringsudstyr på samme tid i serie på linket for at øge forbindelsen til et enkelt fejlpunkt, hvilket reducerer netværkets overordnede pålidelighed. Og i ovennævnte sikkerhedsudstyr on-line implementering, udstyrsopgraderinger, udstyrsudskiftning og andre operationer, vil forårsage netværket i lang tid tjenesteafbrydelse og en større projektnedskæring handling for at fuldføre en vellykket gennemførelse af sådanne projekter.
Ved at implementere "Bypass Switch" på en samlet måde, kan implementeringstilstanden for flere sikkerhedsenheder forbundet i serie på samme link ændres fra "fysisk sammenkædningstilstand" til "fysisk sammenkædning, logisk sammenkædningstilstand" Linket på linket til et enkelt punkt for manglende forbedring af pålideligheden af linket, mens "bypass switch" på linket flow on demand trækkraft, for at opnå det samme flow med den oprindelige tilstand af sikker behandling effekt.
Mere end én sikkerhedsenhed på samme tid i serieimplementeringsdiagram:
Mylinking™ Network TAP Bypass Switch-implementeringsdiagram:
5.6 Baseret på den dynamiske strategi for trafiksikkerhedsdetektionsbeskyttelse
"Bypass Switch" Et andet avanceret applikationsscenario er baseret på den dynamiske strategi for applikationer til beskyttelse af trafiksikkerhedsdetektering, implementeringen af vejen som vist nedenfor:
Tag sikkerhedstestudstyret "Anti-DDoS-angrebsbeskyttelse og detektion", for eksempel gennem front-end-implementeringen af " Bypass Switch " og derefter anti-DDOS-beskyttelsesudstyr og derefter tilsluttet til " Bypass Switch ", i den sædvanlige " Trækbeskytter "til den fulde mængde trafik wire-speed forwarding på samme tid flowspejlet output til" anti-DDOS angrebsbeskyttelsesenhed ", når først detekteret for en server IP (eller IP netværkssegment) efter angrebet," anti-DDOS angrebsbeskyttelsesenhed " vil generere måltrafikstrømmens matchningsregler og sende dem til " Bypass Switch " gennem den dynamiske politikleveringsgrænseflade. " Bypass Switch " kan opdatere "trafiktrækkraftdynamikken" efter at have modtaget de dynamiske politikregler Regelpulje "og straks"-reglen ramte angrebsserverens trafik "trækkraft til" anti-DDoS-angrebsbeskyttelse og -detektionsudstyr til behandling, for at blive effektiv efter angrebsstrømmen og derefter genindsprøjtet i netværket.
Ansøgningsskemaet baseret på " Bypass Switch " er nemmere at implementere end den traditionelle BGP-ruteindsprøjtning eller anden trafik-traktionsordning, og miljøet er mindre afhængigt af netværket, og pålideligheden er højere.
"Bypass Switch" har følgende egenskaber til understøttelse af dynamisk beskyttelse af politisikkerhedsdetektion:
1, " Bypass Switch " for at give uden for reglerne baseret på WEBSERIVCE interface, nem integration med tredjeparts sikkerhedsenheder.
2, " Bypass Switch " baseret på hardware-rene ASIC-chip-videresendelse op til 10 Gbps wire-speed-pakker uden at blokere switch-videresendelse, og "trafik traction dynamic rule library" uanset antallet.
3, "Bypass Switch" indbygget professionel BYPASS-funktion, selvom beskytteren selv fejler, kan også omgå den originale serielle forbindelse med det samme, påvirker ikke den oprindelige forbindelse til normal kommunikation.