Mylinking™ Netværksudtagsbypass-switch ML-BYPASS-200
2*Bypass plus 1*Skærm Modulært design, 10/40/100GE Links, Maks. 640 Gbps
1-Oversigter
Ved at implementere Mylinking™ Smart Bypass Switch:
- Brugere kan fleksibelt installere/afinstallere sikkerhedsudstyr uden at påvirke det nuværende netværk og afbryde det;
- Mylinking™ Network Tap Bypass Switch med intelligent sundhedsdetektionsfunktion til realtidsovervågning af den serielle sikkerhedsenheds normale driftstilstand. Når den serielle sikkerhedsenhed fungerer som en undtagelse, vil beskyttelsen automatisk bypasse for at opretholde den normale netværkskommunikation.
- Selektiv trafikbeskyttelsesteknologi kan bruges til at implementere specifikt trafikrensningssikkerhedsudstyr, krypteringsteknologi baseret på revisionsudstyr. Effektiv udførelse af seriel adgangsbeskyttelse for den specifikke trafiktype, aflastning af flowhåndteringstrykket på serieenheden;
- Load Balanced Traffic Protection-teknologi kan bruges til klynget implementering af sikre serielle enheder for at opfylde behovet for seriel sikkerhed i miljøer med høj båndbredde.
Med internettets hurtige udvikling bliver truslen mod netværksinformationssikkerhed mere og mere alvorlig, så en række forskellige informationssikkerhedsapplikationer anvendes i stigende grad. Uanset om det er traditionelt adgangskontroludstyr (firewall) eller en ny type mere avancerede beskyttelsesmidler såsom Intrusion Prevention System (IPS), Unified Threat Management Platform (UTM), Anti-Denial Service Attack System (Anti-DDoS), Anti-Span Gateway, Unified DPI Traffic Identification and Control System og mange sikkerhedsenheder, der er installeret i serie i netværkets nøglenoder, implementeres den tilsvarende datasikkerhedspolitik for at identificere og håndtere lovlig/ulovlig trafik. Samtidig vil computernetværket dog generere en stor netværksforsinkelse eller endda netværksforstyrrelse i tilfælde af failover, vedligeholdelse, opgradering, udskiftning af udstyr osv. I et meget pålideligt produktionsnetværksapplikationsmiljø kan brugerne ikke holde det ud.
2-netværks tap bypass switch avancerede funktioner og teknologier
Mylinking™ “SpecFlow” beskyttelsestilstand og “FullLink” beskyttelsestilstandsteknologi
Mylinking™ Fast Bypass Switching Protection Technology
Mylinking™ “LinkSafeSwitch”-teknologi
Mylinking™ “WebService” Dynamisk Strategiteknologi til Videresendelse/Udstedelse
Mylinking™ Intelligent Heartbeat-beskedregistreringsteknologi
Mylinking™ Definerbare hjerteslagsbeskeder Teknologi
Mylinking™ Multi-link Load Balancing-teknologi
Mylinking™ Intelligent Trafikdistributionsteknologi
Mylinking™ Dynamisk Load Balancing-teknologi
Mylinking™ fjernstyringsteknologi (HTTP/WEB, TELNET/SSH, "EasyConfig/AdvanceConfig"-egenskab)
Konfigurationsvejledning til 3-netværks tap-bypass-switch
OMKØRSELBeskyttelsesportmodulslot:
Denne stikplads kan indsættes i BYPASS-beskyttelsesportmodulet med forskellige hastigheder/portnumre. Ved at udskifte forskellige typer moduler kan den understøtte BYPASS-beskyttelse af flere 10G/40G/100G-links.
OVERVÅGEPortmodulslot;
Denne stik kan indsættes i MONITOR-portmodulet med forskellige hastigheder/porte. Den kan understøtte implementering af flere 10G/40G/100G link online serielle overvågningsenheder ved at erstatte forskellige modeller.
Regler for modulvalg
Baseret på forskellige implementerede links og krav til implementering af overvågningsudstyr kan du fleksibelt vælge forskellige modulkonfigurationer for at imødekomme dine faktiske miljøbehov. Følg venligst følgende regler, når du vælger:
1. Chassiskomponenterne er obligatoriske, og du skal vælge chassiskomponenterne, før du vælger andre moduler. Samtidig skal du vælge forskellige strømforsyningsmetoder (AC/DC) i henhold til dine behov.
2. Hele maskinen understøtter op til 2 BYPASS-modulpladser og 1 MONITOR-modulplads; du kan ikke vælge mere end det angivne antal pladser at konfigurere. Baseret på kombinationen af antallet af pladser og modulmodellen kan enheden understøtte op til fire 10GE-linkbeskyttelser; eller den kan understøtte op til fire 40GE-links; eller den kan understøtte op til ét 100GE-link.
3. Modulmodellen "BYP-MOD-L1CG" kan kun indsættes i SLOT1 for at fungere korrekt.
4. Modultypen "BYP-MOD-XXX" kan kun indsættes i BYPASS-modulporten; modultypen "MON-MOD-XXX" kan kun indsættes i MONITOR-modulporten til normal drift.
| Produktmodel | Funktionsparametre |
| Chassis (vært) | |
| ML-BYPASS-M200 | 1U standard 19-tommer rackmontering; maksimalt strømforbrug 250 W; modulær BYPASS-beskyttervært; 2 BYPASS-modulpladser; 1 MONITOR-modulplads; AC og DC valgfri; |
| BYPASS-MODUL | |
| BYP-MOD-L2XG(LM/SM) | Understøtter 2-vejs 10GE link seriel beskyttelse, 4*10GE interface, LC-stik; indbygget optisk transceiver; optisk link single/multimode valgfri, understøtter 10GBASE-SR/LR; |
| BYP-MOD-L2QXG(LM/SM) | Understøtter 2-vejs 40GE link seriel beskyttelse, 4*40GE interface, LC-stik; indbygget optisk transceiver; optisk link single/multimode valgfri, understøtter 40GBASE-SR4/LR4; |
| BYP-MOD-L1CG (LM/SM) | Understøtter 1 kanal 100GE link seriel beskyttelse, 2*100GE interface, LC-stik; indbygget optisk transceiver; optisk link single multimode valgfri, understøtter 100GBASE-SR4/LR4; |
| MONITORMODUL | |
| MON-MOD-L16XG | 16*10GE SFP+ overvågningsportmodul; intet optisk transceivermodul; |
| MON-MOD-L8XG | 8*10GE SFP+ overvågningsportmodul; intet optisk transceivermodul; |
| MON-MOD-L2CG | 2*100GE QSFP28 overvågningsportmodul; intet optisk transceivermodul; |
| MON-MOD-L8QXG | 8* 40GE QSFP+ overvågningsportmodul; intet optisk transceivermodul; |
Specifikationer for 4-netværks TAP-bypass-switch
| Produktmodalitet | ML-BYPASS-M200 seriel bypass-switch | |
| Type af grænseflade | MGT-grænseflade | 1*10/100/1000BASE-T adaptiv administrationsgrænseflade; Understøtter fjern HTTP/IP-administration |
| Modulplads | 2*BYPASS-modulplads; 1*MONITOR-modulplads; | |
| Links der understøtter maksimalt | Enheden understøtter maksimalt 4*10GE-links eller 4*40GE-links eller 1*100GE-links | |
| Overvåge | Enheden understøtter maksimalt 16*10GE overvågningsporte eller 8*40GE overvågningsporte eller 2*100GE overvågningsporte; | |
| Fungere | Fuld duplex-behandlingsevne | 640 Gbps |
| Baseret på IP/protokol/port fem tuplespecifik trafikkaskadebeskyttelse | Støtte | |
| Kaskadebeskyttelse baseret på fuld trafik | Støtte | |
| Flere belastningsbalanceringer | Støtte | |
| Brugerdefineret hjerteslagsdetekteringsfunktion | Støtte | |
| Understøtter Ethernet-pakkeuafhængighed | Støtte | |
| BYPASS-AFBRYDER | Støtte | |
| BYPASS-afbryder uden blitz | Støtte | |
| KONSOLLEDRIFT | Støtte | |
| IP/WEB-administration | Støtte | |
| SNMP V1/V2C MGT | Støtte | |
| TELNET/SSH-administration | Støtte | |
| SYSLOG-protokol | Støtte | |
| Brugerautorisation | Baseret på adgangskodegodkendelse/AAA/TACACS+ | |
| Elektrisk | Nominel forsyningsspænding | AC-220V/DC-48V 【Valgfrit】 |
| Nominel effektfrekvens | 50Hz | |
| Nominel indgangsstrøm | AC-3A / DC-10A | |
| Nominel effekt | 100W | |
| Miljø | Arbejdstemperatur | 0-50℃ |
| Opbevaringstemperatur | -20-70 ℃ | |
| Arbejdsfugtighed | 10%-95%, ingen kondensering | |
| Brugerkonfiguration | Konsolkonfiguration | RS232-grænseflade, 115200, 8, N, 1 |
| Out-of-band MGT-grænseflade | 1*10/100/1000M Ethernet-grænseflade | |
| Adgangskodegodkendelse | Støtte | |
| Chassishøjde | Chassisplads (U) | 1U 19 tommer, 485 mm * 44,5 mm * 350 mm |
5-netværks TAP bypass switch-applikation (som følger)
Følgende er en typisk IPS (Intrusion Prevention System), FW (Firewall) implementeringstilstand. IPS/FW implementeres i serie med netværksudstyr (routere, switche osv.) mellem trafikken gennem implementering af sikkerhedskontroller. I henhold til den tilsvarende sikkerhedspolitik bestemmes frigivelse eller blokering af den tilsvarende trafik for at opnå en sikkerhedsforsvarseffekt.
Samtidig kan vi observere IPS/FW som en seriel implementering af udstyr, der normalt er implementeret på nøgleplaceringer i virksomhedsnetværket for at implementere seriel sikkerhed. Pålideligheden af de tilsluttede enheder påvirker direkte virksomhedsnetværkets samlede tilgængelighed. Når serielle enheder overbelastes, nedbrud, softwareopdateringer, politikopdateringer osv., vil hele virksomhedsnetværkets tilgængelighed blive stærkt påvirket. På dette tidspunkt kan vi kun genoprette netværket ved at afbryde netværket og bruge en fysisk bypass-jumper, hvilket alvorligt påvirker netværkets pålidelighed. IPS/FW og andre serielle enheder forbedrer på den ene side implementeringen af virksomhedsnetværkets sikkerhed, men reducerer på den anden side også pålideligheden af virksomhedsnetværk, hvilket øger risikoen for, at netværket ikke er tilgængeligt.
5.2 Beskyttelse af Inline Link-serien af udstyr
Mylinking™ "Bypass Switch" seriekobles mellem netværksenheder (routere, switche osv.), og datastrømmen mellem netværksenheder fører ikke længere direkte til IPS/FW. "Bypass Switch" går til IPS/FW. Når IPS/FW opstår på grund af overbelastning, nedbrud, softwareopdateringer, politikopdateringer og andre fejltilstande, finder "Bypass Switch" rettidig detektering via intelligent heartbeat-beskeddetektion, og springer dermed defekte enheder over uden at afbryde netværkets præmisser. Netværksudstyr tilsluttes hurtigt direkte for at beskytte det normale kommunikationsnetværk. Når IPS/FW-fejl opstår, kan netværksudstyr også rettidig detektering af netværket foretages ved rettidig detektering. Dette gør det muligt at gendanne sikkerheden i virksomhedens netværksnetværk ved hjælp af intelligent heartbeat-pakkedetektion.
Mylinking™ "Bypass Switch" har en kraftfuld intelligent funktion til detektion af hjerteslagsbeskeder. Brugeren kan tilpasse hjerteslagsintervallet og det maksimale antal forsøg via en brugerdefineret hjerteslagsbesked på IPS/FW til sundhedstest, f.eks. ved at sende hjerteslagstjekbeskeden til upstream/downstream-porten på IPS/FW og derefter modtage den fra upstream/downstream-porten på IPS/FW og bedømme, om IPS/FW fungerer normalt, ved at sende og modtage hjerteslagsbeskeden.
5.3 "SpecFlow"-politik Flow Inline Traction Series-beskyttelse
Når sikkerhedsnetværksenheden kun skal håndtere den specifikke trafik i seriel sikkerhedsbeskyttelse, sendes trafikken pr. behandling via Mylinking™ "Bypass Switch" via trafikscreeningsstrategien til at forbinde sikkerhedsenheden "berørt" trafik direkte tilbage til netværksforbindelsen, og den "berørte trafiksektion" trækkes til den indbyggede sikkerhedsenhed for at udføre sikkerhedskontroller. Dette vil ikke kun opretholde den normale anvendelse af sikkerhedsenhedens sikkerhedsdetekteringsfunktion, men også reducere den ineffektive strøm af sikkerhedsudstyr til at håndtere trykket. Samtidig kan "Bypass Switch" registrere sikkerhedsenhedens driftstilstand i realtid. Sikkerhedsenheden fungerer unormalt og omgår datatrafikken direkte for at undgå afbrydelse af netværkstjenesten.
Mylinking™ Traffic Bypass Protector kan identificere trafik baseret på L2-L4-lagets header-identifikator, såsom VLAN-tag, kilde-/destinations-MAC-adresse, kilde-IP-adresse, IP-pakketype, transportlagsprotokolport, protokolheader-nøgletag osv. En række fleksible kombinationer af matchende betingelser kan defineres fleksibelt for at definere de specifikke trafiktyper, der er af interesse for en bestemt sikkerhedsenhed, og som kan bruges i vid udstrækning til implementering af specielle sikkerhedsrevisionsenheder (RDP, SSH, databaserevision osv.).
5.4 Belastningsbalanceret seriebeskyttelse
Mylinking™ "Bypass Switch" installeres i serie mellem netværksenheder (routere, switche osv.). Når en enkelt IPS/FW-behandlingsydelse ikke er tilstrækkelig til at håndtere spidsbelastningen på netværkslinket, kan beskytterens trafikbelastningsbalanceringsfunktion, "bundling" af flere IPS/FW-klyngebehandlingsnetværkslinktrafik, effektivt reducere behandlingstrykket på den enkelte IPS/FW og forbedre den samlede behandlingsydelse for at imødekomme den høje båndbredde i implementeringsmiljøet.
Mylinking™ "Bypass Switch" har en kraftfuld load balancing-funktion, der i henhold til frame VLAN-tag, MAC-oplysninger, IP-oplysninger, portnummer, protokol og andre oplysninger om hash-load balancing-fordelingen af trafik sikrer, at hver IPS/FW modtager dataflow sessionsintegritet.
5.5 Beskyttelse mod flowtræk i flere serier af inline-udstyr (ændring af seriel forbindelse til parallel forbindelse)
I nogle nøgleforbindelser (såsom internetudgange, serverområder og udvekslingsforbindelser) skyldes placeringen ofte behovet for sikkerhedsfunktioner og implementering af flere forskellige inline-sikkerhedstestudstyr (såsom firewalls, anti-DDOS-angrebsudstyr, WEB-applikationsfirewalls, indtrængningsforebyggelsesudstyr osv.). Flere sikkerhedsdetekteringsudstyr, der er seriekoblet på forbindelsen, øger forbindelsens effektivitet fra et enkelt fejlpunkt, hvilket reducerer netværkets samlede pålidelighed. Og i forbindelse med den ovennævnte online implementering af sikkerhedsudstyr, udstyrsopgraderinger, udstyrsudskiftning og andre operationer vil det medføre langvarige netværksafbrydelser og større projektnedskæringer for at fuldføre den vellykkede implementering af sådanne projekter.
Ved at implementere "Bypass Switch" på en samlet måde kan implementeringstilstanden for flere sikkerhedsenheder forbundet i serie på det samme link ændres fra "fysisk sammenkædningstilstand" til "fysisk sammenkædningstilstand, logisk sammenkædningstilstand". Linket på linket med et enkelt fejlpunkt forbedrer linkets pålidelighed, mens "bypass switch" på linket flow-on-demand traction opnår det samme flow med den oprindelige tilstand med sikker behandlingseffekt.
Mere end én sikkerhedsenhed på samme tid i serieinstallationsdiagram:
Diagram over implementering af Mylinking™ Network TAP Bypass Switch:
5.6 Baseret på den dynamiske strategi for trafiktræksikkerhedsdetektionsbeskyttelse
"Bypass Switch" Et andet avanceret applikationsscenarie er baseret på den dynamiske strategi for trafiksikkerhedsdetekterings- og beskyttelsesapplikationer, implementeringen af vejen som vist nedenfor:
Tag for eksempel sikkerhedstestudstyret "Anti-DDoS-angrebsbeskyttelse og -detektion", der via frontend-implementering af "Bypass Switch" og derefter anti-DDoS-beskyttelsesudstyr tilsluttes "Bypass Switch". I den sædvanlige "Traction Protector" sendes den fulde mængde trafik via wire-speed-videresendelse, samtidig med at flow-spejlet sendes til "anti-DDoS-angrebsbeskyttelsesenheden". Når en server-IP (eller IP-netværkssegment) er registreret efter angrebet, genererer "anti-DDoS-angrebsbeskyttelsesenheden" målrettede trafikflow-matchningsregler og sender dem til "Bypass Switch" via den dynamiske policy-leveringsgrænseflade. "Bypass Switch" kan opdatere "trafiktrækdynamikken" efter at have modtaget den dynamiske policy-regelpulje "og straks" ramme angrebsservertrafikken "trækkes til "anti-DDoS-angrebsbeskyttelses- og -detektionsudstyr" til behandling, for at være effektiv efter angrebet og derefter genindsendes til netværket.
Applikationsskemaet baseret på "Bypass Switch" er nemmere at implementere end den traditionelle BGP-ruteindsprøjtning eller andre trafiktrækordninger, og miljøet er mindre afhængigt af netværket, og pålideligheden er højere.
"Bypass Switch" har følgende egenskaber til at understøtte dynamisk politiksikkerhedsdetektionsbeskyttelse:
1. "Bypass Switch" til at give adgang uden for reglerne baseret på WEBSERIVCE-grænsefladen, nem integration med tredjeparts sikkerhedsenheder.
2, "Bypass Switch" baseret på den rene ASIC-chip, der videresender pakker med op til 10 Gbps trådhastighed uden at blokere videresendelse af switchen, og "bibliotek med dynamisk regel om trafiktrækkraft" uanset antallet.
3. Den indbyggede professionelle BYPASS-funktion "Bypass Switch" kan, selvom selve beskytteren fejler, også omgå det originale serielle link med det samme uden at påvirke det originale link til normal kommunikation.
