1- Hvad er Define Heartbeat-pakken?
Heartbeat-pakkerne i Mylinking™ Network Tap Bypass Switch bruger som standard Ethernet Layer 2-rammer. Når transparent Layer 2-brotilstand implementeres (f.eks. IPS/FW), videresendes, blokeres eller kasseres Layer 2 Ethernet-rammer normalt. Samtidig understøtter Mylinking™ Network Tap Bypass Switch brugerdefineret heartbeat-meddelelsesformat for at imødekomme den situation, hvor nogle specielle serielle sikkerhedsenheder normalt ikke kan videresende almindelige Layer 2 Ethernet-rammer.
Og Mylinking™ Network Tap Bypass Switch understøtter også heartbeat-pakkedetektion baseret på VLAN-tag, Layer 3 og Layer 4 brugerdefinerede meddelelsestyper. Baseret på denne mekanisme kan brugeren implementere en servicesikkerhedstestfunktion for forbindelsessikkerhedsenheden for at gøre det mere effektivt at sikre, at de tilsvarende sikkerhedstjenester fungerer korrekt.
Mylinking™ Network Tap Bypass Switch kan understøtte, at skærmen sender forskellige hjerteslagspakker i begge retninger. For eksempel tilpasses hjerteslagspakker af typen TCP og UDP på "Strategy Traffic Traction Protector" i henhold til den serielle enheds specifikke forhold. Du kan konfigurere afsendelsen af TCP-heartslagspakker på uplink-skærmens A-port og afsendelsen af UDP-heartslagspakker på downlink-skærmens B-port for at imødekomme den serielle sikkerhedsenheds videresendelsesmekanisme. Denne funktion kan mere effektivt garantere strengen. Tilslut sikkerhedsudstyret til normal drift.
Mylinking™ Network Inline Bypass Switch er undersøgt og udviklet til fleksibel implementering af forskellige typer serielt sikkerhedsudstyr, samtidig med at den giver høj netværkspålidelighed.
2-netværks inline bypass-switch avancerede funktioner og teknologier
Mylinking™ “SpecFlow” beskyttelsestilstand og “FullLink” beskyttelsestilstandsteknologi
Mylinking™ Fast Bypass Switching Protection Technology
Mylinking™ “LinkSafeSwitch”-teknologi
Mylinking™ “WebService” Dynamisk Strategiteknologi til Videresendelse/Udstedelse
Mylinking™ Intelligent Heartbeat-beskedregistreringsteknologi
Mylinking™ Definerbare hjerteslagsbeskeder Teknologi
Mylinking™ Multi-link Load Balancing-teknologi
Mylinking™ Intelligent Trafikdistributionsteknologi
Mylinking™ Dynamisk Load Balancing-teknologi
Mylinking™ fjernstyringsteknologi (HTTP/WEB, TELNET/SSH, "EasyConfig/AdvanceConfig"-egenskab)
3-netværks inline bypass switch-applikation (som følger)
3.1 Risikoen ved inline-sikkerhedsudstyr (IPS/FW)
Følgende er en typisk IPS (Intrusion Prevention System), FW (Firewall) implementeringstilstand. IPS/FW implementeres i serie med netværksudstyr (routere, switche osv.) mellem trafikken gennem implementering af sikkerhedskontroller. I henhold til den tilsvarende sikkerhedspolitik bestemmes frigivelse eller blokering af den tilsvarende trafik for at opnå en sikkerhedsforsvarseffekt.
Samtidig kan vi observere IPS/FW som en seriel implementering af udstyr, der normalt er implementeret på nøgleplaceringer i virksomhedsnetværket for at implementere seriel sikkerhed. Pålideligheden af de tilsluttede enheder påvirker direkte virksomhedsnetværkets samlede tilgængelighed. Når serielle enheder overbelastes, nedbrud, softwareopdateringer, politikopdateringer osv., vil hele virksomhedsnetværkets tilgængelighed blive stærkt påvirket. På dette tidspunkt kan vi kun genoprette netværket ved at afbryde netværket og bruge en fysisk bypass-jumper, hvilket alvorligt påvirker netværkets pålidelighed. IPS/FW og andre serielle enheder forbedrer på den ene side implementeringen af virksomhedsnetværkets sikkerhed, men reducerer på den anden side også pålideligheden af virksomhedsnetværk, hvilket øger risikoen for, at netværket ikke er tilgængeligt.
3.2 Beskyttelse af Inline Link-serien af udstyr
Mylinking™ "Network Inline Bypass" installeres i serie mellem netværksenheder (routere, switche osv.), og datastrømmen mellem netværksenheder fører ikke længere direkte til IPS/FW. "Network Inline Bypass" til IPS/FW. Når IPS/FW opstår på grund af overbelastning, nedbrud, softwareopdateringer, politikopdateringer og andre fejltilstande, finder "Network Inline Bypass" rettidig detektering via intelligent heartbeat-meddelelsesdetektion, og springer dermed defekte enheder over uden at afbryde netværkets præmisser. Netværksudstyr tilsluttes hurtigt direkte for at beskytte det normale kommunikationsnetværk. Når IPS/FW-fejl opstår, kan netværksudstyr også rettidig detektion detektere det oprindelige link og genoprette sikkerheden i virksomhedens netværkssikkerhedskontroller.
Mylinking™ “Network Inline Bypass” har en kraftfuld intelligent funktion til detektion af hjerteslagsbeskeder. Brugeren kan tilpasse hjerteslagsintervallet og det maksimale antal forsøg via en brugerdefineret hjerteslagsbesked på IPS/FW til sundhedstest, f.eks. ved at sende hjerteslagstjekbeskeden til upstream/downstream-porten på IPS/FW og derefter modtage den fra upstream/downstream-porten på IPS/FW og bedømme, om IPS/FW fungerer normalt, ved at sende og modtage hjerteslagsbeskeden.
3.3 "SpecFlow"-politik Flow Inline Traction Series-beskyttelse
Når sikkerhedsnetværksenheden kun skal håndtere den specifikke trafik i seriel sikkerhedsbeskyttelse, sendes trafikken pr. behandling via Mylinking™ "Network Inline Bypass" via trafikscreeningsstrategien til at forbinde sikkerhedsenhedens "berørte" trafik direkte tilbage til netværksforbindelsen, og den "berørte trafiksektion" trækkes til den inline sikkerhedsenhed for at udføre sikkerhedskontroller. Dette vil ikke kun opretholde den normale anvendelse af sikkerhedsenhedens sikkerhedsdetekteringsfunktion, men også reducere den ineffektive strøm af sikkerhedsudstyr til at håndtere trykket. Samtidig kan "Network Inline Bypass" registrere sikkerhedsenhedens driftstilstand i realtid. Sikkerhedsenheden fungerer unormalt og omgår datatrafikken direkte for at undgå afbrydelse af netværkstjenesten.
3.4 Belastningsbalanceret seriebeskyttelse
Mylinking™ "Network Inline Bypass" implementeres i serie mellem netværksenheder (routere, switche osv.). Når en enkelt IPS/FW-behandlingsydelse ikke er tilstrækkelig til at håndtere spidsbelastningen på netværkslinket, kan beskytterens trafikbelastningsbalanceringsfunktion, "bundling" af netværkslinktrafik fra flere IPS/FW-klynger, effektivt reducere behandlingstrykket på den enkelte IPS/FW og forbedre den samlede behandlingsydelse for at imødekomme den høje båndbredde i implementeringsmiljøet.
Mylinking™ “Network Inline Bypass” har en effektiv load balancing-funktion, der i henhold til frame VLAN-tag, MAC-oplysninger, IP-oplysninger, portnummer, protokol og andre oplysninger om hash-load balancing-fordelingen af trafik sikrer, at hver IPS/FW modtager dataflow sessionsintegritet.
3.5 Beskyttelse mod flowtræk i flere serier af inline-udstyr (ændring af seriel forbindelse til parallel forbindelse)
I nogle nøgleforbindelser (såsom internetudgange, serverområder og udvekslingsforbindelser) skyldes placeringen ofte behovet for sikkerhedsfunktioner og implementering af flere forskellige inline-sikkerhedstestudstyr (såsom firewalls, anti-DDOS-angrebsudstyr, WEB-applikationsfirewalls, indtrængningsforebyggelsesudstyr osv.). Flere sikkerhedsdetekteringsudstyr, der er seriekoblet på forbindelsen, øger forbindelsens effektivitet fra et enkelt fejlpunkt, hvilket reducerer netværkets samlede pålidelighed. Og i forbindelse med den ovennævnte online implementering af sikkerhedsudstyr, udstyrsopgraderinger, udstyrsudskiftning og andre operationer vil det medføre langvarige netværksafbrydelser og større projektnedskæringer for at fuldføre den vellykkede implementering af sådanne projekter.
Ved at implementere "Network Inline Bypass" på en samlet måde kan implementeringstilstanden for flere sikkerhedsenheder, der er forbundet i serie på det samme link, ændres fra "fysisk sammenkædningstilstand" til "fysisk sammenkædningstilstand, logisk sammenkædningstilstand". Linket på linket med et enkelt fejlpunkt forbedrer linkets pålidelighed, mens "Network Inline Bypass" på linket flower on-demand traction opnår det samme flow med den oprindelige tilstand med sikker behandlingseffekt.
Mere end én sikkerhedsenhed på samme tid i serieinstallationsdiagram:
Diagram over implementering af netværks-inline-bypass-switch:
3.6 Baseret på den dynamiske strategi for trafiktræksikkerhedsdetektionsbeskyttelse
"Network Inline Bypass" Et andet avanceret applikationsscenarie er baseret på den dynamiske strategi for trafiktræksikkerhedsdetekteringsapplikationer, implementeringen af vejen som vist nedenfor:
Tag for eksempel sikkerhedstestudstyr til "anti-DDoS-angrebsbeskyttelse og -detektion", gennem frontend-implementering af "Network Inline Bypass" og derefter anti-DDOS-beskyttelsesudstyr, der derefter tilsluttes "Network Inline Bypass". I den sædvanlige "Traction Protector" sendes den fulde mængde trafik med wire-speed videre, samtidig med at flow-spejlet sendes til "anti-DDOS-angrebsbeskyttelsesenheden". Når en server-IP (eller IP-netværkssegment) er registreret efter angrebet, genererer "anti-DDOS-angrebsbeskyttelsesenheden" målrettede trafikflow-matchningsregler og sender dem til "Network Inline Bypass" via den dynamiske policy-leveringsgrænseflade. "Network Inline Bypass" kan opdatere "trafiktrækdynamikken" efter at have modtaget den dynamiske policy-regelpulje, "og straks" rammer angrebsservertrafikken og "trækker den til "anti-DDoS-angrebsbeskyttelses- og -detektionsudstyr" til behandling, for at være effektiv efter angrebsflowet og derefter genindsende det til netværket.
Applikationsskemaet baseret på "Network Inline Bypass" er nemmere at implementere end den traditionelle BGP-ruteindsprøjtning eller andre trafiktrækordninger, og miljøet er mindre afhængigt af netværket, og pålideligheden er højere.
"Network Inline Bypass" har følgende egenskaber til at understøtte dynamisk politiksikkerhedsdetektionsbeskyttelse:
1. "Network Inline Bypass" giver mulighed for nem integration med tredjeparts sikkerhedsenheder baseret på WEBSERIVCE-grænsefladen uden for reglerne.
2, "Network Inline Bypass" baseret på den rene ASIC-chip, der videresender pakker med op til 10 Gbps trådhastighed uden at blokere videresendelse via switch, og "dynamisk regelbibliotek for trafiktræk" uanset antallet.
3. Den indbyggede, professionelle BYPASS-funktion "Network Inline Bypass" kan, selvom selve beskytteren fejler, også omgå det originale serielle link med det samme uden at påvirke det originale link til normal kommunikation.
Opslagstidspunkt: 23. dec. 2021
