1- Hvad er Define Heartbeat-pakken?
Heartbeat-pakkerne i Mylinking™ Network Tap Bypass Skift standard til Ethernet Layer 2-rammer. Ved implementering af transparent Layer 2 brodging-tilstand (såsom IPS / FW), videresendes, blokeres eller kasseres Layer 2 Ethernet-rammer normalt. Samtidig understøtter Mylinking™ Network Tap Bypass Switch tilpasset hjerteslagsmeddelelsesformat for at imødekomme den situation, at nogle specielle serielle sikkerhedsenheder normalt ikke kan videresende almindelige Layer 2 Ethernet-rammer.
Og Mylinking™ Network Tap Bypass Switch understøtter også hjerteslagspakkedetektering baseret på VLAN-tag, Layer 3 og Layer 4 brugerdefinerede meddelelsestyper. Baseret på denne mekanisme kan brugeren implementere en servicesikkerhedstestfunktion af forbindelsessikkerhedsanordningen for at gøre det mere effektivt at sikre, at de tilsvarende sikkerhedstjenester fungerer korrekt.
Mylinking™ Network Tap Bypass Switch kan understøtte monitoren til at sende forskellige hjerteslagspakker i begge retninger. For eksempel er TCP- og UDP-type hjerteslagspakker tilpasset på "Strategy Traffic Traction Protector", i henhold til den serielle enheds særlige karakter. Du kan konfigurere afsendelsen af TCP-hjerteslagspakker på uplinkmonitor A-porten og afsendelse af UDP-hjerteslagspakker på downlinkmonitor B-porten for at imødekomme meddelelsesvideresendelsesmekanismen for den serielle sikkerhedsenhed. Denne funktion kan mere effektivt garantere strengen. Tilslut sikkerhedsudstyret til normal drift.
Mylinking™ Network Inline Bypass Switch er undersøgt og udviklet til at blive brugt til fleksibel implementering af forskellige typer serielt sikkerhedsudstyr, samtidig med at det giver høj netværkspålidelighed.
2-Netværk Inline Bypass Switch Avancerede funktioner og teknologier
Mylinking™ "SpecFlow" beskyttelsestilstand og "FullLink" beskyttelsestilstandsteknologi
Mylinking™ Fast Bypass Switching Protection Technology
Mylinking™ "LinkSafeSwitch"-teknologi
Mylinking™ "WebService" dynamisk strategivideresendelse/udstedelsesteknologi
Mylinking™ Intelligent Heartbeat Message Detection-teknologi
Mylinking™ Definable Heartbeat Messages-teknologi
Mylinking™ Multi-link Load Balancing-teknologi
Mylinking™ Intelligent Traffic Distribution Technology
Mylinking™ Dynamic Load Balancing Technology
Mylinking™ Remote Management Technology (HTTP/WEB, TELNET/SSH, "EasyConfig/AdvanceConfig" Karakteristik)
3-Netværk Inline Bypass Switch-applikation (som følgende)
3.1 Risikoen ved indbygget sikkerhedsudstyr (IPS/FW)
Følgende er en typisk IPS (Intrusion Prevention System), FW (Firewall) deployment mode, IPS / FW er installeret i serie til netværksudstyret (routere, switches osv.) mellem trafikken gennem implementering af sikkerhedstjek, iht. den tilsvarende sikkerhedspolitik for at bestemme frigivelsen eller blokering af den tilsvarende trafik, for at opnå effekten af sikkerhedsforsvar.
Samtidig kan vi observere IPS / FW som en seriel udrulning af udstyret, normalt implementeret i nøgleplaceringen af virksomhedens netværk for at implementere seriel sikkerhed, pålideligheden af dets tilsluttede enheder påvirker direkte den samlede tilgængelighed af virksomhedens netværk. Når de serielle enheder overbelastes, går ned, softwareopdateringer, politikopdateringer osv., vil hele virksomhedens netværkstilgængelighed blive stærkt påvirket. På dette tidspunkt, vi kun gennem netværket cut, fysisk bypass jumper kan gøre netværket skal gendannes, alvorligt påvirker pålideligheden af netværket. IPS / FW og andre serielle enheder på den ene side forbedre implementeringen af virksomhedens netværkssikkerhed, på den anden side reducerer også pålideligheden af virksomhedens netværk, hvilket øger risikoen for, at netværket ikke er tilgængeligt.
3.2 Inline Link-seriens udstyrsbeskyttelse
Mylinking™ ”Network Inline Bypass” er implementeret i serier mellem netværksenheder (routere, switches osv.), og datastrømmen mellem netværksenheder fører ikke længere direkte til IPS/FW, ”Network Inline Bypass” til IPS/FW, når IPS / FW på grund af overbelastning, nedbrud, softwareopdateringer, politikopdateringer og andre fejltilstande, "Network Inline Bypass" gennem intelligent hjerteslagsmeddelelsesdetektion Funktion af den rettidige opdagelse, og dermed springe den defekte enhed, uden at afbryde forudsætningen for netværket, det hurtige netværksudstyr direkte forbundet til at beskytte det normale kommunikationsnetværk; Når IPS / FW fejl opsving, men også gennem intelligente hjerteslag pakker Detektion af rettidig påvisning af funktionen, det oprindelige link til at genoprette sikkerheden i virksomhedens netværk sikkerhedskontrol.
Mylinking™ "Network Inline Bypass" har en kraftfuld intelligent funktion til registrering af hjerteslagsmeddelelser, brugeren kan tilpasse hjerteslagsintervallet og det maksimale antal genforsøg gennem en tilpasset hjerteslagsmeddelelse på IPS/FW til sundhedstestning, såsom at sende hjerteslagskontrollen besked til upstream / downstream porten på IPS / FW, og modtag derefter fra upstream / downstream porten på IPS / FW, og bedømme om IPS / FW fungerer normalt ved at sende og modtage hjerteslagsmeddelelsen.
3.3 "SpecFlow" Policy Flow Inline Traction Series-beskyttelse
Når sikkerhedsnetværksenheden kun skal håndtere den specifikke trafik i serie sikkerhedsbeskyttelse, gennem Mylinking™ ”Netværk Inline Bypass” trafik per-behandlingsfunktion, gennem trafikscreeningsstrategien for at forbinde sikkerhedsenheden ”Bekymret ”trafik sendes tilbage direkte til netværksforbindelsen, og den "berørte trafiksektion" er trækkraft til in-line sikkerhedsanordningen for at udføre sikkerhedstjek. Dette vil ikke kun opretholde den normale anvendelse af sikkerhedsanordningens sikkerhedsdetekteringsfunktion, men også reducere den ineffektive strøm af sikkerhedsudstyret til at håndtere trykket; Samtidig kan "Network Inline Bypass" registrere sikkerhedsanordningens arbejdstilstand i realtid. Sikkerhedsenheden fungerer unormalt og omgår datatrafikken direkte for at undgå afbrydelse af netværkstjenesten.
3.4 Belastningsbalanceret seriebeskyttelse
Mylinking™ "Network Inline Bypass" er installeret i serier mellem netværksenheder (routere, switches osv.). Når en enkelt IPS/FW-behandlingsydelse ikke er tilstrækkelig til at klare netværkslink-spidstrafik, kan beskytterens trafikbelastningsbalanceringsfunktion, "bundling" af flere IPS/FW-klyngebehandlingsnetværkslinktrafik, effektivt reducere den enkelte IPS / FW behandling pres, forbedre den overordnede behandling ydeevne for at imødekomme den høje båndbredde af implementeringsmiljøet krav.
Mylinking™ "Network Inline Bypass" har en kraftfuld belastningsbalanceringsfunktion i henhold til rammens VLAN-tag, MAC-information, IP-information, portnummer, protokol og anden information om Hash-belastningsbalanceringsfordelingen af trafikken for at sikre, at hver IPS/FW modtager dataflow Sessionsintegritet.
3.5 Multi-series Inline-udstyr Flow Traction Protection (Skift seriel forbindelse til parallelforbindelse)
I nogle nøglelinks (såsom internetudgange, serverområdeudvekslingslink) skyldes placeringen ofte behovene for sikkerhedsfunktioner og implementeringen af flere in-line sikkerhedstestudstyr (såsom firewall, anti-DDOS-angrebsudstyr, WEB-applikationsfirewall , indbrudsforebyggelse Udstyr osv.), flere sikkerhedsdetekteringsudstyr på samme tid i serie på linket for at øge forbindelsen til et enkelt fejlpunkt, hvilket reducerer netværkets overordnede pålidelighed. Og i ovennævnte sikkerhedsudstyr on-line implementering, udstyrsopgraderinger, udstyrsudskiftning og andre operationer, vil forårsage netværket i lang tid tjenesteafbrydelse og en større projektnedskæring handling for at fuldføre en vellykket gennemførelse af sådanne projekter.
Ved at implementere "Network Inline Bypass" på en samlet måde, kan implementeringstilstanden for flere sikkerhedsenheder forbundet i serie på samme link ændres fra "physical concatenation mode" til "physical concatenation, logical concatenation mode" Linket på linket af et enkelt fejlpunkt for at forbedre pålideligheden af forbindelsen, mens "Network Inline Bypass" på linkflowet efter behov trækkraft, for at opnå det samme flow med den oprindelige tilstand af sikker behandlingseffekt.
Mere end én sikkerhedsenhed på samme tid i serieimplementeringsdiagram:
Network Inline Bypass Switch-implementeringsdiagram:
3.6 Baseret på den dynamiske strategi for trafiksikkerhedsdetektionsbeskyttelse
"Network Inline Bypass" Et andet avanceret applikationsscenario er baseret på den dynamiske strategi for applikationer til beskyttelse af trafiksikkerhedsdetektering, implementeringen af måden som vist nedenfor:
Tag sikkerhedstestudstyret "Anti-DDoS-angrebsbeskyttelse og -detektion", for eksempel gennem front-end-implementeringen af "Network Inline Bypass" og derefter anti-DDOS-beskyttelsesudstyr og derefter forbundet til "Network Inline Bypass" i sædvanlig "Traktionsbeskytter" til den fulde mængde af trafik wire-speed forwarding på samme tid flowspejlets output til "anti-DDOS angrebsbeskyttelsesenheden", når først er detekteret for en server IP (eller IP netværkssegment) efter angrebet, vil anti-DDOS-angrebsbeskyttelsesenhed ” generere måltrafikstrømmens matchningsregler og sende dem til ”Network Inline Bypass” gennem den dynamiske policy-leveringsgrænseflade. "Netværk Inline Bypass" kan opdatere "trafiktrækkraftdynamikken" efter at have modtaget de dynamiske politikregler Regelpulje "og straks"-reglen ramte angrebsserverens trafik "trækkraft til" anti-DDoS-angrebsbeskyttelse og -detektionsudstyr til behandling, for at være effektiv efter angrebsstrømmen og derefter genindsprøjtet i netværket.
Ansøgningsskemaet baseret på " Network Inline Bypass " er lettere at implementere end den traditionelle BGP-ruteindsprøjtning eller anden trafik-traktionsordning, og miljøet er mindre afhængigt af netværket, og pålideligheden er højere.
"Network Inline Bypass" har følgende egenskaber til understøttelse af dynamisk beskyttelse af politisikkerhedsdetektion:
1, "Netværk Inline Bypass" for at give uden for reglerne baseret på WEBSERIVCE interface, nem integration med tredjeparts sikkerhedsenheder.
2, "Netværk Inline Bypass" baseret på hardware-rene ASIC-chip-videresendelse op til 10Gbps wire-speed-pakker uden at blokere switch-videresendelse, og "trafik traction dynamic rule library" uanset antallet.
3, "Netværk Inline Bypass" indbygget professionel BYPASS-funktion, selvom selve beskytteren fejler, kan også omgå den originale serielle forbindelse med det samme, påvirker ikke den originale forbindelse til normal kommunikation.
Indlægstid: 23. december 2021