Брокер сеткавых пакетаў Mylinking™ плюс убудаваны байпасны камутатар ML-BYPASS-M2000
Модуль байпаса: 8*10G SFP+ і 4*100GE, модуль манітора: 16*10GE SFP+ і 4*100GE, макс. 2,4 Тбіт/с
1-Агляды
З хуткім развіццём Інтэрнэту пагроза бяспецы інфармацыі ў сетцы становіцца ўсё больш сур'ёзнай, таму ўсё шырэй выкарыстоўваюцца розныя праграмы абароны інфармацыі. Няхай гэта будзе традыцыйнае абсталяванне кантролю доступу (брандмаўэр) або новыя тыпы больш прасунутых сродкаў абароны, такія як сістэма прадухілення ўварванняў (IPS), адзіная платформа кіравання пагрозамі (UTM), сістэма абароны ад атак адмовы ў абслугоўванні (Anti-DDoS), шлюз абароны ад спаму, адзіная сістэма ідэнтыфікацыі і кантролю трафіку DPI, і многія іншыя прылады бяспекі разгортваюцца паслядоўна ў ключавых вузлах сеткі, рэалізуючы адпаведную палітыку бяспекі дадзеных для ідэнтыфікацыі і барацьбы з легальным/нелегальным трафікам. Аднак у той жа час камп'ютэрная сетка будзе генераваць вялікія затрымкі ў сетцы або нават збоі ў сетцы ў выпадку збою, тэхнічнага абслугоўвання, мадэрнізацыі, замены абсталявання і г.д. у высоканадзейным асяроддзі прадукцыйных сеткавых прыкладанняў, якія карыстальнікі не могуць вытрымаць.
Брокер сеткавых пакетаў Mylinking™ ML-BYPASS-M2000 з убудаваным байпасным камутатарам распрацаваны для гнуткага разгортвання розных тыпаў паслядоўнага абсталявання бяспекі, забяспечваючы пры гэтым высокую надзейнасць сеткі.
Разгортваючы Mylinking™ Network Packet Broker і Inline Bypass Switch:
● Карыстальнікі могуць гнутка ўсталёўваць/выдаляць прылады бяспекі, не ўплываючы на існуючую сетку і не перарываючы яе;
● Ён мае інтэлектуальную функцыю выяўлення стану для кантролю нармальнага працоўнага стану падлучаных прылад бяспекі ў рэжыме рэальнага часу. У выпадку няспраўнасці падлучанай прылады бяспекі абаронца аўтаматычна пераходзіць у рэжым абыходу, каб падтрымліваць нармальную сеткавую сувязь.
● Тэхналогія селектыўнай абароны трафіку можа выкарыстоўвацца для разгортвання спецыяльнага абсталявання бяспекі для ачысткі трафіку, абсталявання для аўдыту на аснове шыфравання і г.д. Яна эфектыўна рэалізуе ўбудаваную абарону доступу для пэўных тыпаў трафіку, разгружаючы нагрузку апрацоўкі трафіку ўбудаваных прылад.
● Тэхналогія абароны трафіку балансавання нагрузкі можа быць выкарыстана для разгортвання бяспечных убудаваных прылад у кластарах, каб задаволіць патрэбы ўбудаванай абароны бяспекі ў асяроддзях з высокай нагрузкай на прапускную здольнасць.
●Ён мае магчымасці SSL-проксі, што адпавядае патрабаванням маніторынгу і аналізу прылад бяспекі для кантэнту дадзеных у адкрытым тэксце.
● Ён валодае базавымі магчымасцямі апрацоўкі трафіку, такімі як рэплікацыя трафіку, агрэгацыя, фільтрацыя і маркіроўка, а таксама пашыранымі магчымасцямі апрацоўкі трафіку, такімі як дэдуплікацыя, маскіроўка, ідэнтыфікацыя пратаколаў прыкладнога ўзроўню і фармаванне трафіку.
2-Mylinking™ Network Packet Broker плюс Inline Bypass Switch Пашыраныя функцыі і тэхналогіі
Тэхналогія рэжыму абароны Mylinking™ «SpecFlow» і рэжыму абароны «FullLink»
Тэхналогія абароны ад пераключэння Mylinking™ Fast Bypass
Тэхналогія Mylinking™ «LinkSafeSwitch»
Тэхналогія дынамічнай перасылкі/выдачы палітык Mylinking™ “WebService”
Тэхналогія інтэлектуальнага выяўлення пакетаў Mylinking™ Heartbeat
Маё звязванне™ Тэхналогія вызначаемых пакетаў сэрцабіцця
Маё звязванне™ Тэхналогія шматканальнай балансіроўкі нагрузкі
Маё звязванне™ Інтэлектуальная тэхналогія размеркавання трафіку
Маё звязванне™ Тэхналогія дынамічнага балансавання нагрузкі
Маё звязванне™ Тэхналогія дыстанцыйнага кіравання (HTTP/WEB, TELNET/SSH, характарыстыка «EasyConfig/AdvanceConfig»)
3-Кіраўніцтва па наладзе брокера сеткавых пакетаў Mylinking™ і ўбудаванага байпаснага камутатара
Як паказана на дыяграме вышэй, увесь блок складаецца з чатырох модульных слотаў:
Слоты модуляў SLOT1, SLOT2, SLOT3 і SLOT4 могуць змяшчаць модулі партоў абароны BYPASS або модулі партоў MONITOR з рознымі хуткасцямі і нумарамі партоў. Замяняючы розныя мадэлі модуляў, можна падтрымліваць абарону BYPASS для некалькіх каналаў 10G/40G/100G, а таксама разгортваць абсталяванне маніторынгу Inline Bypass для некалькіх каналаў 10G/40G/100G.
Заўвага: Як модуль BYPASS, так і модуль MONITOR падтрымліваюць гарачую замену.
3.1-Спіс спецыфікацый модуляў
| Мадэль прадукту | ФункцыянальныPпараметры |
| Cхасіс | |
| ML-BYPASS-M2000-CHS/AC | Стандартны 19-цалевы стоечны вышынёй 2U; максімальная спажываная магутнасць 300 Вт; модульны асноўны блок абароны BYPASS; 4 слоты для модуляў; 1 кансольны інтэрфейс RS232, 1 інтэрфейс 10/100/1000M RJ45 з кіраваннем знешнім сеткай; двайное харчаванне AC-220V; |
| NT-BYPASS-M2000-CHS/DC | Стандартны 19-цалевы стоечны вышынёй 2U; максімальная спажываная магутнасць 300 Вт; модульны асноўны блок абароны BYPASS; 4 слоты для модуляў; 1 кансольны інтэрфейс RS232, 1 інтэрфейс 10/100/1000M RJ45 з кіраваннем знешнім сеткай; двайны блок харчавання DC-48V; |
| АбыходMадуле | |
| INL-I8XM8X(LM/SM) | Падтрымлівае 4-баковую абарону паслядоўнага злучэння 10GE (сумяшчальную з 1G) з агульнай колькасцю інтэрфейсаў 8*10GE; падтрымлівае 8 партоў маніторынгу 10G SFP+ (акрамя аптычных модуляў). |
| INL-I4HM2H (LM/SM) | Падтрымлівае двухбаковую паслядоўную абарону каналаў 100GE (сумяшчальную з 40GE) з агульнай колькасцю інтэрфейсаў 4*100GE; падтрымлівае 2 парты маніторынгу 100GE QSFP28 (акрамя аптычных модуляў). |
| Модуль МАНІТОРА | |
| MON-M16X | 16 партоў маніторынгу 10GE SFP+ (акрамя аптычных модуляў); |
| MON-M16X-CN98 | 16 партоў маніторынгу 10GE SFP+ (аптычны модуль не ўваходзіць у камплект); абсталяваны пашыраным функцыянальным механізмам, які падтрымлівае пашыраныя функцыі апрацоўкі трафіку, такія як абыход расшыфравання SSL, проксі-сервер SSL і дэдуплікацыя трафіку; |
| ПН-М4Г | 4 парты маніторынгу 100GE QSFP28 (аптычныя модулі не ўваходзяць у камплект); |
| MON-M4H-CN98 | 4 парты маніторынгу 100GE QSFP28 (аптычныя модулі не ўключаны); абсталяваны пашыраным функцыянальным механізмам, які падтрымлівае пашыраныя функцыі апрацоўкі трафіку, такія як абыход расшыфравання SSL, проксі-сервер SSL і дэдуплікацыя трафіку; |
3.2-Правілы выбару модуляў
У залежнасці ад розных абароненых каналаў і патрабаванняў да разгортвання маніторынгавага абсталявання, вы можаце гнутка выбіраць розныя канфігурацыі модуляў у адпаведнасці з рэальнымі патрэбамі вашага асяроддзя; пры выбары, калі ласка, прытрымлівайцеся наступных правілаў:
1) Шасі з'яўляецца абавязковым кампанентам і павінна быць выбрана перад выбарам любых іншых модуляў. Калі ласка, таксама выберыце адпаведны спосаб сілкавання (пераменны/пастаянны ток) у адпаведнасці з вашымі патрэбамі.
2) Прылада падтрымлівае максімум 4 слоты для модуляў; нельга выбраць больш модуляў, чым колькасць слотаў для канфігурацыі. Дзякуючы гнуткай камбінацыі розных мадэляў модуляў, прылада можа падтрымліваць паслядоўную абарону да 16 каналаў 10GE/GE або 8 каналаў 100GE/40GE.
4-Інтэлектуальныя магчымасці апрацоўкі трафіку
4.1-Убудаванае разгортванне
Абарона канкрэтнага трафіку ў тэксце
Гэта падтрымліваеУбудаваны(серыял)рэжым абароны для пэўных тыпаў трафіку ў любымубудаваныспасылка.Toпераадрасоўваць некаторыя тыпы трафіку, указаныя карыстальнікам,убудаваныспасылка наУбудаваны Sбяспекапрылададля апрацоўкі, а астатні трафік перасылаецца непасрэдна, не праходзячы празУбудаваны SбяспекапрыладаУ той жа час,itажыццяўляе маніторынг стану працы ў рэжыме рэальнага часуУбудаваны SбяспекапрыладаПасля выяўлення ненармальнага стану апрацоўкі трафіку,itбудзе аўтаматычна выключаны з шляху перадачы трафіку, каб забяспечыць бесперапыннасць сеткавага абслугоўвання.
Абарона ўсяго трафіку
Гэта падтрымліваеУбудаваны(серыял)рэжым абароны для ўсіх тыпаў трафіку ў любымубудаваныспасылка.Toперадаваць увесь трафік уубудаваныспасылка наУбудаваны Sбяспекапрылададля апрацоўкі і маніторынгу стану працы Inline Securityпрыладау рэжыме рэальнага часу. Пасля выяўлення анамальнага стану апрацоўкі трафіку,itбудзе аўтаматычна выключаны з шляху перадачы трафіку, каб забяспечыць бесперапыннасць сеткавага абслугоўвання.
Баланс нагрузкі
Ён мае інтэлектуальную магчымасць балансавання нагрузкі трафіку. Калі прадукцыйнасць апрацоўкі аднагоУбудаваны Sбяспекапрыладанедастаткова, каб справіцца зубудаванытрафік сувязі, ён можа размеркавацьубудаваныпадключыць трафік да інтэрфейсаў N Monitor, наладзіўшы групу балансавання нагрузкі. У адпаведнасці з інфармацыяй аб MAC-адрасе, IP-адрасе, нумары порта, пратаколе і іншай інфармацыяй,itвыконвае дадатковы вывад балансавання нагрузкі з дапамогай алгарытму хэшавання, кабубудаванытрафік спасылак раўнамерна размеркаваны паміж некалькіміубудаваныбяспекаінструментдля кластарнай апрацоўкі, што эфектыўна паляпшае агульную прадукцыйнасць апрацоўкіубудаваныбяспекаінструментс. Для таго, каб адаптавацца да патрабаванняў сцэнарыяў прымянення з высокай прапускной здольнасцю і вялікім трафікам.
Выяўленне пакетаў сэрцабіцця
Гэта падтрымліваеTxіRxпакеты выяўлення сардэчнага рытму праз узыходзячы і сыходны каналы падлучаныхубудаваныпрылады бяспекі і выяўляеубудаваныя інструментыпрацоўны стан і ці нармальны працэс апрацоўкі трафіку. Двунакіраваны пульспакетмеханізм выяўлення можа больш дакладна адлюстроўваць бягучы працоўны станубудаваныбяспекапрылада, і больш эфектыўна забяспечваць нармальную працу сеткі.
Ён можа наладзіць параметры сэрцабіцця любогаубудаваныпрылада бяспекі, напрыклад, пульсометрTxінтэрвал часу, максімальны час паўторных спроб сэрцабіцця, сэрцабіццеTxкірунак і г.д. Ён можа выяўляць і ацэньваць стан няспраўнасціубудаваныпрылады бяспекі своечасова і рэалізаваць хуткае абыходжанне пераключэння ахоўных каналаў.
Пакеты выяўлення пульса — гэта кадры Ethernet 2-га ўзроўню па змаўчанні. Пры выкарыстанні празрыстага рэжыму моста 2-га ўзроўню (напрыклад, IPS/FW) кадры Ethernet 2-га ўзроўню будуць перасылацца нармальна, без блакіроўкі або страты. У той жа час ён таксама можа падтрымліваць карыстальніцкія пакеты выяўлення пульса Ethernet 2-га, 3-га і 4-га ўзроўняў для адаптацыі да некаторых спецыяльных умоў.убудаваныПрылады бяспекі звычайна не могуць перасылаць звычайныя кадры Ethernet 2-га ўзроўню.
Зыходзячы з вышэйзгаданага механізму, карыстальнікі могуць рэалізаваць эфект выяўлення стану абслугоўвання падлучаных прылад бяспекі, каб больш эфектыўна забяспечваць нармальную працу службаў бяспекі.
Байпаснае пераключэнне
Ён падтрымлівае вельмі нізкі байпаспераключэннезатрымка (<8 мс), і карыстальнікі амаль не адчуваюць уплыву на сетку, калі прылада выконвае абыходпераключэннеАдначасова, спецыфічная для прылады тэхналогія пераключэння каналаў можа гарантаваць, што стан асноўнага канала не будзе парушаны падчас абыходу.пераключэннеГэтая тэхналогія забяспечыць абыходпераключэннебольш бяспечны і не прывядзе да перавылічэння і збліжэння пратаколу тапалогіі 2-га / 3-га ўзроўняў абароненых злучэнняў, каб мінімізаваць уплыў на сетку карыстальніка падчаспераключэнне.
Блакіроўка трафіку
Калі прылада бяспекі выяўляе незаконныя або анамальныя сеансавыя злучэнні ў трафіку і павінна своечасова іх заблакаваць, прылада можа перахапіць любыя пазначаныя пакеты ў ўзыходзячым/спасыльным трафікуубудаваныспасылка на аснове ўмоў фільтра супастаўлення картэжаў для забеспячэння бяспечнай працы сеткавых службаў.
Люстэрка дарожнага руху
Акрамя абароны трафіку ўбудаванай сувязі і прылады бяспекі ўбудаванай сувязі (напрыклад, IPS, WAF), любы люстраны трафік SPAN таксама можа быць выведзены ў сістэму маніторынгу бяспекі SPAN (напрыклад, IDS, APT), каб задаволіць патрабаванні разгортвання маніторынгу дадзеных трафіку SPAN або тэсціравання і праверкі трафіку.
SSL-проксі-сервер
З дапамогай функцыі SSL-проксі зыходны зашыфраваны пакет расшыфроўваецца і адпраўляецца ва ўбудаваную сістэму абароны, а затым расшыфраваныя дадзеныя аднаўляюцца і адпраўляюцца назад на зыходную спасылку, каб перадаць расшыфраваныя дадзеныя ва ўбудаваную сістэму абароны, не ўплываючы на перадачу зашыфраваных дадзеных па зыходнай лініі сувязі карыстальніка, і ажыццяўляць маніторынг і аналіз зашыфраваных дадзеных сістэмай аналізу.
4.2-Разгортванне SPAN
Рэплікацыя сеткавага трафіку
Гэта падтрымліваеУбудаваны(серыял)рэжым абароны для пэўных тыпаў трафіку ў любымубудаваныспасылка.Toпераадрасоўваць некаторыя тыпы трафіку, указаныя карыстальнікам,убудаваныспасылка наУбудаваны Sбяспекапрылададля апрацоўкі, а астатні трафік перасылаецца непасрэдна, не праходзячы празУбудаваны SбяспекапрыладаУ той жа час,itажыццяўляе маніторынг стану працы ў рэжыме рэальнага часуУбудаваны SбяспекапрыладаПасля выяўлення ненармальнага стану апрацоўкі трафіку,itбудзе аўтаматычна выключаны з шляху перадачы трафіку, каб забяспечыць бесперапыннасць сеткавага абслугоўвання.
Агрэгацыя сеткавага трафіку
Арыгінальны ўваходны трафік і папярэдне апрацаваны трафік могуць быць скапіяваны ў сігнал N-канальнага канала ў адпаведнасці з сігналам 1-канальнага канала або скапіяваны ў сігнал M-канальнага канала пасля агрэгацыі сігналаў N-канальнага канала пры перасылцы на хуткасці лініі GE, 10GE, 40G і 100G, што ідэальна вырашае патрэбы разгортвання ў сетцы больш за дзве шматпортавыя прылады абыходу праслухоўвання адначасова.
Размеркаванне/перасылка дадзеных
Дакладна класіфікаваў уваходныя метададзеныя і адкідаў або перасылаў розныя службы дадзеных на некалькі выхадаў інтэрфейсу ў адпаведнасці з загадзя вызначанымі правіламі карыстальніка.
Фільтрацыя пакетных дадзеных
Уваходныя дадзеныярухможна дакладна класіфікаваць, а розныя службы перадачы дадзеных можна ўносіць у белы або чорны спіс правілаў, а некалькі выхадных інтэрфейсаў можна адкідаць або перасылаць. Ён падтрымлівае гнуткае камбінаванне на аснове тыпу Ethernet, тэга VLAN, пяцікортэжа IP-адрасоў,ТСРідэнтыфікатар, характарыстыкі пакетаў і іншыя элементы для далейшага задавальнення патрабаванняў да разгортвання рознага абсталявання сеткавай бяспекі, аналізу пратаколаў, аналізу сігналізацыі і іншых відаў маніторынгу трафіку.
Баланс нагрузкі
Балансаванне нагрузкі дадатковага алгарытму хэшавання можа выконвацца ў адпаведнасці з характарыстыкамі ўнутранага і знешняга ўзроўняў L2-L4, каб забяспечыць цэласнасць сесіі патоку дадзеных, атрыманагаІСПАНпрылада маніторынгу. Пры змене стану злучэння ўдзельнікі групы разгрузачных партоў могуць гнутка выходзіць (злучэнне DOWN) або далучацца (злучэнне UP), і група разгрузкі можа аўтаматычна пераразмяркоўваць трафік, каб забяспечыць дынамічную балансіроўку нагрузкі выходнага трафіку порта.
VLAN з тэгам
VLAN без тэга
VLAN заменена
Падтрымліваецца супадзенне любога ключавога поля ў першых 128 байтах пакета. Карыстальнік можа наладзіць значэнне зрушэння, даўжыню і змест ключавога поля, а таксама вызначыць палітыку вываду трафіку ў адпаведнасці з канфігурацыяй карыстальніка.
Часовая метка
Падтрымана сінхранізаваць NTP-сервер для карэкцыі часу і запісваць паведамленне ў пакет у выглядзе адноснай часовай меткі з адзнакай часу ў канцы кадра з дакладнасцю да нанасекунд
Зняцце інкапсуляцыі тунэляў
Падтрымліваліся загалоўкі VxLAN, VLAN, GRE, GTP, MPLS, IPIP, якія выдаляліся з зыходнага пакета дадзеных і перасылаліся на вывад.
Нарэзка дадзеных/пакетаў
Гэта падтрымліваепакетны фрагментАпрацоўка зыходных дадзеных на аснове ўваходнага інтэрфейсу трафіку і выходнага інтэрфейсу на ўзроўні палітыкі (64, 96, 128, 160, 192, 224, 256, 288, 320, 384, 512, 640, 768, 896, 960 байтаў неабавязковыя), а палітыка вываду трафіку можа быць рэалізавана ў адпаведнасці з канфігурацыяй карыстальніка.
Ідэнтыфікацыя пратакола тунэлявання
Падтрымліваецца аўтаматычная ідэнтыфікацыя розных тунэльных пратаколаў, такіх як GTP / GRE / VxLAN / PPTP / L2TP / PPPOE / IPIP. У залежнасці ад канфігурацыі карыстальніка, стратэгія вываду трафіку можа быць рэалізавана ў адпаведнасці з унутраным або знешнім узроўнем тунэля.
Прыярытэт перасылкі пакетаў
Ён падтрымлівае вызначэнне прыярытэту пакетаў дадзеных у залежнасці ад важнасці паслугі на ўваходным порце, і пакеты з высокім прыярытэтам перасылаюцца прыярытэтна на выхадзе. Пасля перасылкі пакетаў з высокім прыярытэтам перасылаюцца іншыя пакеты са сярэднім і нізкім прыярытэтам. Пазбягайце трывогі сістэмы аналізу, выкліканай прапускам важных пакетаў дадзеных.
Незвычайная трывога
Ён падтрымлівае маніторынг сігналаў трывогі ў рэжыме рэальнага часу і гістарычныя запісы сігналаў трывогі аб тэндэнцыях трафіку інтэрфейсу на аснове ўсталяваных парогаў. Ён падтрымлівае маніторынг сігналаў трывогі ў рэжыме рэальнага часу і гістарычныя запісы сігналаў трывогі на аснове стану абсталявання прылады (працэсар, памяць, тэмпература, вентылятар, блок харчавання і г.д.).
Гарачае рэзервовае капіраванне інтэрфейсу
Ён падтрымлівае канфігурацыю ўваходнага інтэрфейсу 1+1 (першасны/рэзервны), канфігурацыю выходнага інтэрфейсу 1+1 (першасны/рэзервны) і групу балансавання нагрузкі N+1 (першасны/рэзервны) для дасягнення высокай надзейнасці ў працэсе перадачы трафіку ад уваходу да вываду.
Вымярэнне мікраўсплёскаў трафіку
Ён можа вызначаць час узнікнення, працягласць і частату мікраімпульсаў трафіку ў рэжыме рэальнага часу, а таксама забяспечваць захаванне гістарычных запісаў вымярэнняў, што забяспечвае колькасныя і назіральныя сродкі і аснову для ліквідацыі непаладак падчас эксплуатацыі і тэхнічнага абслугоўвання, а таксама выяўлення страты пакетаў.
Абарона ад ваганняў інтэрфейсу
Ён падтрымлівае выяўленне і абарону ад ваганняў узняцця/адключэння злучэння любога інтэрфейса, каб пазбегнуць страты ўваходнага і выходнага трафіку, выкліканай частым узняццем/адключэннем злучэнняў інтэрфейсаў, і палепшыць стабільнасць збору і пераадрасацыі трафіку.
Вывад тунэльнай інкапсуляцыі
Ён падтрымлівае інкапсуляцыю тунэляў тыпаў ERSPAN2, GRE, VXLAN, NVGRE для задавальнення патрабаванняў прыкладання да перадачы сабранага трафіку ў сістэму дыстанцыйнага аналізу.
Завяршэнне тунэльных пакетаў
Ён падтрымлівае функцыю завяршэння тунэльных паведамленняў. Гэтая функцыя дазваляе наладжваць IP-адрасы/маску і MAC-адрасы на ўваходным порце трафіку. Гэта дазваляе непасрэдна перадаваць трафік, які неабходна сабраць у сетцы карыстальніка, праз метады інкапсуляцыі тунэля, такія як GRE, GTP і VXLAN, на порт збору прылады.
Расшыфроўка SPAN SSL
Падтрымліваецца загрузка адпаведнай расшыфроўкі SSL-сертыфіката. Пасля расшыфроўкі зашыфраваных HTTPS дадзеных для пазначанага трафіку, яны будуць перададзены ў бэкэнд-сістэмы маніторынгу і аналізу па меры неабходнасці. Падтрымліваюцца TLS1.0, TLS1.2 і SSL3.0.
Дэдуплікацыя дадзеных/пакетаў
Падтрымліваецца статыстычная дэталізацыя на аснове партоў або палітык для параўнання некалькіх крыніц збору дадзеных і паўтораў аднаго і таго ж пакета дадзеных у пэўны час. Карыстальнікі могуць выбіраць розныя ідэнтыфікатары пакетаў (dst.ip, src.port, dst.port, tcp.seq, tcp.ack, dst.mac, src.mac, vlan.id).
Маскіроўка даты
Падтрымліваецца грануляцыя на аснове палітык для замены любога ключавога поля ў неапрацаваных дадзеных з мэтай абароны канфідэнцыйнай інфармацыі. Палітыка вываду трафіку можа быць рэалізавана ў адпаведнасці з канфігурацыяй карыстальніка.
Ідэнтыфікацыя пратакола ўзроўню прыкладання
Ён падтрымлівае ідэнтыфікацыю, вывад і адхіленне пратаколаў прыкладнога ўзроўню на аснове рэжыму супастаўлення DNS/URL. Бібліятэка функцый DPI можа быць інтэгравана для распазнавання, вываду і адхілення не менш за 1800 відаў функцый прыкладных пратаколаў (такіх як аўдыё і відэа, гульні, імгненныя паведамленні, базы дадзеных, электронная пошта, P2P і г.д.), а бібліятэку функцый DPI можна абнаўляць і мадэрнізаваць. Пры наяўнасці спецыяльных патрэб можа быць праведзена другасная распрацоўка.
Вызначаная карыстальнікам дэкапсуляцыя пакетаў
Ён падтрымлівае функцыю самавызначанай дэкапсуляцыі пакетаў, якая можа выдаліць палі і змесціва інкапсуляцыі ў любой пазіцыі першых 128 байтаў пакета і вывесці яго.
Фарміраванне трафіку
Адначасова ў выходным інтэрфейсе выкарыстоўваецца тэхналогія фарміравання трафіку для плаўнай перадачы патоку дадзеных у інструмент аналізу, што кардынальна вырашае праблему страты пакетаў, выкліканую мікраімпульсам, і прадухіляе анамальную трывогу, выкліканую стратай трафіку ў сістэме аналізу.
Пакетнае супадзенне ключавых слоў
Пасля таго, як любое поле ў карыснай частцы пакета супастаўляецца і сустракаецца, звязаны пакет або паток сесіі перасылаецца і выводзіцца або адкідаецца для задавальнення патрабаванняў папярэдняй апрацоўкі канкрэтных дадзеных трафіку.
Зняцце інкапсуляцыі тунэляў
Ён падтрымлівае вывад загалоўкаў VXLAN, MPLS, GRE, SRV6, FABRICPATCH, GENEVE і іншых пакетаў у зыходным пакеце дадзеных пасля выдалення.
Разгрузка доўгачасовага злучэння
У адпаведнасці з патрэбамі карыстальніка, любы паток сесіі можа быць пераадрасаваны і выведзены ў залежнасці ад колькасці перададзеных байтаў і колькасці перададзеных пакетаў, а наступны паток сесіі можа быць адкінуты, каб задаволіць патрабаванні сістэмы аналізу ў некаторых канкрэтных сцэнарыях, якой трэба атрымаць толькі частку трафіку патоку сесіі, знізіць ціск аналізу трафіку і павысіць эфектыўнасць сістэмы аналізу.
Статыстычны аналіз трафіку
Ён падтрымлівае статыстыку кампанентаў любога ўваходнага інтэрфейснага трафіку і можа адлюстроўваць яго тэндэнцыю памеру трафіку, памер/долю трафіку TOPN IP-адраса, памер/долю трафіку TOPN катэгорыі пратаколу прыкладання, памер/долю трафіку TOPN назвы пратаколу прыкладання і інфармацыю аб сеансе трафіку ў выглядзе дыяграм у рэжыме рэальнага часу, а таксама забяспечвае экспарт статыстычных вынікаў у лакальныя файлы. Такім чынам, карыстальнікі могуць больш выразна зразумець структуру любога сабранага трафіку і забяспечыць найбольш непасрэдную базу падтрымкі дадзеных для налады стратэгій трафіку і змены бізнес-патрабаванняў.
Бачнасць трафіку - базавы аналіз дадзеных
Базавы модуль аналізу функцыі выяўлення візуалізацыі трафіку можа паказваць асноўную інфармацыю аб захопленых мэтавых дадзеных трафіку, такую як колькасць пакетаў, размеркаванне аднаадресных/шматадресных/вяшчальных пакетаў, нумар сеанса падключэння, размеркаванне пратаколаў пакетаў і памер захопленага трафіку.
Бачнасць трафіку - глыбокі аналіз DPI
Модуль глыбокага аналізу DPI функцыі выяўлення бачнасці трафіку можа праводзіць паглыблены аналіз атрыманых мэтавых дадзеных аб трафіку з розных пунктаў гледжання і прадстаўляць падрабязную статыстыку ў выглядзе графікаў і табліц.
Бачнасць трафіку - аналіз прапорцыі трафіку
● Аналіз прапорцый пратаколаў транспартнага ўзроўню: напрыклад, TCP, UDP, ICMP, IGMP, ARP і іншых, прапорцый пакетаў і статыстыкі трафіку, а таксама адлюстраванне кругавой дыяграмы
● Аналіз прапорцыі IP-трафіку: напрыклад, статыстыка трафіку, згенераваная па розных IP-адрасах, рэйтынг трафіку TOP N на аснове IP-адрасоў і адлюстраванне слупковай дыяграмы
● Аналіз прапорцый прыкладанняў DPI: напрыклад, HTTP, QQ, FTP і іншыя пратаколы прыкладанняў, колькасць байтаў, статыстычнае размеркаванне трафіку сувязі і адлюстраванне кругавой дыяграмы
Бачнасць трафіку - аналіз храналогіі трафіку
У адпаведнасці з рознымі ўмовамі фільтрацыі, такімі як IP-адрас, порт, пратакол транспартнага ўзроўню, пратакол прыкладнога ўзроўню і іншы зададзены кантэнт, бягучыя дадзеныя трафіку захопу мэты могуць быць прааналізаваны і прадстаўлены на аснове часу выбаркі, а памер і тэндэнцыю трафіку можна запытаць, перамяшчаючы паўзунок часу і маштабуючы статыстычную дэталізацыю, прычым дакладнасць можа дасягаць 1 мілісекунды.
Бачнасць трафіку - аналіз табліцы патоку
У адпаведнасці з рознымі ўмовамі фільтрацыі, такімі як ідэнтыфікатар патоку, IP-адрас, порт, пратакол транспартнага ўзроўню, пратакол прыкладнога ўзроўню і іншы зададзены кантэнт, бягучыя дадзеныя аб трафіку, захопленым мэтавым аб'ектам, могуць быць прааналізаваны і падлічаны на аснове рэжыму патоку сесіі, гэта значыць падрабязнага прадстаўлення інфармацыі аб патоку сесіі, уключаючы інфармацыю аб пяці кортэжах кожнага патоку, тып праграмы-пераносчыка, колькасць і байты пераданых пакетаў і звязаны паток дадзеных. Акрамя таго, на аснове вышэйпаказанай інфармацыі адлюстраваны рэйтынг. На падставе гэтай інфармацыі карыстальнікі могуць лёгка выбраць патрэбныя ім тыпы трафіку, што забяспечвае найбольш непасрэдную аснову для распрацоўкі палітык пераадрасацыі трафіку.
Бачнасць трафіку - аналіз пакетаў
На падставе розных крытэрыяў фільтрацыі, такіх як ідэнтыфікатар пакета, IP-адрас, порт, пратакол транспартнага ўзроўню, пратакол прыкладнога ўзроўню і іншы зададзены кантэнт, атрыманыя дадзеныя мэтавага трафіку могуць быць прадстаўлены з аналізам на ўзроўні кожнага пакета, у тым ліку:
● Аналіз часовай меткі збору пакетаў
● Аналіз ключавой інфармацыі аб пакетах, напрыклад, sip, dip, smac, dmac, пратакол, сцяг, TTL, даўжыня паведамлення, ключавыя падзеі
● Аналіз шляху перадачы пакетаў і анімацыйнае адлюстраванне, напрыклад: час перасылкі, затрымка перасылкі, тып перасылкі (маршрутызацыя, камутацыя, брандмаўэр, балансаванне нагрузкі, NAT)
● Зводка інфармацыі пра пакет і падрабязнае адлюстраванне структуры
● Аналіз колькасці паўторных збораў пакетаў
Бачнасць руху — дакладны аналіз няспраўнасцей
Модуль аналізу няспраўнасцей функцыі выяўлення бачнасці дарожнага руху можа забяспечваць рознае пазіцыянаванне візуальнага аналізу няспраўнасцей для захопленых мэтавых дадзеных дарожнага руху, у тым ліку:
● Агляд анамальных падзей, напрыклад: вынікі аналізу сеткавых паслуг, вынікі аналізу анамальных падзей, сеткавы працэс на аснове аналізу паводзін (напрыклад, колькасць маршрутызацыйных прылад, прылад NAT, прылад брандмаўэра, прылад балансавання нагрузкі, якія перадаюцца пры перадачы пакетаў)
● Аналіз збояў на ўзроўні табліцы патокаў, напрыклад, тыпы анамальных падзей (злучэнне адхілена/злучэнне не адказвае/злучэнне не перадаецца/злучэнне напалову адкрыта/маршрут сеансу недаступны і г.д.), ● Аналіз збояў на ўзроўні пакетаў, напрыклад: тып анамальнай падзеі (памылка кантрольнай сумы пакета /TTL 0/ памылка недаступнасці / памылка кантрольнай сумы FCS і г.д.), падрабязнае апісанне анамальнай інфармацыі і падрабязнасці звязанага патоку дадзеных
● Аналіз памылак бяспекі, такіх як: тып анамальнай падзеі (DDOS-атака/блакіроўка брандмаўэра/ARP-атака/UDP-перагрузка/SYN-перагрузка і г.д.), падрабязнае апісанне анамальнай інфармацыі і падрабязнасці звязанага з ёй патоку дадзеных
● Аналіз няспраўнасцей сеткі, напрыклад: тып анамальнай падзеі (пятля камутацыі/пятля маршрутызацыі/недаступнасць шляху/перапыненне злучэння і г.д.), падрабязнае апісанне анамальнай інфармацыі і падрабязнасці звязанага з ёй патоку дадзеных
5-Mylinking™ Network Packet Broker плюс спецыфікацыі ўбудаванага байпаснага камутатара
| ML-Абыход-M2000 год Брокер сеткавых пакетаў Mylinking™ плюс убудаваны байпасны камутатар Функцыянальныя характарыстыкі | ||||
| Сеткавы інтэрфейс | Слот для модуля | 4 слоты для модуляў BYPASS або MONITOR | ||
| Колькасць убудаваных спасылак | Падтрымлівае абарону да 16 аптычных ліній сувязі 1G/10G або 8 аптычных ліній сувязі 40G/100G. | |||
| Інтэрфейс маніторынгу манітора | Падтрымлівае максімум 64 інтэрфейсаў маніторынгу 1G/10GE або 16 інтэрфейсаў маніторынгу 40G/100G. | |||
| Інтэрфейс кіравання па-за паласой | 1 порт Ethernet 10/100/1000 Мбіт/с; | |||
| Рэжым разгортвання | Убудаванае разгортванне | Падтрымка | ||
| Разгортванне SPAN | Падтрымка | |||
| Сістэмныя функцыі | Рэжым убудаванага разгортвання | Абарона ад спецыфічнай канкатэнацыі патокаў | Падтрымка | |
| Абарона ўсіх серый Flow | Падтрымка | |||
| Балансаванне нагрузкі | Падтрымка | |||
| Выяўленне сардэчнага рытму | Падтрымка | |||
| Пераключэнне байпаса | Падтрымка | |||
| Блакіроўка руху | Падтрымка | |||
| Адлюстраванне трафіку | Падтрымка | |||
| SSL-проксі-сервер | Падтрымка | |||
| Рэжым разгортвання SPAN | Базавая апрацоўка трафіку | Рэплікацыя/агрэгацыя/размеркаванне трафіку | Падтрымка | |
| Балансаванне нагрузкі | Падтрымка | |||
| Фільтрацыя трафіку на аснове ідэнтыфікатара 5-кортэжнага IP-адраса/пратакола/порта | Падтрымка | |||
| Маркіроўка/мадыфікацыя/выдаленне VLAN | Падтрымка | |||
| Часавыя меткі | Падтрымка | |||
| Зняцце інкапсуляцыі тунэляў | Падтрымка | |||
| Зрэз дадзеных | Падтрымка | |||
| Ідэнтыфікацыя пратаколу тунэлявання | Падтрымка | |||
| Прыярытэт перасылкі пакетаў | Падтрымка | |||
| Папярэджанне аб незвычайным стане | Падтрымка | |||
| Гарачы рэзерв інтэрфейсу | Падтрымка | |||
| Вымярэнне мікраімпульсаў | Падтрымка | |||
| Абарона ад ваганняў інтэрфейсу | Падтрымка | |||
| Вывад тунэльнай інкапсуляцыі | Падтрымка | |||
| Завяршэнне тунэльных пакетаў | Падтрымка | |||
| Пашыраная апрацоўка трафіку | Абыйсці расшыфроўку SSL | Падтрымка | ||
| Дэдуплікацыя дадзеных | Падтрымка | |||
| Маскіроўка дадзеных | Падтрымка | |||
| Ідэнтыфікацыя пратакола прыкладнога ўзроўню | Падтрымка | |||
| Карыстальніцкая дэкапсуляцыя | Падтрымка | |||
| Фарміраванне патоку | Падтрымка | |||
| Супадзенне ключавых слоў | Падтрымка | |||
| Зняцце інкапсуляцыі тунэляў | Падтрымка | |||
| Разгрузка доўгачасовага злучэння | Падтрымка | |||
| Назіранне кампанентаў патоку | Падтрымка | |||
| Дыягностыка і маніторынг | Маніторынг у рэжыме рэальнага часу | Падтрымка | ||
| Запыт па гісторыі трафіку | Падтрымка | |||
| Захоп трафіку | Падтрымка | |||
| Выяўленне візуалізацыі трафіку | Фундаментальны аналіз | Падтрымлівае зводнае статыстычнае адлюстраванне на аснове базавай інфармацыі, такой як колькасць пакетаў, размеркаванне тыпаў пакетаў, колькасць сесійных падключэнняў і размеркаванне пратаколаў пакетаў. | ||
| Паглыблены аналіз DPI | Ён падтрымлівае аналіз долі пратаколаў транспартнага ўзроўню, долі аднаадреснай, шырокавяшчальнай і шматадреснай рассылкі, долі IP-трафіку і долі прыкладанняў DPI. Ён падтрымлівае аналіз і прадстаўленне зместу дадзеных на аснове часу выбаркі і аб'ёму дадзеных. Ён падтрымлівае аналіз дадзеных і статыстыку на аснове патокаў сесій. | |||
| Дакладны аналіз няспраўнасцей | Падтрымлівае аналіз і лакалізацыю памылак з выкарыстаннем дадзеных трафіку з розных пунктаў гледжання, у тым ліку: аналіз паводзін перадачы пакетаў, аналіз памылак на ўзроўні патоку дадзеных, аналіз памылак на ўзроўні пакетаў дадзеных, аналіз памылак, звязаных з бяспекай, і аналіз памылак, звязаных з сеткай. | |||
| Магутнасць перапрацоўкі | 2,4 Тбіт/с | |||
| Кіраваць | Кіраванне сеткай CONSOLE | Падтрымка | ||
| Кіраванне IP/WEB-сеткамі | Падтрымка | |||
| Кіраванне сеткай SNMP | Падтрымка | |||
| Кіраванне сеткай TELNET/SSH | Падтрымка | |||
| Пратакол SYSLOG | Падтрымка | |||
| Цэнтралізаваная аўтарызацыя і аўтэнтыфікацыя RADIUS або TADACS+ | Падтрымка | |||
| Функцыя аўтэнтыфікацыі карыстальніка | Аўтэнтыфікацыя па імені карыстальніка і паролі | |||
| Электрычны | Намінальнае напружанне крыніцы харчавання | AC-220V/DC-48V [Дадаткова] | ||
| Намінальная частата магутнасці | AC-50HZ | |||
| Намінальны ўваходны ток | AC-3A / DC-10A | |||
| Намінальная функцыянальная магутнасць | Максімум 300 Вт | |||
| Навакольнае асяроддзе | Працоўная тэмпература | 0—50℃ | ||
| Тэмпература захоўвання | -20-70℃ | |||
| Працоўная вільготнасць | 10%-95%, без кандэнсацыі | |||
| Канфігурацыя карыстальніка | Канфігурацыя кансолі | Інтэрфейс RS232, 115200, 8, N, 1 | ||
| Аўтэнтыфікацыя па паролі | Sпадтрымка | |||
| Памер стойкі | Прастора ў стойцы (U) | 2U 444 мм * 88 мм * 670 мм | ||
6-Mylinking™ Network Packet Broker плюс Inline Bypass Switch Application
6.1TheRрызыкаРадковы SбяспекаEабсталяванне (IPS / FW)
Ніжэй прыведзены тыповы рэжым разгортвання IPS (сістэмы прадухілення ўварванняў) і FW (брандмаўэра). IPS/FW разгортваюцца паслядоўна на сеткавым абсталяванні (маршрутызатарах, камутатарах і г.д.) паміж трафікам шляхам рэалізацыі праверак бяспекі. У адпаведнасці з адпаведнай палітыкай бяспекі вызначаецца вызваленне або блакіроўка адпаведнага трафіку для дасягнення эфекту абароны.
Ніжэй прыведзены тыповы рэжым разгортвання IPS (сістэмы прадухілення ўварванняў) і FW (брандмаўэра). IPS/FW разгортваюцца паслядоўна на сеткавым абсталяванні (маршрутызатарах, камутатарах і г.д.) паміж трафікам шляхам рэалізацыі праверак бяспекі. У адпаведнасці з адпаведнай палітыкай бяспекі вызначаецца вызваленне або блакіроўка адпаведнага трафіку для дасягнення эфекту абароны.
6.2 Абарона абсталявання серыі Inline Link
Mylinking™ Network Packet Broker плюс Inline Bypass Switch разгортваюцца паслядоўна паміж сеткавымі прыладамі (маршрутызатарамі, камутатарамі і г.д.), і паток дадзеных паміж сеткавымі прыладамі больш не вядзе непасрэдна да IPS/FW. "Smart Inline Bypass Switch" пераключаецца паміж IPS/FW. Калі IPS/FW збіваецца з-за перагрузкі, збою, абнаўлення праграмнага забеспячэння, абнаўлення палітыкі і іншых абставін, "Smart Inline Bypass Switch" дзякуючы інтэлектуальнай функцыі выяўлення паведамленняў heartbeat своечасова выяўляе няспраўныя прылады і, такім чынам, прапускае іх, не перарываючы працу сеткі. Хуткае падключэнне сеткавага абсталявання непасрэдна абараняе нармальную сетку сувязі. Пры аднаўленні пасля збою IPS/FW, а таксама дзякуючы інтэлектуальнаму выяўленню пакетаў heartbeat своечасова выяўляецца зыходная сувязь для аднаўлення бяспекі карпаратыўнай сеткі.
Mylinking™ Network Packet Broker plus Inline Bypass Switch мае магутную інтэлектуальную функцыю выяўлення паведамленняў пра пульсацыю. Карыстальнік можа наладзіць інтэрвал пульса і максімальную колькасць спроб праз карыстальніцкае паведамленне пра пульсацыю на IPS/FW для праверкі спраўнасці, напрыклад, адправіць паведамленне пра праверку пульса на порт вышэйшага/нізшага патоку IPS/FW, а затым атрымаць яго з порта вышэйшага/нізшага патоку IPS/FW і ацаніць, ці працуе IPS/FW нармальна, адпраўляючы і атрымліваючы паведамленне пра пульсацыю.
6.3 Убудаваны паток палітыкі «SpecFlow»БяспекаСерыйная абарона
Калі прылада бяспекі сеткі павінна апрацоўваць толькі пэўны трафік у паслядоўнай абароне бяспекі, праз функцыю апрацоўкі трафіку Mylinking™ Network Packet Broker плюс Inline Bypass Switch, праз палітыку праверкі трафіку для падключэння ўбудаванай прылады бяспекі, "праблемны" трафік адпраўляецца непасрэдна назад у сеткавае злучэнне, і "праблемны ўчастак трафіку" перадаецца ўбудаванай прыладзе бяспекі для правядзення праверак бяспекі. Гэта не толькі падтрымлівае нармальнае прымяненне функцыі выяўлення бяспекі прылады бяспекі, але і зніжае неэфектыўны паток абсталявання бяспекі для барацьбы з ціскам; у той жа час "Smart Inline Bypass Switch" можа выяўляць працоўны стан прылады бяспекі ў рэжыме рэальнага часу. Прылада бяспекі працуе ненармальна, абыходзячы трафік дадзеных непасрэдна, каб пазбегнуць перапынення сеткавага абслугоўвання.
Брокер сеткавых пакетаў Mylinking™ з убудаваным абыходным камутатарам можа ідэнтыфікаваць трафік на аснове ідэнтыфікатара загалоўкаў узроўняў L2-L4, напрыклад, тэга VLAN, MAC-адраса крыніцы/прызначэння, IP-адраса крыніцы, тыпу IP-пакета, порта пратакола транспартнага ўзроўню, тэга ключа загалоўка пратакола і г.д. Розныя гнуткія камбінацыі ўмоў супадзення могуць быць вызначаны для вызначэння канкрэтных тыпаў трафіку, якія цікавяць канкрэтную прыладу бяспекі, і могуць шырока выкарыстоўвацца для разгортвання спецыяльных прылад аўдыту бяспекі (RDP, SSH, аўдыт баз дадзеных і г.д.).
6.4Lзбалансаваны нагрузкаУбудаваная бяспекаСерыйная абарона
Брокер сеткавых пакетаў Mylinking™ з убудаваным байпасным камутатарам разгортваецца паслядоўна паміж сеткавымі прыладамі (маршрутызатарамі, камутатарамі і г.д.). Калі прадукцыйнасць апрацоўкі аднаго IPS/FW недастатковая для спраўлення з пікавым трафікам сеткавага канала, функцыя балансавання нагрузкі трафіку абаронцы, «аб'яднанне» некалькіх кластараў IPS/FW, якія апрацоўваюць трафік сеткавага канала, можа эфектыўна знізіць нагрузку на апрацоўку аднаго IPS/FW і палепшыць агульную прадукцыйнасць апрацоўкі для задавальнення патрабаванняў высокага прапускнога патэнцыялу асяроддзя разгортвання.
Mylinking™ Network Packet Broker плюс Inline Bypass Switch мае магутную функцыю балансавання нагрузкі, якая ў адпаведнасці з тэгам VLAN кадра, інфармацыяй аб MAC, інфармацыі аб IP, нумары порта, пратаколе і іншай інфармацыяй аб размеркаванні хэш-трафіку балансуе нагрузку, каб гарантаваць цэласнасць сесіі патоку дадзеных, атрыманага кожным IPS / FW.
6.5ШматсерыйныУбудаванае абсталяванне FнізкіTрэакцыяPабарона(ЗмяніцьФізічнаеПаслядоўнае падключэнне даЛагічныПаралельнае падключэнне)
У некаторых ключавых звёнах (напрыклад, у інтэрнэт-крамах, каналах абмену серверамі) месцазнаходжанне часта абумоўлена патрэбамі ў функцыях бяспекі і разгортваннем некалькіх убудаваных абсталявання для тэставання бяспекі (напрыклад, брандмаўэраў, сродкаў абароны ад DDoS-атак, брандмаўэраў вэб-прыкладанняў, сродкаў прадухілення ўварванняў і г.д.), некалькі абсталявання для выяўлення бяспекі, падключаных адначасова паслядоўна на адным злучальным канале, павялічваюць колькасць адзінай кропкі адмовы ў канале і зніжаюць агульную надзейнасць сеткі. А ў вышэйзгаданых аперацыях разгортванне абсталявання бяспекі ў рэжыме анлайн, мадэрнізацыя абсталявання, замена абсталявання і іншыя аперацыі прывядуць да працяглых перапынкаў у абслугоўванні сеткі і больш маштабных скарачэнняў праектаў для паспяховага завяршэння такіх праектаў.
Дзякуючы ўніфікаванаму разгортванню Mylinking™ Network Packet Broker плюс Inline Bypass Switch, рэжым разгортвання некалькіх прылад бяспекі, падлучаных паслядоўна на адной лініі сувязі, можна змяніць з «Рэжым фізічнага паслядоўнага падключэння» на «Рэжым фізічнага паралельнага падключэння, але лагічнага паслядоўнага падключэння». Гэта эфектыўна памяншае колькасць крыніц адзінай кропкі адмовы на паслядоўнай лініі сувязі і павышае яе надзейнасць. Адначасова Mylinking™ Network Packet Broker плюс Inline Bypass Switch можа кіраваць трафікам лініі сувязі па патрабаванні, дасягаючы таго ж эфекту апрацоўкі бяспекі трафіку, што і ў зыходным рэжыме паслядоўнага падключэння.
Схема паслядоўнага разгортвання больш чым адной прылады Inline Security адначасова:
Схема разгортвання брокера сеткавых пакетаў Mylinking™ і ўбудаванага байпаснага камутатара:
(Змяніць фізічнае паслядоўнае падключэнне на лагічнае паралельнае падключэнне)
6.6Зыходзячы зDдынамічная палітыкаTУбудаваны трафікSбяспекаDвыбарPабарона
Mylinking™ Network Packet Broker plus Inline Bypass Switch — яшчэ адзін пашыраны сцэнар прымянення, заснаваны на дынамічнай палітыцы прыкладанняў для выяўлення і абароны ад трафіку, разгортванне якога паказана ніжэй:
Возьмем, напрыклад, абсталяванне для тэсціравання бяспекі "Абарона ад DDoS-атак і выяўленне", якое разгортвае пярэдні канец "Smart Bypass Switch", а затым абсталяванне абароны ад DDoS-атак, падключанае да "Smart Bypass Switch". У звычайным "Smart Bypass Switch" поўны аб'ём трафіку перасылаецца на хуткасць правадоў, адначасова люстрана выводзячы паток на "Прыладу абароны ад DDoS-атак". Пасля выяўлення IP-адраса сервера (або сегмента IP-сеткі) пасля атакі "Прылада абароны ад DDoS-атак" генеруе правілы супастаўлення мэтавага патоку трафіку і адпраўляе іх на "Smart Bypass Switch" праз інтэрфейс дынамічнай дастаўкі палітык. "Bypass Switch" можа абнаўляць "дынаміку трафіку" пасля атрымання пула правілаў дынамічнай палітыкі і неадкладна "правіла" трапляе ў "трафік сервера атакі" на абсталяванне "Абарона ад DDoS-атак і выяўленне" для апрацоўкі, каб быць эфектыўным пасля патоку атакі, а затым зноў уводзіцца ў сетку.
Схема прымянення, заснаваная на "Smart Bypass Switch", прасцей рэалізаваць, чым традыцыйную ўвядзенне маршруту BGP або іншую схему прыцягнення трафіку, прычым асяроддзе менш залежыць ад сеткі, а надзейнасць вышэйшая.
«Smart Bypass Switch» мае наступныя характарыстыкі для падтрымкі дынамічнай абароны ад выяўлення палітыкі бяспекі:
1. "Smart Bypass Switch" для забеспячэння па-за правіламі на аснове інтэрфейсу WEBSERIVCE, лёгкай інтэграцыі са староннімі прыладамі бяспекі.
2. «Інтэлектуальны абыходны камутатар» на аснове апаратнага чыпа ASIC, які перасылае пакеты па правадной хуткасці да 100 Гбіт/с без блакавання перасылкі камутатара, і «бібліятэка дынамічных правілаў цягі трафіку» незалежна ад колькасці.
3. Убудаваная прафесійная функцыя BYPASS "Smart Bypass Switch" дазваляе неадкладна абыйсці зыходны паслядоўны порт, нават калі сам абаронца выйдзе з ладу, не ўплываючы на зыходны канал нармальнай сувязі.
6.7Убудаванае люстраванне паслядоўнага трафікудля пазапалоснай бяспекі (убудаваны + SPAN)
Брокер сеткавых пакетаў Mylinking™ з убудаваным абыходным камутатарам звычайна разгортваецца ў ІТ-сетцы кліента або сетцы воблачнай платформы для забеспячэння ўбудаванай абароны прылад WAF/IPS і зыходнага канала сувязі. Карыстальнікі таксама могуць мець дадатковыя патрабаванні да тэсціравання, праверкі або разгортвання прылад маніторынгу абыходу, што патрабуе атрымання дадзеных аб трафіку па гэтым канале сувязі.
Такім чынам, выкарыстоўваючы функцыю люстранога адлюстравання трафіку Mylinking™ Network Packet Broker plus Inline Bypass Switch, трафік убудаванага паслядоўнага злучэння можа быць адлюстроўваны з порта манітора, як паказана на наступным малюнку:
На дыяграме ніжэй паказаны пашыраны сцэнар прымянення ўбудаванага трафіку каналаў і трафіку люстраных партоў камутатара. Гэта дазваляе абараняць трафік убудаваных каналаў без уплыву трафіку люстраных партоў камутатара. Сістэма аналізу IDS можа адначасова атрымліваць як трафік убудаваных каналаў, так і трафік люстраных партоў камутатара. Метад разгортвання паказаны на дыяграме ніжэй:
6.8Дэдуплікацыя дадзеных/пакетаўПрыкладанне
Як паказана ў структуры разгортвання прыкладання вышэй, для забеспячэння цэласнасці першапачатковага збору дадзеных па ўсёй лініі сувязі некаторыя аднолькавыя пакеты дадзеных могуць збірацца некалькі разоў на адным шляху. Гэта прыводзіць да павелічэння колькасці ілжывых спрацоўванняў і паўторных перадач у бэкэнд-сістэме, павялічваючы нагрузку на прадукцыйнасць сістэмы аналізу і ўплываючы на дакладнасць і эфектыўнасць аналізу. Згодна з гэтым рашэннем, спачатку дублікаты пакетаў дадзеных выдаляюцца ў розных вузлах захопу. Толькі адзін пакет дадзеных перасылаецца ў бэкэнд-сістэму аналізу прадукцыйнасці сеткі NPM і сістэму аналізу прадукцыйнасці прыкладання APM, тым самым эканомячы прадукцыйнасць сістэмы аналізу і павышаючы эфектыўнасць і дакладнасць аналізу.
6.9Дадзеныя/ПакетТэг VLANінгПрыкладанне
У сеткавым асяроддзі, паказаным на дыяграме вышэй, рашэнне выкарыстоўваецца для пазначэння неапрацаваных дадзеных з розных сеткавых прылад і вузлоў сувязі. Калі ў сетцы ўзнікае анамальны трафік або пакеты дадзеных, абсталяванне для аналізу сервернай часткі можа хутка і дакладна вызначыць крыніцу анамальных дадзеных, адсачыўшы іх на аснове пазнак дадзеных.
6.10 Сеткавы трафікАдзіны раскладПрыкладанне
У сеткавым асяроддзі, паказаным на дыяграме вышэй, некалькі зыходных каналаў сувязі 10GE, 25GE, 40GE і 100GE цалкам уводзяцца ў Mylinking™ Network Packet Broker плюс Inline Bypass Switch з выкарыстаннем аптычнага падзелу або люстэрка партоў. Затым выкарыстоўваюцца фільтрацыя і падзел трафіку для вываду рознага трафіку службовых дадзеных на розныя прылады пазапалоснага маніторынгу і бяспекі сеткі. Калі анамаліі сеткавых пакетаў або анамальныя ваганні трафіку патрабуюць ручнога ўмяшання, захоп пакетаў у рэжыме рэальнага часу і аналіз зыходных пакетаў дадзеных могуць быць выкананы неадкладна, каб дапамагчы карыстальнікам хутка прааналізаваць і знайсці няспраўнасць.
6.11СеткаАналіз бачнасці дадзеных аб трафікуПрыкладанне
Ён можа прадстаўляць любыя выяўленыя і сабраныя дадзеныя ў шматмернай і шматперспектыўнай форме праз зручны графічны і тэкставы інтэрактыўны інтэрфейс, уключаючы структуру складу трафіку, размеркаванне пратаколаў прыкладанняў, размеркаванне трафіку ўсіх вузлоў сеткі, шлях перадачы дадзеных, выяўленне анамальных падзей, дакладнае месцазнаходжанне паломак сеткавых элементаў/злучэнняў, стан узаемадзеяння паведамленняў, тэндэнцыю развіцця трафіку і іншыя аспекты для маніторынгу і аналізу, каб стварыць комплексную, бачную і кіраваную платформу збору дадзеных і бяспекі для карпаратыўных сетак.
