1. Што такое пакет «Вызначэнне сэрцабіцця»?
Пакеты сігналу сэрца камутатара Mylinking™ Network Tap Bypass па змаўчанні перадаюць кадры Ethernet 2-га ўзроўню. Пры разгортванні празрыстага рэжыму маста 2-га ўзроўню (напрыклад, IPS / FW) кадры Ethernet 2-га ўзроўню звычайна перасылаюцца, блакуюцца або адкідаюцца. У той жа час камутатар Mylinking™ Network Tap Bypass падтрымлівае карыстальніцкі фармат паведамленняў сігналу сэрца, каб вырашыць сітуацыю, калі некаторыя спецыяльныя прылады бяспекі паслядоўных портаў звычайна не могуць перасылаць звычайныя кадры Ethernet 2-га ўзроўню.
А камутатар Mylinking™ Network Tap Bypass таксама падтрымлівае выяўленне пакетаў heartbeat на аснове тэга VLAN, тыпаў паведамленняў 3-га і 4-га ўзроўняў. З дапамогай гэтага механізму карыстальнік можа рэалізаваць функцыю праверкі бяспекі абслугоўвання прылады бяспекі падключэння, каб больш эфектыўна гарантаваць належную працу адпаведных службаў бяспекі.
Перамыкач Mylinking™ Network Tap Bypass можа падтрымліваць манітор для адпраўкі розных пакетаў heartbeat у абодвух напрамках. Напрыклад, пакеты heartbeat тыпаў TCP і UDP наладжваюцца ў «Strategy Traffic Traction Protector» у залежнасці ад асаблівасцей паслядоўнай прылады. Вы можаце наладзіць адпраўку пакетаў heartbeat TCP на порт A манітора ўзыходзячай лініі і адпраўку пакетаў heartbeat UDP на порт B манітора сыходнай лініі, каб улічыць механізм перасылкі паведамленняў паслядоўнай прылады бяспекі. Гэтая функцыя можа больш эфектыўна гарантаваць бяспеку. Падключыце абсталяванне бяспекі да нармальнага рэжыму працы.
Сеткавы абыходны камутатар Mylinking™ распрацаваны для гнуткага разгортвання розных тыпаў паслядоўнага абсталявання бяспекі, забяспечваючы пры гэтым высокую надзейнасць сеткі.
2-сеткавы ўбудаваны байпасны камутатар з пашыранымі функцыямі і тэхналогіямі
Тэхналогія рэжыму абароны Mylinking™ «SpecFlow» і рэжыму абароны «FullLink»
Тэхналогія абароны ад пераключэння Mylinking™ Fast Bypass
Тэхналогія Mylinking™ «LinkSafeSwitch»
Тэхналогія дынамічнай стратэгіі пераадрасацыі/выдачы Mylinking™ “WebService”
Інтэлектуальная тэхналогія выяўлення паведамленняў пра сардэчны рытм Mylinking™
Тэхналогія вызначаемых паведамленняў пра сэрцабіцце Mylinking™
Тэхналогія балансавання нагрузкі Mylinking™ Multi-link
Тэхналогія інтэлектуальнага размеркавання трафіку Mylinking™
Тэхналогія дынамічнага балансавання нагрузкі Mylinking™
Тэхналогія дыстанцыйнага кіравання Mylinking™ (HTTP/WEB, TELNET/SSH, характарыстыкі «EasyConfig/AdvanceConfig»)
3-сеткавы ўбудаваны байпасны перамыкач (гл. ніжэй)
3.1 Рызыка абсталявання бяспекі ўбудаваных ліній (IPS / FW)
Ніжэй прыведзены тыповы рэжым разгортвання IPS (сістэмы прадухілення ўварванняў) і FW (брандмаўэра). IPS/FW разгортваюцца паслядоўна на сеткавым абсталяванні (маршрутызатарах, камутатарах і г.д.) паміж трафікам шляхам рэалізацыі праверак бяспекі. У адпаведнасці з адпаведнай палітыкай бяспекі вызначаецца вызваленне або блакіроўка адпаведнага трафіку для дасягнення эфекту абароны.
Адначасова можна разглядаць IPS/FW як паслядоўнае разгортванне абсталявання, якое звычайна разгортваецца ў ключавых месцах карпаратыўнай сеткі для рэалізацыі бяспекі паслядоўных портаў. Надзейнасць падлучаных да яго прылад непасрэдна ўплывае на агульную даступнасць карпаратыўнай сеткі. Перагрузка паслядоўных прылад, збой, абнаўленне праграмнага забеспячэння, абнаўленне палітыкі і г.д. значна пагаршаюць даступнасць усёй карпаратыўнай сеткі. У гэтым выпадку можна аднавіць сетку толькі праз разрыў сеткі і фізічную перамычку байпаса, што сур'ёзна ўплывае на надзейнасць сеткі. IPS/FW і іншыя паслядоўныя прылады, з аднаго боку, паляпшаюць разгортванне бяспекі карпаратыўнай сеткі, а з другога боку, таксама зніжаюць надзейнасць карпаратыўных сетак, павялічваючы рызыку таго, што сетка стане недаступнай.
3.2 Абарона абсталявання серыі Inline Link
Mylinking™ «Network Inline Bypass» разгортваецца паслядоўна паміж сеткавымі прыладамі (маршрутызатарамі, камутатарамі і г.д.), і паток дадзеных паміж сеткавымі прыладамі больш не вядзе непасрэдна да IPS/FW. «Network Inline Bypass» падключаецца да IPS/FW. Калі IPS/FW перагружаецца, збіваецца, абнаўляецца праграмнае забеспячэнне, палітыку і іншыя збоі, «Network Inline Bypass» своечасова выяўляе няспраўныя прылады з дапамогай інтэлектуальнай функцыі выяўлення паведамленняў heartbeat, што дазваляе ім своечасова абараніць нармальную сетку сувязі, не перарываючы працу сеткі. Гэта дазваляе хутка падключыць непасрэднае сеткавае абсталяванне да сеткі і абараніць нармальную сетку сувязі. Пры аднаўленні пасля збою IPS/FW, а таксама дзякуючы інтэлектуальнаму выяўленню пакетаў heartbeat, своечасова правяраецца бяспека карпаратыўнай сеткі, што дазваляе аднавіць зыходную сувязь.
Mylinking™ “Network Inline Bypass” мае магутную інтэлектуальную функцыю выяўлення паведамленняў пра пульсацыю. Карыстальнік можа наладзіць інтэрвал пульса і максімальную колькасць спроб праз карыстальніцкае паведамленне пра пульсацыю на IPS/FW для праверкі спраўнасці, напрыклад, адправіць паведамленне пра праверку пульса на порт вышэйшага/нізшага патоку IPS/FW, а затым атрымаць яго з порта вышэйшага/нізшага патоку IPS/FW і ацаніць, ці працуе IPS/FW нармальна, адпраўляючы і атрымліваючы паведамленне пра пульсацыю.
3.3 Палітыка «SpecFlow» Абарона серыі Inline Traction Flow
Калі прылада бяспекі сеткі павінна апрацоўваць толькі пэўны трафік у паслядоўнай абароне бяспекі, з дапамогай функцыі Mylinking™ «Network Inline Bypass» для апрацоўкі трафіку, з дапамогай стратэгіі праверкі трафіку для падключэння прылады бяспекі «праблемны» трафік адпраўляецца непасрэдна ў сеткавае злучэнне, і «праблемны ўчастак трафіку» накіроўваецца да ўбудаванай прылады бяспекі для правядзення праверак бяспекі. Гэта не толькі падтрымлівае нармальнае прымяненне функцыі выяўлення бяспекі прылады бяспекі, але і зніжае неэфектыўны паток абсталявання бяспекі для барацьбы з ціскам; у той жа час «Network Inline Bypass» можа выяўляць працоўны стан прылады бяспекі ў рэжыме рэальнага часу. Прылада бяспекі працуе ненармальна, абыходзячы трафік дадзеных непасрэдна, каб пазбегнуць перапынення сеткавага абслугоўвання.
3.4 Паслядоўная абарона з балансаваннем нагрузкі
«Network Inline Bypass» Mylinking™ разгортваецца паслядоўна паміж сеткавымі прыладамі (маршрутызатарамі, камутатарамі і г.д.). Калі прадукцыйнасць апрацоўкі аднаго IPS/FW недастатковая для спраўлення з пікавым трафікам сеткавага канала, функцыя балансавання нагрузкі трафіку абаронцы, «аб'яднанне» некалькіх кластараў IPS/FW, якія апрацоўваюць трафік сеткавага канала, можа эфектыўна знізіць нагрузку на апрацоўку аднаго IPS/FW і палепшыць агульную прадукцыйнасць апрацоўкі для задавальнення патрабаванняў высокай прапускной здольнасці асяроддзя разгортвання.
Mylinking™ «Network Inline Bypass» мае магутную функцыю балансавання нагрузкі, якая ў адпаведнасці з тэгам VLAN кадра, інфармацыяй пра MAC, IP, нумарам порта, пратаколам і іншай інфармацыяй аб размеркаванні хэш-трафіку балансуе нагрузку, каб гарантаваць цэласнасць сесіі патоку дадзеных, атрыманага кожным IPS / FW.
3.5 Абарона цягі шматсерыйнага ўбудаванага абсталявання (змена паслядоўнага падключэння на паралельнае)
У некаторых ключавых звёнах (напрыклад, у інтэрнэт-крамах, каналах абмену серверамі) месцазнаходжанне часта абумоўлена патрэбамі ў функцыях бяспекі і разгортваннем некалькіх убудаваных абсталявання для тэставання бяспекі (напрыклад, брандмаўэраў, сродкаў абароны ад DDoS-атак, брандмаўэраў вэб-прыкладанняў, сродкаў прадухілення ўварванняў і г.д.), некалькі абсталявання для выяўлення бяспекі, падключаных адначасова паслядоўна на адным злучальным канале, павялічваюць колькасць адзінай кропкі адмовы ў канале і зніжаюць агульную надзейнасць сеткі. А ў вышэйзгаданых аперацыях разгортванне абсталявання бяспекі ў рэжыме анлайн, мадэрнізацыя абсталявання, замена абсталявання і іншыя аперацыі прывядуць да працяглых перапынкаў у абслугоўванні сеткі і больш маштабных скарачэнняў праектаў для паспяховага завяршэння такіх праектаў.
Разгортваючы «Network Inline Bypass» уніфікаваным чынам, рэжым разгортвання некалькіх прылад бяспекі, падлучаных паслядоўна на адной лініі сувязі, можна змяніць з «рэжыму фізічнага аб'яднання» на «рэжым фізічнага аб'яднання, лагічнага аб'яднання». Лінія сувязі на лініі сувязі з адной кропкай адмовы павышае надзейнасць лініі сувязі, у той час як «Network Inline Bypass» на лініі сувязі забяспечвае цягу патоку па патрабаванні для дасягнення таго ж эфекту бяспечнай апрацоўкі, што і ў першапачатковым рэжыме.
Схема паслядоўнага разгортвання больш чым адной прылады бяспекі адначасова:
Схема разгортвання ўбудаванага байпаснага камутатара сеткі:
3.6 На аснове дынамічнай стратэгіі выяўлення і абароны ад цягі дарожнага руху
«Сеткавы абыход убудаваных ліній». Яшчэ адзін сцэнар прасунутага прымянення заснаваны на дынамічнай стратэгіі прыкладанняў для абароны ад выяўлення і абароны трафіку, разгортванне якога паказана ніжэй:
Возьмем, напрыклад, абсталяванне для тэсціравання бяспекі «Абарона ад DDoS-атак і выяўленне», якое разгортвае на пярэднім канцы «Network Inline Bypass», а затым абсталяванне абароны ад DDoS-атак, падключанае да «Network Inline Bypass». У звычайным рэжыме «Абарона ад цягі» поўны аб'ём трафіку перасылаецца на хуткасць перадачы патоку, адначасова выводзячы яго на «Прыладу абароны ад DDoS-атак». Пасля выяўлення IP-адраса сервера (або сегмента IP-сеткі) пасля атакі «Прылада абароны ад DDoS-атак» генеруе правілы супастаўлення мэтавага патоку трафіку і адпраўляе іх на «Network Inline Bypass» праз інтэрфейс дынамічнай дастаўкі палітык. «Network Inline Bypass» можа абнаўляць «дынаміку цягі трафіку» пасля атрымання пула правілаў дынамічнай палітыкі і неадкладна «правіла» трапляе ў «Трансляцыю трафіку» абсталявання абароны ад DDoS-атак і выяўлення» для апрацоўкі, каб быць эфектыўным пасля патоку атакі, а затым зноў уводзіцца ў сетку.
Схема прымянення, заснаваная на «Network Inline Bypass», прасцей рэалізаваць, чым традыцыйную ўвядзенне маршруту BGP або іншую схему прыцягнення трафіку, прычым асяроддзе менш залежыць ад сеткі, а надзейнасць вышэйшая.
«Network Inline Bypass» мае наступныя характарыстыкі для падтрымкі абароны ад выяўлення дынамічнай палітыкі бяспекі:
1, «Убудаваны абыход сеткі» для забеспячэння па-за правіламі на аснове інтэрфейсу WEBSERIVCE, лёгкай інтэграцыі са староннімі прыладамі бяспекі.
2, «Сеткавы абыход» на аснове апаратнага чыпа ASIC, які перасылае пакеты з хуткасцю да 10 Гбіт/с без блакавання перасылкі камутатара, і «бібліятэка дынамічных правілаў цягі трафіку» незалежна ад колькасці.
3. Убудаваная прафесійная функцыя BYPASS («Network Inline Bypass») дазваляе неадкладна абыйсці зыходны паслядоўны порт, нават калі сам абаронца выйдзе з ладу, не ўплываючы на зыходны канал нармальнай сувязі.
Час публікацыі: 23 снежня 2021 г.
