Mylinking™ netwerkkraan-bypassschakelaar ML-BYPASS-100
2*Bypass plus 1*Monitor modulair ontwerp, 10/40/100GE-koppelingen, max. 640 Gbps
Overzichten
Mylinking™ Network Tap Bypass Switch is onderzocht en ontwikkeld om te worden gebruikt voor flexibele inzet van verschillende soorten inline beveiligingsapparatuur en biedt tegelijkertijd een hoge netwerkbetrouwbaarheid.
Door Mylinking™ Smart Bypass Switch Tap in te zetten:
- Gebruikers kunnen op flexibele wijze beveiligingsapparatuur/tools installeren/de-installeren en zullen het huidige netwerk niet beïnvloeden of onderbreken;
- Mylinking™ Network Tap Bypass Switch met intelligente gezondheidsdetectiefunctie voor realtime monitoring van de normale werkstatus van de inline beveiligingsapparaten. Zodra de inline beveiligingsapparaten uitzonderlijk werken, wordt de beveiligingsfunctie automatisch omzeild om de normale netwerkcommunicatie te behouden;
- Selectieve verkeersbeveiligingstechnologie kan worden gebruikt om specifieke verkeersbeveiligingsapparatuur in te zetten, encryptietechnologie op basis van de auditapparatuur. Voer effectief de inline-toegangsbeveiliging uit voor het specifieke verkeerstype, waarbij de stroomverwerkingsdruk van het inline-apparaat wordt ontlast;
- Load Balanced Traffic Protection-technologie kan worden gebruikt voor geclusterde implementatie van veilige seriële inline-beveiligingsapparaten om te voldoen aan de inline-beveiliging in omgevingen met hoge bandbreedte.
Netwerkkraan-bypass-schakelaar Geavanceerde functies en technologieën
Mylinking™ “SpecFlow”-beschermingsmodus en “FullLink”-beschermingsmodus
Mylinking™ Snelle bypass-schakelbeveiliging
Mylinking™ “LinkSafeSwitch”
Mylinking™ “WebService” Dynamische strategie doorsturen/uitgifte
Mylinking™ Intelligente detectie van hartslagberichten
Mylinking™ definieerbare hartslagberichten (hartslagpakketten)
Mylinking™ Multi-link taakverdeling
Mylinking™ Intelligente verkeersdistributie
Mylinking™ dynamische taakverdeling
Mylinking™ technologie voor extern beheer (HTTP/WEB, TELNET/SSH, “EasyConfig/AdvanceConfig”-kenmerk)
Netwerkkraan-bypass-schakelaar Optionele configuratiegids
BYPASS-moduleBeveiligingspoortmodulesleuf:
Deze sleuf kan in de BYPASS-beveiligingspoortmodule met een ander snelheids-/poortnummer worden geplaatst. Door verschillende soorten modules te vervangen, kan het BYPASS-bescherming van meerdere 10G/40G/100G-linkvereisten ondersteunen.
MONITOR-modulePoortmodulesleuf;
In dit slot kan de MONITOR-module met verschillende snelheden/poorten worden geplaatst. Het kan meerdere koppelingen van 10G/40G/100G ondersteunen voor inline seriële monitoringapparatuur door verschillende modules te vervangen.
Regels voor moduleselectie
Op basis van de verschillende geïmplementeerde koppelingen en de vereisten voor de implementatie van monitoringapparatuur, kunt u flexibel verschillende moduleconfiguraties kiezen om aan uw daadwerkelijke omgevingsverzoek te voldoen; volg de volgende regels tijdens het selecteren van uw module:
1. De chassiscomponenten zijn verplicht en u moet de chassiscomponenten selecteren voordat u andere modules selecteert. Kies tegelijkertijd verschillende voedingsmethoden (AC/DC) op basis van uw behoeften.
2. Het hele apparaat ondersteunt maximaal 2 BYPASS-moduleslots en 1 MONITOR-moduleslot; u kunt niet meer selecteren dan het aantal slots dat u wilt configureren. Op basis van de combinatie van het aantal slots en het modulemodel kan het apparaat maximaal vier 10GE-linkbeveiligingen ondersteunen; of het kan maximaal vier 40GE-koppelingen ondersteunen; of het kan maximaal één 100GE-link ondersteunen.
3. Het modulemodel "BYP-MOD-L1CG" kan alleen in SLOT1 worden geplaatst om correct te werken.
4. Het moduletype "BYP-MOD-XXX" kan alleen in de BYPASS-modulesleuf worden geplaatst; het moduletype "MON-MOD-XXX" kan alleen voor normaal gebruik in de MONITOR-modulesleuf worden geplaatst.
Productmodel | Functieparameters |
Chassis (host) | |
ML-BYPASS-M100 | 1U standaard 19-inch rackmontage; maximaal stroomverbruik 250W; modulaire BYPASS-beschermerhost; 2 BYPASS-modulesleuven; 1 MONITOR-modulesleuf; AC en DC optioneel; |
BYPASS-MODULE | |
BYP-MOD-L2XG(LM/SM) | Ondersteunt 2-weg 10GE-link seriële bescherming, 4*10GE-interface, LC-connector; ingebouwde optische transceiver; optische link single/multimode optioneel, ondersteunt 10GBASE-SR/LR; |
BYP-MOD-L2QXG(LM/SM) | Ondersteunt 2-weg 40GE-link seriële bescherming, 4*40GE-interface, LC-connector; ingebouwde optische transceiver; optische link single/multimode optioneel, ondersteunt 40GBASE-SR4/LR4; |
BYP-MOD-L1CG (LM/SM) | Ondersteunt 1-kanaals 100GE-link seriële bescherming, 2*100GE-interface, LC-connector; ingebouwde optische transceiver; optische link enkele multimode optioneel, ondersteunt 100GBASE-SR4/LR4; |
MONITORMODULE | |
MON-MOD-L16XG | 16*10GE SFP+ bewakingspoortmodule; geen optische zendontvangermodule; |
MON-MOD-L8XG | 8*10GE SFP+ bewakingspoortmodule; geen optische zendontvangermodule; |
MON-MOD-L2CG | 2*100GE QSFP28 bewakingspoortmodule; geen optische zendontvangermodule; |
MON-MOD-L8QXG | 8* 40GE QSFP+ bewakingspoortmodule; geen optische zendontvangermodule; |
Specificaties netwerk TAP-bypassschakelaar
Productmodaliteit | ML-BYPASS-M100 Inline netwerkkraan bypass-schakelaar | |
Type interface | MGT-interface | 1*10/100/1000BASE-T Adaptieve beheerinterface; Ondersteuning van extern HTTP/IP-beheer |
Modulesleuf | 2*BYPASS-modulesleuf; 1*MONITOR-modulesleuf; | |
Links die maximum ondersteunen | Apparaat ondersteunt maximaal 4*10GE-links of 4*40GE-links of 1*100GE-links | |
Toezicht | Apparaat ondersteunt maximaal 16*10GE monitoringpoorten of 8*40GE monitoringpoorten of 2*100GE monitoringpoorten; | |
Functie | Volledige duplex verwerkingscapaciteit | 640Gbps |
Gebaseerd op IP/protocol/poort, vijf tupel-specifieke verkeerscascadebescherming | Ondersteund | |
Cascadebeveiliging op basis van volledig verkeer | Ondersteund | |
Meerdere loadbalancing | Ondersteund | |
Aangepaste hartslagdetectiefunctie | Ondersteund | |
Ondersteuning van Ethernet-pakketonafhankelijkheid | Ondersteund | |
BYPASS-SCHAKELAAR | Ondersteund | |
BYPASS Schakelaar zonder flits | Ondersteund | |
CONSOLE-MGT | Ondersteund | |
IP/WEB-MGT | Ondersteund | |
SNMP V1/V2C MGT | Ondersteund | |
TELNET/SSHMGT | Ondersteund | |
SYSLOG-protocol | Ondersteund | |
Autorisatie van gebruiker | Gebaseerd op wachtwoordautorisatie/AAA/TACACS+ | |
Elektrisch | Nominale voedingsspanning | AC-220V/DC-48V【Optioneel】 |
Nominale vermogensfrequentie | 50 Hz | |
Nominale ingangsstroom | AC-3A / DC-10A | |
Nominaal vermogen | 100W | |
Omgeving | Werktemperatuur | 0-50℃ |
Opslagtemperatuur | -20-70℃ | |
Werkvochtigheid | 10%-95%, geen condensatie | |
Gebruikersconfiguratie | Consoleconfiguratie | RS232-interface,115200,8,N,1 |
Out-of-band MGT-interface | 1*10/100/1000M Ethernet-interface | |
Wachtwoordautorisatie | Ondersteund | |
Chassishoogte | Chassisruimte (U) | 1U 19 inch, 485 mm * 44,5 mm * 350 mm |
Netwerk TAP Bypass Switch-toepassing (als volgt)
5.1 Het risico van inline beveiligingsapparatuur (IPS / FW)
Het volgende is een typische IPS (Inbraakpreventiesysteem), FW (Firewall)-implementatiemodus, IPS / FW wordt ingezet als inline netwerkapparatuur (zoals routers, switches, enz.) tussen het verkeer door de implementatie van beveiligingscontroles, volgens het bijbehorende beveiligingsbeleid om de vrijgave of het blokkeren van het overeenkomstige verkeer te bepalen, om het effect van veiligheidsverdediging te bereiken.
Tegelijkertijd kunnen we IPS (Inbraakpreventiesysteem) / FW (Firewall) waarnemen als een inline-implementatie van de apparatuur, meestal ingezet op de belangrijkste locatie van het bedrijfsnetwerk om inline-beveiliging te implementeren. De betrouwbaarheid van de aangesloten apparaten heeft rechtstreeks invloed op de algehele beschikbaarheid van het bedrijfsnetwerk. Zodra de inline beveiligingsapparatuur overbelast raakt, crasht, software-updates, beleidsupdates, enz., zal de beschikbaarheid van het gehele bedrijfsnetwerk sterk worden beïnvloed. Op dit punt kunnen we alleen via het netwerk worden doorgesneden, de fysieke bypass-jumper kan ervoor zorgen dat het netwerk wordt hersteld, maar dit heeft ernstige gevolgen voor de betrouwbaarheid van het netwerk. IPS (Inbraakpreventiesysteem) / FW (Firewall) en andere inline-apparaten verbeteren enerzijds de inzet van bedrijfsnetwerkbeveiliging, anderzijds verminderen ze ook de betrouwbaarheid van bedrijfsnetwerken, waardoor het netwerkrisico niet toeneemt.
5.2 Apparatuurbescherming uit de Inline Link-serie
Mylinking™ "Bypass Switch" wordt ingezet als inline tussen netwerkapparaten (routers, switches, enz.), en de gegevensstroom tussen netwerkapparaten leidt niet langer rechtstreeks naar IPS (Inbraakpreventiesysteem) / FW (Firewall), "Bypass Switch" naar IPS / FW, wanneer de IPS / FW als gevolg van overbelasting, crash, software-updates, beleidsupdates en andere faalomstandigheden, de "Bypass Switch" door middel van intelligente hartslagberichtdetectie Functie van de tijdige detectie, en dus het defecte apparaat overslaat, zonder het uitgangspunt van het netwerk te onderbreken, wordt de snelle netwerkapparatuur rechtstreeks aangesloten om het normale communicatienetwerk te beschermen; wanneer de IPS / FW herstel van fouten, maar ook via intelligente Heartbeat Packets Detection van tijdige detectie van de functie, de oorspronkelijke link om de veiligheid van bedrijfsnetwerkveiligheidscontroles te herstellen.
Mylinking™ "Bypass Switch" heeft een krachtige intelligente Heartbeat Message Detection-functie, de gebruiker kan het hartslaginterval en het maximale aantal nieuwe pogingen aanpassen via een aangepast hartslagbericht op de IPS/FW voor gezondheidstests, zoals het verzenden van het hartslagcontrolebericht naar de upstream/downstream-poort van IPS/FW, en ontvang vervolgens van de upstream/downstream-poort van IPS/FW, en beoordeel of de IPS/FW normaal werkt door het hartslagbericht te verzenden en te ontvangen.
5.3 “SpecFlow”-beleid Flow Inline Traction Series-bescherming
Wanneer het beveiligingsnetwerkapparaat alleen het specifieke verkeer in seriebeveiliging hoeft af te handelen, wordt via de Mylinking™ "Network Tap Bypass Switch" verkeersper-verwerkingsfunctie, via de verkeersscreeningstrategie om het beveiligingsapparaat te verbinden "Bezorgd" verkeer verzonden rechtstreeks terug naar de netwerkverbinding, en het ‘betrokken verkeersgedeelte’ wordt naar het inline-veiligheidsapparaat geleid om veiligheidscontroles uit te voeren. Dit zal niet alleen de normale toepassing van de veiligheidsdetectiefunctie van het veiligheidsapparaat handhaven, maar ook de inefficiënte stroom van de veiligheidsapparatuur verminderen om met de druk om te gaan; tegelijkertijd kan de "Network Tap Bypass Switch" de werkconditie van het veiligheidsapparaat in realtime detecteren. Het veiligheidsapparaat werkt abnormaal en omzeilt het dataverkeer rechtstreeks om verstoring van de netwerkservice te voorkomen.
De Mylinking™ Inline Traffic Bypass Tap kan verkeer identificeren op basis van de L2-L4-laag header-ID, zoals VLAN-tag, bron-/bestemmings-MAC-adres, bron-IP-adres, IP-pakkettype, transportlaagprotocolpoort, protocolheadersleuteltag en spoedig. Een verscheidenheid aan flexibele combinaties van bijpassende voorwaarden kan flexibel worden gedefinieerd om de specifieke verkeerstypen te definiëren die van belang zijn voor een bepaald beveiligingsapparaat en kan op grote schaal worden gebruikt voor de inzet van speciale beveiligingsauditapparatuur (RDP, SSH, database-audit, enz.) .
5.4 Load-gebalanceerde seriebeveiliging
De Mylinking™ "Network Tap Bypass Switch" wordt ingezet als inline tussen netwerkapparaten (routers, switches, etc.). Wanneer de verwerkingsprestaties van een enkele IPS/FW niet voldoende zijn om het piekverkeer op de netwerkverbinding op te vangen, kan de taakverdelingsfunctie van de beschermer, het "bundelen" van meerdere IPS/FW-clusterverwerkingsnetwerkverbindingsverkeer, het enkele IPS/FW-verkeer effectief verminderen. verwerkingsdruk, verbetering van de algehele verwerkingsprestaties om te voldoen aan de hoge bandbreedte van de claim van de implementatieomgeving.
Mylinking™ "Network Tap Bypass Switch" heeft een krachtige load-balancing-functie, op basis van de frame-VLAN-tag, MAC-informatie, IP-informatie, poortnummer, protocol en andere informatie over de Hash-taakverdeling van het verkeer om ervoor te zorgen dat elke IPS/FW ontvangen gegevensstroom Sessie-integriteit.
5.5 Inline-apparatuur met meerdere series Flow Traction Protection (Seriële verbinding wijzigen in parallelle verbinding)
Bij sommige belangrijke verbindingen (zoals internetaansluitingen, uitwisselingslinks op servergebieden) is de locatie vaak te wijten aan de behoeften aan beveiligingsfuncties en de inzet van meerdere in-line beveiligingstestapparatuur (zoals een firewall (FW), anti-DDOS-aanvalsapparatuur, WEB Application Firewall (WAF), Inbraakpreventiesysteem (IPS), enz.), meerdere beveiligingsdetectieapparatuur tegelijkertijd in serie op de link om de link van een enkel storingspunt te vergroten, waardoor de algehele betrouwbaarheid van het netwerk wordt verminderd. En bij de bovengenoemde online inzet van beveiligingsapparatuur zullen apparatuurupgrades, vervanging van apparatuur en andere operaties ervoor zorgen dat de dienstverlening van het netwerk voor langere tijd wordt onderbroken en dat er grotere projecten moeten worden stopgezet om de succesvolle implementatie van dergelijke projecten te voltooien.
Door de "Network Tap Bypass Switch" op een uniforme manier in te zetten, kan de implementatiemodus van meerdere beveiligingsapparaten die in serie zijn aangesloten op dezelfde link worden gewijzigd van "fysieke aaneenschakelingsmodus" naar "fysieke aaneenschakeling, logische aaneenschakelingsmodus". link van een enkel punt van falen om de betrouwbaarheid van de link te verbeteren, terwijl de "bypass-schakelaar" op de link stroom op vraag tractie, om dezelfde stroom te bereiken met de oorspronkelijke modus van veilige verwerkingseffect.
Meer dan één beveiligingsapparaat tegelijkertijd als inline-implementatiediagram:
Mylinking™ Netwerk TAP Bypass Switch Implementatiediagram:
5.6 Gebaseerd op de dynamische strategie van verkeersveiligheid, detectiebescherming
"Network Tap Bypass Switch" Een ander geavanceerd toepassingsscenario is gebaseerd op de dynamische strategie van toepassingen voor detectie van verkeersdetectie en tractiebeveiliging, waarbij de manier wordt ingezet zoals hieronder weergegeven:
Neem bijvoorbeeld de beveiligingstestapparatuur "Anti-DDoS-aanvalsbescherming en -detectie", via de front-end inzet van "Network Tap Bypass Switch" en vervolgens anti-DDOS-beschermingsapparatuur en vervolgens verbonden met de "Network Tap Bypass Switch", in de gebruikelijke "Tractiebeschermer" om de volledige hoeveelheid verkeer door te sturen op draadsnelheid en tegelijkertijd de stroomspiegeluitvoer naar het "anti-DDOS-aanvalsbeveiligingsapparaat" te sturen, zodra gedetecteerd voor een server-IP (of IP-netwerksegment) na de aanval", bescherming tegen DDOS-aanvallen device " genereert de afstemmingsregels voor de doelverkeersstroom en stuurt deze naar de " Network Tap Bypass Switch " via de dynamische beleidsleveringsinterface. De "Network Tap Bypass Switch" kan de "traffic traction dynamic" bijwerken na ontvangst van de dynamische beleidsregels Rule pool "en onmiddellijk" regel raakt het aanvalsserververkeer "tractie naar de" anti-DDoS-aanval bescherming en detectie "apparatuur voor verwerking, om effectief te zijn na de aanvalsstroom en vervolgens opnieuw in het netwerk te worden geïnjecteerd.
Het toepassingsschema op basis van de "Network Tap Bypass Switch" is eenvoudiger te implementeren dan de traditionele BGP-route-injectie of een ander verkeerstractieschema, en de omgeving is minder afhankelijk van het netwerk en de betrouwbaarheid is hoger.
"Network Tap Bypass Switch" heeft de volgende kenmerken ter ondersteuning van dynamische beleidsbeveiligingsdetectiebescherming:
1, "Network Tap Bypass Switch" om buiten de regels op basis van de WEBSERIVCE-interface eenvoudige integratie met beveiligingsapparaten van derden te bieden.
2, "BNetwork Tap Bypass Switch" gebaseerd op de hardware pure ASIC-chip die tot 10 Gbps wire-speed pakketten doorstuurt zonder het doorsturen van schakelaars te blokkeren, en "traffic tractie dynamische regelbibliotheek" ongeacht het nummer.
3, "Network Tap Bypass Switch" ingebouwde professionele BYPASS-functie, zelfs als de beschermer zelf defect raakt, kan ook de originele seriële link onmiddellijk worden omzeild, heeft geen invloed op de originele link van normale communicatie.