MyLinking ™ Network Tap Bypass Switch ML-BYPASS-200
2*Bypass plus 1*Monitor Modulair ontwerp, 10/40/100GE -links, Max 640Gbps
1-overzicht
Door MyLinking ™ Smart Bypass Switch te implementeren:
- Gebruikers kunnen flexibel beveiligingsapparatuur flexibel installeren/verwijderen en hebben geen invloed op het huidige netwerk en onderbreken;
- MyLinking ™ -netwerk Tap Bypass-schakelaar met intelligente gezondheidsdetectiefunctie naar realtime bewaking van de normale werkstatus van het seriële beveiligingsapparaat, zodra de uitzondering van het seriële beveiligingsapparaat werkt, wordt de bescherming automatisch omzeild om de normale netwerkcommunicatie te behouden;
- Selectieve verkeersbeschermingstechnologie kan worden gebruikt om specifieke beveiligingsapparatuur voor verkeersreiniging, coderingstechnologie op basis van de auditapparatuur, te implementeren. Voer de bescherming tegen seriële toegang voor het specifieke verkeerstype effectief uit, waarbij de stroomafhandelingsdruk van het serie -apparaat wordt losgeladen;
- Load-evenwichtige verkeersbeschermingstechnologie kan worden gebruikt voor geclusterde implementatie van beveiligde seriële apparaten om te voldoen aan de behoefte aan seriële beveiliging in omgevingen met hoge bandbreedte.
Met de snelle ontwikkeling van internet wordt de dreiging van netwerkinformatiebeveiliging steeds ernstiger, dus een verscheidenheid aan toepassingen voor informatie over informatiebeveiligingsbeveiliging worden steeds breder gebruikt. Whether it is traditional access control equipment (firewall) or a new type of more advanced protection means such as intrusion prevention system (IPS),Unified threat management platform (UTM), Anti-denial service attack system (Anti-DDoS), Anti-span Gateway, Unified DPI Traffic Identification and Control System, and many security devices are deployed in series in the network key nodes, the implementation of the corresponding data security policy to identify and deal with legal / illegal verkeer. Tegelijkertijd zal het computernetwerk echter een grote netwerkvertraging of zelfs netwerkverstoring genereren in het geval van mislukking, onderhoud, upgrade, vervanging van apparatuur, enzovoort in een zeer betrouwbare toepassingsomgeving voor productienetwerk, kunnen gebruikers er niet tegen.
2-netwerk TAP BYPASS SCHAKELIJK GEVOLUDATE FUNCTIES EN TECHNOLOGIES
MyLinking ™ "Specflow" beschermingsmodus en "FullLink" Protection Mode Technology Technology
MyLinking ™ snelle bypass -schakelbeschermingstechnologie
MyLinking ™ "Linksafeswitch" -technologie
MyLinking ™ "Webservice" dynamische strategie doorsturen/uitgeven technologie
MyLinking ™ Intelligent Heartbeat Message Detection Technology
MyLinking ™ definieerbare hartslagberichten technologie
MyLinking ™ multi-link load balancing-technologie
MyLinking ™ Intelligente verkeersdistributietechnologie
MyLinking ™ Dynamic Load Balancing Technology
MyLinking ™ Remote Management Technology (HTTP/Web, Telnet/SSH, "EasyConfig/Advanceconfig" kenmerk)
3-netwerk Tap Bypass Switch Configuration Guide
OmzeilenBeveiligingspoortmodule slot:
Deze slot kan worden ingevoegd in bypass -beschermingspoortmodule met verschillende snelheid/poortnummer. Door verschillende soorten modules te vervangen, kan het bypass -bescherming van meerdere 10G/40G/100G -links ondersteunen.
MONITORPoortmodule slot;
Deze slot kan worden ingevoegd in de monitorpoortmodule met verschillende snelheden/poorten. Het kan meerdere 10G/40G/100G -link online seriële monitoringapparatuur implementatie ondersteunen door verschillende modellen te vervangen.
Selectieregels voor module
Op basis van verschillende geïmplementeerde links en implementatievereisten voor monitoringapparatuur, kunt u flexibel verschillende moduleconfiguraties kiezen om aan uw werkelijke omgevingsbehoeften te voldoen; Volg de volgende regels bij het selecteren van:
1. De chassiscomponenten zijn verplicht en u moet de chassiscomponenten selecteren voordat u andere modules selecteert. Kies tegelijkertijd verschillende voedingsmethoden (AC/DC) volgens uw behoeften.
2. De hele machine ondersteunt maximaal 2 bypass -moduleslots en 1 monitormodule sleuf; U kunt niet meer selecteren dan het aantal slots om te configureren. Op basis van de combinatie van het aantal slots en het modulemodel kan het apparaat maximaal vier 10GE -linkbescherming ondersteunen; of het kan maximaal vier 40GE -links ondersteunen; Of het kan maximaal één 100GE -link ondersteunen.
3. Het modulemodel "BYP-MOD-L1CG" kan alleen worden ingevoegd in slot1 om correct te werken.
4. Het moduletype "BYP-MOD-XXX" kan alleen worden ingevoegd in de bypass-module-sleuf; Het moduletype "MON-MOD-XXX" kan alleen worden ingevoegd in de slot van de monitormodule voor normaal werking.
| Productmodel | Functieparameters |
| Chassis (host) | |
| ML-BYPASS-M200 | 1U standaard 19-inch rackmount; maximaal stroomverbruik 250W; modulaire bypass -beschermer host; 2 bypass module slots; 1 Monitor Module Slot; AC en DC optioneel; |
| Bypass -module | |
| BYP-MOD-L2XG(LM/SM) | Ondersteunt 2-weg 10GE Link Seriële bescherming, 4*10GE-interface, LC-connector; ingebouwde optische zendontvanger; Optische link single/ multimode optioneel, ondersteunt 10GBase-SR/ LR; |
| BYP-MOD-L2QXG (LM/SM) | Ondersteunt 2-weg 40GE Link Seriële bescherming, 4*40GE-interface, LC-connector; ingebouwde optische zendontvanger; optische link single/ multimode optioneel, ondersteunt 40GBase-SR4/ LR4; |
| BYP-MOD-L1CG (LM/SM) | Ondersteunt 1 Channel 100GE Link Seriële bescherming, 2*100GE -interface, LC -connector; ingebouwde optische zendontvanger; Optische link enkele multimode optioneel, ondersteunt 100 GBase-SR4/LR4; |
| Monitor Module | |
| Mon-MOD-L16XG | 16*10GE SFP+ monitoringpoortmodule; geen optische transceivermodule; |
| Mon-mod-l8xg | 8*10GE SFP+ monitoringpoortmodule; geen optische transceivermodule; |
| Mon-mod-l2cg | 2*100GE QSFP28 Monitoring Poortmodule; geen optische transceivermodule; |
| Mon-mod-l8qxg | 8* 40GE QSFP+ monitoringpoortmodule; geen optische transceivermodule; |
Specificaties van bypass-schakelaar met 4-netwerk Tap Bypass-schakelaar
| Productmodaliteit | ML-BYPASS-M200 Seriële bypass-schakelaar | |
| Type interface | MGT -interface | 1*10/100/1000Base-T adaptieve managementinterface; Ondersteuning op afstand HTTP/IP management |
| Module slot | 2*Bypass Module Slot ; 1*Monitor Module Slot ; | |
| Links die maximum ondersteunen | Apparaatondersteuning Maximaal 4*10GE -links of 4*40GE -links of 1*100GE -links | |
| Monitor | Apparaatondersteuning Maximaal 16*10GE Monitoring Poorten of 8*40GE Monitoring Poorten of 2*100GE Monitoring Poorten ; | |
| Functie | Volledige duplex verwerkingsmogelijkheden | 640 Gbps |
| Gebaseerd op IP/Protocol/Port Five Tuple -specifieke verkeerscascade bescherming | Steun | |
| Cascade -bescherming op basis van volledig verkeer | Steun | |
| Meerdere load balancing | Steun | |
| Aangepaste hartslag detecterende functie | Steun | |
| Ondersteuning van Ethernet -pakket onafhankelijkheid | Steun | |
| Bypass -schakelaar | Steun | |
| Bypass -schakelaar zonder flitser | Steun | |
| Console mgt | Steun | |
| Ip/web mgt | Steun | |
| SNMP V1/V2C MGT | Steun | |
| Telnet/ssh mgt | Steun | |
| Syslog -protocol | Steun | |
| Gebruikersautorisatie | Gebaseerd op wachtwoordautorisatie/AAA/TACACS+ | |
| Elektrisch | Nominale voedingsspanning | AC-220V/DC-48V 【Optioneel】 |
| Nominale stroomfrequentie | 50Hz | |
| Nominale invoerstroom | AC-3A / DC-10A | |
| Nominale kracht | 100W | |
| Omgeving | Werktemperatuur | 0-50 ℃ |
| Opslagtemperatuur | -20-70 ℃ | |
| Werkvochtigheid | 10%-95%, geen condensatie | |
| Gebruikersconfiguratie | Consoleconfiguratie | RS232 -interface, 115200,8, n, 1 |
| Uit Band MGT -interface | 1*10/100/1000m Ethernet -interface | |
| Wachtwoordautorisatie | Steun | |
| Chassishoogte | Chassisruimte (u) | 1U 19 inch, 485 mm*44,5 mm*350 mm |
5-netwerk Tap Bypass-schakelaar Toepassing (als volgende)
Het volgende is een typische IPS (Intrusion Prevention System), FW (Firewall) implementatiemodus, IPS / FW wordt in serie geïmplementeerd in de netwerkapparatuur (routers, schakelaars, enz.) Tussen het verkeer door de implementatie van beveiligingscontroles, volgens het overeenkomstige beveiligingsbeleid om de release te bepalen of het overeenkomstige verkeer te blokkeren, om het effect van beveiligingsverdediging te bereiken.
Tegelijkertijd kunnen we IPS / FW als een seriële implementatie van de apparatuur waarnemen, meestal geïmplementeerd op de belangrijkste locatie van het bedrijfsnetwerk om seriële beveiliging te implementeren, de betrouwbaarheid van de verbonden apparaten beïnvloedt rechtstreeks de algemene beschikbaarheid van het bedrijfsnetwerk. Zodra de seriële apparaten overbelast, crashen, software -updates, beleidsupdates, enz., Wordt de volledige beschikbaarheid van het bedrijfsnetwerk sterk beïnvloed. Op dit moment kunnen we alleen door de netwerksnijder, fysieke bypass -jumper, het netwerk laten herstellen, wat de betrouwbaarheid van het netwerk ernstig beïnvloedt. IPS / FW en andere seriële apparaten enerzijds verbeteren de implementatie van bedrijfsnetwerkbeveiliging en vermindert daarentegen ook de betrouwbaarheid van bedrijfsnetwerken, waardoor het risico op het netwerk niet beschikbaar is.
5.2 Bescherming van inline link serie apparatuur
MyLinking ™ "Bypass Switch" wordt geïmplementeerd in serie tussen netwerkapparaten (routers, switches, enz.), En de gegevensstroom tussen netwerkapparaten leidt niet langer rechtstreeks naar IPS / FW, "Bypass Switch" naar IPS / FW, wanneer de IPS / FW door de IPS / FW is, wanneer de IPS / FW wordt bijgewerkt. Sla aldus het defecte apparaat over, zonder het uitgangspunt van het netwerk te onderbreken, de snelle netwerkapparatuur die direct is aangesloten om het normale communicatienetwerk te beschermen; Wanneer het IPS / FW -faalherstel, maar ook door intelligente hartslagpakketten detectie van tijdige detectie van de functie, de oorspronkelijke link om de beveiliging van enterprise netwerkbeveiligingscontroles te herstellen.
Mylinking™ "Bypass Switch" has a powerful intelligent heartbeat message detection function, the user can customize the heartbeat interval and the maximum number of retries, through a custom heartbeat message on the IPS / FW for health testing, such as send the heartbeat check message to the upstream / downstream port of IPS / FW, and then receive from the upstream / downstream port of IPS / FW, and judge whether the IPS / FW werkt normaal door het hartslagbericht te verzenden en te ontvangen.
5.3 "Specflow" beleidsstroom inline Traction Series Bescherming
Wanneer het beveiligingsnetwerkapparaat alleen het specifieke verkeer in de beveiligingsbeveiliging van de serie hoeft te behandelen, via de verkeersfunctie van MyLinking ™ "Bypass Switch", is het verkeersapparaat dat het beveiligingsapparaat "wordt teruggestuurd", wordt rechtstreeks teruggestuurd naar de netwerklink, en de "betrokken verkeerssectie" is Traction to the In-Line Safety Device om veiligheidscontroles uit te voeren. Dit zal niet alleen de normale toepassing van de veiligheidsdetectiefunctie van het veiligheidsapparaat handhaven, maar ook de inefficiënte stroom van de veiligheidsapparatuur verminderen om met de druk om te gaan; Tegelijkertijd kan de "bypass -schakelaar" de werkconditie van het veiligheidsapparaat in realtime detecteren. Het veiligheidsapparaat werkt abnormaal omzeilt het gegevensverkeer rechtstreeks om de verstoring van de netwerkservice te voorkomen.
De MyLinking ™ -verkeersbypass-beschermer kan verkeer identificeren op basis van de L2-L4-laag header-ID, zoals VLAN-tag, Bron / Destination MAC-adres, bron-IP-adres, IP-pakkettype, transportlaagprotocolpoort, protocol header-tag tag, enzovoort. Een verscheidenheid aan matching -omstandigheden flexibele combinatie kan flexibel worden gedefinieerd om de specifieke verkeerstypen te definiëren die van belang zijn voor een bepaald beveiligingsapparaat en op grote schaal kunnen worden gebruikt voor de implementatie van speciale beveiligingsauditapparaten (RDP, SSH, database -auditing, enz.).
5.4 Bescherming van de gebalanceerde series
De MyLinking ™ "bypass -schakelaar" wordt in serie geïmplementeerd tussen netwerkapparaten (routers, schakelaars, enz.). Wanneer een enkele IPS / FW -verwerkingsprestaties niet voldoende zijn om het piekverkeer van het netwerkverbinding aan te pakken, kan de verkeersbelastingsbalanceringsfunctie van de beschermer, de "bundel" van meerdere IPS / FW -clusterverwerkingsnetwerkverkeer verkeer, de enkele IPS / FW -verwerkingsdruk effectief verminderen, de algehele verwerkingsprestaties verbeteren om te voldoen aan de hoge bandbreedte van de implementatie van de implementatie -claim voor de implementatie.
MyLinking ™ "Bypass Switch" heeft een krachtige functie voor load balancing, volgens de frame VLAN -tag, MAC -informatie, IP -informatie, poortnummer, protocol en andere informatie over de hash -load -balancing -distributie van verkeer om ervoor te zorgen dat elke IPS / FW -integriteit van de gegevensstroomsessie heeft ontvangen.
5.5 Multi-serie inline apparatuur stroomtractiebescherming (wijzig seriële verbinding met parallelle verbinding)
In sommige belangrijke links (zoals internet-verkooppunten, de locatie Server Area Exchange) is vaak te wijten aan de behoeften van beveiligingsfuncties en de implementatie van meerdere in-line beveiligingstestapparatuur (zoals firewall, anti-DDOS-aanvalsapparatuur, webtoepassing firewall, inbreuk op het netwerk van het netwerk, inbreuk op het gebied van het netwerk. En in de bovengenoemde beveiligingsapparatuur online implementatie, apparatuurupgrades, apparatuurvervanging en andere activiteiten, zullen het netwerk voor een lange tijd onderbreking van de service en een grotere projectuitgesneden actie veroorzaken om de succesvolle implementatie van dergelijke projecten te voltooien.
Door de "bypass -schakelaar" op een uniforme manier te implementeren, kan de implementatiemodus van meerdere beveiligingsapparaten die in serie op dezelfde link zijn aangesloten, worden gewijzigd van "fysieke concatenatiemodus" in "fysieke concatenatie, logische aaneenschakelmodus" De link van een enkel punt van falen om de betrouwbaarheid van de link te verbeteren, terwijl de "Bypass -schakelaar" op de linkstroom op de doopstroom te bereiken om de oorspronkelijke modus te verbeteren.
Meer dan één beveiligingsapparaat tegelijkertijd in serie implementatiediagram:
MyLinking ™ Network Tap Bypass Switch Implementatie Diagram:
5.6 Op basis van de dynamische strategie van bescherming tegen verkeerstractiebeveiliging.
"Bypass -schakelaar" Een ander geavanceerd applicatiescenario is gebaseerd op de dynamische strategie van verkeerstractie -beveiligingsdetectiebeveiligingstoepassingen, de implementatie van de weg zoals hieronder getoond:
Take the "Anti-DDoS attack protection and detection" security testing equipment, for example, through the front-end deployment of " Bypass Switch " and then anti-DDOS protection equipment and then connected to the " Bypass Switch ", in the usual " Traction protector "to the full amount of traffic wire-speed forwarding at the same time the flow mirror output to the" anti-DDOS attack protection device ", once detected for a server IP (or IP network segment) after the Attack, "Anti-DDOS Attack Protection Device" genereert de doelovereenkomstregels voor verkeersstroom en stuurt deze naar de "bypass-schakelaar" via de dynamische beleidsafleveringsinterface. De "bypass-switch" kan de "verkeerstractiedynamiek" bijwerken na ontvangst van de dynamische beleidsregelsregelpool "en onmiddellijk" Rule raakt de tractie van het aanvalsserver verkeer "naar de" Anti-DDOS-aanvalsbescherming en detectie "-apparatuur voor verwerking, om effectief te zijn na de aanvalsstroom en vervolgens opnieuw in het netwerk te worden geïnjecteerd.
Het applicatieschema op basis van de "bypass -schakelaar" is gemakkelijker te implementeren dan de traditionele BGP -route -injectie of ander verkeerstractieschema, en de omgeving is minder afhankelijk van het netwerk en de betrouwbaarheid is hoger.
"Bypass Switch" heeft de volgende kenmerken ter ondersteuning van de bescherming van de dynamische beleidsbeveiligingsdetectie:
1, "Bypass-schakelaar" om buiten de regels te bieden op basis van de webserivce-interface, eenvoudige integratie met beveiligingsapparaten van derden.
2, "Bypass-schakelaar" op basis van de hardware Pure ASIC ChIP doorsturen tot 10 Gbps draadspeed-pakketten zonder de schakeluitvordering te blokkeren, en "verkeerstractie Dynamic Rule Library", ongeacht het nummer.
3, "Bypass-schakelaar" ingebouwde professionele bypass-functie, zelfs als de beschermer zelf falen, ook de oorspronkelijke seriële link onmiddellijk kan omzeilen, heeft geen invloed op de oorspronkelijke link van normale communicatie.
