Mylinking™ netwerkkraan-bypassschakelaar ML-BYPASS-200
2*Bypass plus 1*Monitor Modulair Ontwerp, 10/40/100GE Links, Max 640Gbps
1-Overzichten
Door Mylinking™ Smart Bypass Switch te implementeren:
- Gebruikers kunnen beveiligingsapparatuur flexibel installeren en verwijderen, zonder dat dit invloed heeft op het huidige netwerk en zonder dat er onderbrekingen optreden;
- Mylinking™ Network Tap Bypass Switch met intelligente gezondheidsdetectiefunctie voor realtimebewaking van de normale werkstatus van het seriële beveiligingsapparaat. Zodra het seriële beveiligingsapparaat een uitzonderingsfunctie uitvoert, wordt de beveiliging automatisch omzeild om de normale netwerkcommunicatie te behouden.
- Selectieve verkeersbeveiligingstechnologie kan worden gebruikt om specifieke beveiligingsapparatuur voor verkeersreiniging en encryptietechnologie in te zetten op basis van de auditapparatuur. Effectieve seriële toegangsbeveiliging voor het specifieke verkeerstype uitvoeren, waarbij de stroomafhandelingsdruk van het seriële apparaat wordt ontlast.
- Load Balanced Traffic Protection-technologie kan worden gebruikt voor geclusterde implementatie van beveiligde seriële apparaten om te voldoen aan de behoefte aan seriële beveiliging in omgevingen met een hoge bandbreedte.
Met de snelle ontwikkeling van internet wordt de dreiging voor netwerkinformatiebeveiliging steeds ernstiger, waardoor een breed scala aan informatiebeveiligingstoepassingen steeds breder wordt gebruikt. Of het nu gaat om traditionele toegangscontroleapparatuur (firewall) of een nieuw type geavanceerdere beschermingsmiddelen zoals een Intrusion Prevention System (IPS), Unified Threat Management Platform (UTM), Anti-Denial Service Attack System (Anti-DDoS), Anti-Span Gateway, Unified DPI Traffic Identification and Control System, en veel beveiligingsapparaten worden in serie ingezet in de belangrijkste netwerkknooppunten, waarbij het bijbehorende gegevensbeveiligingsbeleid wordt geïmplementeerd om legaal/illegaal verkeer te identificeren en aan te pakken. Tegelijkertijd zal het computernetwerk echter een grote netwerkvertraging of zelfs netwerkstoring genereren in geval van failover, onderhoud, upgrades, vervanging van apparatuur, enzovoort, in een zeer betrouwbare productienetwerkomgeving, kunnen gebruikers dit niet verdragen.
Geavanceerde functies en technologieën voor 2-netwerk-bypass-switches
Mylinking™ “SpecFlow”-beschermingsmodus en “FullLink”-beschermingsmodustechnologie
Mylinking™ Fast Bypass Switching Protection-technologie
Mylinking™ “LinkSafeSwitch”-technologie
Mylinking™ "WebService" Dynamische Strategie Forwarding/Issue Technologie
Mylinking™ Intelligent Heartbeat-berichtdetectietechnologie
Mylinking™ Definieerbare Heartbeat-berichtentechnologie
Mylinking™ Multi-link Load Balancing-technologie
Mylinking™ Intelligente Verkeersdistributietechnologie
Mylinking™ Dynamische Load Balancing Technologie
Mylinking™-technologie voor beheer op afstand (HTTP/WEB, TELNET/SSH, kenmerk “EasyConfig/AdvanceConfig”)
3-Configuratiehandleiding voor netwerk-bypass-switches
OMLEIDINGBeschermingspoortmodulesleuf:
Deze sleuf kan worden geplaatst in een BYPASS-beveiligingspoortmodule met verschillende snelheden/poortnummers. Door verschillende typen modules te vervangen, kan de BYPASS-beveiliging van meerdere 10G/40G/100G-verbindingen worden ondersteund.
MONITORPoortmodule-sleuf;
Deze sleuf kan in de MONITOR-poortmodule met verschillende snelheden/poorten worden geplaatst. Het ondersteunt de implementatie van meerdere 10G/40G/100G online seriële bewakingsapparaten door verschillende modellen te vervangen.
Regels voor moduleselectie
Op basis van de verschillende geïmplementeerde koppelingen en implementatievereisten voor bewakingsapparatuur kunt u flexibel verschillende moduleconfiguraties kiezen om aan de werkelijke behoeften van uw omgeving te voldoen. Houd u bij het selecteren aan de volgende regels:
1. De chassiscomponenten zijn verplicht en u moet de chassiscomponenten selecteren voordat u andere modules selecteert. Kies tegelijkertijd verschillende voedingsmethoden (AC/DC) op basis van uw behoeften.
2. De gehele machine ondersteunt maximaal 2 BYPASS-moduleslots en 1 MONITOR-moduleslot; u kunt niet meer slots selecteren dan het aantal te configureren slots. Afhankelijk van de combinatie van het aantal slots en het modulemodel kan het apparaat maximaal vier 10GE-linkbeveiligingen ondersteunen, of maximaal vier 40GE-links, of maximaal één 100GE-link.
3. Het modulemodel "BYP-MOD-L1CG" kan alleen in SLOT1 worden geplaatst om correct te functioneren.
4. De module van het type "BYP-MOD-XXX" kan uitsluitend in de BYPASS-modulesleuf worden geplaatst; de module van het type "MON-MOD-XXX" kan uitsluitend in de MONITOR-modulesleuf worden geplaatst voor normale werking.
| Productmodel | Functieparameters |
| Chassis (gastheer) | |
| ML-BYPASS-M200 | 1U standaard 19-inch rackmount; maximaal stroomverbruik 250 W; modulaire BYPASS-protectorhost; 2 BYPASS-moduleslots; 1 MONITOR-moduleslot; AC en DC optioneel; |
| BYPASS-MODULE | |
| BYP-MOD-L2XG(LM/SM) | Ondersteunt 2-weg 10GE link seriële bescherming, 4*10GE interface, LC-connector; ingebouwde optische transceiver; optische link single/multimode optioneel, ondersteunt 10GBASE-SR/LR; |
| BYP-MOD-L2QXG(LM/SM) | Ondersteunt 2-weg 40GE link seriële bescherming, 4*40GE interface, LC-connector; ingebouwde optische transceiver; optische link single/multimode optioneel, ondersteunt 40GBASE-SR4/LR4; |
| BYP-MOD-L1CG (LM/SM) | Ondersteunt 1 kanaal 100GE link seriële bescherming, 2*100GE interface, LC-connector; ingebouwde optische transceiver; optische link enkele multimode optioneel, ondersteunt 100GBASE-SR4/LR4; |
| MONITORMODULE | |
| MON-MOD-L16XG | 16*10GE SFP+ bewakingspoortmodule; geen optische transceivermodule; |
| MON-MOD-L8XG | 8*10GE SFP+ bewakingspoortmodule; geen optische transceivermodule; |
| MON-MOD-L2CG | 2*100GE QSFP28 bewakingspoortmodule; geen optische transceivermodule; |
| MON-MOD-L8QXG | 8* 40GE QSFP+ bewakingspoortmodule; geen optische transceivermodule; |
Specificaties voor 4-netwerk TAP-bypassswitches
| Productmodaliteit | ML-BYPASS-M200 seriële bypass-schakelaar | |
| Type interface | MGT-interface | 1*10/100/1000BASE-T adaptieve beheerinterface; ondersteuning voor extern HTTP/IP-beheer |
| Modulesleuf | 2*BYPASS-moduleslot; 1*MONITOR-moduleslot; | |
| Links die maximaal ondersteunen | Apparaat ondersteunt maximaal 4*10GE-links of 4*40GE-links of 1*100GE-links | |
| Monitor | Het apparaat ondersteunt maximaal 16*10GE bewakingspoorten of 8*40GE bewakingspoorten of 2*100GE bewakingspoorten. | |
| Functie | Volledige duplex verwerkingscapaciteit | 640 Gbps |
| Gebaseerd op IP/protocol/poort vijf tuple-specifieke verkeerscascadebeveiliging | Steun | |
| Cascadebeveiliging op basis van volledig verkeer | Steun | |
| Meervoudige load balancing | Steun | |
| Aangepaste hartslagdetectiefunctie | Steun | |
| Ondersteunt Ethernet-pakketonafhankelijkheid | Steun | |
| BYPASS-SCHAKELAAR | Steun | |
| BYPASS-schakelaar zonder flits | Steun | |
| CONSOLE MGT | Steun | |
| IP/WEB MGT | Steun | |
| SNMP V1/V2C MGT | Steun | |
| TELNET/SSH-BEHEER | Steun | |
| SYSLOG-protocol | Steun | |
| Gebruikersautorisatie | Gebaseerd op wachtwoordautorisatie/AAA/TACACS+ | |
| Elektrisch | Nominale voedingsspanning | AC-220V/DC-48V【Optioneel】 |
| Nominale netfrequentie | 50 Hz | |
| Nominale ingangsstroom | AC-3A / DC-10A | |
| Nominaal vermogen | 100W | |
| Omgeving | Werktemperatuur | 0-50℃ |
| Opslagtemperatuur | -20-70℃ | |
| Werkvochtigheid | 10%-95%, geen condensatie | |
| Gebruikersconfiguratie | Consoleconfiguratie | RS232-interface,115200,8,N,1 |
| Out-of-band MGT-interface | 1*10/100/1000M Ethernet-interface | |
| Wachtwoordautorisatie | Steun | |
| Chassishoogte | Chassisruimte (U) | 1U 19 inch, 485 mm * 44,5 mm * 350 mm |
5-Netwerk TAP Bypass Switch-toepassing (zoals hieronder)
Hieronder staat een typische IPS (Intrusion Prevention System) FW (Firewall) implementatiemodus, IPS/FW wordt in serie geïmplementeerd op de netwerkapparatuur (routers, switches, etc.) tussen het verkeer door de implementatie van beveiligingscontroles, volgens het bijbehorende beveiligingsbeleid om te bepalen of het bijbehorende verkeer moet worden vrijgegeven of geblokkeerd om het effect van de beveiligingsverdediging te bereiken.
Tegelijkertijd kunnen we IPS/FW zien als een seriële implementatie van apparatuur, meestal geïnstalleerd op de belangrijkste locaties in het bedrijfsnetwerk om seriële beveiliging te implementeren. De betrouwbaarheid van de aangesloten apparaten heeft direct invloed op de algehele beschikbaarheid van het bedrijfsnetwerk. Zodra seriële apparaten overbelast raken, crashen, software-updates of beleidswijzigingen optreden, heeft dit een grote invloed op de beschikbaarheid van het gehele bedrijfsnetwerk. In dit geval kunnen we het netwerk alleen herstellen via een netwerkonderbreking of een fysieke bypassjumper, wat de betrouwbaarheid van het netwerk ernstig beïnvloedt. IPS/FW en andere seriële apparaten verbeteren enerzijds de implementatie van de beveiliging van het bedrijfsnetwerk, maar verminderen anderzijds ook de betrouwbaarheid van bedrijfsnetwerken, waardoor het risico toeneemt dat het netwerk niet beschikbaar is.
5.2 Inline Link-serie apparatuurbeveiliging
Mylinking™ "Bypass Switch" wordt in serie ingezet tussen netwerkapparaten (routers, switches, etc.), en de gegevensstroom tussen netwerkapparaten leidt niet langer rechtstreeks naar IPS/FW, "Bypass Switch" naar IPS/FW, wanneer de IPS/FW door overbelasting, crashes, software-updates, beleidsupdates en andere omstandigheden van falen, de "Bypass Switch" door middel van intelligente heartbeat-berichtdetectiefunctie van de tijdige detectie, en slaat zo het defecte apparaat over, zonder de premisse van het netwerk te onderbreken, de snelle netwerkapparatuur die rechtstreeks is aangesloten om het normale netwerkcommunicatie te beschermen; bij IPS/FW-falen herstel, maar ook door middel van intelligente heartbeat-pakkettendetectie van tijdige detectie van de functie, de oorspronkelijke link om de beveiliging van bedrijfsnetwerkbeveiligingscontroles te herstellen.
Mylinking™ "Bypass Switch" beschikt over een krachtige, intelligente functie voor het detecteren van heartbeat-berichten. De gebruiker kan het heartbeat-interval en het maximale aantal nieuwe pogingen aanpassen via een aangepast heartbeat-bericht op de IPS/FW voor gezondheidstests. Zo kan het heartbeat-controlebericht naar de upstream/downstream-poort van de IPS/FW worden verzonden en vervolgens van de upstream/downstream-poort van de IPS/FW worden ontvangen en kan worden beoordeeld of de IPS/FW normaal functioneert door het heartbeat-bericht te verzenden en te ontvangen.
5.3 "SpecFlow" Beleidsstroom Inline Traction Series Bescherming
Wanneer het beveiligingsnetwerkapparaat alleen het specifieke verkeer in seriebeveiliging hoeft te verwerken, wordt het verkeer via de Mylinking™ "Bypass Switch"-verwerkingsfunctie en de verkeersscreeningsstrategie van het beveiligingsapparaat rechtstreeks teruggestuurd naar de netwerkverbinding. Het betreffende verkeersgedeelte wordt vervolgens naar het inline-beveiligingsapparaat geleid om veiligheidscontroles uit te voeren. Dit zorgt er niet alleen voor dat de veiligheidsdetectiefunctie van het beveiligingsapparaat normaal blijft werken, maar vermindert ook de inefficiënte stroom van de veiligheidsapparatuur om de druk te beheersen. Tegelijkertijd kan de "Bypass Switch" de werking van het beveiligingsapparaat in realtime detecteren. Het beveiligingsapparaat werkt abnormaal en omzeilt het dataverkeer direct om verstoring van de netwerkdienst te voorkomen.
De Mylinking™ Traffic Bypass Protector kan verkeer identificeren op basis van de L2-L4-laagheader-ID, zoals VLAN-tag, bron-/bestemmings-MAC-adres, bron-IP-adres, IP-pakkettype, transportlaagprotocolpoort, protocolheader-sleuteltag, enzovoort. Er kan een verscheidenheid aan flexibele combinaties van matchingvoorwaarden worden gedefinieerd om de specifieke verkeerstypen te definiëren die van belang zijn voor een bepaald beveiligingsapparaat. Deze combinaties kunnen breed worden gebruikt voor de implementatie van speciale beveiligingsauditapparaten (RDP, SSH, database-audit, enz.).
5.4 Load balanced seriebeveiliging
De Mylinking™ "Bypass Switch" wordt in serie tussen netwerkapparaten (routers, switches, enz.) geplaatst. Wanneer de verwerkingsprestaties van één IPS/FW niet voldoende zijn om de piek in het netwerkverkeer te verwerken, kan de Traffic Load Balancing-functie van de protector, het bundelen van meerdere IPS/FW-clusterverwerkingsnetwerkverkeer, de verwerkingsdruk van één IPS/FW effectief verminderen en de algehele verwerkingsprestaties verbeteren om te voldoen aan de hoge bandbreedte van de implementatieomgeving.
Mylinking™ "Bypass Switch" beschikt over een krachtige load balancing-functie, op basis van de VLAN-tag van het frame, MAC-informatie, IP-informatie, poortnummer, protocol en andere informatie over de hash load balancing-verdeling van het verkeer. Zo wordt gegarandeerd dat elke IPS/FW de gegevensstroom ontvangt en de sessie-integriteit behoudt.
5.5 Multi-serie inline apparatuurstroom tractiebeveiliging (verander seriële verbinding naar parallelle verbinding)
In sommige belangrijke schakels (zoals internetaansluitingen en serverruimte-uitwisselingsverbindingen) wordt de locatie vaak bepaald door de behoeften aan beveiligingsfuncties en de inzet van meerdere in-line beveiligingstestapparatuur (zoals firewalls, anti-DDOS-apparatuur, webapplicatiefirewalls, inbraakpreventieapparatuur, enz.). Meerdere beveiligingsdetectieapparatuur wordt tegelijkertijd in serie op de schakel geplaatst om de verbinding met een enkelvoudig storingspunt te vergroten, wat de algehele betrouwbaarheid van het netwerk vermindert. Bij de bovengenoemde online implementatie van beveiligingsapparatuur zullen upgrades, vervangingen en andere handelingen leiden tot langdurige netwerkonderbrekingen en een grotere projectbezuiniging om de succesvolle implementatie van dergelijke projecten te voltooien.
Door de "Bypass Switch" op uniforme wijze in te zetten, kan de inzetmodus van meerdere beveiligingsapparaten die in serie zijn aangesloten op dezelfde verbinding, worden gewijzigd van "fysieke aaneenschakelingsmodus" naar "fysieke aaneenschakelings-, logische aaneenschakelingsmodus". De verbinding op de verbinding van een enkelvoudig storingspunt verbetert de betrouwbaarheid van de verbinding, terwijl de "bypass Switch" op de verbinding de stroom op aanvraag tractie geeft, om dezelfde stroom te bereiken met de oorspronkelijke modus van veilige verwerkingseffect.
Meerdere beveiligingsapparaten tegelijk in een serie-implementatiediagram:
Implementatiediagram voor Mylinking™ Network TAP Bypass Switch:
5.6 Gebaseerd op de dynamische strategie van Traffic Traction Security Detection Protection
"Bypass-schakelaar" Een ander geavanceerd toepassingsscenario is gebaseerd op de dynamische strategie van toepassingen voor detectie van verkeerstractiebeveiliging, waarbij de inzet op de hieronder weergegeven manier plaatsvindt:
Neem bijvoorbeeld de beveiligingstestapparatuur voor "Anti-DDoS-aanvalsbeveiliging en -detectie", via de front-end implementatie van de "Bypass Switch" en vervolgens de anti-DDOS-beveiligingsapparatuur, die vervolgens is aangesloten op de "Bypass Switch". In de gebruikelijke "Traction Protector" wordt de volledige hoeveelheid dataverkeer met draadsnelheid doorgestuurd, terwijl de stroomspiegel tegelijkertijd naar de "Anti-DDOS-aanvalsbeveiliging" wordt gestuurd. Zodra een server-IP (of IP-netwerksegment) na de aanval is gedetecteerd, genereert de "Anti-DDOS-aanvalsbeveiliging" de regels voor de doelverkeersstroom en stuurt deze naar de "Bypass Switch" via de interface voor dynamische beleidslevering. De "Bypass Switch" kan de dynamische "tractie van dataverkeer" bijwerken na ontvangst van de dynamische beleidsregels in de "Rule pool" en onmiddellijk de regel "treffen" die het dataverkeer van de aanvalsserver "tractie" naar de "Anti-DDoS-aanvalsbeveiliging en -detectie"-apparatuur stuurt, om effectief te zijn na de aanval en vervolgens opnieuw in het netwerk te worden geïnjecteerd.
Het toepassingsschema op basis van de "Bypass Switch" is eenvoudiger te implementeren dan de traditionele BGP-route-injectie of andere verkeerstractieschema's. Bovendien is de omgeving minder afhankelijk van het netwerk en is de betrouwbaarheid hoger.
"Bypass Switch" heeft de volgende kenmerken ter ondersteuning van dynamische beleidsbeveiligingsdetectie:
1. "Bypass Switch" om buiten de regels te voorzien op basis van de WEBSERIVCE-interface, eenvoudige integratie met beveiligingsapparaten van derden.
2, "Bypass Switch" gebaseerd op de hardware pure ASIC-chip die pakketten met een draadsnelheid tot 10Gbps doorstuurt zonder de switch-doorsturing te blokkeren, en "traffic traction dynamic rule library" ongeacht het aantal.
3. "Bypass Switch" heeft een ingebouwde professionele BYPASS-functie. Zelfs als de protector zelf uitvalt, kan hij de originele seriële verbinding onmiddellijk omzeilen. Dit heeft geen invloed op de originele verbinding van de normale communicatie.
