1- Wat is het Define Heartbeat-pakket?
De heartbeat-pakketten van de Mylinking™ Network Tap Bypass Switch worden standaard gebruikt voor Ethernet Layer 2-frames. Bij gebruik van een transparante Layer 2-bridgingmodus (zoals IPS/FW) worden Layer 2 Ethernet-frames normaal gesproken doorgestuurd, geblokkeerd of verwijderd. Tegelijkertijd ondersteunt de Mylinking™ Network Tap Bypass Switch een aangepast heartbeat-berichtformaat om tegemoet te komen aan de situatie waarin sommige speciale seriële beveiligingsapparaten normaal gesproken geen gewone Layer 2 Ethernet-frames kunnen doorsturen.
De Mylinking™ Network Tap Bypass Switch ondersteunt ook heartbeat-pakketdetectie op basis van VLAN-tags en aangepaste berichttypen voor Layer 3 en Layer 4. Met dit mechanisme kan de gebruiker een serviceveiligheidstestfunctie van het verbindingsbeveiligingsapparaat implementeren om effectiever te garanderen dat de bijbehorende beveiligingsservices correct werken.
De Mylinking™ Network Tap Bypass Switch kan de monitor ondersteunen bij het verzenden van verschillende heartbeat-pakketten in beide richtingen. Zo worden TCP- en UDP-heartbeat-pakketten aangepast op de "Strategy Traffic Traction Protector", afhankelijk van de specifieke kenmerken van het seriële apparaat. U kunt het verzenden van TCP-heartbeat-pakketten op de uplink-poort van monitor A en het verzenden van UDP-heartbeat-pakketten op de downlink-poort van monitor B configureren om het berichtdoorstuurmechanisme van het seriële beveiligingsapparaat te ondersteunen. Deze functie kan de string effectiever garanderen. Sluit de beveiligingsapparatuur aan op de normale werking.
Mylinking™ Network Inline Bypass Switch is onderzocht en ontwikkeld voor flexibele inzet van diverse typen seriële beveiligingsapparatuur en biedt tegelijkertijd een hoge netwerkbetrouwbaarheid.
2-netwerk inline bypass-switch geavanceerde functies en technologieën
Mylinking™ “SpecFlow”-beschermingsmodus en “FullLink”-beschermingsmodustechnologie
Mylinking™ Fast Bypass Switching Protection-technologie
Mylinking™ “LinkSafeSwitch”-technologie
Mylinking™ "WebService" Dynamische Strategie Forwarding/Issue Technologie
Mylinking™ Intelligent Heartbeat-berichtdetectietechnologie
Mylinking™ Definieerbare Heartbeat-berichtentechnologie
Mylinking™ Multi-link Load Balancing-technologie
Mylinking™ Intelligente Verkeersdistributietechnologie
Mylinking™ Dynamische Load Balancing Technologie
Mylinking™-technologie voor beheer op afstand (HTTP/WEB, TELNET/SSH, kenmerk “EasyConfig/AdvanceConfig”)
Toepassing van 3-netwerk inline bypass-switch (zoals hieronder)
3.1 Het risico van inline-beveiligingsapparatuur (IPS/FW)
Hieronder staat een typische IPS (Intrusion Prevention System) FW (Firewall) implementatiemodus, IPS/FW wordt in serie geïmplementeerd op de netwerkapparatuur (routers, switches, etc.) tussen het verkeer door de implementatie van beveiligingscontroles, volgens het bijbehorende beveiligingsbeleid om te bepalen of het bijbehorende verkeer moet worden vrijgegeven of geblokkeerd om het effect van de beveiligingsverdediging te bereiken.
Tegelijkertijd kunnen we IPS/FW zien als een seriële implementatie van apparatuur, meestal geïnstalleerd op de belangrijkste locaties in het bedrijfsnetwerk om seriële beveiliging te implementeren. De betrouwbaarheid van de aangesloten apparaten heeft direct invloed op de algehele beschikbaarheid van het bedrijfsnetwerk. Zodra seriële apparaten overbelast raken, crashen, software-updates of beleidswijzigingen optreden, heeft dit een grote invloed op de beschikbaarheid van het gehele bedrijfsnetwerk. In dit geval kunnen we het netwerk alleen herstellen via een netwerkonderbreking of een fysieke bypassjumper, wat de betrouwbaarheid van het netwerk ernstig beïnvloedt. IPS/FW en andere seriële apparaten verbeteren enerzijds de implementatie van de beveiliging van het bedrijfsnetwerk, maar verminderen anderzijds ook de betrouwbaarheid van bedrijfsnetwerken, waardoor het risico toeneemt dat het netwerk niet beschikbaar is.
3.2 Inline Link-serie apparatuurbeveiliging
Mylinking™ "Network Inline Bypass" wordt in serie ingezet tussen netwerkapparaten (routers, switches, etc.), en de gegevensstroom tussen netwerkapparaten leidt niet langer rechtstreeks naar IPS/FW, "Network Inline Bypass" naar IPS/FW, wanneer de IPS/FW door overbelasting, crash, software-updates, beleidsupdates en andere storingsomstandigheden, de "Network Inline Bypass" door middel van intelligente heartbeat-berichtdetectie Functie van de tijdige detectie, en zo het defecte apparaat overslaan, zonder de premisse van het netwerk te onderbreken, de snelle netwerkapparatuur die rechtstreeks is aangesloten om het normale communicatienetwerk te beschermen; bij het herstel van de IPS/FW-storing, maar ook door middel van intelligente heartbeat-pakketten Detectie van tijdige detectie van de functie, de originele link om de beveiliging van de beveiligingscontroles van het bedrijfsnetwerk te herstellen.
Mylinking™ “Network Inline Bypass” beschikt over een krachtige, intelligente functie voor het detecteren van heartbeat-berichten. De gebruiker kan het heartbeat-interval en het maximale aantal nieuwe pogingen aanpassen via een aangepast heartbeat-bericht op de IPS/FW voor gezondheidstests, zoals het verzenden van het heartbeat-controlebericht naar de upstream/downstream-poort van de IPS/FW, en het vervolgens ontvangen van de upstream/downstream-poort van de IPS/FW en beoordelen of de IPS/FW normaal werkt door het verzenden en ontvangen van het heartbeat-bericht.
3.3 "SpecFlow" Beleidsstroom Inline Traction Series Bescherming
Wanneer het beveiligingsnetwerkapparaat alleen het specifieke verkeer in seriebeveiliging hoeft te verwerken, wordt het verkeer via de Mylinking™ "Network Inline Bypass"-verwerkingsfunctie en de verkeersscreeningsstrategie van het beveiligingsapparaat rechtstreeks teruggestuurd naar de netwerkverbinding. Het betreffende verkeersgedeelte wordt vervolgens naar het in-line veiligheidsapparaat geleid om veiligheidscontroles uit te voeren. Dit zorgt er niet alleen voor dat de veiligheidsdetectiefunctie van het veiligheidsapparaat normaal blijft werken, maar vermindert ook de inefficiënte stroom van veiligheidsapparatuur om de druk te beheersen. Tegelijkertijd kan de "Network Inline Bypass" de werking van het veiligheidsapparaat in realtime detecteren. Het veiligheidsapparaat werkt abnormaal en omzeilt het dataverkeer direct om verstoring van de netwerkdienst te voorkomen.
3.4 Load balanced seriebeveiliging
De Mylinking™ "Network Inline Bypass" wordt in serie tussen netwerkapparaten (routers, switches, enz.) ingezet. Wanneer de verwerkingsprestaties van één IPS/FW niet voldoende zijn om de piek in het netwerkverkeer aan te kunnen, kan de load balancing-functie van de protector, het bundelen van meerdere IPS/FW-clusterverwerkingsnetwerkverkeer, de verwerkingsdruk van één IPS/FW effectief verminderen en de algehele verwerkingsprestaties verbeteren om te voldoen aan de hoge bandbreedte van de implementatieomgeving.
Mylinking™ “Network Inline Bypass” beschikt over een krachtige load balancing-functie, op basis van de VLAN-tag van het frame, MAC-informatie, IP-informatie, poortnummer, protocol en andere informatie over de hash load balancing-verdeling van het verkeer om ervoor te zorgen dat elke IPS/FW de gegevensstroom en sessie-integriteit ontvangt.
3.5 Multi-serie inline apparatuurstroom tractiebeveiliging (verander seriële verbinding naar parallelle verbinding)
In sommige belangrijke schakels (zoals internetaansluitingen en serverruimte-uitwisselingsverbindingen) wordt de locatie vaak bepaald door de behoeften aan beveiligingsfuncties en de inzet van meerdere in-line beveiligingstestapparatuur (zoals firewalls, anti-DDOS-apparatuur, webapplicatiefirewalls, inbraakpreventieapparatuur, enz.). Meerdere beveiligingsdetectieapparatuur wordt tegelijkertijd in serie op de schakel geplaatst om de verbinding met een enkelvoudig storingspunt te vergroten, wat de algehele betrouwbaarheid van het netwerk vermindert. Bij de bovengenoemde online implementatie van beveiligingsapparatuur zullen upgrades, vervangingen en andere handelingen leiden tot langdurige netwerkonderbrekingen en een grotere projectbezuiniging om de succesvolle implementatie van dergelijke projecten te voltooien.
Door de "Network Inline Bypass" op een uniforme manier te implementeren, kan de implementatiemodus van meerdere beveiligingsapparaten die in serie zijn aangesloten op dezelfde link worden gewijzigd van "fysieke aaneenschakelingsmodus" naar "fysieke aaneenschakeling, logische aaneenschakelingsmodus". De link op de link van een enkelvoudig punt van falen om de betrouwbaarheid van de link te verbeteren, terwijl de "Network Inline Bypass" op de linkstroom op aanvraagtractie, om dezelfde stroom te bereiken met de oorspronkelijke modus van veilige verwerkingseffect.
Meerdere beveiligingsapparaten tegelijk in een serie-implementatiediagram:
Diagram voor de implementatie van een netwerk-inline-bypassswitch:
3.6 Gebaseerd op de dynamische strategie van Traffic Traction Security Detection Protection
“Netwerk Inline Bypass” Een ander geavanceerd toepassingsscenario is gebaseerd op de dynamische strategie van toepassingen voor detectie van verkeersbeveiliging, waarbij de inzet op de hieronder weergegeven manier plaatsvindt:
Neem bijvoorbeeld de beveiligingstestapparatuur voor "Anti-DDoS-aanvalsbeveiliging en -detectie", via de front-end implementatie van "Network Inline Bypass" en vervolgens anti-DDOS-beveiligingsapparatuur, en vervolgens aangesloten op de "Network Inline Bypass", in de gebruikelijke "Traction Protector" om de volledige hoeveelheid verkeer op draadsnelheid door te sturen, tegelijkertijd de stroomspiegeluitgang naar het "Anti-DDOS-aanvalsbeveiligingsapparaat". Zodra een server-IP (of IP-netwerksegment) na de aanval is gedetecteerd, genereert het "Anti-DDOS-aanvalsbeveiligingsapparaat" de regels voor de doelverkeersstroom en stuurt deze naar de "Network Inline Bypass" via de dynamische beleidsleveringsinterface. De "Network Inline Bypass" kan de "dynamiek van de verkeersstroom" bijwerken na ontvangst van de dynamische beleidsregels. Regelpool "en onmiddellijk" regel raakt de "aanvalsserververkeers" aan naar de "Anti-DDoS-aanvalsbeveiligings- en -detectie"-apparatuur voor verwerking, om effectief te zijn na de aanvalsstroom en vervolgens opnieuw in het netwerk te worden geïnjecteerd.
Het toepassingsschema op basis van de “Network Inline Bypass” is eenvoudiger te implementeren dan de traditionele BGP-route-injectie of een ander verkeerstractieschema. Bovendien is de omgeving minder afhankelijk van het netwerk en is de betrouwbaarheid hoger.
"Network Inline Bypass" heeft de volgende kenmerken ter ondersteuning van dynamische beleidsbeveiligingsdetectie:
1. "Network Inline Bypass" om buiten de regels op basis van de WEBSERIVCE-interface te voorzien in eenvoudige integratie met beveiligingsapparaten van derden.
2, "Network Inline Bypass" gebaseerd op de hardware pure ASIC-chip die pakketten met een draadsnelheid tot 10 Gbps doorstuurt zonder de switchdoorsturing te blokkeren, en "traffic traction dynamic rule library" ongeacht het aantal.
3. Ingebouwde professionele BYPASS-functie "Network Inline Bypass", zelfs als de beschermer zelf faalt, kan hij de originele seriële verbinding onmiddellijk omzeilen, zonder de originele verbinding van normale communicatie te beïnvloeden.
Plaatsingstijd: 23-12-2021
