1- Wat is het Define Heartbeat Packet?
De heartbeat-pakketten van de Mylinking™ Network Tap Bypass Switch zijn standaard Ethernet Layer 2-frames. Bij gebruik van de transparante Layer 2-bridgingmodus (zoals IPS/FW) worden Layer 2 Ethernet-frames normaal gesproken doorgestuurd, geblokkeerd of verworpen. Tegelijkertijd ondersteunt de Mylinking™ Network Tap Bypass Switch een aangepast heartbeat-berichtformaat voor situaties waarin bepaalde speciale seriële beveiligingsapparaten geen gewone Layer 2 Ethernet-frames kunnen doorsturen.
De Mylinking™ Network Tap Bypass Switch ondersteunt ook heartbeat-pakketdetectie op basis van VLAN-tags, Layer 3- en Layer 4-aangepaste berichttypen. Dankzij dit mechanisme kan de gebruiker een functie voor serviceveiligheidstests van het verbindingsbeveiligingsapparaat implementeren, waardoor effectiever wordt gegarandeerd dat de bijbehorende beveiligingsservices correct werken.
De Mylinking™ Network Tap Bypass Switch kan de monitor ondersteunen bij het verzenden van verschillende heartbeat-pakketten in beide richtingen. Zo kunnen bijvoorbeeld TCP- en UDP-heartbeat-pakketten worden aangepast op de "Strategy Traffic Traction Protector", afhankelijk van de specifieke kenmerken van het seriële apparaat. U kunt het verzenden van TCP-heartbeat-pakketten configureren op de uplink-monitorpoort A en het verzenden van UDP-heartbeat-pakketten op de downlink-monitorpoort B om het berichtdoorstuurmechanisme van het seriële beveiligingsapparaat te ondersteunen. Deze functie kan de normale werking van de verbinding tussen de beveiligingsapparatuur effectiever garanderen.
De Mylinking™ Network Inline Bypass Switch is onderzocht en ontwikkeld voor de flexibele inzet van diverse soorten seriële beveiligingsapparatuur, met behoud van een hoge netwerkbetrouwbaarheid.
2-Netwerk Inline Bypass Switch Geavanceerde Functies en Technologieën
Mylinking™ “SpecFlow”-beveiligingsmodus en “FullLink”-beveiligingsmodustechnologie
Mylinking™ snelle bypass-schakelbeveiligingstechnologie
Mylinking™ “LinkSafeSwitch”-technologie
Mylinking™ “WebService” Dynamische strategie voor het doorsturen/uitgeven van strategieën
Mylinking™ intelligente technologie voor het detecteren van hartslagberichten
Mylinking™ Definable Heartbeat Messages Technology
Mylinking™ Multi-link Load Balancing-technologie
Mylinking™ intelligente technologie voor verkeersdistributie
Mylinking™ Dynamische Taakverdelingstechnologie
Mylinking™ Technologie voor beheer op afstand (HTTP/WEB, TELNET/SSH, “EasyConfig/AdvanceConfig”-functie)
3-Netwerk inline bypass-switchtoepassing (zoals hieronder)
3.1 Het risico van inline beveiligingsapparatuur (IPS/FW)
Het volgende is een typische implementatiemodus voor een IPS (Intrusion Prevention System) en een FW (Firewall). IPS en FW worden in serie geschakeld tussen netwerkapparatuur (routers, switches, enz.) om het verkeer te controleren. Op basis van het bijbehorende beveiligingsbeleid wordt bepaald of het betreffende verkeer wordt doorgelaten of geblokkeerd, waarmee de beveiliging wordt gewaarborgd.
Tegelijkertijd kunnen we IPS/FW beschouwen als een seriële implementatie van apparatuur, meestal geplaatst op cruciale locaties in het bedrijfsnetwerk om seriële beveiliging te implementeren. De betrouwbaarheid van de aangesloten apparaten heeft direct invloed op de algehele beschikbaarheid van het bedrijfsnetwerk. Wanneer seriële apparaten overbelast raken, crashen, software-updates of beleidsupdates ondergaan, zal de beschikbaarheid van het gehele bedrijfsnetwerk ernstig worden beïnvloed. In dat geval kunnen we het netwerk alleen herstellen door de netwerkverbinding te verbreken of een fysieke bypass-jumper te plaatsen, wat de betrouwbaarheid van het netwerk ernstig in gevaar brengt. IPS/FW en andere seriële apparaten verbeteren enerzijds de implementatie van de beveiliging van bedrijfsnetwerken, maar verminderen anderzijds de betrouwbaarheid van bedrijfsnetwerken en verhogen het risico op netwerkuitval.
3.2 Inline Link-serie apparatuurbeveiliging
Mylinking™ "Network Inline Bypass" wordt in serie tussen netwerkapparaten (routers, switches, enz.) ingezet, waardoor de datastroom tussen netwerkapparaten niet langer rechtstreeks via de IPS/FW loopt. "Network Inline Bypass" omzeilt de IPS/FW wanneer deze door overbelasting, een crash, software-updates, beleidsupdates of andere oorzaken uitvalt. "Network Inline Bypass" detecteert het defecte apparaat tijdig via een intelligente heartbeat-berichtdetectiefunctie en slaat zo het apparaat over, zonder de netwerkverbinding te onderbreken. Hierdoor kan de verbinding snel en direct hersteld worden, waardoor de normale communicatie in het netwerk gewaarborgd blijft. Ook bij een uitval van de IPS/FW detecteert "Network Inline Bypass" via een intelligente heartbeat-berichtdetectiefunctie tijdig de oorspronkelijke verbinding en herstelt zo de beveiliging van het bedrijfsnetwerk.
Mylinking™ “Network Inline Bypass” beschikt over een krachtige, intelligente functie voor het detecteren van heartbeat-berichten. De gebruiker kan het heartbeat-interval en het maximale aantal herhalingspogingen aanpassen. Via een aangepast heartbeat-bericht op de IPS/FW voor gezondheidstests kan bijvoorbeeld een heartbeat-controlebericht naar de upstream/downstream-poort van de IPS/FW worden verzonden en vervolgens van dezelfde poort worden ontvangen. Op basis van het verzenden en ontvangen van het heartbeat-bericht kan vervolgens worden beoordeeld of de IPS/FW normaal functioneert.
3.3 “SpecFlow”-beleidsstroom Inline Traction Series-bescherming
Wanneer het beveiligingsnetwerkapparaat alleen specifiek verkeer hoeft te verwerken in een serieel beveiligingsproces, maakt de Mylinking™ "Network Inline Bypass"-verkeersverwerkingsfunctie gebruik van een verkeersfilterstrategie om het "betreffende" verkeer van het beveiligingsapparaat direct terug te sturen naar de netwerkverbinding. Dit "betreffende" verkeersgedeelte wordt vervolgens doorgestuurd naar het inline-beveiligingsapparaat voor veiligheidscontroles. Dit zorgt er niet alleen voor dat de veiligheidsdetectiefunctie van het beveiligingsapparaat normaal blijft werken, maar vermindert ook de inefficiënte belasting van de beveiligingsapparatuur. Tegelijkertijd detecteert "Network Inline Bypass" de werkingsstatus van het beveiligingsapparaat in realtime. Bij een storing in het beveiligingsapparaat wordt het dataverkeer direct omgeleid om verstoring van de netwerkservice te voorkomen.
3.4 Belastingsgebalanceerde seriebeveiliging
De Mylinking™ “Network Inline Bypass” wordt in serie tussen netwerkapparaten (routers, switches, enz.) geplaatst. Wanneer de verwerkingscapaciteit van een enkele IPS/FW niet voldoende is om de piekbelasting van de netwerkverbinding aan te kunnen, kan de load balancing-functie van de protector, door de verwerking van netwerkverkeer door meerdere IPS/FW-clusters te bundelen, de belasting van een enkele IPS/FW effectief verminderen en de algehele verwerkingscapaciteit verbeteren om te voldoen aan de eisen van de hoge bandbreedte van de implementatieomgeving.
Mylinking™ “Network Inline Bypass” beschikt over een krachtige load balancing-functie. Op basis van de VLAN-tag, MAC-informatie, IP-informatie, poortnummer, protocol en andere informatie in het frame, zorgt de hash-gebaseerde load balancing van het verkeer ervoor dat de integriteit van de datastroom van elke IPS/FW-sessie gewaarborgd blijft.
3.5 Beveiliging tegen stroomlekkage bij inline-apparatuur met meerdere series (seriële verbinding omzetten naar parallelle verbinding)
Bij sommige cruciale verbindingen (zoals internetverbindingen en serverknooppunten) is de locatie vaak afhankelijk van de beveiligingsvereisten en de inzet van meerdere beveiligingstestapparatuur (zoals firewalls, anti-DDOS-apparatuur, webapplicatiefirewalls, inbraakpreventieapparatuur, enz.). De gelijktijdige inzet van meerdere beveiligingsapparaten op een verbinding vergroot het risico op een single point of failure, waardoor de algehele betrouwbaarheid van het netwerk afneemt. Bovendien leiden upgrades, vervangingen en andere werkzaamheden aan de bovengenoemde beveiligingsapparatuur tot langdurige netwerkonderbrekingen en aanzienlijke bezuinigingen om de succesvolle implementatie van dergelijke projecten te garanderen.
Door de "Network Inline Bypass" op een uniforme manier in te zetten, kan de implementatiemodus van meerdere in serie geschakelde beveiligingsapparaten op dezelfde verbinding worden gewijzigd van "fysieke koppelingsmodus" naar "fysieke koppeling, logische koppelingsmodus". Dit verbetert de betrouwbaarheid van de verbinding, waardoor een enkelvoudig faalpunt wordt voorkomen. Tegelijkertijd zorgt de "Network Inline Bypass" voor een on-demand verwerking van de datastroom op de verbinding, waardoor dezelfde veilige verwerkingseffecten worden bereikt als in de oorspronkelijke modus.
Diagram voor gelijktijdige serie-implementatie van meerdere beveiligingsapparaten:
Implementatieschema van een netwerk-inline-bypass-switch:
3.6 Op basis van de dynamische strategie voor de detectie en bescherming van de verkeersdoorstroming
“Netwerk-inline-bypass” Een ander geavanceerd toepassingsscenario is gebaseerd op de dynamische strategie van toepassingen voor het detecteren en beschermen van de beveiliging van netwerkverkeer. De implementatiemethode wordt hieronder weergegeven:
Neem bijvoorbeeld de beveiligingstestapparatuur voor "DDoS-aanvalsbeveiliging en -detectie". Door eerst "Network Inline Bypass" te implementeren en vervolgens de anti-DDoS-beveiligingsapparatuur aan te sluiten op de "Network Inline Bypass", wordt het volledige verkeersvolume via de "Traction Protector" doorgestuurd en tegelijkertijd de flow mirror output naar de "Anti-DDoS Attack Protection Device" gestuurd. Zodra een server-IP-adres (of IP-netwerksegment) na een aanval wordt gedetecteerd, genereert de "Anti-DDoS Attack Protection Device" regels voor het matchen van de doelverkeersstroom en stuurt deze via de dynamische beleidsinterface naar de "Network Inline Bypass". De "Network Inline Bypass" kan vervolgens de "Traffic Traction Dynamic" bijwerken na ontvangst van de dynamische beleidsregels en stuurt het verkeer van de aanvallende server direct door naar de "Anti-DDoS Attack Protection and Detection"-apparatuur voor verwerking, zodat de aanvalsstroom effectief wordt geblokkeerd en opnieuw in het netwerk wordt geïnjecteerd.
Het toepassingsschema gebaseerd op "Network Inline Bypass" is eenvoudiger te implementeren dan de traditionele BGP-route-injectie of andere verkeersafleidingsschema's, is minder afhankelijk van de netwerkomgeving en biedt een hogere betrouwbaarheid.
"Network Inline Bypass" heeft de volgende kenmerken ter ondersteuning van dynamische beleidsbeveiligingsdetectie:
1. "Netwerk inline bypass" om buiten de regels om toegang te bieden via een webservice-interface, waardoor eenvoudige integratie met beveiligingsapparaten van derden mogelijk is.
2. "Network Inline Bypass" is gebaseerd op een hardwarematige, pure ASIC-chip die pakketten tot 10 Gbps wire-speed doorstuurt zonder de switch-doorsturing te blokkeren, en een "dynamische regelbibliotheek voor verkeersafhandeling" ongeacht het aantal.
3. De ingebouwde professionele BYPASS-functie "Network Inline Bypass" zorgt ervoor dat, zelfs als de beveiliging zelf uitvalt, de oorspronkelijke seriële verbinding direct kan worden omzeild, zonder de normale communicatie via de oorspronkelijke verbinding te beïnvloeden.
Geplaatst op: 23 december 2021
