1- Què és el paquet Define Heartbeat?
Els paquets de batecs de cor del commutador de bypass de xarxa Mylinking™ s'utilitzen per defecte com a trames Ethernet de capa 2. Quan s'implementa un mode de pont de capa 2 transparent (com ara IPS/FW), les trames Ethernet de capa 2 normalment es reenvien, es bloquegen o es descarten. Al mateix temps, el commutador de bypass de xarxa Mylinking™ admet un format de missatge de batec de cor personalitzat per fer front a la situació en què alguns dispositius de seguretat sèrie especials normalment no poden reenviar trames Ethernet de capa 2 ordinàries.
I el commutador de derivació de tap de xarxa Mylinking™ també admet la detecció de paquets de batecs del cor basada en l'etiqueta VLAN, els tipus de missatges personalitzats de capa 3 i capa 4. Basant-se en aquest mecanisme, l'usuari pot implementar una funció de prova de seguretat del servei del dispositiu de seguretat de connexió per fer-lo més eficaç per garantir que els serveis de seguretat corresponents funcionin correctament.
El commutador de derivació de tap de xarxa Mylinking™ pot admetre que el monitor enviï diferents paquets de batecs cardíacs en ambdues direccions. Per exemple, els paquets de batecs cardíacs de tipus TCP i UDP es personalitzen al "Protector de tracció del trànsit d'estratègia", segons la particularitat del dispositiu sèrie. Podeu configurar l'enviament de paquets de batecs cardíacs TCP al port A del monitor d'enllaç ascendent i l'enviament de paquets de batecs cardíacs UDP al port B del monitor d'enllaç descendent per adaptar-se al mecanisme de reenviament de missatges del dispositiu de seguretat sèrie. Aquesta funció pot garantir de manera més eficaç la cadena. Connecteu l'equip de seguretat al funcionament normal.
El commutador de bypass en línia de xarxa Mylinking™ s'ha investigat i desenvolupat per ser utilitzat per a la implementació flexible de diversos tipus d'equips de seguretat en sèrie, alhora que proporciona una alta fiabilitat de xarxa.
Funcions i tecnologies avançades del commutador de bypass en línia de 2 xarxes
Mode de protecció Mylinking™ "SpecFlow" i tecnologia de mode de protecció "FullLink"
Tecnologia de protecció de commutació de bypass ràpid Mylinking™
Tecnologia Mylinking™ “LinkSafeSwitch”
Tecnologia de reenviament/incidència d'estratègia dinàmica "WebService" de Mylinking™
Tecnologia de detecció de missatges de batecs intel·ligents Mylinking™
Tecnologia de missatges de batec definibles Mylinking™
Tecnologia d'equilibri de càrrega multienllaç Mylinking™
Tecnologia de distribució intel·ligent de trànsit Mylinking™
Tecnologia de balanceig de càrrega dinàmic Mylinking™
Tecnologia de gestió remota Mylinking™ (HTTP/WEB, TELNET/SSH, característica “EasyConfig/AdvanceConfig”)
Aplicació de commutador de bypass en línia de 3 xarxes (com s'indica a continuació)
3.1 El risc dels equips de seguretat en línia (IPS / FW)
El següent és un mode de desplegament típic d'IPS (Intrusion Prevention System) i FW (Firewall). IPS/FW es desplega en sèrie amb els equips de xarxa (encaminadors, commutadors, etc.) entre el trànsit mitjançant la implementació de comprovacions de seguretat, d'acord amb la política de seguretat corresponent per determinar l'alliberament o el bloqueig del trànsit corresponent, per aconseguir l'efecte de defensa de seguretat.
Al mateix temps, podem observar IPS/FW com un desplegament en sèrie de l'equip, generalment desplegat en la ubicació clau de la xarxa empresarial per implementar la seguretat en sèrie. La fiabilitat dels dispositius connectats afecta directament la disponibilitat general de la xarxa empresarial. Quan els dispositius en sèrie es sobrecarreguen, es bloquegen, s'actualitzen el programari, es actualitzen les polítiques, etc., la disponibilitat de tota la xarxa empresarial es veurà molt afectada. En aquest punt, només mitjançant un tall de xarxa o un jumper de bypass físic es pot restaurar la xarxa, cosa que afecta seriosament la fiabilitat de la xarxa. IPS/FW i altres dispositius en sèrie, d'una banda, milloren el desplegament de la seguretat de la xarxa empresarial, però de l'altra, també redueixen la fiabilitat de les xarxes empresarials, augmentant el risc que la xarxa no estigui disponible.
3.2 Protecció d'equips de la sèrie Inline Link
Mylinking™ "Network Inline Bypass" es desplega en sèrie entre dispositius de xarxa (encaminadors, commutadors, etc.) i el flux de dades entre dispositius de xarxa ja no condueix directament a IPS/FW, sinó que el "Network Inline Bypass" passa a IPS/FW. Quan l'IPS/FW falla a causa d'una sobrecàrrega, bloqueig, actualitzacions de programari, actualitzacions de polítiques i altres condicions d'error, el "Network Inline Bypass" mitjançant la funció intel·ligent de detecció de missatges de batec del cor fa un descobriment oportú i, per tant, evita el dispositiu defectuós sense interrompre la xarxa. L'equip de xarxa es connecta directament ràpidament per protegir la xarxa de comunicació normal; quan es recupera una fallada d'IPS/FW, però també mitjançant la detecció intel·ligent de paquets de batec del cor, es detecta oportunament l'enllaç original i es comprova la seguretat de la xarxa empresarial.
Mylinking™ “Network Inline Bypass” té una potent funció intel·ligent de detecció de missatges de batec del cor. L'usuari pot personalitzar l'interval del batec del cor i el nombre màxim d'intents mitjançant un missatge de batec del cor personalitzat a l'IPS/FW per a proves d'estat, com ara enviar el missatge de comprovació del batec del cor al port aigües amunt/avall de l'IPS/FW i, a continuació, rebre'l des del port aigües amunt/avall de l'IPS/FW, i jutjar si l'IPS/FW funciona normalment enviant i rebent el missatge de batec del cor.
3.3 Flux de polítiques "SpecFlow" Protecció en sèrie de tracció en línia
Quan el dispositiu de xarxa de seguretat només necessita gestionar el trànsit específic en la protecció de seguretat en sèrie, a través de la funció de tràfic per processament de Mylinking™ "Network Inline Bypass", a través de l'estratègia de cribratge de tràfic per connectar el dispositiu de seguretat, el tràfic "Concerned" es reenvia directament a l'enllaç de xarxa, i la "secció de tràfic concerned" es dirigeix al dispositiu de seguretat en línia per realitzar comprovacions de seguretat. Això no només mantindrà l'aplicació normal de la funció de detecció de seguretat del dispositiu de seguretat, sinó que també reduirà el flux ineficient de l'equip de seguretat per fer front a la pressió; al mateix temps, el "Network Inline Bypass" pot detectar l'estat de funcionament del dispositiu de seguretat en temps real. El dispositiu de seguretat funciona de manera anormal evitant el tràfic de dades directament per evitar la interrupció del servei de xarxa.
3.4 Protecció en sèrie amb càrrega equilibrada
El "Network Inline Bypass" de Mylinking™ es desplega en sèrie entre dispositius de xarxa (encaminadors, commutadors, etc.). Quan el rendiment de processament d'un únic IPS/FW no és suficient per fer front al trànsit màxim d'enllaç de xarxa, la funció d'equilibri de càrrega de trànsit del protector, l'"agrupació" del trànsit d'enllaç de xarxa de processament de clústers IPS/FW múltiples, pot reduir eficaçment la pressió de processament d'un únic IPS/FW, millorar el rendiment general del processament per satisfer l'elevat ample de banda de l'entorn de desplegament.
Mylinking™ “Network Inline Bypass” té una potent funció d'equilibri de càrrega, segons l'etiqueta VLAN del marc, la informació MAC, la informació IP, el número de port, el protocol i altra informació sobre la distribució de l'equilibri de càrrega Hash del trànsit per garantir que cada IPS/FW rebi la integritat de la sessió del flux de dades.
3.5 Protecció de tracció de flux d'equips en línia multi-sèrie (canviar la connexió sèrie a connexió paral·lela)
En alguns enllaços clau (com ara punts de connexió a Internet, enllaços d'intercanvi d'àrea de servidors), la ubicació sovint es deu a les necessitats de funcions de seguretat i al desplegament de múltiples equips de proves de seguretat en línia (com ara tallafocs, equips anti-atac DDOS, tallafocs d'aplicacions WEB, equips de prevenció d'intrusions, etc.), múltiples equips de detecció de seguretat alhora en sèrie a l'enllaç per augmentar la connexió d'un únic punt de fallada, reduint la fiabilitat general de la xarxa. I en el desplegament en línia d'equips de seguretat esmentats anteriorment, les actualitzacions d'equips, la substitució d'equips i altres operacions, provocaran una interrupció del servei de la xarxa durant un llarg període i una acció de tall de projectes més grans per completar la implementació amb èxit d'aquests projectes.
Mitjançant el desplegament unificat del "Network Inline Bypass", el mode de desplegament de diversos dispositius de seguretat connectats en sèrie al mateix enllaç es pot canviar de "mode de concatenació física" a "mode de concatenació física i concatenació lògica". L'enllaç en un únic punt de fallada millora la fiabilitat de l'enllaç, mentre que el "Network Inline Bypass" en el flux d'enllaç a demanda tracció, per aconseguir el mateix flux amb el mode original d'efecte de processament segur.
Diagrama de desplegament de més d'un dispositiu de seguretat alhora en sèrie:
Diagrama de desplegament del commutador de bypass en línia de xarxa:
3.6 Basat en l'estratègia dinàmica de la protecció per detecció de seguretat de tracció del trànsit
"Bypass en línia de xarxa": Un altre escenari d'aplicació avançada es basa en l'estratègia dinàmica de les aplicacions de protecció i detecció de seguretat de tracció del trànsit, amb el desplegament que es mostra a continuació:
Per exemple, si es prenen els equips de prova de seguretat de "protecció i detecció d'atacs anti-DDoS", mitjançant el desplegament frontal de "Network Inline Bypass" i després l'equip de protecció anti-DDOS i després connectat al "Network Inline Bypass", en el "Protector de tracció" habitual, es redirigeix la quantitat total de trànsit a velocitat de cable al mateix temps que la sortida del mirall de flux al "Dispositiu de protecció anti-atacs DDOS". Un cop detectada una IP del servidor (o segment de xarxa IP) després de l'atac, el "Dispositiu de protecció anti-atacs DDOS" generarà les regles de coincidència del flux de trànsit objectiu i les enviarà al "Network Inline Bypass" a través de la interfície de lliurament de polítiques dinàmiques. El "Network Inline Bypass" pot actualitzar la "dinàmica de tracció del trànsit" després de rebre les regles de polítiques dinàmiques del grup de regles i immediatament "la regla colpeja el trànsit del servidor d'atac i "la tracció a l'equip de protecció i detecció d'atacs anti-DDoS" per al seu processament, de manera que el flux d'atac sigui efectiu i després es torni a injectar a la xarxa.
L'esquema d'aplicació basat en el "Network Inline Bypass" és més fàcil d'implementar que la injecció de rutes BGP tradicional o altres esquemes de tracció de trànsit, i l'entorn depèn menys de la xarxa i la fiabilitat és més alta.
"Network Inline Bypass" té les característiques següents per admetre la protecció dinàmica per detecció de seguretat de polítiques:
1, "Bypass en línia de xarxa" per proporcionar fora de les regles basades en la interfície WEBSERVICE, fàcil integració amb dispositius de seguretat de tercers.
2, "Bypass en línia de xarxa" basat en el xip ASIC pur de maquinari que reenvia paquets a velocitat de cable de fins a 10 Gbps sense bloquejar el reenviament del commutador i "biblioteca de regles dinàmiques de tracció del trànsit" independentment del nombre.
3, la funció BYPASS professional integrada de "Network Inline Bypass", fins i tot si el protector falla, també pot ometre l'enllaç sèrie original immediatament, sense afectar l'enllaç original de la comunicació normal.
Data de publicació: 23 de desembre de 2021
