1- Què és el paquet Define Heartbeat?
Els paquets de batecs de Mylinking™ Network Tap Bypass Switch són per defecte en trames Ethernet de capa 2. Quan es desplega un mode de pont transparent de la capa 2 (com ara IPS/FW), les trames Ethernet de la capa 2 normalment es reenvien, es bloquegen o es descarten. Al mateix temps, Mylinking™ Network Tap Bypass Switch admet el format de missatges de batecs personalitzats per fer front a la situació en què alguns dispositius especials de seguretat sèrie normalment no poden reenviar trames Ethernet de capa 2 normals.
I Mylinking™ Network Tap Bypass Switch també admet la detecció de paquets de batecs basats en l'etiqueta VLAN, els tipus de missatges personalitzats de capa 3 i capa 4. A partir d'aquest mecanisme, l'usuari pot implementar una funció de prova de seguretat del servei del dispositiu de seguretat de connexió per fer-lo més eficaç per garantir que els serveis de seguretat corresponents funcionin correctament.
Mylinking™ Network Tap Bypass Switch admet el monitor per enviar diferents paquets de batecs en ambdues direccions. Per exemple, els paquets de batecs cardíacs de tipus TCP i UDP es personalitzen al "Strategy Traffic Traction Protector", segons la particularitat del dispositiu sèrie. Podeu configurar l'enviament de paquets de ritme cardíac TCP al port A del monitor d'enllaç ascendent i l'enviament de paquets de ritme cardíac UDP al port B del monitor d'enllaç descendent per adaptar-se al mecanisme de reenviament de missatges del dispositiu de seguretat sèrie. Aquesta funció pot garantir de manera més eficaç la cadena. Connecteu l'equip de seguretat al funcionament normal.
Mylinking™ Network Inline Bypass Switch està investigat i desenvolupat per utilitzar-lo per al desplegament flexible de diversos tipus d'equips de seguretat en sèrie alhora que ofereix una alta fiabilitat de la xarxa.
Funcions i tecnologies avançades del commutador de derivació en línia de 2 xarxes
Mode de protecció "SpecFlow" de Mylinking™ i tecnologia de mode de protecció "FullLink".
Tecnologia de protecció de commutació de bypass ràpid Mylinking™
Tecnologia "LinkSafeSwitch" Mylinking™
Mylinking™ "Servei web" d'estratègia dinàmica de reenviament/tecnologia de problemes
Tecnologia intel·ligent de detecció de missatges de ritme cardíac Mylinking™
Tecnologia de missatges de batec cardíac definibles Mylinking™
Tecnologia d'equilibri de càrrega multienllaç Mylinking™
Tecnologia de distribució intel·ligent de trànsit Mylinking™
Tecnologia d'equilibri dinàmic de càrrega Mylinking™
Tecnologia de gestió remota Mylinking™ (HTTP/WEB, TELNET/SSH, característica “EasyConfig/AdvanceConfig”)
Aplicació de commutació de derivació en línia de 3 xarxes (com a continuació)
3.1 El risc dels equips de seguretat en línia (IPS / FW)
El següent és un mode de desplegament típic d'IPS (Sistema de prevenció d'intrusions), FW (Firewall), IPS / FW es desplega en sèrie als equips de xarxa (encaminadors, commutadors, etc.) entre el trànsit mitjançant la implementació de controls de seguretat, segons la política de seguretat corresponent per determinar l'alliberament o el bloqueig del trànsit corresponent, per aconseguir l'efecte de defensa de seguretat.
Al mateix temps, podem observar IPS / FW com un desplegament en sèrie de l'equip, normalment desplegat a la ubicació clau de la xarxa empresarial per implementar la seguretat en sèrie, la fiabilitat dels seus dispositius connectats afecta directament la disponibilitat global de la xarxa empresarial. Una vegada que els dispositius en sèrie es sobrecarreguin, es bloquegen, les actualitzacions de programari, les actualitzacions de polítiques, etc., tota la disponibilitat de la xarxa empresarial es veurà molt afectada. En aquest punt, només a través del tall de la xarxa, el pont de derivació físic pot fer que la xarxa sigui restaurada, afectant seriosament la fiabilitat de la xarxa. IPS / FW i altres dispositius sèrie, d'una banda, milloren el desplegament de la seguretat de la xarxa empresarial, d'altra banda també redueixen la fiabilitat de les xarxes empresarials, augmentant el risc que la xarxa no estigui disponible.
3.2 Protecció d'equips de la sèrie d'enllaços en línia
Mylinking™ "Network Inline Bypass" es desplega en sèrie entre dispositius de xarxa (encaminadors, commutadors, etc.), i el flux de dades entre dispositius de xarxa ja no condueix directament a IPS / FW, "Network Inline Bypass" a IPS / FW, quan l'IPS / FW a causa de la sobrecàrrega, bloqueig, actualitzacions de programari, actualitzacions de polítiques i altres condicions de fallada, la "Network Inline Bypass" a través de la funció de detecció de missatges de batecs intel·ligents de la detecció oportuna i, per tant, saltar el dispositiu defectuós, sense interrompre la premissa de la xarxa, l'equip de xarxa ràpid connectat directament per protegir la xarxa de comunicació normal; quan la recuperació de fallada IPS / FW, sinó també a través de paquets intel·ligents de batecs cardíacs Detecció de la detecció oportuna de la funció, l'enllaç original per restaurar la seguretat de les comprovacions de seguretat de la xarxa empresarial.
Mylinking™ "Network Inline Bypass" té una potent funció intel·ligent de detecció de missatges de batecs cardíacs, l'usuari pot personalitzar l'interval de batecs cardíacs i el nombre màxim de reintents, mitjançant un missatge de batecs cardíacs personalitzat a l'IPS / FW per a proves de salut, com ara enviar la comprovació de batecs cardíacs. missatge al port aigües amunt / aigües avall d'IPS / FW, i després rebre'ls des del port aigües amunt / aigües avall d'IPS / FW, i jutjar si l'IPS / FW funciona normalment enviant i rebent el missatge de batec.
3.3 Protecció de sèries de tracció en línia de flux de polítiques "SpecFlow".
Quan el dispositiu de xarxa de seguretat només ha de fer front al trànsit específic de la protecció de seguretat en sèrie, a través de la funció de processament de trànsit Mylinking™ "Network Inline Bypass", mitjançant l'estratègia de control de trànsit per connectar el dispositiu de seguretat "El trànsit preocupat es retorna". directament a l'enllaç de xarxa, i la "secció de trànsit en qüestió" és la tracció al dispositiu de seguretat en línia per realitzar comprovacions de seguretat. Això no només mantindrà l'aplicació normal de la funció de detecció de seguretat del dispositiu de seguretat, sinó que també reduirà el flux ineficient de l'equip de seguretat per fer front a la pressió; al mateix temps, el "Bypass en línia de xarxa" pot detectar l'estat de treball del dispositiu de seguretat en temps real. El dispositiu de seguretat funciona de manera anormal evita el trànsit de dades directament per evitar la interrupció del servei de xarxa.
3.4 Protecció sèrie equilibrada de càrrega
El Mylinking™ "Network Inline Bypass" es desplega en sèrie entre dispositius de xarxa (encaminadors, commutadors, etc.). Quan un únic rendiment de processament IPS / FW no és suficient per fer front al trànsit màxim de l'enllaç de xarxa, la funció d'equilibri de càrrega de trànsit del protector, l'"agrupació" de diversos tràfic d'enllaços de xarxa de processament de clúster IPS / FW, poden reduir eficaçment l'únic IPS / Pressió de processament de FW, millora el rendiment general del processament per satisfer l'ample de banda elevat de la reclamació de l'entorn de desplegament.
Mylinking™ "Network Inline Bypass" té una potent funció d'equilibri de càrrega, segons l'etiqueta VLAN de trama, informació MAC, informació IP, número de port, protocol i altra informació sobre la distribució d'equilibri de càrrega Hash del trànsit per garantir que cada IPS / FW rebut flux de dades Integritat de la sessió.
3.5 Protecció de tracció de flux d'equips multisèries en línia (canviar la connexió en sèrie a la connexió en paral·lel)
En alguns enllaços clau (com ara punts de venda d'Internet, enllaç d'intercanvi d'àrea del servidor) la ubicació es deu sovint a les necessitats de funcions de seguretat i al desplegament de múltiples equips de prova de seguretat en línia (com ara tallafoc, equips d'atac anti-DDOS, tallafoc d'aplicacions WEB). , equips de prevenció d'intrusions, etc.), múltiples equips de detecció de seguretat al mateix temps en sèrie a l'enllaç per augmentar l'enllaç d'un únic punt de fallada, reduint la fiabilitat global de la xarxa. I en el desplegament en línia d'equips de seguretat esmentats anteriorment, les actualitzacions d'equips, la substitució d'equips i altres operacions, provocaran una interrupció del servei de la xarxa durant molt de temps i una acció de tall de projecte més gran per completar la implementació amb èxit d'aquests projectes.
Mitjançant el desplegament de la "Network Inline Bypass" d'una manera unificada, el mode de desplegament de diversos dispositius de seguretat connectats en sèrie al mateix enllaç es pot canviar de "mode de concatenació física" a "concatenació física, mode de concatenació lògica" L'enllaç de l'enllaç d'un únic punt de fallada per millorar la fiabilitat de l'enllaç, mentre que el "Network Inline Bypass" en el flux d'enllaç a la tracció a la demanda, per aconseguir el mateix flux amb el mode original d'efecte de processament segur.
Més d'un dispositiu de seguretat al mateix temps al diagrama de desplegament en sèrie:
Diagrama de desplegament del commutador de derivació en línia de xarxa:
3.6 Basat en l'estratègia dinàmica de protecció de detecció de seguretat de tracció del trànsit
"Network Inline Bypass" Un altre escenari d'aplicació avançada es basa en l'estratègia dinàmica de les aplicacions de protecció de detecció de seguretat de tracció de trànsit, el desplegament de la manera com es mostra a continuació:
Agafeu l'equip de proves de seguretat "Protecció i detecció d'atacs anti-DDoS", per exemple, mitjançant el desplegament frontal de "Network Inline Bypass" i, a continuació, equips de protecció anti-DDOS i després connectats a "Network Inline Bypass", a la "Protector de tracció" habitual a la quantitat total de trànsit a la velocitat del cable d'enviament al mateix temps que la sortida del mirall de flux al "dispositiu de protecció contra atacs anti-DDOS", un cop detectat per a una IP de servidor (o segment de xarxa IP) després de l'atac, El "dispositiu de protecció d'atacs anti-DDOS" generarà les regles de concordança del flux de trànsit objectiu i les enviarà a la "Network Inline Bypass" mitjançant la interfície de lliurament de polítiques dinàmiques. El "Bloc en línia de la xarxa" pot actualitzar la "dinàmica de tracció del trànsit" després de rebre les regles de la política dinàmica La regla "i immediatament" va afectar el trànsit del servidor d'atac "tracció al" equip de detecció i protecció d'atacs anti-DDoS "per processar" ser efectiu després del flux d'atac i després tornar-los a injectar a la xarxa.
L'esquema d'aplicació basat en el "Bypass en línia de la xarxa" és més fàcil d'implementar que la injecció de ruta BGP tradicional o un altre esquema de tracció del trànsit, i l'entorn depèn menys de la xarxa i la fiabilitat és més alta.
"Network Inline Bypass" té les característiques següents per donar suport a la protecció de detecció de seguretat dinàmica de polítiques:
1, "Network Inline Bypass" per proporcionar fora de les regles basades en la interfície WEBSERIVCE, una fàcil integració amb dispositius de seguretat de tercers.
2, "Network Inline Bypass" basat en el xip ASIC pur de maquinari que reenvia paquets de velocitat de cable de fins a 10 Gbps sense bloquejar el reenviament de commutadors i "biblioteca de regles dinàmiques de tracció de trànsit", independentment del nombre.
3, "Network Inline Bypass" funció professional integrada BYPASS, fins i tot si el mateix protector falla, també pot evitar l'enllaç sèrie original immediatament, no afecta l'enllaç original de la comunicació normal.
Hora de publicació: 23-12-2021