Mylinking™ Network Packet Broker com Switch de Bypass Inline ML-NPB-M2000
Módulo de bypass: 8*10G SFP+ e 4*100GE, Módulo de monitoramento: 16*10GE SFP+ e 4*100GE, Máx. 2,4 Tbps
1-Visão geral
Com o rápido desenvolvimento da Internet, a ameaça à segurança da informação em rede torna-se cada vez mais séria, o que leva ao uso crescente de diversas aplicações de proteção de segurança da informação. Sejam equipamentos tradicionais de controle de acesso (firewall) ou novos métodos de proteção mais avançados, como sistemas de prevenção de intrusão (IPS), plataformas unificadas de gerenciamento de ameaças (UTM), sistemas anti-DDoS, gateways anti-spam e sistemas unificados de identificação e controle de tráfego DPI, muitos dispositivos de segurança são implantados em série nos nós principais da rede, implementando as políticas de segurança de dados correspondentes para identificar e lidar com tráfego legítimo e ilegal. Entretanto, em ambientes de produção de alta confiabilidade, falhas, manutenções, atualizações e substituições de equipamentos podem gerar atrasos significativos ou até mesmo interrupções na rede, situações inaceitáveis para os usuários.
O ML-NPB-M2000 Mylinking™ Network Packet Broker com Inline Bypass Switch foi pesquisado e desenvolvido para ser usado na implantação flexível de vários tipos de equipamentos de segurança serial, proporcionando alta confiabilidade de rede.
Ao implementar o Mylinking™ Network Packet Broker mais o Inline Bypass Switch:
●Os usuários podem instalar/desinstalar dispositivos de proteção de segurança de forma flexível, sem afetar ou interromper a rede existente;
● Possui uma função inteligente de detecção de integridade para monitorar o status de funcionamento normal dos dispositivos de segurança conectados em tempo real. Caso um dispositivo de segurança conectado apresente mau funcionamento, o protetor automaticamente o contornará para manter a comunicação normal da rede.
●A tecnologia de proteção seletiva de tráfego pode ser usada para implantar equipamentos de segurança específicos para filtragem de tráfego, equipamentos de auditoria baseados em criptografia, etc. Ela implementa efetivamente a proteção de acesso em linha para tipos específicos de tráfego, aliviando a carga de processamento de tráfego dos dispositivos em linha.
● A tecnologia de proteção de tráfego com balanceamento de carga pode ser usada para implantar dispositivos em linha seguros em clusters, atendendo às necessidades de proteção de segurança em linha em ambientes com alta pressão de largura de banda.
●Possui funcionalidades de proxy SSL, atendendo aos requisitos de monitoramento e análise de dispositivos de proteção de segurança para conteúdo de dados em texto não criptografado.
● Possui recursos básicos de processamento de tráfego, como replicação, agregação, filtragem e rotulagem, além de recursos avançados, como desduplicação, mascaramento, identificação de protocolos da camada de aplicação e modelagem de tráfego.
2-Mylinking™ Network Packet Broker com Switch de Bypass Inline: Recursos e Tecnologias Avançadas
Tecnologia Mylinking™ com Modos de Proteção “SpecFlow” e “FullLink”
Tecnologia de proteção de comutação de bypass rápido Mylinking™
Tecnologia Mylinking™ “LinkSafeSwitch”
Tecnologia de encaminhamento/emissão de políticas dinâmicas "WebService" Mylinking™
Tecnologia de Detecção Inteligente de Pacotes de Batimentos Cardíacos Mylinking™
Mylinking™ Tecnologia de Pacotes de Batimentos Cardíacos Definíveis
Mylinking™ Tecnologia de balanceamento de carga multilink
Mylinking™ Tecnologia de Distribuição Inteligente de Tráfego
Mylinking™ Tecnologia de balanceamento de carga dinâmico
Mylinking™ Tecnologia de gerenciamento remoto (HTTP/WEB, TELNET/SSH, recurso “EasyConfig/AdvanceConfig”)
3-Guia de Configuração do Mylinking™ Network Packet Broker com Switch de Bypass Inline
Conforme ilustrado no diagrama acima, a unidade completa consiste em quatro slots modulares:
Os slots de módulo SLOT1, SLOT2, SLOT3 e SLOT4 podem acomodar módulos de porta de proteção BYPASS ou módulos de porta MONITOR com diferentes taxas e números de portas. Ao substituir diferentes modelos de módulos, é possível suportar a proteção BYPASS para múltiplos links de 10G/40G/100G, bem como a implantação de equipamentos de monitoramento Inline Bypass para múltiplos links de 10G/40G/100G.
Nota: Tanto o módulo BYPASS quanto o módulo MONITOR suportam troca a quente.
3.1-Lista de especificações do módulo
| Modelo do produto | FuncionalPaparamétricos |
| Chassis | |
| ML-NPB-M2000-CHS/AC | Rackmount padrão 2U de 19 polegadas; consumo máximo de energia de 300W; unidade principal com proteção BYPASS modular; 4 slots para módulos; 1 interface de console RS232, 1 interface RJ45 10/100/1000M com gerenciamento de rede externo; alimentação dupla AC-220V; |
| NT-BYPASS-M2000-CHS/DC | Rackmount padrão 2U de 19 polegadas; consumo máximo de energia de 300W; unidade principal com proteção BYPASS modular; 4 slots para módulos; 1 interface de console RS232, 1 interface RJ45 10/100/1000M com gerenciamento de rede externo; fonte de alimentação dupla DC-48V; |
| IGNORARModule | |
| INL-I8XM8X(LM/SM) | Suporta proteção de conexão serial de 4 vias 10GE (compatível com 1G), com um total de 8 interfaces 10GE; suporta 8 portas de monitoramento SFP+ 10G (excluindo módulos ópticos). |
| INL-I4HM2H (LM/SM) | Suporta proteção serial de link bidirecional 100GE (compatível com 40GE), com um total de 4 interfaces 100GE; suporta 2 portas de monitoramento QSFP28 100GE (excluindo módulos ópticos). |
| Módulo MONITOR | |
| MON-M16X | 16 portas de monitoramento SFP+ 10GE (excluindo módulos ópticos); |
| MON-M16X-CN98 | 16 portas de monitoramento SFP+ 10GE (módulo óptico não incluído); equipado com um mecanismo de funções avançado, que suporta funções avançadas de processamento de tráfego, como bypass de descriptografia SSL, proxy SSL e deduplicação de tráfego; |
| SEG-M4H | 4 portas de monitoramento QSFP28 de 100GE (módulos ópticos não incluídos); |
| MON-M4H-CN98 | 4 portas de monitoramento QSFP28 de 100GE (módulos ópticos não incluídos); equipado com um mecanismo de funções avançado, que suporta funções avançadas de processamento de tráfego, como bypass de descriptografia SSL, proxy SSL e deduplicação de tráfego; |
3.2-Regras de seleção de módulos
Com base nos diferentes requisitos de implantação de links protegidos e equipamentos de monitoramento, você pode escolher configurações de módulos variadas para atender às necessidades específicas do seu ambiente. Ao selecionar, siga estas regras:
1) O conjunto do chassi é um componente obrigatório e deve ser selecionado antes da escolha de quaisquer outros módulos. Selecione também o método de alimentação adequado (CA/CC) de acordo com suas necessidades.
2) A unidade suporta um máximo de 4 slots para módulos; não é possível selecionar mais módulos do que o número de slots disponíveis para configuração. Graças à combinação flexível de diferentes modelos de módulos, a unidade pode suportar proteção serial para até 16 links 10GE/GE ou 8 links 100GE/40GE.
4-Capacidades de processamento de tráfego inteligente
4.1-Implantação em linha
Proteção específica de tráfego em linha
Isso suportaEm linha(serial)modo de proteção para tipos de tráfego específicos em qualquerem linhalink.Toencaminhar alguns tipos de tráfego especificados pelo usuário noem linhalink para oEm linha Ssegurançadispositivopara processamento, e o restante do tráfego é encaminhado diretamente sem passar peloEm linha SsegurançadispositivoAo mesmo tempo,itrealiza monitoramento em tempo real do estado de funcionamento deEm linha SsegurançadispositivoAssim que for detectado o estado anormal de processamento de tráfego,itO tráfego será automaticamente desviado do caminho de transmissão para garantir a continuidade do serviço de rede.
Proteção de tráfego em linha para todo o tráfego
Isso suportaEm linha(serial)Modo de proteção para todos os tipos de tráfego em qualquerem linhalink.Totransmitir todo o tráfego noem linhalink para oEm linha Ssegurançadispositivopara processamento e monitoramento do estado de execução da Segurança InlinedispositivoEm tempo real. Assim que for detectado o estado anormal de processamento de tráfego,itO tráfego será automaticamente desviado do caminho de transmissão para garantir a continuidade do serviço de rede.
Balanceamento de carga
Possui capacidade inteligente de balanceamento de carga de tráfego. Quando o desempenho de processamento de um únicoEm linha Ssegurançadispositivonão é suficiente para lidar com oem linhatráfego de comunicação de enlace, ele pode alocar oem linhaDirecione o tráfego para as interfaces do Monitor N configurando um grupo de balanceamento de carga. De acordo com o endereço MAC, informações de IP, número da porta, protocolo e outras informações,itexecuta balanceamento de carga opcional por algoritmo Hash, de forma que oem linhaO tráfego de links é distribuído uniformemente para váriosem linhasegurançaferramentas para processamento em cluster, o que melhora efetivamente o desempenho geral de processamento doem linhasegurançaferramentas. Para se adaptar aos requisitos de cenários de aplicação com alta largura de banda e grande volume de tráfego.
Detecção de pacotes de batimentos cardíacos
Isso suportaTxeRxpacotes de detecção de pulsação através do enlace ascendente e descendente de dispositivos conectadosem linhadispositivos de segurança e detecta oferramentas embutidasstatus de funcionamento e se o processo de processamento de tráfego está normal. O sinal de pulsação bidirecional.pacoteO mecanismo de detecção pode refletir com mais precisão o estado de funcionamento atual doem linhasegurançadispositivoe garantir de forma mais eficaz o funcionamento normal da rede.
Ele pode personalizar os parâmetros de batimento cardíaco de qualquerem linhadispositivo de segurança, como batimento cardíacoTxintervalo de tempo, número máximo de tentativas de repetição do batimento cardíaco, batimento cardíacoTxdireção, etc. Ele pode detectar e avaliar o estado de falha deem linhadispositivos de segurança em tempo hábil e possibilitam a troca rápida de links de proteção.
Os pacotes de detecção de pulsação são frames Ethernet padrão da camada 2. Quando o modo de ponte transparente da camada 2 (como IPS/FW) está implementado, os frames Ethernet da camada 2 serão encaminhados normalmente, sem bloqueios ou descartes. Ao mesmo tempo, também é possível suportar pacotes de detecção de pulsação personalizados das camadas 2, 3 e 4 da Ethernet para adaptação a algumas situações específicas.em linhaDispositivos de segurança normalmente não conseguem encaminhar frames Ethernet comuns da camada 2.
Com base no mecanismo acima, os usuários podem perceber o efeito de detecção de integridade do nível de serviço dos dispositivos de segurança conectados, garantindo assim o funcionamento normal dos serviços de segurança de forma mais eficaz.
Comutação de bypass
Suporta bypass muito baixo.comutandoatraso (<8ms), e os usuários dificilmente percebem o impacto na rede quando o dispositivo realiza o bypass.comutandoAo mesmo tempo, a tecnologia de comutação de links específica do dispositivo garante que o estado do link primário não seja afetado durante o bypass.comutandoEssa tecnologia garantirá que o desviocomutandoé mais seguro e não fará com que o protocolo de topologia da camada 2/camada 3 dos links protegidos seja recalculado e convergido, minimizando assim o impacto na rede do usuário durante acomutando.
Bloqueio de tráfego
Quando o dispositivo de segurança detecta conexões de sessão ilegais ou anormais no tráfego e precisa bloqueá-las a tempo, ele pode interceptar quaisquer pacotes especificados no tráfego de upload/download da rede.em linhaA vinculação é baseada na correspondência de tuplas e nas condições do filtro para garantir a operação segura dos serviços de rede.
Espelho de trânsito
Além da proteção de tráfego do link inline e do dispositivo de segurança inline (como IPS, WAF), qualquer tráfego espelhado por SPAN também pode ser enviado para o sistema de monitoramento de segurança SPAN (como IDS, APT), atendendo assim aos requisitos de implantação do monitoramento de dados de tráfego SPAN ou de teste e verificação de tráfego.
Proxy SSL
Por meio da função de proxy SSL, o pacote criptografado original é descriptografado e enviado ao sistema de proteção de segurança em linha. Em seguida, os dados descriptografados são restaurados e reenviados para o link original, de forma a fornecer os dados descriptografados ao sistema de proteção de segurança em linha sem afetar a transmissão de dados criptografados no link original do usuário, permitindo assim o monitoramento e a análise dos dados criptografados pelo sistema de análise.
4.2-Implantação do SPAN
Replicação de tráfego de rede
Isso suportaEm linha(serial)modo de proteção para tipos de tráfego específicos em qualquerem linhalink.Toencaminhar alguns tipos de tráfego especificados pelo usuário noem linhalink para oEm linha Ssegurançadispositivopara processamento, e o restante do tráfego é encaminhado diretamente sem passar peloEm linha SsegurançadispositivoAo mesmo tempo,itrealiza monitoramento em tempo real do estado de funcionamento deEm linha SsegurançadispositivoAssim que for detectado o estado anormal de processamento de tráfego,itO tráfego será automaticamente desviado do caminho de transmissão para garantir a continuidade do serviço de rede.
Agregação de tráfego de rede
O tráfego de entrada original e o tráfego pré-processado podem ser copiados para um sinal de canal N de acordo com o sinal de canal 1 ou copiados para um sinal de canal M após a agregação do sinal de canal N em velocidades de linha GE, 10GE, 40G e 100G, o que resolve perfeitamente a necessidade de implantar mais de dois dispositivos de bypass de escuta multiporta na rede simultaneamente.
Distribuição/Encaminhamento de Dados
Classificou com precisão os metadados recebidos e descartou ou encaminhou diferentes serviços de dados para múltiplas saídas de interface, de acordo com as regras predefinidas pelo usuário.
Filtragem de dados de pacotes
Os dados de entradatráfegoPode ser classificado com precisão, e diferentes serviços de dados podem ser definidos em listas brancas ou negras, e múltiplas saídas de interface podem ser descartadas ou encaminhadas. Suporta combinação flexível com base no tipo de Ethernet, tag VLAN, quinteto IP,TCPidentificador, características de pacotes e outros elementos para atender ainda mais aos requisitos de implantação de diversos equipamentos de segurança de rede, análise de protocolo, análise de sinalização e outros monitoramentos de tráfego.
Balanceamento de carga
O balanceamento de carga do algoritmo Hash opcional pode ser realizado de acordo com as características das camadas interna e externa (L2-L4) para garantir a integridade da sessão do fluxo de dados recebido.SPANdispositivo de monitoramento. Quando o estado do link muda, os membros do grupo de portas de descarregamento podem sair (link DOWN) ou entrar (link UP) de forma flexível, e o grupo de descarregamento pode redistribuir automaticamente o tráfego para garantir o balanceamento de carga dinâmico do tráfego de saída da porta.
VLAN marcada
VLAN sem etiqueta
VLAN substituída
Suporta a correspondência de qualquer campo-chave nos primeiros 128 bytes de um pacote. O usuário pode personalizar o valor de deslocamento, o comprimento e o conteúdo do campo-chave, além de determinar a política de saída de tráfego de acordo com a configuração do usuário.
Registro de tempo
Apoiado por Sincronizar o servidor NTP para corrigir a hora e escrever a mensagem no pacote na forma de uma etiqueta de tempo relativa com uma marca de tempo no final do quadro, com precisão de nanossegundos.
Remoção de encapsulamento de túnel
Suporta a remoção do cabeçalho VxLAN, VLAN, GRE, GTP, MPLS e IPIP no pacote de dados original e na saída encaminhada.
Fatiamento de dados/pacotes
Isso suportafatia de pacoteOs dados originais são baseados na interface de entrada e saída de tráfego em nível de política (64, 96, 128, 160, 192, 224, 256, 288, 320, 384, 512, 640, 768, 896 e 960 bytes são opcionais), e a política de saída de tráfego pode ser implementada de acordo com a configuração do usuário.
Identificar o protocolo de tunelamento
Suporta a identificação automática de vários protocolos de tunelamento, como GTP / GRE / VxLAN / PPTP / L2TP / PPPoE / IPIP. De acordo com a configuração do usuário, a estratégia de saída de tráfego pode ser implementada de acordo com a camada interna ou externa do túnel.
Prioridade de encaminhamento de pacotes
O sistema suporta a definição de prioridade de pacotes de dados de acordo com a importância do serviço na porta de entrada, encaminhando preferencialmente os pacotes de alta prioridade na saída. Após o encaminhamento dos pacotes de alta prioridade, os demais pacotes de média e baixa prioridade são encaminhados. Isso evita alarmes no sistema de análise causados pela perda de pacotes de dados importantes.
Anormal Alarmante
Suporta monitoramento em tempo real de alarmes e registros históricos de tendências de tráfego de interface com base na configuração de limites. Também suporta monitoramento em tempo real de alarmes e registros históricos de alarmes com base no estado de saúde do hardware do dispositivo (CPU, memória, temperatura, ventoinha, fonte de alimentação, etc.).
Interface de backup a quente
Suporta configuração de interface de entrada 1+1 primária/em espera, configuração de interface de saída 1+1 primária/em espera e configuração de balanceamento de carga N+1 primária/em espera para alcançar alta confiabilidade no processo de tráfego de entrada para saída.
Medição de microexplosões de tráfego
Ele pode detectar o horário de ocorrência, a duração e a taxa de pico de micro-picos de tráfego em tempo real, além de fornecer o registro histórico das medições, o que oferece meios e bases quantificáveis e observáveis para a solução de problemas de operação e manutenção e para a detecção de perda de pacotes.
Proteção contra oscilações na interface
Suporta a detecção e proteção contra eventos de oscilação de link (ligação/desligamento) de qualquer interface, de forma a evitar a perda de tráfego de entrada e saída causada por frequentes interrupções de links nas interfaces, e a melhorar a estabilidade da coleta e encaminhamento de tráfego.
Saída de encapsulamento de túnel
Ele suporta o encapsulamento de túneis do tipo ERSPAN2, GRE, VXLAN e NVGRE para qualquer tráfego coletado e saída, atendendo aos requisitos de aplicação para transmissão do tráfego coletado para sistemas de análise remotos.
Túnel de Encerramento de Pacotes
Suporta a função de terminação de mensagens de túnel. Essa função permite configurar endereços IP/máscara e endereços MAC na porta de entrada de tráfego. Ela possibilita a transmissão direta do tráfego que precisa ser coletado na rede do usuário por meio de métodos de encapsulamento de túnel, como GRE, GTP e VXLAN, para a porta de coleta do dispositivo.
Decriptação SSL SPAN
Suporta o carregamento da descriptografia do certificado SSL correspondente. Após a descriptografia dos dados criptografados por HTTPS para o tráfego especificado, eles serão encaminhados para os sistemas de monitoramento e análise de back-end, conforme necessário. Suporta TLS 1.0, TLS 1.2 e SSL 3.0.
Desduplicação de dados/pacotes
Suporte a granularidade estatística baseada em porta ou em nível de política para comparar dados de múltiplas fontes de coleta e repetições do mesmo pacote de dados em um horário específico. Os usuários podem escolher diferentes identificadores de pacote (dst.ip, src.port, dst.port, tcp.seq, tcp.ack, dst.mac, src.mac, vlan.id).
Mascaramento de data classificado
Políticas de granularidade suportadas permitem substituir qualquer campo-chave nos dados brutos, com o objetivo de proteger informações sensíveis. A política de saída de tráfego pode ser implementada de acordo com a configuração do usuário.
Identificar o protocolo da camada APP
Suporta a identificação, saída e descarte de protocolos da camada de aplicação com base no modo de correspondência DNS/URL. A biblioteca de recursos DPI pode ser integrada para reconhecer, sair e descartar pelo menos 1800 tipos de recursos de protocolos de aplicação (como áudio e vídeo, jogos, mensagens instantâneas, bancos de dados, e-mail, P2P, etc.), e pode ser atualizada e expandida. Caso haja necessidades específicas, também é possível realizar desenvolvimentos secundários.
Desencapsulamento de pacotes definido pelo usuário
Suporta a função de desencapsulamento de pacotes autodefinido, que pode remover os campos de encapsulamento e o conteúdo em qualquer posição dos primeiros 128 bytes do pacote e exibi-lo.
Controle de tráfego
Ao mesmo tempo, a tecnologia de modelagem de tráfego é usada na interface de saída para enviar o fluxo de dados suavemente para a ferramenta de análise, o que resolve fundamentalmente o fenômeno de perda de pacotes causado por micro-explosões e evita o alarme anormal causado pela perda de tráfego no sistema de análise.
Correspondência de palavras-chave de pacotes
Após a correspondência com qualquer conteúdo de campo na parte de carga útil do pacote, o pacote ou fluxo de sessão associado é encaminhado e emitido ou descartado para atender aos requisitos de pré-processamento de dados de tráfego específicos.
Remoção de encapsulamento de túnel
Suporta a saída de cabeçalhos de pacotes VXLAN, MPLS, GRE, SRV6, FABRICPATCH, GENEVE e outros no pacote de dados original após a remoção dos cabeçalhos.
Descarregamento de conexões de longa duração
De acordo com as necessidades do usuário, qualquer fluxo de sessão pode ser encaminhado e emitido de acordo com o número de bytes transmitidos e o número de pacotes transmitidos, e o fluxo de sessão subsequente pode ser descartado, de forma a atender aos requisitos do sistema de análise de back-end em alguns cenários específicos, que necessitam obter apenas uma parte do tráfego do fluxo de sessão, reduzindo a carga de análise de tráfego e melhorando a eficiência do sistema de análise.
Análise Estatística de Tráfego
A ferramenta suporta as estatísticas dos componentes do tráfego de qualquer interface de entrada e pode exibir a tendência do tráfego, o tamanho/proporção do tráfego por endereço IP, tamanho/proporção do tráfego por categoria de protocolo de aplicação, tamanho/proporção do tráfego por nome de protocolo de aplicação e informações de sessão de tráfego em forma de gráficos em tempo real, além de permitir a exportação dos resultados estatísticos para arquivos locais. Dessa forma, os usuários podem compreender com mais clareza a estrutura de composição de qualquer tráfego coletado e obter a base de dados mais direta para personalizar estratégias de tráfego e atender às mudanças nos requisitos de negócios.
Visibilidade do tráfego - Análise básica de dados
O módulo básico de análise da função de detecção e visualização de tráfego pode exibir informações básicas dos dados de tráfego capturados, como contagem de pacotes, distribuição de pacotes unicast/multicast/broadcast, número de conexões de sessão, distribuição de protocolos de pacotes e tamanho do tráfego capturado.
Visibilidade do tráfego - Análise detalhada de DPI
O módulo de análise profunda DPI da função de detecção de visibilidade de tráfego pode realizar análises detalhadas dos dados de tráfego capturados a partir de múltiplas perspectivas e apresentar estatísticas detalhadas na forma de gráficos e tabelas.
Visibilidade do tráfego - Análise da proporção do tráfego
● Análise da proporção de protocolos da camada de transporte: como TCP, UDP, ICMP, IGMP, ARP e outros, proporção de pacotes, estatísticas de tráfego e exibição em gráfico de pizza.
● Análise da proporção do tráfego IP: incluindo estatísticas de tráfego gerado por diferentes endereços IP, classificação do tráfego baseado em IP (TOP N) e exibição em gráfico de barras.
● Análise da proporção de aplicações DPI: incluindo protocolos de aplicação como HTTP, QQ, FTP e outros, o número de bytes, a distribuição estatística do tráfego de comunicação e a exibição em gráfico de pizza.
Visibilidade do tráfego - Análise da linha do tempo do tráfego
De acordo com diferentes condições de filtragem, como IP, porta, protocolo da camada de transporte, protocolo da camada de aplicação e outros conteúdos especificados, os dados de tráfego capturados pelo alvo atual podem ser analisados e apresentados com base no tempo de amostragem. O tamanho e a tendência do tráfego podem ser consultados movendo o controle deslizante de tempo e ajustando a granularidade estatística, com precisão de até 1 milissegundo.
Visibilidade do tráfego – Análise de fluxo de tráfego
De acordo com diferentes condições de filtro, como ID de fluxo, IP, porta, protocolo da camada de transporte, protocolo da camada de aplicação e outros conteúdos especificados, os dados de tráfego capturados podem ser analisados e contabilizados com base no modo de fluxo da sessão. Isso significa que as informações detalhadas do fluxo da sessão incluem os dados de cada fluxo (5-tupla), o tipo de aplicação que o transporta, o número e os bytes dos pacotes transmitidos e o fluxo de dados associado. A partir dessas informações, é possível gerar um ranking. Com base nesses dados, os usuários podem facilmente identificar os tipos de tráfego relevantes, o que fornece a base mais direta para a formulação de políticas de encaminhamento de tráfego.
Visibilidade do tráfego – Análise de pacotes
Com base em diferentes critérios de filtragem, como ID do pacote, IP, porta, protocolo da camada de transporte, protocolo da camada de aplicação e outros conteúdos especificados, os dados de tráfego capturados podem ser apresentados com uma análise em nível de pacote, incluindo:
● Análise do carimbo de data/hora da coleta de pacotes
● Análise de informações importantes de pacotes, como SIP, DIP, SMAC, DMAC, protocolo, flag, TTL, comprimento da mensagem e eventos importantes.
● Análise do caminho de transmissão de pacotes e exibição de animações, como: tempos de encaminhamento, atraso de encaminhamento, tipo de encaminhamento (roteamento, comutação, firewall, balanceamento de carga, NAT)
● Exibição de resumo e estrutura detalhada das informações do pacote
● Análise do número de coletas de pacotes repetidas
Visibilidade do tráfego – Análise precisa de falhas
O módulo de análise de falhas da função de detecção de visibilidade do tráfego pode fornecer diferentes posicionamentos de análise visual de falhas para os dados de tráfego capturados, incluindo:
● Visão geral de anomalias, como: resultados da análise de serviços de rede, resultados da análise de eventos anormais, análise do comportamento do processo de rede (como o número de dispositivos de roteamento, dispositivos NAT, dispositivos de firewall e dispositivos de balanceamento de carga que passaram pela transmissão de pacotes)
● Análise de falhas no nível da tabela de fluxo, como tipos de eventos anormais (conexão rejeitada/conexão sem resposta/conexão sem transmissão de dados/conexão semiaberta/rota de sessão inacessível, etc.), ● Análise de falhas no nível do pacote, como: tipo de evento anormal (erro de checksum do pacote/TTL 0/erro de inacessibilidade/erro de checksum FCS, etc.), descrição detalhada das informações anormais e detalhes do fluxo de dados associado.
● Análise de falhas de segurança, tais como: tipo de evento anormal (ataque DDoS/bloqueio de firewall/ataque ARP/inundação UDP/inundação SYN, etc.), descrição detalhada das informações anormais e detalhes do fluxo de dados associado.
● Análise de falhas de rede, incluindo: tipo de evento anormal (loop de comutação/loop de roteamento/caminho inacessível/interrupção de link, etc.), descrição detalhada das informações anormais e detalhes do fluxo de dados associado.
5-Especificações do Mylinking™ Network Packet Broker com Inline Bypass Switch
| ML-NPB-M2000 Mylinking™ Network Packet Broker com switch de bypass em linha Especificações funcionais | ||||
| Interface de rede | Slot do módulo | 4 slots para módulos BYPASS ou MONITOR | ||
| Número de links embutidos | Suporta proteção para até 16 enlaces ópticos de 1G/10G ou 8 enlaces ópticos de 40G/100G. | |||
| Interface de monitoramento do monitor | Suporta um máximo de 64 interfaces de monitoramento 1G/10GE ou 16 interfaces de monitoramento 40G/100G. | |||
| Interface de gerenciamento fora de banda | 1 porta Ethernet 10/100/1000M; | |||
| Modo de implantação | Implantação em linha | Apoiar | ||
| Implantação SPAN | Apoiar | |||
| Funções do sistema | Modo de implantação em linha | proteção de concatenação de fluxo específico | Apoiar | |
| Proteção da série All Flow | Apoiar | |||
| balanceamento de carga | Apoiar | |||
| Detecção de batimentos cardíacos | Apoiar | |||
| Comutação BYPASS | Apoiar | |||
| Bloqueio de trânsito | Apoiar | |||
| Espelhamento de tráfego | Apoiar | |||
| Proxy SSL | Apoiar | |||
| Modo de implantação SPAN | Processamento básico de tráfego | Replicação/agregação/distribuição de tráfego | Apoiar | |
| balanceamento de carga | Apoiar | |||
| Filtragem de tráfego baseada em identificador de 5 tuplas IP/protocolo/porta | Apoiar | |||
| Etiquetagem/modificação/exclusão de VLAN | Apoiar | |||
| Carimbo de tempo | Apoiar | |||
| Remoção do encapsulamento do túnel | Apoiar | |||
| Fatiamento de dados | Apoiar | |||
| Identificação do protocolo de tunelamento | Apoiar | |||
| Prioridade de encaminhamento de pacotes | Apoiar | |||
| aviso anormal | Apoiar | |||
| Interface de espera ativa | Apoiar | |||
| Medição de micro-explosões | Apoiar | |||
| Proteção contra oscilação de interface | Apoiar | |||
| Saída de encapsulamento de túnel | Apoiar | |||
| Terminação de pacote de túnel | Apoiar | |||
| Processamento de tráfego avançado | Ignorar a descriptografia SSL | Apoiar | ||
| Desduplicação de dados | Apoiar | |||
| Mascaramento de dados | Apoiar | |||
| Identificação do protocolo da camada de aplicação | Apoiar | |||
| Desencapsulamento personalizado | Apoiar | |||
| Modelagem de fluxo | Apoiar | |||
| Correspondência de palavras-chave | Apoiar | |||
| Remoção do encapsulamento do túnel | Apoiar | |||
| Descarregamento de conexões de longa duração | Apoiar | |||
| observação do componente de fluxo | Apoiar | |||
| Diagnóstico e monitoramento | Monitoramento em tempo real | Apoiar | ||
| Consulta de tráfego histórico | Apoiar | |||
| Captura de tráfego | Apoiar | |||
| detecção de visualização de tráfego | Análise Fundamental | Suporta a exibição de estatísticas resumidas com base em informações básicas, como contagem de pacotes, distribuição de tipos de pacotes, contagem de conexões de sessão e distribuição de protocolos de pacotes. | ||
| Análise detalhada de DPI | Suporta a análise da proporção de protocolos da camada de transporte, a proporção de unicast, broadcast e multicast, a proporção de tráfego IP e a proporção de aplicações DPI. Suporta a análise e apresentação do conteúdo dos dados com base no tempo de amostragem e no volume de dados. Suporta análise de dados e estatísticas com base em fluxos de sessão. | |||
| Análise precisa de falhas | Oferece suporte à análise e localização de falhas usando dados de tráfego de várias perspectivas, incluindo: análise do comportamento de transmissão de pacotes, análise de falhas em nível de fluxo de dados, análise de falhas em nível de pacote de dados, análise de falhas relacionadas à segurança e análise de falhas relacionadas à rede. | |||
| Capacidade de processamento | 2,4 Tbps | |||
| Gerenciar | CONSOLE Gerenciamento de Rede | Apoiar | ||
| Gerenciamento de rede IP/WEB | Apoiar | |||
| gerenciamento de rede SNMP | Apoiar | |||
| Gerenciamento de rede TELNET/SSH | Apoiar | |||
| Protocolo SYSLOG | Apoiar | |||
| autenticação de autorização centralizada RADIUS ou TADACS+ | Apoiar | |||
| Função de autenticação de usuário | Autenticação por nome de usuário e senha | |||
| Elétrico | Tensão nominal da fonte de alimentação | AC-220V/DC-48V [Opcional] | ||
| Frequência de potência nominal | AC-50HZ | |||
| Corrente de entrada nominal | AC-3A / DC-10A | |||
| Potência funcional nominal | Potência máxima de 300W | |||
| Ambiente | Temperatura de operação | 0-50℃ | ||
| Temperatura de armazenamento | -20-70℃ | |||
| Umidade operacional | 10%-95%, sem condensação | |||
| Configuração do usuário | Configuração do console | Interface RS232, 115200, 8, N, 1 | ||
| Autenticação por senha | Sapoio | |||
| Tamanho do rack | Espaço em rack (U) | 2U 444mm*88mm*670mm | ||
6-Aplicativo Mylinking™ Network Packet Broker com Inline Bypass Switch
6.1ORrisco deS em linhasegurançaEequipamento (IPS / FW)
A seguir, apresentamos um modo típico de implantação de um IPS (Sistema de Prevenção de Intrusões) e FW (Firewall). O IPS/FW é implantado em série nos equipamentos de rede (roteadores, switches, etc.) para realizar verificações de segurança no tráfego, determinando se o tráfego é liberado ou bloqueado de acordo com a política de segurança correspondente, alcançando assim o efeito de defesa de segurança.
A seguir, apresentamos um modo típico de implantação de um IPS (Sistema de Prevenção de Intrusões) e FW (Firewall). O IPS/FW é implantado em série nos equipamentos de rede (roteadores, switches, etc.) para realizar verificações de segurança no tráfego, determinando se o tráfego é liberado ou bloqueado de acordo com a política de segurança correspondente, alcançando assim o efeito de defesa de segurança.
6.2 Proteção de Equipamentos da Série Inline Link
O Mylinking™ Network Packet Broker com Inline Bypass Switch é implantado em série entre dispositivos de rede (roteadores, switches, etc.), e o fluxo de dados entre os dispositivos de rede não passa mais diretamente pelo IPS/FW. O "Smart Inline Bypass Switch" é então utilizado para direcionar o fluxo de dados entre os dispositivos de rede. Quando o IPS/FW apresenta falhas devido a sobrecarga, travamento, atualizações de software, atualizações de políticas ou outras condições, o "Smart Inline Bypass Switch" utiliza a função de detecção inteligente de mensagens de pulsação para detectar o dispositivo com defeito em tempo real, evitando-o e mantendo a comunicação normal da rede sem interromper o funcionamento. Da mesma forma, quando ocorre uma falha no IPS/FW, o "Smart Inline Bypass Switch" também detecta o dispositivo com defeito por meio da detecção inteligente de pacotes de pulsação, restaurando a conexão original e garantindo a segurança da rede corporativa.
O Mylinking™ Network Packet Broker com Inline Bypass Switch possui uma poderosa função inteligente de detecção de mensagens de pulsação. O usuário pode personalizar o intervalo de pulsação e o número máximo de tentativas, através de uma mensagem de pulsação personalizada no IPS/FW para teste de integridade. Por exemplo, a mensagem de verificação de pulsação é enviada para a porta upstream/downstream do IPS/FW e, em seguida, recebida da mesma porta, determinando se o IPS/FW está funcionando normalmente por meio do envio e recebimento da mensagem de pulsação.
6.3 Fluxo de política “SpecFlow” embutidoSegurançaProteção em série
Quando o dispositivo de segurança da rede precisa lidar apenas com tráfego específico na proteção de segurança em série, o Mylinking™ Network Packet Broker, juntamente com a função de pré-processamento de tráfego do Inline Bypass Switch, utiliza uma política de triagem de tráfego para conectar o dispositivo de segurança em linha a um link de rede específico. O tráfego "em questão" é então enviado diretamente de volta para o link de rede, e essa "seção de tráfego em questão" é encaminhada para o dispositivo de segurança em linha para realizar verificações de segurança. Isso não só mantém o funcionamento normal da função de detecção de segurança do dispositivo, como também reduz o fluxo ineficiente de dados que o equipamento de segurança precisa lidar. Ao mesmo tempo, o "Smart Inline Bypass Switch" pode detectar o estado de funcionamento do dispositivo de segurança em tempo real. Caso o dispositivo apresente alguma anormalidade, o tráfego de dados é desviado diretamente para evitar a interrupção do serviço de rede.
O Mylinking™ Network Packet Broker com Inline Bypass Switch pode identificar o tráfego com base no identificador do cabeçalho das camadas L2 a L4, como tag VLAN, endereço MAC de origem/destino, endereço IP de origem, tipo de pacote IP, porta do protocolo da camada de transporte, tag de chave do cabeçalho do protocolo e assim por diante. Uma variedade de combinações flexíveis de condições de correspondência pode ser definida para especificar os tipos de tráfego de interesse para um determinado dispositivo de segurança, podendo ser amplamente utilizado na implantação de dispositivos especiais de auditoria de segurança (RDP, SSH, auditoria de banco de dados, etc.).
6.4Lcarga balanceadaSegurança em linhaProteção em série
O Mylinking™ Network Packet Broker com Inline Bypass Switch é implantado em série entre dispositivos de rede (roteadores, switches, etc.). Quando o desempenho de processamento de um único IPS/FW não é suficiente para lidar com o pico de tráfego do link de rede, a função de balanceamento de carga do dispositivo, que "agrupa" o processamento do tráfego do link de rede por um cluster de múltiplos IPS/FW, pode reduzir efetivamente a pressão de processamento de um único IPS/FW, melhorando o desempenho geral de processamento para atender às exigências de alta largura de banda do ambiente de implantação.
O Mylinking™ Network Packet Broker com Inline Bypass Switch possui uma poderosa função de balanceamento de carga, que distribui o tráfego de acordo com a tag VLAN do frame, informações MAC, informações IP, número da porta, protocolo e outras informações no Hash, garantindo a integridade da sessão do fluxo de dados recebido por cada IPS/FW.
60,5Série múltiplaEquipamentos em linha FbaixoTforçaPproteção(MudarFísicoConexão serial paraLógicoConexão paralela)
Em alguns enlaces críticos (como pontos de acesso à internet, enlaces de troca de dados entre servidores), a localização é frequentemente determinada devido às necessidades de segurança e à implantação de múltiplos equipamentos de teste de segurança em linha (como firewalls, equipamentos anti-DDoS, firewalls de aplicações web, equipamentos de prevenção de intrusões, etc.). A presença simultânea de múltiplos equipamentos de detecção de segurança em série no mesmo enlace aumenta o risco de pontos únicos de falha, reduzindo a confiabilidade geral da rede. Além disso, a implantação, atualização e substituição desses equipamentos de segurança em linha, bem como outras operações, podem causar interrupções prolongadas no serviço da rede e comprometer a execução de grandes projetos.
Ao implantar o Mylinking™ Network Packet Broker e o Inline Bypass Switch de forma unificada, o modo de implantação de múltiplos dispositivos de segurança conectados em série no mesmo link pode ser alterado de "Modo de Conexão Serial Física" para "Modo de Conexão Paralela Física com Conexão Serial Lógica". Isso reduz efetivamente as fontes de falha em um único ponto no link serial e melhora a confiabilidade do link. Ao mesmo tempo, o Mylinking™ Network Packet Broker e o Inline Bypass Switch podem direcionar o tráfego do link sob demanda, alcançando o mesmo efeito de processamento de segurança de tráfego que o modo de conexão serial original.
Mais de um dispositivo Inline Security instalado simultaneamente em um diagrama de implantação em série:
Diagrama de implantação do Mylinking™ Network Packet Broker com switch de bypass em linha:
(Alterar conexão serial física para conexão paralela lógica)
6.6Com base emDPolítica dinâmica deTgráfico em linhaSsegurançaDeteçãoPproteção
O Mylinking™ Network Packet Broker com Inline Bypass Switch, outro cenário de aplicação avançado, baseia-se na política dinâmica de detecção e proteção de segurança de tráfego, cuja implementação é mostrada abaixo:
Tomemos como exemplo o equipamento de teste de segurança "Proteção e detecção de ataques DDoS". Através da implantação de um "Smart Bypass Switch" na interface, seguido pelo equipamento de proteção anti-DDoS, este é conectado ao "Smart Bypass Switch". O "Smart Bypass Switch" encaminha todo o tráfego em velocidade de linha, espelhando simultaneamente o fluxo de saída para o "dispositivo de proteção anti-DDoS". Quando um ataque é detectado em um servidor IP (ou segmento de rede IP), o "dispositivo de proteção anti-DDoS" gera regras de correspondência de fluxo de tráfego e as envia para o "Smart Bypass Switch" através da interface de entrega de políticas dinâmicas. O "Bypass Switch" atualiza o "pool de regras de tráfego dinâmico" após receber as regras de política dinâmicas e, imediatamente, direciona o tráfego do servidor atacado para o "equipamento de proteção e detecção de ataques DDoS" para processamento, de modo que o fluxo de ataque seja efetivamente reinjetado na rede.
O esquema de aplicação baseado no "Smart Bypass Switch" é mais fácil de implementar do que a injeção de rotas BGP tradicional ou outros esquemas de direcionamento de tráfego, e o ambiente é menos dependente da rede e a confiabilidade é maior.
O "Smart Bypass Switch" possui as seguintes características para suportar a proteção de detecção de segurança de política dinâmica:
1. "Interruptor de Bypass Inteligente" para fornecer funcionalidades fora das regras baseadas na interface WEBSERIVCE, facilitando a integração com dispositivos de segurança de terceiros.
2. "Smart Bypass Switch" baseado em chip ASIC de hardware puro, que encaminha pacotes de até 100 Gbps em velocidade de linha sem bloquear o encaminhamento do switch, e "biblioteca de regras dinâmicas de tração de tráfego" independentemente do número.
3. O "Smart Bypass Switch" possui função BYPASS profissional integrada; mesmo que o próprio protetor apresente falha, ele pode contornar imediatamente o link serial original, sem afetar a comunicação normal do link original.
6.7Espelhamento de tráfego serial em linhapara segurança fora de banda (em linha + SPAN)
O Mylinking™ Network Packet Broker com Inline Bypass Switch é normalmente implementado na rede de TI ou na plataforma de nuvem do cliente para fornecer proteção em linha para dispositivos WAF/IPS e o link original. Os usuários também podem ter requisitos adicionais para testes, verificação ou implementação de dispositivos de monitoramento de bypass, o que exige a aquisição de dados de tráfego nesse link.
Portanto, utilizando a função de espelhamento de tráfego do Mylinking™ Network Packet Broker mais o Inline Bypass Switch, o tráfego do link serial inline pode ser espelhado a partir da porta de monitoramento, conforme mostrado na figura a seguir:
O diagrama abaixo ilustra um cenário de aplicação estendido de tráfego de link inline e tráfego de porta espelhada do switch. Isso permite a proteção do tráfego de link inline sem ser afetado pelo tráfego de porta espelhada do switch. O sistema de análise IDS pode adquirir simultaneamente o tráfego de link inline e o tráfego de porta espelhada do switch. O método de implantação é mostrado no diagrama abaixo:
6,8Desduplicação de dados/pacotesAplicativo
Conforme ilustrado na estrutura de implantação do aplicativo acima, para garantir a integridade da coleta de dados original ao longo de todo o enlace, alguns pacotes de dados idênticos podem ser coletados várias vezes em um mesmo caminho. Isso leva a um aumento de falsos alarmes e retransmissões no sistema de backend, elevando a sobrecarga de desempenho do sistema de análise e afetando a precisão e a eficácia da análise. A solução proposta consiste em, primeiramente, eliminar os pacotes de dados duplicados em diferentes nós de captura. Assim, apenas um pacote de dados é encaminhado para o sistema de análise de desempenho de rede NPM e para o sistema de análise de desempenho de aplicativos APM, otimizando o desempenho do sistema de análise e melhorando a eficiência e a precisão da análise.
6,9Dados/PacoteEtiqueta VLANingAplicativo
No ambiente de rede mostrado no diagrama acima, a solução é usada para etiquetar os dados brutos provenientes de diferentes dispositivos de rede e nós de enlace. Quando ocorrem tráfego ou pacotes de dados anormais na rede, o equipamento de análise de back-end pode localizar de forma rápida e precisa a origem dos dados anormais, rastreando-os com base nas etiquetas de dados.
6.10 Tráfego de RedeHorário UnificadoAplicativo
No ambiente de rede mostrado no diagrama acima, múltiplos links de origem 10GE, 25GE, 40GE e 100GE são totalmente inseridos no Mylinking™ Network Packet Broker com Inline Bypass Switch usando divisão óptica ou espelhamento de porta. Em seguida, filtragem e divisão de tráfego são usadas para direcionar diferentes fluxos de dados de serviço para diferentes dispositivos de monitoramento de rede fora de banda e sistemas de segurança. Quando anomalias nos pacotes de rede ou flutuações anormais de tráfego exigem intervenção manual, a captura e análise em tempo real dos pacotes de dados originais podem ser realizadas imediatamente para ajudar os usuários a analisar e localizar a falha rapidamente.
6.11RedeAnálise de Visibilidade de Dados de TráfegoAplicativo
A plataforma pode apresentar quaisquer dados detectados e capturados de forma multidimensional e multiperspectiva por meio de uma interface gráfica e textual interativa e amigável, incluindo a estrutura de composição do tráfego, a distribuição do protocolo de aplicação, a distribuição do tráfego em todos os nós da rede, o caminho de transmissão de dados, a detecção de eventos anormais, a localização precisa de falhas em elementos/links da rede, o status da interação de mensagens, a tendência de desenvolvimento do tráfego e outros aspectos para monitoramento e análise, de modo a estabelecer uma plataforma abrangente, visível e controlável de coleta e segurança de dados para redes corporativas.
Categorias de produtos
-
Mylinking™ Network Packet Broker (NPB) ML-NPB-4810P
-
Mylinking™ Network Packet Broker (NPB) ML-NPB-54...
-
Mylinking™ Network Packet Broker (NPB) ML-NPB-3210+
-
Mylinking™ Network Packet Broker (NPB) ML-NPB-6410+
-
Mylinking™ Network Packet Broker (NPB) ML-NPB-3210L
-
Mylinking™ Network Packet Broker (NPB) ML-NPB-2410
