1- O que é o pacote Define Heartbeat?
Os pacotes de heartbeat do Mylinking™ Network Tap Bypass Switch são, por padrão, quadros Ethernet da Camada 2. Ao implementar o modo de bridging transparente da Camada 2 (como IPS/FW), os quadros Ethernet da Camada 2 são normalmente encaminhados, bloqueados ou descartados. Ao mesmo tempo, o Mylinking™ Network Tap Bypass Switch suporta um formato de mensagem heartbeat personalizado para atender à situação em que alguns dispositivos de segurança serial especiais não conseguem encaminhar normalmente quadros Ethernet comuns da Camada 2.
O Mylinking™ Network Tap Bypass Switch também suporta detecção de pacotes de pulsação com base em tags VLAN e tipos de mensagens personalizadas de Camada 3 e Camada 4. Com base nesse mecanismo, o usuário pode implementar uma função de teste de segurança de serviço do dispositivo de segurança de conexão para torná-lo mais eficaz e garantir o funcionamento adequado dos serviços de segurança correspondentes.
O Mylinking™ Network Tap Bypass Switch permite que o monitor envie diferentes pacotes de heartbeat em ambas as direções. Por exemplo, pacotes de heartbeat do tipo TCP e UDP são personalizados no "Strategy Traffic Traction Protector", de acordo com as particularidades do dispositivo serial. Você pode configurar o envio de pacotes de heartbeat TCP na porta A do monitor de uplink e o envio de pacotes de heartbeat UDP na porta B do monitor de downlink para acomodar o mecanismo de encaminhamento de mensagens do dispositivo de segurança serial. Esta função pode garantir a sequência de caracteres de forma mais eficaz. Conecte o equipamento de segurança à operação normal.
O switch de bypass em linha de rede Mylinking™ foi pesquisado e desenvolvido para ser usado em implantação flexível de vários tipos de equipamentos de segurança serial, ao mesmo tempo em que fornece alta confiabilidade de rede.
2-Recursos e tecnologias avançadas do switch de bypass em linha de rede
Tecnologia de modo de proteção “SpecFlow” e modo de proteção “FullLink” Mylinking™
Tecnologia de proteção de comutação de bypass rápido Mylinking™
Tecnologia Mylinking™ “LinkSafeSwitch”
Tecnologia de encaminhamento/emissão de estratégia dinâmica “WebService” Mylinking™
Tecnologia de detecção de mensagens de batimentos cardíacos inteligentes Mylinking™
Tecnologia de mensagens de pulsação definível Mylinking™
Tecnologia de balanceamento de carga multi-link Mylinking™
Tecnologia de Distribuição Inteligente de Tráfego Mylinking™
Tecnologia de balanceamento de carga dinâmico Mylinking™
Tecnologia de gerenciamento remoto Mylinking™ (HTTP/WEB, TELNET/SSH, característica “EasyConfig/AdvanceConfig”)
Aplicação de switch de bypass em linha de 3 redes (conforme a seguir)
3.1 O Risco dos Equipamentos de Segurança Inline (IPS/FW)
A seguir está um modo típico de implantação de IPS (Sistema de Prevenção de Intrusão), FW (Firewall), o IPS/FW é implantado em série nos equipamentos de rede (roteadores, switches, etc.) entre o tráfego por meio da implementação de verificações de segurança, de acordo com a política de segurança correspondente para determinar a liberação ou bloqueio do tráfego correspondente, para obter o efeito de defesa de segurança.
Ao mesmo tempo, podemos observar o IPS/FW como uma implantação serial de equipamentos, geralmente implantados em locais-chave da rede corporativa para implementar a segurança serial. A confiabilidade dos dispositivos conectados afeta diretamente a disponibilidade geral da rede corporativa. Uma vez que os dispositivos seriais sofram sobrecarga, falhas, atualizações de software, atualizações de políticas, etc., toda a disponibilidade da rede corporativa será significativamente afetada. Nesse caso, somente através do corte da rede e do jumper de bypass físico é possível restaurar a rede, afetando seriamente a confiabilidade da rede. IPS/FW e outros dispositivos seriais, por um lado, melhoram a implantação da segurança da rede corporativa, por outro, também reduzem a confiabilidade das redes corporativas, aumentando o risco de indisponibilidade da rede.
3.2 Proteção de equipamentos da série Inline Link
O Mylinking™ ” Network Inline Bypass ” é implantado em série entre dispositivos de rede (roteadores, switches, etc.), e o fluxo de dados entre dispositivos de rede não leva mais diretamente ao IPS / FW, ” Network Inline Bypass ” para IPS / FW, quando o IPS / FW devido a sobrecarga, falha, atualizações de software, atualizações de política e outras condições de falha, o “Network Inline Bypass ” por meio da função de detecção de mensagem de pulsação inteligente da descoberta oportuna e, assim, pule o dispositivo com defeito, sem interromper a premissa da rede, o equipamento de rede rápido conectado diretamente para proteger a rede de comunicação normal; quando a recuperação de falha do IPS / FW, mas também por meio de pacotes de pulsação inteligente Detecção de detecção oportuna da função, o link original para restaurar a segurança das verificações de segurança da rede corporativa.
O Mylinking™ “Network Inline Bypass” possui uma poderosa função de detecção de mensagem de pulsação inteligente, o usuário pode personalizar o intervalo de pulsação e o número máximo de tentativas, por meio de uma mensagem de pulsação personalizada no IPS/FW para testes de integridade, como enviar a mensagem de verificação de pulsação para a porta upstream/downstream do IPS/FW e, em seguida, receber da porta upstream/downstream do IPS/FW e avaliar se o IPS/FW está funcionando normalmente enviando e recebendo a mensagem de pulsação.
3.3 Proteção de série de tração em linha de fluxo de política “SpecFlow”
Quando o dispositivo de rede de segurança precisa lidar apenas com o tráfego específico na proteção de segurança em série, por meio da função de processamento de tráfego por "Bypass em Linha de Rede" do Mylinking™, por meio da estratégia de triagem de tráfego para conectar o dispositivo de segurança, o tráfego "em questão" é enviado de volta diretamente para o link de rede, e a "seção de tráfego em questão" é direcionada ao dispositivo de segurança em linha para realizar verificações de segurança. Isso não apenas manterá a aplicação normal da função de detecção de segurança do dispositivo de segurança, mas também reduzirá o fluxo ineficiente do equipamento de segurança para lidar com a pressão; ao mesmo tempo, o "Bypass em Linha de Rede" pode detectar a condição de funcionamento do dispositivo de segurança em tempo real. O dispositivo de segurança funciona de forma anormal, ignorando o tráfego de dados diretamente para evitar a interrupção do serviço de rede.
3.4 Proteção em série com balanceamento de carga
O Mylinking™ "Network Inline Bypass" é implantado em série entre dispositivos de rede (roteadores, switches, etc.). Quando o desempenho de processamento de um único IPS/FW não é suficiente para lidar com o pico de tráfego do link de rede, a função de balanceamento de carga de tráfego do protetor, o "agrupamento" de múltiplos clusters IPS/FW de processamento de tráfego do link de rede, pode reduzir efetivamente a pressão de processamento de um único IPS/FW, melhorando o desempenho geral do processamento para atender à alta largura de banda do ambiente de implantação.
O Mylinking™ “Network Inline Bypass” possui uma poderosa função de balanceamento de carga, de acordo com a tag VLAN do quadro, informações MAC, informações IP, número da porta, protocolo e outras informações sobre a distribuição de balanceamento de carga Hash do tráfego para garantir que cada IPS/FW receba integridade da sessão de fluxo de dados.
3.5 Proteção de tração de fluxo de equipamentos multissérie em linha (alterar conexão serial para conexão paralela)
Em alguns links importantes (como pontos de acesso à Internet e links de troca de área de servidor), a localização geralmente se deve às necessidades de recursos de segurança e à implantação de vários equipamentos de teste de segurança em linha (como firewalls, equipamentos anti-DDOS, firewalls de aplicativos WEB, equipamentos de prevenção de intrusão, etc.), que exigem a instalação simultânea de vários equipamentos de detecção de segurança em série no link, aumentando a probabilidade de um único ponto de falha, reduzindo a confiabilidade geral da rede. Além disso, a implantação, a atualização e a substituição de equipamentos de segurança mencionados acima, entre outras operações, causarão interrupções prolongadas no serviço da rede e cortes significativos no projeto para concluir a implementação bem-sucedida desses projetos.
Ao implantar o “Bypass em linha de rede” de maneira unificada, o modo de implantação de vários dispositivos de segurança conectados em série no mesmo link pode ser alterado de “modo de concatenação física” para “modo de concatenação física, modo de concatenação lógica”. O link no link de um único ponto de falha para melhorar a confiabilidade do link, enquanto o “Bypass em linha de rede” no fluxo do link sob demanda de tração, para atingir o mesmo fluxo com o modo original de efeito de processamento seguro.
Mais de um dispositivo de segurança ao mesmo tempo no diagrama de implantação em série:
Diagrama de implantação do switch de bypass em linha da rede:
3.6 Com base na estratégia dinâmica de proteção de detecção de segurança de tração de tráfego
“Bypass em linha de rede” Outro cenário de aplicação avançado é baseado na estratégia dinâmica de aplicações de proteção de detecção de segurança de tração de tráfego, a implantação da maneira como mostrado abaixo:
Tomemos como exemplo o equipamento de teste de segurança "Anti-DDoS Attack Protection and Detection", por exemplo, através da implantação front-end do "Network Inline Bypass" e, em seguida, o equipamento de proteção anti-DDOS e, em seguida, conectado ao "Network Inline Bypass", no "Protetor de Tração" usual para a quantidade total de tráfego de encaminhamento de velocidade de fio ao mesmo tempo a saída do espelho de fluxo para o "Dispositivo de Proteção contra Ataques Anti-DDoS", uma vez detectado para um IP de servidor (ou segmento de rede IP) após o ataque, o "Dispositivo de Proteção contra Ataques Anti-DDoS" gerará as regras de correspondência de fluxo de tráfego de destino e as enviará para o "Network Inline Bypass" por meio da interface de entrega de política dinâmica. O "Network Inline Bypass" pode atualizar a "dinâmica de tração de tráfego" após receber as regras de política dinâmica Rule pool "e imediatamente" regra atingiu o tráfego do servidor de ataque "tração para o equipamento de" proteção e detecção de ataques anti-DDoS "para processamento, para ser eficaz após o fluxo de ataque e, em seguida, reinjetado na rede.
O esquema de aplicação baseado no “Network Inline Bypass” é mais fácil de implementar do que a injeção de rota BGP tradicional ou outro esquema de tração de tráfego, e o ambiente é menos dependente da rede e a confiabilidade é maior.
“Network Inline Bypass” possui as seguintes características para oferecer suporte à proteção de detecção de segurança de política dinâmica:
1, “Bypass de rede em linha” para fornecer fora das regras com base na interface WEBSERVCE, fácil integração com dispositivos de segurança de terceiros.
2, “Bypass em linha de rede” baseado no chip ASIC de hardware puro, encaminhando pacotes de velocidade de fio de até 10 Gbps sem bloquear o encaminhamento do switch e “biblioteca de regras dinâmicas de tração de tráfego”, independentemente do número.
3, “Bypass em linha de rede” função BYPASS profissional integrada, mesmo se o próprio protetor falhar, também pode ignorar o link serial original imediatamente, não afeta o link original da comunicação normal.
Data de publicação: 23 de dezembro de 2021
