1- O que é o pacote Define Heartbeat?
Os pacotes de pulsação do Mylinking™ Network Tap Bypass Switch são, por padrão, frames Ethernet de Camada 2. Ao implementar o modo de ponte transparente de Camada 2 (como IPS/FW), os frames Ethernet de Camada 2 são normalmente encaminhados, bloqueados ou descartados. Ao mesmo tempo, o Mylinking™ Network Tap Bypass Switch suporta formatos de mensagem de pulsação personalizados para atender situações em que alguns dispositivos de segurança serial especiais não conseguem encaminhar frames Ethernet de Camada 2 comuns.
O Mylinking™ Network Tap Bypass Switch também suporta a detecção de pacotes de pulsação com base em tags VLAN e tipos de mensagens personalizadas de Camada 3 e Camada 4. Com base nesse mecanismo, o usuário pode implementar uma função de teste de segurança de serviço no dispositivo de segurança de conexão, tornando-o mais eficaz para garantir o funcionamento adequado dos serviços de segurança correspondentes.
O Mylinking™ Network Tap Bypass Switch permite que o monitor envie diferentes pacotes de heartbeat em ambas as direções. Por exemplo, os pacotes de heartbeat dos tipos TCP e UDP podem ser personalizados no "Strategy Traffic Traction Protector", de acordo com as particularidades do dispositivo serial. Você pode configurar o envio de pacotes de heartbeat TCP na porta uplink do monitor A e o envio de pacotes de heartbeat UDP na porta downlink do monitor B para acomodar o mecanismo de encaminhamento de mensagens do dispositivo de segurança serial. Essa função garante de forma mais eficaz a conexão do equipamento de segurança para o funcionamento normal.
O Mylinking™ Network Inline Bypass Switch foi pesquisado e desenvolvido para ser usado na implantação flexível de vários tipos de equipamentos de segurança serial, proporcionando alta confiabilidade de rede.
Chave de bypass em linha de 2 redes: recursos e tecnologias avançadas
Tecnologia Mylinking™ com Modos de Proteção “SpecFlow” e “FullLink”
Tecnologia de proteção de comutação de bypass rápido Mylinking™
Tecnologia Mylinking™ “LinkSafeSwitch”
Tecnologia de Encaminhamento/Emissão de Estratégia Dinâmica “WebService” Mylinking™
Tecnologia de Detecção Inteligente de Batimentos Cardíacos Mylinking™
Tecnologia de mensagens de batimento cardíaco definíveis Mylinking™
Tecnologia de balanceamento de carga multilink Mylinking™
Tecnologia de Distribuição Inteligente de Tráfego Mylinking™
Tecnologia de balanceamento de carga dinâmico Mylinking™
Tecnologia de gerenciamento remoto Mylinking™ (HTTP/WEB, TELNET/SSH, recurso “EasyConfig/AdvanceConfig”)
Aplicação de chave de bypass em linha de rede 3 (conforme a seguir)
3.1 O risco dos equipamentos de segurança em linha (IPS/FW)
A seguir, apresentamos um modo típico de implantação de um IPS (Sistema de Prevenção de Intrusões) e FW (Firewall). O IPS/FW é implantado em série nos equipamentos de rede (roteadores, switches, etc.) para realizar verificações de segurança no tráfego, determinando se o tráfego é liberado ou bloqueado de acordo com a política de segurança correspondente, alcançando assim o efeito de defesa de segurança.
Ao mesmo tempo, podemos observar o IPS/FW como uma implantação em série de equipamentos, geralmente instalados em locais críticos da rede corporativa para implementar segurança em série. A confiabilidade dos dispositivos conectados a ele afeta diretamente a disponibilidade geral da rede corporativa. Uma vez que os dispositivos em série sofram sobrecarga, falhas, atualizações de software, atualizações de políticas, etc., a disponibilidade de toda a rede corporativa será seriamente afetada. Nesse ponto, a única maneira de restaurar a rede é interrompendo-a ou utilizando jumpers de bypass físicos, o que compromete seriamente a confiabilidade da rede. O IPS/FW e outros dispositivos em série, por um lado, melhoram a segurança da rede corporativa, mas, por outro, também reduzem a confiabilidade da rede, aumentando o risco de indisponibilidade da mesma.
3.2 Proteção de Equipamentos da Série Inline Link
O Mylinking™ “Network Inline Bypass” é implementado em série entre dispositivos de rede (roteadores, switches, etc.), e o fluxo de dados entre os dispositivos de rede não passa mais diretamente pelo IPS/FW. Em vez disso, o “Network Inline Bypass” direciona os dados para o IPS/FW. Quando o IPS/FW apresenta falhas devido a sobrecarga, travamento, atualizações de software, atualizações de políticas ou outras condições, o “Network Inline Bypass” detecta o dispositivo com defeito por meio de sua função inteligente de detecção de mensagens de pulsação, ignorando-o e, assim, sem interromper a rede. Dessa forma, os equipamentos de rede se conectam rapidamente, protegendo a comunicação normal da rede. Na recuperação de falhas do IPS/FW, a função também detecta em tempo real os pacotes de pulsação, restaurando a conexão original e garantindo a segurança da rede corporativa.
O recurso “Network Inline Bypass” do Mylinking™ possui uma poderosa função inteligente de detecção de mensagens de pulsação. O usuário pode personalizar o intervalo de pulsação e o número máximo de tentativas, através de uma mensagem de pulsação personalizada no IPS/FW para teste de integridade. Por exemplo, a mensagem de verificação de pulsação é enviada para a porta upstream/downstream do IPS/FW e, em seguida, recebida da mesma porta, permitindo verificar se o IPS/FW está funcionando normalmente por meio do envio e recebimento da mensagem de pulsação.
3.3 Política “SpecFlow” Fluxo de Tração em Linha Série Proteção
Quando o dispositivo de segurança da rede precisa lidar apenas com tráfego específico na proteção de segurança em série, a função de pré-processamento de tráfego "Network Inline Bypass" do Mylinking™ permite que o tráfego "em questão" seja enviado diretamente de volta para o link de rede do dispositivo de segurança conectado, e a "seção de tráfego em questão" é encaminhada para o dispositivo de segurança em linha para realizar verificações de segurança. Isso não apenas mantém o funcionamento normal da função de detecção de segurança do dispositivo, mas também reduz o fluxo ineficiente de dados que o equipamento de segurança precisa lidar. Ao mesmo tempo, o "Network Inline Bypass" pode detectar o estado de funcionamento do dispositivo de segurança em tempo real. Caso o dispositivo funcione de forma anormal, o tráfego de dados é desviado diretamente para evitar a interrupção do serviço de rede.
3.4 Proteção em Série com Balanceamento de Carga
O recurso “Network Inline Bypass” da Mylinking™ é implementado em série entre dispositivos de rede (roteadores, switches, etc.). Quando o desempenho de processamento de um único IPS/FW não é suficiente para lidar com o pico de tráfego do link de rede, a função de balanceamento de carga do dispositivo, ao “agrupar” o processamento do tráfego do link de rede por um cluster de múltiplos IPS/FW, pode reduzir efetivamente a pressão de processamento de um único IPS/FW, melhorando o desempenho geral de processamento para atender às exigências de alta largura de banda do ambiente de implementação.
O recurso “Network Inline Bypass” do Mylinking™ possui uma poderosa função de balanceamento de carga, que distribui o tráfego de acordo com a tag VLAN do frame, informações MAC, informações IP, número da porta, protocolo e outras informações presentes no hash, garantindo a integridade da sessão do fluxo de dados recebido por cada IPS/FW.
3.5 Proteção contra tração de fluxo em equipamentos em linha de múltiplas séries (Alterar a conexão em série para conexão em paralelo)
Em alguns enlaces críticos (como pontos de acesso à internet, enlaces de troca de dados entre servidores), a localização é frequentemente determinada devido às necessidades de segurança e à implantação de múltiplos equipamentos de teste de segurança em linha (como firewalls, equipamentos anti-DDoS, firewalls de aplicações web, equipamentos de prevenção de intrusões, etc.). A presença simultânea de múltiplos equipamentos de detecção de segurança em série no mesmo enlace aumenta o risco de pontos únicos de falha, reduzindo a confiabilidade geral da rede. Além disso, a implantação, atualização e substituição desses equipamentos de segurança em linha, bem como outras operações, podem causar interrupções prolongadas no serviço da rede e comprometer a execução de grandes projetos.
Ao implementar o "Network Inline Bypass" de forma unificada, o modo de implantação de múltiplos dispositivos de segurança conectados em série no mesmo link pode ser alterado do "modo de concatenação física" para o "modo de concatenação física e lógica". Isso melhora a confiabilidade do link, eliminando um único ponto de falha, enquanto o "Network Inline Bypass" controla o fluxo sob demanda, garantindo o mesmo efeito de processamento seguro do modo original.
Mais de um dispositivo de segurança instalado simultaneamente em um diagrama de implantação em série:
Diagrama de Implantação do Switch de Bypass em Linha de Rede:
3.6 Com base na estratégia dinâmica de detecção e proteção de segurança de tração de tráfego
“Desvio em Linha de Rede” Outro cenário de aplicação avançado baseia-se na estratégia dinâmica de aplicações de proteção e detecção de segurança de tráfego, cuja implementação é mostrada abaixo:
Tomemos como exemplo o equipamento de teste de segurança "Proteção e detecção de ataques DDoS". Através da implantação de um "Network Inline Bypass" na interface, seguido pelo equipamento de proteção anti-DDoS, o "Network Inline Bypass" encaminha todo o tráfego em velocidade de linha, espelhando simultaneamente o fluxo de saída para o "dispositivo de proteção anti-DDoS". Quando um ataque é detectado em um servidor IP (ou segmento de rede IP) alvo, o "dispositivo de proteção anti-DDoS" gera regras de correspondência de fluxo de tráfego e as envia para o "Network Inline Bypass" através da interface de entrega de políticas dinâmicas. O "Network Inline Bypass" atualiza o "pool de regras de tráfego dinâmico" após receber as regras de política dinâmicas e, imediatamente, encaminha o tráfego do servidor atacado para o equipamento de "proteção e detecção de ataques DDoS" para processamento, tornando o fluxo efetivo após o ataque e reinjetado na rede.
O esquema de aplicação baseado no "Network Inline Bypass" é mais fácil de implementar do que a injeção de rotas BGP tradicional ou outros esquemas de direcionamento de tráfego, e o ambiente é menos dependente da rede e a confiabilidade é maior.
O recurso “Network Inline Bypass” possui as seguintes características para oferecer suporte à proteção de detecção de segurança de políticas dinâmicas:
1. "Bypass em linha de rede" para fornecer acesso fora das regras baseadas na interface WEBSERIVCE, facilitando a integração com dispositivos de segurança de terceiros.
2. O "Network Inline Bypass", baseado em um chip ASIC de hardware puro, permite o encaminhamento de pacotes em velocidade de linha de até 10 Gbps sem bloquear o encaminhamento do switch, e conta com uma "biblioteca de regras dinâmicas de tração de tráfego", independentemente da quantidade.
3. A função BYPASS profissional integrada "Network Inline Bypass" permite que, mesmo em caso de falha do próprio protetor, o link serial original seja imediatamente desviado, sem afetar a comunicação normal.
Data da publicação: 23/12/2021
