„Mylinking™“ tinklo čiaupų apėjimo jungiklis ML-BYPASS-200
2*apėjimo kanalai ir 1*monitorius. Modulinis dizainas, 10/40/100GE jungtys, maks. 640 Gbps.
1. Apžvalgos
Įdiegus „Mylinking™“ išmanųjį aplinkkelio jungiklį:
- Vartotojai gali lanksčiai įdiegti / pašalinti apsaugos įrangą ir tai nepaveiks esamo tinklo bei nepertrauks;
- „Mylinking™“ tinklo apėjimo jungiklis su išmaniąja sveikatos aptikimo funkcija, skirta serijinio apsaugos įrenginio įprastos veikimo būsenos stebėjimui realiuoju laiku. Kai serijinio apsaugos įrenginio veikimo sutrikimas įvyksta, apsauga automatiškai apeinama, kad būtų palaikomas įprastas tinklo ryšys.
- Selektyvios srauto apsaugos technologijos gali būti naudojamos diegiant konkrečią srauto valymo saugumo įrangą, o šifravimo technologija pagrįsta audito įranga. Efektyviai vykdyti nuosekliosios prieigos apsaugą konkrečiam srauto tipui, sumažinant nuosekliojo įrenginio srauto valdymo spaudimą.
- Apkrovos subalansuoto srauto apsaugos technologija gali būti naudojama saugiems nuosekliesiems įrenginiams klasterizuotai diegti, kad būtų patenkintas nuosekliojo saugumo poreikis didelės pralaidumo aplinkose.
Sparčiai vystantis internetui, tinklo informacijos saugumo grėsmė tampa vis rimtesnė, todėl vis plačiau naudojamos įvairios informacijos saugumo apsaugos programos. Nesvarbu, ar tai tradicinė prieigos kontrolės įranga (ugniasienė), ar naujo tipo pažangesnės apsaugos priemonės, tokios kaip įsilaužimų prevencijos sistema (IPS), vieninga grėsmių valdymo platforma (UTM), apsaugos nuo paslaugų trikdymo atakų sistema (Anti-DDoS), apsaugos nuo perkrovos šliuzo sistema, vieninga DPI srauto identifikavimo ir valdymo sistema ir daugybė kitų saugos įrenginių, kurie nuosekliai diegiami tinklo pagrindiniuose mazguose, įgyvendinant atitinkamą duomenų saugumo politiką, skirtą legaliam / nelegaliam srautui identifikuoti ir valdyti. Tačiau tuo pačiu metu kompiuterių tinklas generuos didelę tinklo vėlavimą ar net tinklo sutrikimus gedimų, priežiūros, atnaujinimo, įrangos keitimo ir pan. atveju. Labai patikimoje gamybinėje tinklo programų aplinkoje vartotojai to negali pakęsti.
2 tinklų apėjimo jungiklio išplėstinės funkcijos ir technologijos
„Mylinking™“ „SpecFlow“ apsaugos režimas ir „FullLink“ apsaugos režimo technologija
„Mylinking™“ greito apėjimo perjungimo apsaugos technologija
„Mylinking™“ „LinkSafeSwitch“ technologija
„Mylinking™“ „WebService“ dinaminio strategijos persiuntimo / problemų sprendimo technologija
„Mylinking™“ išmanioji širdies plakimo pranešimų aptikimo technologija
„Mylinking™“ apibrėžiamų širdies plakimo pranešimų technologija
„Mylinking™“ kelių jungčių apkrovos balansavimo technologija
„Mylinking™“ išmanioji eismo paskirstymo technologija
„Mylinking™“ dinaminio apkrovos balansavimo technologija
„Mylinking™“ nuotolinio valdymo technologija (HTTP/WEB, TELNET/SSH, „EasyConfig/AdvanceConfig“ charakteristika)
3 tinklo čiaupų apėjimo jungiklio konfigūravimo vadovas
APLINKIMASApsaugos prievado modulio lizdas:
Šį lizdą galima įdėti į skirtingo greičio / prievado numerio BYPASS apsaugos prievado modulį. Pakeitus skirtingų tipų modulius, jis gali palaikyti kelių 10G / 40G / 100G jungčių BYPASS apsaugą.
MONITORIUSUosto modulio lizdas;
Šį lizdą galima įdėti į MONITOR prievado modulį su skirtingais greičiais / prievadais. Jis gali palaikyti kelių 10G / 40G / 100G jungties internetinių nuosekliųjų stebėjimo įrenginių diegimą, pakeičiant skirtingus modelius.
Modulių pasirinkimo taisyklės
Atsižvelgdami į skirtingus diegiamus ryšius ir stebėjimo įrangos diegimo reikalavimus, galite lanksčiai pasirinkti skirtingas modulių konfigūracijas, kad patenkintumėte savo konkrečius aplinkos poreikius; rinkdamiesi laikykitės šių taisyklių:
1. Važiuoklės komponentai yra privalomi, juos turite pasirinkti prieš pasirinkdami kitus modulius. Tuo pačiu metu, atsižvelgdami į savo poreikius, pasirinkite skirtingus maitinimo būdus (kintamoji / nuolatinė srovė).
2. Visas įrenginys palaiko iki 2 BYPASS modulio lizdų ir 1 MONITOR modulio lizdą; negalite pasirinkti daugiau nei konfigūruojamų lizdų skaičius. Atsižvelgiant į lizdų skaičių ir modulio modelį, įrenginys gali palaikyti iki keturių 10GE jungčių apsaugos sistemų; arba iki keturių 40GE jungčių; arba iki vienos 100GE jungties.
3. Modulio modelis „BYP-MOD-L1CG“ tinkamai veikia tik įdėjus jį į SLOT1.
4. Modulio tipą „BYP-MOD-XXX“ galima įdėti tik į BYPASS modulio lizdą; modulio tipą „MON-MOD-XXX“ galima įdėti tik į MONITOR modulio lizdą įprastam veikimui.
| Produkto modelis | Funkcijos parametrai |
| Važiuoklė (pagrindinis kompiuteris) | |
| ML-BYPASS-M200 | 1U standartinis 19 colių stelažas; maksimalus energijos suvartojimas 250 W; modulinis BYPASS apsaugos įrenginys; 2 BYPASS modulio lizdai; 1 MONITOR modulio lizdas; AC ir DC pasirinktinai; |
| APLINKIMO MODULIS | |
| BYP-MOD-L2XG(LM/SM) | Palaiko dvipusę 10GE jungties nuosekliąją apsaugą, 4*10GE sąsają, LC jungtį; integruotą optinį siųstuvą-imtuvą; vieno/daugiamodį optinį ryšį (pasirinktinai), palaiko 10GBASE-SR/LR; |
| BYP-MOD-L2QXG (LM/SM) | Palaiko dvipusę 40GE jungties nuosekliąją apsaugą, 4*40GE sąsają, LC jungtį; integruotą optinį siųstuvą-imtuvą; vieno/daugiamodį optinį ryšį (pasirinktinai), palaiko 40GBASE-SR4/LR4; |
| BYP-MOD-L1CG (LM/SM) | Palaiko 1 kanalo 100GE jungties nuosekliąją apsaugą, 2 * 100GE sąsają, LC jungtį; įmontuotą optinį siųstuvą-imtuvą; vieno daugiamodžio optinio ryšio jungtis (pasirinktinai), palaiko 100GBASE-SR4/LR4; |
| MONITORIAUS MODULIS | |
| MON-MOD-L16XG | 16 * 10GE SFP+ stebėjimo prievado modulis; nėra optinio siųstuvo-imtuvo modulio; |
| MON-MOD-L8XG | 8 * 10GE SFP+ stebėjimo prievado modulis; nėra optinio siųstuvo-imtuvo modulio; |
| MON-MOD-L2CG | 2 * 100GE QSFP28 stebėjimo prievado modulis; nėra optinio siųstuvo-imtuvo modulio; |
| MON-MOD-L8QXG | 8 * 40GE QSFP+ stebėjimo prievado modulis; nėra optinio siųstuvo-imtuvo modulio; |
4 tinklų TAP apėjimo jungiklio specifikacijos
| Produkto modalumas | ML-BYPASS-M200 serijinis apėjimo jungiklis | |
| Sąsajos tipas | MGT sąsaja | 1 * 10/100/1000BASE-T adaptyvi valdymo sąsaja; Palaiko nuotolinį HTTP/IP valdymą |
| Modulio lizdas | 2 * BYPASS modulio lizdas; 1 * MONITOR modulio lizdas; | |
| Nuorodos, palaikančios maksimalų | Įrenginys palaiko daugiausia 4 * 10GE arba 4 * 40GE arba 1 * 100GE jungtis | |
| Monitorius | Įrenginys palaiko daugiausia 16 * 10GE stebėjimo prievadų arba 8 * 40GE stebėjimo prievadus arba 2 * 100GE stebėjimo prievadus; | |
| Funkcija | Pilno dvipusio apdorojimo galimybė | 640 Gb/s |
| Remiantis IP/protokolų/prievadų penkių kortelių specifiniu srauto kaskadiniu apsaugojimu | Pagalba | |
| Kaskadinė apsauga, pagrįsta visu srautu | Pagalba | |
| Kelių apkrovų balansavimas | Pagalba | |
| Individuali širdies plakimo aptikimo funkcija | Pagalba | |
| Palaikykite Ethernet paketo nepriklausomumą | Pagalba | |
| APLINKIMO JUNGTIKLIS | Pagalba | |
| BYPASS jungiklis be blykstės | Pagalba | |
| KONSOLĖS VALDYMAS | Pagalba | |
| IP/WEB valdymas | Pagalba | |
| SNMP V1/V2C MGT | Pagalba | |
| TELNET/SSH valdymas | Pagalba | |
| SYSLOG protokolas | Pagalba | |
| Vartotojo autorizacija | Remiantis slaptažodžio autorizacija / AAA / TACACS+ | |
| Elektros | Nominali maitinimo įtampa | AC-220V / DC-48V【Pasirinktinai】 |
| Nominalus galios dažnis | 50 Hz | |
| Nominali įėjimo srovė | AC-3A / DC-10A | |
| Nominali galia | 100 W | |
| Aplinka | Darbinė temperatūra | 0–50 ℃ |
| Laikymo temperatūra | -20–70 ℃ | |
| Darbinis drėgnumas | 10–95 %, be kondensato | |
| Vartotojo konfigūracija | Konsolės konfigūracija | RS232 sąsaja, 115200,8,N,1 |
| Už juostos ribų esanti MGT sąsaja | 1 * 10/100/1000M Ethernet sąsaja | |
| Slaptažodžio autorizavimas | Pagalba | |
| Važiuoklės aukštis | Važiuoklės erdvė (U) | 1U 19 colių, 485 mm * 44,5 mm * 350 mm |
5 tinklo TAP apėjimo jungiklio taikymas (kaip nurodyta toliau)
Toliau pateikiamas tipiškas IPS (įsilaužimų prevencijos sistemos) ir FW (užkardos) diegimo režimas. IPS / FW diegiama nuosekliai tinklo įrangoje (maršrutizatoriuose, komutatoriuose ir kt.) tarp srauto, įgyvendinant saugumo patikrinimus, pagal atitinkamą saugumo politiką, siekiant nustatyti atitinkamo srauto paleidimą arba blokavimą, kad būtų pasiektas saugumo gynybos efektas.
Tuo pačiu metu IPS / FW galime stebėti kaip nuoseklųjį įrangos diegimą, paprastai diegiamą pagrindinėje įmonės tinklo vietoje, siekiant įdiegti nuoseklųjį saugumą. Prie jo prijungtų įrenginių patikimumas tiesiogiai veikia bendrą įmonės tinklo prieinamumą. Kai nuoseklieji įrenginiai perkraunami, sugenda, atnaujinama programinė įranga, atnaujinamos politikos ir pan., labai sumažėja viso įmonės tinklo prieinamumas. Šiuo atveju tik nutrūkus tinklui, naudojant fizinį apėjimo trumpiklį, galima atkurti tinklą, o tai rimtai paveikia tinklo patikimumą. IPS / FW ir kiti nuoseklieji įrenginiai, viena vertus, pagerina įmonės tinklo saugumo diegimą, kita vertus, taip pat sumažina įmonės tinklo patikimumą, padidindami riziką, kad tinklas nebus pasiekiamas.
5.2 „Inline Link“ serijos įrangos apsauga
„Mylinking™“ „Bypass Switch“ diegiamas nuosekliai tarp tinklo įrenginių (maršrutizatorių, komutatorių ir kt.), o duomenų srautas tarp tinklo įrenginių nebeperduodamas tiesiai į IPS / FW. Kai IPS / FW sugenda dėl perkrovos, gedimo, programinės įrangos atnaujinimų, politikos atnaujinimų ir kitų gedimų, „Bypass Switch“ per išmaniąją širdies ritmo pranešimų aptikimo funkciją laiku aptinka sugedusius įrenginius ir taip praleidžia gedimus, nepertraukiant tinklo veikimo. Greitas tinklo įrangos tiesioginis prijungimas apsaugo įprastą tinklo ryšį. Gedimų atveju, IPS / FW gedimo atveju, taip pat išmaniosios širdies ritmo paketų aptikimo funkcija laiku aptinka pradinį ryšį, kad būtų atkurtas įmonės tinklo saugumo patikrinimas.
„Mylinking™“ „Bypass Switch“ turi galingą išmaniąją širdies plakimo pranešimų aptikimo funkciją. Vartotojas gali pritaikyti širdies plakimo intervalą ir maksimalų bandymų skaičių, naudodamas pasirinktinį širdies plakimo pranešimą IPS / FW sistemoje, skirtą sveikatos patikrinimui, pavyzdžiui, siųsti širdies plakimo patikrinimo pranešimą į IPS / FW siųstuvinį / atsiunčiamąjį prievadą, o tada gauti jį iš IPS / FW siųstuvinio / atsiunčiamojo prievado ir, siųsdamas bei gaudamas širdies plakimo pranešimą, nuspręsti, ar IPS / FW veikia normaliai.
5.3 „SpecFlow“ politikos srauto integruotos traukos serijos apsauga
Kai apsaugos tinklo įrenginys turi apdoroti tik konkretų nuosekliosios apsaugos srautą, per „Mylinking™“ apeigos jungiklio funkciją, naudojant srauto atrankos strategiją, prijungtą prie apsaugos įrenginio, „susirūpinęs“ srautas siunčiamas tiesiai atgal į tinklo jungtį, o „susirūpinusi srauto dalis“ nukreipiama į integruotą saugos įrenginį, kad būtų atlikti saugos patikrinimai. Tai ne tik palaikys įprastą saugos įrenginio saugos aptikimo funkcijos taikymą, bet ir sumažins neefektyvų saugos įrangos srautą, skirtą slėgiui valdyti; tuo pačiu metu „apeigos jungiklis“ gali realiuoju laiku aptikti saugos įrenginio veikimo būseną. Nenormaliai veikiantis saugos įrenginys tiesiogiai apeina duomenų srautą, kad būtų išvengta tinklo paslaugų sutrikdymo.
„Mylinking™“ srauto apėjimo apsaugos įrenginys gali identifikuoti srautą pagal L2–L4 sluoksnių antraštės identifikatorių, pvz., VLAN žymę, šaltinio / paskirties MAC adresą, šaltinio IP adresą, IP paketo tipą, transportavimo sluoksnio protokolo prievadą, protokolo antraštės rakto žymę ir kt. Galima lanksčiai apibrėžti įvairias atitikimo sąlygas, kad būtų galima apibrėžti konkrečius srauto tipus, kurie yra svarbūs konkrečiam saugumo įrenginiui, ir tai gali būti plačiai naudojama diegiant specialius saugumo audito įrenginius (RDP, SSH, duomenų bazių auditą ir kt.).
5.4 Apkrovos subalansuota serijinė apsauga
„Mylinking™“ apėjimo komutatorius diegiamas nuosekliai tarp tinklo įrenginių (maršrutizatorių, komutatorių ir kt.). Kai vieno IPS / FW apdorojimo našumo nepakanka tinklo ryšio didžiausiam srautui susidoroti su srove, apsaugos įrenginio apkrovos balansavimo funkcija, „sujungianti“ kelis IPS / FW klasteriuose apdorojančius tinklo ryšio srautą, gali efektyviai sumažinti vieno IPS / FW apdorojimo spaudimą ir pagerinti bendrą apdorojimo našumą, kad būtų patenkintas didelis diegimo aplinkos pralaidumas.
„Mylinking™“ apėjimo komutatorius turi galingą apkrovos balansavimo funkciją, kuri pagal kadro VLAN žymę, MAC informaciją, IP informaciją, prievado numerį, protokolą ir kitą informaciją paskirsto srautą maišos būdu, kad užtikrintų kiekvieno IPS / FW gautų duomenų srauto seanso vientisumą.
5.5 Daugiafunkcinės linijinės įrangos srauto traukos apsauga (nuosekliojo ryšio keitimas į lygiagretųjį)
Kai kuriose pagrindinėse jungtyse (pvz., interneto lizduose, serverių zonos mainų jungtyse) vieta dažnai nustatoma dėl saugumo funkcijų poreikių ir kelių linijoje esančių saugumo testavimo įrangos (pvz., užkardos, apsaugos nuo DDoS atakų įrangos, žiniatinklio programų užkardos, įsilaužimų prevencijos įrangos ir kt.) diegimo, kelios saugumo aptikimo įrangos vienu metu, nuosekliai sujungtos jungtyje, siekiant padidinti vieno gedimo taško ryšį ir sumažinti bendrą tinklo patikimumą. Be to, minėtose saugumo įrangos diegimas internete, įrangos atnaujinimas, keitimas ir kitos operacijos ilgam laikui sutrikdys tinklo veiklą ir pareikalaus didesnių projektų nutraukimo veiksmų, kad būtų galima sėkmingai įgyvendinti tokius projektus.
Vieningai įdiegus „apėjimo jungiklį“, kelių toje pačioje jungtyje nuosekliai sujungtų apsaugos įrenginių diegimo režimą galima pakeisti iš „fizinio sujungimo režimo“ į „fizinio sujungimo, loginio sujungimo režimą“. Jungtyje esant vienam gedimo taškui, pagerėja jungties patikimumas, o „apėjimo jungiklis“ jungtyje užtikrina srauto trauką pagal poreikį, kad būtų pasiektas tas pats srautas su pradiniu saugaus apdorojimo efektu.
Daugiau nei vieno apsaugos įrenginio vienu metu nuosekliojo diegimo diagrama:
„Mylinking™“ tinklo TAP apėjimo komutatoriaus diegimo schema:
5.6 Remiantis eismo traukos apsaugos aptikimo apsaugos dinamine strategija
„Apėjimo jungiklis“. Kitas išplėstinis taikymo scenarijus pagrįstas eismo traukos apsaugos aptikimo apsaugos programų dinamine strategija, kurios diegimo būdas parodytas toliau:
Pavyzdžiui, naudojant „Anti-DDoS atakų apsaugos ir aptikimo“ saugumo testavimo įrangą, priekiniame plane įdiegiama „Bypass Switch“ ir tada naudojama anti-DDoS atakų apsaugos įranga, prijungta prie „Bypass Switch“. Įprastai „Traction Protector“ persiunčia visą srautą laido greičiu, tuo pačiu metu perduodant srauto veidrodinį išvestį į „anti-DDoS atakų apsaugos įrenginį“. Aptikus serverio IP (arba IP tinklo segmento) ataką, „anti-DDoS atakų apsaugos įrenginys“ sugeneruoja tikslinio srauto atitikimo taisykles ir siunčia jas į „Bypass Switch“ per dinaminės politikos teikimo sąsają. Gavęs dinaminės politikos taisyklių rinkinį, „Bypass Switch“ gali atnaujinti „eismo traukos dinamiką“ ir nedelsdamas nukreipti ataką patyrusio serverio srautą į „Anti-DDoS atakų apsaugos ir aptikimo“ įrangą apdorojimui, kad po atakos srautas būtų veiksmingas, o po to vėl įterpiamas į tinklą.
„Bypass Switch“ pagrindu sukurta taikymo schema yra lengviau įgyvendinama nei tradicinė BGP maršruto injekcija ar kita srauto traukos schema, be to, aplinka mažiau priklauso nuo tinklo, o patikimumas didesnis.
„Bypass Switch“ turi šias charakteristikas, kad palaikytų dinaminės politikos saugumo aptikimo apsaugą:
1. „Apėjimo jungiklis“, skirtas teikti paslaugas už taisyklių ribų, remiantis WEBSERIVCE sąsaja, lengvai integruojant su trečiųjų šalių saugos įrenginiais.
2. „Apėjimo jungiklis“, pagrįstas gryna ASIC lustine įranga, persiunčiančia iki 10 Gbps laidinio greičio paketus neblokuodamas jungiklio persiuntimo, ir „eismo traukos dinaminės taisyklių biblioteka“, nepriklausomai nuo skaičiaus.
3. Integruota profesionali „Bypass Switch“ funkcija, net ir sugedus pačiam apsaugos įtaisui, gali nedelsiant apeiti originalią nuosekliąją jungtį, nepaveikdama originalios įprastos komunikacijos jungties.
