Брокер мережевих пакетів Mylinking™ плюс вбудований байпасний комутатор ML-BYPASS-M2000
Модуль байпасу: 8*10G SFP+ та 4*100GE, модуль моніторингу: 16*10GE SFP+ та 4*100GE, макс. 2,4 Тбіт/с
1. Огляди
Зі швидким розвитком Інтернету загроза безпеці мережевої інформації стає дедалі серйознішою, тому різноманітні програми захисту інформації використовуються все ширше. Чи то традиційне обладнання контролю доступу (брандмауер), чи то новіші, більш просунуті засоби захисту, такі як система запобігання вторгненням (IPS), єдина платформа управління загрозами (UTM), система захисту від атак відмови в обслуговуванні (Anti-DDoS), шлюз захисту від спаму, єдина система ідентифікації та контролю трафіку DPI, а також багато пристроїв безпеки розгортаються послідовно в ключових вузлах мережі, впроваджуючи відповідну політику безпеки даних для ідентифікації та обробки легального/нелегального трафіку. Водночас, комп'ютерна мережа може генерувати великі затримки або навіть перебої в роботі мережі у разі відмови, технічного обслуговування, модернізації, заміни обладнання тощо у високонадійному середовищі виробничих мережевих додатків, що користувачі не можуть витримувати.
Мережевий брокер пакетів Mylinking™ ML-BYPASS-M2000 з вбудованим байпасним комутатором розроблений для гнучкого розгортання різних типів послідовного обладнання безпеки, забезпечуючи при цьому високу надійність мережі.
Розгортаючи Mylinking™ Network Packet Broker та вбудований обхідний комутатор:
●Користувачі можуть гнучко встановлювати/видаляти пристрої захисту, не впливаючи на існуючу мережу та не перериваючи її роботу;
● Він має інтелектуальну функцію виявлення стану для моніторингу нормального робочого стану підключених пристроїв безпеки в режимі реального часу. У разі несправності підключеного пристрою безпеки захисник автоматично переходить у режим обходу, щоб підтримувати нормальний мережевий зв'язок.
●Технологія вибіркового захисту трафіку може використовуватися для розгортання спеціального обладнання безпеки для очищення трафіку, обладнання для аудиту на основі шифрування тощо. Вона ефективно реалізує вбудований захист доступу для певних типів трафіку, розвантажуючи навантаження на обробку трафіку вбудованих пристроїв.
● Технологія захисту трафіку балансування навантаження може бути використана для розгортання безпечних вбудованих пристроїв у кластерах, щоб задовольнити потреби вбудованого захисту безпеки в середовищах з високим навантаженням на пропускну здатність.
●Він має можливості SSL-проксі, що відповідає вимогам моніторингу та аналізу пристроїв захисту даних у відкритому тексті.
● Він має базові можливості обробки трафіку, такі як реплікація трафіку, агрегація, фільтрація та маркування, а також розширені можливості обробки трафіку, такі як дедуплікація, маскування, ідентифікація протоколу прикладного рівня та формування трафіку.
2-Mylinking™ Network Packet Broker плюс вбудований байпасний комутатор, розширені функції та технології
Технологія режиму захисту Mylinking™ «SpecFlow» та режиму захисту «FullLink»
Технологія захисту від перемикання швидкого байпасу Mylinking™
Технологія Mylinking™ «LinkSafeSwitch»
Технологія динамічного пересилання/випуску політик Mylinking™ “WebService”
Технологія інтелектуального виявлення пакетів серцевого ритму Mylinking™
Mylinking™ Технологія визначених пакетів серцевого ритму
Mylinking™ Технологія багатоканального балансування навантаження
Mylinking™ Технологія інтелектуального розподілу трафіку
Mylinking™ Технологія динамічного балансування навантаження
Mylinking™ Технологія віддаленого керування (HTTP/WEB, TELNET/SSH, характеристика «EasyConfig/AdvanceConfig»)
3-Посібник з налаштування мережевого пакетного брокера Mylinking™ та вбудованого байпасного комутатора
Як показано на схемі вище, весь пристрій складається з чотирьох модульних слотів:
Слоти модулів SLOT1, SLOT2, SLOT3 та SLOT4 можуть містити модулі портів захисту BYPASS або модулі портів MONITOR з різними швидкостями та номерами портів. Заміна різних моделей модулів дозволяє підтримувати захист BYPASS для кількох каналів 10G/40G/100G, а також розгортати обладнання для моніторингу Inline Bypass для кількох каналів 10G/40G/100G.
Примітка: Як модуль BYPASS, так і модуль MONITOR підтримують гарячу заміну.
3.1-Список специфікацій модулів
| Модель продукту | ФункціональнийPпараметри |
| Cхасіс | |
| ML-BYPASS-M2000-CHS/AC | Стандартний 19-дюймовий кріплення до стійки 2U; максимальне споживання енергії 300 Вт; модульний основний блок захисту BYPASS; 4 слоти для модулів; 1 консольний інтерфейс RS232, 1 інтерфейс 10/100/1000M RJ45 із зовнішнім мережевим керуванням; подвійне джерело живлення AC-220V; |
| NT-BYPASS-M2000-CHS/DC | Стандартний 19-дюймовий кріплення до стійки 2U; максимальне споживання енергії 300 Вт; модульний основний блок захисту BYPASS; 4 слоти для модулів; 1 консольний інтерфейс RS232, 1 інтерфейс 10/100/1000M RJ45 із зовнішнім мережевим керуванням; подвійне джерело живлення DC-48V; |
| БАЙПАСMодуле | |
| INL-I8XM8X(LM/SM) | Підтримує 4-сторонній послідовний захист з'єднання 10GE (сумісний з 1G), із загальною кількістю інтерфейсів 8*10GE; підтримує 8 портів моніторингу 10G SFP+ (за винятком оптичних модулів). |
| INL-I4HM2H (LM/SM) | Підтримує двосторонній послідовний захист з'єднання 100GE (сумісний з 40GE) із загальною кількістю інтерфейсів 4*100GE; підтримує 2 порти моніторингу 100GE QSFP28 (за винятком оптичних модулів). |
| Модуль МОНІТОРА | |
| MON-M16X | 16 портів моніторингу 10GE SFP+ (без оптичних модулів); |
| MON-M16X-CN98 | 16 портів моніторингу 10GE SFP+ (оптичний модуль не входить до комплекту); оснащений розширеним механізмом обробки трафіку, що підтримує такі функції, як обхід розшифрування SSL, проксі-сервер SSL та дедуплікація трафіку; |
| ПН-М4Г | 4 порти моніторингу 100GE QSFP28 (оптичні модулі не входять до комплекту); |
| MON-M4H-CN98 | 4 порти моніторингу 100GE QSFP28 (оптичні модулі не входять до комплекту); оснащені вдосконаленим механізмом обробки, що підтримує такі функції обробки трафіку, як обхід SSL-дешифрування, SSL-проксі та дедуплікація трафіку; |
3.2-Правила вибору модулів
Виходячи з різних вимог до розгортання захищених каналів зв'язку та обладнання для моніторингу, ви можете гнучко вибирати різні конфігурації модулів відповідно до фактичних потреб вашого середовища; будь ласка, дотримуйтесь цих правил під час вибору:
1) Шасі є обов'язковим компонентом і має бути вибране перед вибором будь-яких інших модулів. Також, будь ласка, виберіть відповідний спосіб живлення (AC/DC) відповідно до ваших потреб.
2) Пристрій підтримує максимум 4 слоти для модулів; ви не можете вибрати більше модулів, ніж кількість слотів для конфігурації. Завдяки гнучкому поєднанню різних моделей модулів, пристрій може підтримувати послідовний захист до 16 каналів 10GE/GE або 8 каналів 100GE/40GE.
4-Інтелектуальні можливості обробки трафіку
4.1-Вбудоване розгортання
Захист конкретного трафіку
Він підтримуєВбудований(серійний)режим захисту для певних типів трафіку в будь-якомувбудованийпосилання.Toпересилати деякі типи трафіку, визначені користувачем, навбудованийпосилання наВбудований Sбезпекапристрійдля обробки, а решта трафіку пересилається безпосередньо, минаючи проходження черезВбудований SбезпекапристрійВодночас,itздійснює моніторинг робочого стану в режимі реального часуВбудований SбезпекапристрійПісля виявлення аномального стану обробки трафіку,itбуде автоматично виключено з шляху передачі трафіку для забезпечення безперервності мережевого обслуговування.
Захист всього трафіку
Він підтримуєВбудований(серійний)режим захисту для всіх типів трафіку в будь-якомувбудованийпосилання.Toпередавати весь трафік увбудованийпосилання наВбудований Sбезпекапристрійдля обробки та моніторингу стану роботи вбудованої безпекипристрійу режимі реального часу. Після виявлення аномального стану обробки трафіку,itбуде автоматично виключено з шляху передачі трафіку для забезпечення безперервності мережевого обслуговування.
Балансування навантаження
Він має інтелектуальну функцію балансування навантаження трафіку. Коли продуктивність обробки одногоВбудований Sбезпекапристрійнедостатньо, щоб впоратися звбудованийтрафік зв'язку, він може розподілитивбудованийпідключити трафік до інтерфейсів N Monitor, налаштувавши групу балансування навантаження. Відповідно до MAC-адреси, IP-адреси, номера порту, протоколу та іншої інформації,itвиконує необов'язковий вивід балансування навантаження за допомогою алгоритму хешування, щобвбудованийтрафік посилань рівномірно розподіляється між кількомавбудованийбезпекаінструментдля кластерної обробки, що ефективно покращує загальну продуктивність обробкивбудованийбезпекаінструментs. Для адаптації до вимог сценаріїв застосування з високою пропускною здатністю та великим трафіком.
Виявлення пакетів серцебиття
Він підтримуєTxіRxпакети виявлення серцевого ритму через висхідний та низхідний канали підключенихвбудованийпристрої безпеки та виявляєвбудовані інструментиробочий стан та чи нормальний процес обробки трафіку. Двонаправлений серцевий ритмпакетмеханізм виявлення може точніше відображати поточний робочий станвбудованийбезпекапристрій, та ефективніше забезпечувати нормальну роботу мережі.
Він може налаштувати параметри серцебиття будь-якоговбудованийпристрій безпеки, такий як серцебиттяTxінтервал часу, максимальна кількість повторних спроб серцебиття, серцебиттяTxнапрямок тощо. Він може виявляти та оцінювати стан несправностівбудованийвчасно вмикати пристрої безпеки та здійснювати швидке обхідне перемикання захисних каналів.
Пакети виявлення серцебиття – це стандартні кадри Ethernet рівня 2. Коли розгорнуто прозорий режим мосту рівня 2 (наприклад, IPS/FW), кадри Ethernet рівня 2 будуть пересилатися нормально, без блокування чи втрати. Водночас, він також може підтримувати власні пакети виявлення серцебиття Ethernet рівнів 2, 3 та 4 для адаптації до деяких спеціальних потреб.вбудованийПристрої безпеки зазвичай не можуть пересилати звичайні кадри Ethernet рівня 2.
Завдяки вищезазначеному механізму користувачі можуть реалізувати ефект виявлення стану обслуговування підключених пристроїв безпеки, що дозволить ефективніше забезпечити нормальну роботу служб безпеки.
Байпасне перемикання
Він підтримує дуже низький байпасперемиканнязатримка (<8 мс), і користувачі майже не відчувають впливу на мережу, коли пристрій виконує обхідперемиканняВодночас, специфічна для пристрою технологія комутації каналів може гарантувати, що стан основного каналу не змінюється під час обходу.перемиканняЦя технологія забезпечить обхідперемиканняє безпечнішим і не призведе до переобчислення та конвергенції протоколу топології рівня 2/рівня 3 захищених з'єднань, що мінімізує вплив на мережу користувача під часперемикання.
Блокування трафіку
Коли пристрій безпеки виявляє незаконні або аномальні сеансові з'єднання в трафіку та потребує їх вчасно блокувати, пристрій може перехоплювати будь-які вказані пакети у висхідному/низхідному трафікувбудованийпосилання на основі умов фільтра відповідності кортежів для забезпечення безпечної роботи мережевих сервісів.
Дзеркало дорожнього руху
Окрім захисту трафіку вбудованого каналу зв'язку та пристрою вбудованої безпеки (наприклад, IPS, WAF), будь-який дзеркальний трафік SPAN також може бути виведений до системи моніторингу безпеки SPAN (наприклад, IDS, APT), щоб відповідати вимогам розгортання моніторингу даних трафіку SPAN або тестування та перевірки трафіку.
SSL-проксі
За допомогою функції SSL-проксі оригінальний зашифрований пакет розшифровується та надсилається до вбудованої системи захисту, а потім розшифровані дані відновлюються та надсилаються назад до оригінального каналу зв'язку, щоб надати розшифровані дані вбудованій системі захисту, не впливаючи на передачу зашифрованих даних по оригінальному каналу зв'язку користувача, та здійснити моніторинг та аналіз зашифрованих даних системою аналізу.
4.2-Розгортання SPAN
Реплікація мережевого трафіку
Він підтримуєВбудований(серійний)режим захисту для певних типів трафіку в будь-якомувбудованийпосилання.Toпересилати деякі типи трафіку, визначені користувачем, навбудованийпосилання наВбудований Sбезпекапристрійдля обробки, а решта трафіку пересилається безпосередньо, минаючи проходження черезВбудований SбезпекапристрійВодночас,itздійснює моніторинг робочого стану в режимі реального часуВбудований SбезпекапристрійПісля виявлення аномального стану обробки трафіку,itбуде автоматично виключено з шляху передачі трафіку для забезпечення безперервності мережевого обслуговування.
Агрегація мережевого трафіку
Вихідний вхідний трафік та попередньо оброблений трафік можна скопіювати в N-канальний сигнал відповідно до 1-канального сигналу або скопіювати в M-канальний сигнал після агрегації N-канальних сигналів при переадресації на швидкості ліній GE, 10GE, 40G та 100G, що ідеально вирішує потреби розгортання в мережі більше двох багатопортових пристроїв байпасного прослуховування одночасно.
Розподіл/пересилання даних
Точно класифікував вхідні метадані та відкидав або перенаправляв різні служби даних на кілька виходів інтерфейсу відповідно до заздалегідь визначених правил користувача.
Фільтрація пакетних даних
Вхідні данітрафікможна точно класифікувати, а різні служби передачі даних можна додавати до білого або чорного списку правил, а кілька виходів інтерфейсу можна відкидати або пересилати. Він підтримує гнучке поєднання на основі типу Ethernet, тегу VLAN, п'ятикортежу IP-адрес,ТСРідентифікатор, характеристики пакетів та інші елементи для подальшого задоволення вимог розгортання різного обладнання мережевої безпеки, аналізу протоколів, аналізу сигналізації та інших видів моніторингу трафіку.
Балансування навантаження
Балансування навантаження додаткового алгоритму хешування може здійснюватися відповідно до характеристик внутрішнього та зовнішнього шарів L2-L4, щоб забезпечити цілісність сеансу потоку даних, отриманогоSPANпристрій моніторингу. Коли стан з'єднання змінюється, члени групи розвантажувальних портів можуть гнучко вийти (з'єднання DOWN) або приєднатися (з'єднання UP), а група розвантаження може автоматично перерозподілити трафік, щоб забезпечити динамічне балансування навантаження вихідного трафіку порту.
VLAN з тегами
VLAN без тегів
VLAN замінено
Підтримується збіг будь-якого ключового поля в перших 128 байтах пакета. Користувач може налаштувати значення зміщення, довжину та вміст ключового поля, а також визначити політику виведення трафіку відповідно до конфігурації користувача.
Часові мітки
Підтримано синхронізувати NTP-сервер для корекції часу та записати повідомлення в пакет у вигляді відносної мітки часу з позначкою часу в кінці кадру, з точністю до наносекунд
Зняття інкапсуляції тунелів
Підтримувалися заголовки VxLAN, VLAN, GRE, GTP, MPLS, IPIP, видалені з вихідного пакету даних та перенаправлені на вивід.
Розбиття даних/пакетів
Він підтримуєпакетний фрагментОбробка вихідних даних на основі інтерфейсу введення та виведення трафіку на рівні політики (64, 96, 128, 160, 192, 224, 256, 288, 320, 384, 512, 640, 768, 896, 960 байт є необов'язковими), а політика виведення трафіку може бути реалізована відповідно до конфігурації користувача.
Ідентифікація протоколу тунелювання
Підтримується автоматична ідентифікація різних протоколів тунелювання, таких як GTP / GRE / VxLAN / PPTP / L2TP / PPPOE / IPIP. Залежно від конфігурації користувача, стратегія виведення трафіку може бути реалізована відповідно до внутрішнього або зовнішнього шару тунелю.
Пріоритет пересилання пакетів
Він підтримує визначення пріоритету пакетів даних відповідно до важливості послуги на вхідному порту, а пакети з високим пріоритетом пересилаються переважно на виході. Після пересилання пакетів з високим пріоритетом пересилаються інші пакети із середнім та низьким пріоритетом. Це дозволяє уникнути тривоги системи аналізу, спричиненої відсутністю важливих пакетів даних.
Аномальна тривога
Він підтримує моніторинг тривог у реальному часі та історичні записи тривог щодо тенденцій трафіку інтерфейсу на основі налаштувань порогових значень. Він підтримує моніторинг тривог у реальному часі та історичні записи тривог на основі стану апаратного забезпечення пристрою (процесора, пам'яті, температури, вентилятора, блоку живлення тощо).
Гаряче резервне копіювання інтерфейсу
Він підтримує конфігурацію вхідного інтерфейсу 1+1 первинний/резервний, конфігурацію вихідного інтерфейсу 1+1 первинний/резервний та групу балансування навантаження N+1 первинний/резервний для досягнення високої надійності в процесі передачі трафіку від входу до виходу.
Вимірювання мікровибухів трафіку
Він може визначати час виникнення, тривалість та частоту мікросплесків трафіку в режимі реального часу, а також забезпечувати збереження історичних записів вимірювань, що забезпечує кількісно вимірювані та спостережувані засоби та основу для усунення несправностей під час експлуатації та технічного обслуговування, а також виявлення втрати пакетів.
Захист від коливань інтерфейсу
Він підтримує виявлення та захист від коливань з'єднання/відключення будь-якого інтерфейсу, щоб уникнути втрати вхідного та вихідного трафіку, спричиненої частим з'єднанням/відключенням інтерфейсів, а також покращити стабільність збору та пересилання трафіку.
Вихід інкапсуляції тунелю
Він підтримує інкапсуляцію тунелів типу ERSPAN2, GRE, VXLAN, NVGRE будь-якого зібраного трафіку та виводу для задоволення вимог застосування щодо передачі зібраного трафіку до віддаленої системи аналізу.
Завершення тунельних пакетів
Він підтримує функцію завершення тунельних повідомлень. Ця функція дозволяє налаштовувати IP-адреси/маски та MAC-адреси на вхідному порту трафіку. Це забезпечує пряму передачу трафіку, який необхідно зібрати в мережі користувача, за допомогою методів інкапсуляції тунелю, таких як GRE, GTP та VXLAN, на порт збору пристрою.
Розшифрування SPAN SSL
Підтримується завантаження відповідного розшифрування SSL-сертифіката. Після розшифрування HTTPS-зашифрованих даних для зазначеного трафіку, вони будуть перенаправлені до систем моніторингу та аналізу серверної частини за потреби. Підтримуються TLS1.0, TLS1.2 та SSL3.0.
Дедуплікація даних/пакетів
Підтримується статистична гранулярність на основі портів або на рівні політик для порівняння даних кількох джерел збору та повторень одного й того ж пакета даних у певний час. Користувачі можуть вибирати різні ідентифікатори пакетів (dst.ip, src.port, dst.port, tcp.seq, tcp.ack, dst.mac, src.mac, vlan.id).
Маскування дати засекреченням
Підтримується гранулярність на основі політик для заміни будь-якого ключового поля в необроблених даних з метою захисту конфіденційної інформації. Відповідно до конфігурації користувача, можна реалізувати політику виведення трафіку.
Ідентифікація протоколу рівня APP
Він підтримує ідентифікацію, виведення та відкидання протоколів прикладного рівня на основі режиму зіставлення DNS/URL. Бібліотеку функцій DPI можна інтегрувати для розпізнавання, виведення та відкидання не менше 1800 видів функцій прикладних протоколів (таких як аудіо та відео, ігри, миттєві повідомлення, бази даних, електронна пошта, P2P тощо), а бібліотеку функцій DPI можна оновлювати та оновлювати. За потреби також можна виконувати вторинну розробку.
Декапсуляція пакетів, визначена користувачем
Він підтримує функцію самовизначеної деінкапсуляції пакетів, яка може видаляти поля інкапсуляції та вміст у будь-якій позиції перших 128 байтів пакета та виводити їх.
Формування трафіку
Водночас, у вихідному інтерфейсі використовується технологія формування трафіку для плавного виведення потоку даних до інструменту аналізу, що принципово вирішує проблему втрати пакетів, спричиненої мікроспалахами, та запобігає аномальній тривозі, спричиненій втратою трафіку в системі аналізу.
Зіставлення ключових слів пакета
Після того, як будь-який вміст поля в частині корисного навантаження пакета зіставиться та буде знайдено результат, пов'язаний пакет або потік сеансу пересилається та виводиться або відкидається для задоволення вимог попередньої обробки певних даних трафіку.
Зняття інкапсуляції тунелів
Він підтримує вивід заголовків пакетів VXLAN, MPLS, GRE, SRV6, FABRICPATCH, GENEVE та інших у вихідному пакеті даних після відокремлення.
Розвантаження довготривалих з'єднань
Відповідно до потреб користувача, будь-який потік сеансу може бути перенаправлений та виведений відповідно до кількості переданих байтів та кількості переданих пакетів, а наступний потік сеансу може бути відкинутий, щоб задовольнити вимоги системи аналізу серверної частини в деяких конкретних сценаріях, якій потрібно отримати лише частину трафіку потоку сеансу, зменшити навантаження на аналіз трафіку та підвищити ефективність системи аналізу.
Статистичний аналіз трафіку
Він підтримує статистику компонентів будь-якого вхідного трафіку інтерфейсу та може відображати розмір тенденції трафіку, розмір/частку трафіку TOPN IP-адреси, розмір/частку трафіку TOPN категорії прикладного протоколу, розмір/частку трафіку TOPN назви прикладного протоколу та інформацію про сеанс трафіку у вигляді діаграм у режимі реального часу, а також забезпечує експорт статистичних результатів у локальні файли. Таким чином, користувачі можуть чіткіше зрозуміти структуру складу будь-якого зібраного трафіку та забезпечити найпрямішу базу підтримки даних для налаштування стратегій трафіку та зміни бізнес-вимог.
Видимість трафіку - базовий аналіз даних
Базовий модуль аналізу функції виявлення візуалізації трафіку може відображати основну інформацію про захоплені цільові дані трафіку, таку як кількість пакетів, розподіл одноадресних/багатоадресних/широкосмугових пакетів, номер сеансового з'єднання, розподіл протоколів пакетів та розмір захопленого трафіку.
Видимість трафіку - глибокий аналіз DPI
Модуль глибокого аналізу DPI функції виявлення видимості трафіку може проводити поглиблений аналіз отриманих даних цільового трафіку з різних точок зору та представляти детальну статистику у вигляді графіків і таблиць.
Видимість трафіку - аналіз пропорцій трафіку
● Аналіз пропорцій протоколів транспортного рівня: такі як TCP, UDP, ICMP, IGMP, ARP та інші, пропорції пакетів, статистика трафіку та відображення кругової діаграми
● Аналіз частки IP-трафіку: наприклад, статистика трафіку, згенерована різними IP-адресами, рейтинг трафіку на основі IP-адрес TOP N та відображення стовпчастої діаграми
● Аналіз пропорцій застосунків DPI: такі як HTTP, QQ, FTP та інші протоколи застосунків, кількість байтів, статистичний розподіл комунікаційного трафіку та відображення кругової діаграми
Видимість трафіку - аналіз часової шкали трафіку
Відповідно до різних умов фільтрації, таких як IP-адреса, порт, протокол транспортного рівня, протокол прикладного рівня та інший заданий контент, поточні дані трафіку захоплення цілі можуть бути проаналізовані та представлені на основі часу вибірки, а розмір трафіку та тенденцію можна запитувати, переміщуючи повзунок часу та масштабуючи статистичну деталізацію, а точність може сягати 1 мілісекунди.
Видимість трафіку – аналіз таблиці потоків
Відповідно до різних умов фільтрації, таких як ідентифікатор потоку, IP-адреса, порт, протокол транспортного рівня, протокол прикладного рівня та інший заданий контент, поточні дані цільового трафіку можуть бути проаналізовані та підраховані на основі режиму потоку сеансу, тобто детального представлення інформації про потік сеансу, включаючи інформацію про п'ять кортежів кожного потоку, тип програми-носія, кількість та байти переданих пакетів та пов'язаний потік даних. А також має відображення ранжування на основі вищезазначеної інформації. На основі цієї інформації користувачі можуть легко вибрати типи трафіку, які їх цікавлять, що забезпечує найпрямішу основу для формулювання політик переадресації трафіку.
Видимість трафіку – аналіз пакетів
На основі різних критеріїв фільтрації, таких як ідентифікатор пакета, IP-адреса, порт, протокол транспортного рівня, протокол прикладного рівня та інший заданий вміст, отримані дані цільового трафіку можуть бути представлені з аналізом на рівні кожного пакета, включаючи:
● Аналіз мітки часу збору пакетів
● Аналіз ключової інформації про пакети, такої як sip, dip, smac, dmac, протокол, прапорець, TTL, довжина повідомлення, ключові події
● Аналіз шляху передачі пакетів та анімаційне відображення, таке як: час пересилання, затримка пересилання, тип пересилання (маршрутизація, комутація, брандмауер, балансування навантаження, NAT)
● Зведення інформації про пакет та відображення детальної структури
● Аналіз кількості повторних зборів пакетів
Видимість дорожнього руху – точний аналіз несправностей
Модуль аналізу несправностей функції виявлення видимості дорожнього руху може забезпечувати різне позиціонування візуального аналізу несправностей для захоплених цільових даних дорожнього руху, зокрема:
● Огляд аномальних даних, такий як: результати аналізу мережевих послуг, результати аналізу аномальних подій, мережевий процес на основі аналізу поведінки (наприклад, кількість пристроїв маршрутизації, пристроїв NAT, пристроїв брандмауера, пристроїв балансування навантаження, що передаються під час передачі пакетів)
● Аналіз збоїв на рівні таблиці потоків, такий як типи аномальних подій (з’єднання відхилено/з’єднання не відповідає/з’єднання не передає дані/з’єднання частково відкрите/маршрут сеансу недоступний тощо), ● Аналіз збоїв на рівні пакетів, такий як: тип аномальної події (помилка контрольної суми пакета /TTL 0/ помилка недоступності /помилка контрольної суми FCS тощо), детальний опис аномальної інформації та деталі пов’язаного потоку даних
● Аналіз помилок безпеки, такий як: тип аномальної події (DDOS-атака/блокування брандмауера/ARP-атака/UDP-перевантаження/SYN-перевантаження тощо), детальний опис аномальної інформації та деталі пов'язаного потоку даних
● Аналіз мережевих несправностей, таких як: тип аномальної події (петля комутації/петля маршрутизації/недоступний шлях/переривання з'єднання тощо), детальний опис аномальної інформації та деталі пов'язаного потоку даних
5-Технічні характеристики мережевого пакетного брокера Mylinking™ та вбудованого байпасного комутатора
| ML-БАЙПАС-M2000 рік Брокер мережевих пакетів Mylinking™ та вбудований байпасний комутатор Функціональні характеристики | ||||
| Мережевий інтерфейс | Слот для модуля | 4 слоти для модулів BYPASS або MONITOR | ||
| Кількість вбудованих посилань | Підтримує захист до 16 оптичних каналів 1G/10G або 8 оптичних каналів 40G/100G. | |||
| Інтерфейс моніторингу монітора | Підтримує максимум 64 інтерфейси моніторингу 1G/10GE або 16 інтерфейсів моніторингу 40G/100G. | |||
| Інтерфейс керування поза діапазоном | 1 порт Ethernet 10/100/1000M; | |||
| Режим розгортання | Вбудоване розгортання | Підтримка | ||
| Розгортання SPAN | Підтримка | |||
| Системні функції | Вбудований режим розгортання | Захист від конкатенації конкретних потоків | Підтримка | |
| Захист усіх серій потоків | Підтримка | |||
| Балансування навантаження | Підтримка | |||
| Виявлення серцебиття | Підтримка | |||
| Перемикання байпасу | Підтримка | |||
| Блокування руху транспорту | Підтримка | |||
| Дзеркальне відображення трафіку | Підтримка | |||
| SSL-проксі | Підтримка | |||
| Режим розгортання SPAN | Базова обробка трафіку | Реплікація/агрегація/розподіл трафіку | Підтримка | |
| Балансування навантаження | Підтримка | |||
| Фільтрація трафіку на основі ідентифікатора 5-кортежного IP-адреси/протоколу/порту | Підтримка | |||
| Тегування/модифікація/видалення VLAN | Підтримка | |||
| Мітка часу | Підтримка | |||
| Зняття інкапсуляції тунелів | Підтримка | |||
| Зріз даних | Підтримка | |||
| Ідентифікація протоколу тунелювання | Підтримка | |||
| Пріоритет пересилання пакетів | Підтримка | |||
| Попередження про незвичність | Підтримка | |||
| Гарячий резерв інтерфейсу | Підтримка | |||
| Вимірювання мікроспалахів | Підтримка | |||
| Захист від коливань інтерфейсу | Підтримка | |||
| Вихід інкапсуляції тунелю | Підтримка | |||
| Завершення тунельних пакетів | Підтримка | |||
| Розширена обробка трафіку | Обхід розшифрування SSL | Підтримка | ||
| Дедуплікація даних | Підтримка | |||
| Маскування даних | Підтримка | |||
| Ідентифікація протоколу прикладного рівня | Підтримка | |||
| Декапсуляція на замовлення | Підтримка | |||
| Формування потоку | Підтримка | |||
| Зіставлення ключових слів | Підтримка | |||
| Зняття інкапсуляції тунелів | Підтримка | |||
| Розвантаження довготривалого з'єднання | Підтримка | |||
| Спостереження за компонентами потоку | Підтримка | |||
| Діагностика та моніторинг | Моніторинг у режимі реального часу | Підтримка | ||
| Запит щодо історії трафіку | Підтримка | |||
| Захоплення трафіку | Підтримка | |||
| Виявлення візуалізації трафіку | Фундаментальний аналіз | Підтримує зведене статистичне відображення на основі базової інформації, такої як кількість пакетів, розподіл типів пакетів, кількість сеансових підключень та розподіл протоколів пакетів. | ||
| Поглиблений аналіз DPI | Він підтримує аналіз частки протоколів транспортного рівня, частки одноадресної, широкомовної та багатоадресної розсилки, частки IP-трафіку та частки DPI-застосунків. Він підтримує аналіз та представлення вмісту даних на основі часу вибірки та обсягу даних. Він підтримує аналіз даних та статистику на основі потоків сеансів. | |||
| Точний аналіз несправностей | Підтримує аналіз та локалізацію несправностей, використовуючи дані трафіку з різних точок зору, включаючи: аналіз поведінки передачі пакетів, аналіз несправностей на рівні потоку даних, аналіз несправностей на рівні пакетів даних, аналіз несправностей, пов'язаних з безпекою, та аналіз несправностей, пов'язаних з мережею. | |||
| Переробна потужність | 2,4 Тбіт/с | |||
| Керувати | Керування мережею CONSOLE | Підтримка | ||
| Керування IP/WEB мережею | Підтримка | |||
| Управління мережею SNMP | Підтримка | |||
| Керування мережею TELNET/SSH | Підтримка | |||
| Протокол SYSLOG | Підтримка | |||
| Централізована авторизація та автентифікація RADIUS або TADACS+ | Підтримка | |||
| Функція автентифікації користувача | Автентифікація за іменем користувача та паролем | |||
| Електричний | Номінальна напруга живлення | Змінний струм 220 В/постійний струм 48 В [Додатково] | ||
| Номінальна частота живлення | AC-50HZ | |||
| Номінальний вхідний струм | AC-3A / DC-10A | |||
| Номінальна функціональна потужність | Максимальна потужність 300 Вт | |||
| Навколишнє середовище | Робоча температура | 0-50℃ | ||
| Температура зберігання | -20-70℃ | |||
| Робоча вологість | 10%-95%, без конденсації | |||
| Конфігурація користувача | Конфігурація консолі | Інтерфейс RS232, 115200, 8, N, 1 | ||
| Аутентифікація за паролем | Sпідтримка | |||
| Розмір стійки | Простір у стійці (U) | 2U 444 мм * 88 мм * 670 мм | ||
6-Mylinking™ Network Packet Broker плюс додаток Inline Bypass Switch
6.1TheRризикРядний SбезпекаEобладнання (IPS / FW)
Нижче наведено типовий режим розгортання IPS (системи запобігання вторгненням) та FW (брандмауера). IPS/FW розгортаються послідовно на мережевому обладнанні (маршрутизаторах, комутаторах тощо) між трафіком шляхом реалізації перевірок безпеки, згідно з відповідною політикою безпеки, для визначення вивільнення або блокування відповідного трафіку та досягнення ефекту захисту безпеки.
Нижче наведено типовий режим розгортання IPS (системи запобігання вторгненням) та FW (брандмауера). IPS/FW розгортаються послідовно на мережевому обладнанні (маршрутизаторах, комутаторах тощо) між трафіком шляхом реалізації перевірок безпеки, згідно з відповідною політикою безпеки, для визначення вивільнення або блокування відповідного трафіку та досягнення ефекту захисту безпеки.
6.2 Захист обладнання серії Inline Link
Брокер мережевих пакетів Mylinking™ з вбудованим обхідним комутатором розгортається послідовно між мережевими пристроями (маршрутизаторами, комутаторами тощо), і потік даних між мережевими пристроями більше не спрямовується безпосередньо до IPS/FW. "Інтелектуальний вбудований обхідний комутатор" переходить до IPS/FW. Коли IPS/FW перевантажується, збоюється, оновлюється програмне забезпечення, оновлюється політика та виникають інші проблеми, "Інтелектуальний вбудований обхідний комутатор" завдяки функції інтелектуального виявлення повідомлень про серцебиття своєчасно виявляє несправні пристрої, що дозволяє пропустити їх, не перериваючи роботу мережі. Це дозволяє швидко підключити мережеве обладнання безпосередньо до мережі для захисту нормального зв'язку. У разі відновлення після збою IPS/FW, а також завдяки функції інтелектуального виявлення пакетів серцебиття, своєчасно перевіряється безпека вихідного каналу для відновлення безпеки корпоративної мережі.
Mylinking™ Network Packet Broker plus Inline Bypass Switch має потужну інтелектуальну функцію виявлення повідомлень про серцебиття. Користувач може налаштувати інтервал серцебиття та максимальну кількість спроб за допомогою спеціального повідомлення про серцебиття на IPS/FW для перевірки справності, наприклад, надсилати повідомлення перевірки серцебиття на порт висхідного/низхідного потоку IPS/FW, а потім отримувати його з порту висхідного/низхідного потоку IPS/FW та оцінювати, чи працює IPS/FW нормально, надсилаючи та отримуючи повідомлення про серцебиття.
6.3 Вбудований потік політики «SpecFlow»БезпекаЗахист серії
Коли мережевому пристрою безпеки потрібно обробляти лише певний трафік у послідовному захисті безпеки, через функцію обробки трафіку Mylinking™ Network Packet Broker та Inline Bypass Switch, через політику скринінгу трафіку для підключення вбудованого пристрою безпеки, "проблемний" трафік надсилається безпосередньо назад до мережевого з'єднання, а "проблемна ділянка трафіку" передається до вбудованого пристрою безпеки для виконання перевірок безпеки. Це не тільки забезпечить нормальне застосування функції виявлення безпеки пристрою безпеки, але й зменшить неефективний потік обладнання безпеки для обробки тиску; водночас "розумний вбудований обхідний перемикач" може виявляти робочий стан пристрою безпеки в режимі реального часу. Пристрій безпеки працює аномально, обходячи трафік даних безпосередньо, щоб уникнути перебоїв у роботі мережі.
Мережевий брокер пакетів Mylinking™ з вбудованим обхідним комутатором може ідентифікувати трафік на основі ідентифікатора заголовка рівнів L2-L4, такого як тег VLAN, MAC-адреса джерела/призначення, IP-адреса джерела, тип IP-пакета, порт протоколу транспортного рівня, тег ключа заголовка протоколу тощо. Різноманітні гнучкі комбінації умов відповідності можуть бути гнучко визначені для визначення конкретних типів трафіку, які цікавлять певний пристрій безпеки, і можуть широко використовуватися для розгортання спеціальних пристроїв аудиту безпеки (RDP, SSH, аудит баз даних тощо).
6.4Lзбалансований навантаженняВбудована безпекаЗахист серії
Брокер мережевих пакетів Mylinking™ та вбудований обхідний комутатор Inline Bypass розгортаються послідовно між мережевими пристроями (маршрутизаторами, комутаторами тощо). Коли продуктивності обробки одного IPS/FW недостатньо для справляння з піковим трафіком мережевого з'єднання, функція балансування навантаження трафіку захисника, «об'єднання» кількох кластерів IPS/FW, що обробляють трафік мережевого з'єднання, може ефективно зменшити навантаження на обробку одного IPS/FW та покращити загальну продуктивність обробки для задоволення потреб високої пропускної здатності середовища розгортання.
Mylinking™ Network Packet Broker плюс Inline Bypass Switch має потужну функцію балансування навантаження, яка розподіляє трафік на основі тегу VLAN кадру, інформації про MAC, IP, номера порту, протоколу та іншої інформації про хеш-балансування навантаження, щоб забезпечити цілісність сеансу потоку даних, отриманого кожним IPS/FW.
6.5БагатосерійнийВбудоване обладнання FнизькийTфракціїPзахист(ЗмінаФізичнийПослідовне підключення доЛогічнийПаралельне підключення)
У деяких ключових зв'язках (таких як інтернет-розетки, канали обміну серверами) розташування часто зумовлене потребами в функціях безпеки та розгортанням кількох вбудованих засобів тестування безпеки (таких як брандмауер, обладнання для захисту від DDoS-атак, брандмауер веб-додатків, обладнання для запобігання вторгненням тощо). Одночасне послідовне підключення кількох пристроїв виявлення безпеки на одному з'єднанні збільшує кількість точок відмови в з'єднанні, знижуючи загальну надійність мережі. А у вищезгаданих операціях розгортання онлайн-обладнання безпеки, модернізація обладнання, заміна обладнання та інші операції призводять до тривалих перебоїв у роботі мережі та масштабніших скорочень проектів для успішного завершення таких проектів.
Завдяки уніфікованому розгортанню Mylinking™ Network Packet Broker та Inline Bypass Switch, режим розгортання кількох пристроїв безпеки, підключених послідовно до одного каналу, можна змінити з «Режим фізичного послідовного підключення» на «Режим фізичного паралельного підключення, але логічного послідовного підключення». Це ефективно зменшує кількість джерел єдиної точки відмови на послідовному каналі та підвищує його надійність. Водночас, Mylinking™ Network Packet Broker та Inline Bypass Switch можуть керувати трафіком каналу на вимогу, досягаючи такого ж ефекту безпеки обробки трафіку, як і в оригінальному режимі послідовного підключення.
Схема розгортання кількох вбудованих пристроїв безпеки одночасно в послідовному режимі:
Схема розгортання брокера мережевих пакетів Mylinking™ та вбудованого байпасного комутатора:
(Змінити фізичне послідовне з'єднання на логічне паралельне з'єднання)
6.6На основіDдинамічна політикаTВбудований трафікSбезпекаDвибориPзахист
Mylinking™ Network Packet Broker plus Inline Bypass Switch, ще один розширений сценарій застосування, базується на динамічній політиці програм захисту від виявлення та зчеплення трафіку, розгортання якого показано нижче:
Візьмемо, наприклад, обладнання для тестування безпеки "Захист від DDoS-атак та виявлення", яке розгортає на передньому кінці "Smart Bypass Switch" та обладнання захисту від DDoS-атак, а потім підключає його до "Smart Bypass Switch". У звичайному "Smart Bypass Switch" повний обсяг трафіку пересилається на швидкості проводу, одночасно дзеркально виводячи потік на "Пристрій захисту від DDoS-атак". Після виявлення IP-адреси сервера (або сегмента IP-мережі) після атаки "Пристрій захисту від DDoS-атак" генерує правила відповідності цільового потоку трафіку та надсилає їх на "Smart Bypass Switch" через інтерфейс динамічної доставки політик. "Bypass Switch" може оновлювати "динаміку трафіку" після отримання правил динамічної політики та негайно "правило" потрапляє на "трафік сервера атаки" до обладнання "Захист від DDoS-атак та виявлення" для обробки, щоб бути ефективним після потоку атаки, а потім повторно вводити в мережу.
Схема застосування, заснована на "Smart Bypass Switch", легше реалізується, ніж традиційна схема ін'єкції маршруту BGP або інша схема зчеплення трафіку, а середовище менше залежить від мережі та надійність вища.
"Інтелектуальний обхідний комутатор" має такі характеристики для підтримки захисту від виявлення динамічних політик безпеки:
1. "Розумний обхідний комутатор" для забезпечення поза правилами на основі інтерфейсу WEBSERIVCE, легкої інтеграції зі сторонніми пристроями безпеки.
2. «Інтелектуальний обхідний комутатор» на основі апаратного чистого ASIC-чіпа, що пересилає пакети зі швидкістю до 100 Гбіт/с без блокування пересилання комутатора, та «бібліотека динамічних правил керування трафіком» незалежно від кількості.
3. Вбудована професійна функція ОБХІДУ "Smart Bypass Switch" дозволяє негайно обійти вихідний послідовний порт, навіть якщо сам захисник вийде з ладу, не впливаючи на вихідний канал нормального зв'язку.
6.7Вбудоване дзеркалювання послідовного трафікудля позасмугової безпеки (вбудована + SPAN)
Брокер мережевих пакетів Mylinking™ з вбудованим обхідним комутатором зазвичай розгортається в ІТ-мережі клієнта або мережі хмарної платформи для забезпечення вбудованого захисту пристроїв WAF/IPS та вихідного каналу. Користувачі також можуть мати додаткові вимоги щодо тестування, перевірки або розгортання пристроїв моніторингу обходу, що вимагає отримання даних про трафік на цьому каналі.
Таким чином, використовуючи функцію дзеркалювання трафіку брокера мережевих пакетів Mylinking™ та вбудованого обхідного комутатора, трафік вбудованого послідовного з'єднання може бути дзеркально відображений з порту монітора, як показано на наступному рисунку:
На діаграмі нижче показано розширений сценарій застосування вбудованого трафіку каналу та трафіку дзеркального порту комутатора. Це дозволяє захищати вбудований трафік каналу без впливу трафіку дзеркального порту комутатора. Система аналізу IDS може одночасно отримувати як вбудований трафік каналу, так і трафік дзеркального порту комутатора. Метод розгортання показано на діаграмі нижче:
6.8Дедуплікація даних/пакетівЗастосування
Як показано у структурі розгортання застосунку вище, для забезпечення цілісності оригінального збору даних вздовж усього каналу зв'язку, деякі ідентичні пакети даних можуть збиратися кілька разів в межах одного шляху. Це призводить до збільшення кількості хибних тривог та повторних передач у внутрішній системі, збільшуючи накладні витрати на продуктивність системи аналізу та впливаючи на точність та ефективність аналізу. Згідно з цим рішенням, спочатку дублікати пакетів даних видаляються в різних вузлах захоплення. Лише один пакет даних пересилається до внутрішньої системи аналізу продуктивності мережі NPM та системи аналізу продуктивності застосунку APM, тим самим заощаджуючи продуктивність системи аналізу та підвищуючи ефективність та точність аналізу.
6.9Дані/ПакетТеги VLANінгЗастосування
У мережевому середовищі, показаному на діаграмі вище, це рішення використовується для позначення необроблених даних з різних мережевих пристроїв та вузлів зв'язку. Коли в мережі виникає аномальний трафік або пакети даних, обладнання для аналізу серверної частини може швидко та точно визначити місцезнаходження джерела аномальних даних, відстежуючи їх на основі міток даних.
6.10 Мережевий трафікЄдиний розкладЗастосування
У мережевому середовищі, показаному на діаграмі вище, кілька даних вихідних каналів 10GE, 25GE, 40GE та 100GE повністю вводяться в брокер мережевих пакетів Mylinking™ плюс вбудований байпасний комутатор за допомогою оптичного розділення або дзеркала портів. Потім фільтрація та розділення трафіку використовуються для виведення різного трафіку службових даних на різні пристрої позасмугового моніторингу та безпеки мережі. Коли аномалії мережевих пакетів або аномальні коливання трафіку потребують ручного втручання, захоплення пакетів у режимі реального часу та аналіз вихідних пакетів даних можуть бути виконані негайно, щоб допомогти користувачам швидко проаналізувати та знайти несправність.
6.11МережаАналіз видимості даних про трафікЗастосування
Він може представляти будь-які виявлені та зібрані дані у багатовимірному та багатоперспективному вигляді через зручний графічний та текстовий інтерактивний інтерфейс, включаючи структуру складу трафіку, розподіл протоколу застосунку, розподіл трафіку всіх вузлів мережі, шлях передачі даних, виявлення аномальних подій, точне місцезнаходження несправностей мережевих елементів/каналів, стан взаємодії повідомлень, тенденцію розвитку трафіку та інші аспекти для моніторингу та аналізу, щоб створити комплексну, видиму та контрольовану платформу збору та безпеки даних для корпоративних мереж.
