1. Що таке пакет «Визначення серцебиття»?
Пакети heartbeat комутатора Mylinking™ Network Tap Bypass за замовчуванням використовують кадри Ethernet 2 рівня. Під час розгортання прозорого режиму мосту 2 рівня (наприклад, IPS / FW) кадри Ethernet 2 рівня зазвичай пересилаються, блокуються або відкидаються. Водночас комутатор Mylinking™ Network Tap Bypass підтримує користувацький формат повідомлень heartbeat, щоб задовольнити ситуацію, коли деякі спеціальні послідовні пристрої безпеки зазвичай не можуть пересилати звичайні кадри Ethernet 2 рівня.
А комутатор Mylinking™ Network Tap Bypass Switch також підтримує виявлення пакетів heartbeat на основі тегу VLAN, а також типів користувацьких повідомлень рівня 3 та рівня 4. На основі цього механізму користувач може реалізувати функцію перевірки безпеки обслуговування пристрою безпеки з'єднання, щоб підвищити його ефективність та забезпечити належну роботу відповідних служб безпеки.
Мережевий перемикач обходу відводу Mylinking™ може підтримувати монітор для надсилання різних пакетів сигналу серцевого ритму в обох напрямках. Наприклад, пакети сигналу серцевого ритму типу TCP та UDP налаштовуються на «Strategy Traffic Traction Protector» відповідно до особливостей послідовного пристрою. Ви можете налаштувати надсилання пакетів сигналу серцевого ритму TCP на порт A монітора висхідного каналу та надсилання пакетів сигналу серцевого ритму UDP на порт B монітора низхідного каналу, щоб врахувати механізм пересилання повідомлень послідовного пристрою безпеки. Ця функція може ефективніше гарантувати безпеку. Підключіть обладнання безпеки до нормального режиму роботи.
Мережевий вбудований байпасний комутатор Mylinking™ розроблений для гнучкого розгортання різних типів послідовного обладнання безпеки, забезпечуючи при цьому високу надійність мережі.
2-мережевий вбудований байпасний комутатор. Розширені функції та технології.
Режим захисту Mylinking™ «SpecFlow» та технологія режиму захисту «FullLink»
Технологія захисту від перемикання швидкого байпасу Mylinking™
Технологія Mylinking™ «LinkSafeSwitch»
Технологія динамічної стратегії переадресації/випуску Mylinking™ “WebService”
Технологія інтелектуального виявлення повідомлень про серцебиття Mylinking™
Технологія визначення повідомлень про серцебиття Mylinking™
Технологія балансування навантаження Mylinking™ Multi-link
Технологія інтелектуального розподілу трафіку Mylinking™
Технологія динамічного балансування навантаження Mylinking™
Технологія віддаленого керування Mylinking™ (HTTP/WEB, TELNET/SSH, функція «EasyConfig/AdvanceConfig»)
Застосування 3-мережевого вбудованого байпасного перемикача (як зазначено нижче)
3.1 Ризик вбудованого обладнання безпеки (IPS / FW)
Нижче наведено типовий режим розгортання IPS (системи запобігання вторгненням) та FW (брандмауера). IPS/FW розгортаються послідовно на мережевому обладнанні (маршрутизаторах, комутаторах тощо) між трафіком шляхом реалізації перевірок безпеки, згідно з відповідною політикою безпеки, для визначення вивільнення або блокування відповідного трафіку та досягнення ефекту захисту безпеки.
Водночас, ми можемо спостерігати IPS/FW як послідовне розгортання обладнання, яке зазвичай розгортається в ключових місцях корпоративної мережі для забезпечення послідовної безпеки. Надійність підключених до нього пристроїв безпосередньо впливає на загальну доступність корпоративної мережі. Перевантаження послідовних пристроїв, збої, оновлення програмного забезпечення, оновлення політик тощо значно впливають на доступність усієї корпоративної мережі. У цьому випадку лише через розрив мережі та фізичну обхідну перемичку можна відновити мережу, що серйозно впливає на її надійність. IPS/FW та інші послідовні пристрої, з одного боку, покращують розгортання корпоративної мережі, а з іншого боку, також знижують її надійність, збільшуючи ризик її недоступності.
3.2 Захист обладнання серії Inline Link
Mylinking™ «Network Inline Bypass» розгортається послідовно між мережевими пристроями (маршрутизаторами, комутаторами тощо), і потік даних між мережевими пристроями більше не спрямовується безпосередньо до IPS/FW. «Network Inline Bypass» перемикається на IPS/FW. Коли IPS/FW перевантажується, збій, оновлення програмного забезпечення, оновлення політик та інші збої, «Network Inline Bypass» завдяки інтелектуальній функції виявлення повідомлень heartbeat своєчасно виявляє несправні пристрої, пропускаючи їх, не перериваючи роботу мережі. Швидке та безпосереднє підключення мережевого обладнання захищає нормальну мережу зв'язку, захищаючи при цьому нормальне відновлення мережі. У разі відновлення після збою IPS/FW, а також завдяки інтелектуальній функції виявлення пакетів heartbeat, своєчасно перевіряється безпека вихідного з'єднання для відновлення безпеки корпоративної мережі.
Mylinking™ “Network Inline Bypass” має потужну інтелектуальну функцію виявлення повідомлень про серцебиття. Користувач може налаштувати інтервал серцебиття та максимальну кількість повторних спроб за допомогою спеціального повідомлення про серцебиття на IPS/FW для перевірки справності, наприклад, надсилаючи повідомлення про перевірку серцебиття на порт висхідного/низхідного потоку IPS/FW, а потім приймаючи його з порту висхідного/низхідного потоку IPS/FW та оцінюючи, чи IPS/FW працює нормально, надсилаючи та отримуючи повідомлення про серцебиття.
3.3 Захист лінійної тяги політики «SpecFlow»
Коли мережевий пристрій безпеки має обробляти лише певний трафік у послідовному захисті безпеки, за допомогою функції Mylinking™ «Network Inline Bypass» для обробки трафіку, за допомогою стратегії скринінгу трафіку для підключення пристрою безпеки, «відповідний» трафік надсилається безпосередньо назад до мережевого з'єднання, і «відповідна секція трафіку» передається до вбудованого пристрою безпеки для виконання перевірок безпеки. Це не тільки забезпечить нормальне застосування функції виявлення безпеки пристрою безпеки, але й зменшить неефективний потік обладнання безпеки для обробки тиску; водночас «Network Inline Bypass» може виявляти робочий стан пристрою безпеки в режимі реального часу. Пристрій безпеки працює аномально, обходячи трафік даних безпосередньо, щоб уникнути перебоїв у роботі мережі.
3.4 Захист послідовного збалансованого навантаження
«Network Inline Bypass» Mylinking™ розгортається послідовно між мережевими пристроями (маршрутизаторами, комутаторами тощо). Коли продуктивності обробки одного IPS/FW недостатньо для справляння з піковим трафіком мережевого з'єднання, функція балансування навантаження трафіку протектора, «об'єднання» кількох кластерів IPS/FW, що обробляють трафік мережевого з'єднання, може ефективно зменшити навантаження на обробку одного IPS/FW та покращити загальну продуктивність обробки для задоволення потреб високої пропускної здатності середовища розгортання.
Mylinking™ “Network Inline Bypass” має потужну функцію балансування навантаження, яка розподіляє трафік на основі тегу VLAN кадру, інформації про MAC, IP, номера порту, протоколу та іншої інформації про хеш-балансування навантаження, щоб забезпечити цілісність сеансу потоку даних, отриманого кожним IPS/FW.
3.5 Захист тяги потоку багатосерійного вбудованого обладнання (зміна послідовного з'єднання на паралельне)
У деяких ключових зв'язках (таких як інтернет-розетки, канали обміну серверами) розташування часто зумовлене потребами в функціях безпеки та розгортанням кількох вбудованих засобів тестування безпеки (таких як брандмауер, обладнання для захисту від DDoS-атак, брандмауер веб-додатків, обладнання для запобігання вторгненням тощо). Одночасне послідовне підключення кількох пристроїв виявлення безпеки на одному з'єднанні збільшує кількість точок відмови в з'єднанні, знижуючи загальну надійність мережі. А у вищезгаданих операціях розгортання онлайн-обладнання безпеки, модернізація обладнання, заміна обладнання та інші операції призводять до тривалих перебоїв у роботі мережі та масштабніших скорочень проектів для успішного завершення таких проектів.
Розгортаючи «Мережевий вбудований обхід» уніфікованим способом, режим розгортання кількох пристроїв безпеки, з’єднаних послідовно на одному каналі, можна змінити з «режиму фізичного об’єднання» на «режим фізичного об’єднання, логічного об’єднання». З’єднання на каналі з єдиною точкою відмови підвищує надійність з’єднання, тоді як «Мережевий вбудований обхід» на каналі забезпечує тягу потоку на вимогу, щоб досягти того ж ефекту безпечної обробки, що й у оригінальному режимі.
Схема послідовного розгортання кількох пристроїв безпеки одночасно:
Схема розгортання мережевого вбудованого байпасного комутатора:
3.6 На основі динамічної стратегії захисту від виявлення та зчеплення з дорогою
«Мережевий вбудований обхід». Ще один розширений сценарій застосування базується на динамічній стратегії додатків захисту від виявлення та зчеплення з дорогою, розгортання якого показано нижче:
Візьмемо, наприклад, обладнання для тестування безпеки «Захист від DDoS-атак та виявлення», яке розгортає на передньому кінці «Мережевий обхід» та обладнання захисту від DDoS-атак, а потім підключається до «Мережевого обходу». У звичайному режимі «Захист від тяги» повний обсяг трафіку пересилається на швидкості проводу, одночасно дзеркально передаючи потік на «Пристрій захисту від DDoS-атак». Після виявлення IP-адреси сервера (або сегмента IP-мережі) після атаки, пристрій захисту від DDoS-атак генерує правила відповідності потоку цільового трафіку та надсилає їх на «Мережевий обхід» через інтерфейс динамічної доставки політик. «Мережевий обхід» може оновлювати «динаміку тяги трафіку» після отримання правил динамічної політики та негайно «правило» потрапляє на «Тягнення трафіку» сервера атаки до обладнання «Захист від DDoS-атак та виявлення» для обробки, щоб бути ефективним після потоку атаки, а потім повторно вводити його в мережу.
Схема застосування, заснована на «Network Inline Bypass», легше реалізується, ніж традиційна ін'єкція маршруту BGP або інша схема зчеплення трафіку, а середовище менше залежить від мережі та надійність вища.
«Мережевий вбудований обхід» має такі характеристики для підтримки захисту виявлення динамічних політик безпеки:
1. «Вбудований обхід мережі» забезпечує легку інтеграцію із сторонніми пристроями безпеки поза правилами на основі інтерфейсу WEBSERIVCE.
2. «Мережевий вбудований обхід» на основі апаратного чистого ASIC-чіпа, що пересилає пакети зі швидкістю дроту до 10 Гбіт/с без блокування переадресації комутатора, та «бібліотека динамічних правил обробки трафіку» незалежно від кількості.
3. Вбудована професійна функція BYPASS «Network Inline Bypass» дозволяє негайно обійти вихідний послідовний порт, навіть якщо сам захист вийде з ладу, не впливаючи на вихідний канал нормального зв'язку.
Час публікації: 23 грудня 2021 р.
