Mylinking™ Ağ Bağlantısı Bypass Anahtarı ML-BYPASS-100
2*Bypass artı 1*Monitör Modüler Tasarımı, 10/40/100GE Bağlantıları, Maksimum 640Gbps
Genel Bakış
Mylinking™ Ağ Bağlantısı Baypas Anahtarı, yüksek ağ güvenilirliği sağlarken çeşitli türdeki hat içi güvenlik ekipmanlarının esnek dağıtımı için kullanılmak üzere araştırılmış ve geliştirilmiştir.
Mylinking™ Akıllı Baypas Anahtarı Dokunmasını dağıtarak:
- Kullanıcılar güvenlik ekipmanlarını/araçlarını esnek bir şekilde kurabilir/kaldırabilir ve mevcut ağı etkilemez veya kesintiye uğratmaz;
- Hat içi güvenlik cihazlarının normal çalışma durumunun gerçek zamanlı izlenmesi için akıllı sağlık algılama işlevine sahip Mylinking™ Ağ Dokunma Baypas Anahtarı. Hat içi güvenlik cihazları istisnai bir şekilde çalıştığında, koruma fonksiyonu normal ağ iletişimini sürdürmek için otomatik olarak atlayacaktır;
- Seçici trafik koruma teknolojisi, belirli trafik temizleme güvenlik ekipmanlarını, denetim ekipmanına dayalı şifreleme teknolojisini dağıtmak için kullanılabilir. Hat içi cihazın akış işleme basıncını boşaltarak, belirli trafik türü için hat içi erişim korumasını etkili bir şekilde gerçekleştirin;
- Yük Dengeli Trafik Koruma teknolojisi, yüksek bant genişliğine sahip ortamlarda hat içi güvenliği karşılamak amacıyla güvenli seri hat içi güvenlik cihazlarının kümelenmiş dağıtımı için kullanılabilir.
Ağ Dokunma Baypas Anahtarı Gelişmiş Özellikler ve Teknolojiler
Mylinking™ “SpecFlow” Koruma Modu ve “FullLink” Koruma Modu
Mylinking™ Hızlı Baypas Anahtarlama Koruması
Mylinking™ “LinkSafeSwitch”
Mylinking™ “WebService” Dinamik Strateji İletme/Sorun
Mylinking™ Akıllı Kalp Atışı Mesajı Algılama
Mylinking™ Tanımlanabilir Kalp Atışı Mesajları (Kalp Atışı Paketleri)
Mylinking™ Çoklu Bağlantı Yük Dengeleme
Mylinking™ Akıllı Trafik Dağıtımı
Mylinking™ Dinamik Yük Dengeleme
Mylinking™ Uzaktan Yönetim Teknolojisi(HTTP/WEB, TELNET/SSH, “EasyConfig/AdvanceConfig” Özelliği)
Ağ Dokunma Baypas Anahtarı İsteğe Bağlı Yapılandırma Kılavuzu
BYPASS ModülüKoruma Portu Modülü Yuvası:
Bu yuva, farklı hız/port numarasıyla BYPASS koruma port modülüne takılabilir. Farklı modül türlerini değiştirerek, birden fazla 10G/40G/100G bağlantı gereksinimlerinin BYPASS korumasını destekleyebilir.
MONİTÖR ModülüBağlantı Noktası Modülü Yuvası;
Bu yuvaya MONITOR modülü farklı hızlara/bağlantı noktalarına takılabilir. Farklı modülleri değiştirerek hat içi seri izleme cihazı dağıtımı için birden fazla 10G/40G/100G bağlantısını destekleyebilir.
Modül Seçim Kuralları
Farklı konuşlandırılmış bağlantılara ve izleme ekipmanı dağıtım gereksinimlerine bağlı olarak, gerçek ortam isteğinizi karşılamak için farklı modül yapılandırmalarını esnek bir şekilde seçebilirsiniz; Lütfen modül seçiminiz sırasında aşağıdaki kurallara uyun:
1. Kasa bileşenleri zorunludur ve diğer modülleri seçmeden önce kasa bileşenlerini seçmelisiniz. Aynı zamanda lütfen ihtiyaçlarınıza göre farklı güç kaynağı yöntemlerini (AC/DC) seçin.
2. Cihazın tamamı 2 adede kadar BYPASS modülü yuvasını ve 1 MONITOR modülü yuvasını destekler; yapılandırılacak yuva sayısından fazlasını seçemezsiniz. Yuva sayısı ve modül modelinin kombinasyonuna bağlı olarak cihaz, dört adede kadar 10GE bağlantı korumasını destekleyebilir; veya dört adede kadar 40GE bağlantısını destekleyebilir; veya bir adete kadar 100GE bağlantısını destekleyebilir.
3. "BYP-MOD-L1CG" modül modeli, düzgün çalışması için yalnızca SLOT1'e takılabilir.
4. "BYP-MOD-XXX" modül tipi yalnızca BYPASS modülü yuvasına takılabilir; "MON-MOD-XXX" modül tipi yalnızca normal çalışma için MONITOR modülü yuvasına takılabilir.
Ürün Modeli | Fonksiyon parametreleri |
Şasi (Ana Bilgisayar) | |
ML-BYPASS-M100 | 1U standart 19 inç rafa monte; maksimum güç tüketimi 250W; modüler BYPASS koruyucu ana bilgisayarı; 2 BYPASS modülü yuvası; 1 MONİTÖR modülü yuvası; AC ve DC isteğe bağlı; |
BYPASS MODÜLÜ | |
BYP-MOD-L2XG(LM/SM) | 2 yollu 10GE bağlantı seri korumasını, 4*10GE arayüzünü, LC konnektörünü destekler; dahili optik alıcı-verici; optik bağlantı tek/çok modlu isteğe bağlı, 10GBASE-SR/ LR'yi destekler; |
BYP-MOD-L2QXG(LM/SM) | 2 yollu 40GE bağlantı seri korumasını, 4*40GE arayüzünü, LC konnektörünü destekler; dahili optik alıcı-verici; optik bağlantı tek/çok modlu isteğe bağlı, 40GBASE-SR4/ LR4'ü destekler; |
BYP-MOD-L1CG (LM/SM) | 1 kanal 100GE bağlantı seri korumasını, 2*100GE arayüzünü, LC konnektörünü destekler; dahili optik alıcı-verici; optik bağlantı tekli çoklu mod isteğe bağlı, 100GBASE-SR4/LR4'ü destekler; |
MONİTÖR MODÜLÜ | |
MON-MOD-L16XG | 16*10GE SFP+ izleme bağlantı noktası modülü; optik alıcı-verici modülü yok; |
MON-MOD-L8XG | 8*10GE SFP+ izleme bağlantı noktası modülü; optik alıcı-verici modülü yok; |
MON-MOD-L2CG | 2*100GE QSFP28 izleme bağlantı noktası modülü; optik alıcı-verici modülü yok; |
MON-MOD-L8QXG | 8*40GE QSFP+ izleme bağlantı noktası modülü; optik alıcı-verici modülü yok; |
Ağ TAP Baypas Anahtarı Özellikleri
Ürün Modalitesi | ML-BYPASS-M100 Hat İçi Ağ Bağlantısı Bypass Anahtarı | |
Arayüz Türü | MGT Arayüzü | 1*10/100/1000BASE-T Uyarlanabilir yönetim arayüzü; Uzaktan HTTP/IP yönetimini destekleyin |
Modül Yuvası | 2*BYPASS modülü yuvası; 1*MONITOR modülü yuvası; | |
Maksimumu destekleyen bağlantılar | Cihaz maksimum 4*10GE bağlantısını veya 4*40GE bağlantısını veya 1*100GE bağlantısını destekler | |
İzleme | Cihaz maksimum 16*10GE izleme bağlantı noktasını veya 8*40GE izleme bağlantı noktasını veya 2*100GE izleme bağlantı noktasını destekler; | |
İşlev | Tam çift yönlü işleme yeteneği | 640Gbps |
IP/protokol/bağlantı noktası beş tuple'a özgü trafik kademesi korumasına dayalı | Destekleniyor | |
Tam trafiğe dayalı kademeli koruma | Destekleniyor | |
Çoklu yük dengeleme | Destekleniyor | |
Özel kalp atışı algılama fonksiyonu | Destekleniyor | |
Ethernet paketi bağımsızlığını destekleyin | Destekleniyor | |
BYPASS ANAHTARI | Destekleniyor | |
BYPASS Anahtarı flaşsız | Destekleniyor | |
KONSOL MGT | Destekleniyor | |
IP/WEB MGT | Destekleniyor | |
SNMP V1/V2C MGT | Destekleniyor | |
TELNET/SSH MGT | Destekleniyor | |
SYSLOG protokolü | Destekleniyor | |
Kullanıcı yetkilendirmesi | Şifre yetkilendirmesine/AAA/TACACS+'ya dayalı | |
Elektrik | Nominal besleme gerilimi | AC-220V/DC-48V【İsteğe Bağlı】 |
Nominal güç frekansı | 50HZ | |
Nominal giriş akımı | AC-3A / DC-10A | |
Nominal Güç | 100W | |
Çevre | Çalışma Sıcaklığı | 0-50°C |
Depolama sıcaklığı | -20-70°C | |
Çalışma nemi | %10-%95, Yoğuşma yok | |
Kullanıcı yapılandırması | Konsol yapılandırması | RS232 arayüzü,115200,8,N,1 |
Bant dışı MGT arayüzü | 1*10/100/1000M Ethernet arayüzü | |
Şifre yetkilendirmesi | Destekleniyor | |
Şasi Yüksekliği | Şasi alanı (U) | 1U 19 inç,485mm*44,5mm*350mm |
Ağ TAP Bypass Anahtarı Uygulaması (aşağıdaki gibi)
5.1 Hat İçi Güvenlik Ekipmanlarının Riski (IPS/FW)
Aşağıda tipik bir IPS (İzinsiz Giriş Önleme Sistemi), FW (Güvenlik Duvarı) dağıtım modu, IPS/FW'ye göre güvenlik kontrollerinin uygulanması yoluyla trafik arasında satır içi ağ ekipmanları (yönlendiriciler, anahtarlar vb. gibi) olarak dağıtılır. Güvenlik savunmasının etkisini elde etmek için ilgili trafiğin serbest bırakılmasını veya engellenmesini belirlemek için ilgili güvenlik politikası.
Aynı zamanda, IPS'yi (İzinsiz Giriş Önleme Sistemi) / FW'yi (Güvenlik Duvarı) ekipmanın satır içi dağıtımı olarak gözlemleyebiliriz, genellikle satır içi güvenliği uygulamak için kurumsal ağın anahtar konumunda konuşlandırılır, bağlı cihazların güvenilirliği doğrudan etkilenir. genel kurumsal ağ kullanılabilirliği. Hat içi güvenlik cihazları aşırı yüklendiğinde, çöktüğünde, yazılım güncellemeleri, politika güncellemeleri vb. gerçekleştiğinde, tüm kurumsal ağ kullanılabilirliği büyük ölçüde etkilenecektir. Bu noktada biz sadece ağın kesilmesi, fiziksel bypass jumper'ı aracılığıyla ağın geri yüklenmesini sağlayabiliriz, ancak bu ağın güvenilirliğini ciddi şekilde etkilemektedir. IPS(İzinsiz Giriş Önleme Sistemi) / FW(Güvenlik Duvarı) ve diğer hat içi cihazlar bir yandan kurumsal ağ güvenliğinin dağıtımını iyileştirir, diğer yandan da kurumsal ağların güvenilirliğini azaltarak ağın kullanılamaması riskini artırır.
5.2 Hat İçi Bağlantı Serisi Ekipman Koruması
Mylinking™ "Bypass Switch", ağ cihazları (yönlendiriciler, anahtarlar vb.) arasında hat içi olarak konuşlandırılır ve ağ cihazları arasındaki veri akışı artık doğrudan IPS(İzinsiz Giriş Önleme Sistemi) / FW(Güvenlik Duvarı), "Bypass Switch"e yönlendirmez. IPS / FW'ye, aşırı yük, çökme, yazılım güncellemeleri, politika güncellemeleri ve diğer arıza koşulları nedeniyle IPS / FW olduğunda, akıllı kalp atışı mesajı algılama fonksiyonu aracılığıyla "Bypass Switch" zamanında keşif işlevi sağlar ve böylece hatalı cihazı atlar, ağın öncülünü kesintiye uğratmadan, normal iletişim ağını korumak için doğrudan bağlanan hızlı ağ ekipmanı; IPS / FW arızası kurtarıldığında, aynı zamanda akıllı Kalp Atışı Paketleri Algılama işlevi sayesinde zamanında algılama, kurumsal ağ güvenliği kontrollerinin güvenliğini geri yüklemek için orijinal bağlantı.
Mylinking™ "Bypass Switch" güçlü bir akıllı Kalp Atışı Mesajı Algılama fonksiyonuna sahiptir; kullanıcı, kalp atışı kontrol mesajını göndermek gibi sağlık testi için IPS / FW'deki özel bir kalp atışı mesajı aracılığıyla kalp atışı aralığını ve maksimum yeniden deneme sayısını özelleştirebilir. IPS / FW'nin yukarı akış / aşağı akış bağlantı noktasına gidin ve ardından IPS / FW'nin yukarı akış / aşağı akış bağlantı noktasından alın ve kalp atışı mesajını gönderip alarak IPS / FW'nin normal şekilde çalışıp çalışmadığını değerlendirin.
5.3 "SpecFlow" Politika Akışı Hat İçi Çekiş Serisi Koruması
Güvenlik ağı cihazının yalnızca seri güvenlik korumasındaki belirli trafikle ilgilenmesi gerektiğinde, Mylinking™ "Ağ Dokunma Baypas Anahtarı" işleme başına trafik işlevi aracılığıyla, güvenlik cihazını bağlamak için trafik tarama stratejisi aracılığıyla " İlgili "trafik gönderilir doğrudan ağ bağlantısına geri döner ve "ilgili trafik bölümü", güvenlik kontrollerini gerçekleştirmek için hat içi güvenlik cihazına çekilir. Bu sadece güvenlik cihazının güvenlik algılama fonksiyonunun normal uygulamasını sürdürmekle kalmayacak, aynı zamanda güvenlik ekipmanının basınçla başa çıkmak için verimsiz akışını da azaltacaktır; aynı zamanda "Ağ Dokunma Baypas Anahtarı" güvenlik cihazının çalışma durumunu gerçek zamanlı olarak algılayabilir. Güvenlik cihazı anormal şekilde çalıştığından, ağ hizmetinin kesintiye uğramasını önlemek için veri trafiğini doğrudan atlar.
Mylinking™ Satır İçi Trafik Bypass Tap, VLAN etiketi, kaynak/hedef MAC adresi, kaynak IP adresi, IP paket türü, taşıma katmanı protokol bağlantı noktası, protokol başlık anahtar etiketi ve gibi L2-L4 katman başlık tanımlayıcısına dayalı olarak trafiği tanımlayabilir. yakında. Belirli bir güvenlik cihazının ilgisini çeken belirli trafik türlerini tanımlamak için çeşitli eşleştirme koşullarının esnek kombinasyonu esnek bir şekilde tanımlanabilir ve özel güvenlik denetim cihazlarının (RDP, SSH, veritabanı denetimi vb.) dağıtımı için yaygın olarak kullanılabilir. .
5.4 Yük dengeli Seri Koruma
Mylinking™ "Ağ Dokunma Baypas Anahtarı", ağ cihazları (yönlendiriciler, anahtarlar vb.) arasında hat içi olarak dağıtılır. Tek bir IPS/FW işleme performansı, ağ bağlantısının en yoğun trafiğiyle başa çıkmak için yeterli olmadığında, koruyucunun trafik yükü dengeleme işlevi, birden fazla IPS/FW kümesi işleme ağ bağlantısı trafiğinin "paketlenmesi", tek IPS/FW'yi etkili bir şekilde azaltabilir işlem basıncını artırın, dağıtım ortamının yüksek bant genişliğini karşılamak için genel işlem performansını artırın.
Mylinking™ "Ağ Dokunma Baypas Anahtarı", her IPS / FW'nin uyumlu olmasını sağlamak için çerçeve VLAN etiketi, MAC bilgileri, IP bilgileri, port numarası, protokol ve trafiğin Hash yük dengeleme dağıtımındaki diğer bilgilere göre güçlü bir yük dengeleme işlevine sahiptir. alınan veri akışı Oturum bütünlüğü.
5.5 Çoklu Seri Hat İçi Ekipman Akış Çekiş Koruması (Seri Bağlantıyı Paralel Bağlantıyla Değiştirin)
Bazı önemli bağlantılarda (İnternet çıkışları, sunucu alanı değişim bağlantısı gibi) konum genellikle güvenlik özelliklerinin gereksinimlerinden ve birden fazla hat içi güvenlik test ekipmanının (güvenlik duvarı (FW), DDOS karşıtı saldırı ekipmanı gibi) konuşlandırılmasından kaynaklanır. WEB Uygulama Güvenlik Duvarı (WAF), İzinsiz Giriş Önleme Sistemi (IPS), vb.), tek bir arıza noktasının bağlantısını artırmak için bağlantıda aynı anda seri halinde birden fazla güvenlik algılama ekipmanı, ağın genel güvenilirliğini azaltır. Yukarıda belirtilen güvenlik ekipmanının çevrimiçi dağıtımı, ekipman yükseltmeleri, ekipman değişimi ve diğer işlemler, ağın uzun süreli hizmet kesintisine ve bu tür projelerin başarılı bir şekilde uygulanmasını tamamlamak için daha büyük bir proje kesintisine neden olacaktır.
"Ağ Bağlantısı Baypas Anahtarı"nın birleşik bir şekilde dağıtılmasıyla, aynı bağlantıya seri olarak bağlanan birden fazla güvenlik cihazının dağıtım modu, "fiziksel birleştirme modundan" "fiziksel birleştirme, mantıksal birleştirme moduna" değiştirilebilir. Bağlantının güvenilirliğini artırmak için tek bir arıza noktası bağlantısı, orijinal güvenli işleme etkisi moduyla aynı akışı elde etmek için talep çekişinde bağlantı akışındaki "baypas anahtarı".
Satır içi dağıtım şemasıyla aynı anda birden fazla güvenlik cihazı:
Mylinking™ Ağı TAP Bypass Anahtarı Dağıtım Şeması:
5.6 Trafik Çekiş Güvenliği Tespit Korumasının Dinamik Stratejisine Dayalı
"Ağ Dokunma Baypas Anahtarı" Başka bir gelişmiş uygulama senaryosu, trafik çekiş güvenliği algılama koruma uygulamalarının dinamik stratejisine dayanmaktadır; bu yöntemin dağıtımı aşağıda gösterilmiştir:
"Anti-DDoS saldırı koruması ve tespiti" güvenlik test ekipmanını alın, örneğin "Ağ Dokunma Baypas Anahtarı" ve ardından anti-DDOS koruma ekipmanının ön uç dağıtımı yoluyla ve ardından "Ağ Dokunma Baypas Anahtarı"na bağlanın, olağan "Çekiş koruyucusu"nda, trafik tel hızının tamamını iletirken aynı zamanda akış aynası çıkışını "DDOS karşıtı saldırı koruma cihazına" gönderir, bir kez sunucu IP'si (veya IP ağ kesimi) için algılandıktan sonra saldırı, "anti-DDOS saldırı koruma cihazı" hedef trafik akışı eşleştirme kurallarını oluşturacak ve bunları dinamik politika dağıtım arayüzü aracılığıyla "Ağ Dokunma Bypass Anahtarına" gönderecektir. "Ağ Dokunma Baypas Anahtarı", dinamik politika kuralları Kural havuzunu aldıktan sonra "trafik çekiş dinamiğini" güncelleyebilir ve anında "kural, saldırı sunucusu trafiğini" işlemek için "DDoS karşıtı saldırı koruması ve algılama" ekipmanına çeker, Saldırı akışından sonra etkili olacak ve daha sonra ağa yeniden enjekte edilecektir.
"Ağ Dokunma Baypas Anahtarını" temel alan uygulama şemasının uygulanması, geleneksel BGP rota enjeksiyonuna veya diğer trafik çekiş şemasına göre daha kolaydır ve ortam ağa daha az bağımlıdır ve güvenilirlik daha yüksektir.
"Ağ Dokunma Baypas Anahtarı", dinamik politika güvenliği algılama korumasını desteklemek için aşağıdaki özelliklere sahiptir:
1, "Ağ Dokunma Baypas Anahtarı", WEBSERIVCE arayüzüne dayalı kuralların dışında, üçüncü taraf güvenlik cihazlarıyla kolay entegrasyon sağlamak için.
2, "BNetwork Tap Bypass Switch", anahtar iletimini engellemeden 10 Gbps'ye kadar kablo hızı paketleri ileten donanımsal saf ASIC yongasına dayalıdır ve sayıdan bağımsız olarak "trafik çekiş dinamik kural kitaplığı".
3, "Ağ Dokunma Baypas Anahtarı" yerleşik profesyonel BYPASS işlevi, koruyucunun kendisi arızalansa bile, orijinal seri bağlantıyı hemen atlayabilir, normal iletişimin orijinal bağlantısını etkilemez.