Mylinking™ Ağ İzleme Bypass Anahtarı ML-BYPASS-100
2 Bypass artı 1 Monitör Modüler Tasarım, 10/40/100GE Bağlantılar, Maksimum 640 Gbps
Genel Bakışlar
Mylinking™ Ağ İzleme Bypass Anahtarı, yüksek ağ güvenilirliği sağlarken çeşitli tipteki hat içi güvenlik ekipmanlarının esnek bir şekilde konuşlandırılması için araştırılıp geliştirilmiştir.
Mylinking™ Akıllı Bypass Anahtar Musluğunu kullanarak:
- Kullanıcılar, güvenlik ekipmanlarını/araçlarını esnek bir şekilde kurabilir/kaldırabilir ve bu durum mevcut ağı etkilemez veya kesintiye uğratmaz;
- Akıllı sağlık algılama fonksiyonuna sahip Mylinking™ Ağ Erişim Engelleme Anahtarı, hat içi güvenlik cihazlarının normal çalışma durumunu gerçek zamanlı olarak izler. Hat içi güvenlik cihazlarında bir arıza meydana geldiğinde, normal ağ iletişimini sürdürmek için koruma fonksiyonu otomatik olarak devre dışı kalır;
- Seçici trafik koruma teknolojisi, denetim ekipmanına dayalı şifreleme teknolojisi ile belirli trafik temizleme güvenlik ekipmanlarının konuşlandırılmasında kullanılabilir. Belirli trafik türü için hat içi erişim korumasını etkin bir şekilde gerçekleştirerek, hat içi cihazın akış yönetimi basıncını azaltır;
- Yük Dengelemeli Trafik Koruma teknolojisi, yüksek bant genişliğine sahip ortamlarda hat içi güvenlik gereksinimlerini karşılamak için güvenli seri hat içi güvenlik cihazlarının kümelenmiş dağıtımında kullanılabilir.
Ağ Erişim Noktası Bypass Anahtarının Gelişmiş Özellikleri ve Teknolojileri
Mylinking™ “SpecFlow” Koruma Modu ve “FullLink” Koruma Modu
Mylinking™ Hızlı Bypass Anahtarlama Koruması
Mylinking™ “LinkSafeSwitch”
Mylinking™ “Web Hizmeti” Dinamik Strateji Yönlendirme/Sorun
Mylinking™ Akıllı Kalp Atışı Mesajı Algılama
Mylinking™ Tanımlanabilir Kalp Atışı Mesajları (Kalp Atışı Paketleri)
Mylinking™ Çoklu Bağlantılı Yük Dengeleme
Mylinking™ Akıllı Trafik Dağıtımı
Mylinking™ Dinamik Yük Dengeleme
Mylinking™ Uzaktan Yönetim Teknolojisi (HTTP/WEB, TELNET/SSH, “EasyConfig/AdvanceConfig” Özelliği)
Ağ Erişim Noktası Bypass Anahtarı İsteğe Bağlı Yapılandırma Kılavuzu
BYPASS ModülüKoruma Bağlantı Noktası Modülü Yuvası:
Bu yuva, farklı hız/port numarasına sahip BYPASS koruma port modülüne takılabilir. Farklı modül tiplerinin değiştirilmesiyle, birden fazla 10G/40G/100G bağlantı gereksiniminin BYPASS koruması sağlanabilir.
MONİTÖR ModülüBağlantı Noktası Modülü Yuvası;
Bu yuvaya farklı hızlarda/portlarda MONİTÖR modülü takılabilir. Farklı modüllerin değiştirilmesiyle, hat içi seri izleme cihazı dağıtımı için 10G/40G/100G çoklu bağlantıları destekleyebilir.
Modül Seçim Kuralları
Farklı bağlantı noktalarına ve izleme ekipmanı kurulum gereksinimlerine bağlı olarak, gerçek ortam talebinizi karşılamak için farklı modül yapılandırmalarını esnek bir şekilde seçebilirsiniz; modül seçimi sırasında lütfen aşağıdaki kurallara uyun:
1. Kasa bileşenleri zorunludur ve diğer modülleri seçmeden önce kasa bileşenlerini seçmelisiniz. Aynı zamanda, ihtiyaçlarınıza göre farklı güç kaynağı yöntemlerini (AC/DC) seçiniz.
2. Cihazın tamamı en fazla 2 BYPASS modülü yuvası ve 1 MONITOR modülü yuvasını destekler; yapılandırmak için yuva sayısından fazlasını seçemezsiniz. Yuva sayısı ve modül modelinin kombinasyonuna bağlı olarak, cihaz en fazla dört adet 10GE bağlantı korumasını; veya en fazla dört adet 40GE bağlantıyı; veya en fazla bir adet 100GE bağlantıyı destekleyebilir.
3. "BYP-MOD-L1CG" modül modeli, düzgün çalışması için yalnızca SLOT1 yuvasına takılmalıdır.
4. "BYP-MOD-XXX" tipi modül yalnızca BYPASS modül yuvasına; "MON-MOD-XXX" tipi modül ise normal çalışma için yalnızca MONITOR modül yuvasına takılabilir.
| Ürün Modeli | Fonksiyon parametreleri |
| Şasi (Ana Bilgisayar) | |
| ML-BYPASS-M100 | 1U standart 19 inç raf tipi kasa; maksimum güç tüketimi 250W; modüler BYPASS koruyucu ana ünite; 2 BYPASS modül yuvası; 1 MONITOR modül yuvası; AC ve DC opsiyonel; |
| BYPASS MODÜLÜ | |
| BYP-MOD-L2XG(LM/SM) | 2 yönlü 10GE seri bağlantı korumasını, 4*10GE arayüzünü, LC konektörünü destekler; dahili optik alıcı-verici; optik bağlantı tek/çok modlu seçeneği, 10GBASE-SR/LR'yi destekler; |
| BYP-MOD-L2QXG(LM/SM) | 2 yönlü 40GE seri bağlantı korumasını, 4*40GE arayüzünü, LC konektörünü destekler; dahili optik alıcı-verici; optik bağlantı tek/çok modlu seçeneği, 40GBASE-SR4/LR4'ü destekler; |
| BYP-MOD-L1CG (LM/SM) | 1 kanallı 100GE seri bağlantı korumasını, 2*100GE arayüzünü, LC konektörünü destekler; dahili optik alıcı-verici; optik bağlantı tekli çok modlu opsiyoneldir, 100GBASE-SR4/LR4'ü destekler; |
| MONİTÖR MODÜLÜ | |
| MON-MOD-L16XG | 16*10GE SFP+ izleme portu modülü; optik alıcı-verici modülü yok; |
| MON-MOD-L8XG | 8*10GE SFP+ izleme portu modülü; optik alıcı-verici modülü yok; |
| MON-MOD-L2CG | 2 adet 100GE QSFP28 izleme portu modülü; optik alıcı-verici modülü içermez; |
| MON-MOD-L8QXG | 8 adet 40GE QSFP+ izleme portu modülü; optik alıcı-verici modülü içermez; |
Ağ TAP Bypass Anahtarı Özellikleri
| Ürün Modeli | ML-BYPASS-M100 Hat İçi Şebeke Erişim Bypass Anahtarı | |
| Arayüz Tipi | MGT Arayüzü | 1*10/100/1000BASE-T Uyarlanabilir yönetim arayüzü; Uzaktan HTTP/IP yönetimini destekler |
| Modül Yuvası | 2 adet BYPASS modülü yuvası; 1 adet MONİTÖR modülü yuvası; | |
| Maksimumu destekleyen bağlantılar | Cihaz maksimum 4*10GE bağlantısını, 4*40GE bağlantısını veya 1*100GE bağlantısını destekler. | |
| İzleme | Cihaz, maksimum 16 adet 10GE izleme portunu veya 8 adet 40GE izleme portunu veya 2 adet 100GE izleme portunu destekler; | |
| İşlev | Tam çift taraflı işleme yeteneği | 640 Gbps |
| IP/protokol/port beşlisine dayalı, belirli trafik kademelerini koruyan | Desteklendi | |
| Tam trafik esaslı kademeli koruma | Desteklendi | |
| Çoklu yük dengeleme | Desteklendi | |
| Özel kalp atışı algılama fonksiyonu | Desteklendi | |
| Ethernet paket bağımsızlığını destekleyin | Desteklendi | |
| BYPASS ANAHTARI | Desteklendi | |
| Flaşsız BYPASS Anahtarı | Desteklendi | |
| KONSOL YÖNETİMİ | Desteklendi | |
| IP/WEB YÖNETİMİ | Desteklendi | |
| SNMP V1/V2C Yönetimi | Desteklendi | |
| TELNET/SSH YÖNETİMİ | Desteklendi | |
| SYSLOG protokolü | Desteklendi | |
| Kullanıcı yetkilendirmesi | Parola yetkilendirmesine/AAA/TACACS+'a dayanmaktadır. | |
| Elektrik | Nominal besleme gerilimi | AC-220V/DC-48V【İsteğe Bağlı】 |
| Nominal güç frekansı | 50 Hz | |
| Nominal giriş akımı | AC-3A / DC-10A | |
| Nominal Güç | 100W | |
| Çevre | Çalışma Sıcaklığı | 0-50℃ |
| Depolama sıcaklığı | -20-70℃ | |
| Çalışma nemi | %10-%95, Yoğuşma yok | |
| Kullanıcı yapılandırması | Konsol yapılandırması | RS232 arayüzü,115200,8,N,1 |
| Bant dışı MGT arayüzü | 1*10/100/1000M Ethernet arayüzü | |
| Parola yetkilendirmesi | Desteklendi | |
| Şasi Yüksekliği | Şasi alanı (U) | 1U 19 inç, 485mm*44.5mm*350mm |
Ağ TAP Bypass Anahtarı Uygulaması (aşağıdaki gibi)
5.1 Hat İçi Güvenlik Ekipmanlarının (IPS / FW) Riskleri
Aşağıda tipik bir IPS (Saldırı Önleme Sistemi) ve FW (Güvenlik Duvarı) dağıtım modeli verilmiştir. IPS/FW, ağdaki hat içi ekipmanlar (örneğin yönlendiriciler, anahtarlar vb.) arasına yerleştirilir ve trafik arasında güvenlik kontrolleri yaparak, ilgili güvenlik politikasına göre trafiğin serbest bırakılmasına veya engellenmesine karar verir ve böylece güvenlik savunması etkisini sağlar.
Aynı zamanda, IPS (Saldırı Önleme Sistemi) / FW (Güvenlik Duvarı) gibi ekipmanların, genellikle kurumsal ağın kilit noktalarına yerleştirilerek hat içi güvenlik sağlamak amacıyla kullanıldığını gözlemleyebiliriz. Bu ekipmanların bağlı cihazlarının güvenilirliği, genel kurumsal ağ kullanılabilirliğini doğrudan etkiler. Hat içi güvenlik cihazları aşırı yüklendiğinde, çöktüğünde, yazılım güncellemeleri, politika güncellemeleri vb. durumlarda, tüm kurumsal ağ kullanılabilirliği büyük ölçüde etkilenir. Bu noktada, ağın yeniden çalışmasını sağlamak için yalnızca ağ bağlantısını kesebilir veya fiziksel bypass jumper'ı kullanabiliriz, ancak bu da ağın güvenilirliğini ciddi şekilde etkiler. IPS (Saldırı Önleme Sistemi) / FW (Güvenlik Duvarı) ve diğer hat içi cihazlar bir yandan kurumsal ağ güvenliğinin dağıtımını iyileştirirken, diğer yandan da kurumsal ağların güvenilirliğini azaltarak ağın kullanılamaz hale gelme riskini artırır.
5.2 Sıralı Bağlantı Serisi Ekipman Koruması
Mylinking™ "Bypass Switch", ağ cihazları (yönlendiriciler, anahtarlar vb.) arasına hat içi olarak yerleştirilir ve ağ cihazları arasındaki veri akışı artık doğrudan IPS (Saldırı Önleme Sistemi) / FW (Güvenlik Duvarı)'na gitmez. "Bypass Switch", IPS / FW'nin aşırı yüklenme, çökme, yazılım güncellemeleri, politika güncellemeleri ve diğer arıza durumlarından dolayı arızalanması halinde, akıllı kalp atışı mesajı algılama fonksiyonu sayesinde zamanında tespit yaparak arızalı cihazı atlar ve ağın çalışmasını kesintiye uğratmadan ağ ekipmanının doğrudan bağlanmasını sağlayarak normal iletişim ağını korur; IPS / FW arızası durumunda da, akıllı kalp atışı paket algılama fonksiyonu sayesinde zamanında tespit yaparak orijinal bağlantıyı geri yükler ve kurumsal ağ güvenliğini kontrol eder.
Mylinking™ "Bypass Switch", güçlü ve akıllı bir Kalp Atışı Mesajı Algılama fonksiyonuna sahiptir. Kullanıcı, kalp atışı aralığını ve maksimum yeniden deneme sayısını özelleştirebilir. Örneğin, IPS/FW'nin yukarı/aşağı portuna kalp atışı kontrol mesajı gönderip, oradan da bu mesajı alarak IPS/FW'nin normal çalışıp çalışmadığını kontrol edebilir.
5.3 “SpecFlow” Politika Akışı Hat İçi Çekiş Serisi Koruması
Güvenlik ağı cihazının yalnızca seri güvenlik korumasındaki belirli trafiği ele alması gerektiğinde, Mylinking™ "Ağ Erişim Bypass Anahtarı"nın trafik ön işleme fonksiyonu aracılığıyla, trafik tarama stratejisiyle güvenlik cihazına bağlanan "İlgili" trafik doğrudan ağ bağlantısına geri gönderilir ve "ilgili trafik bölümü" güvenlik kontrollerini gerçekleştirmek üzere hat içi güvenlik cihazına yönlendirilir. Bu, güvenlik cihazının güvenlik algılama fonksiyonunun normal çalışmasını sürdürmekle kalmaz, aynı zamanda güvenlik ekipmanının verimsiz akışını ve baskısını da azaltır; aynı zamanda, "Ağ Erişim Bypass Anahtarı" güvenlik cihazının çalışma durumunu gerçek zamanlı olarak algılayabilir. Güvenlik cihazı anormal şekilde çalışıyorsa, ağ hizmetinin kesintiye uğramasını önlemek için veri trafiğini doğrudan bypass eder.
Mylinking™ Inline Traffic Bypass Tap, VLAN etiketi, kaynak/hedef MAC adresi, kaynak IP adresi, IP paket türü, taşıma katmanı protokol portu, protokol başlığı anahtar etiketi vb. gibi L2-L4 katman başlık tanımlayıcılarına göre trafiği tanımlayabilir. Çeşitli eşleştirme koşullarının esnek bir kombinasyonu, belirli bir güvenlik cihazı için ilgi çekici olan belirli trafik türlerini tanımlamak üzere esnek bir şekilde tanımlanabilir ve özel güvenlik denetim cihazlarının (RDP, SSH, veritabanı denetimi vb.) dağıtımında yaygın olarak kullanılabilir.
5.4 Yük Dengeli Seri Koruma
Mylinking™ "Ağ Bağlantı Noktası Bypass Anahtarı", ağ cihazları (yönlendiriciler, anahtarlar vb.) arasına hat içi olarak yerleştirilir. Tek bir IPS/FW işlem performansı, ağ bağlantısı tepe trafiğiyle başa çıkmak için yeterli olmadığında, koruyucunun trafik yük dengeleme işlevi, birden fazla IPS/FW kümesinin ağ bağlantı trafiğini "paketleyerek" işlemesini sağlar ve böylece tek bir IPS/FW'nin işlem baskısını etkili bir şekilde azaltır, genel işlem performansını artırır ve dağıtım ortamının yüksek bant genişliği gereksinimlerini karşılar.
Mylinking™ "Ağ Erişim Engelleme Anahtarı", çerçeve VLAN etiketi, MAC bilgisi, IP bilgisi, port numarası, protokol ve diğer bilgilere göre karma yük dengeleme yöntemiyle trafiği dağıtarak her IPS/FW'nin aldığı veri akışı oturumunun bütünlüğünü sağlayan güçlü bir yük dengeleme fonksiyonuna sahiptir.
5.5 Çok Serili Hat İçi Ekipman Akış Çekiş Koruması (Seri Bağlantıyı Paralel Bağlantıya Değiştirin)
Bazı önemli bağlantı noktalarında (örneğin internet erişim noktaları, sunucu alan değişim bağlantıları) konum, genellikle güvenlik özelliklerinin gerekliliği ve birden fazla hat içi güvenlik test ekipmanının (örneğin güvenlik duvarı (FW), DDOS saldırılarına karşı koruma ekipmanı, Web Uygulama Güvenlik Duvarı (WAF), Saldırı Önleme Sistemi (IPS) vb.) konuşlandırılması nedeniyle belirlenir. Bu tür bağlantılarda aynı anda birden fazla güvenlik tespit ekipmanının seri olarak kullanılması, bağlantının tek bir arıza noktası oluşturmasını ve ağın genel güvenilirliğini azaltmasını sağlar. Ayrıca, yukarıda belirtilen güvenlik ekipmanlarının çevrimiçi olarak konuşlandırılması, ekipman yükseltmeleri, ekipman değiştirme ve diğer işlemler, ağda uzun süreli hizmet kesintilerine ve bu tür projelerin başarılı bir şekilde uygulanması için daha büyük bir proje kesintisi işlemine neden olur.
"Ağ Bağlantı Noktası Bypass Anahtarı"nın birleşik bir şekilde konuşlandırılmasıyla, aynı bağlantı üzerinde seri olarak bağlanan birden fazla güvenlik cihazının konuşlandırma modu, "fiziksel birleştirme modu"ndan "fiziksel birleştirme, mantıksal birleştirme modu"na değiştirilebilir. Tek bir arıza noktası olan bağlantıdaki güvenilirliği artırmak için bağlantının güvenilirliği artırılırken, "bypass anahtarı" bağlantı akışında isteğe bağlı çekme işlemi yaparak, orijinal moddakiyle aynı güvenli işleme etkisini elde eder.
Aynı anda birden fazla güvenlik cihazının kullanılmasına yönelik sıralı dağıtım şeması:
Mylinking™ Ağ TAP Bypass Anahtarı Dağıtım Şeması:
5.6 Dinamik Trafik Çekiş Güvenliği Algılama ve Koruma Stratejisine Dayalı
"Ağ İzleme Bypass Anahtarı" Başka bir gelişmiş uygulama senaryosu, trafik çekişi güvenlik algılama koruma uygulamalarının dinamik stratejisine dayanmaktadır ve aşağıdaki şekilde konuşlandırılır:
Örneğin, "DDoS saldırılarına karşı koruma ve tespit" güvenlik test ekipmanını ele alalım. Öncelikle "Ağ Erişim Bypass Anahtarı" ön uç dağıtımı yapılır, ardından DDoS koruma ekipmanı "Ağ Erişim Bypass Anahtarı"na bağlanır ve normal "Traction Protector" aracılığıyla trafiğin tamamı aynı anda kablo hızında iletilirken, akış aynası çıktısı da "DDoS saldırılarına karşı koruma cihazına" gönderilir. Bir sunucu IP'si (veya IP ağ segmenti) için saldırı tespit edildiğinde, "DDoS saldırılarına karşı koruma cihazı" hedef trafik akışına uygun kurallar oluşturur ve bunları dinamik politika dağıtım arayüzü aracılığıyla "Ağ Erişim Bypass Anahtarı"na gönderir. "Ağ Erişim Bypass Anahtarı", dinamik politika kurallarını aldıktan sonra "trafik akışı dinamik" kural havuzunu güncelleyebilir ve saldırıya uğrayan sunucu trafiğini "DDoS saldırılarına karşı koruma ve tespit" ekipmanına işlemek üzere hemen iletebilir; böylece saldırıdan sonra etkili olan akış ağa yeniden enjekte edilir.
"Ağ Erişim Engelleme Anahtarı"na dayalı uygulama şeması, geleneksel BGP yönlendirme enjeksiyonu veya diğer trafik çekme şemalarına göre uygulanması daha kolaydır ve ortam ağa daha az bağımlıdır ve güvenilirliği daha yüksektir.
"Ağ İzleme Bypass Anahtarı", dinamik politika güvenlik algılama korumasını desteklemek için aşağıdaki özelliklere sahiptir:
1. "Ağ Erişim Engelleme Anahtarı", WEBSERIVCE arayüzüne dayalı olarak kuralların dışında erişim sağlar ve üçüncü taraf güvenlik cihazlarıyla kolay entegrasyon imkanı sunar.
2. "BNetwork Tap Bypass Switch", donanım tabanlı saf ASIC çipi kullanarak 10 Gbps'ye kadar kablo hızındaki paketleri engellemeden iletir ve "trafik akışı dinamik kural kütüphanesi"ne sahiptir, sayıdan bağımsız olarak çalışır.
3. "Ağ Bağlantısı Bypass Anahtarı", dahili profesyonel BYPASS fonksiyonuna sahiptir; koruyucu cihazın kendisi arızalansa bile, orijinal seri bağlantıyı anında atlayabilir ve orijinal bağlantının normal iletişimini etkilemez.
