Mylinking™ Ağ Tap Baypas Anahtarı ML-BYPASS-200
2*Bypass artı 1*Modüler Tasarım Monitör, 10/40/100GE Bağlantıları, Maksimum 640Gbps
1-Genel Bakışlar
Mylinking™ Akıllı Baypas Anahtarını dağıtarak:
- Kullanıcılar güvenlik ekipmanlarını esnek bir şekilde kurabilir/kaldırabilir ve mevcut ağı etkilemez ve kesintiye uğratmaz;
- Mylinking™ Ağ Dokunma Baypas Anahtarı, seri güvenlik cihazının normal çalışma durumunu gerçek zamanlı olarak izlemek için akıllı sağlık algılama işlevine sahiptir; seri güvenlik cihazı bir kez istisna yaptığında, normal ağ iletişimini sürdürmek için koruma otomatik olarak baypas edilir;
- Seçici trafik koruma teknolojisi, denetim ekipmanına dayalı şifreleme teknolojisi olan belirli trafik temizleme güvenlik ekipmanlarını dağıtmak için kullanılabilir. Belirli trafik türü için seri erişim korumasını etkili bir şekilde gerçekleştirin, seri cihazın akış işleme basıncını boşaltın;
- Yük Dengeli Trafik Koruması teknolojisi, yüksek bant genişliğine sahip ortamlarda seri güvenlik ihtiyacını karşılamak için güvenli seri cihazların kümelenmiş dağıtımında kullanılabilir.
İnternetin hızla gelişmesiyle birlikte, ağ bilgi güvenliğine yönelik tehdit giderek daha ciddi hale geliyor, bu nedenle çeşitli bilgi güvenliği koruma uygulamaları giderek daha yaygın bir şekilde kullanılıyor. Geleneksel erişim kontrol ekipmanı (güvenlik duvarı) veya saldırı önleme sistemi (IPS), Birleşik tehdit yönetim platformu (UTM), Anti-reddetme hizmeti saldırı sistemi (Anti-DDoS), Anti-span Ağ Geçidi, Birleşik DPI Trafik Tanımlama ve Kontrol Sistemi gibi yeni bir tür daha gelişmiş koruma aracı olsun ve birçok güvenlik cihazı ağ anahtar düğümlerinde seri olarak konuşlandırılır, yasal / yasadışı trafiği tanımlamak ve bunlarla başa çıkmak için ilgili veri güvenliği politikasının uygulanması. Ancak aynı zamanda, bilgisayar ağı, son derece güvenilir bir üretim ağı uygulama ortamında arıza, bakım, yükseltme, ekipman değişimi vb. durumunda büyük bir ağ gecikmesi veya hatta ağ kesintisi oluşturacaktır, kullanıcılar buna dayanamaz.
2-Ağ Tap Bypass Anahtarı Gelişmiş Özellikler ve Teknolojiler
Mylinking™ “SpecFlow” Koruma Modu ve “FullLink” Koruma Modu Teknolojisi
Mylinking™ Hızlı Baypas Anahtarlama Koruma Teknolojisi
Mylinking™ “LinkSafeSwitch” Teknolojisi
Mylinking™ “WebService” Dinamik Strateji Yönlendirme/Sorun Teknolojisi
Mylinking™ Akıllı Kalp Atışı Mesajı Algılama Teknolojisi
Mylinking™ Tanımlanabilir Kalp Atışı Mesajları Teknolojisi
Mylinking™ Çoklu Bağlantı Yük Dengeleme Teknolojisi
Mylinking™ Akıllı Trafik Dağıtım Teknolojisi
Mylinking™ Dinamik Yük Dengeleme Teknolojisi
Mylinking™ Uzaktan Yönetim Teknolojisi (HTTP/WEB, TELNET/SSH, “EasyConfig/AdvanceConfig” Özelliği)
3-Ağ Tap Bypass Anahtarı Yapılandırma Kılavuzu
BAYPASKoruma Portu Modül Yuvası:
Bu yuva, farklı hız/port numarasına sahip BYPASS koruma portu modülüne takılabilir. Farklı modül tiplerini değiştirerek, birden fazla 10G/40G/100G bağlantısının BYPASS korumasını destekleyebilir.
İZLEYİCİPort Modülü Yuvası;
Bu yuva, farklı hızlar/portlarla MONITOR port modülüne takılabilir. Farklı modelleri değiştirerek birden fazla 10G/40G/100G bağlantılı çevrimiçi seri izleme cihazı dağıtımını destekleyebilir.
Modül Seçim Kuralları
Farklı dağıtılan bağlantılar ve izleme ekipmanı dağıtım gereksinimlerine bağlı olarak, gerçek ortam ihtiyaçlarınızı karşılamak için farklı modül yapılandırmalarını esnek bir şekilde seçebilirsiniz; lütfen seçerken aşağıdaki kurallara uyun:
1. Şasi bileşenleri zorunludur ve diğer modülleri seçmeden önce şasi bileşenlerini seçmelisiniz. Aynı zamanda, lütfen ihtiyaçlarınıza göre farklı güç kaynağı yöntemleri (AC/DC) seçin.
2. Tüm makine 2 BYPASS modül yuvasına ve 1 MONITOR modül yuvasına kadar destekler; yapılandırılacak yuva sayısından fazlasını seçemezsiniz. Yuva sayısı ve modül modelinin birleşimine bağlı olarak, cihaz dört adede kadar 10GE bağlantı korumasını destekleyebilir; veya dört adede kadar 40GE bağlantısını destekleyebilir; veya bir adede kadar 100GE bağlantısını destekleyebilir.
3. "BYP-MOD-L1CG" modül modelinin düzgün çalışması için yalnızca SLOT1'e takılması gerekmektedir.
4. "BYP-MOD-XXX" tipi modül sadece BYPASS modül yuvasına takılabilir; "MON-MOD-XXX" tipi modül ise normal çalışma için sadece MONITOR modül yuvasına takılabilir.
| Ürün Modeli | Fonksiyon parametreleri |
| Şasi(Ana Bilgisayar) | |
| ML-BAYPAS-M200 | 1U standart 19 inç raf montajı; maksimum güç tüketimi 250W; modüler BYPASS koruyucu ana bilgisayarı; 2 BYPASS modül yuvası; 1 MONITOR modül yuvası; AC ve DC isteğe bağlı; |
| BAYPAS MODÜLÜ | |
| BYP-MOD-L2XG((LM/SM) | 2 yollu 10GE bağlantı seri korumasını, 4*10GE arabirimini, LC konnektörünü destekler; dahili optik alıcı-verici; optik bağlantı tek/çok modlu isteğe bağlı, 10GBASE-SR/LR'yi destekler; |
| BYP-MOD-L2QXG(LM/SM) | 2 yollu 40GE bağlantı seri korumasını, 4*40GE arabirimini, LC konnektörünü destekler; dahili optik alıcı-verici; optik bağlantı tek/çok modlu isteğe bağlı, 40GBASE-SR4/LR4'ü destekler; |
| BYP-MOD-L1CG (LM/SM) | 1 kanal 100GE bağlantı seri korumasını, 2*100GE arabirimini, LC konektörünü destekler; dahili optik alıcı-verici; optik bağlantı tekli çok modlu isteğe bağlı, 100GBASE-SR4/LR4'ü destekler; |
| MONİTÖR MODÜLÜ | |
| MON-MOD-L16XG | 16*10GE SFP+ izleme portu modülü; optik alıcı-verici modülü yok; |
| MON-MOD-L8XG | 8*10GE SFP+ izleme portu modülü; optik alıcı-verici modülü yok; |
| MON-MOD-L2CG | 2*100GE QSFP28 izleme portu modülü; optik alıcı-verici modülü yok; |
| MON-MOD-L8QXG | 8* 40GE QSFP+ izleme portu modülü; optik alıcı-verici modülü yok; |
4-Ağ TAP Baypas Anahtarı Özellikleri
| Ürün Modalitesi | ML-BYPASS-M200 seri Baypas Anahtarı | |
| Arayüz Türü | MGT Arayüzü | 1*10/100/1000BASE-T Uyarlanabilir yönetim arayüzü; Uzaktan HTTP/IP yönetimini destekler |
| Modül Yuvası | 2*BYPASS modül yuvası;1*MONİTOR modül yuvası; | |
| Maksimum destekleyen bağlantılar | Cihaz maksimum 4*10GE bağlantı veya 4*40GE bağlantı veya 1*100GE bağlantı desteğine sahiptir | |
| İzlemek | Cihaz maksimum 16*10GE izleme portu veya 8*40GE izleme portu veya 2*100GE izleme portunu destekler; | |
| İşlev | Tam çift yönlü işleme yeteneği | 640 Gbps |
| IP/protokol/port beş tuple'a dayalı belirli trafik kademesini koruma | Destek | |
| Tam trafiğe dayalı kademeli koruma | Destek | |
| Çoklu yük dengeleme | Destek | |
| Özel kalp atışı algılama işlevi | Destek | |
| Ethernet paketi bağımsızlığını destekleyin | Destek | |
| BAYPAS ANAHTARI | Destek | |
| BYPASS Flaşsız Anahtar | Destek | |
| KONSOL YÖNETİMİ | Destek | |
| IP/WEB YÖNETİMİ | Destek | |
| SNMP V1/V2C YÖNETİMİ | Destek | |
| TELNET/SSH YÖNETİMİ | Destek | |
| SYSLOG protokolü | Destek | |
| Kullanıcı yetkilendirmesi | Şifre yetkilendirmesine/AAA/TACACS+ dayalı | |
| Elektrik | Anma besleme gerilimi | AC-220V/DC-48V【İsteğe bağlı】 |
| Anma güç frekansı | 50Hz | |
| Nominal giriş akımı | AC-3A / DC-10A | |
| Anma Gücü | 100W | |
| Çevre | Çalışma Sıcaklığı | 0-50℃ |
| Depolama sıcaklığı | -20-70℃ | |
| Çalışma nemi | %10-%95, Yoğuşma yok | |
| Kullanıcı yapılandırması | Konsol yapılandırması | RS232 arayüzü,115200,8,N,1 |
| Bant dışı MGT arayüzü | 1*10/100/1000M Ethernet arayüzü | |
| Şifre yetkilendirmesi | Destek | |
| Şasi Yüksekliği | Şasi alanı(U) | 1U 19 inç, 485mm*44.5mm*350mm |
5-Ağ TAP Baypas Anahtarı Uygulaması (aşağıdaki gibi)
Tipik bir IPS (İzinsiz Giriş Önleme Sistemi), FW (Güvenlik Duvarı) dağıtım modu aşağıdadır; IPS/FW, güvenlik kontrollerinin uygulanması yoluyla ağ ekipmanlarına (yönlendiriciler, anahtarlar, vb.) seri olarak dağıtılır, ilgili güvenlik politikasına göre ilgili trafiğin serbest bırakılması veya engellenmesi belirlenerek güvenlik savunması etkisi elde edilir.
Aynı zamanda, IPS / FW'yi, genellikle seri güvenliği uygulamak için kurumsal ağın anahtar konumuna yerleştirilen ekipmanın seri dağıtımı olarak gözlemleyebiliriz, bağlı aygıtlarının güvenilirliği doğrudan genel kurumsal ağ kullanılabilirliğini etkiler. Seri aygıtlar aşırı yüklendiğinde, çöktüğünde, yazılım güncellemeleri, politika güncellemeleri vb. olduğunda, tüm kurumsal ağ kullanılabilirliği büyük ölçüde etkilenecektir. Bu noktada, yalnızca ağ kesintisi, fiziksel baypas atlama kablosu aracılığıyla ağın geri yüklenmesini sağlayabiliriz ve bu da ağın güvenilirliğini ciddi şekilde etkiler. IPS / FW ve diğer seri aygıtlar bir yandan kurumsal ağ güvenliğinin dağıtımını iyileştirirken, diğer yandan da kurumsal ağların güvenilirliğini azaltarak ağın kullanılamama riskini artırır.
5.2 Inline Link Serisi Ekipman Koruması
Mylinking™ "Bypass Switch", ağ aygıtları (yönlendiriciler, anahtarlar, vb.) arasında seri olarak dağıtılır ve ağ aygıtları arasındaki veri akışı artık doğrudan IPS/FW'ye, "Bypass Switch" ise IPS/FW'ye yönlendirmez; IPS/FW aşırı yük, çökme, yazılım güncellemeleri, politika güncellemeleri ve diğer arıza koşulları nedeniyle "Bypass Switch", akıllı kalp atışı mesajı algılama işlevi sayesinde zamanında tespit yapar ve böylece arızalı aygıtı atlayarak, ağın öncülünü kesintiye uğratmadan, normal iletişim ağını korumak için doğrudan bağlanan hızlı ağ ekipmanı; IPS/FW arıza kurtarma işlevi sayesinde, aynı zamanda akıllı kalp atışı paketlerinin zamanında tespit edilmesiyle, orijinal bağlantıyı geri yükleyerek kurumsal ağ güvenlik kontrollerinin güvenliğini sağlar.
Mylinking™ "Bypass Switch" güçlü bir akıllı kalp atışı mesajı algılama işlevine sahiptir, kullanıcı, IPS/FW'de sağlık testi için özel bir kalp atışı mesajı aracılığıyla kalp atışı aralığını ve maksimum yeniden deneme sayısını özelleştirebilir, örneğin kalp atışı kontrol mesajını IPS/FW'nin yukarı/aşağı bağlantı noktasına gönderebilir ve ardından IPS/FW'nin yukarı/aşağı bağlantı noktasından alabilir ve kalp atışı mesajını göndererek ve alarak IPS/FW'nin normal çalışıp çalışmadığına karar verebilir.
5.3 “SpecFlow” Politika Akışı Satır İçi Çekiş Serisi Koruması
Güvenlik ağı aygıtının yalnızca seri güvenlik korumasındaki belirli trafikle ilgilenmesi gerektiğinde, Mylinking™ "Bypass Switch" trafiği işleme başına işlevi aracılığıyla, trafik tarama stratejisi aracılığıyla güvenlik aygıtını bağlamak için "İlgili" trafik doğrudan ağ bağlantısına geri gönderilir ve "ilgili trafik bölümü" güvenlik kontrollerini gerçekleştirmek için hat içi güvenlik aygıtına çekilir. Bu, yalnızca güvenlik aygıtının güvenlik algılama işlevinin normal uygulamasını sürdürmekle kalmayacak, aynı zamanda basınçla başa çıkmak için güvenlik ekipmanının verimsiz akışını da azaltacaktır; aynı zamanda, "Bypass Switch" güvenlik aygıtının çalışma koşullarını gerçek zamanlı olarak algılayabilir. Güvenlik aygıtı anormal şekilde çalışır ve ağ hizmetinin kesintiye uğramasını önlemek için doğrudan veri trafiğini baypas eder.
Mylinking™ Trafik Baypas Koruyucusu, VLAN etiketi, kaynak/hedef MAC adresi, kaynak IP adresi, IP paket türü, taşıma katmanı protokol portu, protokol başlık anahtar etiketi vb. gibi L2-L4 katman başlık tanımlayıcısına göre trafiği tanımlayabilir. Çeşitli eşleşen koşullar esnek kombinasyonu, belirli bir güvenlik cihazının ilgisini çeken belirli trafik türlerini tanımlamak için esnek bir şekilde tanımlanabilir ve özel güvenlik denetim cihazlarının (RDP, SSH, veritabanı denetimi vb.) dağıtımı için yaygın olarak kullanılabilir.
5.4 Yük Dengeli Seri Koruma
Mylinking™ "Bypass Switch", ağ aygıtları (yönlendiriciler, anahtarlar, vb.) arasında seri olarak dağıtılır. Tek bir IPS/FW işleme performansı, ağ bağlantısı yoğun trafiğiyle başa çıkmak için yeterli olmadığında, koruyucunun trafik yük dengeleme işlevi olan, birden fazla IPS/FW küme işleme ağ bağlantısı trafiğinin "birleştirilmesi", tek IPS/FW işleme baskısını etkili bir şekilde azaltabilir, dağıtım ortamının yüksek bant genişliğini karşılamak için genel işleme performansını iyileştirebilir. İddia.
Mylinking™ "Bypass Switch" güçlü bir yük dengeleme fonksiyonuna sahiptir, çerçeve VLAN etiketi, MAC bilgisi, IP bilgisi, port numarası, protokol ve diğer bilgilere göre trafiğin Hash yük dengeleme dağılımını yaparak her IPS/FW alınan veri akışının Oturum bütünlüğünü garanti altına alır.
5.5 Çoklu Seri Sıralı Ekipman Akış Çekiş Koruması (Seri Bağlantıyı Paralel Bağlantıya Değiştirme)
Bazı önemli bağlantılarda (İnternet çıkışları, sunucu alanı değişim bağlantısı gibi) konum genellikle güvenlik özelliklerinin gereksinimleri ve birden fazla satır içi güvenlik test ekipmanının (güvenlik duvarı, DDOS saldırı önleme ekipmanı, WEB uygulama güvenlik duvarı, saldırı önleme ekipmanı vb.) dağıtımı nedeniyle, tek bir hata noktasının bağlantısını artırmak için bağlantıda aynı anda seri olarak birden fazla güvenlik tespit ekipmanı kullanılır ve bu da ağın genel güvenilirliğini azaltır. Ve yukarıda belirtilen güvenlik ekipmanı çevrimiçi dağıtımında, ekipman yükseltmeleri, ekipman değiştirme ve diğer işlemler, ağın uzun süreli hizmet kesintisine ve bu tür projelerin başarılı bir şekilde uygulanmasını tamamlamak için daha büyük bir proje kesme eylemine neden olacaktır.
"Bypass Switch"in birleşik bir şekilde dağıtılmasıyla, aynı bağlantı üzerinde seri olarak bağlanmış birden fazla güvenlik cihazının dağıtım modu, "fiziksel birleştirme modu"ndan "fiziksel birleştirme, mantıksal birleştirme modu"na değiştirilebilir. Bağlantı üzerindeki tek bir arıza noktası bağlantısı, bağlantının güvenilirliğini artırırken, bağlantı üzerindeki "bypass switch" talep üzerine çekiş akışı sağlayarak, orijinal güvenli işleme etkisi moduyla aynı akışı elde eder.
Seri halinde aynı anda birden fazla güvenlik cihazının dağıtım şeması:
Mylinking™ Network TAP Baypas Anahtarı Dağıtım Şeması:
5.6 Trafik Çekiş Güvenliği Algılama Korumasının Dinamik Stratejisine Dayalı
"Bypass Switch" Trafik çekiş güvenliği tespit koruma uygulamalarının dinamik stratejisine dayalı bir diğer gelişmiş uygulama senaryosu, aşağıda gösterildiği şekilde dağıtımı yapılır:
Örneğin, "Anti-DDoS saldırı koruması ve tespiti" güvenlik test ekipmanını alın, "Bypass Switch" ön uç dağıtımı ve ardından anti-DDOS koruma ekipmanı ve ardından "Bypass Switch"e bağlanarak, her zamanki "Traction protector"da tam miktarda trafik tel hızı iletimi aynı anda akış aynası çıkışı "anti-DDOS saldırı koruma aygıtı"na, saldırıdan sonra bir sunucu IP'si (veya IP ağ segmenti) için tespit edildikten sonra, "anti-DDOS saldırı koruma aygıtı" hedef trafik akışı eşleştirme kurallarını üretecek ve bunları dinamik politika teslim arayüzü aracılığıyla "Bypass Switch"e gönderecektir. "Bypass Switch" dinamik politika kuralları Kural havuzunu aldıktan sonra "trafik çekiş dinamiğini" güncelleyebilir ve hemen "kural saldırı sunucusu trafiğini "anti-DDoS saldırı koruması ve tespiti" ekipmanına işleme için vurur, saldırı akışından sonra etkili olur ve ardından ağa yeniden enjekte edilir.
"Bypass Switch" tabanlı uygulama şeması, geleneksel BGP rota enjeksiyonu veya diğer trafik çekme şemalarından daha kolay uygulanabilir ve ortam ağa daha az bağımlı olup güvenilirlik daha yüksektir.
"Bypass Switch" dinamik politika güvenlik algılama korumasını desteklemek için aşağıdaki özelliklere sahiptir:
1, WEBSERIVCE arayüzüne dayalı kuralların dışında, üçüncü parti güvenlik cihazlarıyla kolay entegrasyon sağlamak için "Bypass Switch".
2, Anahtar iletimini engellemeden 10Gbps'ye kadar kablo hızında paketleri ileten donanımsal saf ASIC çipine dayalı "Baypas Anahtarı" ve sayıdan bağımsız olarak "trafik çekiş dinamik kural kütüphanesi".
3, "Bypass Anahtarı" dahili profesyonel BYPASS fonksiyonu, koruyucunun kendisi arızalansa bile, orijinal seri bağlantıyı hemen bypass edebilir, normal iletişimin orijinal bağlantısını etkilemez.
