Mylinking™ Ağ Musluk Baypas Anahtarı ML-BYPASS-200
2*Bypass artı 1*Modüler Tasarım Monitör, 10/40/100GE Bağlantıları, Maksimum 640 Gbps
1-Genel Bakışlar
Mylinking™ Akıllı Baypas Anahtarını kullanarak:
- Kullanıcılar güvenlik ekipmanlarını esnek bir şekilde kurabilir/kaldırabilir ve mevcut ağı etkilemez ve kesintiye uğratmaz;
- Mylinking™ Ağ Dokunma Baypas Anahtarı, seri güvenlik cihazının normal çalışma durumunun gerçek zamanlı izlenmesi için akıllı sağlık algılama işlevine sahiptir; seri güvenlik cihazı çalışması istisna olduğunda, koruma normal ağ iletişimini sürdürmek için otomatik olarak baypas yapacaktır;
- Seçici trafik koruma teknolojisi, belirli trafik temizleme güvenlik ekipmanlarının ve denetim ekipmanına dayalı şifreleme teknolojisinin konuşlandırılmasında kullanılabilir. Seri erişim korumasını, belirli trafik türü için etkili bir şekilde gerçekleştirerek, seri cihazın akış işleme yükünü azaltır;
- Yük Dengeli Trafik Koruması teknolojisi, yüksek bant genişliğine sahip ortamlarda seri güvenlik ihtiyacını karşılamak için güvenli seri cihazların kümelenmiş dağıtımında kullanılabilir.
İnternetin hızla gelişmesiyle birlikte, ağ bilgi güvenliğine yönelik tehdit giderek daha ciddi hale geliyor ve bu nedenle çeşitli bilgi güvenliği koruma uygulamaları giderek daha yaygın bir şekilde kullanılıyor. İster geleneksel erişim kontrol ekipmanı (güvenlik duvarı) ister saldırı önleme sistemi (IPS), Birleşik tehdit yönetim platformu (UTM), Anti-DDoS hizmeti saldırı sistemi (Anti-DDoS), Anti-Span Ağ Geçidi, Birleşik DPI Trafik Tanımlama ve Kontrol Sistemi gibi yeni ve daha gelişmiş bir koruma yöntemi olsun, ağ anahtar düğümlerine seri olarak birçok güvenlik cihazı yerleştiriliyor ve yasal/yasadışı trafiği tespit edip bunlarla başa çıkmak için ilgili veri güvenliği politikası uygulanıyor. Ancak aynı zamanda, son derece güvenilir bir üretim ağı uygulama ortamında, bilgisayar ağı, arıza durumunda büyük bir ağ gecikmesine veya hatta ağ kesintisine neden olacağından, kullanıcılar buna dayanamıyor.
2-Ağ Tap Bypass Anahtarı Gelişmiş Özellikler ve Teknolojiler
Mylinking™ “SpecFlow” Koruma Modu ve “FullLink” Koruma Modu Teknolojisi
Mylinking™ Hızlı Baypas Anahtarlama Koruma Teknolojisi
Mylinking™ “LinkSafeSwitch” Teknolojisi
Mylinking™ “WebService” Dinamik Strateji Yönlendirme/Sorun Teknolojisi
Mylinking™ Akıllı Kalp Atışı Mesajı Algılama Teknolojisi
Mylinking™ Tanımlanabilir Kalp Atışı Mesajları Teknolojisi
Mylinking™ Çoklu Bağlantı Yük Dengeleme Teknolojisi
Mylinking™ Akıllı Trafik Dağıtım Teknolojisi
Mylinking™ Dinamik Yük Dengeleme Teknolojisi
Mylinking™ Uzaktan Yönetim Teknolojisi (HTTP/WEB, TELNET/SSH, “EasyConfig/AdvanceConfig” Özelliği)
3-Ağ Musluk Baypas Anahtarı Yapılandırma Kılavuzu
BAYPASKoruma Portu Modülü Yuvası:
Bu yuva, farklı hız/port numarasına sahip BYPASS koruma portu modülüne takılabilir. Farklı modül tiplerini değiştirerek, birden fazla 10G/40G/100G bağlantısının BYPASS korumasını destekleyebilir.
MONİTÖRPort Modülü Yuvası;
Bu yuva, farklı hız/portlara sahip MONITOR port modülüne takılabilir. Farklı modellerin değiştirilmesiyle birden fazla 10G/40G/100G bağlantılı çevrimiçi seri izleme cihazı dağıtımını destekleyebilir.
Modül Seçim Kuralları
Farklı dağıtılan bağlantılara ve izleme ekipmanı dağıtım gereksinimlerine bağlı olarak, gerçek ortam ihtiyaçlarınızı karşılamak için farklı modül yapılandırmalarını esnek bir şekilde seçebilirsiniz; lütfen seçerken aşağıdaki kurallara uyun:
1. Şasi bileşenleri zorunludur ve diğer modülleri seçmeden önce şasi bileşenlerini seçmelisiniz. Aynı zamanda, ihtiyaçlarınıza göre farklı güç kaynağı yöntemleri (AC/DC) seçin.
2. Tüm makine 2 adede kadar BYPASS modül yuvası ve 1 MONITOR modül yuvasını destekler; yapılandırılacak yuva sayısından fazlasını seçemezsiniz. Yuva sayısı ve modül modeline bağlı olarak, cihaz dört adede kadar 10GE bağlantı korumasını destekleyebilir; dört adede kadar 40GE bağlantısını destekleyebilir; veya bir adede kadar 100GE bağlantısını destekleyebilir.
3. "BYP-MOD-L1CG" modül modelinin düzgün çalışması için yalnızca SLOT1'e takılması gerekir.
4. "BYP-MOD-XXX" tipi modül sadece BYPASS modül yuvasına takılabilir; "MON-MOD-XXX" tipi modül ise normal çalışma için sadece MONITOR modül yuvasına takılabilir.
| Ürün Modeli | Fonksiyon parametreleri |
| Şasi (Ana Bilgisayar) | |
| ML-BAYPAS-M200 | 1U standart 19 inç raf montajı; maksimum güç tüketimi 250W; modüler BYPASS koruyucu ana bilgisayarı; 2 BYPASS modül yuvası; 1 MONITOR modül yuvası; AC ve DC isteğe bağlı; |
| BAYPAS MODÜLÜ | |
| BYP-MOD-L2XG((LM/SM) | 2 yollu 10GE bağlantı seri korumasını, 4*10GE arayüzünü, LC konnektörünü destekler; dahili optik alıcı-verici; optik bağlantı tek/çok modlu isteğe bağlı, 10GBASE-SR/LR'yi destekler; |
| BYP-MOD-L2QXG(LM/SM) | 2 yollu 40GE bağlantı seri korumasını, 4*40GE arayüzünü, LC konnektörünü destekler; dahili optik alıcı-verici; optik bağlantı tek/çok modlu isteğe bağlı, 40GBASE-SR4/LR4'ü destekler; |
| BYP-MOD-L1CG (LM/SM) | 1 kanal 100GE bağlantı seri korumasını, 2*100GE arayüzünü, LC konnektörünü destekler; dahili optik alıcı-verici; optik bağlantı tekli çok modlu isteğe bağlı, 100GBASE-SR4/LR4'ü destekler; |
| MONİTÖR MODÜLÜ | |
| MON-MOD-L16XG | 16*10GE SFP+ izleme portu modülü; optik alıcı-verici modülü yok; |
| MON-MOD-L8XG | 8*10GE SFP+ izleme portu modülü; optik alıcı-verici modülü yok; |
| MON-MOD-L2CG | 2*100GE QSFP28 izleme portu modülü; optik alıcı-verici modülü yok; |
| MON-MOD-L8QXG | 8* 40GE QSFP+ izleme portu modülü; optik alıcı-verici modülü yok; |
4-Ağ TAP Baypas Anahtarı Özellikleri
| Ürün Modalitesi | ML-BYPASS-M200 seri Baypas Anahtarı | |
| Arayüz Türü | MGT Arayüzü | 1*10/100/1000BASE-T Uyarlanabilir yönetim arayüzü; Uzaktan HTTP/IP yönetimini destekler |
| Modül Yuvası | 2*BAYPASS modül yuvası;1*MONİTOR modül yuvası; | |
| Maksimum destekleyen bağlantılar | Cihaz maksimum 4*10GE bağlantı veya 4*40GE bağlantı veya 1*100GE bağlantı desteğine sahiptir | |
| Monitör | Cihaz maksimum 16*10GE izleme portu veya 8*40GE izleme portu veya 2*100GE izleme portunu destekler; | |
| İşlev | Tam çift yönlü işleme yeteneği | 640 Gbps |
| IP/protokol/port beşli tuple'a dayalı özel trafik kademesini koruma | Destek | |
| Tam trafiğe dayalı kademeli koruma | Destek | |
| Çoklu yük dengeleme | Destek | |
| Özel kalp atışı algılama işlevi | Destek | |
| Ethernet paketi bağımsızlığını destekleyin | Destek | |
| BAYPAS ANAHTARI | Destek | |
| Flaşsız BYPASS Anahtarı | Destek | |
| KONSOL YÖNETİMİ | Destek | |
| IP/WEB YÖNETİMİ | Destek | |
| SNMP V1/V2C YÖNETİMİ | Destek | |
| TELNET/SSH YÖNETİMİ | Destek | |
| SYSLOG protokolü | Destek | |
| Kullanıcı yetkilendirmesi | Şifre yetkilendirme/AAA/TACACS+ temel alınarak | |
| Elektrik | Anma besleme gerilimi | AC-220V/DC-48V【İsteğe bağlı】 |
| Anma güç frekansı | 50Hz | |
| Anma giriş akımı | AC-3A / DC-10A | |
| Anma Gücü | 100W | |
| Çevre | Çalışma Sıcaklığı | 0-50℃ |
| Depolama sıcaklığı | -20-70℃ | |
| Çalışma nemi | %10-95, Yoğuşma yok | |
| Kullanıcı yapılandırması | Konsol yapılandırması | RS232 arayüzü, 115200, 8, N, 1 |
| Bant dışı MGT arayüzü | 1*10/100/1000M Ethernet arayüzü | |
| Şifre yetkilendirmesi | Destek | |
| Şasi Yüksekliği | Şasi alanı(U) | 1U 19 inç, 485 mm * 44,5 mm * 350 mm |
5-Ağ TAP Baypas Anahtarı Uygulaması (aşağıdaki gibi)
Tipik bir IPS (İzinsiz Giriş Önleme Sistemi), FW (Güvenlik Duvarı) dağıtım modu aşağıdadır, IPS/FW, güvenlik kontrollerinin uygulanması yoluyla ağ ekipmanlarına (yönlendiriciler, anahtarlar, vb.) seri olarak dağıtılır, ilgili güvenlik politikasına göre ilgili trafiğin serbest bırakılması veya engellenmesi belirlenir, böylece güvenlik savunması etkisi elde edilir.
Aynı zamanda, IPS/FW'yi, genellikle seri güvenliği sağlamak için kurumsal ağın kilit noktasına yerleştirilen ekipmanın seri dağıtımı olarak görebiliriz; bağlı cihazların güvenilirliği, genel kurumsal ağ kullanılabilirliğini doğrudan etkiler. Seri cihazlar aşırı yüklendiğinde, çöktüğünde, yazılım güncellemelerinde, politika güncellemelerinde vb., tüm kurumsal ağ kullanılabilirliği büyük ölçüde etkilenir. Bu noktada, yalnızca ağ kesintisi veya fiziksel bypass jumper'ı aracılığıyla ağın geri yüklenmesini sağlayabiliriz ve bu da ağın güvenilirliğini ciddi şekilde etkiler. IPS/FW ve diğer seri cihazlar, bir yandan kurumsal ağ güvenliğinin dağıtımını iyileştirirken, diğer yandan kurumsal ağların güvenilirliğini azaltarak ağın kullanılamaz hale gelme riskini artırır.
5.2 Hat İçi Bağlantı Serisi Ekipman Koruması
Mylinking™ "Bypass Switch", ağ aygıtları (yönlendiriciler, anahtarlar, vb.) arasında seri olarak dağıtılır ve ağ aygıtları arasındaki veri akışı artık doğrudan IPS/FW'ye yönlendirilmez, "Bypass Switch" IPS/FW'ye, IPS/FW aşırı yük, çökme, yazılım güncellemeleri, politika güncellemeleri ve diğer arıza koşulları nedeniyle, "Bypass Switch" akıllı kalp atışı mesajı algılama işlevi sayesinde zamanında keşif yapar ve böylece arızalı aygıtı atlar, ağın öncülünü kesintiye uğratmadan, normal iletişim ağını korumak için doğrudan bağlı olan hızlı ağ ekipmanı; IPS/FW arıza kurtarma işlevi sayesinde, aynı zamanda akıllı kalp atışı paketlerinin zamanında tespit edilmesiyle, orijinal bağlantıyı geri yüklemek için kurumsal ağ güvenlik kontrolleri yapar.
Mylinking™ "Bypass Switch" güçlü bir akıllı kalp atışı mesajı algılama işlevine sahiptir, kullanıcı, IPS / FW'de sağlık testi için özel bir kalp atışı mesajı aracılığıyla kalp atışı aralığını ve maksimum yeniden deneme sayısını özelleştirebilir, örneğin kalp atışı kontrol mesajını IPS / FW'nin yukarı / aşağı akış portuna gönderebilir ve ardından IPS / FW'nin yukarı / aşağı akış portundan alabilir ve kalp atışı mesajını göndererek ve alarak IPS / FW'nin normal çalışıp çalışmadığına karar verebilir.
5.3 “SpecFlow” Politika Akışı Satır İçi Çekiş Serisi Koruması
Güvenlik ağı cihazının yalnızca seri güvenlik korumasındaki belirli trafikle ilgilenmesi gerektiğinde, Mylinking™ "Bypass Switch" trafik işleme fonksiyonu aracılığıyla, trafik tarama stratejisi aracılığıyla güvenlik cihazını bağlamak için "İlgili" trafik doğrudan ağ bağlantısına geri gönderilir ve "ilgili trafik bölümü", güvenlik kontrollerini gerçekleştirmek üzere hat içi güvenlik cihazına yönlendirilir. Bu, yalnızca güvenlik cihazının güvenlik algılama işlevinin normal şekilde uygulanmasını sağlamakla kalmaz, aynı zamanda güvenlik ekipmanının baskıyla başa çıkmak için verimsiz akışını da azaltır; aynı zamanda "Bypass Switch", güvenlik cihazının çalışma durumunu gerçek zamanlı olarak algılayabilir. Güvenlik cihazı, ağ hizmetinin kesintiye uğramasını önlemek için veri trafiğini doğrudan bypass ederek anormal şekilde çalışır.
Mylinking™ Trafik Baypas Koruyucusu, trafiği VLAN etiketi, kaynak/hedef MAC adresi, kaynak IP adresi, IP paket türü, taşıma katmanı protokol portu, protokol başlık anahtar etiketi vb. gibi L2-L4 katman başlık tanımlayıcısına göre tanımlayabilir. Çeşitli eşleştirme koşulları esnek bir şekilde bir araya getirilerek, belirli bir güvenlik cihazının ilgi alanına giren belirli trafik türleri tanımlanabilir ve özel güvenlik denetim cihazlarının (RDP, SSH, veritabanı denetimi vb.) dağıtımında yaygın olarak kullanılabilir.
5.4 Yük Dengeli Seri Koruma
Mylinking™ "Bypass Switch", ağ aygıtları (yönlendiriciler, anahtarlar vb.) arasında seri olarak dağıtılır. Tek bir IPS/FW işleme performansı, ağ bağlantı yoğunluğuyla başa çıkmak için yeterli olmadığında, koruyucunun trafik yük dengeleme işlevi olan birden fazla IPS/FW küme işleme ağ bağlantı trafiğini "bir araya getirerek", tek bir IPS/FW işleme baskısını etkili bir şekilde azaltabilir ve dağıtım ortamının yüksek bant genişliğini karşılayacak şekilde genel işleme performansını iyileştirebilir.
Mylinking™ "Bypass Switch" güçlü bir yük dengeleme fonksiyonuna sahiptir, çerçeve VLAN etiketi, MAC bilgisi, IP bilgisi, port numarası, protokol ve diğer bilgilere göre Hash yük dengelemesi yaparak trafiğin dağıtımını yapar ve her IPS/FW alınan veri akışının Oturum bütünlüğünü sağlar.
5.5 Çoklu Seri Hat İçi Ekipman Akış Çekiş Koruması (Seri Bağlantıyı Paralel Bağlantıya Değiştirme)
Bazı önemli bağlantılarda (İnternet çıkışları, sunucu alanı değişim bağlantısı gibi) konum genellikle güvenlik özellikleri ve birden fazla çevrimiçi güvenlik test ekipmanının (güvenlik duvarı, DDOS saldırı önleme ekipmanı, WEB uygulama güvenlik duvarı, saldırı önleme ekipmanı vb.) konuşlandırılmasından kaynaklanır. Bağlantı üzerinde aynı anda birden fazla güvenlik tespit ekipmanı seri olarak kullanılır ve tek bir hata noktasının bağlantısını artırarak ağın genel güvenilirliğini azaltır. Yukarıda belirtilen çevrimiçi güvenlik ekipmanı konuşlandırmalarında, ekipman yükseltmeleri, ekipman değişimleri ve diğer işlemler, ağda uzun süreli hizmet kesintilerine ve bu tür projelerin başarılı bir şekilde uygulanması için daha büyük bir proje kesintisine neden olur.
"Bypass Switch"in birleşik bir şekilde dağıtılmasıyla, aynı bağlantı üzerinde seri olarak bağlı birden fazla güvenlik cihazının dağıtım modu, "fiziksel birleştirme modu"ndan "fiziksel birleştirme, mantıksal birleştirme modu"na değiştirilebilir. Bağlantı üzerindeki tek bir arıza noktası bağlantısı, bağlantının güvenilirliğini artırırken, bağlantı üzerindeki "bypass switch" talep üzerine çekiş akışı sağlayarak, orijinal güvenli işleme etkisi moduyla aynı akışı elde eder.
Seri halinde aynı anda birden fazla güvenlik cihazının dağıtım şeması:
Mylinking™ Ağ TAP Baypas Anahtarı Dağıtım Şeması:
5.6 Trafik Çekiş Güvenliği Algılama Korumasının Dinamik Stratejisine Dayalı
"Bypass Switch" Trafik çekiş güvenliği tespit koruma uygulamalarının dinamik stratejisine dayalı bir diğer gelişmiş uygulama senaryosu, aşağıda gösterildiği şekilde dağıtılmaktadır:
Örneğin, "Anti-DDoS saldırı koruması ve tespiti" güvenlik test ekipmanını ele alalım. "Bypass Switch" ve ardından anti-DDOS koruma ekipmanının ön uç dağıtımıyla, "Bypass Switch"e bağlanarak, normal "Traction Protector"da, trafiğin tamamını kablo hızında iletir ve aynı anda akış aynası çıkışını "anti-DDOS saldırı koruma cihazına" iletir. Saldırıdan sonra bir sunucu IP'si (veya IP ağ segmenti) için tespit edildikten sonra, "anti-DDOS saldırı koruma cihazı" hedef trafik akışı eşleştirme kurallarını oluşturacak ve bunları dinamik politika dağıtım arayüzü aracılığıyla "Bypass Switch"e gönderecektir. "Bypass Switch", dinamik politika kuralları kural havuzunu aldıktan sonra "trafik çekiş dinamiğini" güncelleyebilir ve hemen saldırı sunucusu trafiğini "anti-DDoS saldırı koruması ve tespiti" ekipmanına aktararak, saldırı akışından sonra etkili olmasını ve ardından ağa yeniden enjekte edilmesini sağlayabilir.
"Bypass Switch" tabanlı uygulama şeması, geleneksel BGP rota enjeksiyonu veya diğer trafik çekme şemalarından daha kolay uygulanabilir ve ortam ağa daha az bağımlıdır ve güvenilirlik daha yüksektir.
"Bypass Switch" dinamik politika güvenlik algılama korumasını desteklemek için aşağıdaki özelliklere sahiptir:
1, WEBSERIVCE arayüzüne dayalı kuralların dışında "Bypass Switch" ile üçüncü parti güvenlik cihazlarıyla kolay entegrasyon.
2, Anahtar iletimini engellemeden 10Gbps'ye kadar kablo hızında paketleri ileten donanımsal saf ASIC çipine dayalı "Baypas Anahtarı" ve sayıdan bağımsız olarak "trafik çekiş dinamik kural kütüphanesi".
3, "Baypas Anahtarı" dahili profesyonel BYPASS fonksiyonu, koruyucunun kendisi arızalansa bile, orijinal seri bağlantıyı hemen atlayabilir, normal iletişimin orijinal bağlantısını etkilemez.
