Mylinking™ Ağ İzleme Bypass Anahtarı ML-BYPASS-200
2 Bypass artı 1 Monitör Modüler Tasarım, 10/40/100GE Bağlantılar, Maksimum 640 Gbps
1-Genel Bakışlar
Mylinking™ Akıllı Bypass Anahtarını kullanarak:
- Kullanıcılar güvenlik ekipmanlarını esnek bir şekilde kurabilir/kaldırabilir ve bu durum mevcut ağı etkilemez veya kesintiye uğratmaz;
- Akıllı sağlık algılama fonksiyonuna sahip Mylinking™ Ağ Erişim Engelleme Anahtarı, seri güvenlik cihazının normal çalışma durumunu gerçek zamanlı olarak izler; seri güvenlik cihazında bir çalışma hatası oluştuğunda, normal ağ iletişimini sürdürmek için koruma otomatik olarak devre dışı bırakılır.
- Seçici trafik koruma teknolojisi, denetim ekipmanına dayalı şifreleme teknolojisi ile belirli trafik temizleme güvenlik ekipmanlarının konuşlandırılmasında kullanılabilir. Belirli trafik türü için seri erişim korumasını etkin bir şekilde gerçekleştirerek, seri cihazların akış yönetimi üzerindeki baskıyı azaltır;
- Yük Dengelemeli Trafik Koruma teknolojisi, yüksek bant genişliğine sahip ortamlarda seri güvenlik ihtiyacını karşılamak için güvenli seri cihazların kümelenmiş dağıtımında kullanılabilir.
İnternetin hızlı gelişimiyle birlikte, ağ bilgi güvenliğine yönelik tehditler giderek daha ciddi hale gelmekte, bu nedenle çeşitli bilgi güvenliği koruma uygulamaları daha yaygın olarak kullanılmaktadır. Geleneksel erişim kontrol ekipmanları (güvenlik duvarı) veya saldırı önleme sistemi (IPS), birleşik tehdit yönetim platformu (UTM), hizmet reddi saldırısı önleme sistemi (Anti-DDoS), spam önleme ağ geçidi, birleşik DPI trafik tanımlama ve kontrol sistemi gibi daha gelişmiş yeni tip koruma araçları olsun, birçok güvenlik cihazı ağın kilit noktalarına seri olarak yerleştirilmekte ve ilgili veri güvenliği politikası uygulanarak yasal/yasa dışı trafik tanımlanıp ele alınmaktadır. Bununla birlikte, yüksek güvenilirlik gerektiren bir üretim ağ uygulaması ortamında, arıza durumunda, bakım, yükseltme, ekipman değişimi vb. durumlarda bilgisayar ağı büyük bir ağ gecikmesine veya hatta ağ kesintisine neden olabilir ve kullanıcılar bunu kaldıramaz.
2-Ağ Bağlantı Noktası Bypass Anahtarının Gelişmiş Özellikleri ve Teknolojileri
Mylinking™ “SpecFlow” Koruma Modu ve “FullLink” Koruma Modu Teknolojisi
Mylinking™ Hızlı Bypass Anahtarlama Koruma Teknolojisi
Mylinking™ “LinkSafeSwitch” Teknolojisi
Mylinking™ “Web Hizmeti” Dinamik Strateji Yönlendirme/Sorun Teknolojisi
Mylinking™ Akıllı Kalp Atışı Mesajı Algılama Teknolojisi
Mylinking™ Tanımlanabilir Kalp Atışı Mesajları Teknolojisi
Mylinking™ Çoklu Bağlantılı Yük Dengeleme Teknolojisi
Mylinking™ Akıllı Trafik Dağıtım Teknolojisi
Mylinking™ Dinamik Yük Dengeleme Teknolojisi
Mylinking™ Uzaktan Yönetim Teknolojisi (HTTP/WEB, TELNET/SSH, “EasyConfig/AdvanceConfig” Özelliği)
3-Ağ Bağlantı Noktası Bypass Anahtarı Yapılandırma Kılavuzu
BYPASSKoruma Bağlantı Noktası Modülü Yuvası:
Bu yuva, farklı hız/port numarasına sahip BYPASS koruma port modülüne takılabilir. Farklı tipteki modüllerin değiştirilmesiyle, birden fazla 10G/40G/100G bağlantısının BYPASS koruması sağlanabilir.
MONİTÖRBağlantı Noktası Modülü Yuvası;
Bu yuva, farklı hız/portlara sahip MONITOR port modülüne takılabilir. Farklı modelleri değiştirerek, birden fazla 10G/40G/100G bağlantılı çevrimiçi seri izleme cihazının kurulumunu destekleyebilir.
Modül Seçim Kuralları
Farklı bağlantı noktalarına ve izleme ekipmanı kurulum gereksinimlerine bağlı olarak, gerçek ortam ihtiyaçlarınızı karşılamak için farklı modül konfigürasyonlarını esnek bir şekilde seçebilirsiniz; lütfen seçim yaparken aşağıdaki kurallara uyun:
1. Kasa bileşenleri zorunludur ve diğer modülleri seçmeden önce kasa bileşenlerini seçmelisiniz. Aynı zamanda, ihtiyaçlarınıza göre farklı güç kaynağı yöntemlerini (AC/DC) seçiniz.
2. Cihazın tamamı en fazla 2 BYPASS modülü yuvası ve 1 MONITOR modülü yuvasını destekler; yapılandırmak için yuva sayısından fazlasını seçemezsiniz. Yuva sayısı ve modül modelinin kombinasyonuna bağlı olarak, cihaz en fazla dört adet 10GE bağlantı korumasını; veya en fazla dört adet 40GE bağlantıyı; veya en fazla bir adet 100GE bağlantıyı destekleyebilir.
3. "BYP-MOD-L1CG" modül modeli, düzgün çalışması için yalnızca SLOT1 yuvasına takılmalıdır.
4. "BYP-MOD-XXX" tipi modül yalnızca BYPASS modül yuvasına; "MON-MOD-XXX" tipi modül ise normal çalışma için yalnızca MONITOR modül yuvasına takılabilir.
| Ürün Modeli | Fonksiyon parametreleri |
| Şasi (Ana Bilgisayar) | |
| ML-BYPASS-M200 | 1U standart 19 inç raf tipi kasa; maksimum güç tüketimi 250W; modüler BYPASS koruyucu ana ünite; 2 BYPASS modül yuvası; 1 MONITOR modül yuvası; AC ve DC opsiyonel; |
| BYPASS MODÜLÜ | |
| BYP-MOD-L2XG(LM/SM) | 2 yönlü 10GE seri bağlantı korumasını, 4*10GE arayüzünü, LC konektörünü destekler; dahili optik alıcı-verici; optik bağlantı tek/çok modlu seçeneği, 10GBASE-SR/LR'yi destekler; |
| BYP-MOD-L2QXG(LM/SM) | 2 yönlü 40GE seri bağlantı korumasını, 4*40GE arayüzünü, LC konektörünü destekler; dahili optik alıcı-verici; optik bağlantı tek/çok modlu seçeneği, 40GBASE-SR4/LR4'ü destekler; |
| BYP-MOD-L1CG (LM/SM) | 1 kanallı 100GE seri bağlantı korumasını, 2*100GE arayüzünü, LC konektörünü destekler; dahili optik alıcı-verici; optik bağlantı tekli çok modlu opsiyoneldir, 100GBASE-SR4/LR4'ü destekler; |
| MONİTÖR MODÜLÜ | |
| MON-MOD-L16XG | 16*10GE SFP+ izleme portu modülü; optik alıcı-verici modülü yok; |
| MON-MOD-L8XG | 8*10GE SFP+ izleme portu modülü; optik alıcı-verici modülü yok; |
| MON-MOD-L2CG | 2 adet 100GE QSFP28 izleme portu modülü; optik alıcı-verici modülü içermez; |
| MON-MOD-L8QXG | 8 adet 40GE QSFP+ izleme portu modülü; optik alıcı-verici modülü içermez; |
4-Ağ TAP Bypass Anahtarı Özellikleri
| Ürün Modeli | ML-BYPASS-M200 seri Bypass Anahtarı | |
| Arayüz Tipi | MGT Arayüzü | 1*10/100/1000BASE-T Uyarlanabilir yönetim arayüzü; Uzaktan HTTP/IP yönetimini destekler |
| Modül Yuvası | 2 adet BYPASS modülü yuvası; 1 adet MONİTÖR modülü yuvası; | |
| Maksimumu destekleyen bağlantılar | Cihaz maksimum 4*10GE bağlantısını, 4*40GE bağlantısını veya 1*100GE bağlantısını destekler. | |
| Monitör | Cihaz, maksimum 16 adet 10GE izleme portunu veya 8 adet 40GE izleme portunu veya 2 adet 100GE izleme portunu destekler; | |
| İşlev | Tam çift taraflı işleme yeteneği | 640 Gbps |
| IP/protokol/port beşlisine dayalı, belirli trafik kademelerini koruyan | Destek | |
| Tam trafik esaslı kademeli koruma | Destek | |
| Çoklu yük dengeleme | Destek | |
| Özel kalp atışı algılama fonksiyonu | Destek | |
| Ethernet paket bağımsızlığını destekleyin | Destek | |
| BYPASS ANAHTARI | Destek | |
| Flaşsız BYPASS Anahtarı | Destek | |
| KONSOL YÖNETİMİ | Destek | |
| IP/WEB YÖNETİMİ | Destek | |
| SNMP V1/V2C Yönetimi | Destek | |
| TELNET/SSH YÖNETİMİ | Destek | |
| SYSLOG protokolü | Destek | |
| Kullanıcı yetkilendirmesi | Parola yetkilendirmesine/AAA/TACACS+'a dayanmaktadır. | |
| Elektrik | Nominal besleme gerilimi | AC-220V/DC-48V【İsteğe Bağlı】 |
| Nominal güç frekansı | 50 Hz | |
| Nominal giriş akımı | AC-3A / DC-10A | |
| Nominal Güç | 100W | |
| Çevre | Çalışma Sıcaklığı | 0-50℃ |
| Depolama sıcaklığı | -20-70℃ | |
| Çalışma nemi | %10-%95, Yoğuşma yok | |
| Kullanıcı yapılandırması | Konsol yapılandırması | RS232 arayüzü,115200,8,N,1 |
| Bant dışı MGT arayüzü | 1*10/100/1000M Ethernet arayüzü | |
| Parola yetkilendirmesi | Destek | |
| Şasi Yüksekliği | Şasi alanı (U) | 1U 19 inç, 485mm*44.5mm*350mm |
5-Ağ TAP Bypass Anahtarı Uygulaması (aşağıdaki gibi)
Aşağıda tipik bir IPS (Saldırı Önleme Sistemi) ve FW (Güvenlik Duvarı) dağıtım modeli verilmiştir. IPS/FW, ağ ekipmanları (yönlendiriciler, anahtarlar vb.) arasına seri olarak yerleştirilir ve trafik arasında güvenlik kontrolleri yapılarak, ilgili güvenlik politikasına göre trafiğin serbest bırakılması veya engellenmesi belirlenir ve böylece güvenlik savunması sağlanır.
Aynı zamanda, IPS/FW'nin seri olarak dağıtılan bir ekipman olduğunu ve genellikle kurumsal ağın kilit noktalarına seri güvenlik sağlamak için yerleştirildiğini gözlemleyebiliriz; bağlı cihazların güvenilirliği, genel kurumsal ağ kullanılabilirliğini doğrudan etkiler. Seri cihazlar aşırı yüklendiğinde, çöktüğünde, yazılım güncellemeleri, politika güncellemeleri vb. durumlarda, tüm kurumsal ağ kullanılabilirliği büyük ölçüde etkilenir. Bu noktada, ağın yeniden çalışır hale getirilmesi için yalnızca ağın kesilmesi veya fiziksel bypass jumper'ı kullanılması gerekir ki bu da ağın güvenilirliğini ciddi şekilde etkiler. IPS/FW ve diğer seri cihazlar bir yandan kurumsal ağ güvenliğinin dağıtımını iyileştirirken, diğer yandan da kurumsal ağların güvenilirliğini azaltarak ağın kullanılamaz hale gelme riskini artırır.
5.2 Sıralı Bağlantı Serisi Ekipman Koruması
Mylinking™ "Bypass Switch", ağ cihazları (yönlendiriciler, anahtarlar vb.) arasına seri olarak yerleştirilir ve ağ cihazları arasındaki veri akışı artık doğrudan IPS/FW'ye gitmez. "Bypass Switch", IPS/FW'nin aşırı yüklenme, çökme, yazılım güncellemeleri, politika güncellemeleri ve diğer arıza durumlarından dolayı arızalanması halinde, akıllı kalp atışı mesajı algılama fonksiyonu sayesinde zamanında tespit yaparak arızalı cihazı atlar ve ağın çalışmasını kesintiye uğratmadan ağ ekipmanının doğrudan bağlanmasını sağlayarak normal iletişim ağını korur; IPS/FW arızası durumunda ise, akıllı kalp atışı paketleri algılama fonksiyonu sayesinde zamanında tespit yaparak orijinal bağlantıyı geri yükler ve kurumsal ağ güvenliğini kontrol eder.
Mylinking™ "Bypass Switch", güçlü ve akıllı bir kalp atışı mesajı algılama fonksiyonuna sahiptir. Kullanıcı, kalp atışı aralığını ve maksimum yeniden deneme sayısını özelleştirebilir. Örneğin, IPS/FW'nin yukarı/aşağı portuna kalp atışı kontrol mesajı gönderip, oradan da bu mesajı alarak IPS/FW'nin normal çalışıp çalışmadığını kontrol edebilir.
5.3 “SpecFlow” Politika Akışı Hat İçi Çekiş Serisi Koruması
Güvenlik ağı cihazının yalnızca seri güvenlik korumasındaki belirli trafiği ele alması gerektiğinde, Mylinking™ "Bypass Anahtarı" trafik ön işleme fonksiyonu aracılığıyla, trafik tarama stratejisiyle güvenlik cihazının "İlgili" trafiği doğrudan ağ bağlantısına geri gönderilir ve "ilgili trafik bölümü" güvenlik kontrollerini gerçekleştirmek üzere hat içi güvenlik cihazına yönlendirilir. Bu, yalnızca güvenlik cihazının güvenlik algılama fonksiyonunun normal çalışmasını sürdürmekle kalmaz, aynı zamanda güvenlik ekipmanının verimsiz akışını ve baskısını da azaltır; aynı zamanda, "Bypass Anahtarı" güvenlik cihazının çalışma durumunu gerçek zamanlı olarak algılayabilir. Güvenlik cihazı anormal şekilde çalışıyorsa, ağ hizmetinin kesintiye uğramasını önlemek için veri trafiğini doğrudan atlar.
Mylinking™ Trafik Bypass Koruyucusu, VLAN etiketi, kaynak/hedef MAC adresi, kaynak IP adresi, IP paket türü, taşıma katmanı protokol portu, protokol başlığı anahtar etiketi vb. gibi L2-L4 katman başlık tanımlayıcılarına göre trafiği tanımlayabilir. Çeşitli eşleştirme koşullarının esnek bir kombinasyonu, belirli bir güvenlik cihazı için ilgi çekici olan belirli trafik türlerini tanımlamak üzere esnek bir şekilde tanımlanabilir ve özel güvenlik denetim cihazlarının (RDP, SSH, veritabanı denetimi vb.) dağıtımında yaygın olarak kullanılabilir.
5.4 Yük Dengeli Seri Koruma
Mylinking™ "Bypass Anahtarı", ağ cihazları (yönlendiriciler, anahtarlar vb.) arasına seri olarak yerleştirilir. Tek bir IPS/FW işlem performansı, ağ bağlantısındaki en yüksek trafikle başa çıkmak için yeterli olmadığında, koruyucunun trafik yük dengeleme işlevi, birden fazla IPS/FW kümesinin ağ bağlantı trafiğini "bir araya getirerek" işlemesini sağlar ve böylece tek bir IPS/FW'nin işlem yükünü etkili bir şekilde azaltır, genel işlem performansını artırarak dağıtım ortamının yüksek bant genişliği gereksinimlerini karşılar.
Mylinking™ "Bypass Switch", güçlü bir yük dengeleme işlevine sahiptir; çerçeve VLAN etiketi, MAC bilgisi, IP bilgisi, port numarası, protokol ve diğer bilgilere göre karma yük dengeleme yöntemiyle trafiği dağıtarak her IPS/FW'nin aldığı veri akışı oturumunun bütünlüğünü sağlar.
5.5 Çok Serili Hat İçi Ekipman Akış Çekiş Koruması (Seri Bağlantıyı Paralel Bağlantıya Değiştirin)
Bazı önemli bağlantı noktalarında (örneğin internet erişim noktaları, sunucu alan değişim bağlantıları) konum, genellikle güvenlik özelliklerinin gerekliliği ve birden fazla hat içi güvenlik test ekipmanının (örneğin güvenlik duvarı, DDOS saldırılarına karşı koruma ekipmanı, web uygulama güvenlik duvarı, izinsiz giriş önleme ekipmanı vb.) konuşlandırılması nedeniyle belirlenir. Bu tür bağlantılarda aynı anda birden fazla güvenlik tespit ekipmanının seri olarak kullanılması, bağlantının tek bir arıza noktası oluşturmasını ve ağın genel güvenilirliğini azaltmasını sağlar. Ayrıca, yukarıda belirtilen güvenlik ekipmanlarının çevrimiçi olarak konuşlandırılması, ekipman yükseltmeleri, ekipman değiştirme ve diğer işlemler, ağda uzun süreli hizmet kesintilerine ve bu tür projelerin başarılı bir şekilde uygulanması için daha büyük bir proje kesintisi işlemine neden olur.
"Bypass Anahtarı"nın birleşik bir şekilde konuşlandırılmasıyla, aynı bağlantı üzerinde seri olarak bağlanan birden fazla güvenlik cihazının konuşlandırma modu, "fiziksel birleştirme modu"ndan "fiziksel birleştirme, mantıksal birleştirme modu"na değiştirilebilir. Tek bir arıza noktası olan bağlantıdaki bağlantı güvenilirliği artırılırken, "bypass anahtarı" bağlantı akışında isteğe bağlı çekiş sağlayarak, orijinal moddakiyle aynı güvenli işleme etkisini elde eder.
Seri bağlantı şemasında aynı anda birden fazla güvenlik cihazının kullanımı:
Mylinking™ Ağ TAP Bypass Anahtarı Dağıtım Şeması:
5.6 Dinamik Trafik Çekiş Güvenliği Algılama ve Koruma Stratejisine Dayalı
"Bypass Anahtarı" Başka bir gelişmiş uygulama senaryosu, trafik çekişi güvenlik algılama koruma uygulamalarının dinamik stratejisine dayanmaktadır ve aşağıdaki şekilde konuşlandırılır:
Örneğin, "DDoS saldırılarına karşı koruma ve tespit" güvenlik test ekipmanını ele alalım. Öncelikle "Bypass Switch" ön uç dağıtımı yapılır, ardından DDoS koruma ekipmanı "Bypass Switch"e bağlanır ve normal "Traction Protector" aracılığıyla trafiğin tamamı aynı anda kablo hızında iletilirken, akış aynası çıktısı da "DDoS saldırılarına karşı koruma cihazına" gönderilir. Bir sunucu IP'si (veya IP ağ segmenti) için saldırı tespit edildiğinde, "DDoS saldırılarına karşı koruma cihazı" hedef trafik akışına uygun kurallar oluşturur ve bunları dinamik politika dağıtım arayüzü aracılığıyla "Bypass Switch"e gönderir. "Bypass Switch", dinamik politika kurallarını aldıktan sonra "trafik akışı dinamik" kural havuzunu güncelleyebilir ve saldırıya uğrayan sunucu trafiğini "DDoS saldırılarına karşı koruma ve tespit" ekipmanına işlemek üzere hemen iletebilir; böylece saldırıdan sonra etkili olan akış ağa yeniden enjekte edilir.
"Bypass Switch" tabanlı uygulama şeması, geleneksel BGP rota enjeksiyonu veya diğer trafik çekme şemalarına göre uygulanması daha kolaydır ve ortam ağa daha az bağımlıdır ve güvenilirliği daha yüksektir.
"Bypass Switch", dinamik politika güvenlik algılama korumasını desteklemek için aşağıdaki özelliklere sahiptir:
1. "Bypass Switch", WEBSERIVCE arayüzüne dayalı kuralların dışında erişim sağlar ve üçüncü taraf güvenlik cihazlarıyla kolay entegrasyon imkanı sunar.
2. Donanım tabanlı saf ASIC çipiyle çalışan ve anahtarlamalı iletimi engellemeden 10 Gbps'ye kadar kablo hızında paket iletimi sağlayan "Bypass Switch" ve sayıdan bağımsız olarak "trafik akışı dinamik kural kütüphanesi".
3. "Bypass Anahtarı" dahili profesyonel BYPASS fonksiyonuna sahiptir; koruyucu cihazın kendisi arızalansa bile, orijinal seri bağlantıyı anında atlayabilir ve orijinal bağlantının normal iletişimini etkilemez.
