1- Kalp Atışını Tanımlama Paketi nedir?
Mylinking™ Ağ İzleme Bypass Anahtarının kalp atışı paketleri varsayılan olarak Ethernet Katman 2 çerçeveleridir. Şeffaf Katman 2 köprüleme modu (IPS/FW gibi) kullanıldığında, Katman 2 Ethernet çerçeveleri normalde iletilir, engellenir veya atılır. Aynı zamanda, Mylinking™ Ağ İzleme Bypass Anahtarı, bazı özel seri güvenlik cihazlarının normal Katman 2 Ethernet çerçevelerini iletemediği durumları karşılamak için özel kalp atışı mesaj formatını destekler.
Mylinking™ Ağ İzleme Bypass Anahtarı ayrıca VLAN etiketi, Katman 3 ve Katman 4 özel mesaj türlerine dayalı kalp atışı paketi algılama özelliğini de destekler. Bu mekanizma sayesinde kullanıcı, bağlantı güvenlik cihazının hizmet güvenliği test fonksiyonunu uygulayarak ilgili güvenlik hizmetlerinin düzgün çalışmasını daha etkili bir şekilde sağlayabilir.
Mylinking™ Ağ İzleme Bypass Anahtarı, izleme cihazının her iki yönde de farklı kalp atışı paketleri göndermesini destekleyebilir. Örneğin, seri cihazın özelliklerine göre "Strateji Trafik Çekiş Koruyucusu"nda TCP ve UDP tipi kalp atışı paketleri özelleştirilebilir. Seri güvenlik cihazının mesaj iletme mekanizmasına uyum sağlamak için, yukarı bağlantı izleme cihazı A portunda TCP kalp atışı paketlerinin ve aşağı bağlantı izleme cihazı B portunda UDP kalp atışı paketlerinin gönderilmesini yapılandırabilirsiniz. Bu işlev, seri güvenlik ekipmanının normal çalışmasını daha etkili bir şekilde garanti eder.
Mylinking™ Ağ İçi Bypass Anahtarı, yüksek ağ güvenilirliği sağlarken çeşitli seri güvenlik ekipmanlarının esnek bir şekilde devreye alınması için araştırılıp geliştirilmiştir.
2-Ağ İçi Bypass Anahtarının Gelişmiş Özellikleri ve Teknolojileri
Mylinking™ “SpecFlow” Koruma Modu ve “FullLink” Koruma Modu Teknolojisi
Mylinking™ Hızlı Bypass Anahtarlama Koruma Teknolojisi
Mylinking™ “LinkSafeSwitch” Teknolojisi
Mylinking™ “Web Hizmeti” Dinamik Strateji Yönlendirme/Sorun Teknolojisi
Mylinking™ Akıllı Kalp Atışı Mesajı Algılama Teknolojisi
Mylinking™ Tanımlanabilir Kalp Atışı Mesajları Teknolojisi
Mylinking™ Çoklu Bağlantılı Yük Dengeleme Teknolojisi
Mylinking™ Akıllı Trafik Dağıtım Teknolojisi
Mylinking™ Dinamik Yük Dengeleme Teknolojisi
Mylinking™ Uzaktan Yönetim Teknolojisi (HTTP/WEB, TELNET/SSH, “EasyConfig/AdvanceConfig” Özelliği)
3-Ağ İçi Bypass Anahtarı Uygulaması (aşağıdaki gibi)
3.1 Hat İçi Güvenlik Ekipmanlarının (IPS / FW) Riskleri
Aşağıda tipik bir IPS (Saldırı Önleme Sistemi) ve FW (Güvenlik Duvarı) dağıtım modeli verilmiştir. IPS/FW, ağ ekipmanları (yönlendiriciler, anahtarlar vb.) arasına seri olarak yerleştirilir ve trafik arasında güvenlik kontrolleri yapılarak, ilgili güvenlik politikasına göre trafiğin serbest bırakılması veya engellenmesi belirlenir ve böylece güvenlik savunması sağlanır.
Aynı zamanda, IPS/FW'nin seri olarak dağıtılan bir ekipman olduğunu ve genellikle kurumsal ağın kilit noktalarına seri güvenlik sağlamak için yerleştirildiğini gözlemleyebiliriz; bağlı cihazların güvenilirliği, genel kurumsal ağ kullanılabilirliğini doğrudan etkiler. Seri cihazlar aşırı yüklendiğinde, çöktüğünde, yazılım güncellemeleri, politika güncellemeleri vb. durumlarda, tüm kurumsal ağ kullanılabilirliği büyük ölçüde etkilenir. Bu noktada, ağın yeniden çalışır hale getirilmesi için yalnızca ağın kesilmesi veya fiziksel bypass jumper'ı kullanılması gerekir ki bu da ağın güvenilirliğini ciddi şekilde etkiler. IPS/FW ve diğer seri cihazlar bir yandan kurumsal ağ güvenliğinin dağıtımını iyileştirirken, diğer yandan da kurumsal ağların güvenilirliğini azaltarak ağın kullanılamaz hale gelme riskini artırır.
3.2 Sıralı Bağlantı Serisi Ekipman Koruması
Mylinking™ "Ağ İçi Bypass", ağ cihazları (yönlendiriciler, anahtarlar vb.) arasına seri olarak yerleştirilir ve ağ cihazları arasındaki veri akışı artık doğrudan IPS/FW'ye gitmez. "Ağ İçi Bypass", IPS/FW'nin aşırı yüklenme, çökme, yazılım güncellemeleri, politika güncellemeleri ve diğer arıza durumlarından dolayı arızalanması halinde, akıllı kalp atışı mesajı algılama fonksiyonu sayesinde zamanında tespit yaparak arızalı cihazı atlar ve ağın çalışmasını kesintiye uğratmadan ağ ekipmanının doğrudan bağlanmasını sağlayarak normal iletişim ağını korur; IPS/FW arızası durumunda ise, akıllı kalp atışı paketlerinin zamanında tespiti fonksiyonu sayesinde orijinal bağlantının güvenliğini geri yükleyerek kurumsal ağ güvenliği kontrollerini gerçekleştirir.
Mylinking™ “Ağ İçi Bypass”, güçlü ve akıllı bir kalp atışı mesajı algılama fonksiyonuna sahiptir. Kullanıcı, kalp atışı aralığını ve maksimum yeniden deneme sayısını özelleştirebilir. Örneğin, IPS/FW'nin yukarı/aşağı portuna kalp atışı kontrol mesajı gönderip, oradan da bu mesajı alarak IPS/FW'nin normal çalışıp çalışmadığını kontrol edebilir.
3.3 “SpecFlow” Politika Akışı Hat İçi Çekiş Serisi Koruması
Güvenlik ağı cihazının yalnızca seri güvenlik korumasında belirli trafiği ele alması gerektiğinde, Mylinking™ "Ağ İçi Bypass" trafik ön işleme fonksiyonu aracılığıyla, trafik tarama stratejisiyle güvenlik cihazına bağlanan "İlgili" trafik doğrudan ağ bağlantısına geri gönderilir ve "ilgili trafik bölümü" güvenlik kontrollerini gerçekleştirmek üzere hat içi güvenlik cihazına yönlendirilir. Bu, güvenlik cihazının güvenlik algılama fonksiyonunun normal çalışmasını sürdürmekle kalmaz, aynı zamanda güvenlik ekipmanının verimsiz akışını ve baskısını da azaltır; aynı zamanda, "Ağ İçi Bypass" güvenlik cihazının çalışma durumunu gerçek zamanlı olarak algılayabilir. Güvenlik cihazı anormal şekilde çalışıyorsa, ağ hizmetinin kesintiye uğramasını önlemek için veri trafiğini doğrudan bypass eder.
3.4 Yük Dengeli Seri Koruma
Mylinking™ “Ağ İçi Bypass”, ağ cihazları (yönlendiriciler, anahtarlar vb.) arasına seri olarak yerleştirilir. Tek bir IPS/FW işlem performansı, ağ bağlantısı tepe trafiğiyle başa çıkmak için yeterli olmadığında, koruyucunun trafik yük dengeleme işlevi, birden fazla IPS/FW kümesinin ağ bağlantı trafiğini “paketleyerek” tek bir IPS/FW işlem baskısını etkili bir şekilde azaltabilir ve genel işlem performansını artırarak dağıtım ortamının yüksek bant genişliği talebini karşılayabilir.
Mylinking™ “Ağ İçi Bypass”, çerçeve VLAN etiketi, MAC bilgisi, IP bilgisi, port numarası, protokol ve diğer bilgilere göre karma yük dengeleme yöntemiyle trafiği dağıtarak her IPS/FW'nin aldığı veri akışı oturumunun bütünlüğünü sağlayan güçlü bir yük dengeleme fonksiyonuna sahiptir.
3.5 Çok Serili Hat İçi Ekipman Akış Çekiş Koruması (Seri Bağlantıyı Paralel Bağlantıya Değiştirin)
Bazı önemli bağlantı noktalarında (örneğin internet erişim noktaları, sunucu alan değişim bağlantıları) konum, genellikle güvenlik özelliklerinin gerekliliği ve birden fazla hat içi güvenlik test ekipmanının (örneğin güvenlik duvarı, DDOS saldırılarına karşı koruma ekipmanı, web uygulama güvenlik duvarı, izinsiz giriş önleme ekipmanı vb.) konuşlandırılması nedeniyle belirlenir. Bu tür bağlantılarda aynı anda birden fazla güvenlik tespit ekipmanının seri olarak kullanılması, bağlantının tek bir arıza noktası oluşturmasını ve ağın genel güvenilirliğini azaltmasını sağlar. Ayrıca, yukarıda belirtilen güvenlik ekipmanlarının çevrimiçi olarak konuşlandırılması, ekipman yükseltmeleri, ekipman değiştirme ve diğer işlemler, ağda uzun süreli hizmet kesintilerine ve bu tür projelerin başarılı bir şekilde uygulanması için daha büyük bir proje kesintisi işlemine neden olur.
"Ağ İçi Bypass" özelliğinin birleşik bir şekilde uygulanmasıyla, aynı bağlantı üzerinde seri olarak bağlanan birden fazla güvenlik cihazının dağıtım modu, "fiziksel birleştirme modu"ndan "fiziksel birleştirme, mantıksal birleştirme modu"na değiştirilebilir. Tek bir arıza noktası olan bağlantıdaki güvenilirliği artırmak için, "Ağ İçi Bypass" özelliği bağlantı akışında isteğe bağlı çekiş sağlayarak, orijinal moddakiyle aynı güvenli işleme etkisini elde eder.
Seri bağlantı şemasında aynı anda birden fazla güvenlik cihazının kullanımı:
Ağ İçi Bypass Anahtarı Dağıtım Şeması:
3.6 Dinamik Trafik Çekiş Güvenliği Algılama ve Koruma Stratejisine Dayalı
“Ağ İçi Bypass” Bir diğer gelişmiş uygulama senaryosu, trafik çekişi güvenlik algılama koruma uygulamalarının dinamik stratejisine dayanmaktadır ve aşağıdaki şekilde uygulanabilir:
Örneğin, “DDoS saldırılarına karşı koruma ve tespit” güvenlik test ekipmanını ele alalım. Öncelikle “Ağ İçi Bypass” ön uç dağıtımı yapılır, ardından DDoS koruma ekipmanı “Ağ İçi Bypass”a bağlanır ve normal “Traction Protector” aracılığıyla trafiğin tamamı aynı anda tam hızda iletilirken akış aynası çıktısı da “DDoS saldırılarına karşı koruma cihazına” gönderilir. Bir sunucu IP'si (veya IP ağ segmenti) için saldırı tespit edildiğinde, “DDoS saldırılarına karşı koruma cihazı” hedef trafik akışına uygun kurallar oluşturur ve bunları dinamik politika dağıtım arayüzü aracılığıyla “Ağ İçi Bypass”a gönderir. “Ağ İçi Bypass”, dinamik politika kurallarını aldıktan sonra “trafik akışı dinamik” kural havuzunu güncelleyebilir ve saldırıya uğrayan sunucu trafiğini “DDoS saldırılarına karşı koruma ve tespit” ekipmanına işlemek üzere hemen “trafik akışı dinamik” olarak iletebilir; böylece saldırıdan sonra etkili olan akış ağa yeniden enjekte edilir.
"Ağ İçi Bypass" tabanlı uygulama şeması, geleneksel BGP rota enjeksiyonu veya diğer trafik çekme şemalarına göre uygulanması daha kolaydır ve ortam ağa daha az bağımlıdır ve güvenilirliği daha yüksektir.
“Ağ İçi Bypass”, dinamik politika güvenlik algılama korumasını desteklemek için aşağıdaki özelliklere sahiptir:
1. “Ağ İçi Bypass” özelliği, WEBSERIVCE arayüzüne dayalı kuralların dışında erişim sağlar ve üçüncü taraf güvenlik cihazlarıyla kolay entegrasyon imkanı sunar.
2. Donanım tabanlı saf ASIC çipiyle 10 Gbps'ye kadar kablo hızındaki paketleri anahtarlama iletimini engellemeden ileten "Ağ İçi Bypass" ve sayıdan bağımsız olarak "trafik çekişi dinamik kural kütüphanesi".
3. "Ağ İçi Bypass" özelliği, koruyucu cihazın kendisi arızalansa bile, orijinal seri bağlantıyı anında atlayarak normal iletişimin orijinal bağlantısını etkilemez.
Yayın tarihi: 23 Aralık 2021
