1- Define Heartbeat Paketi Nedir?
Mylinking™ Network Tap Bypass Switch'in kalp atışı paketleri varsayılan olarak Ethernet Katman 2 çerçeveleridir. Şeffaf Katman 2 köprüleme modu (IPS/FW gibi) dağıtıldığında, Katman 2 Ethernet çerçeveleri normalde iletilir, engellenir veya atılır. Aynı zamanda, Mylinking™ Network Tap Bypass Switch, bazı özel seri güvenlik aygıtlarının normal Katman 2 Ethernet çerçevelerini iletememesi durumunu karşılamak için özel kalp atışı mesaj biçimini destekler.
Mylinking™ Ağ Dokunma Baypas Anahtarı, VLAN etiketi, Katman 3 ve Katman 4 özel mesaj türlerine dayalı kalp atışı paketi algılamayı da destekler. Bu mekanizmaya dayanarak, kullanıcı, ilgili güvenlik hizmetlerinin düzgün çalışmasını sağlamak için bağlantı güvenliği cihazının servis güvenliği test işlevini daha etkili hale getirebilir.
Mylinking™ Ağ Dokunma Baypas Anahtarı, monitörün her iki yönde farklı kalp atışı paketleri göndermesini destekleyebilir. Örneğin, TCP ve UDP tipi kalp atışı paketleri, seri aygıtın özelliğine göre "Strategy Traffic Traction Protector" üzerinde özelleştirilebilir. Seri güvenlik aygıtının mesaj iletme mekanizmasına uyum sağlamak için, TCP kalp atışı paketlerinin yukarı bağlantı monitörü A portundan ve UDP kalp atışı paketlerinin aşağı bağlantı monitörü B portundan gönderilmesini yapılandırabilirsiniz. Bu işlev, dizeyi daha etkili bir şekilde garanti edebilir. Güvenlik ekipmanını normal çalışmaya bağlayın.
Mylinking™ Ağ İçi Baypas Anahtarı, yüksek ağ güvenilirliği sağlarken çeşitli seri güvenlik ekipmanlarının esnek dağıtımı için kullanılmak üzere araştırılmış ve geliştirilmiştir.
2-Ağ İçi Baypas Anahtarı Gelişmiş Özellikler ve Teknolojiler
Mylinking™ “SpecFlow” Koruma Modu ve “FullLink” Koruma Modu Teknolojisi
Mylinking™ Hızlı Baypas Anahtarlama Koruma Teknolojisi
Mylinking™ “LinkSafeSwitch” Teknolojisi
Mylinking™ “WebService” Dinamik Strateji Yönlendirme/Sorun Teknolojisi
Mylinking™ Akıllı Kalp Atışı Mesajı Algılama Teknolojisi
Mylinking™ Tanımlanabilir Kalp Atışı Mesajları Teknolojisi
Mylinking™ Çoklu Bağlantı Yük Dengeleme Teknolojisi
Mylinking™ Akıllı Trafik Dağıtım Teknolojisi
Mylinking™ Dinamik Yük Dengeleme Teknolojisi
Mylinking™ Uzaktan Yönetim Teknolojisi (HTTP/WEB, TELNET/SSH, “EasyConfig/AdvanceConfig” Özelliği)
3-Ağ İçi Baypas Anahtarı Uygulaması (aşağıdaki gibi)
3.1 Hat İçi Güvenlik Ekipmanlarının (IPS/FW) Riskleri
Tipik bir IPS (İzinsiz Giriş Önleme Sistemi), FW (Güvenlik Duvarı) dağıtım modu aşağıdadır, IPS/FW, güvenlik kontrollerinin uygulanması yoluyla ağ ekipmanlarına (yönlendiriciler, anahtarlar, vb.) seri olarak dağıtılır, ilgili güvenlik politikasına göre ilgili trafiğin serbest bırakılması veya engellenmesi belirlenir, böylece güvenlik savunması etkisi elde edilir.
Aynı zamanda, IPS/FW'yi, genellikle seri güvenliği sağlamak için kurumsal ağın kilit noktasına yerleştirilen ekipmanın seri dağıtımı olarak görebiliriz; bağlı cihazların güvenilirliği, genel kurumsal ağ kullanılabilirliğini doğrudan etkiler. Seri cihazlar aşırı yüklendiğinde, çöktüğünde, yazılım güncellemelerinde, politika güncellemelerinde vb., tüm kurumsal ağ kullanılabilirliği büyük ölçüde etkilenir. Bu noktada, yalnızca ağ kesintisi veya fiziksel bypass jumper'ı aracılığıyla ağın geri yüklenmesini sağlayabiliriz ve bu da ağın güvenilirliğini ciddi şekilde etkiler. IPS/FW ve diğer seri cihazlar, bir yandan kurumsal ağ güvenliğinin dağıtımını iyileştirirken, diğer yandan kurumsal ağların güvenilirliğini azaltarak ağın kullanılamaz hale gelme riskini artırır.
3.2 Hat İçi Bağlantı Serisi Ekipman Koruması
Mylinking™ ” Network Inline Bypass ” ağ aygıtları (yönlendiriciler, anahtarlar, vb.) arasında seri olarak dağıtılır ve ağ aygıtları arasındaki veri akışı artık doğrudan IPS / FW'ye, ” Network Inline Bypass ” IPS / FW'ye, IPS / FW aşırı yük, çökme, yazılım güncellemeleri, politika güncellemeleri ve diğer arıza koşulları nedeniyle ” Network Inline Bypass ” akıllı kalp atışı mesajı algılama işlevi aracılığıyla zamanında keşif yapar ve böylece arızalı cihazı atlar, ağın öncülünü kesintiye uğratmadan, normal iletişim ağını korumak için doğrudan bağlı olan hızlı ağ ekipmanı; IPS / FW arıza kurtarma olduğunda, aynı zamanda akıllı kalp atışı paketlerinin zamanında tespit edilmesi işleviyle, orijinal bağlantıyı geri yüklemek için kurumsal ağ güvenlik kontrollerini gerçekleştirir.
Mylinking™ “Ağ İçi Baypas” güçlü bir akıllı kalp atışı mesajı algılama işlevine sahiptir, kullanıcı, sağlık testi için IPS / FW üzerinde özel bir kalp atışı mesajı aracılığıyla kalp atışı aralığını ve maksimum yeniden deneme sayısını özelleştirebilir, örneğin kalp atışı kontrol mesajını IPS / FW'nin yukarı / aşağı akış portuna gönderebilir ve ardından IPS / FW'nin yukarı / aşağı akış portundan alabilir ve kalp atışı mesajını göndererek ve alarak IPS / FW'nin normal çalışıp çalışmadığına karar verebilir.
3.3 “SpecFlow” Politika Akışı Satır İçi Çekiş Serisi Koruması
Güvenlik ağı cihazının yalnızca seri güvenlik korumasındaki belirli trafikle ilgilenmesi gerektiğinde, Mylinking™ "Ağ İçi Baypas" trafiği işleme başına işlevi aracılığıyla, trafik tarama stratejisi aracılığıyla güvenlik cihazını bağlamak için "İlgili" trafik doğrudan ağ bağlantısına geri gönderilir ve "ilgili trafik bölümü" güvenlik kontrollerini gerçekleştirmek için hat içi güvenlik cihazına çekilir. Bu, yalnızca güvenlik cihazının güvenlik algılama işlevinin normal uygulamasını sürdürmekle kalmayacak, aynı zamanda baskıyla başa çıkmak için güvenlik ekipmanının verimsiz akışını da azaltacaktır; aynı zamanda "Ağ İçi Baypas", güvenlik cihazının çalışma durumunu gerçek zamanlı olarak algılayabilir. Güvenlik cihazı, ağ hizmetinin kesintiye uğramasını önlemek için veri trafiğini doğrudan baypas ederek anormal şekilde çalışır.
3.4 Yük Dengeli Seri Koruma
Mylinking™ “Ağ İçi Baypas”, ağ aygıtları (yönlendiriciler, anahtarlar vb.) arasında seri olarak dağıtılır. Tek bir IPS/FW işleme performansı, ağ bağlantı tepe trafiğiyle başa çıkmak için yeterli olmadığında, koruyucunun trafik yük dengeleme işlevi olan, birden fazla IPS/FW küme işleme ağ bağlantı trafiğini “bir araya getirerek”, tek bir IPS/FW işleme baskısını etkili bir şekilde azaltabilir ve dağıtım ortamının yüksek bant genişliğini karşılamak için genel işleme performansını iyileştirebilir.
Mylinking™ “Network Inline Bypass” güçlü bir yük dengeleme işlevine sahiptir, çerçeve VLAN etiketi, MAC bilgisi, IP bilgisi, port numarası, protokol ve diğer bilgilere göre Hash yük dengelemesi yaparak trafiğin dağıtımını yapar ve her IPS/FW alınan veri akışının Oturum bütünlüğünü sağlar.
3.5 Çoklu Seri Hat İçi Ekipman Akış Çekiş Koruması (Seri Bağlantıyı Paralel Bağlantıya Değiştirme)
Bazı önemli bağlantılarda (İnternet çıkışları, sunucu alanı değişim bağlantısı gibi) konum genellikle güvenlik özellikleri ve birden fazla çevrimiçi güvenlik test ekipmanının (güvenlik duvarı, DDOS saldırı önleme ekipmanı, WEB uygulama güvenlik duvarı, saldırı önleme ekipmanı vb.) konuşlandırılmasından kaynaklanır. Bağlantı üzerinde aynı anda birden fazla güvenlik tespit ekipmanı seri olarak kullanılır ve tek bir hata noktasının bağlantısını artırarak ağın genel güvenilirliğini azaltır. Yukarıda belirtilen çevrimiçi güvenlik ekipmanı konuşlandırmalarında, ekipman yükseltmeleri, ekipman değişimleri ve diğer işlemler, ağda uzun süreli hizmet kesintilerine ve bu tür projelerin başarılı bir şekilde uygulanması için daha büyük bir proje kesintisine neden olur.
“Ağ İçi Baypas”ın birleşik bir şekilde dağıtılmasıyla, aynı bağlantı üzerinde seri olarak bağlı birden fazla güvenlik cihazının dağıtım modu “fiziksel birleştirme modu”ndan “fiziksel birleştirme, mantıksal birleştirme modu”na değiştirilebilir. Bağlantı üzerindeki tek bir arıza noktası bağlantısı, bağlantının güvenilirliğini artırırken, “Ağ İçi Baypas” bağlantı üzerindeki talep üzerine çekiş akışı sağlayarak, orijinal güvenli işleme etkisi moduyla aynı akışı elde eder.
Seri halinde aynı anda birden fazla güvenlik cihazının dağıtım şeması:
Ağ İçi Baypas Anahtarı Dağıtım Şeması:
3.6 Trafik Çekiş Güvenliği Algılama Korumasının Dinamik Stratejisine Dayalı
“Ağ İçi Baypas” Trafik çekiş güvenliği algılama koruma uygulamalarının dinamik stratejisine dayanan bir diğer gelişmiş uygulama senaryosu, aşağıda gösterildiği şekilde dağıtılır:
Örneğin, "Anti-DDoS saldırı koruması ve algılama" güvenlik test ekipmanını ele alalım, "Ağ İçi Baypas"ın ön uç dağıtımı ve ardından anti-DDOS koruma ekipmanı ve ardından "Ağ İçi Baypas"a bağlanarak, normal "Çekiş Koruyucusu"nda tam miktarda trafik kablo hızı iletimi aynı anda "anti-DDOS saldırı koruma cihazına" akış aynası çıkışı, saldırıdan sonra bir sunucu IP'si (veya IP ağ segmenti) için tespit edildikten sonra, "anti-DDOS saldırı koruma cihazı" hedef trafik akışı eşleştirme kurallarını üretecek ve bunları dinamik politika dağıtım arayüzü aracılığıyla "Ağ İçi Baypas"a gönderecektir. "Ağ İçi Baypas", dinamik politika kuralları kural havuzunu aldıktan sonra "trafik çekiş dinamiğini" güncelleyebilir ve hemen kural, saldırı akışından sonra etkili olması için "anti-DDoS saldırı koruması ve algılama" ekipmanına saldırı sunucusu trafiğini "çekiş" olarak aktarır ve ardından ağa yeniden enjekte eder.
“Ağ İçi Baypas” temelli uygulama şeması, geleneksel BGP rota enjeksiyonu veya diğer trafik çekme şemalarından daha kolay uygulanabilir ve ortam ağa daha az bağımlıdır ve güvenilirlik daha yüksektir.
“Ağ İçi Baypas” dinamik politika güvenlik algılama korumasını desteklemek için aşağıdaki özelliklere sahiptir:
1, WEBSERIVCE arayüzüne dayalı kuralların dışında, üçüncü taraf güvenlik cihazlarıyla kolay entegrasyon sağlamak için ” Ağ İçi Baypas ”.
2, 10Gbps'ye kadar kablo hızında paketleri anahtar iletimini engellemeden ileten donanımsal saf ASIC çipine dayalı ”Ağ İçi Baypas” ve sayıdan bağımsız olarak ”trafik çekiş dinamik kural kütüphanesi”.
3, ” Ağ İçi Baypas ” dahili profesyonel BYPASS işlevi, koruyucunun kendisi arızalansa bile, orijinal seri bağlantıyı hemen baypas edebilir, normal iletişimin orijinal bağlantısını etkilemez.
Gönderim zamanı: 23 Aralık 2021
