1- Define Heartbeat Paketi Nedir?
Mylinking™ Network Tap Bypass Switch'in kalp atışı paketleri varsayılan olarak Ethernet Katman 2 çerçevelerine ayarlanır. Şeffaf Katman 2 köprüleme modu (IPS / FW gibi) dağıtıldığında, Katman 2 Ethernet çerçeveleri normalde iletilir, engellenir veya atılır. Aynı zamanda, Mylinking™ Network Tap Bypass Switch, bazı özel seri güvenlik aygıtlarının normal Katman 2 Ethernet çerçevelerini normalde iletememesi durumunu karşılamak için özel kalp atışı mesaj biçimini destekler.
Ve Mylinking™ Network Tap Bypass Switch ayrıca VLAN etiketi, Katman 3 ve Katman 4 özel mesaj türlerine dayalı kalp atışı paketi algılamasını destekler. Bu mekanizmaya dayanarak, kullanıcı, ilgili güvenlik hizmetlerinin düzgün çalışmasını sağlamak için daha etkili hale getirmek amacıyla bağlantı güvenliği cihazının bir hizmet güvenliği test işlevini uygulayabilir.
Mylinking™ Network Tap Bypass Switch, monitörün her iki yönde farklı kalp atışı paketleri göndermesini destekleyebilir. Örneğin, TCP ve UDP tipi kalp atışı paketleri, seri aygıtın özelliğine göre “Strategy Traffic Traction Protector” üzerinde özelleştirilir. Seri güvenlik aygıtının mesaj iletme mekanizmasını barındırmak için TCP kalp atışı paketlerinin uplink monitör A portuna ve UDP kalp atışı paketlerinin downlink monitör B portuna gönderilmesini yapılandırabilirsiniz. Bu işlev, dizeyi daha etkili bir şekilde garanti edebilir. Güvenlik ekipmanını normal çalışmaya bağlayın.
Mylinking™ Ağ İçi Baypas Anahtarı, yüksek ağ güvenilirliği sağlarken çeşitli seri güvenlik ekipmanlarının esnek dağıtımı için kullanılmak üzere araştırılmış ve geliştirilmiştir.
2-Ağ İçi Baypas Anahtarı Gelişmiş Özellikler ve Teknolojiler
Mylinking™ “SpecFlow” Koruma Modu ve “FullLink” Koruma Modu Teknolojisi
Mylinking™ Hızlı Baypas Anahtarlama Koruma Teknolojisi
Mylinking™ “LinkSafeSwitch” Teknolojisi
Mylinking™ “WebService” Dinamik Strateji Yönlendirme/Sorun Teknolojisi
Mylinking™ Akıllı Kalp Atışı Mesajı Algılama Teknolojisi
Mylinking™ Tanımlanabilir Kalp Atışı Mesajları Teknolojisi
Mylinking™ Çoklu Bağlantı Yük Dengeleme Teknolojisi
Mylinking™ Akıllı Trafik Dağıtım Teknolojisi
Mylinking™ Dinamik Yük Dengeleme Teknolojisi
Mylinking™ Uzaktan Yönetim Teknolojisi (HTTP/WEB, TELNET/SSH, “EasyConfig/AdvanceConfig” Özelliği)
3-Ağ İçi Baypas Anahtarı Uygulaması (aşağıdaki gibi)
3.1 Hat İçi Güvenlik Ekipmanlarının (IPS/FW) Riskleri
Tipik bir IPS (İzinsiz Giriş Önleme Sistemi), FW (Güvenlik Duvarı) dağıtım modu aşağıdadır; IPS/FW, güvenlik kontrollerinin uygulanması yoluyla ağ ekipmanlarına (yönlendiriciler, anahtarlar, vb.) seri olarak dağıtılır, ilgili güvenlik politikasına göre ilgili trafiğin serbest bırakılması veya engellenmesi belirlenerek güvenlik savunması etkisi elde edilir.
Aynı zamanda, IPS / FW'yi, genellikle seri güvenliği uygulamak için kurumsal ağın anahtar konumuna yerleştirilen ekipmanın seri dağıtımı olarak gözlemleyebiliriz, bağlı aygıtlarının güvenilirliği doğrudan genel kurumsal ağ kullanılabilirliğini etkiler. Seri aygıtlar aşırı yüklendiğinde, çöktüğünde, yazılım güncellemeleri, politika güncellemeleri vb. olduğunda, tüm kurumsal ağ kullanılabilirliği büyük ölçüde etkilenecektir. Bu noktada, yalnızca ağ kesintisi, fiziksel baypas atlama kablosu aracılığıyla ağın geri yüklenmesini sağlayabiliriz ve bu da ağın güvenilirliğini ciddi şekilde etkiler. IPS / FW ve diğer seri aygıtlar bir yandan kurumsal ağ güvenliğinin dağıtımını iyileştirirken, diğer yandan da kurumsal ağların güvenilirliğini azaltarak ağın kullanılamama riskini artırır.
3.2 Inline Link Serisi Ekipman Koruması
Mylinking™ "Network Inline Bypass", ağ aygıtları (yönlendiriciler, anahtarlar, vb.) arasında seri olarak dağıtılır ve ağ aygıtları arasındaki veri akışı artık doğrudan IPS / FW'ye, "Network Inline Bypass" IPS / FW'ye yönlendirmez, IPS / FW aşırı yük, çökme, yazılım güncellemeleri, politika güncellemeleri ve diğer arıza koşulları nedeniyle "Network Inline Bypass", akıllı kalp atışı mesajı algılama işlevi aracılığıyla zamanında keşif yapar ve böylece arızalı aygıtı atlar, ağın öncülünü kesintiye uğratmadan, normal iletişim ağını korumak için doğrudan bağlı olan hızlı ağ ekipmanı; IPS / FW arıza kurtarma sırasında, aynı zamanda akıllı kalp atışı paketlerinin zamanında tespit edilmesi işleviyle, orijinal bağlantıyı kurumsal ağ güvenlik kontrollerinin güvenliğini geri yüklemek için kullanır.
Mylinking™ “Network Inline Bypass” güçlü bir akıllı kalp atışı mesajı algılama işlevine sahiptir, kullanıcı kalp atışı aralığını ve maksimum yeniden deneme sayısını özelleştirebilir, sağlık testleri için IPS/FW üzerinde özel bir kalp atışı mesajı aracılığıyla, kalp atışı kontrol mesajını IPS/FW'nin yukarı/aşağı bağlantı noktasına gönderebilir ve ardından IPS/FW'nin yukarı/aşağı bağlantı noktasından alabilir ve kalp atışı mesajını göndererek ve alarak IPS/FW'nin normal çalışıp çalışmadığına karar verebilir.
3.3 “SpecFlow” Politika Akışı Satır İçi Çekiş Serisi Koruması
Güvenlik ağı aygıtının yalnızca seri güvenlik korumasındaki belirli trafikle ilgilenmesi gerektiğinde, Mylinking™ ” Ağ İçi Baypas ” trafiği işleme başına işlevi aracılığıyla, trafik tarama stratejisi aracılığıyla güvenlik aygıtını bağlamak için ” İlgili ” trafik doğrudan ağ bağlantısına geri gönderilir ve ” ilgili trafik bölümü ” güvenlik kontrollerini gerçekleştirmek için hat içi güvenlik aygıtına çekilir. Bu, yalnızca güvenlik aygıtının güvenlik algılama işlevinin normal uygulamasını sürdürmekle kalmayacak, aynı zamanda basınçla başa çıkmak için güvenlik ekipmanının verimsiz akışını da azaltacaktır; aynı zamanda, ” Ağ İçi Baypas ” güvenlik aygıtının çalışma koşullarını gerçek zamanlı olarak algılayabilir. Güvenlik aygıtı anormal şekilde çalışır ve ağ hizmetinin kesintiye uğramasını önlemek için veri trafiğini doğrudan baypas eder.
3.4 Yük Dengeli Seri Koruma
Mylinking™ “Network Inline Bypass”, ağ aygıtları (yönlendiriciler, anahtarlar, vb.) arasında seri olarak dağıtılır. Tek bir IPS/FW işleme performansı, ağ bağlantısı tepe trafiğiyle başa çıkmak için yeterli olmadığında, koruyucunun trafik yük dengeleme işlevi olan, birden fazla IPS/FW küme işleme ağ bağlantısı trafiğinin “birleştirilmesi”, tek IPS/FW işleme baskısını etkili bir şekilde azaltabilir, dağıtım ortamının yüksek bant genişliğini karşılamak için genel işleme performansını iyileştirebilir. İddia.
Mylinking™ “Network Inline Bypass” güçlü bir yük dengeleme işlevine sahiptir, çerçeve VLAN etiketi, MAC bilgisi, IP bilgisi, port numarası, protokol ve diğer bilgilere göre trafiğin yük dengeleme dağılımını yaparak her IPS/FW alınan veri akışının Oturum bütünlüğünü garanti altına alır.
3.5 Çoklu Seri Sıralı Ekipman Akış Çekiş Koruması (Seri Bağlantıyı Paralel Bağlantıya Değiştirme)
Bazı önemli bağlantılarda (İnternet çıkışları, sunucu alanı değişim bağlantısı gibi) konum genellikle güvenlik özelliklerinin gereksinimleri ve birden fazla satır içi güvenlik test ekipmanının (güvenlik duvarı, DDOS saldırı önleme ekipmanı, WEB uygulama güvenlik duvarı, saldırı önleme ekipmanı vb.) dağıtımı nedeniyle, tek bir hata noktasının bağlantısını artırmak için bağlantıda aynı anda seri olarak birden fazla güvenlik tespit ekipmanı kullanılır ve bu da ağın genel güvenilirliğini azaltır. Ve yukarıda belirtilen güvenlik ekipmanı çevrimiçi dağıtımında, ekipman yükseltmeleri, ekipman değiştirme ve diğer işlemler, ağın uzun süreli hizmet kesintisine ve bu tür projelerin başarılı bir şekilde uygulanmasını tamamlamak için daha büyük bir proje kesme eylemine neden olacaktır.
“Ağ İçi Baypas”ın birleşik bir şekilde dağıtılmasıyla, aynı bağlantı üzerinde seri olarak bağlanmış birden fazla güvenlik cihazının dağıtım modu, “fiziksel birleştirme modu”ndan “fiziksel birleştirme, mantıksal birleştirme modu”na değiştirilebilir. Bağlantı üzerindeki tek bir arıza noktası bağlantısı, bağlantının güvenilirliğini artırırken, “Ağ İçi Baypas” bağlantı üzerindeki talep üzerine çekiş akışı sağlayarak, orijinal güvenli işleme etkisi moduyla aynı akışı elde eder.
Seri halinde aynı anda birden fazla güvenlik cihazının dağıtım şeması:
Ağ İçi Baypas Anahtarı Dağıtım Diyagramı:
3.6 Trafik Çekiş Güvenliği Algılama Korumasının Dinamik Stratejisine Dayalı
“Ağ İçi Baypas” Trafik çekiş güvenliği algılama koruma uygulamalarının dinamik stratejisine dayalı bir diğer gelişmiş uygulama senaryosu, aşağıda gösterildiği şekilde dağıtımı yapılır:
Örneğin, "Anti-DDoS saldırı koruması ve tespiti" güvenlik test ekipmanını alın, "Ağ İçi Baypas" ön uç dağıtımı ve ardından anti-DDOS koruma ekipmanı ve ardından "Ağ İçi Baypas" a bağlanarak, her zamanki "Çekiş koruyucusu"nda trafiğin tam miktarına aynı anda kablo hızında iletme akış aynası çıktısını "anti-DDOS saldırı koruma aygıtına" aktarın, saldırıdan sonra bir sunucu IP'si (veya IP ağ segmenti) için tespit edildikten sonra, "anti-DDOS saldırı koruma aygıtı" hedef trafik akışı eşleştirme kurallarını üretecek ve bunları dinamik politika teslim arayüzü aracılığıyla "Ağ İçi Baypas" a gönderecektir. "Ağ İçi Baypas", dinamik politika kuralları Kural havuzunu aldıktan sonra "trafik çekiş dinamiğini" güncelleyebilir ve hemen "kural saldırı sunucusu trafiğini "anti-DDoS saldırı koruması ve tespiti" ekipmanına işleme tabi tutarak, saldırı akışından sonra etkili olması ve ardından ağa yeniden enjekte edilmesi için vurabilir.
“Ağ İçi Baypas” temelli uygulama şeması, geleneksel BGP rota enjeksiyonu veya diğer trafik çekme şemalarından daha kolay uygulanabilir olup, ortam ağa daha az bağımlı olup, güvenilirlik daha yüksektir.
“Ağ İçi Baypas” dinamik politika güvenlik algılama korumasını desteklemek için aşağıdaki özelliklere sahiptir:
1, WEBSERIVCE arayüzüne dayalı kuralların dışında, üçüncü taraf güvenlik cihazlarıyla kolay entegrasyon sağlamak için ” Ağ İçi Baypas ”.
2, Anahtar iletimini engellemeden 10 Gbps'ye kadar kablo hızında paketleri ileten donanımsal saf ASIC çipine dayalı "Ağ İçi Baypas" ve sayıdan bağımsız olarak "trafik çekiş dinamik kural kütüphanesi".
3, ” Ağ İçi Baypas ” dahili profesyonel BYPASS işlevi, koruyucunun kendisi arızalansa bile, orijinal seri bağlantıyı hemen baypas edebilir, normal iletişimin orijinal bağlantısını etkilemez.
Gönderi zamanı: 23-Aralık-2021
