Prepínač obtoku sieťového odbočovača Mylinking™ ML-BYPASS-200
2*Bypass plus 1*Monitor Modulárny dizajn, 10/40/100GE linky, max. 640 Gb/s
1-Prehľady
Nasadením inteligentného bypassového prepínača Mylinking™:
- Používatelia môžu flexibilne inštalovať/odinštalovať bezpečnostné zariadenia a nebudú mať vplyv na aktuálnu sieť a prerušovať prevádzku.
- Prepínač obtoku sieťového tap bypassu Mylinking™ s inteligentnou funkciou detekcie stavu monitoruje bežný prevádzkový stav sériového bezpečnostného zariadenia v reálnom čase. Akonáhle sériové bezpečnostné zariadenie pracuje mimo prevádzky, ochrana sa automaticky obíde, aby sa zachovala normálna sieťová komunikácia.
- Selektívna technológia ochrany premávky sa môže použiť na nasadenie špecifických bezpečnostných zariadení na čistenie premávky a šifrovacia technológia založená na audítorskom zariadení. Účinne vykonáva sériovú ochranu prístupu pre konkrétny typ premávky a odľahčuje tlak manipulácie so sériovým zariadením.
- Technológia ochrany prenosu s vyváženou záťažou sa môže použiť na klastrované nasadenie zabezpečených sériových zariadení, aby sa splnila potreba sériového zabezpečenia v prostrediach s vysokou šírkou pásma.
S rýchlym rozvojom internetu sa hrozba pre sieťovú informačnú bezpečnosť stáva čoraz vážnejšou, a preto sa čoraz viac využívajú rôzne aplikácie na ochranu informačnej bezpečnosti. Či už ide o tradičné zariadenia na kontrolu prístupu (firewall) alebo o nové typy pokročilejších ochranných prostriedkov, ako sú systémy prevencie prienikov (IPS), Unified Threat Management Platform (UTM), Anti-Denial Service Attack System (Anti-DDoS), Anti-Span Gateway, Unified DPI Traffic Identification and Control System a mnoho ďalších bezpečnostných zariadení je sériovo nasadených v kľúčových uzloch siete a implementuje zodpovedajúcu politiku zabezpečenia údajov na identifikáciu a riešenie legálnej/nelegálnej prevádzky. Zároveň však počítačová sieť v prípade zlyhania, údržby, modernizácie, výmeny zariadenia atď. vo vysoko spoľahlivom prostredí produkčnej sieťovej aplikácie môže spôsobiť veľké oneskorenie siete alebo dokonca jej narušenie.
2-sieťový obtokový prepínač Pokročilé funkcie a technológie
Technológia ochranného režimu „SpecFlow“ od Mylinking™ a ochranného režimu „FullLink“
Technológia ochrany prepínania s rýchlym obtokom Mylinking™
Technológia Mylinking™ „LinkSafeSwitch“
Technológia preposielania/vydávania dynamickej stratégie Mylinking™ „WebService“
Technológia inteligentnej detekcie srdcového tepu Mylinking™
Technológia definovateľných správ o srdcovom tepe Mylinking™
Technológia vyvažovania záťaže Multi-link™
Technológia inteligentnej distribúcie prevádzky Mylinking™
Technológia dynamického vyvažovania záťaže Mylinking™
Technológia vzdialenej správy Mylinking™ (HTTP/WEB, TELNET/SSH, funkcia „EasyConfig/AdvanceConfig“)
Konfiguračná príručka pre 3-sieťový obtokový prepínač
OBCHODSlot modulu ochranného portu:
Tento slot je možné vložiť do modulu ochranného portu BYPASS s rôznou rýchlosťou/číslom portu. Výmenou rôznych typov modulov je možné podporiť ochranu BYPASS viacerých liniek 10G/40G/100G.
MONITORSlot pre modul portu;
Tento slot je možné vložiť do modulu portu MONITOR s rôznymi rýchlosťami/portmi. Dokáže podporovať nasadenie viacerých online sériových monitorovacích zariadení s linkou 10G/40G/100G nahradením rôznych modelov.
Pravidlá výberu modulov
Na základe rôznych nasadených liniek a požiadaviek na nasadenie monitorovacieho zariadenia si môžete flexibilne vybrať rôzne konfigurácie modulov, ktoré vyhovujú vašim skutočným potrebám prostredia; pri výbere dodržiavajte nasledujúce pravidlá:
1. Komponenty šasi sú povinné a pred výberom akýchkoľvek iných modulov musíte vybrať komponenty šasi. Zároveň si prosím vyberte rôzne spôsoby napájania (AC/DC) podľa vašich potrieb.
2. Celé zariadenie podporuje až 2 sloty pre moduly BYPASS a 1 slot pre modul MONITOR; nemôžete vybrať viac ako počet slotov na konfiguráciu. Na základe kombinácie počtu slotov a modelu modulu môže zariadenie podporovať až štyri ochrany linky 10GE; alebo môže podporovať až štyri linky 40GE; alebo môže podporovať až jednu linku 100GE.
3. Modul modelu „BYP-MOD-L1CG“ je možné vložiť iba do slotu SLOT1, aby fungoval správne.
4. Modul typu „BYP-MOD-XXX“ je možné vložiť iba do slotu modulu BYPASS; modul typu „MON-MOD-XXX“ je možné vložiť iba do slotu modulu MONITOR pre normálnu prevádzku.
| Model produktu | Funkčné parametre |
| Podvozok (hostiteľ) | |
| ML-BYPASS-M200 | 1U štandardný 19-palcový rack; maximálna spotreba energie 250 W; modulárny hostiteľský modul BYPASS; 2 sloty pre modul BYPASS; 1 slot pre modul MONITOR; voliteľné striedavé a jednosmerné napätie; |
| BYPASS MODUL | |
| BYP-MOD-L2XG(LM/SM) | Podporuje obojsmernú sériovú ochranu 10GE linky, rozhranie 4*10GE, konektor LC; vstavaný optický transceiver; voliteľné optické spojenie single/multimode, podporuje 10GBASE-SR/LR; |
| BYP-MOD-L2QXG(LM/SM) | Podporuje obojsmernú sériovú ochranu 40GE linky, rozhranie 4*40GE, konektor LC; vstavaný optický transceiver; voliteľné optické spojenie single/multimode, podporuje 40GBASE-SR4/LR4; |
| BYP-MOD-L1CG (LM/SM) | Podporuje 1-kanálovú sériovú ochranu linky 100GE, rozhranie 2*100GE, konektor LC; vstavaný optický transceiver; voliteľný jeden multimódový optický link, podporuje 100GBASE-SR4/LR4; |
| MONITOROVÝ MODUL | |
| MON-MOD-L16XG | 16*10GE SFP+ monitorovací portový modul; bez optického transceiverového modulu; |
| MON-MOD-L8XG | Modul monitorovacieho portu 8*10GE SFP+; bez modulu optického vysielača/prijímača; |
| MON-MOD-L2CG | 2x100GE QSFP28 monitorovací portový modul; bez optického transceiverového modulu; |
| MON-MOD-L8QXG | 8* 40GE QSFP+ monitorovací portový modul; bez optického transceiverového modulu; |
Špecifikácie 4-sieťového obtokového prepínača TAP
| Spôsob produktu | Sériový bypassový prepínač ML-BYPASS-M200 | |
| Typ rozhrania | Rozhranie MGT | 1*10/100/1000BASE-T Adaptívne rozhranie pre správu; Podpora vzdialenej správy HTTP/IP |
| Slot modulu | 2*slot pre modul BYPASS; 1*slot pre modul MONITOR; | |
| Odkazy podporujúce maximum | Zariadenie podporuje maximálne 4*10GE linky alebo 4*40GE linky alebo 1*100GE linky | |
| Monitor | Zariadenie podporuje maximálne 16 monitorovacích portov 10GE alebo 8 monitorovacích portov 40GE alebo 2 monitorovacie porty 100GE. | |
| Funkcia | Schopnosť plne duplexného spracovania | 640 Gb/s |
| Na základe ochrany kaskády prevádzky špecifickej pre päť n-tíc IP/protokol/port | Podpora | |
| Kaskádová ochrana založená na plnej premávke | Podpora | |
| Viacnásobné vyvažovanie záťaže | Podpora | |
| Funkcia vlastnej detekcie srdcového tepu | Podpora | |
| Podpora nezávislosti ethernetových balíkov | Podpora | |
| BYPASS SPÍNAČ | Podpora | |
| Prepínač BYPASS bez blesku | Podpora | |
| SPRÁVA KONZOL | Podpora | |
| Správa IP/WEBu | Podpora | |
| SNMP V1/V2C MGT | Podpora | |
| Správa TELNET/SSH | Podpora | |
| Protokol SYSLOG | Podpora | |
| Autorizácia používateľa | Na základe autorizácie heslom/AAA/TACACS+ | |
| Elektrické | Menovité napájacie napätie | AC-220V/DC-48V 【Voliteľné】 |
| Menovitá výkonová frekvencia | 50 Hz | |
| Menovitý vstupný prúd | AC-3A / DC-10A | |
| Menovitý výkon | 100 W | |
| Životné prostredie | Pracovná teplota | 0 – 50 ℃ |
| Skladovacia teplota | -20-70 ℃ | |
| Prevádzková vlhkosť | 10 % – 95 %, bez kondenzácie | |
| Konfigurácia používateľa | Konfigurácia konzoly | Rozhranie RS232, 115200, 8, N, 1 |
| Rozhranie MGT mimo pásma | 1*10/100/1000M ethernetové rozhranie | |
| Autorizácia heslom | Podpora | |
| Výška podvozku | Priestor podvozku (U) | 1U 19 palcov, 485 mm * 44,5 mm * 350 mm |
Aplikácia 5-sieťového prepínača TAP Bypass (ako je uvedené nižšie)
Nasleduje typický režim nasadenia FW (firewall) systému IPS (Intrusion Prevention System). IPS/FW sa nasadzuje sériovo do sieťových zariadení (routery, prepínače atď.) medzi prevádzkou prostredníctvom implementácie bezpečnostných kontrol podľa príslušnej bezpečnostnej politiky, aby sa určilo uvoľnenie alebo blokovanie príslušnej prevádzky, aby sa dosiahol účinok bezpečnostnej ochrany.
Zároveň môžeme IPS/FW pozorovať ako sériové nasadenie zariadení, ktoré sa zvyčajne nasadzujú na kľúčových miestach podnikovej siete na implementáciu sériového zabezpečenia. Spoľahlivosť pripojených zariadení priamo ovplyvňuje celkovú dostupnosť podnikovej siete. Preťaženie sériových zariadení, ich zlyhanie, aktualizácie softvéru, aktualizácie politík atď. výrazne ovplyvňujú dostupnosť celej podnikovej siete. V tomto bode môžeme obnoviť sieť iba prostredníctvom prerušenia siete a fyzického bypassu, čo vážne ovplyvňuje spoľahlivosť siete. IPS/FW a ďalšie sériové zariadenia na jednej strane zlepšujú nasadenie zabezpečenia podnikovej siete, na druhej strane však tiež znižujú spoľahlivosť podnikových sietí a zvyšujú riziko, že sieť nebude k dispozícii.
5.2 Ochrana zariadení série Inline Link
Mylinking™ „Bypass Switch“ sa zapája sériovo medzi sieťové zariadenia (routre, prepínače atď.) a tok dát medzi sieťovými zariadeniami už nevedie priamo k IPS/FW. „Bypass Switch“ prechádza k IPS/FW. Keď IPS/FW preťaží, zlyhá, aktualizuje softvér, aktualizuje pravidlá a iné poruchy, „Bypass Switch“ včas odhalí chybné zariadenie vďaka inteligentnej funkcii detekcie heartbeat paketov, čím sa preskočí chybné zariadenie bez prerušenia prevádzky siete. Rýchlo sa sieťové zariadenie priamo pripojí k sieti a chráni sa tak normálna komunikačná sieť. Po zlyhaní IPS/FW sa včas vďaka inteligentnej funkcii detekcie heartbeat paketov obnoví pôvodné spojenie a obnoví bezpečnosť podnikovej siete.
Mylinking™ „Bypass Switch“ má výkonnú inteligentnú funkciu detekcie správ o srdcovom tepe. Používateľ si môže prispôsobiť interval srdcového tepu a maximálny počet opakovaní prostredníctvom vlastnej správy o srdcovom tepe na IPS/FW pre testovanie stavu, napríklad odoslaním správy o kontrole srdcového tepu na port proti prúdu/smeru prúdu IPS/FW a následným prijatím z portu proti prúdu/smeru prúdu IPS/FW a posúdením, či IPS/FW funguje normálne, odoslaním a prijatím správy o srdcovom tepe.
5.3 Ochrana série inline trakčných systémov politiky „SpecFlow“
Keď bezpečnostné sieťové zariadenie potrebuje spracovať iba špecifickú prevádzku v rámci sériovej bezpečnostnej ochrany, prostredníctvom funkcie „Bypass Switch“ Mylinking™ na spracovanie prevádzky sa prostredníctvom stratégie skríningu prevádzky pripojí k bezpečnostnému zariadeniu. „Príslušná“ prevádzka sa posiela späť priamo do sieťového prepojenia a „príslušná časť prevádzky“ sa presmeruje k bezpečnostnému zariadeniu v rade na vykonanie bezpečnostných kontrol. Tým sa nielen zachová normálne používanie funkcie bezpečnostnej detekcie bezpečnostného zariadenia, ale aj zníži neefektívny tok bezpečnostného zariadenia pri zvládaní tlaku; zároveň „Bypass Switch“ dokáže v reálnom čase zistiť prevádzkový stav bezpečnostného zariadenia. Bezpečnostné zariadenie pracuje abnormálne a priamo obchádza dátovú prevádzku, aby sa predišlo prerušeniu sieťovej služby.
Ochrana proti obídeniu prevádzky Mylinking™ dokáže identifikovať prevádzku na základe identifikátora hlavičky vrstvy L2-L4, ako je napríklad značka VLAN, zdrojová/cieľová MAC adresa, zdrojová IP adresa, typ IP paketu, port protokolu transportnej vrstvy, značka kľúča hlavičky protokolu atď. Rôzne flexibilné kombinácie podmienok zhody je možné flexibilne definovať na definovanie špecifických typov prevádzky, ktoré sú zaujímavé pre konkrétne bezpečnostné zariadenie, a možno ich široko používať na nasadenie špeciálnych zariadení na bezpečnostný audit (RDP, SSH, audit databáz atď.).
5.4 Sériová ochrana s vyváženou záťažou
Mylinking™ „Bypass Switch“ sa nasadzuje sériovo medzi sieťové zariadenia (routre, prepínače atď.). Keď výkon spracovania jedného IPS/FW nie je dostatočný na zvládnutie špičkovej prevádzky sieťového spojenia, funkcia vyrovnávania záťaže prevádzky ochrannej zložky, „zväzkovanie“ viacerých klastrov IPS/FW spracovávajúcich prevádzku sieťového spojenia, môže efektívne znížiť záťaž spracovania jedného IPS/FW a zlepšiť celkový výkon spracovania, aby sa splnila požiadavka na vysokú šírku pásma prostredia nasadenia.
Mylinking™ „Bypass Switch“ má výkonnú funkciu vyvažovania záťaže, ktorá na základe VLAN tagu rámca, informácií o MAC adrese, IP adrese, čísla portu, protokolu a ďalších informácií o hashovaní rozdeľuje záťaž, aby sa zabezpečila integrita relácie prijatého dátového toku pre každý IPS/FW.
5.5 Ochrana proti trakcii viacsériového radového zariadenia (zmena sériového pripojenia na paralelné pripojenie)
V niektorých kľúčových prepojeniach (ako sú internetové zásuvky, výmenné prepojenia serverových oblastí) je umiestnenie často spôsobené potrebami bezpečnostných funkcií a nasadením viacerých inline bezpečnostných testovacích zariadení (ako sú firewally, zariadenia proti DDoS útokom, firewally webových aplikácií, zariadenia na prevenciu vniknutia atď.), pričom viacero bezpečnostných detekčných zariadení je súčasne zapojených sériovo na jednom prepojení, čím sa zvyšuje riziko vzniku jediného bodu zlyhania siete a znižuje sa celková spoľahlivosť siete. A pri vyššie uvedenom online nasadení bezpečnostných zariadení, modernizácii zariadení, výmene zariadení a iných operáciách môže dôjsť k dlhodobému prerušeniu prevádzky siete a rozsiahlejším prerušeniam projektu potrebným na úspešné dokončenie takýchto projektov.
Jednotným nasadením „Bypass Switch“ je možné zmeniť režim nasadenia viacerých bezpečnostných zariadení zapojených sériovo na tom istom prepojení z „režimu fyzického zreťazenia“ na „režim fyzického zreťazenia, logického zreťazenia“. Prepojenie na prepojení s jedným bodom poruchy zlepšuje spoľahlivosť prepojenia, zatiaľ čo „bypass Switch“ na prepojení zabezpečuje trakciu toku na požiadanie, čím sa dosahuje rovnaký tok ako v pôvodnom režime bezpečného spracovania.
Schéma sériového nasadenia viacerých bezpečnostných zariadení súčasne:
Schéma nasadenia prepínača bypassu TAP siete Mylinking™:
5.6 Na základe dynamickej stratégie ochrany pred detekciou trakcie v doprave
„Obchvatový prepínač“ Ďalší pokročilý aplikačný scenár je založený na dynamickej stratégii aplikácií na ochranu pred dopravnou trakciou a detekciu jej nasadenia je znázornené nižšie:
Napríklad, bezpečnostné testovacie zariadenie „ochrana a detekcia útokov proti DDoS“ sa vykonáva pomocou front-endového nasadenia „bypass prepínača“ a následného pripojenia ochranného zariadenia proti DDoS útokom k „bypass prepínaču“. V bežnom režime „ochrana trakcie“ sa plná prevádzka presmeruje rýchlosťou kábla a zároveň sa zrkadlový výstup toku odošle do „zariadenia na ochranu proti DDoS útokom“. Po detekcii IP adresy servera (alebo segmentu IP siete) po útoku „zariadenie na ochranu proti DDoS útokom“ vygeneruje pravidlá zodpovedajúce cieľovému toku prevádzky a odošle ich do „bypass prepínača“ prostredníctvom rozhrania dynamického doručovania politík. „Bypass prepínač“ dokáže po prijatí dynamických pravidiel politík aktualizovať „dynamiku trakcie prevádzky“ a okamžite „pravidlo zasiahne trakciu prevádzky útočného servera“ do zariadenia „ochrana a detekcia útokov proti DDoS útokom“ na spracovanie, aby bolo účinné po skončení útoku a následne sa opäť vstreklo do siete.
Aplikačná schéma založená na „Bypass Switch“ sa implementuje jednoduchšie ako tradičné injektovanie trasy BGP alebo iné schémy trakcie prevádzky a prostredie je menej závislé od siete a spoľahlivosť je vyššia.
„Bypass Switch“ má nasledujúce charakteristiky na podporu ochrany detekciou dynamických politík zabezpečenia:
1, „Bypass Switch“ na zabezpečenie mimo pravidiel založených na rozhraní WEBSERIVCE, jednoduchá integrácia s bezpečnostnými zariadeniami tretích strán.
2, „Bypass Switch“ založený na hardvérovom čistom ASIC čipe, ktorý preposiela pakety s rýchlosťou kábla až 10 Gb/s bez blokovania preposielania switchom a „knižnica dynamických pravidiel pre trakciu prevádzky“ bez ohľadu na počet.
3, „Bypass Switch“ vstavaná profesionálna funkcia BYPASS, aj keď samotný chránič zlyhá, dokáže okamžite obísť pôvodné sériové prepojenie, neovplyvňuje pôvodné prepojenie normálnej komunikácie.
