Mylinking™ mrežni prekidač za premosnicu ML-BYPASS-200
2*Bypass plus 1*Monitor Modularni dizajn, 10/40/100GE veze, maks. 640Gbps
1-Pregledi
Implementacijom Mylinking™ pametnog bypass prekidača:
- Korisnici mogu fleksibilno instalirati/deinstalirati sigurnosnu opremu i to neće utjecati na trenutnu mrežu i prekidati rad;
- Mylinking™ mrežni prekidač za premosnicu s inteligentnom funkcijom detekcije stanja za praćenje normalnog radnog stanja serijskog sigurnosnog uređaja u stvarnom vremenu. Nakon što se pojavi iznimka u radu serijskog sigurnosnog uređaja, zaštita će se automatski premostiti kako bi se održala normalna mrežna komunikacija.
- Selektivna tehnologija zaštite prometa može se koristiti za implementaciju specifične sigurnosne opreme za čišćenje prometa, tehnologije šifriranja temeljene na opremi za reviziju. Učinkovito provodi zaštitu serijskog pristupa za određenu vrstu prometa, rasterećujući tlak protoka serijskog uređaja;
- Tehnologija zaštite prometa s uravnoteženim opterećenjem može se koristiti za klasterirano postavljanje sigurnih serijskih uređaja kako bi se zadovoljila potreba za serijskom sigurnošću u okruženjima s velikom propusnošću.
S brzim razvojem interneta, prijetnja sigurnosti mrežnih informacija postaje sve ozbiljnija, pa se sve više koriste razne aplikacije za zaštitu informacijske sigurnosti. Bilo da se radi o tradicionalnoj opremi za kontrolu pristupa (vatrozid) ili novoj vrsti naprednijih zaštitnih sredstava kao što su sustav za sprječavanje upada (IPS), jedinstvena platforma za upravljanje prijetnjama (UTM), sustav protiv napada uskraćivanja usluge (Anti-DDoS), anti-span gateway, jedinstveni sustav za identifikaciju i kontrolu prometa DPI, a mnogi sigurnosni uređaji raspoređuju se serijski u ključnim mrežnim čvorovima, a odgovarajuća politika sigurnosti podataka provodi se kako bi se identificirao i riješio legalan/nelegalni promet. Istovremeno, međutim, računalna mreža generirat će veliko kašnjenje mreže ili čak prekid mreže u slučaju kvara, održavanja, nadogradnje, zamjene opreme i slično u visoko pouzdanom okruženju proizvodne mrežne aplikacije, što korisnici ne mogu podnijeti.
Premosni prekidač s 2 mrežne slavine Napredne značajke i tehnologije
Mylinking™ „SpecFlow“ način zaštite i tehnologija načina zaštite „FullLink“
Mylinking™ tehnologija zaštite od preklapanja s brzim zaobilaženjem
Mylinking™ tehnologija „LinkSafeSwitch“
Mylinking™ “WebService” tehnologija dinamičkog prosljeđivanja/izdavanja strategije
Mylinking™ Inteligentna tehnologija detekcije otkucaja srca
Mylinking™ tehnologija definiranih poruka otkucaja srca
Mylinking™ Višelink tehnologija uravnoteženja opterećenja
Mylinking™ tehnologija inteligentne distribucije prometa
Mylinking™ tehnologija dinamičkog uravnoteženja opterećenja
Mylinking™ tehnologija daljinskog upravljanja (HTTP/WEB, TELNET/SSH, karakteristika „EasyConfig/AdvanceConfig“)
Vodič za konfiguraciju premosnog prekidača s 3 mrežne slavine
ZAOBIĆIUtor za modul zaštitnog priključka:
Ovaj utor se može umetnuti u modul BYPASS zaštitnog porta s različitim brzinama/brojem porta. Zamjenom različitih vrsta modula može podržati BYPASS zaštitu više 10G/40G/100G veza.
MONITORUtor za modul porta;
Ovaj utor se može umetnuti u modul MONITOR porta s različitim brzinama/portovima. Može podržati implementaciju više 10G/40G/100G link online serijskih uređaja za praćenje zamjenom različitih modela.
Pravila odabira modula
Na temelju različitih raspoređenih veza i zahtjeva za raspoređivanje opreme za nadzor, možete fleksibilno odabrati različite konfiguracije modula kako biste zadovoljili stvarne potrebe vašeg okruženja; pri odabiru slijedite sljedeća pravila:
1. Komponente šasije su obavezne i morate odabrati komponente šasije prije nego što odaberete bilo koje druge module. Istovremeno, odaberite različite načine napajanja (AC/DC) prema svojim potrebama.
2. Cijeli uređaj podržava do 2 utora za BYPASS module i 1 utor za MONITOR modul; ne možete odabrati više od broja utora za konfiguriranje. Na temelju kombinacije broja utora i modela modula, uređaj može podržati do četiri zaštite 10GE veze; ili može podržati do četiri 40GE veze; ili može podržati do jednu 100GE vezu.
3. Modul modela "BYP-MOD-L1CG" može se ispravno umetnuti samo u SLOT1.
4. Modul tipa "BYP-MOD-XXX" može se umetnuti samo u utor BYPASS modula; modul tipa "MON-MOD-XXX" može se umetnuti samo u utor MONITOR modula za normalan rad.
| Model proizvoda | Parametri funkcije |
| Šasija (domaćin) | |
| ML-BYPASS-M200 | 1U standardni 19-inčni rackmontaž; maksimalna potrošnja energije 250 W; modularni BYPASS zaštitnik hosta; 2 utora za BYPASS module; 1 utor za MONITOR modul; AC i DC opcionalno; |
| MODUL ZA ZAOBILAZAK | |
| BYP-MOD-L2XG(LM/SM) | Podržava dvosmjernu 10GE serijsku zaštitu, 4*10GE sučelje, LC konektor; ugrađeni optički primopredajnik; optička veza jedno/višemodna opcija, podržava 10GBASE-SR/LR; |
| BYP-MOD-L2QXG(LM/SM) | Podržava dvosmjernu 40GE serijsku zaštitu, 4*40GE sučelje, LC konektor; ugrađeni optički primopredajnik; optička veza jedno/višemodna opcija, podržava 40GBASE-SR4/LR4; |
| BYP-MOD-L1CG (LM/SM) | Podržava 1 kanal 100GE serijsku zaštitu veze, 2*100GE sučelje, LC konektor; ugrađeni optički primopredajnik; optička veza s jednim višemodnim modom (opcionalno), podržava 100GBASE-SR4/LR4; |
| MODUL MONITORA | |
| MON-MOD-L16XG | 16*10GE SFP+ modul nadzornog porta; bez modula optičkog primopredajnika; |
| MON-MOD-L8XG | 8*10GE SFP+ modul nadzornog porta; nema modula optičkog primopredajnika; |
| MON-MOD-L2CG | 2*100GE QSFP28 modul nadzornog porta; bez modula optičkog primopredajnika; |
| MON-MOD-L8QXG | 8* 40GE QSFP+ modul nadzornog porta; bez modula optičkog primopredajnika; |
Specifikacije 4-mrežnog TAP bypass prekidača
| Modalitet proizvoda | ML-BYPASS-M200 serijski bypass prekidač | |
| Vrsta sučelja | MGT sučelje | 1*10/100/1000BASE-T adaptivno sučelje za upravljanje; Podrška za udaljeno HTTP/IP upravljanje |
| Utor za modul | 2*Utor za BYPASS modul; 1*Utor za MONITOR modul; | |
| Linkovi koji podržavaju maksimum | Uređaj podržava maksimalno 4*10GE veze ili 4*40GE veze ili 1*100GE veze | |
| Monitor | Uređaj podržava maksimalno 16*10GE nadzornih portova ili 8*40GE nadzornih portova ili 2*100GE nadzorna porta; | |
| Funkcija | Mogućnost potpunog dupleksnog procesiranja | 640 Gbps |
| Na temelju kaskadne zaštite prometa specifične za pet tuple IP-a/protokola/porta | Podrška | |
| Kaskadna zaštita temeljena na punom prometu | Podrška | |
| Višestruko uravnoteženje opterećenja | Podrška | |
| Prilagođena funkcija detekcije otkucaja srca | Podrška | |
| Podržava neovisnost Ethernet paketa | Podrška | |
| PREMOSNI PREKIDAČ | Podrška | |
| BYPASS prekidač bez bljeskalice | Podrška | |
| UPRAVLJANJE KONZOLAMA | Podrška | |
| Upravljanje IP-om/WEB-om | Podrška | |
| SNMP V1/V2C Upravljanje | Podrška | |
| TELNET/SSH UPRAVLJANJE | Podrška | |
| SYSLOG protokol | Podrška | |
| Autorizacija korisnika | Na temelju autorizacije lozinkom/AAA/TACACS+ | |
| Električni | Nazivni napon napajanja | AC-220V/DC-48V【Opcionalno】 |
| Nazivna frekvencija snage | 50 Hz | |
| Nazivna ulazna struja | AC-3A / DC-10A | |
| Nazivna snaga | 100 W | |
| Okoliš | Radna temperatura | 0-50℃ |
| Temperatura skladištenja | -20-70℃ | |
| Radna vlažnost | 10%-95%, Bez kondenzacije | |
| Konfiguracija korisnika | Konfiguracija konzole | RS232 sučelje, 115200, 8, N, 1 |
| Izvanpojasno MGT sučelje | 1*10/100/1000M Ethernet sučelje | |
| Autorizacija lozinkom | Podrška | |
| Visina šasije | Prostor šasije (U) | 1U 19 inča, 485 mm * 44,5 mm * 350 mm |
Primjena 5-mrežnog TAP bypass prekidača (kao što slijedi)
Slijedi tipičan način implementacije IPS-a (Intrusion Prevention System), FW (Firewall). IPS/FW se serijski raspoređuje na mrežnu opremu (usmjerivače, preklopnike itd.) između prometa kroz provedbu sigurnosnih provjera, prema odgovarajućoj sigurnosnoj politici kako bi se odredilo puštanje ili blokiranje odgovarajućeg prometa i postigao učinak sigurnosne obrane.
Istovremeno, IPS/FW možemo promatrati kao serijsko postavljanje opreme, obično postavljene na ključnim lokacijama u poslovnoj mreži radi implementacije serijske sigurnosti. Pouzdanost povezanih uređaja izravno utječe na ukupnu dostupnost poslovne mreže. Preopterećenje serijskih uređaja, pad sustava, ažuriranja softvera, ažuriranja pravila itd., uvelike utječe na dostupnost cijele poslovne mreže. U ovom trenutku, samo prekidom mreže i fizičkim premosnivanjem možemo vratiti mrežu u prvobitno stanje, što ozbiljno utječe na pouzdanost mreže. IPS/FW i drugi serijski uređaji s jedne strane poboljšavaju postavljanje sigurnosti poslovne mreže, a s druge strane smanjuju pouzdanost poslovnih mreža, povećavajući rizik od nedostupnosti mreže.
5.2 Zaštita opreme serije Inline Link
Mylinking™ "Bypass Switch" se postavlja serijski između mrežnih uređaja (usmjerivača, preklopnika itd.), a protok podataka između mrežnih uređaja više ne vodi izravno do IPS/FW. "Bypass Switch" prelazi na IPS/FW. Kada IPS/FW padne zbog preopterećenja, pada sustava, ažuriranja softvera, ažuriranja pravila i drugih uvjeta kvara, "Bypass Switch" putem inteligentne funkcije detekcije otkucaja srca pravovremeno otkriva neispravan uređaj i time preskače neispravan rad mreže, bez prekidanja mrežne premise. Brzo spajanje mrežne opreme izravno štiti normalnu komunikacijsku mrežu; kada se IPS/FW oporavi od kvara, ali i putem inteligentne funkcije detekcije otkucaja srca, pravovremeno se provjerava sigurnost izvorne veze kako bi se vratila izvorna veza radi sigurnosne provjere poslovne mreže.
Mylinking™ "Bypass Switch" ima snažnu inteligentnu funkciju detekcije poruka otkucaja srca. Korisnik može prilagoditi interval otkucaja srca i maksimalan broj ponovnih pokušaja putem prilagođene poruke otkucaja srca na IPS/FW uređaju za testiranje ispravnosti, na primjer slanjem poruke o provjeri otkucaja srca na uzvodni/nizvodni port IPS/FW uređaja, a zatim primanjem s uzvodnog/nizvodnog porta IPS/FW uređaja, te procijeniti radi li IPS/FW normalno slanjem i primanjem poruke otkucaja srca.
5.3 Zaštita serije linijske trakcije prema politici protoka „SpecFlow“
Kada sigurnosni mrežni uređaj treba obraditi samo određeni promet u serijskoj sigurnosnoj zaštiti, putem Mylinking™ "Bypass Switch" funkcije obrade prometa, strategija provjere prometa spaja sigurnosni uređaj na "dotični" promet, koji se šalje natrag izravno na mrežnu vezu, a "dotični prometni dio" se prenosi na linijski sigurnosni uređaj radi provjere sigurnosti. To ne samo da će održati normalnu primjenu funkcije sigurnosne detekcije sigurnosnog uređaja, već će i smanjiti neučinkovit protok sigurnosne opreme za rješavanje pritiska; istovremeno, "Bypass Switch" može detektirati radno stanje sigurnosnog uređaja u stvarnom vremenu. Sigurnosni uređaj radi abnormalno, izravno zaobilazeći podatkovni promet kako bi se izbjeglo ometanje mrežne usluge.
Mylinking™ Protector za zaobilaženje prometa može identificirati promet na temelju identifikatora zaglavlja L2-L4 sloja, kao što su VLAN oznaka, MAC adresa izvora/odredišta, IP adresa izvora, vrsta IP paketa, port protokola transportnog sloja, oznaka ključa zaglavlja protokola i tako dalje. Različite fleksibilne kombinacije uvjeta podudaranja mogu se fleksibilno definirati kako bi se definirale specifične vrste prometa koje su od interesa za određeni sigurnosni uređaj i mogu se široko koristiti za implementaciju posebnih uređaja za sigurnosnu reviziju (RDP, SSH, revizija baza podataka itd.).
5.4 Serijska zaštita s uravnoteženim opterećenjem
Mylinking™ "Bypass Switch" se postavlja serijski između mrežnih uređaja (usmjerivača, preklopnika itd.). Kada performanse obrade jednog IPS/FW uređaja nisu dovoljne za rješavanje vršnog prometa mrežne veze, funkcija uravnoteženja opterećenja prometa zaštitnika, "grupiranje" višestrukih IPS/FW klastera za obradu prometa mrežne veze, može učinkovito smanjiti pritisak obrade jednog IPS/FW uređaja i poboljšati ukupne performanse obrade kako bi se zadovoljila visoka propusnost okruženja implementacije.
Mylinking™ "Bypass Switch" ima snažnu funkciju uravnoteženja opterećenja, prema VLAN oznaci okvira, MAC informacijama, IP informacijama, broju porta, protokolu i drugim informacijama o Hash load balancingu, raspoređuje promet kako bi se osigurala integritet sesije protoka podataka svakog IPS-a/FW-a.
5.5 Zaštita od vuče protoka višeserijske linijske opreme (promjena serijskog spoja u paralelni spoj)
U nekim ključnim vezama (kao što su internetske utičnice, veze za razmjenu poslužiteljskih područja) lokacija je često uzrokovana potrebama sigurnosnih značajki i implementacijom višestruke opreme za sigurnosno testiranje u liniji (kao što su vatrozid, oprema protiv DDoS napada, vatrozid za web aplikacije, oprema za sprječavanje upada itd.), višestruka oprema za sigurnosnu detekciju istovremeno serijski spojena na vezu povećava vezu kao jednu točku kvara, smanjujući ukupnu pouzdanost mreže. A u gore spomenutom online postavljanju sigurnosne opreme, nadogradnji opreme, zamjeni opreme i drugim operacijama, doći će do dugotrajnog prekida usluge mreže i većih projektnih aktivnosti potrebnih za uspješnu provedbu takvih projekata.
Implementacijom "Bypass Switcha" na jedinstven način, način implementacije više sigurnosnih uređaja spojenih serijski na istoj vezi može se promijeniti iz "načina fizičkog spajanja" u "način fizičkog spajanja, logičkog spajanja". Veza na vezi jedne točke kvara poboljšava pouzdanost veze, dok "bypass switch" na vezi omogućuje vuču na zahtjev, kako bi se postigao isti protok s originalnim načinom sigurne obrade.
Dijagram serijskog postavljanja više sigurnosnih uređaja istovremeno:
Dijagram postavljanja Mylinking™ mrežnog TAP bypass prekidača:
5.6 Na temelju dinamičke strategije zaštite od prometne vuče
"Premosni prekidač" Drugi napredni scenarij primjene temelji se na dinamičkoj strategiji aplikacija za detekciju i zaštitu od prometne vuče, a implementacija je prikazana u nastavku:
Uzmimo za primjer opremu za sigurnosno testiranje "Zaštita i otkrivanje DDoS napada", putem front-end implementacije "Bypass Switcha", a zatim opreme za zaštitu od DDoS napada, te spajanja na "Bypass Switch", u uobičajenom "Zaštitniku proklizavanja" za puni protok prometa brzinom žice, istovremeno zrcalno proslijedivši protok na "Anti-DDOS uređaj za zaštitu od DDoS napada". Nakon što se otkrije IP adresa poslužitelja (ili IP mrežni segment) nakon napada, "Anti-DDOS uređaj za zaštitu od DDoS napada" generirat će pravila za usklađivanje protoka ciljanog prometa i poslati ih "Bypass Switchu" putem sučelja za dinamičku isporuku pravila. "Bypass Switch" može ažurirati "dinamiku proklizavanja prometa" nakon što primi skup pravila dinamičke politike i odmah "pravilo" udari u "protok prometa" napadačkog poslužitelja na opremu za zaštitu i otkrivanje DDoS napada za obradu, kako bi bio učinkovit nakon protoka napada, a zatim ponovno ubrizgan u mrežu.
Shema primjene temeljena na "Bypass Switchu" lakša je za implementaciju od tradicionalnog BGP ubrizgavanja rute ili drugih shema vuče prometa, a okruženje je manje ovisno o mreži i pouzdanost je veća.
"Bypass Switch" ima sljedeće karakteristike za podršku dinamičke zaštite otkrivanja sigurnosti pravila:
1, "Bypass Switch" za pružanje izvan pravila temeljenih na WEBSERIVCE sučelju, jednostavne integracije s sigurnosnim uređajima trećih strana.
2, "Bypass Switch" temeljen na hardverskom čistom ASIC čipu koji prosljeđuje pakete brzinom do 10 Gbps bez blokiranja prosljeđivanja switcha i "biblioteci dinamičkih pravila za trakciju prometa" bez obzira na broj.
3, "Bypass Switch" ugrađena profesionalna BYPASS funkcija, čak i ako sam zaštitnik ne uspije, također može odmah zaobići originalnu serijsku vezu, ne utječući na originalnu vezu normalne komunikacije.
