Mylinking™ Netzwerk-Tap-Bypass-Schalter ML-BYPASS-200
2*Bypass plus 1*Monitor Modulares Design, 10/40/100GE-Links, Max. 640 Gbit/s
1-Übersichten
Durch den Einsatz des Mylinking™ Smart Bypass Switch:
- Benutzer können Sicherheitsausrüstung flexibel installieren/deinstallieren, ohne das aktuelle Netzwerk zu beeinträchtigen oder zu unterbrechen.
- Mylinking™ Network Tap Bypass Switch mit intelligenter Integritätserkennungsfunktion zur Echtzeitüberwachung des normalen Betriebszustands des seriellen Sicherheitsgeräts. Sobald eine Arbeitsausnahme des seriellen Sicherheitsgeräts auftritt, wird der Schutz automatisch umgangen, um die normale Netzwerkkommunikation aufrechtzuerhalten.
- Mithilfe selektiver Verkehrsschutztechnologie können spezifische Sicherheitsgeräte zur Verkehrsbereinigung und Verschlüsselungstechnologie auf Basis von Prüfgeräten eingesetzt werden. Effektiver serieller Zugriffsschutz für bestimmte Verkehrstypen, wodurch der Druck auf die Datenflussverarbeitung des seriellen Geräts verringert wird.
- Die Load Balanced Traffic Protection-Technologie kann für die Clusterbereitstellung sicherer serieller Geräte verwendet werden, um den Bedarf an serieller Sicherheit in Umgebungen mit hoher Bandbreite zu erfüllen.
Mit der rasanten Entwicklung des Internets wird die Netzwerksicherheit zunehmend gefährdet. Daher werden immer mehr Anwendungen zum Schutz der Informationssicherheit eingesetzt. Ob herkömmliche Zugriffskontrollsysteme (Firewalls) oder moderne Schutzmaßnahmen wie Intrusion Prevention Systems (IPS), Unified Threat Management Platforms (UTM), Anti-Denial-Service-Attack-Systeme (DDoS), Anti-Span Gateways, Unified DPI Traffic Identification and Control Systems – viele Sicherheitsgeräte werden seriell in den wichtigsten Netzwerkknoten eingesetzt. Die Implementierung der entsprechenden Datensicherheitsrichtlinien dient der Erkennung und Behandlung von legalem und illegalem Datenverkehr. Gleichzeitig kommt es jedoch bei Failover, Wartung, Upgrades, Geräteaustausch usw. in einer hochzuverlässigen Produktionsnetzwerkanwendungsumgebung zu erheblichen Netzwerkverzögerungen oder sogar Netzwerkunterbrechungen. Dies ist für Benutzer nicht tragbar.
Erweiterte Funktionen und Technologien des 2-Network Tap Bypass Switch
Mylinking™ „SpecFlow“-Schutzmodus und „FullLink“-Schutzmodus-Technologie
Mylinking™ Fast Bypass Switching-Schutztechnologie
Mylinking™ „LinkSafeSwitch“-Technologie
Mylinking™ „WebService“ Dynamische Strategie-Weiterleitungs-/Ausgabetechnologie
Mylinking™ Intelligente Heartbeat-Nachrichtenerkennungstechnologie
Mylinking™ Definierbare Heartbeat-Nachrichtentechnologie
Mylinking™ Multi-Link-Lastausgleichstechnologie
Mylinking™ Intelligente Verkehrsverteilungstechnologie
Mylinking™ Dynamische Lastausgleichstechnologie
Mylinking™ Remote Management-Technologie (HTTP/WEB, TELNET/SSH, „EasyConfig/AdvanceConfig“-Funktion)
Konfigurationshandbuch für 3-Network Tap Bypass Switch
BYPASSSteckplatz für Schutzportmodul:
Dieser Steckplatz kann in ein BYPASS-Schutzportmodul mit unterschiedlicher Geschwindigkeit/Portnummer eingesetzt werden. Durch den Austausch verschiedener Modultypen kann der BYPASS-Schutz mehrerer 10G/40G/100G-Verbindungen unterstützt werden.
MONITORPortmodulsteckplatz;
Dieser Steckplatz kann in das MONITOR-Portmodul mit unterschiedlichen Geschwindigkeiten/Ports eingesetzt werden. Durch den Austausch verschiedener Modelle kann es die Bereitstellung mehrerer serieller Online-Überwachungsgeräte mit 10G/40G/100G-Verbindungen unterstützen.
Modulauswahlregeln
Basierend auf den unterschiedlichen Anforderungen an die Bereitstellung von Links und Überwachungsgeräten können Sie flexibel verschiedene Modulkonfigurationen auswählen, um den tatsächlichen Anforderungen Ihrer Umgebung gerecht zu werden. Beachten Sie bei der Auswahl bitte die folgenden Regeln:
1. Die Gehäusekomponenten sind obligatorisch. Sie müssen diese vor der Auswahl anderer Module auswählen. Wählen Sie gleichzeitig je nach Bedarf verschiedene Stromversorgungsmethoden (AC/DC).
2. Die gesamte Maschine unterstützt bis zu zwei BYPASS-Modulsteckplätze und einen MONITOR-Modulsteckplatz. Sie können maximal die Anzahl der zu konfigurierenden Steckplätze auswählen. Abhängig von der Kombination aus Steckplatzanzahl und Modulmodell kann das Gerät bis zu vier 10GE-Verbindungsschutzmechanismen, bis zu vier 40GE-Verbindungen oder bis zu eine 100GE-Verbindung unterstützen.
3. Das Modulmodell „BYP-MOD-L1CG“ kann nur in SLOT1 eingesetzt werden, um ordnungsgemäß zu funktionieren.
4. Der Modultyp „BYP-MOD-XXX“ kann für den Normalbetrieb nur in den BYPASS-Modulsteckplatz gesteckt werden, der Modultyp „MON-MOD-XXX“ kann für den Normalbetrieb nur in den MONITOR-Modulsteckplatz gesteckt werden.
| Produktmodell | Funktionsparameter |
| Gehäuse (Host) | |
| ML-BYPASS-M200 | 1HE-Standard-19-Zoll-Rackmontage; maximaler Stromverbrauch 250 W; modularer BYPASS-Schutzhost; 2 BYPASS-Modulsteckplätze; 1 MONITOR-Modulsteckplatz; AC und DC optional; |
| BYPASS-MODUL | |
| BYP-MOD-L2XG(LM/SM) | Unterstützt seriellen 2-Wege-10GE-Link-Schutz, 4*10GE-Schnittstelle, LC-Anschluss; integrierter optischer Transceiver; optische Verbindung Single/Multimode optional, unterstützt 10GBASE-SR/LR; |
| BYP-MOD-L2QXG(LM/SM) | Unterstützt seriellen 2-Wege-40GE-Link-Schutz, 4*40GE-Schnittstelle, LC-Anschluss; integrierter optischer Transceiver; optische Verbindung Single/Multimode optional, unterstützt 40GBASE-SR4/LR4; |
| BYP-MOD-L1CG (LM/SM) | Unterstützt 1-Kanal 100GE-Link-Seriellenschutz, 2*100GE-Schnittstelle, LC-Anschluss; integrierter optischer Transceiver; optischer Link Single Multimode optional, unterstützt 100GBASE-SR4/LR4; |
| MONITORMODUL | |
| MON-MOD-L16XG | 16*10GE SFP+-Überwachungsportmodul; kein optisches Transceivermodul; |
| MON-MOD-L8XG | 8*10GE SFP+-Überwachungsportmodul; kein optisches Transceivermodul; |
| MON-MOD-L2CG | 2*100GE QSFP28-Überwachungsportmodul; kein optisches Transceivermodul; |
| MON-MOD-L8QXG | 8* 40GE QSFP+ Überwachungsportmodul; kein optisches Transceivermodul; |
Spezifikationen des 4-Netzwerk-TAP-Bypass-Switch
| Produktmodalität | ML-BYPASS-M200 serieller Bypass-Schalter | |
| Art der Schnittstelle | MGT-Schnittstelle | 1*10/100/1000BASE-T Adaptive Verwaltungsschnittstelle; Unterstützt Remote-HTTP/IP-Verwaltung |
| Modulsteckplatz | 2 * BYPASS-Modulsteckplätze; 1 * MONITOR-Modulsteckplätze; | |
| Links, die das Maximum unterstützen | Das Gerät unterstützt maximal 4*10GE-Links oder 4*40GE-Links oder 1*100GE-Links | |
| Monitor | Das Gerät unterstützt maximal 16*10GE-Überwachungsports oder 8*40GE-Überwachungsports oder 2*100GE-Überwachungsports; | |
| Funktion | Vollduplex-Verarbeitungsfähigkeit | 640 Gbit/s |
| Basierend auf IP/Protokoll/Port fünf Tupel spezifische Verkehrskaskade schützt | Unterstützung | |
| Kaskadenschutz basierend auf vollem Datenverkehr | Unterstützung | |
| Mehrfacher Lastenausgleich | Unterstützung | |
| Benutzerdefinierte Herzschlag-Erkennungsfunktion | Unterstützung | |
| Unterstützt Ethernet-Paketunabhängigkeit | Unterstützung | |
| BYPASS-SCHALTER | Unterstützung | |
| BYPASS-Schalter ohne Blitz | Unterstützung | |
| KONSOLENVERWALTUNG | Unterstützung | |
| IP/WEB-Management | Unterstützung | |
| SNMP V1/V2C-Verwaltung | Unterstützung | |
| TELNET/SSH-Verwaltung | Unterstützung | |
| SYSLOG-Protokoll | Unterstützung | |
| Benutzerberechtigung | Basierend auf Passwortautorisierung/AAA/TACACS+ | |
| Elektrisch | Nennversorgungsspannung | AC-220 V/DC-48 V 【Optional】 |
| Nennleistungsfrequenz | 50 Hz | |
| Nenneingangsstrom | AC-3A / DC-10A | |
| Nennleistung | 100 W | |
| Umfeld | Arbeitstemperatur | 0-50℃ |
| Lagertemperatur | -20-70℃ | |
| Arbeitsfeuchtigkeit | 10 % – 95 %, keine Kondensation | |
| Benutzerkonfiguration | Konsolenkonfiguration | RS232-Schnittstelle,115200,8,N,1 |
| Out-of-Band-MGT-Schnittstelle | 1 * 10/100/1000M Ethernet-Schnittstelle | |
| Passwortautorisierung | Unterstützung | |
| Fahrgestellhöhe | Gehäusegröße (U) | 1HE 19 Zoll, 485 mm x 44,5 mm x 350 mm |
5-Netzwerk-TAP-Bypass-Switch-Anwendung (wie folgt)
Das Folgende ist ein typischer IPS- (Intrusion Prevention System) und FW- (Firewall) Bereitstellungsmodus. IPS/FW wird nacheinander auf den Netzwerkgeräten (Routern, Switches usw.) bereitgestellt, wobei Sicherheitsprüfungen im Datenverkehr durchgeführt werden. Gemäß der entsprechenden Sicherheitsrichtlinie wird entschieden, ob der entsprechende Datenverkehr freigegeben oder blockiert wird, um einen Sicherheitsschutzeffekt zu erzielen.
Gleichzeitig ist IPS/FW als serielles Gerät zu betrachten, das üblicherweise an zentralen Stellen im Unternehmensnetzwerk eingesetzt wird, um die serielle Sicherheit zu gewährleisten. Die Zuverlässigkeit der angeschlossenen Geräte wirkt sich direkt auf die allgemeine Verfügbarkeit des Unternehmensnetzwerks aus. Überlastung, Absturz, Software-Updates, Richtlinienaktualisierungen usw. der seriellen Geräte beeinträchtigen die Verfügbarkeit des gesamten Unternehmensnetzwerks erheblich. An diesem Punkt kann das Netzwerk nur durch eine Netzwerkunterbrechung oder einen physischen Bypass-Jumper wiederhergestellt werden, was die Zuverlässigkeit des Netzwerks erheblich beeinträchtigt. IPS/FW und andere serielle Geräte verbessern einerseits die Sicherheit des Unternehmensnetzwerks, verringern andererseits aber auch die Zuverlässigkeit des Unternehmensnetzwerks und erhöhen das Risiko von Netzwerkausfällen.
5.2 Geräteschutz der Inline Link-Serie
Der Mylinking™ „Bypass Switch“ wird in Reihe zwischen Netzwerkgeräten (Routern, Switches usw.) eingesetzt, sodass der Datenfluss zwischen den Netzwerkgeräten nicht mehr direkt zu IPS/FW führt. Der „Bypass Switch“ führt zu IPS/FW. Wenn IPS/FW aufgrund von Überlastung, Absturz, Software-Updates, Richtlinien-Updates usw. ausfällt, erkennt der „Bypass Switch“ das fehlerhafte Gerät rechtzeitig durch die Funktion der intelligenten Heartbeat-Nachrichtenerkennung und überspringt es so, ohne das Netzwerk zu unterbrechen. Die direkt verbundene Netzwerkausrüstung wird schnell angeschlossen, um die normale Netzwerkkommunikation zu schützen. Wenn IPS/FW ausfällt, wird die Wiederherstellung ebenfalls rechtzeitig durch die Funktion der intelligenten Heartbeat-Nachrichtenerkennung durchgeführt, um die ursprüngliche Verbindung wiederherzustellen und die Sicherheitsüberprüfung des Unternehmensnetzwerks durchzuführen.
Mylinking™ „Bypass Switch“ verfügt über eine leistungsstarke intelligente Funktion zur Erkennung von Heartbeat-Nachrichten. Der Benutzer kann das Heartbeat-Intervall und die maximale Anzahl von Wiederholungsversuchen anpassen, indem er eine benutzerdefinierte Heartbeat-Nachricht auf dem IPS/FW zur Integritätsprüfung ausgibt, z. B. indem er die Heartbeat-Prüfnachricht an den Upstream-/Downstream-Port des IPS/FW sendet und sie dann vom Upstream-/Downstream-Port des IPS/FW empfängt und durch Senden und Empfangen der Heartbeat-Nachricht beurteilt, ob das IPS/FW normal funktioniert.
5.3 „SpecFlow“-Richtlinie Flow Inline Traction Series Schutz
Wenn das Sicherheitsnetzwerkgerät nur bestimmten Datenverkehr im Rahmen der Seriensicherheit verarbeiten muss, wird über die Funktion „Bypass Switch“ von Mylinking™ der Datenverkehr pro Verarbeitung und über die Verkehrsüberwachungsstrategie der mit dem Sicherheitsgerät verbundene „betroffene“ Datenverkehr direkt an die Netzwerkverbindung zurückgesendet und der „betroffene Datenverkehr“ wird an das Inline-Sicherheitsgerät weitergeleitet, um Sicherheitsprüfungen durchzuführen. Dadurch wird nicht nur die normale Anwendung der Sicherheitserkennungsfunktion des Sicherheitsgeräts aufrechterhalten, sondern auch der ineffiziente Datenfluss der Sicherheitsausrüstung zur Bewältigung des Drucks verringert. Gleichzeitig kann der „Bypass Switch“ den Betriebszustand des Sicherheitsgeräts in Echtzeit erkennen. Das Sicherheitsgerät arbeitet abnormal und umgeht den Datenverkehr direkt, um eine Unterbrechung des Netzwerkdienstes zu vermeiden.
Der Mylinking™ Traffic Bypass Protector kann Verkehr anhand der Header-Kennung der L2-L4-Schicht identifizieren, wie etwa VLAN-Tag, Quell-/Ziel-MAC-Adresse, Quell-IP-Adresse, IP-Pakettyp, Transportschicht-Protokollport, Protokoll-Header-Schlüsseltag usw. Eine Vielzahl von Übereinstimmungsbedingungen kann flexibel kombiniert werden, um die spezifischen Verkehrstypen zu bestimmen, die für ein bestimmtes Sicherheitsgerät von Interesse sind, und kann breit für den Einsatz spezieller Sicherheitsprüfgeräte (RDP, SSH, Datenbankprüfung usw.) verwendet werden.
5.4 Lastausgeglichener Serienschutz
Der Mylinking™ „Bypass Switch“ wird in Reihe zwischen Netzwerkgeräten (Routern, Switches usw.) eingesetzt. Wenn die Verarbeitungsleistung eines einzelnen IPS/FW nicht ausreicht, um Spitzenverkehr auf der Netzwerkverbindung zu bewältigen, kann die Lastausgleichsfunktion des Protectors, die den Netzwerkverbindungsverkehr mehrerer IPS/FW-Cluster bündelt, den Verarbeitungsdruck einzelner IPS/FWs effektiv reduzieren und die Gesamtverarbeitungsleistung verbessern, um den hohen Bandbreitenanforderungen der Bereitstellungsumgebung gerecht zu werden.
Der „Bypass Switch“ von Mylinking™ verfügt über eine leistungsstarke Lastausgleichsfunktion. Er verteilt den Datenverkehr durch Hash-Lastausgleich entsprechend dem VLAN-Tag des Frames, den MAC-Informationen, den IP-Informationen, der Portnummer, dem Protokoll und anderen Informationen, um die Integrität der von jedem IPS/FW empfangenen Datenflusssitzung sicherzustellen.
5.5 Schutz vor Strömungszug bei Inline-Geräten mehrerer Serien (Änderung der seriellen Verbindung in eine parallele Verbindung)
Bei einigen wichtigen Verbindungen (z. B. Internetanschlüssen und Server-Area-Exchange-Verbindungen) ist der Standort aufgrund der Sicherheitsanforderungen häufig mit mehreren Inline-Sicherheitsprüfgeräten (z. B. Firewalls, Anti-DDOS-Angriffsgeräten, Web-Anwendungsfirewalls, Intrusion-Prevention-Geräten usw.) verbunden. Mehrere Sicherheitsprüfgeräte gleichzeitig in Reihe an der Verbindung erhöhen die Ausfallwahrscheinlichkeit und verringern die Gesamtzuverlässigkeit des Netzwerks. Die Online-Bereitstellung, Geräteaktualisierungen, Geräteaustausch und andere Vorgänge der oben genannten Sicherheitsausrüstung führen zu längeren Netzwerkunterbrechungen und erfordern größere Projektkürzungen, um die erfolgreiche Umsetzung solcher Projekte abzuschließen.
Durch die einheitliche Bereitstellung des „Bypass-Switches“ kann der Bereitstellungsmodus mehrerer in Reihe geschalteter Sicherheitsgeräte auf derselben Verbindung vom „physischen Verkettungsmodus“ in den „physischen Verkettungs- und logischen Verkettungsmodus“ geändert werden. Durch die Verbindung eines einzelnen Ausfallpunkts wird die Zuverlässigkeit der Verbindung verbessert, während der „Bypass-Switch“ auf der Verbindung den Datenfluss bei Bedarf steuert, um den gleichen sicheren Verarbeitungseffekt wie im ursprünglichen Modus zu erzielen.
Diagramm zur gleichzeitigen Serienbereitstellung mehrerer Sicherheitsgeräte:
Mylinking™ Network TAP Bypass Switch-Bereitstellungsdiagramm:
5.6 Basierend auf der dynamischen Strategie des Verkehrssicherheitserkennungsschutzes
„Bypass-Schalter“ Ein weiteres erweitertes Anwendungsszenario basiert auf der dynamischen Strategie der Verkehrstraktionssicherheitserkennungsschutzanwendungen, der Bereitstellungsweg ist unten dargestellt:
Nehmen wir zum Beispiel das Sicherheitstestgerät „Schutz und Erkennung von DDoS-Angriffen“. Dazu wird zunächst ein „Bypass-Switch“ an der Vorderseite des Geräts installiert und anschließend das DDoS-Schutzgerät angeschlossen. Anschließend wird der gesamte Datenverkehr im „Traction Protector“ mit Leitungsgeschwindigkeit weitergeleitet und gleichzeitig der Datenfluss gespiegelt an das Gerät zum Schutz vor DDoS-Angriffen gesendet. Sobald ein Angriff auf die IP-Adresse eines Servers (oder eines IP-Netzwerksegments) erkannt wurde, generiert das Gerät zum Schutz vor DDoS-Angriffen passende Regeln für den Zieldatenfluss und sendet diese über die dynamische Richtlinienübermittlungsschnittstelle an den „Bypass-Switch“. Nach Erhalt der dynamischen Richtlinienregeln kann der „Bypass-Switch“ den „Dynamic Traffic Traction“-Regelpool aktualisieren und den angegriffenen Serverdatenverkehr sofort zur Verarbeitung an das Gerät zum Schutz und zur Erkennung von DDoS-Angriffen weiterleiten, um ihn nach dem Angriff wirksam zu machen und erneut in das Netzwerk einzuspeisen.
Das auf dem „Bypass-Switch“ basierende Anwendungsschema ist einfacher zu implementieren als die herkömmliche BGP-Routeneinspeisung oder andere Verkehrstraktionsschemata. Zudem ist die Umgebung weniger vom Netzwerk abhängig und die Zuverlässigkeit höher.
„Bypass Switch“ verfügt über die folgenden Eigenschaften, um den Schutz vor dynamischer Richtliniensicherheitserkennung zu unterstützen:
1. „Bypass-Schalter“, um außerhalb der Regeln basierend auf der WEBSERVICE-Schnittstelle eine einfache Integration mit Sicherheitsgeräten von Drittanbietern zu ermöglichen.
2. Der „Bypass-Switch“ basiert auf einem reinen ASIC-Chip, der Pakete mit bis zu 10 Gbit/s Leitungsgeschwindigkeit weiterleitet, ohne die Weiterleitung durch den Switch zu blockieren, und verfügt über eine „Bibliothek dynamischer Regeln für die Verkehrstraktion“, unabhängig von der Anzahl.
3. Die integrierte professionelle BYPASS-Funktion „Bypass-Schalter“ kann die ursprüngliche serielle Verbindung sofort umgehen, selbst wenn der Schutz selbst ausfällt, ohne die normale Kommunikation der ursprünglichen Verbindung zu beeinträchtigen.
