1- Was ist das Define Heartbeat-Paket?
Die Heartbeat-Pakete des Mylinking™ Network Tap Bypass Switches sind standardmäßig Ethernet-Layer-2-Frames. Im transparenten Layer-2-Bridging-Modus (z. B. IPS/FW) werden Layer-2-Ethernet-Frames normalerweise weitergeleitet, blockiert oder verworfen. Gleichzeitig unterstützt der Mylinking™ Network Tap Bypass Switch ein benutzerdefiniertes Heartbeat-Nachrichtenformat, um der Situation gerecht zu werden, dass einige spezielle serielle Sicherheitsgeräte normale Layer-2-Ethernet-Frames normalerweise nicht weiterleiten können.
Und der Mylinking™ Network Tap Bypass Switch unterstützt auch die Heartbeat-Paketerkennung basierend auf VLAN-Tags sowie benutzerdefinierten Nachrichtentypen der Schichten 3 und 4. Basierend auf diesem Mechanismus kann der Benutzer eine Service-Sicherheitstestfunktion des Verbindungssicherheitsgeräts implementieren, um effektiver sicherzustellen, dass die entsprechenden Sicherheitsdienste ordnungsgemäß funktionieren.
Der Mylinking™ Network Tap Bypass Switch unterstützt den Monitor beim Senden verschiedener Heartbeat-Pakete in beide Richtungen. Beispielsweise werden TCP- und UDP-Heartbeat-Pakete im „Strategy Traffic Traction Protector“ entsprechend den Besonderheiten des seriellen Geräts angepasst. Sie können das Senden von TCP-Heartbeat-Paketen am Uplink-Monitor-Port A und das Senden von UDP-Heartbeat-Paketen am Downlink-Monitor-Port B konfigurieren, um den Nachrichtenweiterleitungsmechanismus des seriellen Sicherheitsgeräts zu unterstützen. Diese Funktion gewährleistet eine effektivere String-Garantie. Schließen Sie die Sicherheitsausrüstung an den Normalbetrieb an.
Der Mylinking™ Network Inline Bypass Switch wurde für den flexiblen Einsatz verschiedener Arten serieller Sicherheitsgeräte erforscht und entwickelt und bietet gleichzeitig eine hohe Netzwerkzuverlässigkeit.
Erweiterte Funktionen und Technologien des 2-Netzwerk-Inline-Bypass-Switch
Mylinking™ „SpecFlow“-Schutzmodus und „FullLink“-Schutzmodus-Technologie
Mylinking™ Fast Bypass Switching-Schutztechnologie
Mylinking™ „LinkSafeSwitch“-Technologie
Mylinking™ „WebService“ Dynamische Strategie-Weiterleitungs-/Ausgabetechnologie
Mylinking™ Intelligente Heartbeat-Nachrichtenerkennungstechnologie
Mylinking™ Definierbare Heartbeat-Nachrichtentechnologie
Mylinking™ Multi-Link-Lastausgleichstechnologie
Mylinking™ Intelligente Verkehrsverteilungstechnologie
Mylinking™ Dynamische Lastausgleichstechnologie
Mylinking™ Remote Management-Technologie (HTTP/WEB, TELNET/SSH, „EasyConfig/AdvanceConfig“-Funktion)
3-Netzwerk-Inline-Bypass-Switch-Anwendung (wie folgt)
3.1 Das Risiko von Inline-Sicherheitsgeräten (IPS/FW)
Das Folgende ist ein typischer IPS- (Intrusion Prevention System) und FW- (Firewall) Bereitstellungsmodus. IPS/FW wird nacheinander auf den Netzwerkgeräten (Routern, Switches usw.) bereitgestellt, wobei Sicherheitsprüfungen im Datenverkehr durchgeführt werden. Gemäß der entsprechenden Sicherheitsrichtlinie wird entschieden, ob der entsprechende Datenverkehr freigegeben oder blockiert wird, um einen Sicherheitsschutzeffekt zu erzielen.
Gleichzeitig ist IPS/FW als serielles Gerät zu betrachten, das üblicherweise an zentralen Stellen im Unternehmensnetzwerk eingesetzt wird, um die serielle Sicherheit zu gewährleisten. Die Zuverlässigkeit der angeschlossenen Geräte wirkt sich direkt auf die allgemeine Verfügbarkeit des Unternehmensnetzwerks aus. Überlastung, Absturz, Software-Updates, Richtlinienaktualisierungen usw. der seriellen Geräte beeinträchtigen die Verfügbarkeit des gesamten Unternehmensnetzwerks erheblich. An diesem Punkt kann das Netzwerk nur durch eine Netzwerkunterbrechung oder einen physischen Bypass-Jumper wiederhergestellt werden, was die Zuverlässigkeit des Netzwerks erheblich beeinträchtigt. IPS/FW und andere serielle Geräte verbessern einerseits die Sicherheit des Unternehmensnetzwerks, verringern andererseits aber auch die Zuverlässigkeit des Unternehmensnetzwerks und erhöhen das Risiko von Netzwerkausfällen.
3.2 Geräteschutz der Inline Link-Serie
Mylinking™ „Network Inline Bypass“ wird in Reihe zwischen Netzwerkgeräten (Routern, Switches usw.) eingesetzt, sodass der Datenfluss zwischen den Netzwerkgeräten nicht mehr direkt zu IPS/FW führt, sondern zu „Network Inline Bypass“ zu IPS/FW. Wenn IPS/FW aufgrund von Überlastung, Absturz, Software-Updates, Richtlinien-Updates usw. ausfällt, erkennt „Network Inline Bypass“ das fehlerhafte Gerät rechtzeitig durch die intelligente Heartbeat-Nachrichtenerkennungsfunktion und überspringt es so, ohne das Netzwerk zu unterbrechen. Die direkt angeschlossenen Netzwerkgeräte werden schnell verbunden, um die normale Netzwerkkommunikation zu schützen. Wenn IPS/FW ausfällt, wird die ursprüngliche Verbindung durch die intelligente Heartbeat-Nachrichtenerkennungsfunktion rechtzeitig wiederhergestellt, um die Sicherheitsüberprüfung des Unternehmensnetzwerks durchzuführen.
Mylinking™ „Network Inline Bypass“ verfügt über eine leistungsstarke intelligente Funktion zur Erkennung von Heartbeat-Nachrichten. Der Benutzer kann das Heartbeat-Intervall und die maximale Anzahl von Wiederholungsversuchen anpassen, indem er eine benutzerdefinierte Heartbeat-Nachricht auf dem IPS/FW zur Integritätsprüfung ausgibt, z. B. indem er die Heartbeat-Prüfnachricht an den Upstream-/Downstream-Port des IPS/FW sendet und sie dann vom Upstream-/Downstream-Port des IPS/FW empfängt und durch Senden und Empfangen der Heartbeat-Nachricht beurteilt, ob das IPS/FW normal funktioniert.
3.3 „SpecFlow“-Richtlinie Flow Inline Traction Series Schutz
Wenn das Sicherheitsnetzwerkgerät nur bestimmten Datenverkehr im Rahmen der Seriensicherheit verarbeiten muss, wird der betroffene Datenverkehr über die Mylinking™-Funktion „Network Inline Bypass“ mithilfe der Verkehrsüberwachungsstrategie direkt an die Netzwerkverbindung zurückgesendet und der betroffene Datenverkehr an das Inline-Sicherheitsgerät weitergeleitet, um Sicherheitsprüfungen durchzuführen. Dadurch wird nicht nur die normale Funktion der Sicherheitserkennungsfunktion des Sicherheitsgeräts aufrechterhalten, sondern auch der ineffiziente Datenfluss der Sicherheitsausrüstung zur Bewältigung des Drucks reduziert. Gleichzeitig kann der „Network Inline Bypass“ den Betriebszustand des Sicherheitsgeräts in Echtzeit erkennen. Das Sicherheitsgerät umgeht den Datenverkehr bei Störungen direkt, um Netzwerkdienstunterbrechungen zu vermeiden.
3.4 Lastausgeglichener Serienschutz
Der Mylinking™ „Network Inline Bypass“ wird in Reihe zwischen Netzwerkgeräten (Routern, Switches usw.) eingesetzt. Wenn die Verarbeitungsleistung eines einzelnen IPS/FW nicht ausreicht, um den Spitzenverkehr der Netzwerkverbindung zu bewältigen, kann die Lastausgleichsfunktion des Protectors, die den Netzwerkverbindungsverkehr mehrerer IPS/FW-Cluster bündelt, den Verarbeitungsdruck einzelner IPS/FWs effektiv reduzieren und die Gesamtverarbeitungsleistung verbessern, um den hohen Bandbreitenanforderungen der Bereitstellungsumgebung gerecht zu werden.
Mylinking™ „Network Inline Bypass“ verfügt über eine leistungsstarke Lastausgleichsfunktion, die den Datenverkehr durch Hash-Lastausgleich entsprechend dem Frame-VLAN-Tag, den MAC-Informationen, den IP-Informationen, der Portnummer, dem Protokoll und anderen Informationen verteilt, um die Integrität der von jedem IPS/FW empfangenen Datenflusssitzung zu gewährleisten.
3.5 Schutz vor Strömungszug bei Inline-Geräten mehrerer Serien (Änderung der seriellen Verbindung in eine parallele Verbindung)
Bei einigen wichtigen Verbindungen (z. B. Internetanschlüssen und Server-Area-Exchange-Verbindungen) ist der Standort aufgrund der Sicherheitsanforderungen häufig mit mehreren Inline-Sicherheitsprüfgeräten (z. B. Firewalls, Anti-DDOS-Angriffsgeräten, Web-Anwendungsfirewalls, Intrusion-Prevention-Geräten usw.) verbunden. Mehrere Sicherheitsprüfgeräte gleichzeitig in Reihe an der Verbindung erhöhen die Ausfallwahrscheinlichkeit und verringern die Gesamtzuverlässigkeit des Netzwerks. Die Online-Bereitstellung, Geräteaktualisierungen, Geräteaustausch und andere Vorgänge der oben genannten Sicherheitsausrüstung führen zu längeren Netzwerkunterbrechungen und erfordern größere Projektkürzungen, um die erfolgreiche Umsetzung solcher Projekte abzuschließen.
Durch die einheitliche Bereitstellung des „Network Inline Bypass“ kann der Bereitstellungsmodus mehrerer in Reihe geschalteter Sicherheitsgeräte auf derselben Verbindung vom „physischen Verkettungsmodus“ in den „physischen Verkettungs- und logischen Verkettungsmodus“ geändert werden. Die Verbindung mit einem einzelnen Ausfallpunkt auf der Verbindung verbessert die Zuverlässigkeit der Verbindung, während der „Network Inline Bypass“ auf der Verbindung den Datenfluss bei Bedarf steuert, um denselben Datenfluss mit der sicheren Verarbeitungswirkung des ursprünglichen Modus zu erzielen.
Diagramm zur gleichzeitigen Serienbereitstellung mehrerer Sicherheitsgeräte:
Bereitstellungsdiagramm für den Inline-Bypass-Switch im Netzwerk:
3.6 Basierend auf der dynamischen Strategie des Verkehrssicherheitserkennungsschutzes
„Network Inline Bypass“ Ein weiteres erweitertes Anwendungsszenario basiert auf der dynamischen Strategie der Verkehrstraktionssicherheitserkennungsschutzanwendungen. Die Bereitstellung erfolgt wie folgt:
Nehmen wir zum Beispiel das Sicherheitstestgerät „Schutz und Erkennung von DDoS-Angriffen“. Es wird zunächst „Network Inline Bypass“ und anschließend das Anti-DDOS-Schutzgerät eingesetzt und anschließend mit „Network Inline Bypass“ verbunden. Im Normalbetrieb leitet „Traction Protector“ den gesamten Datenverkehr mit Leitungsgeschwindigkeit weiter und spiegelt gleichzeitig den Datenfluss an das Gerät zum Schutz vor DDoS-Angriffen. Sobald ein Angriff auf die IP-Adresse eines Servers (oder eines IP-Netzwerksegments) erkannt wurde, generiert das Gerät zum Schutz vor DDoS-Angriffen passende Regeln für den Zieldatenfluss und sendet diese über die dynamische Richtlinienübermittlungsschnittstelle an „Network Inline Bypass“. Nach Erhalt der dynamischen Richtlinienregeln kann „Network Inline Bypass“ den Regelpool „Traffic Traction Dynamic“ aktualisieren und den angegriffenen Serverdatenverkehr sofort zur Verarbeitung an das Gerät zum Schutz und zur Erkennung von DDoS-Angriffen weiterleiten, um ihn nach dem Angriff wirksam zu machen und erneut in das Netzwerk einzuspeisen.
Das auf „Network Inline Bypass“ basierende Anwendungsschema ist einfacher zu implementieren als die herkömmliche BGP-Routeneinspeisung oder andere Verkehrstraktionsschemata. Zudem ist die Umgebung weniger vom Netzwerk abhängig und die Zuverlässigkeit höher.
„Network Inline Bypass“ verfügt über die folgenden Eigenschaften, um den Schutz durch dynamische Richtliniensicherheitserkennung zu unterstützen:
1. „Network Inline Bypass“, um außerhalb der Regeln basierend auf der WEBSERVICE-Schnittstelle eine einfache Integration mit Sicherheitsgeräten von Drittanbietern zu ermöglichen.
2. „Network Inline Bypass“ basiert auf einem reinen ASIC-Chip, der Pakete mit bis zu 10 Gbit/s Leitungsgeschwindigkeit weiterleitet, ohne die Switch-Weiterleitung zu blockieren, und einer „Traffic Traction Dynamic Rule Library“, unabhängig von der Anzahl.
3. Die integrierte professionelle BYPASS-Funktion „Network Inline Bypass“ kann die ursprüngliche serielle Verbindung sofort umgehen, selbst wenn der Schutz selbst ausfällt, ohne die normale Kommunikation der ursprünglichen Verbindung zu beeinträchtigen.
Veröffentlichungszeit: 23.12.2021
