1. Was ist das Define Heartbeat-Paket?
Die Heartbeat-Pakete des Mylinking™ Network Tap Bypass Switch sind standardmäßig Ethernet-Layer-2-Frames. Im transparenten Layer-2-Bridging-Modus (z. B. IPS/FW) werden Layer-2-Ethernet-Frames normalerweise weitergeleitet, blockiert oder verworfen. Gleichzeitig unterstützt der Mylinking™ Network Tap Bypass Switch ein benutzerdefiniertes Heartbeat-Nachrichtenformat, um dem Fall gerecht zu werden, dass bestimmte serielle Sicherheitsgeräte normale Layer-2-Ethernet-Frames nicht weiterleiten können.
Der Mylinking™ Network Tap Bypass Switch unterstützt außerdem die Heartbeat-Paketerkennung basierend auf VLAN-Tags sowie benutzerdefinierten Layer-3- und Layer-4-Nachrichtentypen. Mithilfe dieses Mechanismus kann der Benutzer eine Sicherheitsprüfung der Verbindungssicherheitsvorrichtung implementieren, um deren ordnungsgemäße Funktion zu gewährleisten.
Der Mylinking™ Network Tap Bypass Switch unterstützt den Monitor beim Senden unterschiedlicher Heartbeat-Pakete in beide Richtungen. Beispielsweise können TCP- und UDP-Heartbeat-Pakete im „Strategy Traffic Traction Protector“ an die Besonderheiten des seriellen Geräts angepasst werden. Sie können das Senden von TCP-Heartbeat-Paketen am Uplink-Monitor-Port A und von UDP-Heartbeat-Paketen am Downlink-Monitor-Port B konfigurieren, um den Nachrichtenweiterleitungsmechanismus des seriellen Sicherheitsgeräts zu berücksichtigen. Diese Funktion gewährleistet einen zuverlässigen und unterbrechungsfreien Betrieb der Sicherheitsgeräte.
Der Mylinking™ Network Inline Bypass Switch wurde für den flexiblen Einsatz verschiedener Arten von seriellen Sicherheitsgeräten bei gleichzeitig hoher Netzwerkzuverlässigkeit entwickelt.
Erweiterte Funktionen und Technologien für den 2-Netzwerk-Inline-Bypass-Switch
Mylinking™ „SpecFlow“-Schutzmodus und „FullLink“-Schutzmodus-Technologie
Mylinking™ Schnell-Bypass-Schaltschutztechnologie
Mylinking™ „LinkSafeSwitch“-Technologie
Mylinking™ „WebService“ Dynamische Strategieweiterleitung/Problembehandlungstechnologie
Mylinking™ Intelligente Herzschlag-Nachrichtenerkennungstechnologie
Mylinking™ Definierbare Herzschlagnachrichten-Technologie
Mylinking™ Multi-Link-Lastverteilungstechnologie
Mylinking™ Intelligente Verkehrsverteilungstechnologie
Mylinking™ Dynamische Lastverteilungstechnologie
Mylinking™ Fernverwaltungstechnologie (HTTP/WEB, TELNET/SSH, „EasyConfig/AdvanceConfig“-Funktion)
3-Netzwerk-Inline-Bypass-Switch-Anwendung (wie folgt)
3.1 Das Risiko von Inline-Sicherheitsausrüstung (IPS/FW)
Nachfolgend wird ein typischer Bereitstellungsmodus für ein IPS (Intrusion Prevention System) und eine FW (Firewall) dargestellt. IPS und FW werden nacheinander an den Netzwerkgeräten (Routern, Switches usw.) installiert und führen zwischen dem Datenverkehr Sicherheitsprüfungen durch. Gemäß der entsprechenden Sicherheitsrichtlinie wird dann entschieden, ob der entsprechende Datenverkehr freigegeben oder blockiert wird, um so den Schutz der Netzwerksicherheit zu gewährleisten.
Gleichzeitig lässt sich IPS/FW als serielle Gerätekonfiguration betrachten, die üblicherweise an kritischen Stellen im Unternehmensnetzwerk zur Implementierung serieller Sicherheit eingesetzt wird. Die Zuverlässigkeit der angeschlossenen Geräte beeinflusst direkt die Gesamtverfügbarkeit des Unternehmensnetzwerks. Sobald serielle Geräte überlastet werden, ausfallen oder Software- bzw. Richtlinienaktualisierungen erforderlich sind, wird die Verfügbarkeit des gesamten Unternehmensnetzwerks stark beeinträchtigt. In diesem Fall kann das Netzwerk nur durch eine physische Überbrückung wiederhergestellt werden, was die Zuverlässigkeit des Netzwerks jedoch erheblich beeinträchtigt. IPS/FW und andere serielle Geräte verbessern zwar einerseits die Sicherheit des Unternehmensnetzwerks, verringern aber andererseits dessen Zuverlässigkeit und erhöhen somit das Risiko eines Netzwerkausfalls.
3.2 Geräteschutz der Inline-Link-Serie
Mylinking™ „Network Inline Bypass“ wird zwischen Netzwerkgeräten (Routern, Switches usw.) in Reihe geschaltet. Der Datenfluss zwischen den Netzwerkgeräten führt nicht mehr direkt zum IPS/FW, sondern überbrückt dieses. Bei Ausfällen des IPS/FW aufgrund von Überlastung, Absturz, Software- oder Richtlinienaktualisierungen erkennt „Network Inline Bypass“ dies mithilfe einer intelligenten Heartbeat-Nachrichtenerkennung und überspringt so das fehlerhafte Gerät. Dadurch wird der Netzwerkbetrieb nicht unterbrochen und die Verbindung zu den betroffenen Netzwerkgeräten wiederhergestellt, um die normale Kommunikation zu gewährleisten. Auch bei einem Ausfall des IPS/FW erkennt „Network Inline Bypass“ Fehler umgehend mithilfe intelligenter Heartbeat-Pakete und stellt die ursprüngliche Verbindung wieder her, um die Sicherheit des Unternehmensnetzwerks zu gewährleisten.
Mylinking™ „Network Inline Bypass“ verfügt über eine leistungsstarke intelligente Heartbeat-Nachrichtenerkennungsfunktion. Der Benutzer kann das Heartbeat-Intervall und die maximale Anzahl der Wiederholungsversuche anpassen und über eine benutzerdefinierte Heartbeat-Nachricht auf dem IPS/FW einen Gesundheitstest durchführen. Beispielsweise wird die Heartbeat-Prüfnachricht an den Upstream-/Downstream-Port des IPS/FW gesendet und anschließend vom Upstream-/Downstream-Port des IPS/FW empfangen. Durch Senden und Empfangen der Heartbeat-Nachricht wird beurteilt, ob das IPS/FW ordnungsgemäß funktioniert.
3.3 „SpecFlow“-Richtlinienablauf Inline-Traktionsserienschutz
Wenn das Sicherheitsnetzwerkgerät nur einen bestimmten Datenverkehr im Rahmen des seriellen Sicherheitsschutzes verarbeiten muss, wird dieser mithilfe der Mylinking™-Funktion „Netzwerk-Inline-Bypass“ vorverarbeitet. Durch eine Datenverkehrsfilterstrategie wird der relevante Datenverkehr des Sicherheitsgeräts direkt an die Netzwerkverbindung zurückgeleitet und dort an das Inline-Sicherheitsgerät zur Durchführung von Sicherheitsprüfungen weitergeleitet. Dies gewährleistet nicht nur die normale Funktion der Sicherheitserkennungsfunktion des Sicherheitsgeräts, sondern reduziert auch die Belastung des Sicherheitsgeräts durch ineffizienten Datenfluss. Gleichzeitig kann der „Netzwerk-Inline-Bypass“ den Betriebszustand des Sicherheitsgeräts in Echtzeit überwachen. Bei Fehlfunktionen des Sicherheitsgeräts wird der Datenverkehr direkt umgeleitet, um Netzwerkunterbrechungen zu vermeiden.
3.4 Lastverteilter Serienschutz
Der Mylinking™ „Network Inline Bypass“ wird in Reihe zwischen Netzwerkgeräten (Routern, Switches usw.) geschaltet. Reicht die Verarbeitungsleistung eines einzelnen IPS/FW nicht aus, um die Spitzenlast des Netzwerkverkehrs zu bewältigen, kann die Lastverteilungsfunktion des Schutzsystems durch die Bündelung mehrerer IPS/FW-Cluster den Netzwerkverkehr effektiv entlasten und die Gesamtverarbeitungsleistung verbessern, um den Anforderungen der hohen Bandbreite in der Einsatzumgebung gerecht zu werden.
Mylinking™ „Network Inline Bypass“ verfügt über eine leistungsstarke Load-Balancing-Funktion, die den Datenverkehr anhand des Frame-VLAN-Tags, der MAC-Informationen, der IP-Informationen, der Portnummer, des Protokolls und anderer Informationen per Hash-Load-Balancing verteilt, um die Integrität der Sitzungen zu gewährleisten, die jedes IPS/FW empfängt.
3.5 Traktionsschutz für in Reihe geschaltete Anlagen mit mehreren Reihen (Umstellung der Reihenschaltung auf Parallelschaltung)
Bei wichtigen Verbindungen (z. B. Internetanschlüssen, Serverknotenpunkten) erfolgt die Standortwahl häufig aufgrund von Sicherheitsanforderungen und dem Einsatz mehrerer Inline-Sicherheitstestgeräte (z. B. Firewalls, DDoS-Schutz, Web Application Firewalls, Intrusion-Prevention-Systeme usw.). Der gleichzeitige Einsatz mehrerer Sicherheitsüberwachungsgeräte in Reihe erhöht die Wahrscheinlichkeit eines Single Point of Failure und verringert die Gesamtzuverlässigkeit des Netzwerks. Darüber hinaus führen die Online-Bereitstellung, Geräte-Upgrades, Geräteaustausche und andere Maßnahmen zu längeren Netzwerkunterbrechungen und erfordern umfangreiche Projektkürzungen, um die erfolgreiche Umsetzung solcher Projekte zu gewährleisten.
Durch den einheitlichen Einsatz des „Netzwerk-Inline-Bypass“ kann der Bereitstellungsmodus mehrerer in Reihe geschalteter Sicherheitsgeräte auf derselben Verbindung vom „physischen Verkettungsmodus“ in den „physischen und logischen Verkettungsmodus“ geändert werden. Dadurch wird die Zuverlässigkeit der Verbindung verbessert, da ein Single Point of Failure besteht. Gleichzeitig ermöglicht der „Netzwerk-Inline-Bypass“ eine bedarfsgesteuerte Datenflusssteuerung, um den gleichen sicheren Verarbeitungseffekt wie im ursprünglichen Modus zu gewährleisten.
Bereitstellungsdiagramm für mehrere Sicherheitsgeräte gleichzeitig in Reihe:
Einsatzdiagramm für Inline-Bypass-Switches im Netzwerk:
3.6 Basierend auf der dynamischen Strategie der Verkehrssicherheitserkennung und -überwachung
„Netzwerk-Inline-Bypass“ Ein weiteres fortgeschrittenes Anwendungsszenario basiert auf der dynamischen Strategie von Anwendungen zur Erkennung und zum Schutz der Verkehrssicherheit. Die Implementierung erfolgt wie folgt:
Nehmen wir beispielsweise die Sicherheitstestausrüstung für „DDoS-Schutz und -Erkennung“. Diese wird über einen vorgelagerten „Network Inline Bypass“ und anschließend über die DDoS-Schutzausrüstung mit dem „Network Inline Bypass“ verbunden. Der übliche „Traction Protector“ leitet den gesamten Datenverkehr mit Leitungsgeschwindigkeit weiter und spiegelt gleichzeitig den Datenfluss an das „DDoS-Schutzgerät“. Sobald ein Angriff auf eine Server-IP (oder ein IP-Netzwerksegment) erkannt wird, generiert das „DDoS-Schutzgerät“ Regeln für den Zieldatenverkehr und sendet diese über die Schnittstelle für dynamische Richtlinienbereitstellung an den „Network Inline Bypass“. Dieser aktualisiert nach Empfang der dynamischen Richtlinienregeln den Regelpool für die dynamische Datenverkehrssteuerung und leitet den Datenverkehr des angegriffenen Servers sofort an die DDoS-Schutz- und -Erkennungsausrüstung zur Verarbeitung weiter. Nach dem Angriff wird der Datenverkehr wieder in das Netzwerk eingespeist.
Das auf dem „Network Inline Bypass“ basierende Anwendungsschema ist einfacher zu implementieren als die herkömmliche BGP-Routeninjektion oder andere Verfahren zur Verkehrssteuerung, die Umgebung ist weniger netzwerkabhängig und die Zuverlässigkeit ist höher.
„Network Inline Bypass“ verfügt über folgende Eigenschaften zur Unterstützung des dynamischen Richtlinien-Sicherheitsschutzes:
1. „Netzwerk-Inline-Bypass“ ermöglicht die Umgehung der Regeln über eine WEBSERVICE-Schnittstelle und die einfache Integration mit Sicherheitsgeräten von Drittanbietern.
2. „Network Inline Bypass“ basiert auf einem reinen Hardware-ASIC-Chip, der Pakete mit bis zu 10 Gbit/s Leitungsgeschwindigkeit weiterleitet, ohne die Weiterleitung durch den Switch zu blockieren, und auf einer „dynamischen Regelbibliothek für Verkehrsfluss“, unabhängig von der Anzahl.
3. Die integrierte professionelle BYPASS-Funktion „Netzwerk-Inline-Bypass“ ermöglicht es, selbst bei einem Ausfall des Schutzmechanismus die ursprüngliche serielle Verbindung sofort zu umgehen, ohne die normale Kommunikation der ursprünglichen Verbindung zu beeinträchtigen.
Veröffentlichungsdatum: 23. Dezember 2021
