1- Was ist das Define Heartbeat-Paket?
Die Heartbeat-Pakete des Mylinking™ Network Tap Bypass Switch verwenden standardmäßig Ethernet Layer 2-Frames. Bei der Bereitstellung eines transparenten Layer-2-Bridging-Modus (z. B. IPS/FW) werden Layer-2-Ethernet-Frames normalerweise weitergeleitet, blockiert oder verworfen. Gleichzeitig unterstützt der Mylinking™ Network Tap Bypass Switch ein benutzerdefiniertes Heartbeat-Nachrichtenformat, um der Situation gerecht zu werden, dass einige spezielle serielle Sicherheitsgeräte normale Layer-2-Ethernet-Frames normalerweise nicht weiterleiten können.
Und der Mylinking™ Network Tap Bypass Switch unterstützt auch die Heartbeat-Paketerkennung basierend auf VLAN-Tags sowie benutzerdefinierten Layer-3- und Layer-4-Nachrichtentypen. Basierend auf diesem Mechanismus kann der Benutzer eine Dienstsicherheitstestfunktion des Verbindungssicherheitsgeräts implementieren, um diese effektiver zu gestalten und sicherzustellen, dass die entsprechenden Sicherheitsdienste ordnungsgemäß funktionieren.
Der Mylinking™ Network Tap Bypass Switch kann den Monitor dabei unterstützen, verschiedene Heartbeat-Pakete in beide Richtungen zu senden. Beispielsweise werden Heartbeat-Pakete vom Typ TCP und UDP auf dem „Strategy Traffic Traction Protector“ entsprechend den Besonderheiten des seriellen Geräts angepasst. Sie können das Senden von TCP-Heartbeat-Paketen am Uplink-Monitor-A-Port und das Senden von UDP-Heartbeat-Paketen am Downlink-Monitor-B-Port konfigurieren, um den Nachrichtenweiterleitungsmechanismus des seriellen Sicherheitsgeräts zu berücksichtigen. Diese Funktion kann die Zeichenfolge effektiver garantieren. Schließen Sie die Sicherheitseinrichtungen an den Normalbetrieb an.
Der Mylinking™ Network Inline Bypass Switch wurde für den flexiblen Einsatz verschiedener Arten von seriellen Sicherheitsgeräten erforscht und entwickelt und bietet gleichzeitig eine hohe Netzwerkzuverlässigkeit.
Erweiterte Funktionen und Technologien des 2-Netzwerk-Inline-Bypass-Schalters
Mylinking™ „SpecFlow“-Schutzmodus- und „FullLink“-Schutzmodus-Technologie
Mylinking™ Fast Bypass Switching-Schutztechnologie
Mylinking™ „LinkSafeSwitch“-Technologie
Mylinking™ „WebService“ Dynamic Strategy Forwarding/Issue Technology
Mylinking™ Intelligente Heartbeat-Nachrichtenerkennungstechnologie
Mylinking™ definierbare Heartbeat-Nachrichtentechnologie
Mylinking™ Multi-Link-Lastausgleichstechnologie
Mylinking™ Intelligente Verkehrsverteilungstechnologie
Mylinking™ Dynamic Load Balancing-Technologie
Mylinking™ Fernverwaltungstechnologie (HTTP/WEB, TELNET/SSH, „EasyConfig/AdvanceConfig“-Eigenschaft)
3-Netzwerk-Inline-Bypass-Switch-Anwendung (wie folgt)
3.1 Das Risiko von Inline-Sicherheitsgeräten (IPS / FW)
Das Folgende ist ein typischer IPS (Intrusion Prevention System) und FW (Firewall)-Bereitstellungsmodus. IPS / FW wird seriell bereitgestellt, um den Datenverkehr durch die Implementierung von Sicherheitsüberprüfungen an Netzwerkgeräte (Router, Switches usw.) anzupassen Bestimmen Sie mithilfe der entsprechenden Sicherheitsrichtlinie, ob der entsprechende Datenverkehr freigegeben oder blockiert werden soll, um den Effekt der Sicherheitsverteidigung zu erzielen.
Gleichzeitig können wir IPS / FW als serielle Bereitstellung von Geräten beobachten, die normalerweise an wichtigen Standorten des Unternehmensnetzwerks bereitgestellt werden, um serielle Sicherheit zu implementieren. Die Zuverlässigkeit der angeschlossenen Geräte wirkt sich direkt auf die Verfügbarkeit des gesamten Unternehmensnetzwerks aus. Sobald die seriellen Geräte überlastet sind, abstürzen, Software-Updates, Richtlinienaktualisierungen usw. durchgeführt werden, wird die Verfügbarkeit des gesamten Unternehmensnetzwerks stark beeinträchtigt. Zu diesem Zeitpunkt können wir das Netzwerk nur durch einen physischen Bypass-Jumper wiederherstellen, indem wir das Netzwerk unterbrechen, was die Zuverlässigkeit des Netzwerks ernsthaft beeinträchtigt. IPS/FW und andere serielle Geräte verbessern einerseits die Bereitstellung der Sicherheit von Unternehmensnetzwerken, verringern andererseits aber auch die Zuverlässigkeit von Unternehmensnetzwerken und erhöhen das Risiko, dass das Netzwerk nicht verfügbar ist.
3.2 Geräteschutz der Inline-Link-Serie
Mylinking™ „Network Inline Bypass“ wird in Reihe zwischen Netzwerkgeräten (Router, Switches usw.) eingesetzt, und der Datenfluss zwischen Netzwerkgeräten führt nicht mehr direkt zu IPS/FW, „Network Inline Bypass“ zu IPS/FW, wenn Das IPS/FW kann aufgrund von Überlastung, Absturz, Software-Updates, Richtlinien-Updates und anderen Fehlerbedingungen den „Network Inline Bypass“ durch intelligente Heartbeat-Nachrichtenerkennungsfunktion rechtzeitig erkennen und somit das fehlerhafte Gerät überspringen, ohne Unterbrechen Sie die Prämisse des Netzwerks und schließen Sie die schnelle Netzwerkausrüstung direkt an, um das normale Kommunikationsnetzwerk zu schützen. Wenn die IPS / FW-Fehler wiederhergestellt werden, kann die ursprüngliche Verbindung auch durch intelligente Heartbeat-Paketerkennung rechtzeitig erkannt werden, um die Sicherheit des Unternehmensnetzwerks wiederherzustellen.
Mylinking™ „Network Inline Bypass“ verfügt über eine leistungsstarke intelligente Erkennungsfunktion für Heartbeat-Nachrichten. Der Benutzer kann das Heartbeat-Intervall und die maximale Anzahl von Wiederholungsversuchen durch eine benutzerdefinierte Heartbeat-Nachricht auf dem IPS/FW für Gesundheitstests anpassen, z. B. durch Senden der Heartbeat-Prüfung Nachricht an den Upstream-/Downstream-Port von IPS/FW senden und dann vom Upstream-/Downstream-Port von IPS/FW empfangen und durch Senden und Empfangen des Heartbeats beurteilen, ob das IPS/FW normal funktioniert Nachricht.
3.3 „SpecFlow“-Richtlinienfluss-Inline-Traktionsserienschutz
Wenn das Sicherheitsnetzwerkgerät nur den spezifischen Datenverkehr im Rahmen des Sicherheitsschutzes verarbeiten muss, wird der Datenverkehr über die Mylinking™-Verkehrsverarbeitungsfunktion „Network Inline Bypass“ und die Verkehrsüberwachungsstrategie zur Verbindung mit dem Sicherheitsgerät „Betroffen“ zurückgesendet direkt an die Netzwerkverbindung und der „betroffene Verkehrsabschnitt“ wird an die Inline-Sicherheitsvorrichtung weitergeleitet, um Sicherheitskontrollen durchzuführen. Dadurch wird nicht nur die normale Anwendung der Sicherheitserkennungsfunktion der Sicherheitsvorrichtung aufrechterhalten, sondern auch der ineffiziente Durchfluss der Sicherheitsausrüstung zur Bewältigung des Drucks verringert. Gleichzeitig kann der „Network Inline Bypass“ den Betriebszustand der Sicherheitsvorrichtung in Echtzeit erkennen. Die Sicherheitsvorrichtung funktioniert ungewöhnlich und umgeht den Datenverkehr direkt, um eine Unterbrechung des Netzwerkdienstes zu vermeiden.
3.4 Lastsymmetrischer Serienschutz
Der „Network Inline Bypass“ von Mylinking™ wird in Reihe zwischen Netzwerkgeräten (Router, Switches usw.) eingesetzt. Wenn eine einzelne IPS-/FW-Verarbeitungsleistung nicht ausreicht, um den Spitzenverkehr der Netzwerkverbindung zu bewältigen, kann die Verkehrslastausgleichsfunktion des Schutzes, die „Bündelung“ mehrerer IPS-/FW-Cluster, die den Netzwerkverbindungsverkehr verarbeiten, den einzelnen IPS-/FW-Cluster effektiv reduzieren. FW-Verarbeitungsdruck, Verbesserung der Gesamtverarbeitungsleistung, um der hohen Bandbreite der Anspruchsbereitstellungsumgebung gerecht zu werden.
Mylinking™ „Network Inline Bypass“ verfügt über eine leistungsstarke Lastausgleichsfunktion, die je nach Frame-VLAN-Tag, MAC-Informationen, IP-Informationen, Portnummer, Protokoll und anderen Informationen die Hash-Lastausgleichsverteilung des Datenverkehrs gewährleistet, um sicherzustellen, dass jedes IPS/FW empfangen wird Datenfluss Sitzungsintegrität.
3.5 Multiserien-Inline-Gerätefluss-Traktionsschutz (serielle Verbindung in parallele Verbindung ändern)
Bei einigen wichtigen Verbindungen (z. B. Internetanschlüssen, Serverbereichsaustauschverbindungen) ist der Standort häufig auf die Anforderungen an Sicherheitsfunktionen und den Einsatz mehrerer Inline-Sicherheitstestgeräte (z. B. Firewall, Anti-DDOS-Angriffsausrüstung, WEB-Anwendungs-Firewall) zurückzuführen , Intrusion-Prevention-Geräte usw.), mehrere Sicherheitserkennungsgeräte gleichzeitig in Reihe auf der Verbindung, um die Verbindung eines einzelnen Fehlerpunkts zu erhöhen und die Gesamtzuverlässigkeit des Netzwerks zu verringern. Und bei der oben genannten Online-Bereitstellung von Sicherheitsgeräten, der Aufrüstung von Geräten, dem Austausch von Geräten und anderen Vorgängen führt dies dazu, dass das Netzwerk für eine lange Zeit den Dienst unterbricht und größere Projektkürzungen vorgenommen werden, um die erfolgreiche Umsetzung solcher Projekte abzuschließen.
Durch die einheitliche Bereitstellung des „Network Inline Bypass“ kann der Bereitstellungsmodus mehrerer in Reihe geschalteter Sicherheitsgeräte auf derselben Verbindung vom „physischen Verkettungsmodus“ in den „physischen Verkettungs- und logischen Verkettungsmodus“ geändert werden Ein Single Point of Failure verbessert die Zuverlässigkeit der Verbindung, während „Network Inline Bypass“ auf der Verbindungsfluss-on-Demand-Traktion sorgt, um den gleichen Fluss mit dem ursprünglichen sicheren Verarbeitungsmodus zu erreichen.
Diagramm zur gleichzeitigen Reihenschaltung mehrerer Sicherheitsgeräte:
Diagramm zur Bereitstellung des Netzwerk-Inline-Bypass-Switches:
3.6 Basierend auf der dynamischen Strategie des Verkehrssicherheitserkennungsschutzes
„Netzwerk-Inline-Bypass“ Ein weiteres erweitertes Anwendungsszenario basiert auf der dynamischen Strategie der Verkehrssicherheitserkennungs- und Schutzanwendungen, deren Bereitstellung wie folgt erfolgt:
Nehmen Sie beispielsweise die Sicherheitstestausrüstung „Anti-DDoS-Angriffsschutz und -erkennung“ durch die Front-End-Bereitstellung von „Network Inline Bypass“ und dann Anti-DDOS-Schutzausrüstung und verbinden Sie sie dann mit dem „Network Inline Bypass“. Üblicherweise überträgt „Traction Protector“ die volle Menge an Datenverkehr per Wire-Speed-Forwarding und leitet gleichzeitig den Flussspiegel an das „Anti-DDOS-Angriffsschutzgerät“ weiter, sobald es nach dem Angriff für eine Server-IP (oder ein IP-Netzwerksegment) erkannt wird. ” „Anti-DDOS-Angriffsschutzgerät“ generiert die Regeln für die Übereinstimmung des Zielverkehrsflusses und sendet sie über die Schnittstelle zur dynamischen Richtlinienbereitstellung an den „Netzwerk-Inline-Bypass“. Der „Network Inline Bypass“ kann die „Verkehrstraktionsdynamik“ nach Erhalt des Regelpools der dynamischen Richtlinienregeln aktualisieren und die „Traktion“ des Angriffsserververkehrs sofort an die „Anti-DDoS-Angriffsschutz- und Erkennungsausrüstung“ zur Verarbeitung weiterleiten nach dem Angriffsfluss wirksam sein und dann wieder in das Netzwerk eingeschleust werden.
Das auf dem „Network Inline Bypass“ basierende Anwendungsschema ist einfacher zu implementieren als die herkömmliche BGP-Routeninjektion oder andere Verkehrstraktionsschemata, und die Umgebung ist weniger vom Netzwerk abhängig und die Zuverlässigkeit ist höher.
„Network Inline Bypass“ weist die folgenden Merkmale auf, um den dynamischen Sicherheitserkennungsschutz durch Richtlinien zu unterstützen:
1, „Network Inline Bypass“, um außerhalb der Regeln basierend auf der WEBSERIVCE-Schnittstelle eine einfache Integration mit Sicherheitsgeräten von Drittanbietern bereitzustellen.
2, „Network Inline Bypass“ basierend auf dem reinen Hardware-ASIC-Chip, der bis zu 10 Gbit/s Wire-Speed-Pakete weiterleitet, ohne die Switch-Weiterleitung zu blockieren, und „Traffic Traction Dynamic Rule Library“ unabhängig von der Anzahl.
3, „Network Inline Bypass“ mit integrierter professioneller BYPASS-Funktion, auch wenn der Schutz selbst ausfällt, kann die ursprüngliche serielle Verbindung sofort umgangen werden, ohne dass die ursprüngliche Verbindung der normalen Kommunikation beeinträchtigt wird.
Zeitpunkt der Veröffentlichung: 23. Dezember 2021