1- Was ist das Define Heartbeat-Paket?
Die Heartbeat-Pakete des Mylinking™ Network Tap Bypass Switches sind standardmäßig Ethernet Layer 2-Frames. Im transparenten Layer 2-Bridging-Modus (z. B. IPS/FW) werden Layer 2-Ethernet-Frames normalerweise weitergeleitet, blockiert oder verworfen. Gleichzeitig unterstützt der Mylinking™ Network Tap Bypass Switch ein benutzerdefiniertes Heartbeat-Nachrichtenformat, um der Situation gerecht zu werden, dass einige spezielle serielle Sicherheitsgeräte normale Layer 2-Ethernet-Frames normalerweise nicht weiterleiten können.
Und der Mylinking™ Network Tap Bypass Switch unterstützt auch die Heartbeat-Paketerkennung basierend auf VLAN-Tags sowie benutzerdefinierten Nachrichtentypen der Schichten 3 und 4. Basierend auf diesem Mechanismus kann der Benutzer eine Dienstsicherheitstestfunktion des Verbindungssicherheitsgeräts implementieren, um effektiver sicherzustellen, dass die entsprechenden Sicherheitsdienste ordnungsgemäß funktionieren.
Der Mylinking™ Network Tap Bypass Switch unterstützt den Monitor beim Senden verschiedener Heartbeat-Pakete in beide Richtungen. Beispielsweise werden TCP- und UDP-Heartbeat-Pakete im „Strategy Traffic Traction Protector“ entsprechend den Besonderheiten des seriellen Geräts angepasst. Sie können das Senden von TCP-Heartbeat-Paketen am Uplink-Monitor-Port A und das Senden von UDP-Heartbeat-Paketen am Downlink-Monitor-Port B konfigurieren, um den Nachrichtenweiterleitungsmechanismus des seriellen Sicherheitsgeräts zu unterstützen. Diese Funktion gewährleistet eine effektivere String-Garantie. Verbinden Sie die Sicherheitsausrüstung mit dem Normalbetrieb.
Der Mylinking™ Network Inline Bypass Switch wurde für den flexiblen Einsatz verschiedener Arten serieller Sicherheitsgeräte erforscht und entwickelt und bietet gleichzeitig eine hohe Netzwerkzuverlässigkeit.
2-Netzwerk-Inline-Bypass-Switch – Erweiterte Funktionen und Technologien
Mylinking™ „SpecFlow“-Schutzmodus und „FullLink“-Schutzmodustechnologie
Mylinking™ Fast Bypass Switching-Schutztechnologie
Mylinking™ „LinkSafeSwitch“-Technologie
Mylinking™ „WebService“ Dynamische Strategie-Weiterleitungs-/Ausgabetechnologie
Mylinking™ Intelligente Heartbeat-Nachrichtenerkennungstechnologie
Mylinking™ Definierbare Heartbeat-Nachrichtentechnologie
Mylinking™ Multi-Link-Lastausgleichstechnologie
Mylinking™ Intelligente Verkehrsverteilungstechnologie
Mylinking™ Dynamische Lastausgleichstechnologie
Mylinking™ Remote Management-Technologie (HTTP/WEB, TELNET/SSH, „EasyConfig/AdvanceConfig“-Funktion)
3-Netzwerk-Inline-Bypass-Switch-Anwendung (wie folgt)
3.1 Das Risiko von Inline-Sicherheitsgeräten (IPS/FW)
Nachfolgend ist ein typischer IPS- (Intrusion Prevention System) und FW- (Firewall) Bereitstellungsmodus aufgeführt. IPS/FW wird nacheinander auf den Netzwerkgeräten (Routern, Switches usw.) bereitgestellt, wobei Sicherheitsprüfungen zwischen dem Datenverkehr durchgeführt werden und gemäß der entsprechenden Sicherheitsrichtlinie entschieden wird, ob der entsprechende Datenverkehr freigegeben oder blockiert wird, um einen Sicherheitsschutzeffekt zu erzielen.
Gleichzeitig ist IPS/FW als serielles Gerät zu betrachten. Es wird üblicherweise an zentralen Stellen im Unternehmensnetzwerk eingesetzt, um die serielle Sicherheit zu gewährleisten. Die Zuverlässigkeit der angeschlossenen Geräte wirkt sich direkt auf die allgemeine Verfügbarkeit des Unternehmensnetzwerks aus. Überlastung, Absturz, Software-Updates, Richtlinienaktualisierungen usw. der seriellen Geräte beeinträchtigen die Verfügbarkeit des gesamten Unternehmensnetzwerks erheblich. An diesem Punkt kann das Netzwerk nur durch eine Netzwerkunterbrechung oder einen physischen Bypass-Jumper wiederhergestellt werden, was die Zuverlässigkeit des Netzwerks erheblich beeinträchtigt. IPS/FW und andere serielle Geräte verbessern einerseits die Sicherheit des Unternehmensnetzwerks, verringern andererseits aber auch die Zuverlässigkeit des Unternehmensnetzwerks und erhöhen das Risiko von Netzwerkausfällen.
3.2 Geräteschutz der Inline Link-Serie
Mylinking™ „Network Inline Bypass“ wird in Reihe zwischen Netzwerkgeräten (Routern, Switches usw.) eingesetzt, sodass der Datenfluss zwischen den Netzwerkgeräten nicht mehr direkt zu IPS/FW führt. „Network Inline Bypass“ führt zu IPS/FW, wenn IPS/FW aufgrund von Überlastung, Absturz, Software-Updates, Richtlinien-Updates usw. ausfällt. „Network Inline Bypass“ erkennt fehlerhafte Geräte rechtzeitig durch die intelligente Heartbeat-Nachrichtenerkennungsfunktion und überspringt sie so, ohne das Netzwerk zu unterbrechen. Die direkt angeschlossenen Netzwerkgeräte werden schnell verbunden, um die normale Netzwerkkommunikation zu schützen. Wenn IPS/FW ausfällt, wird die ursprüngliche Verbindung durch die intelligente Heartbeat-Nachrichtenerkennungsfunktion rechtzeitig wiederhergestellt, um die Sicherheit des Unternehmensnetzwerks zu überprüfen.
Mylinking™ „Network Inline Bypass“ verfügt über eine leistungsstarke intelligente Funktion zur Erkennung von Heartbeat-Nachrichten. Der Benutzer kann das Heartbeat-Intervall und die maximale Anzahl von Wiederholungsversuchen anpassen, indem er eine benutzerdefinierte Heartbeat-Nachricht auf dem IPS/FW zur Integritätsprüfung ausgibt, z. B. indem er die Heartbeat-Prüfnachricht an den Upstream-/Downstream-Port des IPS/FW sendet und sie dann vom Upstream-/Downstream-Port des IPS/FW empfängt und durch Senden und Empfangen der Heartbeat-Nachricht beurteilt, ob das IPS/FW normal funktioniert.
3.3 „SpecFlow“-Richtlinie Flow Inline Traction Series Protection
Wenn das Sicherheitsnetzwerkgerät nur bestimmten Datenverkehr im Rahmen der seriellen Sicherheitsüberwachung verarbeiten muss, wird der betroffene Datenverkehr über die Mylinking™-Funktion „Network Inline Bypass“ mithilfe der Verkehrsüberwachungsstrategie direkt an die Netzwerkverbindung des Sicherheitsgeräts zurückgesendet und der betroffene Datenverkehr an das Inline-Sicherheitsgerät weitergeleitet, um Sicherheitsprüfungen durchzuführen. Dadurch wird nicht nur die normale Funktion der Sicherheitserkennungsfunktion des Sicherheitsgeräts aufrechterhalten, sondern auch der ineffiziente Datenverkehr der Sicherheitsausrüstung reduziert. Gleichzeitig kann „Network Inline Bypass“ den Betriebszustand des Sicherheitsgeräts in Echtzeit erkennen. Das Sicherheitsgerät umgeht den Datenverkehr bei Störungen direkt, um Netzwerkdienstunterbrechungen zu vermeiden.
3.4 Lastausgeglichener Serienschutz
Der Mylinking™ „Network Inline Bypass“ wird in Reihe zwischen Netzwerkgeräten (Routern, Switches usw.) eingesetzt. Wenn die Verarbeitungsleistung eines einzelnen IPS/FW nicht ausreicht, um den Spitzenverkehr der Netzwerkverbindung zu bewältigen, kann die Verkehrslastausgleichsfunktion des Protectors, die den Netzwerkverbindungsverkehr mehrerer IPS/FW-Cluster „bündelt“, den Verarbeitungsdruck einzelner IPS/FWs effektiv reduzieren und die Gesamtverarbeitungsleistung verbessern, um den hohen Bandbreitenanforderungen der Bereitstellungsumgebung gerecht zu werden.
Mylinking™ „Network Inline Bypass“ verfügt über eine leistungsstarke Lastausgleichsfunktion, die den Datenverkehr durch Hash-Lastausgleich entsprechend dem Frame-VLAN-Tag, den MAC-Informationen, den IP-Informationen, der Portnummer, dem Protokoll und anderen Informationen verteilt, um die Integrität der von jedem IPS/FW empfangenen Datenflusssitzung zu gewährleisten.
3.5 Schutz vor Strömungszug bei Inline-Geräten mehrerer Serien (Ändern der seriellen Verbindung in eine parallele Verbindung)
Bei einigen wichtigen Verbindungen (z. B. Internetanschlüssen und Server-Area-Exchange-Verbindungen) ist aufgrund der Anforderungen an Sicherheitsfunktionen häufig der Einsatz mehrerer Inline-Sicherheitsprüfgeräte (z. B. Firewalls, Geräte zum Schutz vor DDOS-Angriffen, Firewalls für Webanwendungen, Intrusion Prevention-Geräte usw.) erforderlich. Mehrere Sicherheitsprüfgeräte gleichzeitig in Reihe an der Verbindung erhöhen die Ausfallwahrscheinlichkeit der Verbindung und verringern so die Gesamtzuverlässigkeit des Netzwerks. Die Online-Bereitstellung, Geräteaktualisierungen, Geräteaustausch usw. der oben genannten Sicherheitsgeräte führt zu längeren Netzwerkunterbrechungen und erfordert größere Projektkürzungen, um die erfolgreiche Umsetzung solcher Projekte abzuschließen.
Durch die einheitliche Bereitstellung des „Network Inline Bypass“ kann der Bereitstellungsmodus mehrerer in Reihe geschalteter Sicherheitsgeräte auf derselben Verbindung vom „physischen Verkettungsmodus“ in den „physischen Verkettungs- und logischen Verkettungsmodus“ geändert werden. Die Verbindung auf der Verbindung mit einem einzelnen Ausfallpunkt verbessert die Zuverlässigkeit der Verbindung, während der „Network Inline Bypass“ auf der Verbindung den Datenfluss bei Bedarf steuert, um denselben sicheren Verarbeitungseffekt wie im ursprünglichen Modus zu erzielen.
Diagramm zur gleichzeitigen Serienbereitstellung mehrerer Sicherheitsgeräte:
Bereitstellungsdiagramm für den Inline-Bypass-Switch im Netzwerk:
3.6 Basierend auf der dynamischen Strategie des Verkehrstraktionssicherheitserkennungsschutzes
„Network Inline Bypass“ Ein weiteres erweitertes Anwendungsszenario basiert auf der dynamischen Strategie der Verkehrstraktionssicherheitserkennungsschutzanwendungen. Die Bereitstellung erfolgt wie folgt:
Nehmen wir zum Beispiel das Sicherheitstestgerät „Schutz und Erkennung von DDoS-Angriffen“. Es wird zunächst „Network Inline Bypass“ und anschließend das Anti-DDOS-Schutzgerät bereitgestellt und anschließend mit „Network Inline Bypass“ verbunden. Im Normalbetrieb leitet „Traction Protector“ den gesamten Datenverkehr mit Leitungsgeschwindigkeit weiter und spiegelt gleichzeitig den Datenfluss an das „Anti-DDOS-Angriffsschutzgerät“. Sobald die IP-Adresse (oder das IP-Netzwerksegment) eines Servers nach einem Angriff erkannt wurde, generiert das „Anti-DDOS-Angriffsschutzgerät“ passende Regeln für den Zieldatenfluss und sendet sie über die dynamische Richtlinienübermittlungsschnittstelle an „Network Inline Bypass“. Nach Erhalt der dynamischen Richtlinienregeln kann „Network Inline Bypass“ den „Dynamic Traffic Traction“-Regelpool aktualisieren und den angegriffenen Serverdatenverkehr sofort zur Verarbeitung an das „Anti-DDoS-Angriffsschutz- und Erkennungsgerät“ weiterleiten, um ihn nach dem Angriff wirksam zu machen und erneut in das Netzwerk einzuspeisen.
Das auf „Network Inline Bypass“ basierende Anwendungsschema ist einfacher zu implementieren als die herkömmliche BGP-Routeninjektion oder andere Verkehrstraktionsschemata. Zudem ist die Umgebung weniger vom Netzwerk abhängig und die Zuverlässigkeit ist höher.
„Network Inline Bypass“ verfügt über die folgenden Eigenschaften zur Unterstützung des Schutzes durch dynamische Richtliniensicherheitserkennung:
1. „Network Inline Bypass“, um außerhalb der Regeln basierend auf der WEBSERVICE-Schnittstelle eine einfache Integration mit Sicherheitsgeräten von Drittanbietern zu ermöglichen.
2. „Network Inline Bypass“ basiert auf der Hardware eines reinen ASIC-Chips, der Pakete mit bis zu 10 Gbit/s Leitungsgeschwindigkeit weiterleitet, ohne die Switch-Weiterleitung zu blockieren, und einer „Traffic Traction Dynamic Rule Library“, unabhängig von der Anzahl.
3. Die integrierte professionelle BYPASS-Funktion „Network Inline Bypass“ kann die ursprüngliche serielle Verbindung sofort umgehen, selbst wenn der Schutz selbst ausfällt, ohne die normale Kommunikation der ursprünglichen Verbindung zu beeinträchtigen.
Veröffentlichungszeit: 23.12.2021
