Network Bypass TAP же Network Bypass Switch Inline Security Appliance үчүн Heartbeats пакеттерин камсыз кылат

TheТармакты айланып өтүү, ошондой эле "деп аталатNetwork Bypass Switch", тармак үзгүлтүксүз же техникалык тейлөө же жаңыртуу үчүн бизнестин жеткиликтүүлүгүнө таасир этпестен, каалаган убакта ички куралыңыздын (IPS, WAF, FW/брандмауэрлер) жеткиликтүүлүгүн жана ишенимдүүлүгүн башкаруу мүмкүнчүлүгүн берет. IT коопсуздук стратегияларынын маанилүү компоненти

Network Bypass Tap (Network Bypass Switch) ырааттууHeartbeats Packetsа жиберилетInline Security Appliance.Бул жүрөктүн кагышы Inline Security Appliance функциясын көрсөтөт: үзгүлтүксүз кагууларTAPты айланып өтүүжакшы иштеп жатат.Эгерде соккулар кайра кайтарылбасаTAPты айланып өтүүTAP трафик канчалык жогору болбосун, пакеттерди жөнөтүү үчүн автоматтык түрдө шайманды айланып өтөт.Ал ошондой эле шаймандын статусун аныктай алат, ошондуктан ал кайра онлайнга келгенде, бул TAP тарабынан аныкталат жана трафик дагы бир жолу шайман аркылуу багытталат.

Network Bypass Tap "Inline Management" жаңы куралдарды жайылтууга, жаңыртууларды башкарууга, патчтарды орнотууга, техникалык тейлөөнү аткарууга же көйгөйлөрдү аныктоого жана учурдагы тармак шилтемелерине таасир этпестен диапазондон тышкары текшерүүгө мүмкүндүк берет.

Бай тажрыйбабыз жана кылдат кызматтарыбыз менен биз көптөгөн эл аралык сатып алуучулар үчүн Network Bypass TAP же Network Bypass Switch Inline Security Appliance үчүн Heartbeats пакеттерин камсыз кылган ишенимдүү камсыздоочу катары таанылганбыз, Биздин корпорация узак мөөнөттүү жана пайдалуу ишкананы түзүүнү чыдамсыздык менен күтүп жатат. дүйнө жүзү боюнча кардарлар жана бизнесмендер менен өнөктөш өз ара аракеттенүү.
Биздин бай тажрыйбабыз жана кылдат кызматтарыбыз менен биз көптөгөн эл аралык сатып алуучулар үчүн ишенимдүү жеткирүүчү катары таанылганбызTAP тармагын айланып өтүү, Heartbeats Packets, Inline Security Appliance, Тармакты айланып өтүү, Биздин продукция негизинен Түштүк-Чыгыш Азияга, Жакынкы Чыгышка, Түндүк Америкага жана Европага экспорттолот.Биздин сапат, албетте, кепилдик берилет.Эгер сиз биздин буюмдардын бирине кызыгып жатсаңыз же ыңгайлаштырылган тартипти талкуулагыңыз келсе, биз менен байланышуудан тартынбаңыз.Биз жакынкы келечекте дүйнө жүзү боюнча жаңы кардарлар менен ийгиликтүү бизнес мамилелерди түзүүнү чыдамсыздык менен күтүп жатабыз.

1- Обзор

Mylinking™ Smart Bypass Switch орнотуу менен:

• Колдонуучулар ийкемдүү түрдө коопсуздук жабдууларын орнотуп/жок кыла алышат жана учурдагы тармакка жана үзгүлтүккө таасир этпейт;
• Mylinking™ Network Tap Bypass Switch, ден-соолукту интеллектуалдык аныктоо функциясы менен катар коопсуздук түзүлүшүнүн кадимки иштөө абалына реалдуу убакыт режиминде мониторинг жүргүзүү үчүн, сериялык коопсуздук түзмөгү иштебегенден кийин, кадимки тармак байланышын колдоо үчүн коргоо автоматтык түрдө айланып өтөт;
• Тандалган жол кыймылын коргоо технологиясы атайын трафикти тазалоочу коопсуздук жабдууларын, аудитордук жабдуулардын негизинде шифрлөө технологиясын жайылтуу үчүн колдонулушу мүмкүн.Трафиктин белгилүү бир түрү үчүн сериялык кирүүнү коргоону эффективдүү жүргүзүү, сериялык түзүлүштүн агымын башкаруу басымын түшүрүү;
• Load Balanced Traffic Protection технологиясын жогорку өткөрүү жөндөмдүүлүгүндөгү чөйрөлөрдө сериялык коопсуздукка болгон муктаждыкты канааттандыруу үчүн коопсуз сериялык түзүлүштөрдү кластердик жайгаштыруу үчүн колдонсо болот.

Интернеттин тез өнүгүшү менен, тармактык маалыматтык коопсуздук коркунучу барган сайын олуттуу болуп баратат, ошондуктан маалыматтык коопсуздукту коргоонун ар кандай тиркемелери барган сайын кеңири колдонулууда.Бул салттуу кирүүнү башкаруу жабдуулары (брандмауэр) болобу же өнүккөн коргоо каражаттарынын жаңы түрү, мисалы, интрузияны алдын алуу тутуму (IPS), Бирдиктүү коркунучтарды башкаруу платформасы (UTM), баш тартууга каршы кызматтык чабуул системасы (Anti-DDoS), Анти- span Gateway, бирдиктүү DPI трафикти идентификациялоо жана башкаруу тутуму жана көптөгөн коопсуздук шаймандары тармактын ачкыч түйүндөрүндө катар жайгаштырылган, мыйзамдуу/мыйзамсыз трафикти аныктоо жана аны чечүү үчүн тиешелүү маалыматтардын коопсуздук саясатын ишке ашыруу.Бирок, ошол эле учурда, компьютер тармагы өтө ишенимдүү өндүрүштүк тармактык тиркеме чөйрөсүндө иштен чыгып, техникалык тейлөө, жаңыртуу, жабдууларды алмаштыруу жана башка учурларда чоң тармактын кечигүүсүн же ал тургай тармактын үзгүлтүккө учурашын жаратат, колдонуучулар ага туруштук бере албайт.

2- Network Tap Bypass Switch Advanced Features and Technologies

Mylinking™ "SpecFlow" коргоо режими жана "FullLink" коргоо режиминин технологиясы
Mylinking™ Fast Bypass Switching Protection Technology
Mylinking™ “LinkSafeSwitch” технологиясы
Mylinking™ “WebService” динамикалык стратегия багыттоо/чыгаруу технологиясы
Mylinking™ интеллектуалдык жүрөктүн согушу билдирүүсүн аныктоо технологиясы
Mylinking™ аныктоочу жүрөктүн согушу билдирүүлөр технологиясы
Mylinking™ Multi-link Load Balancing Technology
Mylinking™ Трафиктин Интеллектуалдык Бөлүштүрүү Технологиясы
Mylinking™ Dynamic Load Balancing Technology
Mylinking™ Remote Management Technology (HTTP/WEB, TELNET/SSH, “EasyConfig/AdvanceConfig” мүнөздөмөсү)

3- Network Tap Bypass Switch Configuration Guide

BYPASSКоргоо порт модулунун слоту:
Бул уячаны BYPASS коргоо порт модулуна ар кандай ылдамдык/порт номери менен киргизүүгө болот.Модулдардын ар кандай түрлөрүн алмаштыруу менен, ал бир нече 10G/40G/100G шилтемелерин BYPASS коргоосун колдой алат.

МОНИТОРPort Module Slot;
Бул уячаны MONITOR порт модулуна ар кандай ылдамдыктагы/порттор менен киргизүүгө болот.Бул ар кандай моделдерди алмаштыруу менен бир нече 10G / 40G / 100G шилтеме онлайн сериялык мониторинг түзмөк жайгаштырууну колдоого алат.

Модул тандоо эрежелери
Ар кандай жайгаштырылган шилтемелердин жана мониторинг жабдууларын жайылтуу талаптарынын негизинде, сиз иш жүзүндөгү чөйрө муктаждыктарын канааттандыруу үчүн ийкемдүү түрдө ар кандай модулдун конфигурацияларын тандай аласыз;тандоодо төмөнкү эрежелерди сактаңыз:
1. Шасси компоненттери милдеттүү болуп саналат жана башка модулдарды тандоодон мурун шасси компоненттерин тандап алышыңыз керек.Ошол эле учурда, муктаждыктарыңызга жараша ар кандай электр менен камсыздоо ыкмаларын (AC/DC) тандаңыз.
2. Бүтүндөй машина 2 BYPASS модулунун уячасын жана 1 MONITOR модулунун уячасын колдойт;конфигурациялоо үчүн уячалардын санынан ашык тандай албайсыз.Слоттордун саны менен модулдун моделинин айкалышынын негизинде аппарат төрт 10GE шилтемесин коргоону колдой алат;же төрт 40GE шилтемесин колдоого алат;же бир 100GE шилтемесин колдоого алат.
3. "BYP-MOD-L1CG" модулунун моделин туура иштеши үчүн SLOT1ге гана киргизүүгө болот.
4. "BYP-MOD-XXX" модулунун түрүн BYPASS модулунун уясына гана киргизүүгө болот;"MON-MOD-XXX" типтеги модулду кадимки иштөө үчүн MONITOR модулунун уячасына гана киргизүүгө болот.

4- Network TAP Bypass Switch Specifications

5- Network TAP Bypass Switch колдонмосу (төмөнкүдөй)

Төмөндө типтүү IPS (Интрузиянын алдын алуу системасы), FW (Брандмауэр) жайылтуу режими, IPS/FW коопсуздук текшерүүлөрүн ишке ашыруу аркылуу трафиктин ортосундагы тармактык жабдууларга (роутерлор, өчүргүчтөр ж.б.) катар жайгаштырылат. коопсуздукту коргоонун таасирине жетүү үчүн тиешелүү трафикти чыгарууну же бөгөт коюуну аныктоо үчүн тиешелүү коопсуздук саясаты.

Ошол эле учурда биз IPS/FWди сериялык коопсуздукту ишке ашыруу үчүн ишкана тармагынын негизги жеринде орнотулган жабдуулардын сериялык жайгаштыруу катары байкай алабыз, анын туташкан түзүлүштөрүнүн ишенимдүүлүгү ишкананын жалпы тармагынын жеткиликтүүлүгүнө түздөн-түз таасир этет.Сериялык түзмөктөр ашыкча жүктөлгөндө, бузулганда, программалык камсыздоо жаңыртылганда, саясат жаңыртылганда ж.Бул учурда, биз тармакты кесип, физикалык айланып өтүү аркылуу гана тармакты калыбына келтире алабыз, бул тармактын ишенимдүүлүгүнө олуттуу таасирин тийгизет.IPS/FW жана башка сериялык түзүлүштөр бир жагынан ишкананын тармактык коопсуздугун жайылтууну жакшыртса, экинчи жагынан ишкана тармактарынын ишенимдүүлүгүн төмөндөтөт, тармактын тобокелдигин жогорулатат.

5.2 Inline Link Series жабдууларды коргоо

Mylinking™ " Bypass Switch " тармак түзмөктөрүнүн (роутерлор, коммутаторлор ж. / FW ашыкча жүктөө, кыйроо, программалык камсыздоо жаңыртуулары, саясаттын жаңыртуулары жана башка бузулуу шарттарынан улам, жүрөктүн кагышын акылдуу аныктоо функциясы аркылуу "Айлап өтүү" өз убагында табылып, тармактын имаратын үзгүлтүккө учуратпай, бузулган аппаратты өткөрүп жиберет, кадимки байланыш тармагын коргоо үчүн түздөн-түз туташтырылган тез тармактык жабдуулар;IPS / FW иштебей калганда калыбына келтирилгенде, ошондой эле жүрөктүн интеллектуалдык пакеттери аркылуу Функцияны өз убагында аныктоону аныктоо, ишкана тармагынын коопсуздугун калыбына келтирүү үчүн баштапкы шилтеме.

Mylinking™ "Байлап өтүү которгучу" күчтүү акылдуу жүрөктүн кагышын аныктоо функциясына ээ, колдонуучу жүрөктүн кагышын текшерүү билдирүүсүн жөнөтүү сыяктуу ден соолукту текшерүү үчүн IPS/FWдеги ыңгайлаштырылган жүрөк согушу билдирүүсү аркылуу жүрөктүн кагышынын интервалын жана максималдуу кайталоо санын ыңгайлаштыра алат IPS/FW агымынын өйдө/ылдыйкы портуна, андан кийин IPS/FWнын өйдө/төмөн агымындагы портунан кабыл алыңыз жана жүрөктүн согушу кабарын жөнөтүү жана кабыл алуу менен IPS/FW нормалдуу иштеп жатканын аныктаңыз.

5.3 "SpecFlow" саясаты Flow Inline Traction Series Protection

Коопсуздук тармагынын түзмөгү бир катар коопсуздукту коргоонун белгилүү трафигине гана жооп бериши керек болгондо, Mylinking™ "Айлап өтүү" трафиктин ар бир иштетүү функциясы аркылуу, "Коопсуз" коопсуздук түзүлүшүн туташтыруу үчүн трафикти текшерүү стратегиясы аркылуу трафик түздөн-түз артка жөнөтүлөт. тармак шилтемесине жана "тиешелүү трафик бөлүмү" коопсуздук текшерүүлөрүн жүргүзүү үчүн катардагы коопсуздук түзүлүшкө тартуу болуп саналат.Бул коопсуздук аппаратынын коопсуздук аныктоо функциясын нормалдуу колдонууну гана сактабастан, ошондой эле басым менен күрөшүү үчүн коопсуздук жабдууларынын натыйжасыз агымын азайтат;ошол эле учурда, "Айлап өтүү" реалдуу убакытта коопсуздук аппараттын иш абалын аныктай алат.Коопсуздук түзмөгү тармак кызматын үзгүлтүккө учуратпоо үчүн анормалдуу түрдө маалымат трафигин айланып өтөт.

Mylinking™ Traffic Bypass Protector L2-L4 катмардын аталышынын идентификаторунун негизинде трафикти аныктай алат, мисалы, VLAN теги, булак / көздөгөн MAC дареги, булак IP дареги, IP пакетинин түрү, транспорттук катмар протоколунун порту, протокол башынын ачкычынын теги жана башкалар күйүк.Ар кандай дал келген шарттардын ийкемдүү айкалышы белгилүү бир коопсуздук түзүлүшүн кызыктырган трафиктин конкреттүү түрлөрүн аныктоо үчүн ийкемдүү түрдө аныкталышы мүмкүн жана атайын коопсуздукту текшерүүчү түзүлүштөрдү (RDP, SSH, маалымат базасын текшерүү ж.б.) жайылтуу үчүн кеңири колдонулушу мүмкүн. .

5.4 Жүктөлгөн Серияларды коргоо

Mylinking™ "Айлап өтүүчү которгуч" тармак түзмөктөрүнүн (роутерлор, өчүргүчтөр ж.б.) ортосунда катар жайгаштырылат.Бир IPS/FW иштетүү көрсөткүчү тармактын эң жогорку трафигине туруштук берүү үчүн жетишсиз болгондо, протектордун трафик жүгүн тең салмактоо функциясы, бир нече IPS/FW кластерин иштетүүчү тармактык шилтеме трафигинин "байланышуусу" бирдиктүү IPS/ натыйжалуу азайтышы мүмкүн. FW иштетүү басымы, жайылтуу чөйрөсү Дооматтын жогорку өткөрүү жөндөмдүүлүгүн канааттандыруу үчүн жалпы иштетүү көрсөткүчүн жакшыртуу.

Mylinking™ "Байлап өтүү которгучу" VLAN теги, MAC маалыматы, IP маалыматы, порт номери, протокол жана башка маалыматка ылайык, ар бир IPS/FW маалыматтарды алганын камсыз кылуу үчүн трафиктин хэш жүгүн тең салмактуу бөлүштүрүү боюнча күчтүү жүгүн тең салмактоо функциясына ээ. агым Сеанстын бүтүндүгү.

5.5 Көп сериялуу Inline жабдуулардын агымын тартуудан коргоо (Сериялык туташууну параллелдик туташтырууга өзгөртүү)
Кээ бир негизги шилтемелерде (мисалы, интернет түйүндөрүндө, сервер аймагын алмашуу шилтемесинде) жайгашкан жер көбүнчө коопсуздук функцияларынын муктаждыктарына жана бир нече катардагы коопсуздук тестирлөө жабдыктарынын (мисалы, брандмауэр, анти-DDOS чабуул жабдуулары, WEB тиркемесинин брандмауэри) орнотулушуна байланыштуу. , Интрузиянын алдын алуучу Жабдуулар, ж.б.), түйүндүн жалпы ишенимдүүлүгүн төмөндөтүп, бир үзгүлтүккө учураган чекиттин шилтемесин жогорулатуу үчүн шилтеме боюнча бир эле учурда бир нече коопсуздукту аныктоочу жабдуулар.Ал эми жогоруда аталган коопсуздук жабдууларын он-лайн режиминде жайгаштыруу, жабдууларды жаңылоо, жабдууларды алмаштыруу жана башка операцияларда тармакты узак убакыт бою тейлөө үзгүлтүккө учуратат жана мындай долбоорлорду ийгиликтүү ишке ашырууну аяктоо үчүн чоң долбоордун кесилишине алып келет.

"Айланып өтүүчү которгучту" бирдиктүү түрдө жайгаштыруу менен, бир эле шилтеме боюнча катар туташтырылган бир нече коопсуздук түзүлүштөрүн жайылтуу режимин "физикалык бириктирүү режиминен" "физикалык бириктирүү, логикалык бириктирүү режимине" өзгөртүүгө болот. шилтеменин ишенимдүүлүгүн жогорулатуу үчүн ийгиликсиз бир пункту, ал эми талап тартуу боюнча шилтеме агымы боюнча "айлап өтүү" коопсуз иштетүү эффектинин баштапкы режими менен бирдей агымга жетишүү.

Сериялык жайылтуу диаграммасында бир эле учурда бирден ашык коопсуздук түзмөктөрү:

Mylinking™ Network TAP айланып өтүүчү которуштуруунун жайылтуу диаграммасы:

5.6 Жол кыймылынын коопсуздугун аныктоону коргоонун динамикалык стратегиясынын негизинде
"Айлап өтүү" Колдонмонун дагы бир өнүккөн сценарийи трафиктин коопсуздугун аныктоону коргоо колдонмолорунун динамикалык стратегиясына, төмөндө көрсөтүлгөндөй жолду жайылтууга негизделген:

"Anti-DDoS кол салуудан коргоо жана аныктоо" коопсуздук тестирлөө жабдыгын, мисалы, "Айлап өтүү которгучу" жана андан кийин анти-DDOS коргоо жабдыктарын колдонуу аркылуу, андан кийин кадимкидей "Айлап өтүү которгучуна" туташтырыңыз. Тартуу коргоочу "трафиктин зым ылдамдыгынын толук көлөмүнө чейин, ошол эле учурда чабуулдан кийин сервердин IP (же IP тармак сегменти) үчүн аныкталгандан кийин" DDOS чабуулдарына каршы коргонуу түзүлүшүнө агым күзгүсү чыгат," анти. -DDOS кол салуудан коргоо түзмөгү " максаттуу трафик агымынын эрежелерин түзөт жана аларды динамикалык саясатты жеткирүү интерфейси аркылуу "Айлап өтүү которуштуруусуна" жөнөтөт."Айлап өтүү" динамикалык саясаттын эрежелерин алгандан кийин "трафиктин тартылуу динамикасын" жаңырта алат Эреже пулу "жана ошол замат" эрежеси чабуул серверинин трафигине "трактция" DDoS чабуулдарына каршы коргоо жана аныктоо "жабдыктарын иштетүү үчүн, болушу керек. чабуул агымынан кийин натыйжалуу жана андан кийин тармакка кайра сайылган.

"Айлап өтүү которуштуруусуна" негизделген колдонмо схемасы салттуу BGP маршруттук инъекциясына же башка трафик тартуу схемасына караганда ишке ашыруу оңой жана айлана-чөйрө тармакка азыраак көз каранды жана ишенимдүүлүгү жогору.

"Айланып өтүүчү которгуч" динамикалык саясаттын коопсуздугун аныктоону коргоону колдоо үчүн төмөнкү мүнөздөмөлөргө ээ:
1, WEBSERIVCE интерфейсинин негизинде эрежелерден тышкаркы камсыз кылуу үчүн, үчүнчү тараптын коопсуздук шаймандары менен оңой интеграциялоо үчүн "Айлап өтүү".
2, "Айлап өтүү" аппараттык таза ASIC чипине негизделген 10Gbps зым ылдамдыгы пакеттерин которууну бөгөттөбөстөн, жана санына карабастан "трафиктин кыймылынын динамикалык эрежелеринин китепканасы".
3, "Айлап которгуч" орнотулган кесиптик BYPASS функциясы, коргоочунун өзү иштебей калса да, баштапкы сериялык шилтемени дароо айланып өтө алат, кадимки байланыштын баштапкы шилтемесине таасир этпейт.