1- Жүрөктүн согушунун пакетин аныктоо деген эмне?
Mylinking™ Network Tap Bypass Switchтин жүрөк согушу пакеттери демейки боюнча Ethernet 2-кабат кадрларына айланат. 2-кабаттын тунук көпүрө режимин (мисалы, IPS / FW) жайгаштырганда, 2-кабаттын Ethernet кадрлары адатта жөнөтүлөт, бөгөттөлөт же жокко чыгарылат. Ошол эле учурда, Mylinking™ Network Tap Bypass Switch кээ бир атайын сериялык коопсуздук түзмөктөрү кадимки 2-кабаттын Ethernet кадрларын жөнөтө албаган кырдаалды канааттандыруу үчүн жүрөк согушу билдирүүсүнүн ыңгайлаштырылган форматын колдойт.
Ал эми Mylinking™ Network Tap Bypass Switch ошондой эле VLAN тегине, 3-кабатка жана 4-кабатка ылайыкташтырылган билдирүү түрлөрүнө негизделген жүрөктүн согушу пакеттерин аныктоону колдойт. Бул механизмдин негизинде колдонуучу тиешелүү коопсуздук кызматтарынын туура иштешин камсыз кылуу үчүн байланыш коопсуздук түзмөгүнүн кызмат коопсуздугун текшерүү функциясын ишке ашыра алат.
Mylinking™ Network Tap Bypass Switch мониторго ар кандай жүрөк согушу пакеттерин эки багытта тең жөнөтүүгө мүмкүнчүлүк берет. Мисалы, TCP жана UDP тибиндеги жүрөк согушу пакеттери сериялык түзмөктүн өзгөчөлүгүнө жараша "Стратегиялык трафикти тартуу коргоочусунда" ыңгайлаштырылган. Сериялык коопсуздук түзмөгүнүн билдирүү жөнөтүү механизмин эске алуу үчүн, сиз жогорку байланыш мониторунун А портуна TCP жүрөк согушу пакеттерин жөнөтүүнү жана төмөнкү байланыш мониторунун B портуна UDP жүрөк согушу пакеттерин жөнөтүүнү конфигурациялай аласыз. Бул функция саптын иштешин натыйжалуураак камсыздай алат. Коопсуздук жабдууларын кадимки иштөөгө туташтырыңыз.
Mylinking™ тармактык инлайн айланып өтүүчү коммутатору ар кандай типтеги сериялык коопсуздук жабдууларын ийкемдүү жайылтуу жана жогорку тармактык ишенимдүүлүктү камсыз кылуу үчүн колдонула тургандыгы изилденип жана иштелип чыккан.
2-тармактык линия ичиндеги айланып өтүүчү коммутатордун өркүндөтүлгөн функциялары жана технологиялары
Mylinking™ “SpecFlow” коргоо режими жана “FullLink” коргоо режими технологиясы
Mylinking™ тез айланып өтүү которуштуруудан коргоо технологиясы
Mylinking™ “LinkSafeSwitch” технологиясы
Mylinking™ “WebService” динамикалык стратегиясын багыттоо/чыгаруу технологиясы
Mylink™ акылдуу жүрөктүн согушу тууралуу билдирүүнү аныктоо технологиясы
Mylinking™ аныкталуучу жүрөктүн согушу жөнүндө билдирүүлөр технологиясы
Mylinking™ көп шилтемелүү жүктү тең салмактоо технологиясы
Mylinking™ интеллектуалдык трафикти бөлүштүрүү технологиясы
Mylinking™ динамикалык жүктү тең салмактоо технологиясы
Mylinking™ алыстан башкаруу технологиясы (HTTP/WEB, TELNET/SSH, “EasyConfig/AdvanceConfig” мүнөздөмөсү)
3-тармактык линия ичиндеги айланып өтүү коммутаторунун тиркемеси (төмөнкүдөй)
3.1 Ички коопсуздук жабдууларынын (IPS / FW) тобокелдиги
Төмөндө типтүү IPS (кирип кирүүнүн алдын алуу системасы), FW (брандмауэр) жайгаштыруу режими келтирилген, IPS / FW коопсуздукту коргоо эффектине жетүү үчүн тиешелүү коопсуздук саясатына ылайык, коопсуздук текшерүүлөрүн ишке ашыруу аркылуу тармактык жабдууларга (роутерлер, коммутаторлор ж.б.) удаалаш жайгаштырылат, тиешелүү трафикти чыгарууну же бөгөттөөнү аныктоо үчүн тиешелүү коопсуздук саясатына ылайык.
Ошол эле учурда, биз IPS/FW жабдууларын сериялык жайгаштыруу катары байкай алабыз, адатта, сериялык коопсуздукту ишке ашыруу үчүн ишкана тармагынын негизги жайгашкан жерине жайгаштырылат, ага туташкан түзмөктөрдүн ишенимдүүлүгү ишкана тармагынын жалпы жеткиликтүүлүгүнө түздөн-түз таасир этет. Сериялык түзмөктөр ашыкча жүктөлүп, бузулуп, программалык камсыздоону жаңыртып, саясатты жаңыртып ж.б.у.с. бүтүндөй ишкана тармагынын жеткиликтүүлүгүнө чоң таасирин тийгизет. Бул учурда, биз тармакты кесип, физикалык айланып өтүүчү секирүү аркылуу гана тармакты калыбына келтире алабыз, бул тармактын ишенимдүүлүгүнө олуттуу таасир этет. IPS/FW жана башка сериялык түзмөктөр бир жагынан ишкана тармагынын коопсуздугун жайылтууну жакшыртат, экинчи жагынан ишкана тармактарынын ишенимдүүлүгүн төмөндөтөт, тармактын жеткиликтүү эместигинин тобокелдигин жогорулатат.
3.2 Inline Link Series жабдууларын коргоо
Mylinking™ "Тармактын ичиндеги айланып өтүү" тармактык түзмөктөрдүн (роутерлер, коммутаторлор ж.б.) ортосунда удаалаш жайгаштырылат жана тармактык түзмөктөрдүн ортосундагы маалымат агымы мындан ары түздөн-түз IPS / FWге, "Тармактын ичиндеги айланып өтүү" IPS / FWге алып барбайт, IPS / FW ашыкча жүктөлүүдөн, бузулуудан, программалык камсыздоону жаңыртуудан, саясатты жаңыртуудан жана башка бузулуулардан улам келип чыкканда, "Тармактын ичиндеги айланып өтүү" акылдуу жүрөктүн согушу жөнүндө билдирүүнү аныктоо функциясы аркылуу өз убагында табылат жана ошентип, тармактын шартын үзгүлтүккө учуратпастан, тармактык жабдууларды түздөн-түз туташтырып, кадимки байланыш тармагын коргоого мүмкүндүк берет; IPS / FW бузулганда калыбына келтирүү, ошондой эле акылдуу жүрөктүн согушу пакеттери аркылуу функцияны өз убагында аныктоо, баштапкы шилтеме аркылуу ишкананын тармагынын коопсуздугун текшерүү.
Mylinking™ “Network Inline Bypass” күчтүү акылдуу жүрөктүн согушу жөнүндөгү билдирүүнү аныктоо функциясына ээ, колдонуучу IPS/FWдеги ден соолукту текшерүү үчүн жүрөктүн согушу жөнүндөгү билдирүү аркылуу жүрөктүн согушу жөнүндөгү интервалды жана кайталоолордун максималдуу санын ыңгайлаштыра алат, мисалы, жүрөктүн согушун текшерүү билдирүүсүн IPS/FWнын жогорку/ылдыйкы портуна жөнөтүп, андан кийин IPS/FWнын жогорку/ылдыйкы портунан кабыл алып, жүрөктүн согушу жөнүндөгү билдирүүнү жөнөтүү жана кабыл алуу менен IPS/FW кадимкидей иштеп жатканын баалайт.
3.3 “SpecFlow” саясатынын агымынын сызык ичиндеги тартуу сериясын коргоосу
Коопсуздук тармагы түзмөгү белгилүү бир трафикти сериялык коопсуздук коргоосу менен гана иштетүүгө муктаж болгондо, Mylinking™ "Network Inline Bypass" трафиги ар бир иштетүү функциясы аркылуу, коопсуздук түзмөгүн туташтыруу үчүн трафикти текшерүү стратегиясы аркылуу "Тиешелүү" трафик түз тармактык байланышка кайтарылат жана "тиешелүү трафик бөлүмү" коопсуздукту текшерүү үчүн линиялык коопсуздук түзмөгүнө тартылат. Бул коопсуздук түзмөгүнүн коопсуздукту аныктоо функциясынын кадимки колдонулушун сактап гана тим болбостон, басым менен күрөшүү үчүн коопсуздук жабдууларынын натыйжасыз агымын азайтат; ошол эле учурда, "Network Inline Bypass" коопсуздук түзмөгүнүн иштөө абалын реалдуу убакытта аныктай алат. Коопсуздук түзмөгү тармактык кызматтын үзгүлтүккө учурашына жол бербөө үчүн маалымат трафигин түздөн-түз айланып өтөт.
3.4 Жүктү тең салмактуу сериялык коргоо
Mylinking™ “Network Inline Bypass” тармактык түзмөктөрдүн (роутерлер, коммутаторлор ж.б.) ортосунда удаалаш жайгаштырылат. Бир гана IPS/FW иштетүү көрсөткүчү тармактык байланыштын эң жогорку трафигин көтөрүү үчүн жетишсиз болгондо, коргоочунун трафик жүгүн тең салмактоо функциясы, бир нече IPS/FW кластердик иштетүү тармактык байланыш трафигин “бириктирүү”, бир IPS/FW иштетүү басымын натыйжалуу азайтып, жайылтуу чөйрөсүнүн жогорку өткөрүү жөндөмдүүлүгүн канааттандыруу үчүн жалпы иштетүү көрсөткүчүн жакшырта алат.
Mylinking™ “Network Inline Bypass” ар бир IPS/FW маалымат агымынын сессиясынын бүтүндүгүн кабыл алышын камсыз кылуу үчүн кадр VLAN тегине, MAC маалыматына, IP маалыматына, порт номерине, протоколго жана трафиктин хэш жүктү теңдөө бөлүштүрүүсүндөгү башка маалыматтарга ылайык күчтүү жүктү теңдөө функциясына ээ.
3.5 Көп сериялуу линия ичиндеги жабдуулардын агым тартуудан коргоосу (Сериялык туташууну параллель туташууга өзгөртүү)
Айрым негизги байланыштарда (мисалы, интернет түйүндөрү, сервердик аймак алмашуу байланышы) жайгашкан жер көбүнчө коопсуздук функцияларынын муктаждыктарына жана бир нече линия ичиндеги коопсуздукту текшерүүчү жабдууларды (мисалы, брандмауэр, DDOS чабуулуна каршы жабдуулар, WEB тиркемесинин брандмауэри, басып кирүүнүн алдын алуу жабдуулары ж.б.) жайгаштырууга байланыштуу болот, бир эле учурда байланышта бир нече коопсуздукту аныктоочу жабдууларды удаалаш колдонуу бир эле учурда бузулуу чекитинин байланышын жогорулатуу үчүн тармактын жалпы ишенимдүүлүгүн төмөндөтөт. Ал эми жогоруда айтылган коопсуздук жабдууларын онлайн жайгаштырууда, жабдууларды жаңыртууларда, жабдууларды алмаштырууда жана башка операцияларда тармактын узак убакытка кызмат көрсөтүүсүнүн үзгүлтүккө учурашына жана мындай долбоорлорду ийгиликтүү ишке ашыруу үчүн чоңураак долбоорду кыскартууга алып келет.
"Тармактын ичиндеги айланып өтүүсүн" бирдиктүү түрдө жайылтуу менен, бир эле шилтемеге удаалаш туташтырылган бир нече коопсуздук түзмөктөрүн жайгаштыруу режимин "физикалык бириктирүү режиминен" "физикалык бириктирүү, логикалык бириктирүү режимине" өзгөртүүгө болот. Шилтемедеги шилтеме бир гана бузулуу чекитинин шилтемесинин ишенимдүүлүгүн жогорулатуу үчүн, ал эми "Тармактын ичиндеги айланып өтүүсү" шилтемедеги суроо-талап боюнча тартылуу менен агып, баштапкы коопсуз иштетүү эффектиси менен ошол эле агымды камсыз кылат.
Бир эле учурда бирден ашык коопсуздук түзмөгүн удаалаш жайгаштыруу диаграммасында колдонуу:
Тармактын ичиндеги айланып өтүүчү коммутаторду жайылтуу схемасы:
3.6 Жол кыймылынын тартылуу коопсуздугун аныктоодон коргоонун динамикалык стратегиясына негизделген
"Тармактын ичиндеги айланып өтүү" Дагы бир өркүндөтүлгөн тиркеме сценарийи төмөндө көрсөтүлгөндөй жол кыймылынын тартылуу коопсуздугун аныктоодон коргоо тиркемелеринин динамикалык стратегиясына негизделген:
Мисалы, "DDoS чабуулдарынан коргоо жана аныктоо" коопсуздук сыноо жабдууларын "Network Inline Bypass" жана андан кийин DDOSко каршы коргоо жабдууларын фронт-экранда жайгаштыруу аркылуу "Network Inline Bypass"ка туташтырыңыз, кадимки "Traction Protector" аркылуу трафиктин толук көлөмүн зым ылдамдыгын багыттоо менен, ошол эле учурда агым күзгүсүн "DDOS чабуулдарынан коргоо түзмөгүнө" чыгарат, чабуулдан кийин сервердин IP дареги (же IP тармак сегменти) аныкталгандан кийин, "DDOS чабуулдарынан коргоо түзмөгү" максаттуу трафик агымын дал келтирүү эрежелерин түзүп, аларды динамикалык саясатты жеткирүү интерфейси аркылуу "Network Inline Bypass"ка жөнөтөт. "Network Inline Bypass" динамикалык саясат эрежелеринин эрежелеринин пулун алгандан кийин "трафиктин тартылуу динамикасын" жаңырта алат жана дароо "эреже" чабуул серверинин трафигин "DDoS чабуулдарынан коргоо жана аныктоо" жабдууларына "тартуу" менен иштетип, чабуул агымынан кийин күчүнө кирип, андан кийин тармакка кайра киргизилет.
"Тармактын ичиндеги айланып өтүүсүнө" негизделген тиркеме схемасын салттуу BGP маршрутун киргизүүгө же башка трафикти тартуу схемасына караганда ишке ашыруу оңой, ал эми чөйрө тармакка азыраак көз каранды жана ишенимдүүлүгү жогору.
"Network Inline Bypass" динамикалык саясаттын коопсуздугун аныктоодон коргоону колдоо үчүн төмөнкү мүнөздөмөлөргө ээ:
1, WEBSERIVCE интерфейсине негизделген эрежелерден тышкары, үчүнчү тараптын коопсуздук түзмөктөрү менен оңой интеграциялоону камсыз кылуу үчүн "Network Inline Bypass".
2, "Тармактын ичиндеги айланып өтүү" аппараттык таза ASIC чипине негизделген, ал коммутатордун багыттоосун бөгөттөбөстөн, 10 Гбит/сек зым ылдамдыктагы пакеттерди жөнөтөт жана санга карабастан "трафикти тартуу динамикалык эрежелеринин китепканасы".
3, "Тармактын ичиндеги айланып өтүү" орнотулган кесиптик BYPASS функциясы, коргоочунун өзү иштебей калса дагы, баштапкы сериялык шилтемени дароо айланып өтө алат, кадимки байланыштын баштапкы шилтемесине таасир этпейт.
Жарыяланган убактысы: 2021-жылдын 23-декабры
