Omrežno stikalo za obvod pipe Mylinking™ ML-BYPASS-200
2*Bypass plus 1*Monitor Modularna zasnova, 10/40/100GE povezave, največ 640 Gbps
1-Pregledi
Z uvedbo pametnega obvodnega stikala Mylinking™:
- Uporabniki lahko prilagodljivo namestijo/odstranijo varnostno opremo, kar ne bo vplivalo na trenutno omrežje in prekinilo delovanja;
- Omrežno stikalo za obvod pipe Mylinking™ z inteligentno funkcijo zaznavanja zdravja za spremljanje normalnega delovanja serijske varnostne naprave v realnem času. Ko serijska varnostna naprava pride do izjeme, se zaščita samodejno obide, da se ohrani normalna omrežna komunikacija.
- Selektivna tehnologija zaščite prometa se lahko uporablja za namestitev specifične varnostne opreme za čiščenje prometa, tehnologija šifriranja pa temelji na revizijski opremi. Učinkovito izvaja zaščito serijskega dostopa za določeno vrsto prometa in razbremenjuje pritisk pretoka serijske naprave.
- Tehnologija za zaščito prometa z uravnoteženo obremenitvijo se lahko uporablja za gručno uvajanje varnih serijskih naprav, da se zadosti potrebam po serijski varnosti v okoljih z visoko pasovno širino.
Z naglim razvojem interneta postaja grožnja informacijski varnosti v omrežju vse bolj resna, zato se vse pogosteje uporabljajo različne aplikacije za zaščito informacijske varnosti. Naj gre za tradicionalno opremo za nadzor dostopa (požarni zid) ali za novejše, naprednejše zaščitne sisteme, kot so sistemi za preprečevanje vdorov (IPS), enotna platforma za upravljanje groženj (UTM), sistemi za preprečevanje zavrnitve storitve (Anti-DDoS), prehodi za preprečevanje razpršitve, enotni sistem za identifikacijo in nadzor prometa DPI in številne druge varnostne naprave, ki so zaporedno nameščene v ključnih vozliščih omrežja, pri čemer se izvaja ustrezna politika varnosti podatkov za prepoznavanje in obravnavo zakonitega/nezakonitega prometa. Hkrati pa bo računalniško omrežje v primeru preklopa, vzdrževanja, nadgradnje, zamenjave opreme itd. v visoko zanesljivem okolju produkcijskega omrežja povzročilo velike zamude ali celo motnje v omrežju, česar uporabniki ne morejo prenesti.
2-omrežno obvodno stikalo z naprednimi funkcijami in tehnologijami
Tehnologija zaščitnega načina »SpecFlow« in »FullLink« Mylinking™
Tehnologija zaščite preklopa s hitrim obvodom Mylinking™
Tehnologija Mylinking™ »LinkSafeSwitch«
Tehnologija dinamičnega posredovanja/izdajanja Mylinking™ »WebService«
Tehnologija zaznavanja sporočil o inteligentnem srčnem utripu Mylinking™
Tehnologija sporočil o srčnem utripu Mylinking™
Tehnologija uravnoteženja obremenitve z več povezavami Mylinking™
Tehnologija inteligentne porazdelitve prometa Mylinking™
Tehnologija dinamičnega uravnoteženja obremenitve Mylinking™
Tehnologija oddaljenega upravljanja Mylinking™ (HTTP/WEB, TELNET/SSH, značilnost »EasyConfig/AdvanceConfig«)
Vodnik za konfiguracijo obvodnega stikala s 3 omrežnimi pipami
OBVOZReža za modul zaščitnih vrat:
To režo je mogoče vstaviti v modul vrat za zaščito BYPASS z različno hitrostjo/številko vrat. Z zamenjavo različnih tipov modulov lahko podpira zaščito BYPASS več povezav 10G/40G/100G.
MONITORReža za modul vrat;
To režo je mogoče vstaviti v modul vrat MONITOR z različnimi hitrostmi/vrati. Podpira lahko več naprav za serijsko spremljanje s povezavo 10G/40G/100G z zamenjavo različnih modelov.
Pravila za izbiro modulov
Glede na različne nameščene povezave in zahteve glede uvajanja nadzorne opreme lahko fleksibilno izberete različne konfiguracije modulov, ki ustrezajo dejanskim potrebam vašega okolja; pri izbiri upoštevajte naslednja pravila:
1. Komponente ohišja so obvezne in jih morate izbrati, preden izberete druge module. Hkrati izberite različne načine napajanja (AC/DC) glede na vaše potrebe.
2. Celotna naprava podpira do 2 reži za modula BYPASS in 1 režo za modul MONITOR; izbrati ne morete več kot je število rež za konfiguracijo. Glede na kombinacijo števila rež in modela modula lahko naprava podpira do štiri zaščite povezav 10GE; ali lahko podpira do štiri povezave 40GE; ali pa lahko podpira do eno povezavo 100GE.
3. Modul modela "BYP-MOD-L1CG" je za pravilno delovanje mogoče vstaviti le v SLOT1.
4. Modul tipa "BYP-MOD-XXX" je mogoče vstaviti samo v režo za modul BYPASS; modul tipa "MON-MOD-XXX" pa je mogoče za normalno delovanje vstaviti samo v režo za modul MONITOR.
| Model izdelka | Funkcijski parametri |
| Šasija (gostitelj) | |
| ML-BYPASS-M200 | 1U standardna 19-palčna stojala; največja poraba energije 250 W; modularni gostitelj zaščitnika BYPASS; 2 reži za modul BYPASS; 1 reža za modul MONITOR; AC in DC opcijsko; |
| OBVODNI MODUL | |
| BYP-MOD-L2XG(LM/SM) | Podpira dvosmerno serijsko zaščito povezave 10GE, vmesnik 4*10GE, priključek LC; vgrajen optični oddajnik-sprejemnik; optična povezava enojnega/večmodnega načina (opcijsko), podpira 10GBASE-SR/LR; |
| BYP-MOD-L2QXG(LM/SM) | Podpira dvosmerno serijsko zaščito povezave 40GE, vmesnik 4*40GE, priključek LC; vgrajen optični oddajnik-sprejemnik; optična povezava enojnega/večmodnega načina (opcijsko), podpira 40GBASE-SR4/LR4; |
| BYP-MOD-L1CG (LM/SM) | Podpira 1-kanalno serijsko zaščito povezave 100GE, vmesnik 2*100GE, priključek LC; vgrajen optični oddajnik-sprejemnik; enojni večmodni optični vmesnik, opcijsko, podpira 100GBASE-SR4/LR4; |
| MONITORSKI MODUL | |
| MON-MOD-L16XG | 16*10GE SFP+ nadzorni modul vrat; brez optičnega oddajno-sprejemnega modula; |
| MON-MOD-L8XG | 8*10GE SFP+ nadzorni modul vrat; brez optičnega oddajno-sprejemnega modula; |
| MON-MOD-L2CG | 2*100GE QSFP28 nadzorni modul vrat; brez optičnega oddajno-sprejemnega modula; |
| MON-MOD-L8QXG | 8* 40GE QSFP+ nadzorni modul vrat; brez optičnega oddajno-sprejemnega modula; |
Specifikacije 4-omrežnega obvodnega stikala TAP
| Modaliteta izdelka | Serijsko obvodno stikalo ML-BYPASS-M200 | |
| Vrsta vmesnika | Vmesnik MGT | 1*10/100/1000BASE-T prilagodljiv vmesnik za upravljanje; podpora za oddaljeno upravljanje HTTP/IP |
| Reža za modul | 2*Reža za modul BYPASS; 1*Reža za modul MONITOR; | |
| Povezave, ki podpirajo največ | Naprava podpira največ 4*10GE povezave ali 4*40GE povezave ali 1*100GE povezave | |
| Monitor | Naprava podpira največ 16*10GE nadzornih vrat ali 8*40GE nadzornih vrat ali 2*100GE nadzornih vrat; | |
| Funkcija | Zmogljivost polne dupleksne obdelave | 640 Gb/s |
| Na podlagi kaskadne zaščite prometa, specifične za pet naborov IP/protokolov/vrat | Podpora | |
| Kaskadna zaščita, ki temelji na polnem prometu | Podpora | |
| Večkratno uravnoteženje obremenitve | Podpora | |
| Funkcija zaznavanja srčnega utripa po meri | Podpora | |
| Podpora za neodvisnost Ethernet paketov | Podpora | |
| OBVOZNO STIKALO | Podpora | |
| Stikalo BYPASS brez bliskavice | Podpora | |
| UPRAVLJANJE KONZOL | Podpora | |
| Upravljanje IP/spleta | Podpora | |
| SNMP V1/V2C Upravljanje | Podpora | |
| Upravljanje TELNET/SSH | Podpora | |
| Protokol SYSLOG | Podpora | |
| Uporabniška avtorizacija | Na podlagi avtorizacije z geslom/AAA/TACACS+ | |
| Elektrika | Nazivna napajalna napetost | AC-220V/DC-48V【Neobvezno】 |
| Nazivna močnostna frekvenca | 50 Hz | |
| Nazivni vhodni tok | AC-3A / DC-10A | |
| Nazivna moč | 100 W | |
| Okolje | Delovna temperatura | 0–50 ℃ |
| Temperatura shranjevanja | -20–70 ℃ | |
| Delovna vlažnost | 10 %–95 %, brez kondenzacije | |
| Konfiguracija uporabnika | Konfiguracija konzole | Vmesnik RS232, 115200, 8, N, 1 |
| Vmesnik MGT zunaj pasu | 1*10/100/1000M Ethernet vmesnik | |
| Avtorizacija z geslom | Podpora | |
| Višina šasije | Prostor podvozja (U) | 1U 19 palcev, 485 mm * 44,5 mm * 350 mm |
5-omrežno stikalo za obvod TAP (kot sledi)
Sledi tipičen način uvajanja FW (požarnega zidu) sistema za preprečevanje vdorov (IPS). IPS/FW se zaporedno namešča na omrežno opremo (usmerjevalnike, stikala itd.) med prometom z izvajanjem varnostnih pregledov. V skladu z ustrezno varnostno politiko se določi sprostitev ali blokiranje ustreznega prometa in doseže učinek varnostne obrambe.
Hkrati lahko IPS/FW opazujemo kot serijsko namestitev opreme, ki je običajno nameščena na ključnih lokacijah v poslovnem omrežju za izvajanje serijske varnosti. Zanesljivost priključenih naprav neposredno vpliva na celotno razpoložljivost poslovnega omrežja. Preobremenitev, sesutje serijskih naprav, posodobitve programske opreme, posodobitve pravilnikov itd. močno vplivajo na razpoložljivost celotnega poslovnega omrežja. Na tej točki lahko le prek prekinitve omrežja ali fizičnega obvodnega mostička omrežje obnovimo, kar resno vpliva na zanesljivost omrežja. IPS/FW in druge serijske naprave po eni strani izboljšujejo namestitev varnosti poslovnega omrežja, po drugi strani pa zmanjšujejo zanesljivost poslovnih omrežij in povečujejo tveganje, da omrežje ni na voljo.
5.2 Zaščita opreme serije Inline Link
Mylinking™ "Bypass Switch" se uporablja zaporedno med omrežnimi napravami (usmerjevalniki, stikali itd.), pri čemer pretok podatkov med omrežnimi napravami ne vodi več neposredno do IPS/FW. "Bypass Switch" prehaja med IPS/FW. Ko IPS/FW zaradi preobremenitve, sesutja, posodobitev programske opreme, posodobitev pravilnikov in drugih okvar, "Bypass Switch" s funkcijo inteligentnega zaznavanja sporočil srčnega utripa pravočasno odkrije okvarjeno napravo in s tem preskoči okvarjeno napravo, ne da bi pri tem prekinil delovanje omrežja. Omrežna oprema se hitro poveže neposredno in zaščiti normalno komunikacijsko omrežje. Ko pride do okvare IPS/FW, pa tudi s funkcijo inteligentnega zaznavanja paketov srčnega utripa, se originalna povezava pravočasno preveri in obnovi varnost omrežja podjetja.
Mylinking™ "Bypass Switch" ima zmogljivo inteligentno funkcijo zaznavanja sporočil o srčnem utripu. Uporabnik lahko prilagodi interval srčnega utripa in največje število ponovnih poskusov s prilagojenim sporočilom o srčnem utripu na IPS/FW za testiranje zdravja, na primer pošlje sporočilo o preverjanju srčnega utripa na vhodna/nizvodna vrata IPS/FW in nato prejme sporočilo iz vhodnih/nizvodnih vrat IPS/FW ter s pošiljanjem in prejemanjem sporočila o srčnem utripu oceni, ali IPS/FW deluje normalno.
5.3 Zaščita serije linijskega vlečenja v skladu s pravilnikom »SpecFlow«
Ko mora varnostna omrežna naprava v seriji varnostne zaščite obravnavati le določen promet, se s funkcijo »bypass switch« Mylinking™ za obdelavo prometa in strategijo pregledovanja prometa poveže z varnostno napravo. »Zadevni« promet se pošlje neposredno nazaj v omrežno povezavo, »zadevni prometni odsek« pa se nato prenese na linijsko varnostno napravo za izvajanje varnostnih preverjanj. To ne bo le ohranilo normalne uporabe funkcije varnostnega zaznavanja varnostne naprave, temveč bo tudi zmanjšalo neučinkovit pretok varnostne opreme za obvladovanje pritiska; hkrati lahko »bypass switch« v realnem času zazna stanje delovanja varnostne naprave. Varnostna naprava deluje nepravilno in neposredno obide podatkovni promet, da se prepreči motnje v omrežni storitvi.
Mylinking™ Traffic Bypass Protector lahko prepozna promet na podlagi identifikatorja glave plasti L2-L4, kot so oznaka VLAN, izvorni/ciljni MAC naslov, izvorni IP naslov, vrsta IP paketa, vrata protokola transportne plasti, oznaka ključa glave protokola itd. Različne prilagodljive kombinacije pogojev ujemanja je mogoče prilagodljivo definirati za opredelitev specifičnih vrst prometa, ki so zanimive za določeno varnostno napravo, in se lahko široko uporabljajo za uvajanje posebnih naprav za varnostno revizijo (RDP, SSH, revizija baz podatkov itd.).
5.4 Zaščita serije z uravnoteženo obremenitvijo
Mylinking™ "Bypass Switch" se namesti zaporedno med omrežne naprave (usmerjevalnike, stikala itd.). Ko zmogljivost obdelave enega samega IPS/FW ne zadostuje za obvladovanje prometnih konic omrežne povezave, lahko funkcija uravnoteženja obremenitve prometa, ki jo omogoča zaščitnik, in "združevanje" več gruč IPS/FW, ki obdelujejo promet omrežne povezave, učinkovito zmanjša obremenitev obdelave enega samega IPS/FW in izboljša splošno zmogljivost obdelave, da zadosti visokim pasovnim širinam okolja namestitve.
Mylinking™ "Bypass Switch" ima zmogljivo funkcijo uravnoteženja obremenitve, ki v skladu z oznako VLAN okvirja, informacijami MAC, informacijami IP, številko vrat, protokolom in drugimi informacijami o porazdelitvi prometa v okviru zgoščene obremenitve zagotavlja celovitost seje pretoka podatkov vsakega IPS/FW.
5.5 Zaščita pred vleko pretoka večserijske linijske opreme (sprememba serijske povezave v vzporedno povezavo)
V nekaterih ključnih povezavah (kot so internetne vtičnice, povezave za izmenjavo strežniških območij) je lokacija pogosto posledica potreb varnostnih funkcij in namestitve več linijske opreme za testiranje varnosti (kot so požarni zid, oprema za preprečevanje napadov DDoS, požarni zid spletnih aplikacij, oprema za preprečevanje vdorov itd.). Več varnostne opreme, ki je hkrati zaporedno povezana na povezavi, poveča število točk okvare povezave in zmanjša splošno zanesljivost omrežja. Pri zgoraj omenjeni spletni namestitvi varnostne opreme, nadgradnji opreme, zamenjavi opreme in drugih operacijah lahko pride do dolgotrajnih prekinitev delovanja omrežja in večjih prekinitev projektov za uspešno izvedbo takšnih projektov.
Z enotno uporabo "obvoznega stikala" se lahko način uporabe več varnostnih naprav, zaporedno povezanih na isti povezavi, spremeni iz "načina fizičnega združevanja" v "način fizičnega združevanja, logičnega združevanja". Povezava na povezavi z eno samo točko odpovedi izboljša zanesljivost povezave, medtem ko "obvozno stikalo" na povezavi omogoča oprijem na zahtevo, da se doseže enak pretok kot v prvotnem načinu varne obdelave.
Diagram serijske namestitve več kot ene varnostne naprave hkrati:
Diagram namestitve obvodnega stikala Mylinking™ Network TAP:
5.6 Na podlagi dinamične strategije zaznavanja in zaščite pred vleko prometa
"Obvozno stikalo" Drug napreden scenarij uporabe temelji na dinamični strategiji aplikacij za zaznavanje in zaščito vleke prometa, njegova namestitev pa je prikazana spodaj:
Vzemimo na primer opremo za varnostno testiranje "zaščita in odkrivanje napadov proti DDoS". Ta oprema se namesti na sprednji strani in nato priključi na "obvozno stikalo". V običajnem "zaščitniku oprijema" se promet v celoti preusmeri s hitrostjo žice, hkrati pa se zrcalni izhod pretoka oddaja na "napravo za zaščito pred napadi proti DDoS". Ko je po napadu zaznan IP strežnika (ali segment omrežja IP), bo "naprava za zaščito pred napadi proti DDoS" ustvarila pravila za ujemanje ciljnega pretoka prometa in jih prek vmesnika za dinamično dostavo politik poslala "obvoznemu stikalu". "Obvozno stikalo" lahko po prejemu pravil dinamične politike posodobi "dinamiko oprijema prometa" in takoj "pravilo" prenese na opremo za zaščito in odkrivanje napadov proti DDoS za obdelavo, da se po napadu učinkovito izvede in nato ponovno vbrizga v omrežje.
Aplikacijska shema, ki temelji na "bypass switchu", je lažja za izvedbo kot tradicionalno vbrizgavanje poti BGP ali druga shema vleke prometa, okolje pa je manj odvisno od omrežja in zanesljivost je večja.
"Obhodno stikalo" ima naslednje značilnosti za podporo dinamične zaščite z zaznavanjem pravilnikov:
1, "Obhodno stikalo" za zagotavljanje zunaj pravil, ki temeljijo na vmesniku WEBSERIVCE, enostavna integracija z varnostnimi napravami drugih proizvajalcev.
2, "Obvodno stikalo", ki temelji na strojni opremi s čistim ASIC čipom, ki posreduje pakete z žično hitrostjo do 10 Gbps brez blokiranja posredovanja stikala, in "knjižnica dinamičnih pravil za vleko prometa" ne glede na število.
3, vgrajena profesionalna funkcija "bypass switch" omogoča takojšen obhod originalne serijske povezave, tudi če zaščita sama odpove, ne da bi pri tem vplivala na normalno komunikacijo.
