Mylinking™ Tarmoq Paket Brokeri va Inline Bypass Switch ML-NPB-M2000
Aylanma modul: 8*10G SFP+ va 4*100GE, Monitor moduli: 16*10GE SFP+ va 4*100GE, maksimal 2.4Tbps
1-Umumiy ma'lumotlar
Internetning jadal rivojlanishi bilan tarmoq axborot xavfsizligi tahdidi tobora jiddiylashib bormoqda, shuning uchun axborot xavfsizligini himoya qilishning turli xil ilovalari tobora kengroq qo'llanilmoqda. An'anaviy kirishni boshqarish uskunalari (xavfsizlik devori) bo'ladimi yoki yangi turdagi yanada rivojlangan himoya vositalari, masalan, buzilishlarning oldini olish tizimi (IPS), yagona tahdidlarni boshqarish platformasi (UTM), rad etishga qarshi xizmat hujumi tizimi (Anti-DDoS), spamga qarshi shlyuz, yagona DPI trafikni aniqlash va boshqarish tizimi va ko'plab xavfsizlik qurilmalari tarmoq kalit tugunlarida ketma-ket joylashtiriladimi, qonuniy/noqonuniy trafikni aniqlash va ular bilan kurashish uchun tegishli ma'lumotlar xavfsizligi siyosatini amalga oshirish kerak. Shu bilan birga, kompyuter tarmog'i yuqori ishonchli ishlab chiqarish tarmoq ilova muhitida katta tarmoq kechikishiga yoki hatto ishlamay qolish, texnik xizmat ko'rsatish, yangilash, uskunani almashtirish va hokazo holatlarda tarmoqning uzilishiga olib keladi, foydalanuvchilar bunga chiday olmaydilar.
ML-NPB-M2000 Mylinking™ Tarmoq Paket Brokeri va Inline Bypass Switch yuqori tarmoq ishonchliligini ta'minlagan holda, turli xil seriyali xavfsizlik uskunalarini moslashuvchan joylashtirish uchun foydalanish uchun tadqiq qilingan va ishlab chiqilgan.
Mylinking™ Network Packet Broker va Inline Bypass Switch’dan foydalanish orqali:
●Foydalanuvchilar mavjud tarmoqqa ta'sir qilmasdan yoki uni uzmasdan xavfsizlikni himoya qilish moslamalarini moslashuvchan ravishda o'rnatishi/o'chirishi mumkin;
● U ulangan xavfsizlik qurilmalarining normal ish holatini real vaqt rejimida kuzatib borish uchun aqlli sog'liqni aniqlash funksiyasiga ega. Ulangan xavfsizlik qurilmasi ishlamay qolgandan so'ng, himoyachi normal tarmoq aloqasini saqlab qolish uchun avtomatik ravishda chetlab o'tadi.
● Tanlangan trafikni himoya qilish texnologiyasidan ma'lum trafikni tozalash xavfsizlik uskunalari, shifrlashga asoslangan audit uskunalari va boshqalarni joylashtirish uchun foydalanish mumkin. U ma'lum trafik turlari uchun ichki kirishni himoya qilishni samarali ravishda amalga oshiradi va ichki qurilmalarning trafikni qayta ishlash yukini kamaytiradi.
● Yuklarni muvozanatlash trafikni himoya qilish texnologiyasi yuqori o'tkazuvchanlik bosimi muhitida liniya ichidagi xavfsizlikni himoya qilish ehtiyojlarini qondirish uchun klasterlarda xavfsiz liniya ichidagi qurilmalarni joylashtirish uchun ishlatilishi mumkin.
●U SSL proksi imkoniyatlariga ega bo'lib, oddiy matnli ma'lumotlar tarkibi uchun xavfsizlikni himoya qilish qurilmalarining monitoring va tahlil talablariga javob beradi.
● U trafikni replikatsiya qilish, agregatsiya qilish, filtrlash va yorliqlash kabi asosiy trafikni qayta ishlash imkoniyatlariga, shuningdek, takrorlashni olib tashlash, niqoblash, dastur qatlami protokolini identifikatsiyalash va trafikni shakllantirish kabi ilg'or trafikni qayta ishlash imkoniyatlariga ega.
2-Mylinking™ Tarmoq Paket Brokeri va Inline Bypass Switch ilg'or xususiyatlari va texnologiyalari
Mylinking™ “SpecFlow” himoya rejimi va “FullLink” himoya rejimi texnologiyasi
Mylinking™ Tez aylanib o'tish kommutatsiyasidan himoya qilish texnologiyasi
Mylinking™ “LinkSafeSwitch” texnologiyasi
Mylinking™ “WebService” dinamik siyosatni yoʻnaltirish/chiqarish texnologiyasi
Mylink™ aqlli yurak urish paketini aniqlash texnologiyasi
Mylinking™ Aniqlanadigan yurak urishi paketlari texnologiyasi
Mylinking™ Ko'p yo'nalishli yuklarni muvozanatlash texnologiyasi
Mylinking™ Aqlli trafikni taqsimlash texnologiyasi
Mylinking™ Dinamik yuklarni muvozanatlash texnologiyasi
Mylinking™ Masofaviy boshqaruv texnologiyasi (HTTP/WEB, TELNET/SSH, “EasyConfig/AdvanceConfig” xususiyati)
3-Mylinking™ Tarmoq Paket Brokeri va Inline Bypass Switch Konfiguratsiya Qo'llanmasi
Yuqoridagi diagrammada ko'rsatilganidek, butun blok to'rtta modulli uyadan iborat:
SLOT1, SLOT2, SLOT3 va SLOT4 modul uyalarining barchasi turli tezlik va port raqamlariga ega BYPASS himoya port modullarini yoki MONITOR port modullarini joylashtirishi mumkin. Modullarning turli modellarini almashtirish orqali bir nechta 10G/40G/100G havolalari uchun BYPASS himoyasini qo'llab-quvvatlash, shuningdek, bir nechta 10G/40G/100G havolalari uchun Inline Bypass monitoring uskunalarini joylashtirish mumkin.
Eslatma: BYPASS moduli ham, MONITOR moduli ham tezkor almashtirishni qo'llab-quvvatlaydi.
3.1-Modul xususiyatlari ro'yxati
| Mahsulot modeli | FunktsionalPparametrlar |
| Chassis | |
| ML-NPB-M2000-CHS/AC | 2U standart 19 dyuymli tokcha o'rnatish moslamasi; maksimal quvvat sarfi 300 Vt; modulli BYPASS himoyachisi asosiy bloki; 4 ta modul uyasi; 1 * RS232 konsol interfeysi, tashqi tarmoq boshqaruvi bilan 1 * 10/100/1000M RJ45 interfeysi; ikki tomonlama quvvat manbai AC-220V; |
| NT-BYPASS-M2000-CHS/DC | 2U standart 19 dyuymli tokcha o'rnatish moslamasi; maksimal quvvat sarfi 300 Vt; modulli BYPASS himoyachisi asosiy bloki; 4 ta modul uyasi; 1 * RS232 konsol interfeysi, tashqi tarmoq boshqaruvi bilan 1 * 10/100/1000M RJ45 interfeysi; ikki tomonlama quvvat manbai DC-48V; |
| AYLANMA YO'LMmodul | |
| INL-I8XM8X(LM/SM) | Jami 8 * 10GE interfeyslari bilan 4 tomonlama 10GE (1G bilan mos) ulanish ketma-ket ulanish himoyasini qo'llab-quvvatlaydi; 8 * 10G SFP+ monitoring portlarini qo'llab-quvvatlaydi (optik modullardan tashqari). |
| INL-I4HM2H (LM/SM) | Jami 4 * 100GE interfeyslari bilan 2 tomonlama 100GE (40GE mos) ulanish ketma-ket himoyasini qo'llab-quvvatlaydi; 2 * 100GE QSFP28 monitoring portlarini qo'llab-quvvatlaydi (optik modullardan tashqari). |
| MONITOR moduli | |
| MON-M16X | 16 * 10GE SFP+ monitoring portlari (optik modullardan tashqari); |
| MON-M16X-CN98 | 16 * 10GE SFP+ monitoring portlari (optik modul qo'shilmagan); SSL shifrini ochish, SSL proksi-serveri va trafikni takrorlashni olib tashlash kabi ilg'or trafikni qayta ishlash funktsiyalarini qo'llab-quvvatlaydigan ilg'or funksiyali dvigatel bilan jihozlangan; |
| DUSH-M4H | 4 * 100GE QSFP28 monitoring portlari (optik modullar kiritilmagan); |
| MON-M4H-CN98 | 4 * 100GE QSFP28 monitoring portlari (optik modullar kiritilmagan); SSL shifrini ochish, SSL proksi-serveri va trafikni takrorlamaslik kabi ilg'or trafikni qayta ishlash funktsiyalarini qo'llab-quvvatlaydigan ilg'or funksiyali dvigatel bilan jihozlangan; |
3.2-Modul tanlash qoidalari
Turli xil himoyalangan havolalar va monitoring uskunalarini joylashtirish talablariga asoslanib, siz haqiqiy muhit ehtiyojlaringizni qondirish uchun turli xil modul konfiguratsiyalarini moslashuvchan ravishda tanlashingiz mumkin; tanlashda quyidagi qoidalarga amal qiling:
1) Shassi yig'ilishi majburiy komponent bo'lib, boshqa modullarni tanlashdan oldin tanlanishi kerak. Iltimos, ehtiyojlaringizga muvofiq tegishli quvvat manbai usulini (AC/DC) ham tanlang.
2) Qurilma maksimal 4 ta modul uyasini qo'llab-quvvatlaydi; konfiguratsiya uchun uyalar sonidan ko'proq modulni tanlay olmaysiz. Turli modul modellarining moslashuvchan kombinatsiyasiga asoslanib, qurilma 16 tagacha 10GE/GE yoki 8 ta 100GE/40GE ulanishlari uchun ketma-ket himoyani qo'llab-quvvatlashi mumkin.
4-Aqlli trafikni qayta ishlash qobiliyatlari
4.1-Ichki joylashtirish
Maxsus trafikni himoya qilish liniyasi
Qo'llab-quvvatlaydiMos ravishda(serial)har qanday joyda ma'lum trafik turlari uchun himoya rejimimos ravishdahavola.Tofoydalanuvchi tomonidan belgilangan ba'zi trafik turlarini yo'naltirishmos ravishdahavolaMos ravishda Sxavfsizlikqurilmaqayta ishlash uchun, qolgan trafik esa to'g'ridan-to'g'ri oqimsiz yo'naltiriladiMos ravishda Sxavfsizlikqurilma. Xuddi o'sha payt,itish holatini real vaqt rejimida kuzatib boradiMos ravishda SxavfsizlikqurilmaG'ayritabiiy trafikni qayta ishlash holati aniqlangandan so'ng,ittarmoq xizmatining uzluksizligini ta'minlash uchun trafik uzatish yo'lidan avtomatik ravishda chetlab o'tiladi.
Barcha trafikni ichki himoya qilish
Qo'llab-quvvatlaydiMos ravishda(serial)istalgan joyda barcha turdagi trafik uchun himoya rejimimos ravishdahavola.Tobarcha trafikni uzatishmos ravishdahavolaMos ravishda Sxavfsizlikqurilmaqayta ishlash uchun va Inline Security ish holatini kuzatib boringqurilmareal vaqt rejimida. G'ayritabiiy trafikni qayta ishlash holati aniqlangandan so'ng,ittarmoq xizmatining uzluksizligini ta'minlash uchun trafik uzatish yo'lidan avtomatik ravishda chetlab o'tiladi.
Yuk balansi
U aqlli trafik yukini muvozanatlash qobiliyatiga ega. Bitta ishlov berish samaradorligiMos ravishda Sxavfsizlikqurilmabilan kurashish uchun yetarli emasmos ravishdaaloqa trafikini bog'lash, u ajratishi mumkinmos ravishdayuklarni muvozanatlash guruhini sozlash orqali trafikni N Monitor interfeyslariga bog'lang. MAC, IP ma'lumotlari, port raqami, protokol va boshqa ma'lumotlarga ko'ra,itixtiyoriy Hash algoritmi yuk balanslash chiqishini amalga oshiradi, shundamos ravishdahavola trafiki bir nechta qurilmalarga teng taqsimlanganmos ravishdaxavfsizlikasbobklasterli ishlov berish uchun s, bu esa umumiy ishlov berish ko'rsatkichlarini samarali ravishda yaxshilaydimos ravishdaxavfsizlikasbobs. Yuqori o'tkazish qobiliyati va katta trafikni qo'llash stsenariylari talablariga moslashish uchun.
Yurak urishi paketini aniqlash
Qo'llab-quvvatlaydiTxvaRxYurak urishini aniqlash paketlari ulangan ulanishning yuqori va pastki aloqasi orqalimos ravishdaxavfsizlik qurilmalarini aniqlaydi vaichki vositalarish holati va trafikni qayta ishlash jarayoni normalmi yoki yo'qmi. Ikki tomonlama yurak urishipaketaniqlash mexanizmi joriy ish holatini aniqroq aks ettirishi mumkinmos ravishdaxavfsizlikqurilmava tarmoqning normal ishlashini yanada samaraliroq ta'minlaydi.
U har qanday yurak urish parametrlarini sozlashi mumkinmos ravishdayurak urishi kabi xavfsizlik moslamasi,Txinterval vaqti, maksimal yurak urishini qayta urish vaqtlari, yurak urish tezligiTxyo'nalish va boshqalar. U nosozlik holatini aniqlay oladi va baholay oladimos ravishdaxavfsizlik moslamalarini o'z vaqtida ishga tushiring va himoya aloqalarini tez aylanib o'tishni amalga oshiring.
Yurak urishini aniqlash paketlari standart Ethernet 2-qavat kadrlaridir. Shaffof 2-qavat ko'prigi rejimi (masalan, IPS/FW) joylashtirilganda, 2-qavat Ethernet kadrlari bloklanmasdan yoki tushib ketmasdan normal ravishda uzatiladi. Shu bilan birga, u ba'zi maxsus holatlarga moslashish uchun maxsus Ethernet 2, 3 va 4-qavat yurak urishini aniqlash paketlarini ham qo'llab-quvvatlashi mumkin.mos ravishdaXavfsizlik qurilmalari odatda oddiy Ethernet 2-qavat freymlarini uzata olmaydi.
Yuqoridagi mexanizmga asoslanib, foydalanuvchilar ulangan xavfsizlik qurilmalarining xizmat ko'rsatish darajasidagi sog'liqni aniqlash effektini anglashlari mumkin, shunda bu xavfsizlik xizmatlarining normal ishlashini yanada samaraliroq ta'minlaydi.
Aylanib o'tish kommutatsiyasi
Juda past aylanma yo'lni qo'llab-quvvatlaydialmashtirishkechikish (<8ms) va qurilma aylanib o'tishni amalga oshirganda foydalanuvchilar tarmoqqa ta'sirini deyarli sezmaydilaralmashtirishShu bilan birga, qurilmaga xos havola kommutatsiya texnologiyasi aylanib o'tish paytida asosiy havolaning havola holatiga ta'sir qilmasligini ta'minlashi mumkin.almashtirishUshbu texnologiya aylanma yo'lni ta'minlaydialmashtirishxavfsizroq va himoyalangan havolalarning 2-qavat / 3-qavat topologiyasi protokolini qayta hisoblash va birlashtirishga olib kelmaydi, shu bilan foydalanuvchi tarmog'iga ta'sirini minimallashtirish uchunalmashtirish.
Yo'l harakati bloklanishi
Xavfsizlik qurilmasi trafikda noqonuniy yoki g'ayritabiiy sessiya ulanishlarini aniqlaganda va ularni o'z vaqtida blokirovka qilish kerak bo'lganda, qurilma yuqori/past trafikdagi istalgan belgilangan paketlarni ushlab qolishi mumkin.mos ravishdatarmoq xizmatlarining xavfsiz ishlashini ta'minlash uchun katakchalarni moslashtirish filtri shartlariga asoslangan havola.
Yo'l harakati oynasi
Ichki havola va Ichki Xavfsizlik Qurilmasining (IPS, WAF kabi) trafikni himoya qilishdan tashqari, har qanday SPAN aks ettirilgan trafik SPAN xavfsizlik monitoring tizimiga (IDS, APT kabi) ham chiqarilishi mumkin, bu esa trafik ma'lumotlarini SPAN monitoring qilish yoki trafikni sinovdan o'tkazish va tekshirish talablariga javob beradi.
SSL proksi-serveri
SSL proksi-server funktsiyasi orqali asl shifrlangan paket shifrlanadi va ichki xavfsizlikni himoya qilish tizimiga yuboriladi, so'ngra shifrlangan ma'lumotlar tiklanadi va asl havolaga qaytariladi, shunda foydalanuvchining asl havolasida shifrlangan ma'lumotlarning uzatilishiga ta'sir qilmasdan, shifrlangan ma'lumotlarni ichki xavfsizlikni himoya qilish tizimiga taqdim etish va tahlil tizimi tomonidan shifrlangan ma'lumotlarni kuzatish va tahlil qilish amalga oshiriladi.
4.2-SPAN joylashtirish
Tarmoq trafikini replikatsiya qilish
Qo'llab-quvvatlaydiMos ravishda(serial)har qanday joyda ma'lum trafik turlari uchun himoya rejimimos ravishdahavola.Tofoydalanuvchi tomonidan belgilangan ba'zi trafik turlarini yo'naltirishmos ravishdahavolaMos ravishda Sxavfsizlikqurilmaqayta ishlash uchun, qolgan trafik esa to'g'ridan-to'g'ri oqimsiz yo'naltiriladiMos ravishda Sxavfsizlikqurilma. Xuddi o'sha payt,itish holatini real vaqt rejimida kuzatib boradiMos ravishda SxavfsizlikqurilmaG'ayritabiiy trafikni qayta ishlash holati aniqlangandan so'ng,ittarmoq xizmatining uzluksizligini ta'minlash uchun trafik uzatish yo'lidan avtomatik ravishda chetlab o'tiladi.
Tarmoq trafikini agregatsiyalash
Asl kirish trafiki va oldindan qayta ishlangan trafik GE, 10GE, 40G va 100G liniya tezligini yo'naltirishda N kanal signalini agregatsiya qilgandan so'ng 1 kanal signaliga muvofiq N kanal signaliga nusxalanishi yoki M kanal signaliga nusxalanishi mumkin, bu esa tarmoqda bir vaqtning o'zida ikkitadan ortiq ko'p portli tinglash bypass qurilmalarini joylashtirish ehtiyojlarini mukammal darajada hal qiladi.
Ma'lumotlarni tarqatish/yo'naltirish
Kiruvchi metama'lumotlarni aniq tasnifladi va foydalanuvchining oldindan belgilangan qoidalariga muvofiq turli xil ma'lumotlar xizmatlarini bir nechta interfeys chiqishlariga o'tkazdi yoki yo'naltirdi.
Paket ma'lumotlarini filtrlash
Kirish ma'lumotlaritirbandlikaniq tasniflanishi mumkin va turli xil ma'lumotlar xizmatlari oq ro'yxat yoki qora ro'yxat qoidalariga kiritilishi mumkin va bir nechta interfeys chiqishlari bekor qilinishi yoki yo'naltirilishi mumkin. U Ethernet turi, vlan yorlig'i, IP besh karrali, asosida moslashuvchan kombinatsiyani qo'llab-quvvatlaydi.TCPturli xil tarmoq xavfsizligi uskunalarining joylashtirish talablarini, protokol tahlilini, signalizatsiya tahlilini va boshqa trafik monitoringini yanada qondirish uchun identifikator, paket xususiyatlari va boshqa elementlar.
Yuk balansi
Ixtiyoriy xesh algoritmining yuk balansi L2-L4 ning ichki va tashqi qatlam xususiyatlariga muvofiq amalga oshirilishi mumkin, bu esa qabul qilingan ma'lumotlar oqimining sessiya yaxlitligini ta'minlaydi.SPANmonitoring qurilmasi. Bog'lanish holati o'zgarganda, tushirish porti guruhi a'zolari moslashuvchan ravishda chiqishlari (bog'lanish DOWN) yoki qo'shilishlari (bog'lanish UP) mumkin va tushirish guruhi portning chiqish trafikining dinamik yuk muvozanatini ta'minlash uchun trafikni avtomatik ravishda qayta taqsimlashi mumkin.
VLAN yorlig'i qo'yilgan
VLAN teglanmagan
VLAN almashtirildi
Paketning dastlabki 128 baytidagi istalgan kalit maydonni moslashtirish qo'llab-quvvatlandi. Foydalanuvchi ofset qiymatini, kalit maydon uzunligi va tarkibini sozlashi va foydalanuvchi konfiguratsiyasiga muvofiq trafik chiqish siyosatini belgilashi mumkin.
Vaqtni muhrlash
Qo'llab-quvvatlanadi NTP serverini vaqtni to'g'rilash uchun sinxronlashtiring va xabarni paketga nisbiy vaqt yorlig'i shaklida, kadr oxirida vaqt tamg'asi belgisi bilan, nanosekundlar aniqligi bilan yozing.
Tunnel kapsulasini ajratish
Asl ma'lumotlar paketida olib tashlangan va chiqishni uzatgan VxLAN, VLAN, GRE, GTP, MPLS, IPIP sarlavhalarini qo'llab-quvvatladi.
Ma'lumotlar/Paketlarni kesish
Qo'llab-quvvatlaydipaket tilimisiyosat darajasidagi trafik kirish interfeysi va chiqish interfeysi (64, 96, 128, 160, 192, 224, 256, 288, 320, 384, 512, 640, 768, 896, 960 bayt ixtiyoriy) asosida asl ma'lumotlarni kiritish va trafik chiqish siyosati foydalanuvchi konfiguratsiyasiga muvofiq amalga oshirilishi mumkin.
Tunnel protokolini aniqlash
GTP / GRE / VxLAN / PPTP / L2TP / PPPOE / IPIP kabi turli xil tunnel protokollarini avtomatik ravishda aniqlash qo'llab-quvvatlanadi. Foydalanuvchi konfiguratsiyasiga ko'ra, trafik chiqishi strategiyasi tunnelning ichki yoki tashqi qatlamiga muvofiq amalga oshirilishi mumkin.
Paketlarni yo'naltirish ustuvorligi
Bu kirish portidagi xizmatning ahamiyatiga qarab ma'lumotlar paketlarining ustuvorligini aniqlashni qo'llab-quvvatlaydi va yuqori ustuvorlikdagi paketlar chiqishda imtiyozli ravishda uzatiladi. Yuqori ustuvorlikdagi paketlar uzatilgandan so'ng, boshqa o'rta va past ustuvorlikdagi paketlar uzatiladi. Muhim ma'lumotlar paketlarining yo'qolishi natijasida yuzaga keladigan tahlil tizimi signalining oldini oling.
G'ayritabiiy ogohlantirish
U chegara sozlamalariga asoslangan real vaqt rejimida signalizatsiya va interfeys trafik tendentsiyalarining tarixiy yozuvlarini qo'llab-quvvatlaydi. U qurilma apparatining (protsessor, xotira, harorat, ventilyator, quvvat manbai va boshqalar) sog'liq holatiga asoslangan real vaqt rejimida signalizatsiya va tarixiy signal yozuvlarini qo'llab-quvvatlaydi.
Interfeysni tezkor zaxiralash
Kirishdan chiqishgacha bo'lgan trafik jarayonida yuqori ishonchlilikka erishish uchun kirish interfeysi 1+1 asosiy/kutish konfiguratsiyasini, chiqish interfeysi 1+1 asosiy/kutish konfiguratsiyasini va yuklarni muvozanatlash guruhi N+1 asosiy/kutish konfiguratsiyasini qo'llab-quvvatlaydi.
Trafik mikroportlashini o'lchash
U trafik mikro-portlashining sodir bo'lish vaqtini, davomiyligini va portlash tezligini real vaqt rejimida aniqlay oladi va tarixiy o'lchov yozuvlarini saqlashni ta'minlaydi, bu esa operatsiya va texnik xizmat ko'rsatish muammolarini bartaraf etish va paket yo'qotilishini aniqlash uchun miqdoriy va kuzatiladigan vositalar va asoslarni taqdim etadi.
Interfeys tebranishidan himoya
Bu interfeyslarning tez-tez ulanishi natijasida kirish va chiqish trafikining yo'qolishining oldini olish va trafikni yig'ish va yo'naltirishning barqarorligini oshirish uchun har qanday interfeysning ulanish yuqoriga/pastga tebranish hodisalarini aniqlash va himoya qilishni qo'llab-quvvatlaydi.
Tunnel kapsulasining chiqishi
To'plangan trafikni masofaviy tahlil tizimiga uzatishning amaliy talablarini qondirish uchun har qanday to'plangan trafik va chiqishning ERSPAN2, GRE, VXLAN, NVGRE tipidagi tunnel kapsulasini qo'llab-quvvatlaydi.
Tunnel paketini tugatish
Bu tunnel xabarini tugatish funksiyasini qo'llab-quvvatlaydi. Bu funksiya trafik kirish portida IP manzillari/niqoblari va MAC manzillarini sozlash imkonini beradi. Bu foydalanuvchi tarmog'ida to'planishi kerak bo'lgan trafikni GRE, GTP va VXLAN kabi tunnel kapsulalash usullari orqali qurilmaning yig'ish portiga to'g'ridan-to'g'ri uzatish imkonini beradi.
SPAN SSL shifrini ochish
Tegishli SSL sertifikatining shifrini ochishni yuklash qo'llab-quvvatlanadi. Belgilangan trafik uchun HTTPS shifrlangan ma'lumotlarining shifrini ochgandan so'ng, u kerak bo'lganda orqa monitoring va tahlil tizimlariga yuboriladi. TLS1.0, TLS1.2 va SSL3.0 qo'llab-quvvatlanadi
Ma'lumotlar/Paketlarni nusxalash
Belgilangan vaqtda bir nechta to'plam manbai ma'lumotlarini va bir xil ma'lumot paketining takrorlanishlarini taqqoslash uchun portga asoslangan yoki siyosat darajasidagi statistik teranlik qo'llab-quvvatlanadi. Foydalanuvchilar turli xil paket identifikatorlarini (dst.ip, src.port, dst.port, tcp.seq, tcp.ack, dst.mac, src.mac, vlan.id) tanlashlari mumkin.
Maxfiy sana niqobi
Maxfiy ma'lumotlarni himoya qilish maqsadiga erishish uchun xom ma'lumotlardagi har qanday kalit maydonni almashtirish uchun siyosatga asoslangan batafsillik qo'llab-quvvatlanadi. Foydalanuvchi konfiguratsiyasiga muvofiq, trafikni chiqarish siyosati amalga oshirilishi mumkin.
APP qatlam protokolini aniqlash
DNS/URL moslashtirish rejimiga asoslangan holda Ilova Qatlami Protokollarini identifikatsiyalash, chiqarish va o'chirishni qo'llab-quvvatlaydi. DPI funksiyalar kutubxonasi kamida 1800 turdagi ilova protokoli funksiyalarini (masalan, audio va video, o'yin, tezkor xabar almashish, ma'lumotlar bazasi, elektron pochta, P2P va boshqalar) aniqlash, chiqarish va o'chirish uchun integratsiya qilinishi mumkin va DPI funksiyalar kutubxonasini yangilash va yangilash mumkin. Agar maxsus ehtiyojlar mavjud bo'lsa, ikkilamchi ishlab chiqish ham amalga oshirilishi mumkin.
Foydalanuvchi tomonidan belgilangan paket dekapsulatsiyasi
Bu o'z-o'zini aniqlagan paketni kapsulalash funksiyasini qo'llab-quvvatlaydi, bu paketning dastlabki 128 baytining istalgan pozitsiyasidagi kapsulalash maydonlari va tarkibini olib tashlashi va uni chiqarishi mumkin.
Yo'l harakati shakllanishi
Shu bilan birga, ma'lumotlar oqimini tahlil vositasiga uzluksiz chiqarish uchun chiqish interfeysida trafikni shakllantirish texnologiyasi qo'llaniladi, bu esa mikro-portlash natijasida yuzaga kelgan paket yo'qotish hodisasini tubdan hal qiladi va tahlil tizimida trafik yo'qolishi natijasida yuzaga keladigan g'ayritabiiy signalni oldini oladi.
Paketli kalit so'zlarni moslashtirish
Paketning foydali yuk qismidagi biron bir maydon tarkibi moslashtirilgandan va urilgandan so'ng, tegishli paket yoki sessiya oqimi ma'lum trafik ma'lumotlarini oldindan qayta ishlash talablarini qondirish uchun uzatiladi va chiqariladi yoki tashlanadi.
Tunnel kapsulasini ajratish
U ajratib olingandan so'ng asl ma'lumotlar paketidagi VXLAN, MPLS, GRE, SRV6, FABRICPATCH, GENEVE va boshqa paket sarlavhalarining chiqishini qo'llab-quvvatlaydi.
Uzoq muddatli ulanishni o'chirish
Foydalanuvchi ehtiyojlariga ko'ra, har qanday sessiya oqimi uzatilgan baytlar soni va uzatilgan paketlar soniga qarab yo'naltirilishi va chiqarilishi mumkin, keyingi sessiya oqimi esa bekor qilinishi mumkin, bu esa ba'zi bir aniq stsenariylarda orqa tomon tahlil tizimining talablarini qondirish uchun kerak bo'ladi, bu faqat sessiya oqimi trafikining bir qismini olish, trafik tahlili bosimini kamaytirish va tahlil tizimining samaradorligini oshirishni talab qiladi.
Trafik statistik tahlili
U har qanday kirish interfeysi trafik komponentlarining statistikasini qo'llab-quvvatlaydi va uning trafik trendi hajmini, IP-manzilning trafik hajmi/nisbati TOPNini, dastur protokoli toifasining trafik hajmi/nisbati TOPNini, dastur protokoli nomining trafik hajmi/nisbati TOPNini va trafik sessiyasi ma'lumotlarini real vaqt rejimida grafiklar ko'rinishida ko'rsatishi va statistik natijalarni mahalliy fayllarga eksport qilishni ta'minlaydi. Shunday qilib, foydalanuvchilar har qanday to'plangan trafikning tarkibiy tuzilishini aniqroq tushunishlari va trafik strategiyalarini sozlash va o'zgaruvchan biznes talablari uchun eng to'g'ridan-to'g'ri ma'lumotlarni qo'llab-quvvatlash asosini taqdim etishlari mumkin.
Trafik ko'rinishi - Asosiy ma'lumotlar tahlili
Trafikni vizualizatsiya qilish funksiyasining asosiy tahlil moduli paketlar soni, bir martalik/ko'p martalik/eshittirish paketlari taqsimoti, sessiya ulanish raqami, paket protokoli taqsimoti va olingan trafik hajmi kabi olingan maqsadli trafik ma'lumotlarining asosiy ma'lumotlarini ko'rsatishi mumkin.
Trafik ko'rinishi - DPI chuqur tahlili
Trafik ko'rinishini aniqlash funktsiyasining DPI chuqur tahlil moduli olingan maqsadli trafik ma'lumotlarini bir nechta nuqtai nazardan chuqur tahlil qilishi va batafsil statistikani grafiklar va jadvallar ko'rinishida taqdim etishi mumkin.
Trafik ko'rinishi - Trafik nisbati tahlili
● Transport qatlami protokoli nisbati tahlili: masalan, TCP, UDP, ICMP, IGMP, ARP va boshqa paket nisbati va trafik statistikasi hamda doira diagrammasi displeyi
● IP-trafik ulushini tahlil qilish: masalan, turli IP-manzillar tomonidan yaratilgan trafik statistikasi, IP-ga asoslangan trafik reytingi TOP N va ustunli grafik displeyi
● DPI dastur nisbati tahlili: HTTP, QQ, FTP va boshqa dastur protokollari, baytlar soni, aloqa trafikining statistik taqsimoti va pirog diagrammasini ko'rsatish kabi
Yo'l harakati ko'rinishi - Yo'l harakati vaqt jadvalini tahlil qilish
IP, port, transport qatlami protokoli, dastur qatlami protokoli va boshqa belgilangan kontent kabi turli filtrlash shartlariga ko'ra, joriy maqsadli trafik ma'lumotlari namuna olish vaqtiga qarab tahlil qilinishi va taqdim etilishi mumkin, trafik hajmi va trendini vaqt slayderini siljitish va statistik teranlik masshtablash orqali so'rash mumkin va aniqlik 1 millisekundgacha yetishi mumkin.
Trafik ko'rinishi – Oqim jadvali tahlili
Oqim identifikatori, IP, port, transport qatlami protokoli, dastur qatlami protokoli va boshqa belgilangan kontent kabi turli filtrlash shartlariga ko'ra, joriy maqsadli ushlangan trafik ma'lumotlari sessiya oqimi rejimiga, ya'ni har bir oqimning beshta katakchali ma'lumotlari, tashish ilovasi turi, paket uzatish soni va baytlari va tegishli ma'lumotlar oqimini o'z ichiga olgan sessiya oqimi ma'lumotlarining batafsil taqdimotiga asoslanib tahlil qilinishi va hisoblanishi mumkin. Va yuqoridagi ma'lumotlarga asoslangan reyting displeyiga ega. Ushbu ma'lumotlarga asoslanib, foydalanuvchilar o'zlari qiziqtirgan trafik turlarini osongina tanlashlari mumkin, bu esa foydalanuvchilarga trafikni yo'naltirish siyosatini shakllantirish uchun eng to'g'ridan-to'g'ri asos yaratadi.
Trafik ko'rinishi – Paket tahlili
Paket identifikatori, IP, port, transport qatlami protokoli, dastur qatlami protokoli va boshqa belgilangan kontent kabi turli filtrlash mezonlariga asoslanib, olingan maqsadli trafik ma'lumotlari har bir paket darajasidagi tahlil taqdimoti bilan taqdim etilishi mumkin, jumladan:
● Paketlarni yig'ish vaqt tamg'asini tahlil qilish
● Asosiy paket ma'lumotlarini tahlil qilish, masalan, sip, dip, smac, dmac, protokol, flag, TTL, xabar uzunligi, asosiy voqealar
● Paket uzatish yo'lini tahlil qilish va animatsiya displeyi, masalan: yo'naltirish vaqtlari, yo'naltirish kechikishi, yo'naltirish turi (marshrutizatsiya, kommutatsiya, xavfsizlik devori, yukni muvozanatlash, NAT)
● Paket ma'lumotlari qisqacha mazmuni va batafsil tuzilma displeyi
● Takroriy paket yig'ish sonini tahlil qilish
Yo'l harakati ko'rinishi – aniq nosozliklar tahlili
Trafik ko'rinishini aniqlash funktsiyasining nosozliklarni tahlil qilish moduli olingan maqsadli trafik ma'lumotlari uchun turli xil vizual nosozliklarni tahlil qilish joylashuvini ta'minlashi mumkin, jumladan:
● G'ayritabiiy umumiy ko'rinish, masalan: tarmoq xizmatlarini tahlil qilish natijalari, g'ayritabiiy hodisalarni tahlil qilish natijalari, xatti-harakatlarni tahlil qilishga asoslangan tarmoq jarayoni (masalan, marshrutizatsiya qurilmalari soni, NAT qurilmalari, xavfsizlik devori qurilmalari, paket uzatish orqali o'tadigan yukni muvozanatlash qurilmalari)
● Oqim jadvali darajasidagi nosozliklarni tahlil qilish, masalan, g'ayritabiiy hodisa turlari (ulanish rad etildi/ulanish javob bermayapti/ma'lumotlar uzatilmayapti/ulanish yarim ochiq/sessiya marshrutiga ulanib bo'lmayapti va boshqalar), ● Paket darajasidagi nosozliklarni tahlil qilish, masalan: g'ayritabiiy hodisa turi (paket checksum xatosi /TTL 0/ ulanib bo'lmayapti xatosi /FCS checksum xatosi va boshqalar), g'ayritabiiy ma'lumotlarning batafsil tavsifi va tegishli ma'lumotlar oqimining tafsilotlari
● Xavfsizlik xatolarini tahlil qilish, masalan: g'ayritabiiy hodisa turi (DDOS hujumi/xavfsizlik devorini bloklash /ARP hujumi/UDP suv toshqini/SYN FLOOD va boshqalar), g'ayritabiiy ma'lumotlarning batafsil tavsifi va tegishli ma'lumotlar oqimining tafsilotlari
● Tarmoq nosozliklarini tahlil qilish, masalan: g'ayritabiiy hodisa turi (kommutatsiya tsikli/marshrutizatsiya tsikli/yo'lga ulanib bo'lmaydigan/aloqa uzilishi va boshqalar), g'ayritabiiy ma'lumotlarning batafsil tavsifi va tegishli ma'lumotlar oqimining tafsilotlari
5-Mylinking™ Tarmoq Paket Brokeri va Inline Bypass Switch Texnik Xususiyatlari
| ML-NPB-M2000-yil Mylinking™ Tarmoq Paket Brokeri va Inline Bypass Switch Funktsional xususiyatlar | ||||
| Tarmoq interfeysi | Modul uyasi | 4 ta BYPASS yoki MONITOR modul uyasi | ||
| Ichki havolalar soni | 16 tagacha 1G/10G optik aloqa yoki 8 ta 40G/100G optik aloqa uchun himoyani qo'llab-quvvatlaydi. | |||
| Monitorni kuzatish interfeysi | Maksimal 64 * 1G / 10GE monitoring interfeyslarini yoki 16 * 40G / 100G monitoring interfeyslarini qo'llab-quvvatlaydi. | |||
| Tasmadan tashqari boshqaruv interfeysi | 1 * 10/100/1000M chekilgan port; | |||
| Joylashtirish rejimi | Ichki joylashtirish | Qo'llab-quvvatlash | ||
| SPAN joylashtirish | Qo'llab-quvvatlash | |||
| Tizim funktsiyalari | Ichki joylashtirish rejimi | Maxsus oqim konkatenatsiyasi himoyasi | Qo'llab-quvvatlash | |
| Barcha oqim seriyali himoya | Qo'llab-quvvatlash | |||
| Yuklarni muvozanatlash | Qo'llab-quvvatlash | |||
| Yurak urishini aniqlash | Qo'llab-quvvatlash | |||
| BYPASS kommutatsiyasi | Qo'llab-quvvatlash | |||
| Yo'l harakati bloklanishi | Qo'llab-quvvatlash | |||
| Trafikni aks ettirish | Qo'llab-quvvatlash | |||
| SSL proksi-serveri | Qo'llab-quvvatlash | |||
| SPAN joylashtirish rejimi | Asosiy trafikni qayta ishlash | Trafikni replikatsiya qilish/yig'ish/tarqatish | Qo'llab-quvvatlash | |
| Yuklarni muvozanatlash | Qo'llab-quvvatlash | |||
| IP/protokol/port 5-tuple identifikatoriga asoslangan trafikni filtrlash | Qo'llab-quvvatlash | |||
| VLAN teglash/o'zgartirish/o'chirish | Qo'llab-quvvatlash | |||
| Vaqt tamg'asi | Qo'llab-quvvatlash | |||
| Tunnel kapsulasini ajratish | Qo'llab-quvvatlash | |||
| Ma'lumotlarni kesish | Qo'llab-quvvatlash | |||
| Tunnel protokolini identifikatsiya qilish | Qo'llab-quvvatlash | |||
| Paketlarni yo'naltirish ustuvorligi | Qo'llab-quvvatlash | |||
| G'ayritabiiy ogohlantirish | Qo'llab-quvvatlash | |||
| Interfeysning issiq kutish rejimi | Qo'llab-quvvatlash | |||
| Mikro-portlash o'lchovi | Qo'llab-quvvatlash | |||
| Interfeys tebranishlaridan himoya | Qo'llab-quvvatlash | |||
| Tunnel kapsulasining chiqishi | Qo'llab-quvvatlash | |||
| Tunnel paketining tugashi | Qo'llab-quvvatlash | |||
| Kengaytirilgan trafikni qayta ishlash | SSL shifrini chetlab o'tish | Qo'llab-quvvatlash | ||
| Ma'lumotlar nusxasini olib tashlash | Qo'llab-quvvatlash | |||
| Ma'lumotlarni niqoblash | Qo'llab-quvvatlash | |||
| Ilova qatlami protokolini identifikatsiya qilish | Qo'llab-quvvatlash | |||
| Maxsus dekapsulatsiya | Qo'llab-quvvatlash | |||
| Oqimni shakllantirish | Qo'llab-quvvatlash | |||
| Kalit so'zlarni moslashtirish | Qo'llab-quvvatlash | |||
| Tunnel kapsulasini ajratish | Qo'llab-quvvatlash | |||
| Uzoq muddatli ulanishni tushirish | Qo'llab-quvvatlash | |||
| Oqim komponentlarini kuzatish | Qo'llab-quvvatlash | |||
| Tashxis va monitoring | Real vaqt rejimida monitoring | Qo'llab-quvvatlash | ||
| Tarixiy trafik so'rovi | Qo'llab-quvvatlash | |||
| Trafikni ushlab olish | Qo'llab-quvvatlash | |||
| Trafikni vizualizatsiya qilish | Fundamental tahlil | Paketlar soni, paket turi taqsimoti, sessiya ulanish soni va paket protokoli taqsimoti kabi asosiy ma'lumotlarga asoslangan xulosaviy statistik displeyni qo'llab-quvvatlaydi. | ||
| DPI chuqur tahlili | Bu transport qatlami protokollarining ulushini, bir martalik, eshittirish va ko'p martalik uzatishlarning ulushini, IP-trafikning ulushini va DPI ilovalarining ulushini tahlil qilishni qo'llab-quvvatlaydi. U namuna olish vaqti va ma'lumotlar hajmiga asoslangan holda ma'lumotlar tarkibini tahlil qilish va taqdim etishni qo'llab-quvvatlaydi. U sessiya oqimlariga asoslangan ma'lumotlar tahlili va statistikasini qo'llab-quvvatlaydi. | |||
| Aniq xato tahlili | Paket uzatish xatti-harakatlarini tahlil qilish, ma'lumotlar oqimi darajasidagi xato tahlili, ma'lumotlar paketi darajasidagi xato tahlili, xavfsizlik bilan bog'liq xato tahlili va tarmoq bilan bog'liq xato tahlili kabi turli nuqtai nazardan trafik ma'lumotlaridan foydalangan holda xato tahlili va lokalizatsiyani qo'llab-quvvatlaydi. | |||
| Qayta ishlash quvvati | 2.4Tbps | |||
| Boshqarish | KONSOL Tarmoqni boshqarish | Qo'llab-quvvatlash | ||
| IP/WEB Tarmoq Boshqaruvi | Qo'llab-quvvatlash | |||
| SNMP tarmoq boshqaruvi | Qo'llab-quvvatlash | |||
| TELNET/SSH tarmoq boshqaruvi | Qo'llab-quvvatlash | |||
| SYSLOG protokoli | Qo'llab-quvvatlash | |||
| RADIUS yoki TADACS+ markazlashtirilgan avtorizatsiya autentifikatsiyasi | Qo'llab-quvvatlash | |||
| Foydalanuvchi autentifikatsiyasi funksiyasi | Foydalanuvchi nomi va parolni tasdiqlash | |||
| Elektr | Nominal quvvat manbai kuchlanishi | AC-220V/DC-48V [Ixtiyoriy] | ||
| Nominal quvvat chastotasi | AC-50HZ | |||
| Nominal kirish oqimi | AC-3A / DC-10A | |||
| Nominal funktsional quvvat | Maksimal 300 Vt | |||
| Atrof-muhit | Ishlash harorati | 0-50℃ | ||
| Saqlash harorati | -20-70℃ | |||
| Ishlaydigan namlik | 10%-95%, kondensatsiyalanmaydigan | |||
| Foydalanuvchi konfiguratsiyasi | Konsol konfiguratsiyasi | RS232 interfeysi, 115200, 8, N, 1 | ||
| Parolni tasdiqlash | Sqo'llab-quvvatlash | |||
| Raf hajmi | Raf maydoni (U) | 2U 444mm*88mm*670mm | ||
6-Mylinking™ Tarmoq Paket Brokeri va Inline Bypass Switch ilovasi
6.1TheRisk ofIchki SxavfsizlikEjihozlar (IPS / FW)
Quyida odatiy IPS (Intrusion Prevention System), FW (Firewall) joylashtirish rejimi keltirilgan, IPS / FW xavfsizlik tekshiruvlarini amalga oshirish orqali tarmoq uskunalariga (routerlar, kommutatorlar va boshqalar) ketma-ket joylashtiriladi, tegishli xavfsizlik siyosatiga muvofiq xavfsizlikni himoya qilish effektiga erishish uchun tegishli trafikni chiqarish yoki blokirovka qilishni aniqlash uchun tegishli xavfsizlik siyosatiga muvofiq amalga oshiriladi.
Quyida odatiy IPS (Intrusion Prevention System), FW (Firewall) joylashtirish rejimi keltirilgan, IPS / FW xavfsizlik tekshiruvlarini amalga oshirish orqali tarmoq uskunalariga (routerlar, kommutatorlar va boshqalar) ketma-ket joylashtiriladi, tegishli xavfsizlik siyosatiga muvofiq xavfsizlikni himoya qilish effektiga erishish uchun tegishli trafikni chiqarish yoki blokirovka qilishni aniqlash uchun tegishli xavfsizlik siyosatiga muvofiq amalga oshiriladi.
6.2 Inline Link Series uskunalarini himoya qilish
Mylinking™ Network Packet Broker plus Inline Bypass Switch tarmoq qurilmalari (marshrutizatorlar, kommutatorlar va boshqalar) o'rtasida ketma-ket joylashtirilgan va tarmoq qurilmalari orasidagi ma'lumotlar oqimi endi to'g'ridan-to'g'ri IPS / FW ga, "Smart Inline Bypass Switch" ga IPS / FW ga olib bormaydi, IPS / FW haddan tashqari yuklanish, ishdan chiqish, dasturiy ta'minot yangilanishlari, siyosat yangilanishlari va boshqa nosozliklar tufayli yuzaga kelganda, "Smart Inline Bypass Switch" aqlli yurak urish xabarlarini aniqlash funktsiyasi orqali o'z vaqtida aniqlash va shu tariqa tarmoqning asosiy ishini to'xtatmasdan, nosoz qurilmani o'tkazib yuborish orqali normal aloqa tarmog'ini himoya qilish uchun to'g'ridan-to'g'ri ulangan tezkor tarmoq uskunalari orqali aniqlanadi; IPS / FW nosozligi tiklanganda, shuningdek, aqlli yurak urish paketlari orqali o'z vaqtida aniqlash funktsiyasi, korxona tarmog'i xavfsizligini tekshirish xavfsizligini tiklash uchun asl havola.
Mylinking™ Network Packet Broker plyus Inline Bypass Switch kuchli aqlli yurak urish xabarini aniqlash funksiyasiga ega, foydalanuvchi IPS/FW da sog'liqni tekshirish uchun maxsus yurak urish xabari orqali yurak urish oralig'ini va maksimal urinishlar sonini sozlashi mumkin, masalan, yurak urishini tekshirish xabarini IPS/FW ning yuqori/pastki oqim portiga yuborish, keyin IPS/FW ning yuqori/pastki oqim portidan qabul qilish va yurak urish xabarini yuborish va qabul qilish orqali IPS/FW normal ishlayotganini baholash.
6.3 “SpecFlow” siyosati oqimining ichki qismiXavfsizlikSeriya himoyasi
Xavfsizlik tarmog'i qurilmasi faqat ketma-ket xavfsizlik himoyasidagi ma'lum trafik bilan ishlashga muhtoj bo'lganda, Mylinking™ Network Packet Broker va Inline Bypass Switch trafikni har bir qayta ishlash funktsiyasi orqali, trafikni skrining siyosati orqali ichki xavfsizlik qurilmasini ulash uchun "Xavfli" trafik to'g'ridan-to'g'ri tarmoq ulanishiga qaytariladi va "xavotirli trafik qismi" xavfsizlik tekshiruvlarini amalga oshirish uchun ichki xavfsizlik qurilmasiga tortiladi. Bu nafaqat xavfsizlik qurilmasining xavfsizlikni aniqlash funktsiyasining normal qo'llanilishini saqlab qoladi, balki bosimni boshqarish uchun xavfsizlik uskunasining samarasiz oqimini ham kamaytiradi; shu bilan birga, "Smart Inline Bypass Switch" xavfsizlik qurilmasining ish holatini real vaqt rejimida aniqlay oladi. Xavfsizlik qurilmasi g'ayritabiiy ishlaydi va tarmoq xizmatining uzilishining oldini olish uchun ma'lumotlar trafikini to'g'ridan-to'g'ri chetlab o'tadi.
Mylinking™ Tarmoq Paket Brokeri va Inline Bypass Switch VLAN yorlig'i, manba/manzil MAC manzili, manba IP manzili, IP paket turi, transport qatlami protokoli porti, protokol sarlavhasi kalit yorlig'i va boshqalar kabi L2-L4 qatlam sarlavhasi identifikatori asosida trafikni aniqlay oladi. Muayyan xavfsizlik qurilmasi uchun qiziqarli bo'lgan va maxsus xavfsizlik auditi qurilmalarini (RDP, SSH, ma'lumotlar bazasi auditi va boshqalar) joylashtirish uchun keng qo'llanilishi mumkin bo'lgan muayyan trafik turlarini aniqlash uchun turli xil moslik shartlarining moslashuvchan kombinatsiyasini moslashuvchan ravishda aniqlash mumkin.
6.4Lyuk muvozanatlashganIchki xavfsizlikSeriya himoyasi
Mylinking™ Tarmoq Paket Brokeri va Inline Bypass Switch tarmoq qurilmalari (marshrutizatorlar, kommutatorlar va boshqalar) o'rtasida ketma-ket joylashtiriladi. Bitta IPS / FW ishlov berish samaradorligi tarmoq ulanishining eng yuqori trafikini boshqarish uchun yetarli bo'lmaganda, himoyachining trafik yukini muvozanatlash funktsiyasi, bir nechta IPS / FW klasterli ishlov berish tarmoq ulanishining trafikini "birlashtirish", bitta IPS / FW ishlov berish bosimini samarali ravishda kamaytirishi va joylashtirish muhitining yuqori o'tkazish qobiliyatiga mos ravishda umumiy ishlov berish samaradorligini oshirishi mumkin.
Mylinking™ Network Packet Broker plyus Inline Bypass Switch kuchli yuk muvozanatlash funksiyasiga ega, bu esa ramka VLAN yorlig'i, MAC ma'lumotlari, IP ma'lumotlari, port raqami, protokol va trafikning Hash yuk balanslash taqsimoti haqidagi boshqa ma'lumotlarga muvofiq har bir IPS / FW qabul qilingan ma'lumotlar oqimining sessiya yaxlitligini ta'minlash uchun amalga oshiriladi.
6.5Ko'p seriyaliIchki uskunalar FpastTirqchilikPhimoya(O'zgarishJismoniySeriyali ulanishMantiqiyParallel ulanish)
Ba'zi asosiy havolalarda (masalan, Internet rozetkalari, server maydoni almashinuvi havolasi) joylashuv ko'pincha xavfsizlik xususiyatlariga bo'lgan ehtiyoj va bir nechta ichki xavfsizlik sinov uskunalarini (masalan, xavfsizlik devori, DDOS hujumiga qarshi uskuna, WEB ilova xavfsizlik devori, buzilishning oldini olish uskunalari va boshqalar) joylashtirish, bitta nosozlik nuqtasining havolasini oshirish uchun bir vaqtning o'zida bir nechta xavfsizlikni aniqlash uskunalarini ulash tufayli yuzaga keladi, bu esa tarmoqning umumiy ishonchliligini pasaytiradi. Yuqorida aytib o'tilgan xavfsizlik uskunalarini onlayn joylashtirish, uskunalarni yangilash, uskunalarni almashtirish va boshqa operatsiyalar tarmoqning uzoq vaqt xizmat ko'rsatish uzilishi va bunday loyihalarni muvaffaqiyatli amalga oshirish uchun katta miqdordagi loyihani qisqartirishga olib keladi.
Mylinking™ Network Packet Broker va Inline Bypass Switchni birlashtirilgan tarzda joylashtirish orqali, bitta havolada ketma-ket ulangan bir nechta xavfsizlik qurilmalarining joylashtirish rejimini "Fizik ketma-ket ulanish rejimi"dan "Fizik parallel ulanish, lekin mantiqiy ketma-ket ulanish rejimi"ga o'zgartirish mumkin. Bu ketma-ket havoladagi bitta nuqtali nosozlik manbalarini samarali ravishda kamaytiradi va havolaning ishonchliligini oshiradi. Shu bilan birga, Mylinking™ Network Packet Broker va Inline Bypass Switch asl ketma-ket ulanish rejimi bilan bir xil trafik xavfsizligini qayta ishlash effektiga erishib, havola trafikini talab bo'yicha boshqarishi mumkin.
Bir vaqtning o'zida bir nechta Inline Security qurilmasining ketma-ket joylashtirish diagrammasi:
Mylinking™ Tarmoq Paket Brokeri va Inline Bypass Switch Joylashtirish Diagrammasi:
(Fizik ketma-ket ulanishni mantiqiy parallel ulanishga o'zgartiring)
6.6AsoslanganDdinamik siyosatiTraffik InlineSxavfsizlikDtanlashPhimoya
Mylinking™ Network Packet Broker va Inline Bypass Switch, yana bir ilg'or dastur stsenariysi trafikni tortish xavfsizligini aniqlash himoyasi dasturlarining dinamik siyosatiga asoslangan bo'lib, quyida ko'rsatilgan tarzda joylashtiriladi:
Masalan, "DDoS hujumidan himoya qilish va aniqlash" xavfsizlik sinov uskunasini oling, masalan, "Smart Bypass Switch" va keyin DDOSga qarshi himoya uskunalarini oldingi qismga joylashtirish orqali va keyin "Smart Bypass Switch" ga ulangan holda, odatiy "Smart Bypass Switch" da trafik simining tezligini to'liq yo'naltirishga, shu bilan birga oqim oynasi chiqishini "DDOSga qarshi hujumdan himoya qilish qurilmasi" ga yuboradi. Hujumdan keyin server IP-manzili (yoki IP tarmoq segmenti) aniqlangandan so'ng, "DDOSga qarshi hujumdan himoya qilish qurilmasi" maqsadli trafik oqimini moslashtirish qoidalarini yaratadi va ularni dinamik siyosat yetkazib berish interfeysi orqali "Smart Bypass Switch" ga yuboradi. "Bypass Switch" dinamik siyosat qoidalari qoida havzasini olgandan so'ng "trafik tortish dinamikasini" yangilashi mumkin va darhol hujum server trafikini "DDoSga qarshi hujumdan himoya qilish va aniqlash" uskunasiga urib, hujum oqimidan keyin samarali bo'ladi va keyin tarmoqqa qayta kiritiladi.
"Aqlli aylanma kalit"ga asoslangan dastur sxemasini an'anaviy BGP marshrut in'ektsiyasi yoki boshqa trafik tortish sxemasiga qaraganda amalga oshirish osonroq va atrof-muhit tarmoqqa kamroq bog'liq va ishonchliligi yuqoriroq.
"Smart Bypass Switch" dinamik siyosat xavfsizligini aniqlash himoyasini qo'llab-quvvatlash uchun quyidagi xususiyatlarga ega:
1. WEBSERIVCE interfeysiga asoslangan qoidalardan tashqarida uchinchi tomon xavfsizlik qurilmalari bilan oson integratsiyani ta'minlash uchun "Smart Bypass Switch".
2. Kommutatorni yo'naltirishni bloklamasdan 100 Gbit/s gacha simli tezlikdagi paketlarni uzatuvchi apparat sof ASIC chipiga asoslangan "Smart Bypass Switch" va raqamdan qat'i nazar "trafik tortish dinamik qoidalari kutubxonasi".
3. "Smart Bypass Switch" o'rnatilgan professional BYPASS funktsiyasi, hatto himoyachining o'zi ishlamay qolsa ham, asl ketma-ket havolani darhol chetlab o'tishi mumkin, bu oddiy aloqaning asl havolasiga ta'sir qilmaydi.
6.7Ichki ketma-ket trafikni aks ettirishTarmoqdan tashqari xavfsizlik uchun (Inline + SPAN)
Mylinking™ Network Packet Broker plyus Inline Bypass Switch odatda mijozning IT tarmog'ida yoki bulut platformasi tarmog'ida WAF/IPS qurilmalari va asl havola uchun ichki himoyani ta'minlash uchun joylashtiriladi. Foydalanuvchilar shuningdek, aylanma kuzatuv qurilmalarini sinash, tekshirish yoki joylashtirish uchun qo'shimcha talablarga ega bo'lishlari mumkin, bu esa ushbu havolada trafik ma'lumotlarini olishni talab qiladi.
Shuning uchun, Mylinking™ Network Packet Broker plyus Inline Bypass Switch ning trafikni aks ettirish funksiyasidan foydalanib, quyidagi rasmda ko'rsatilgandek, inline ketma-ket havolaning trafikini monitor portidan aks ettirish mumkin:
Quyidagi diagrammada ichki aloqa trafiki va kommutator aks ettirilgan port trafikining kengaytirilgan qo'llanilish stsenariysi ko'rsatilgan. Bu kommutator aks ettirilgan port trafikidan ta'sirlanmasdan ichki aloqa trafikini himoya qilish imkonini beradi. IDS tahlil tizimi bir vaqtning o'zida ham ichki aloqa trafikini, ham kommutator aks ettirilgan port trafikini olishi mumkin. Joylashtirish usuli quyidagi diagrammada ko'rsatilgan:
6.8Ma'lumotlar/Paketlarni nusxalashIlova
Yuqoridagi dasturni joylashtirish tuzilmasida ko'rsatilgandek, butun havola bo'ylab asl ma'lumotlar to'plamining yaxlitligini ta'minlash uchun ba'zi bir xil ma'lumotlar paketlari bitta yo'l ichida bir necha marta to'planishi mumkin. Bu orqa tizimda noto'g'ri signallar va qayta uzatishlarning ko'payishiga olib keladi, tahlil tizimining ishlash xarajatlarini oshiradi va tahlilning aniqligi va samaradorligiga ta'sir qiladi. Yechimga asoslanib, birinchidan, turli xil tutib olish tugunlarida nusxalari olib tashlanadigan takroriy ma'lumotlar paketlari. Faqat bitta ma'lumotlar paketi orqa NPM tarmoq ishlash tahlili tizimiga va APM dastur ishlash tahlili tizimiga yuboriladi, shu bilan tahlil tizimining ishlashini tejaydi va tahlilning samaradorligi va aniqligini oshiradi.
6.9Ma'lumotlar/PaketVLAN yorlig'iingIlova
Yuqoridagi diagrammada ko'rsatilgan tarmoq muhitida yechim turli tarmoq qurilmalaridan va bog'lanish tugunlaridan olingan xom ma'lumotlarni yorliqlash uchun ishlatiladi. Tarmoqda g'ayritabiiy trafik yoki ma'lumotlar paketlari paydo bo'lganda, orqa tomon tahlil uskunasi ma'lumotlar yorliqlariga asoslanib, g'ayritabiiy ma'lumotlar manbasini tez va aniq topishi mumkin.
6.10 Tarmoq trafigiBirlashtirilgan jadvalIlova
Yuqoridagi diagrammada ko'rsatilgan tarmoq muhitida bir nechta 10GE, 25GE, 40GE va 100GE manba aloqasi ma'lumotlari Mylinking™ Network Packet Broker va Inline Bypass Switchga optik ajratish yoki port oynasi yordamida to'liq kiritiladi. Keyin, filtrlash va trafikni ajratish turli xil xizmat ma'lumotlari trafikini turli orqa polosali tarmoq monitoringi va xavfsizlik tizimi qurilmalariga chiqarish uchun ishlatiladi. Tarmoq paket anomaliyalari yoki g'ayritabiiy trafik tebranishlari qo'lda aralashuvni talab qilganda, foydalanuvchilarga nosozlikni tezda tahlil qilish va topishga yordam berish uchun asl ma'lumotlar paketlarini real vaqt rejimida olish va tahlil qilish darhol amalga oshirilishi mumkin.
6.11TarmoqTrafik ma'lumotlarining ko'rinishini tahlil qilishIlova
U aniqlangan va olingan har qanday ma'lumotlarni foydalanuvchilarga qulay grafik va matnli interaktiv interfeys orqali ko'p o'lchovli va ko'p nuqtai nazardan taqdim etishi mumkin, jumladan, trafik tarkibi tuzilishi, dastur protokoli taqsimoti, barcha tarmoq tugunlarining trafik taqsimoti, ma'lumotlar uzatish yo'li, g'ayritabiiy hodisalarni aniqlash, tarmoq elementi/havolasi nosozliklarining aniq joylashuvi, xabarlarning o'zaro ta'siri holati, trafikni rivojlantirish tendentsiyasi va monitoring va tahlil qilishning boshqa jihatlari, shu bilan korporativ tarmoqlar uchun keng qamrovli, ko'rinadigan va boshqariladigan umumiy ma'lumotlarni to'plash va xavfsizlik platformasini yaratish.
Mahsulotlar toifalari
-
Mylinking™ Tarmoq Paket Brokeri (NPB) ML-NPB-4810P
-
Mylinking™ Tarmoq Paket Brokeri (NPB) ML-NPB-54...
-
Mylinking™ Tarmoq Paket Brokeri (NPB) ML-NPB-3210+
-
Mylinking™ Tarmoq Paket Brokeri (NPB) ML-NPB-6410+
-
Mylinking™ Tarmoq Paket Brokeri (NPB) ML-NPB-3210L
-
Mylinking™ Tarmoq Paket Brokeri (NPB) ML-NPB-2410
