Mylinking™ Tarmoq Tap Bypass Switch ML-BYPASS-100
2 * Aylanma yo'l va 1 * Monitor modulli dizayni, 10/40/100GE havolalari, maksimal 640 Gbit / s
Umumiy ma'lumotlar
Mylinking™ Tarmoq Tap Bypass Switch yuqori tarmoq ishonchliligini ta'minlagan holda, turli xil ichki xavfsizlik uskunalarini moslashuvchan joylashtirish uchun foydalanish uchun tadqiq qilingan va ishlab chiqilgan.
Mylinking™ Smart Bypass Switch Tap funksiyasini o'rnatish orqali:
- Foydalanuvchilar xavfsizlik uskunalari/vositalarini moslashuvchan ravishda o'rnatishi/o'chirishi mumkin va mavjud tarmoqqa ta'sir qilmaydi va uni uzmaydi;
- Mylinking™ tarmoqqa ulangan aylanma yo'l tugmasi aqlli sog'liqni aniqlash funksiyasiga ega bo'lib, ichki xavfsizlik qurilmalarining normal ish holatini real vaqt rejimida kuzatib boradi. Ichki xavfsizlik qurilmalarining ishlashi istisno qilingandan so'ng, himoya funktsiyasi normal tarmoq aloqasini saqlab qolish uchun avtomatik ravishda aylanib o'tadi;
- Tanlangan trafikni himoya qilish texnologiyasidan maxsus trafikni tozalash xavfsizlik uskunalarini, audit uskunalariga asoslangan shifrlash texnologiyasini joylashtirish uchun foydalanish mumkin. Muayyan trafik turi uchun ichki kirishni himoya qilishni samarali amalga oshirish, ichki qurilmaning oqimni boshqarish bosimini tushirish;
- Yukni muvozanatlashtirgan trafikni himoya qilish texnologiyasi yuqori o'tkazish qobiliyatiga ega muhitlarda ichki xavfsizlikni ta'minlash uchun xavfsiz ketma-ket ichki xavfsizlik qurilmalarini klasterli joylashtirish uchun ishlatilishi mumkin.
Tarmoqqa tegib aylanib o'tish tugmasi ilg'or xususiyatlar va texnologiyalar
Mylinking™ “SpecFlow” himoya rejimi va “FullLink” himoya rejimi
Mylinking™ Tezkor aylanib o'tish himoyasi
Mylinking™ “LinkSafeSwitch”
Mylinking™ “WebService” dinamik strategiyasini yoʻnaltirish/muammo
Mylink™ aqlli yurak urishi xabarlarini aniqlash
Mylinking™ aniqlanadigan yurak urishi xabarlari (yurak urishi paketlari)
Mylinking™ ko'p yo'nalishli yuklarni muvozanatlash
Mylinking™ aqlli trafik taqsimoti
Mylinking™ dinamik yuklarni muvozanatlash
Mylinking™ masofaviy boshqaruv texnologiyasi (HTTP/WEB, TELNET/SSH, “EasyConfig/AdvanceConfig” xususiyatlari)
Tarmoqqa tegib aylanib o'tish tugmasi uchun ixtiyoriy konfiguratsiya qo'llanmasi
BYPASS moduliHimoya porti moduli uyasi:
Ushbu uyani turli tezlik/port raqamlari bilan BYPASS himoya port moduliga kiritish mumkin. Turli xil modullarni almashtirish orqali u bir nechta 10G/40G/100G ulanish talablarining BYPASS himoyasini qo'llab-quvvatlashi mumkin.
MONITOR moduliPort moduli uyasi;
Ushbu uyani turli tezlik/portlar bilan MONITOR moduliga kiritish mumkin. U turli modullarni almashtirish orqali ketma-ket monitoring qurilmalarini joylashtirish uchun 10G/40G/100G ning bir nechta havolalarini qo'llab-quvvatlashi mumkin.
Modul tanlash qoidalari
Turli xil joylashtirilgan havolalar va monitoring uskunalarini joylashtirish talablariga asoslanib, siz haqiqiy muhit so'rovingizni qondirish uchun turli xil modul konfiguratsiyalarini moslashuvchan ravishda tanlashingiz mumkin; modulni tanlashda quyidagi qoidalarga amal qiling:
1. Shassi komponentlari majburiydir va boshqa modullarni tanlashdan oldin shassi komponentlarini tanlashingiz kerak. Shu bilan birga, iltimos, ehtiyojlaringizga qarab turli xil quvvat manbai usullarini (AC/DC) tanlang.
2. Butun qurilma 2 tagacha BYPASS modul uyasini va 1 ta MONITOR modul uyasini qo'llab-quvvatlaydi; siz sozlash uchun uyalar sonidan ko'proq tanlay olmaysiz. Uyalar soni va modul modelining kombinatsiyasiga asoslanib, qurilma to'rttagacha 10GE ulanish himoyasini qo'llab-quvvatlashi mumkin; yoki u to'rttagacha 40GE ulanishini qo'llab-quvvatlashi mumkin; yoki u bittagacha 100GE ulanishini qo'llab-quvvatlashi mumkin.
3. "BYP-MOD-L1CG" modul modeli to'g'ri ishlashi uchun faqat SLOT1 ga kiritilishi mumkin.
4. "BYP-MOD-XXX" modul turini faqat BYPASS modul uyasiga kiritish mumkin; "MON-MOD-XXX" modul turini esa faqat normal ishlash uchun MONITOR modul uyasiga kiritish mumkin.
| Mahsulot modeli | Funksiya parametrlari |
| Shassi (Xost) | |
| ML-BYPASS-M100 | 1U standart 19 dyuymli tokcha o'rnatish moslamasi; maksimal quvvat sarfi 250 Vt; modulli BYPASS himoya xosti; 2 ta BYPASS modul uyasi; 1 ta MONITOR modul uyasi; AC va DC ixtiyoriy; |
| AYLANMA MODULI | |
| BYP-MOD-L2XG(LM/SM) | 2 tomonlama 10GE ulanish ketma-ket himoyasini, 4 * 10GE interfeysini, LC ulagichi; o'rnatilgan optik qabul qilgich-uzatgich; optik ulanish bitta/ko'p rejimli ixtiyoriy, 10GBASE-SR/LR ni qo'llab-quvvatlaydi; |
| BYP-MOD-L2QXG(LM/SM) | 2 tomonlama 40GE ulanish ketma-ket himoyasini, 4 * 40GE interfeysini, LC ulagichi; o'rnatilgan optik qabul qilgich-uzatgich; optik ulanish bitta/ko'p rejimli ixtiyoriy, 40GBASE-SR4/LR4 ni qo'llab-quvvatlaydi; |
| BYP-MOD-L1CG (LM/SM) | 1 kanalli 100GE ulanish ketma-ket himoyasini, 2 * 100GE interfeysini, LC ulagichi; o'rnatilgan optik qabul qilgich-uzatgich; optik ulanish bitta multimodli ixtiyoriy, 100GBASE-SR4/LR4 ni qo'llab-quvvatlaydi; |
| MONITOR MODULI | |
| MON-MOD-L16XG | 16 * 10GE SFP+ monitoring port moduli; optik qabul qilgich-uzatgich moduli yo'q; |
| MON-MOD-L8XG | 8 * 10GE SFP+ monitoring port moduli; optik qabul qilgich-uzatgich moduli yo'q; |
| MON-MOD-L2CG | 2 * 100GE QSFP28 monitoring port moduli; optik qabul qilgich-uzatgich moduli yo'q; |
| MON-MOD-L8QXG | 8 * 40GE QSFP+ monitoring port moduli; optik qabul qilgich-uzatgich moduli yo'q; |
Tarmoq TAP aylanma kommutatorining texnik xususiyatlari
| Mahsulot usuli | ML-BYPASS-M100 Ichki tarmoq kranlarini aylanib o'tish tugmasi | |
| Interfeys turi | MGT interfeysi | 1 * 10/100/1000BASE-T Adaptiv boshqaruv interfeysi; Masofaviy HTTP/IP boshqaruvini qo'llab-quvvatlash |
| Modul uyasi | 2 * BYPASS modul uyasi ; 1 * MONITOR modul uyasi ; | |
| Maksimal qo'llab-quvvatlovchi havolalar | Qurilma maksimal 4 * 10GE havolasini yoki 4 * 40GE havolasini yoki 1 * 100GE havolasini qo'llab-quvvatlaydi | |
| Monitoring | Qurilma maksimal 16 * 10GE monitoring portlarini yoki 8 * 40GE monitoring portlarini yoki 2 * 100GE monitoring portlarini qo'llab-quvvatlaydi; | |
| Funksiya | To'liq dupleks ishlov berish qobiliyati | 640 Gbit/s |
| IP/protokol/portga asoslangan beshta tuplega xos trafik kaskadini himoya qilish | Qo'llab-quvvatlanadi | |
| To'liq trafikka asoslangan kaskad himoyasi | Qo'llab-quvvatlanadi | |
| Ko'p yuklarni muvozanatlash | Qo'llab-quvvatlanadi | |
| Maxsus yurak urishini aniqlash funksiyasi | Qo'llab-quvvatlanadi | |
| Ethernet paketining mustaqilligini qo'llab-quvvatlang | Qo'llab-quvvatlanadi | |
| AYLANMA YO'L QO'YISH | Qo'llab-quvvatlanadi | |
| Chaqnoqsiz BYPASS tugmasi | Qo'llab-quvvatlanadi | |
| MGT KONSOLI | Qo'llab-quvvatlanadi | |
| IP/WEB MGT | Qo'llab-quvvatlanadi | |
| SNMP V1/V2C MGT | Qo'llab-quvvatlanadi | |
| TELNET/SSH MGT | Qo'llab-quvvatlanadi | |
| SYSLOG protokoli | Qo'llab-quvvatlanadi | |
| Foydalanuvchi avtorizatsiyasi | Parolni avtorizatsiya qilish/AAA/TACACS+ asosida | |
| Elektr | Nominal ta'minot kuchlanishi | AC-220V/DC-48V【Ixtiyoriy】 |
| Nominal quvvat chastotasi | 50HZ | |
| Nominal kirish oqimi | AC-3A / DC-10A | |
| Nominal quvvat | 100 Vt | |
| Atrof-muhit | Ish harorati | 0-50℃ |
| Saqlash harorati | -20-70℃ | |
| Ishlaydigan namlik | 10%-95%, Kondensatsiya yo'q | |
| Foydalanuvchi konfiguratsiyasi | Konsol konfiguratsiyasi | RS232 interfeysi, 115200,8,N,1 |
| MGT interfeysidan tashqarida | 1 * 10/100/1000M chekilgan interfeysi | |
| Parolni avtorizatsiya qilish | Qo'llab-quvvatlanadi | |
| Shassi balandligi | Shassi maydoni (U) | 1U 19 dyuym, 485mm * 44.5mm * 350mm |
Tarmoq TAP aylanma almashtirish ilovasi (quyidagicha)
5.1 Ichki xavfsizlik uskunalari (IPS / FW) xavfi
Quyida odatiy IPS (Intrusion Prevention System), FW (Firewall) joylashtirish rejimi keltirilgan, IPS / FW xavfsizlik tekshiruvlarini amalga oshirish orqali trafik o'rtasida ichki tarmoq uskunalari (masalan, marshrutizatorlar, kommutatorlar va boshqalar) sifatida joylashtiriladi, tegishli xavfsizlik siyosatiga muvofiq xavfsizlikni himoya qilish effektiga erishish uchun tegishli trafikni chiqarish yoki blokirovka qilishni aniqlash uchun xavfsizlik tekshiruvlarini amalga oshiradi.
Shu bilan birga, biz IPS (Intrusion Prevention System) / FW (Firewall) ni odatda korxona tarmog'ining asosiy joyiga joylashtirilgan uskunaning ichki joylashuvi sifatida kuzatishimiz mumkin, bu ichki xavfsizlikni amalga oshirish uchun amalga oshiriladi, unga ulangan qurilmalarning ishonchliligi korxona tarmog'ining umumiy mavjudligiga bevosita ta'sir qiladi. Ichki xavfsizlik qurilmalari haddan tashqari yuklanganda, ishdan chiqqanda, dasturiy ta'minot yangilanganda, siyosat yangilanganda va hokazolarda, butun korxona tarmog'ining mavjudligiga katta ta'sir ko'rsatiladi. Bu nuqtada, biz faqat tarmoqni kesib, jismoniy aylanib o'tish moslamasi orqali tarmoqni tiklashimiz mumkin, ammo bu tarmoqning ishonchliligiga jiddiy ta'sir qiladi. IPS (Intrusion Prevention System) / FW (Firewall) va boshqa ichki qurilmalar bir tomondan korxona tarmog'i xavfsizligini joylashtirishni yaxshilaydi, boshqa tomondan esa korxona tarmoqlarining ishonchliligini pasaytiradi, bu esa tarmoqning mavjud emasligi xavfini oshiradi.
5.2 Inline Link Series uskunalarini himoya qilish
Mylinking™ "Bypass Switch" tarmoq qurilmalari (marshrutizatorlar, kommutatorlar va boshqalar) o'rtasida inline sifatida joylashtirilgan va tarmoq qurilmalari orasidagi ma'lumotlar oqimi endi to'g'ridan-to'g'ri IPS (Intrusion Prevention System) / FW (Firewall) ga, IPS / FW ga "Bypass Switch" ga olib bormaydi, IPS / FW ortiqcha yuklanish, ishdan chiqish, dasturiy ta'minot yangilanishlari, siyosat yangilanishlari va boshqa nosozliklar tufayli yuzaga kelganda, "Bypass Switch" aqlli yurak urish xabarlarini aniqlash funktsiyasi orqali o'z vaqtida aniqlanadi va shu bilan tarmoqning asosiy ishini to'xtatmasdan, nosoz qurilmani o'tkazib yuboradi, oddiy aloqa tarmog'ini himoya qilish uchun tezkor tarmoq uskunalari to'g'ridan-to'g'ri ulanadi; IPS / FW nosozligi tiklanganda, shuningdek, aqlli yurak urish paketlari orqali o'z vaqtida aniqlash funktsiyasi orqali korxona tarmog'i xavfsizligini tekshirish xavfsizligini tiklash uchun asl havola.
Mylinking™ "Bypass Switch" kuchli aqlli yurak urish xabarlarini aniqlash funksiyasiga ega, foydalanuvchi yurak urish oralig'ini va maksimal urinishlar sonini IPS/FW da sog'liqni tekshirish uchun maxsus yurak urish xabari orqali sozlashi mumkin, masalan, yurak urishini tekshirish xabarini IPS/FW ning yuqori/pastki oqim portiga yuborish, keyin IPS/FW ning yuqori/pastki oqim portidan qabul qilish va yurak urish xabarini yuborish va qabul qilish orqali IPS/FW normal ishlayotganini baholash.
5.3 “SpecFlow” siyosati oqimining chiziqli tortish seriyasi himoyasi
Xavfsizlik tarmog'i qurilmasi faqat ketma-ket xavfsizlik himoyasidagi ma'lum trafik bilan ishlashga muhtoj bo'lganda, Mylinking™ "Tarmoqni aylanib o'tish tugmasi" orqali har bir qayta ishlash funktsiyasi orqali, xavfsizlik qurilmasini ulash uchun trafikni tekshirish strategiyasi orqali "tegishli" trafik to'g'ridan-to'g'ri tarmoq ulanishiga qaytariladi va "tegishli trafik qismi" xavfsizlik tekshiruvlarini amalga oshirish uchun ichki xavfsizlik qurilmasiga tortiladi. Bu nafaqat xavfsizlik qurilmasining xavfsizlikni aniqlash funktsiyasining normal qo'llanilishini saqlab qoladi, balki bosimni boshqarish uchun xavfsizlik uskunasining samarasiz oqimini ham kamaytiradi; shu bilan birga, "Tarmoqni aylanib o'tish tugmasi" xavfsizlik qurilmasining ish holatini real vaqt rejimida aniqlay oladi. Xavfsizlik qurilmasi g'ayritabiiy tarzda ishlaydi va tarmoq xizmatining uzilishining oldini olish uchun ma'lumotlar trafikini to'g'ridan-to'g'ri chetlab o'tadi.
Mylinking™ Inline Traffic Bypass Tap VLAN yorlig'i, manba/manzil MAC manzili, manba IP manzili, IP paket turi, transport qatlami protokoli porti, protokol sarlavhasi kalit yorlig'i va boshqalar kabi L2-L4 qatlam sarlavhasi identifikatori asosida trafikni aniqlashi mumkin. Muayyan xavfsizlik qurilmasi uchun qiziqarli bo'lgan va maxsus xavfsizlik auditi qurilmalarini (RDP, SSH, ma'lumotlar bazasi auditi va boshqalar) joylashtirish uchun keng qo'llanilishi mumkin bo'lgan muayyan trafik turlarini aniqlash uchun turli xil moslik shartlarining moslashuvchan kombinatsiyasini moslashuvchan ravishda aniqlash mumkin.
5.4 Yuk muvozanatli seriyali himoya
Mylinking™ "Tarmoqni aylanib o'tish tugmasi" tarmoq qurilmalari (marshrutizatorlar, kommutatorlar va boshqalar) o'rtasida inline sifatida joylashtiriladi. Bitta IPS / FW ishlov berish samaradorligi tarmoq ulanishining eng yuqori trafikini engish uchun yetarli bo'lmaganda, himoyachining trafik yukini muvozanatlash funktsiyasi, bir nechta IPS / FW klasterli ishlov berish tarmoq ulanishining trafikini "birlashtirish", bitta IPS / FW ishlov berish bosimini samarali ravishda kamaytirishi va joylashtirish muhitining yuqori o'tkazish qobiliyatiga mos ravishda umumiy ishlov berish samaradorligini oshirishi mumkin.
Mylinking™ "Tarmoqni aylanib o'tish tugmasi" kuchli yuk muvozanatlash funksiyasiga ega, bu ramka VLAN yorlig'i, MAC ma'lumotlari, IP ma'lumotlari, port raqami, protokol va trafikning Hash yuk balanslash taqsimoti haqidagi boshqa ma'lumotlarga muvofiq har bir IPS / FW ma'lumotlar oqimining sessiya yaxlitligini qabul qilishini ta'minlaydi.
5.5 Ko'p seriyali ichki uskuna oqim tortish himoyasi (Ketma-ket ulanishni parallel ulanishga o'zgartiring)
Ba'zi asosiy havolalarda (masalan, Internet rozetkalari, server maydoni almashinuvi havolasi) joylashuv ko'pincha xavfsizlik xususiyatlariga bo'lgan ehtiyoj va bir nechta ichki xavfsizlik sinov uskunalarini (masalan, xavfsizlik devori (FW), DDOS hujumiga qarshi uskuna, WEB ilova xavfsizlik devori (WAF), buzilishning oldini olish tizimi (IPS) va boshqalar) joylashtirish, bitta nosozlik nuqtasining havolasini oshirish uchun havolada bir vaqtning o'zida bir nechta xavfsizlikni aniqlash uskunalarini ketma-ket ulash tufayli yuzaga keladi, bu esa tarmoqning umumiy ishonchliligini pasaytiradi. Yuqorida aytib o'tilgan xavfsizlik uskunalarini onlayn joylashtirish, uskunalarni yangilash, uskunalarni almashtirish va boshqa operatsiyalar tarmoqning uzoq vaqt xizmat ko'rsatish uzilishi va bunday loyihalarni muvaffaqiyatli amalga oshirish uchun katta miqdordagi loyihani qisqartirishga olib keladi.
"Tarmoqni aylanib o'tish tugmasi"ni birlashtirilgan tarzda joylashtirish orqali, bir xil havolada ketma-ket ulangan bir nechta xavfsizlik qurilmalarining joylashtirish rejimini "fizik birlashtirish rejimi"dan "fizik birlashtirish, mantiqiy birlashtirish rejimi"ga o'zgartirish mumkin. Aloqaning ishonchliligini oshirish uchun bitta nosozlik nuqtasining havolasi havolada, havoladagi "aylanib o'tish tugmasi" esa talab bo'yicha tortishish orqali oqadi va asl xavfsiz ishlov berish effekti rejimi bilan bir xil oqimga erishiladi.
Ichki joylashtirish diagrammasi bilan bir vaqtning o'zida bir nechta xavfsizlik qurilmasi:
Mylinking™ Tarmoq TAP Bypass kommutatorini joylashtirish diagrammasi:
5.6 Yo'l harakati xavfsizligini aniqlash himoyasining dinamik strategiyasiga asoslangan
"Tarmoqqa tegib o'tishni chetlab o'tish tugmasi" Yana bir ilg'or dastur stsenariysi trafik tortishish xavfsizligini aniqlash himoyasi ilovalarining dinamik strategiyasiga asoslangan bo'lib, quyida ko'rsatilgan tarzda joylashtiriladi:
Masalan, "DDoS hujumidan himoya qilish va aniqlash" xavfsizlik sinov uskunasini oling, "Tarmoqqa tegib aylanib o'tish tugmasi" va keyin DDOSga qarshi himoya uskunalarini oldingi qismga joylashtirish orqali va keyin "Tarmoqqa tegib aylanib o'tish tugmasi"ga ulangan holda, odatiy "Tartish himoyachisi"da trafik simining tezligini to'liq yo'naltirishga, shu bilan birga oqim oynasi chiqishini "DDOS hujumidan himoya qilish qurilmasi"ga yuboring, hujumdan keyin server IP-manzili (yoki IP tarmoq segmenti) aniqlangandan so'ng, "DDOS hujumidan himoya qilish qurilmasi" maqsadli trafik oqimini moslashtirish qoidalarini yaratadi va ularni dinamik siyosat yetkazib berish interfeysi orqali "Tarmoqqa tegib aylanib o'tish tugmasi"ga yuboradi. "Tarmoqqa tegib aylanib o'tish tugmasi" dinamik siyosat qoidalari qoida havzasini olgandan so'ng "trafik tortish dinamikasini" yangilashi mumkin va darhol "qoida" hujum server trafikini qayta ishlash uchun "DDoSga qarshi hujumdan himoya qilish va aniqlash" uskunasiga uradi, hujum oqimidan keyin samarali bo'ladi va keyin tarmoqqa qayta kiritiladi.
"Tarmoqni aylanib o'tish tugmasi"ga asoslangan dastur sxemasini an'anaviy BGP marshrut in'ektsiyasi yoki boshqa trafik tortish sxemasiga qaraganda amalga oshirish osonroq va atrof-muhit tarmoqqa kamroq bog'liq va ishonchliligi yuqoriroq.
"Tarmoqqa tegib aylanib o'tish tugmasi" dinamik siyosat xavfsizligini aniqlash himoyasini qo'llab-quvvatlash uchun quyidagi xususiyatlarga ega:
1, WEBSERIVCE interfeysiga asoslangan qoidalardan tashqarida uchinchi tomon xavfsizlik qurilmalari bilan oson integratsiyani ta'minlash uchun "Tarmoqqa tegib o'tishni o'tish" tugmasi.
2, "BNetwork Tap Bypass Switch" apparat sof ASIC chipiga asoslangan bo'lib, kommutatorni yo'naltirishni bloklamasdan 10 Gbit/s gacha simli tezlikdagi paketlarni yo'naltiradi va raqamdan qat'i nazar "trafik tortish dinamik qoidalari kutubxonasi".
3, "Tarmoqqa tegib o'tish tugmasi" o'rnatilgan professional BYPASS funktsiyasi, hatto himoyachining o'zi ishlamay qolsa ham, asl ketma-ket havolani darhol chetlab o'tishi mumkin, oddiy aloqaning asl havolasiga ta'sir qilmaydi.
