1- Yurak urishi paketini aniqlash nima?
Mylinking™ Network Tap Bypass Switch’ning yurak urish paketlari standart ravishda Ethernet 2-qavat kadrlariga o‘rnatiladi. Shaffof 2-qavat ko‘prik rejimini (masalan, IPS / FW) o‘rnatishda 2-qavat Ethernet kadrlari odatda uzatiladi, bloklanadi yoki tashlanadi. Shu bilan birga, Mylinking™ Network Tap Bypass Switch’da ba’zi maxsus ketma-ket xavfsizlik qurilmalari odatda oddiy 2-qavat Ethernet kadrlarini uzata olmasligi holatini qondirish uchun maxsus yurak urish xabari formati qo‘llab-quvvatlanadi.
Mylinking™ Network Tap Bypass Switch shuningdek, VLAN yorlig'i, 3-qavat va 4-qavat maxsus xabar turlariga asoslangan yurak urish paketlarini aniqlashni qo'llab-quvvatlaydi. Ushbu mexanizm asosida foydalanuvchi tegishli xavfsizlik xizmatlarining to'g'ri ishlashini ta'minlash uchun ulanish xavfsizligi qurilmasining xizmat xavfsizligini tekshirish funktsiyasini amalga oshirishi mumkin.
Mylinking™ Network Tap Bypass Switch monitorga har ikki yo'nalishda ham turli xil yurak urish paketlarini yuborishni qo'llab-quvvatlaydi. Masalan, TCP va UDP tipidagi yurak urish paketlari ketma-ket qurilmaning o'ziga xos xususiyatlariga qarab "Strategiya trafik tortish himoyachisi"da sozlangan. Siz ketma-ket xavfsizlik qurilmasining xabarlarni yo'naltirish mexanizmiga moslashish uchun yuqori ulanish monitori A portida TCP yurak urish paketlarini yuborishni va pastga ulanish monitori B portida UDP yurak urish paketlarini yuborishni sozlashingiz mumkin. Bu funksiya simni yanada samaraliroq kafolatlashi mumkin. Xavfsizlik uskunasini normal ishlashga ulang.
Mylinking™ Tarmoq Inline Bypass Switch yuqori tarmoq ishonchliligini ta'minlagan holda, turli xil ketma-ket xavfsizlik uskunalarini moslashuvchan joylashtirish uchun foydalanish uchun tadqiq qilingan va ishlab chiqilgan.
2-tarmoqli ichki aylanma kommutatorning ilg'or xususiyatlari va texnologiyalari
Mylinking™ “SpecFlow” himoya rejimi va “FullLink” himoya rejimi texnologiyasi
Mylinking™ Tez aylanib o'tish kommutatsiyasidan himoya qilish texnologiyasi
Mylinking™ “LinkSafeSwitch” texnologiyasi
Mylinking™ “WebService” dinamik strategiyasini yoʻnaltirish/chiqarish texnologiyasi
Mylink™ aqlli yurak urishi xabarlarini aniqlash texnologiyasi
Mylinking™ aniqlanadigan yurak urishi xabarlari texnologiyasi
Mylinking™ ko'p yo'nalishli yuklarni muvozanatlash texnologiyasi
Mylinking™ Intelligent Trafik Tarqatish Texnologiyasi
Mylinking™ dinamik yuklarni muvozanatlash texnologiyasi
Mylinking™ masofaviy boshqaruv texnologiyasi (HTTP/WEB, TELNET/SSH, “EasyConfig/AdvanceConfig” xususiyatlari)
3-tarmoq ichidagi aylanma kommutatsiya ilovasi (quyidagicha)
3.1 Ichki xavfsizlik uskunalari (IPS / FW) xavfi
Quyida odatiy IPS (Intrusion Prevention System), FW (Firewall) joylashtirish rejimi keltirilgan, IPS / FW xavfsizlik tekshiruvlarini amalga oshirish orqali tarmoq uskunalariga (routerlar, kommutatorlar va boshqalar) ketma-ket joylashtiriladi, tegishli xavfsizlik siyosatiga muvofiq xavfsizlikni himoya qilish effektiga erishish uchun tegishli trafikni chiqarish yoki blokirovka qilishni aniqlash uchun tegishli xavfsizlik siyosatiga muvofiq amalga oshiriladi.
Shu bilan birga, biz IPS/FW ni uskunaning ketma-ket joylashtirilishi sifatida kuzatishimiz mumkin, odatda ketma-ket xavfsizlikni amalga oshirish uchun korxona tarmog'ining asosiy joyiga joylashtiriladi, unga ulangan qurilmalarning ishonchliligi korxona tarmog'ining umumiy mavjudligiga bevosita ta'sir qiladi. Seriyali qurilmalar haddan tashqari yuklanganda, ishdan chiqqanda, dasturiy ta'minot yangilanganda, siyosat yangilanganda va hokazolarda, butun korxona tarmog'ining mavjudligiga katta ta'sir ko'rsatiladi. Bu nuqtada, biz faqat tarmoqni kesish, jismoniy aylanma o'tish moslamasi orqali tarmoqni tiklashimiz mumkin, bu tarmoqning ishonchliligiga jiddiy ta'sir qiladi. IPS/FW va boshqa ketma-ket qurilmalar bir tomondan korxona tarmog'i xavfsizligini joylashtirishni yaxshilaydi, boshqa tomondan esa korxona tarmoqlarining ishonchliligini pasaytiradi, tarmoqning mavjud emasligi xavfini oshiradi.
3.2 Inline Link Series uskunalarini himoya qilish
Mylinking™ “Tarmoq ichidagi aylanib o‘tish” tarmoq qurilmalari (marshrutizatorlar, kommutatorlar va boshqalar) o‘rtasida ketma-ket joylashtiriladi va tarmoq qurilmalari orasidagi ma’lumotlar oqimi endi to‘g‘ridan-to‘g‘ri IPS/FW ga, “Tarmoq ichidagi aylanib o‘tish” IPS/FW ga olib bormaydi, IPS/FW haddan tashqari yuklanish, ishdan chiqish, dasturiy ta’minot yangilanishlari, siyosat yangilanishlari va boshqa nosozliklar tufayli yuzaga kelganda, “Tarmoq ichidagi aylanib o‘tish” aqlli yurak urish xabarlarini aniqlash funktsiyasi orqali o‘z vaqtida aniqlanadi va shu bilan tarmoqning asosiy ishini to‘xtatmasdan, nosoz qurilmani o‘tkazib yuboradi, tarmoq uskunalari to‘g‘ridan-to‘g‘ri ulangan holda normal aloqa tarmog‘ini himoya qiladi; IPS/FW nosozligi tiklanganda, shuningdek, aqlli yurak urish paketlari orqali o‘z vaqtida aniqlash funktsiyasi, korxona tarmog‘i xavfsizligini tekshirish xavfsizligini tiklash uchun asl havola.
Mylinking™ “Network Inline Bypass” kuchli aqlli yurak urish xabarini aniqlash funksiyasiga ega, foydalanuvchi IPS/FW da sogʻliqni tekshirish uchun maxsus yurak urish xabari orqali yurak urish oraligʻini va maksimal urinishlar sonini sozlashi mumkin, masalan, yurak urishini tekshirish xabarini IPS/FW ning yuqori/pastki oqim portiga yuborish, keyin IPS/FW ning yuqori/pastki oqim portidan qabul qilish va yurak urish xabarini yuborish va qabul qilish orqali IPS/FW normal ishlayotganini baholash.
3.3 “SpecFlow” siyosati oqimining chiziqli tortish seriyasi himoyasi
Xavfsizlik tarmog'i qurilmasi faqat ketma-ket xavfsizlik himoyasidagi ma'lum trafik bilan ishlashga muhtoj bo'lganda, Mylinking™ "Network Inline Bypass" trafikni har bir qayta ishlash funktsiyasi orqali, xavfsizlik qurilmasini ulash uchun trafikni tekshirish strategiyasi orqali "tegishli" trafik to'g'ridan-to'g'ri tarmoq ulanishiga qaytariladi va "tegishli trafik qismi" xavfsizlik tekshiruvlarini amalga oshirish uchun ichki xavfsizlik qurilmasiga tortiladi. Bu nafaqat xavfsizlik qurilmasining xavfsizlikni aniqlash funktsiyasining normal qo'llanilishini saqlab qoladi, balki bosimni boshqarish uchun xavfsizlik uskunasining samarasiz oqimini ham kamaytiradi; shu bilan birga, "Network Inline Bypass" xavfsizlik qurilmasining ish holatini real vaqt rejimida aniqlay oladi. Xavfsizlik qurilmasi g'ayritabiiy tarzda ishlaydi va tarmoq xizmatining uzilishining oldini olish uchun ma'lumotlar trafikini to'g'ridan-to'g'ri chetlab o'tadi.
3.4 Yuk muvozanatli seriyali himoya
Mylinking™ “Network Inline Bypass” tarmoq qurilmalari (marshrutizatorlar, kommutatorlar va boshqalar) oʻrtasida ketma-ket joylashtiriladi. Bitta IPS/FW ishlov berish samaradorligi tarmoq ulanishining eng yuqori trafikini boshqarish uchun yetarli boʻlmaganda, himoyachining trafik yukini muvozanatlash funktsiyasi, bir nechta IPS/FW klasterli ishlov berish tarmoq ulanishining trafikini “birlashtirish”, bitta IPS/FW ishlov berish bosimini samarali ravishda kamaytirishi va joylashtirish muhitining yuqori oʻtkazish qobiliyatiga mos ravishda umumiy ishlov berish samaradorligini oshirishi mumkin.
Mylinking™ “Network Inline Bypass” kuchli yuk muvozanatlash funksiyasiga ega, bu esa ramka VLAN yorlig'i, MAC ma'lumotlari, IP ma'lumotlari, port raqami, protokol va trafikning Hash yuk balanslash taqsimoti haqidagi boshqa ma'lumotlarga muvofiq har bir IPS/FW qabul qilingan ma'lumotlar oqimining sessiya yaxlitligini ta'minlaydi.
3.5 Ko'p seriyali ichki uskuna oqim tortish himoyasi (Ketma-ket ulanishni parallel ulanishga o'zgartiring)
Ba'zi asosiy havolalarda (masalan, Internet rozetkalari, server maydoni almashinuvi havolasi) joylashuv ko'pincha xavfsizlik xususiyatlariga bo'lgan ehtiyoj va bir nechta ichki xavfsizlik sinov uskunalarini (masalan, xavfsizlik devori, DDOS hujumiga qarshi uskuna, WEB ilova xavfsizlik devori, buzilishning oldini olish uskunalari va boshqalar) joylashtirish, bitta nosozlik nuqtasining havolasini oshirish uchun bir vaqtning o'zida bir nechta xavfsizlikni aniqlash uskunalarini ulash tufayli yuzaga keladi, bu esa tarmoqning umumiy ishonchliligini pasaytiradi. Yuqorida aytib o'tilgan xavfsizlik uskunalarini onlayn joylashtirish, uskunalarni yangilash, uskunalarni almashtirish va boshqa operatsiyalar tarmoqning uzoq vaqt xizmat ko'rsatish uzilishi va bunday loyihalarni muvaffaqiyatli amalga oshirish uchun katta miqdordagi loyihani qisqartirishga olib keladi.
"Tarmoq ichidagi aylanma yo'l" ni birlashtirilgan tarzda joylashtirish orqali, bitta havolada ketma-ket ulangan bir nechta xavfsizlik qurilmalarining joylashtirish rejimini "fizik birlashtirish rejimi" dan "fizik birlashtirish, mantiqiy birlashtirish rejimi" ga o'zgartirish mumkin. Aloqaning ishonchliligini oshirish uchun bitta nosozlik nuqtasining havolasi havolada, "Tarmoq ichidagi aylanma yo'l" esa talab bo'yicha tortishish orqali havolada oqadi va asl xavfsiz ishlov berish effekti rejimi bilan bir xil oqimga erishiladi.
Ketma-ket joylashtirish diagrammasida bir vaqtning o'zida bir nechta xavfsizlik qurilmasi:
Tarmoq ichidagi aylanma kommutatorni joylashtirish diagrammasi:
3.6 Yo'l harakati xavfsizligini aniqlash himoyasining dinamik strategiyasiga asoslangan
“Tarmoq ichidagi aylanib oʻtish” Yana bir ilgʻor dastur stsenariysi trafik tortishish xavfsizligini aniqlash himoyasi dasturlarining dinamik strategiyasiga asoslangan boʻlib, quyida koʻrsatilgan tarzda joylashtiriladi:
Masalan, "DDoS hujumidan himoya qilish va aniqlash" xavfsizlik sinov uskunasini oling, masalan, "Network Inline Bypass" va keyin DDOSga qarshi himoya uskunalarini front-end joylashtirish orqali va keyin "Network Inline Bypass" ga ulangan holda, odatiy "Traction protektori"da trafik simining tezligini to'liq yo'naltirishga, shu bilan birga oqim oynasi chiqishini "DDOS hujumidan himoya qilish qurilmasi"ga uzatadi, hujumdan keyin server IP-manzili (yoki IP tarmoq segmenti) aniqlangandan so'ng, "DDOS hujumidan himoya qilish qurilmasi" maqsadli trafik oqimini moslashtirish qoidalarini yaratadi va ularni dinamik siyosat yetkazib berish interfeysi orqali "Network Inline Bypass" ga yuboradi. "Network Inline Bypass" dinamik siyosat qoidalari qoida havzasini olgandan so'ng "trafik tortish dinamikasini" yangilashi mumkin va darhol hujum server trafikini qayta ishlash uchun "DDoSga qarshi hujumdan himoya qilish va aniqlash" uskunasiga uradi, hujum oqimidan keyin samarali bo'ladi va keyin tarmoqqa qayta kiritiladi.
"Tarmoq ichidagi aylanib o'tish"ga asoslangan dastur sxemasini an'anaviy BGP marshrut in'ektsiyasi yoki boshqa trafik tortish sxemasiga qaraganda amalga oshirish osonroq va muhit tarmoqqa kamroq bog'liq va ishonchliligi yuqoriroq.
“Network Inline Bypass” dinamik siyosat xavfsizligini aniqlash himoyasini qoʻllab-quvvatlash uchun quyidagi xususiyatlarga ega:
1, WEBSERIVCE interfeysiga asoslangan qoidalardan tashqarida uchinchi tomon xavfsizlik qurilmalari bilan oson integratsiyani ta'minlash uchun "Tarmoq ichidagi aylanma yo'l".
2, kommutatorni yo'naltirishni bloklamasdan 10 Gbit/s gacha simli tezlikdagi paketlarni uzatuvchi apparat sof ASIC chipiga asoslangan "Tarmoq ichidagi aylanib o'tish" va raqamdan qat'i nazar "trafik tortish dinamik qoidalari kutubxonasi".
3, "Tarmoq ichidagi aylanma yo'l" o'rnatilgan professional BYPASS funktsiyasi, hatto himoyachining o'zi ishlamay qolsa ham, asl ketma-ket havolani darhol chetlab o'tishi mumkin, bu oddiy aloqaning asl havolasiga ta'sir qilmaydi.
Nashr vaqti: 2021-yil 23-dekabr
