Mylinking™-verkon ohituskytkin ML-BYPASS-200
2*ohitusliitäntää ja 1*näyttö, modulaarinen rakenne, 10/40/100GE-linkit, maks. 640 Gbps
1-Yleiskatsaus
Ottamalla käyttöön Mylinking™ Smart Bypass -kytkimen:
- Käyttäjät voivat joustavasti asentaa/poistaa turvalaitteita, eivätkä ne vaikuta nykyiseen verkkoon tai keskeytä sitä;
- Mylinking™-verkon ohituskytkin älykkäällä tilanvalvontatoiminnolla sarjaporttiturvalaitteen normaalin toimintatilan reaaliaikaiseen valvontaan. Kun sarjaporttiturvalaite havaitsee toimintahäiriön, suojaus ohittaa sen automaattisesti normaalin verkkoyhteyden ylläpitämiseksi.
- Valikoivaa liikenteensuojaustekniikkaa voidaan käyttää tiettyjen liikenteenpuhdistuslaitteiden ja tarkastuslaitteisiin perustuvan salaustekniikan käyttöönottoon. Se suorittaa tehokkaasti sarjaliikenteen suojauksen tietylle liikennetyypille ja vähentää sarjalaitteen virtauksenkäsittelypainetta.
- Kuormantasapainotettua liikenteen suojaustekniikkaa voidaan käyttää suojattujen sarjaporttilaitteiden klusteroituun käyttöönottoon, jotta voidaan vastata sarjaporttien tietoturvan tarpeisiin suuren kaistanleveyden ympäristöissä.
Internetin nopean kehityksen myötä verkon tietoturvauhka on yhä vakavampi, joten erilaisia tietoturvasovelluksia käytetään yhä laajemmin. Olipa kyseessä sitten perinteiset pääsynhallintalaitteet (palomuuri) tai uudentyyppiset edistyneemmät suojauskeinot, kuten tunkeutumisenestojärjestelmät (IPS), yhtenäinen uhkien hallintajärjestelmä (UTM), palvelunestohyökkäysten estojärjestelmät (Anti-DDoS), anti-span-yhdyskäytävät, Unified DPI -liikenteen tunnistus- ja hallintajärjestelmät, ja monet muut turvalaitteet on asennettu sarjaan verkon avainsolmuihin. Vastaavan tietoturvapolitiikan toteuttaminen laillisen/laittoman liikenteen tunnistamiseksi ja käsittelemiseksi. Samaan aikaan tietokoneverkko aiheuttaa kuitenkin suuria verkkoviiveitä tai jopa verkkohäiriöitä vikasietoisuuden, huollon, päivityksen, laitteiden vaihdon ja niin edelleen yhteydessä erittäin luotettavassa tuotantoverkon sovellusympäristössä, jota käyttäjät eivät voi sietää.
2-verkon ohituskytkimen edistyneet ominaisuudet ja teknologiat
Mylinking™ “SpecFlow”-suojaustila ja “FullLink”-suojaustilateknologia
Mylinking™-nopea ohituskytkentäsuojaustekniikka
Mylinking™ “LinkSafeSwitch” -teknologia
Mylinking™ “WebService” dynaaminen strategian edelleenlähetys/ongelmateknologia
Mylinking™-älykäs sykeviestien tunnistustekniikka
Mylinking™-määriteltävien sykeviestien teknologia
Mylinking™-monilinkkinen kuormituksen tasapainotustekniikka
Mylinking™-älykäs liikenteenjakoteknologia
Mylinking™-dynaaminen kuormituksen tasapainotustekniikka
Mylinking™-etähallintatekniikka (HTTP/WEB, TELNET/SSH, “EasyConfig/AdvanceConfig” -ominaisuus)
3-verkon tap-ohituskytkimen konfigurointiopas
OHITTAASuojausporttimoduulin paikka:
Tämä paikka voidaan asettaa BYPASS-suojausporttimoduuliin, jolla on eri nopeus/porttinumero. Vaihtamalla erityyppisiä moduuleja se voi tukea useiden 10G/40G/100G-linkkien BYPASS-suojausta.
NÄYTTÖPorttimoduulin paikka;
Tämä korttipaikka voidaan asettaa MONITOR-porttimoduuliin eri nopeuksilla/porteilla. Se voi tukea useiden 10G/40G/100G link online-sarjavalvontalaitteiden käyttöönottoa korvaamalla eri malleja.
Moduulin valintasäännöt
Erilaisten käyttöönotettujen linkkien ja valvontalaitteiden käyttöönottovaatimusten perusteella voit joustavasti valita erilaisia moduulikokoonpanoja vastaamaan todellisia ympäristötarpeitasi; noudata seuraavia sääntöjä valitessasi:
1. Runkokomponentit ovat pakollisia, ja sinun on valittava ne ennen muiden moduulien valitsemista. Valitse samalla eri virtalähdemenetelmät (AC/DC) tarpeidesi mukaan.
2. Koko laite tukee jopa kahta BYPASS-moduulipaikkaa ja yhtä MONITOR-moduulipaikkaa; et voi valita enempää kuin konfiguroitavien paikkojen määrä. Paikkojen lukumäärän ja moduulimallin yhdistelmästä riippuen laite voi tukea jopa neljää 10GE:n linkkisuojausta; tai se voi tukea jopa neljää 40GE:n linkkiä; tai se voi tukea jopa yhtä 100GE:n linkkiä.
3. Moduulimalli "BYP-MOD-L1CG" voidaan asettaa vain korttipaikkaan SLOT1, jotta se toimii oikein.
4. Moduulityyppiä "BYP-MOD-XXX" voidaan asettaa vain BYPASS-moduulipaikkaan; moduulityyppiä "MON-MOD-XXX" voidaan asettaa normaalikäytössä vain MONITOR-moduulipaikkaan.
| Tuotemalli | Funktioparametrit |
| Alusta (isäntä) | |
| ML-OHITUS-M200 | 1U-vakiokokoinen 19-tuumainen räkkiasennus; enimmäisvirrankulutus 250 W; modulaarinen BYPASS-suojausyksikkö; 2 BYPASS-moduulipaikkaa; 1 MONITOR-moduulipaikka; AC ja DC valinnaisesti; |
| OHITUSMODUULI | |
| BYP-MOD-L2XG(LM/SM) | Tukee 2-suuntaista 10GE-linkin sarjasuojausta, 4*10GE-liitäntää, LC-liitintä; sisäänrakennettua optista lähetin-vastaanotinta; optinen linkki yksi-/monitilavaihtoehtona, tukee 10GBASE-SR/LR:ää; |
| BYP-MOD-L2QXG(LM/SM) | Tukee 2-suuntaista 40GE-linkin sarjasuojausta, 4*40GE-liitäntää, LC-liitintä; sisäänrakennettua optista lähetin-vastaanotinta; optinen linkki yksi-/monitilavaihtoehtona, tukee 40GBASE-SR4/LR4:ää; |
| BYP-MOD-L1CG (LM/SM) | Tukee 1-kanavaista 100GE-linkin sarjasuojausta, 2 * 100GE-liitäntää, LC-liitintä; sisäänrakennettua optista lähetin-vastaanotinta; optinen linkki yksimuotoinen valinnainen, tukee 100GBASE-SR4/LR4:ää; |
| MONITORI MODUULI | |
| MON-MOD-L16XG | 16*10GE SFP+ valvontaporttimoduuli; ei optista lähetin-vastaanotinmoduulia; |
| MON-MOD-L8XG | 8 * 10GE SFP+ valvontaporttimoduuli; ei optista lähetin-vastaanotinmoduulia; |
| MON-MOD-L2CG | 2 * 100GE QSFP28 -valvontaporttimoduuli; ei optista lähetin-vastaanotinmoduulia; |
| MON-MOD-L8QXG | 8 x 40GE QSFP+ -valvontaporttimoduuli; ei optista lähetin-vastaanotinmoduulia; |
4-verkon TAP-ohituskytkimen tekniset tiedot
| Tuotemodaalisuus | ML-BYPASS-M200 sarjaporttiohituskytkin | |
| Liitännän tyyppi | MGT-liitäntä | 1 * 10/100/1000BASE-T Adaptiivinen hallintaliitäntä; Tukee HTTP/IP-etähallintaa |
| Moduulipaikka | 2 * BYPASS-moduulipaikkaa;1 * MONITOR-moduulipaikka; | |
| Linkit, jotka tukevat maksimia | Laite tukee enintään 4 * 10GE linkkiä tai 4 * 40GE linkkiä tai 1 * 100GE linkkiä | |
| Näyttö | Laite tukee enintään 16 * 10GE:n valvontaporttia tai 8 * 40GE:n valvontaporttia tai 2 * 100GE:n valvontaporttia; | |
| Toiminto | Täysi kaksipuolinen käsittelykyky | 640 Gbps |
| IP/protokolla/portti viiden tuplen erityiseen liikenteen kaskadisuojaukseen perustuen | Tukea | |
| Kaskadisuojaus täyteen liikenteeseen perustuen | Tukea | |
| Useita kuormituksen tasapainotuksia | Tukea | |
| Mukautettava sydämenlyönnin tunnistustoiminto | Tukea | |
| Tukee Ethernet-pakettiriippumattomuutta | Tukea | |
| OHITUSKYTKIN | Tukea | |
| BYPASS-kytkin ilman salamaa | Tukea | |
| KONSOLIN OHJAUS | Tukea | |
| IP/WEB-hallinta | Tukea | |
| SNMP V1/V2C MGT | Tukea | |
| TELNET/SSH-hallinta | Tukea | |
| SYSLOG-protokolla | Tukea | |
| Käyttäjän valtuutus | Salasanavaltuutuksen/AAA/TACACS+:n perusteella | |
| Sähkö | Nimellisjännite | AC-220V/DC-48V【Valinnainen】 |
| Nimellistehotaajuus | 50 Hz | |
| Nimellinen tulovirta | AC-3A / DC-10A | |
| Nimellisteho | 100 W | |
| Ympäristö | Käyttölämpötila | 0–50 ℃ |
| Säilytyslämpötila | -20–70 ℃ | |
| Työilmankosteus | 10–95 %, ei kondensaatiota | |
| Käyttäjän määritykset | Konsolin kokoonpano | RS232-liitäntä, 115200,8,N,1 |
| Kaistan ulkopuolinen MGT-liitäntä | 1 * 10/100/1000M Ethernet-liitäntä | |
| Salasanan valtuutus | Tukea | |
| Alustan korkeus | Alustan tila (U) | 1U 19 tuumaa, 485 mm * 44,5 mm * 350 mm |
5-verkon TAP-ohituskytkimen sovellus (kuten seuraavassa)
Seuraavassa on tyypillinen IPS:n (Intrusion Prevention System) ja FW:n (Firewall) käyttöönottotila. IPS/FW otetaan käyttöön sarjassa verkkolaitteiden (reitittimien, kytkimien jne.) välisessä liikenteessä suorittamalla turvatarkastuksia vastaavan turvallisuuskäytännön mukaisesti, jotta voidaan määrittää vastaavan liikenteen vapauttaminen tai estäminen turvallisuuspuolustuksen vaikutuksen saavuttamiseksi.
Samalla voimme tarkastella IPS/FW-laitteita sarjakäyttöönottoina, jotka yleensä sijoitetaan yritysverkon avainpaikkaan sarjaliikenneturvallisuuden toteuttamiseksi. Liitettyjen laitteiden luotettavuus vaikuttaa suoraan yritysverkon koko saatavuuteen. Sarjaliikennelaitteiden ylikuormitus, kaatuminen, ohjelmistopäivitykset, käytäntöpäivitykset jne. vaikuttavat merkittävästi koko yritysverkon saatavuuteen. Tässä vaiheessa vain verkon katkaisun ja fyysisen ohituslinkin avulla voimme palauttaa verkon toimintakuntoon, mikä vaikuttaa vakavasti verkon luotettavuuteen. IPS/FW ja muut sarjaliikennelaitteet parantavat yritysverkon tietoturvaa, mutta toisaalta heikentävät yritysverkkojen luotettavuutta ja lisäävät riskiä, että verkko ei ole käytettävissä.
5.2 Inline Link -sarjan laitteiden suojaus
Mylinking™ "ohituskytkin" otetaan käyttöön sarjassa verkkolaitteiden (reitittimien, kytkimien jne.) välillä, eikä verkkolaitteiden välinen tiedonsiirto enää johda suoraan IPS:ään/laiteohjelmistoon. "Ohituskytkin" toimii IPS:ään/laiteohjelmistoon, kun IPS/laiteohjelmisto ylikuormituksen, kaatumisen, ohjelmistopäivitysten, käytäntöpäivitysten tai muiden vikojen vuoksi epäonnistuu. "Ohituskytkin" havaitsee vialliset laitteet nopeasti älykkään sykeviestien tunnistustoiminnon avulla, ohittaen ne keskeyttämättä verkon toimintaa. Näin verkkoon kytketyt laitteet voidaan nopeasti suojata normaalin tietoliikenteen avulla. IPS/laiteohjelmiston vian sattuessa älykkään sykeviestien tunnistustoiminnon avulla alkuperäinen yhteys voidaan palauttaa yritysverkon tietoturvatarkastusten avulla.
Mylinking™ "Ohituskytkimessä" on tehokas ja älykäs sykeviestien tunnistustoiminto. Käyttäjä voi mukauttaa sykeväliä ja uudelleenyritysten enimmäismäärää IPS:n/laiteohjelmiston mukautetulla sykeviestillä terveydentilan testaamiseksi. Voit esimerkiksi lähettää syketarkistusviestin IPS:n/laiteohjelmiston ylävirran/alavirran porttiin ja vastaanottaa viestin IPS:n/laiteohjelmiston ylävirran/alavirran portista sekä arvioida sykeviestin lähettämisen ja vastaanottamisen perusteella, toimiiko IPS/laiteohjelmisto normaalisti.
5.3 ”SpecFlow”-käytäntö Flow Inline Traction -sarjan suojaus
Kun turvaverkon laitteen tarvitsee käsitellä vain tiettyä liikennettä sarjassa, Mylinking™-ohituskytkimen liikenteenkäsittelytoiminto ja liikenteen seulontastrategia yhdistävät turvalaitteen "kyseenalaiseen" liikenteeseen suoraan verkkoyhteyteen. Kyseinen liikenne ohjataan linjassa olevalle turvalaitteelle turvatarkastuksia varten. Tämä ei ainoastaan ylläpidä turvalaitteen turvallisuuden havaitsemistoiminnon normaalia toimintaa, vaan myös vähentää turvalaitteiden tehotonta virtausta paineen käsittelyyn. Samalla "ohituskytkin" voi havaita turvalaitteen toimintatilan reaaliajassa. Jos turvalaite toimii epänormaalisti, se ohittaa dataliikenteen suoraan verkkopalvelun keskeytysten välttämiseksi.
Mylinking™-liikenteen ohitussuoja tunnistaa liikenteen L2-L4-kerroksen otsikkotunnisteen, kuten VLAN-tunnisteen, lähde-/kohde-MAC-osoitteen, lähteen IP-osoitteen, IP-paketin tyypin, siirtokerroksen protokollaportin, protokollaotsikon avaintunnisteen ja niin edelleen, perusteella. Tietylle turvalaitteelle kiinnostavien liikennetyyppien määrittämiseksi voidaan määrittää joustavasti erilaisia yhdistämisehtoja, joita voidaan käyttää laajasti erityisten turvatarkastuslaitteiden (RDP, SSH, tietokannan tarkastus jne.) käyttöönottoon.
5.4 Kuormituksen tasapainotettu sarjasuojaus
Mylinking™-ohituskytkintä käytetään sarjaan kytkettynä verkkolaitteiden (reitittimien, kytkimien jne.) välille. Kun yhden IPS/FW-laitteen prosessointiteho ei riitä verkkolinkkien ruuhkaliikenteen hallintaan, suojaimen kuormituksen tasapainotustoiminto, joka yhdistää useiden IPS/FW-laitteiden klusteriin verkkolinkkiliikenteen käsittelyn, voi tehokkaasti vähentää yksittäisen IPS/FW-laitteen prosessointipainetta ja parantaa yleistä prosessointitehoa käyttöönottoympäristön suuren kaistanleveyden vaatimusten täyttämiseksi.
Mylinking™ "Bypass Switch" -kytkimellä on tehokas kuormituksen tasapainotustoiminto, joka käyttää kehyksen VLAN-tunnisteen, MAC-tietojen, IP-tietojen, porttinumeron, protokollan ja muiden tietojen perusteella liikenteen kuormituksen tasapainottamista hash-tasapainottamalla ja varmistamalla, että jokainen IPS/FW vastaanottaa datavirtaa istunnon eheyden mukaisesti.
5.5 Monisarjaisten linjalaitteiden virtauslukon suojaus (Vaihda sarjaliitäntä rinnakkaiskytkennäksi)
Joissakin keskeisissä linkeissä (kuten internet-pistorasioissa, palvelinalueiden vaihtoyhteyksissä) sijainti johtuu usein tietoturvaominaisuuksien tarpeista ja useiden linjassa olevien tietoturvatestauslaitteiden (kuten palomuurin, palvelunestohyökkäysten estolaitteen, verkkosovellusten palomuurin, tunkeutumisenestolaitteen jne.) käyttöönotosta. Useiden tietoturvalaitteiden samanaikainen sarjaan kytkeminen linkkiin lisää linkin vikaantumisriskiä ja vähentää verkon yleistä luotettavuutta. Edellä mainituissa turvalaitteiden online-käyttöönotoissa, laitteiden päivityksissä, laitteiden vaihdossa ja muissa toimissa voi olla pitkäaikaisia verkon käyttökatkoksia ja suurempia projekteja, jotka vaativat toimenpiteitä tällaisten projektien onnistuneen toteutuksen loppuun saattamiseksi.
Käyttämällä "ohituskytkintä" yhtenäisellä tavalla voidaan useiden samaan linkkiin sarjaan kytkettyjen turvalaitteiden käyttöönottotilaa muuttaa "fyysisestä ketjutustilasta" "fyysiseen ketjutukseen, loogiseen ketjutustilaan". Linkin yksittäisen vikapisteen linkitys parantaa linkin luotettavuutta, kun taas "ohituskytkin" linkissä ohjaa virtausta tarpeen mukaan, jolloin saavutetaan sama virtaus alkuperäisellä turvallisen käsittelyn tilalla.
Useamman kuin yhden turvalaitteen samanaikainen käyttö sarjassa -kaavio:
Mylinking™-verkon TAP-ohituskytkimen käyttöönottokaavio:
5.6 Liikenteen luistoneston turvallisuuden havaitsemissuojauksen dynaamiseen strategiaan perustuen
"Ohituskytkin" Toinen edistynyt sovellusskenaario perustuu liikenteen vetolujuuden suojaussovellusten dynaamiseen strategiaan, jonka käyttöönotto on esitetty alla:
Otetaan esimerkiksi "DDoS-hyökkäysten vastainen suojaus ja havaitseminen" -tietoturvatestauslaitteisto. Esim. etupäässä otetaan käyttöön "Bypass Switch" ja sitten DDos-hyökkäysten vastainen suojauslaitteisto, joka kytketään "Bypass Switchiin". Tavallisessa "Traction Protectorissa" koko liikenteen määrä ohjataan edelleen langattoman nopeuden mukaisesti ja samalla virtauspeilin lähtö "DDos-hyökkäysten vastaiselle suojauslaitteelle". Kun hyökkäys on havaittu palvelimen IP-osoitteessa (tai IP-verkon segmentissä), "DDos-hyökkäysten vastainen suojauslaite" luo kohdeliikenteen yhteensovitussäännöt ja lähettää ne "Bypass Switchille" dynaamisen käytäntöjen toimitusrajapinnan kautta. "Bypass Switch" voi päivittää "liikenteen dynamiikan" vastaanotettuaan dynaamiset käytäntösäännöt ja välittömästi lähettää hyökkäyksen kohteeksi joutuneen palvelimen liikenteen "DDoS-hyökkäysten vastaiseen suojaus- ja havaitsemislaitteistoon" käsiteltäväksi, jotta se olisi tehokas hyökkäyksen jälkeen ja syöttää sen takaisin verkkoon.
"Ohituskytkimeen" perustuva sovellusjärjestelmä on helpompi toteuttaa kuin perinteinen BGP-reitin injektointi tai muu liikenteenohjausjärjestelmä, ja ympäristö on vähemmän riippuvainen verkosta ja luotettavuus on korkeampi.
"Ohituskytkimellä" on seuraavat ominaisuudet dynaamisen käytäntösuojauksen havaitsemissuojauksen tukemiseksi:
1, "Ohituskytkin" tarjoaa sääntöjen ulkopuolisen WEBSERIVCE-rajapinnan, helppo integrointi kolmannen osapuolen turvalaitteisiin.
2. "Ohituskytkin", joka perustuu laitteistopohjaiseen puhtaaseen ASIC-siruun, joka välittää jopa 10 Gbps:n langallisen nopeuden paketteja estämättä kytkimen edelleenlähetystä, ja "liikenteen vetodynaaminen sääntökirjasto" lukumäärästä riippumatta.
3, "Ohituskytkin" sisäänrakennettu ammattimainen BYPASS-toiminto, vaikka suojaus itsessään vikaantuisi, voi myös ohittaa alkuperäisen sarjalinkin välittömästi, eikä se vaikuta normaalin tiedonsiirron alkuperäiseen linkkiin.
