1. Mikä on Define Heartbeat -paketti?
Mylinking™ Network Tap Bypass Switchin sykepaketit lähettävät oletusarvoisesti Ethernet Layer 2 -kehyksiä. Kun käytössä on läpinäkyvä Layer 2 -siltaustila (kuten IPS / FW), Layer 2 Ethernet -kehykset yleensä välitetään, estetään tai hylätään. Samalla Mylinking™ Network Tap Bypass Switch tukee mukautettua sykeviestimuotoa, joka vastaa tilanteisiin, joissa jotkin erityiset sarjaliikenteen suojauslaitteet eivät normaalisti pysty välittämään tavallisia Layer 2 Ethernet -kehyksiä.
Mylinking™ Network Tap Bypass Switch tukee myös VLAN-tunnisteisiin perustuvaa syketietopakettien tunnistusta sekä mukautettuja viestityyppejä Layer 3 ja Layer 4. Tämän mekanismin avulla käyttäjä voi toteuttaa yhteyden turvalaitteen palvelun turvallisuustestitoiminnon, jotta se voi tehokkaammin varmistaa, että vastaavat suojauspalvelut toimivat oikein.
Mylinking™-verkon ohituskytkin voi tukea monitoria lähettämään erilaisia sykepaketteja molempiin suuntiin. Esimerkiksi TCP- ja UDP-tyyppiset sykepaketit räätälöidään "Strategy Traffic Traction Protectorissa" sarjaporttilaitteen erityispiirteiden mukaan. Voit määrittää TCP-sykepakettien lähettämisen ylälinkin monitorin A-porttiin ja UDP-sykepakettien lähettämisen alalinkin monitorin B-porttiin sarjaporttilaitteen viestien edelleenlähetysmekanismin mukaiseksi. Tämä toiminto voi taata merkkijonon tehokkaammin. Kytke turvalaitteet normaaliin toimintaan.
Mylinking™-verkon sisäinen ohituskytkin on tutkittu ja kehitetty käytettäväksi erilaisten sarjaliikenneturvalaitteiden joustavaan käyttöönottoon ja samalla korkean verkon luotettavuuden takaamiseksi.
2-verkon sisäänrakennetun ohituskytkimen edistyneet ominaisuudet ja teknologiat
Mylinking™ “SpecFlow”-suojaustila ja “FullLink”-suojaustilateknologia
Mylinking™-nopea ohituskytkentäsuojaustekniikka
Mylinking™ “LinkSafeSwitch” -teknologia
Mylinking™ “WebService” dynaaminen strategian edelleenlähetys/ongelmateknologia
Mylinking™-älykäs sykeviestien tunnistustekniikka
Mylinking™-määriteltävien sykeviestien teknologia
Mylinking™-monilinkkinen kuormituksen tasapainotustekniikka
Mylinking™-älykäs liikenteenjakoteknologia
Mylinking™-dynaaminen kuormituksen tasapainotustekniikka
Mylinking™-etähallintatekniikka (HTTP/WEB, TELNET/SSH, “EasyConfig/AdvanceConfig” -ominaisuus)
3-verkon sisäinen ohituskytkimen sovellus (kuten seuraavassa)
3.1 Sisäänrakennettujen turvalaitteiden (IPS / FW) riski
Seuraavassa on tyypillinen IPS:n (Intrusion Prevention System) ja FW:n (Firewall) käyttöönottotila. IPS/FW otetaan käyttöön sarjassa verkkolaitteiden (reitittimien, kytkimien jne.) välisessä liikenteessä suorittamalla turvatarkastuksia vastaavan turvallisuuskäytännön mukaisesti, jotta voidaan määrittää vastaavan liikenteen vapauttaminen tai estäminen turvallisuuspuolustuksen vaikutuksen saavuttamiseksi.
Samalla voimme tarkastella IPS/FW-laitteita sarjakäyttöönottoina, jotka yleensä sijoitetaan yritysverkon avainpaikkaan sarjaliikenneturvallisuuden toteuttamiseksi. Liitettyjen laitteiden luotettavuus vaikuttaa suoraan yritysverkon koko saatavuuteen. Sarjaliikennelaitteiden ylikuormitus, kaatuminen, ohjelmistopäivitykset, käytäntöpäivitykset jne. vaikuttavat merkittävästi koko yritysverkon saatavuuteen. Tässä vaiheessa vain verkon katkaisun ja fyysisen ohituslinkin avulla voimme palauttaa verkon toimintakuntoon, mikä vaikuttaa vakavasti verkon luotettavuuteen. IPS/FW ja muut sarjaliikennelaitteet parantavat yritysverkon tietoturvaa, mutta toisaalta heikentävät yritysverkkojen luotettavuutta ja lisäävät riskiä, että verkko ei ole käytettävissä.
3.2 Inline Link -sarjan laitteiden suojaus
Mylinking™ ”Network Inline Bypass” otetaan käyttöön sarjassa verkkolaitteiden (reitittimien, kytkimien jne.) välillä, eikä verkkolaitteiden välinen tiedonsiirto enää johda suoraan IPS:ään/laiteohjelmistoon. ”Network Inline Bypass” -toiminto ohjaa IPS:ään/laiteohjelmistoon, kun IPS/laiteohjelmisto ylikuormituksen, kaatumisen, ohjelmistopäivitysten, käytäntöpäivitysten tai muiden vikojen vuoksi. ”Network Inline Bypass” -toiminto havaitsee vialliset laitteet nopeasti älykkään sykeviestien tunnistustoiminnon avulla, ohittaen ne keskeyttämättä verkon toimintaa. Näin verkkoon kytketyt laitteet voidaan nopeasti suojata normaalin tietoliikenteen avulla. IPS/laiteohjelmiston vian sattuessa älykäs sykeviestien tunnistustoiminto palauttaa alkuperäisen yhteyden yritysverkon tietoturvan.
Mylinking™ ”Network Inline Bypass” -toiminnossa on tehokas ja älykäs sykeviestien tunnistustoiminto. Käyttäjä voi mukauttaa sykeväliä ja uudelleenyritysten enimmäismäärää IPS:n/laiteohjelmiston mukautetulla sykeviestillä terveydentilan testaamiseksi. Voit esimerkiksi lähettää syketarkistusviestin IPS:n/laiteohjelmiston ylä-/alavirran porttiin ja vastaanottaa viestin IPS:n/laiteohjelmiston ylä-/alavirran portista sekä arvioida sykeviestin lähettämisen ja vastaanottamisen perusteella, toimiiko IPS/laiteohjelmisto normaalisti.
3.3 ”SpecFlow”-käytäntö Flow Inline Traction -sarjan suojaus
Kun turvaverkon laitteen tarvitsee käsitellä vain tiettyä liikennettä sarjassa, Mylinking™-verkon ohitustoiminto käyttää liikenteen seulontastrategiaa ja turvalaitteen yhdistämiseen. Kyseinen liikenne lähetetään suoraan verkkoyhteyteen, ja kyseinen liikenneosio ohjataan linjan sisäiselle turvalaitteelle turvatarkastuksia varten. Tämä ei ainoastaan ylläpidä turvalaitteen turvallisuuden havaitsemistoiminnon normaalia toimintaa, vaan myös vähentää turvalaitteiden tehotonta virtausta paineen käsittelyyn. Samalla verkon ohitustoiminto voi havaita turvalaitteen toimintatilan reaaliajassa. Jos turvalaite toimii epänormaalisti, se ohittaa dataliikenteen suoraan verkkopalvelun keskeytysten välttämiseksi.
3.4 Kuormituksen tasapainotettu sarjasuojaus
Mylinking™ ”Network Inline Bypass” otetaan käyttöön sarjassa verkkolaitteiden (reitittimien, kytkimien jne.) välillä. Kun yhden IPS/FW-suorituskyky ei riitä verkkolinkkien ruuhkaliikenteen hallintaan, suojaimen kuormituksen tasapainotustoiminto, joka ”niputtaa” useiden IPS/FW-klusterin verkkolinkkiliikennettä käsitteleviä laitteita, voi tehokkaasti vähentää yksittäisen IPS/FW-suorituspainetta ja parantaa yleistä prosessointitehoa käyttöönottoympäristön suuren kaistanleveyden vaatimusten täyttämiseksi.
Mylinking™ ”Network Inline Bypass” -ominaisuudessa on tehokas kuormituksen tasapainotustoiminto, joka tasapainottaa liikenteen kuormitusta kehyksen VLAN-tunnisteen, MAC-tietojen, IP-tietojen, porttinumeron, protokollan ja muiden tietojen perusteella varmistaakseen, että jokainen IPS/laite vastaanottaa datavirtaa istunnon eheyden.
3.5 Monisarjaisten linjalaitteiden virtauslukon suojaus (vaihda sarjaliitännän rinnakkaisliitännäksi)
Joissakin keskeisissä linkeissä (kuten internet-pistorasioissa, palvelinalueiden vaihtoyhteyksissä) sijainti johtuu usein tietoturvaominaisuuksien tarpeista ja useiden linjassa olevien tietoturvatestauslaitteiden (kuten palomuurin, palvelunestohyökkäysten estolaitteen, verkkosovellusten palomuurin, tunkeutumisenestolaitteen jne.) käyttöönotosta. Useiden tietoturvalaitteiden samanaikainen sarjaan kytkeminen linkkiin lisää linkin vikaantumisriskiä ja vähentää verkon yleistä luotettavuutta. Edellä mainituissa turvalaitteiden online-käyttöönotoissa, laitteiden päivityksissä, laitteiden vaihdossa ja muissa toimissa voi olla pitkäaikaisia verkon käyttökatkoksia ja suurempia projekteja, jotka vaativat toimenpiteitä tällaisten projektien onnistuneen toteutuksen loppuun saattamiseksi.
Ottamalla käyttöön ”Network Inline Bypass” -ominaisuuden yhtenäisellä tavalla, useiden samaan linkkiin sarjaan kytkettyjen turvalaitteiden käyttöönottotilaa voidaan muuttaa ”fyysisestä ketjutustilasta” ”fyysiseen ketjutukseen, loogiseen ketjutustilaan”. Linkin vikaantuminen parantaa linkin luotettavuutta, kun taas ”Network Inline Bypass” -ominaisuuden avulla linkki kulkee tarvittaessa, jolloin saavutetaan sama virtaus alkuperäisellä turvallisen käsittelyn tilalla.
Useamman kuin yhden turvalaitteen samanaikainen käyttö sarjassa -kaavio:
Verkon sisäisen ohituskytkimen käyttöönottokaavio:
3.6 Liikenteen luistoneston turvallisuuden havaitsemissuojauksen dynaamiseen strategiaan perustuen
”Verkon sisäinen ohitus” Toinen edistynyt sovellusskenaario perustuu liikenteen vetovoiman suojauksen havaitsemis- ja suojaussovellusten dynaamiseen strategiaan, jonka käyttöönotto on esitetty alla:
Otetaan esimerkiksi ”DDoS-hyökkäysten esto- ja tunnistus” -tietoturvatestauslaitteet. Etupäähän asennetaan ”Network Inline Bypass” -verkkohyökkäysten estolaite ja sitten DDos-hyökkäysten estolaite, joka kytketään ”Network Inline Bypassiin”. Tavallisessa ”Traction Protectorissa” koko liikenteen määrä ohjataan edelleen langattoman nopeuden mukaisesti ja samalla virtauspeilin lähtö lähetetään ”DDos-hyökkäysten estolaitteelle”. Kun hyökkäys on havaittu palvelimen IP-osoitteessa (tai IP-verkon segmentissä), ”DDos-hyökkäysten estolaite” luo kohdeliikenteen yhteensovitussäännöt ja lähettää ne ”Network Inline Bypassille” dynaamisen käytäntöjen toimitusrajapinnan kautta. ”Network Inline Bypass” voi päivittää ”liikenteen dynamiikan” vastaanotettuaan dynaamisen käytäntösäännön sääntöpoolin ja lähettää hyökkäyksen kohteeksi joutuneen palvelimen liikenteen välittömästi ”DDoS-hyökkäysten estolaitteen” käsiteltäväksi ja tehokkaasti hyökkäyksen jälkeen.
”Verkon sisäinen ohitus” -periaatteeseen perustuva sovellusmenetelmä on helpompi toteuttaa kuin perinteinen BGP-reitin injektointi tai muu liikenteenohjausmenetelmä, ja ympäristö on vähemmän riippuvainen verkosta ja luotettavuus on korkeampi.
”Verkon sisäinen ohitus” tukee dynaamista käytäntösuojauksen tunnistussuojausta seuraavilla ominaisuuksilla:
1. ”Verkon sisäinen ohitus” tarjoaa sääntöjen ulkopuolisen WEBSERIVCE-rajapinnan ja helpon integroinnin kolmannen osapuolen turvalaitteisiin.
2. ”Verkon sisäinen ohitus”, joka perustuu laitteistopohjaiseen puhtaaseen ASIC-siruun, joka välittää jopa 10 Gbps:n langallisen nopeuden paketteja estämättä kytkimen edelleenlähetystä, sekä ”liikenteen vetokyvyn dynaaminen sääntökirjasto” lukumäärästä riippumatta.
3. Sisäänrakennettu ”Verkon sisäinen ohitus” -toiminto voi ohittaa alkuperäisen sarjalinkin välittömästi, vaikka suojauslaite itsessään vikaantuisi. Tämä ei vaikuta normaalin tiedonsiirron alkuperäiseen linkkiin.
Julkaisun aika: 23.12.2021
