Mylinking™ tīkla pieskāriena apvada slēdzis ML-BYPASS-100
2*apvedceļš plus 1*monitors, modulārs dizains, 10/40/100GE saites, maks. 640 Gbps
Pārskati
Mylinking™ tīkla pieskāriena apvedceļa slēdzis ir pētīts un izstrādāts, lai to varētu izmantot dažādu veidu iebūvētu drošības iekārtu elastīgai izvietošanai, vienlaikus nodrošinot augstu tīkla uzticamību.
Izvietojot Mylinking™ viedā apvedceļa slēdža pieskārienu:
- Lietotāji var elastīgi instalēt/atinstalēt drošības iekārtas/rīkus, neietekmējot un nepārtraucot pašreizējo tīklu;
- Mylinking™ tīkla pieskāriena apvedceļa slēdzis ar inteliģentu veselības noteikšanas funkciju iebūvēto drošības ierīču normāla darba stāvokļa uzraudzībai reāllaikā. Tiklīdz iebūvētās drošības ierīces nedarbojas pareizi, aizsardzības funkcija automātiski apies ierīces, lai uzturētu normālu tīkla komunikāciju.
- Selektīvās satiksmes aizsardzības tehnoloģiju var izmantot, lai izvietotu specifiskas satiksmes attīrīšanas drošības iekārtas, šifrēšanas tehnoloģiju, kuras pamatā ir audita iekārtas. Efektīvi veikt iebūvētu piekļuves aizsardzību konkrētam satiksmes veidam, atslogojot iebūvētās ierīces plūsmas apstrādes spiedienu.
- Slodzes līdzsvarotas datplūsmas aizsardzības tehnoloģiju var izmantot drošu seriālo iekļauto drošības ierīču klasterizētai izvietošanai, lai nodrošinātu iekļauto drošību vidē ar lielu joslas platumu.
Tīkla pieskāriena apvedceļa slēdža uzlabotās funkcijas un tehnoloģijas
Mylinking™ “SpecFlow” aizsardzības režīms un “FullLink” aizsardzības režīms
Mylinking™ ātrās apvedceļa pārslēgšanas aizsardzība
Mylinking™ “LinkSafeSwitch”
Mylinking™ “WebService” dinamiskās stratēģijas pārsūtīšana/problēma
Mylinking™ viedā sirdsdarbības ziņojumu noteikšana
Mylinking™ definējami sirdsdarbības ziņojumi (sirdsdarbības paketes)
Mylinking™ vairāku saišu slodzes līdzsvarošana
Mylinking™ viedā datplūsmas sadale
Mylinking™ dinamiskā slodzes līdzsvarošana
Mylinking™ attālās pārvaldības tehnoloģija (HTTP/WEB, TELNET/SSH, “EasyConfig/AdvanceConfig” raksturlielums)
Tīkla pieskāriena apvedceļa slēdža papildu konfigurācijas rokasgrāmata
APVIENOTĀS VIRZIENAS modulisAizsardzības porta moduļa slots:
Šo slotu var ievietot BYPASS aizsardzības porta modulī ar atšķirīgu ātrumu/porta numuru. Aizvietojot dažāda veida moduļus, tas var atbalstīt vairāku 10G/40G/100G saišu BYPASS aizsardzības prasības.
MONITOR modulisPorta moduļa slots;
Šo slotu var ievietot MONITOR modulī ar dažādiem ātrumiem/portiem. Tas var atbalstīt vairākus 10G/40G/100G savienojumus iebūvētai seriālās uzraudzības ierīču izvietošanai, aizstājot dažādus moduļus.
Moduļu atlases noteikumi
Pamatojoties uz dažādām izvietotajām saitēm un uzraudzības iekārtu izvietošanas prasībām, jūs varat elastīgi izvēlēties dažādas moduļu konfigurācijas, lai apmierinātu savas faktiskās vides prasības; moduļu izvēles laikā, lūdzu, ievērojiet šādus noteikumus:
1. Šasijas komponenti ir obligāti, un tie ir jāizvēlas pirms jebkuru citu moduļu izvēles. Vienlaikus, lūdzu, izvēlieties dažādas barošanas metodes (maiņstrāva/līdzstrāva) atbilstoši savām vajadzībām.
2. Visa ierīce atbalsta līdz 2 BYPASS moduļa slotiem un 1 MONITOR moduļa slotu; konfigurēšanai nevar izvēlēties vairāk slotu nekā norādīts. Atkarībā no slotu skaita un moduļa modeļa kombinācijas ierīce var atbalstīt līdz četrām 10GE saišu aizsardzības ierīcēm; vai arī tā var atbalstīt līdz četrām 40GE saitēm; vai arī tā var atbalstīt līdz vienai 100GE saitei.
3. Moduļa modeli "BYP-MOD-L1CG" var ievietot tikai SLOT1, lai tas darbotos pareizi.
4. Moduli ar tipu "BYP-MOD-XXX" var ievietot tikai BYPASS moduļa slotā; moduli ar tipu "MON-MOD-XXX" normālai darbībai var ievietot tikai MONITOR moduļa slotā.
| Produkta modelis | Funkcijas parametri |
| Šasija (resursdators) | |
| ML-APVEDIENS-M100 | 1U standarta 19 collu plaukta montāža; maksimālais enerģijas patēriņš 250 W; modulārs BYPASS aizsardzības resursdators; 2 BYPASS moduļa sloti; 1 MONITOR moduļa slots; maiņstrāvas un līdzstrāvas pieslēgums (pēc izvēles); |
| APVIENOTĀS VIRZIENAS MODULIS | |
| BYP-MOD-L2XG(LM/SM) | Atbalsta divvirzienu 10GE saites seriālo aizsardzību, 4*10GE saskarni, LC savienotāju; iebūvētu optisko raidītāju/uztvērēju; optiskā saite viena/daudzrežīmu (pēc izvēles), atbalsta 10GBASE-SR/LR; |
| BYP-MOD-L2QXG(LM/SM) | Atbalsta divvirzienu 40GE saites seriālo aizsardzību, 4*40GE saskarni, LC savienotāju; iebūvētu optisko raidītāju/uztvērēju; optiskā saite viena/daudzrežīmu (pēc izvēles), atbalsta 40GBASE-SR4/LR4; |
| BYP-MOD-L1CG (LM/SM) | Atbalsta 1 kanāla 100GE saites seriālo aizsardzību, 2*100GE saskarni, LC savienotāju; iebūvētu optisko raidītāju/uztvērēju; optiskās saites viena daudzrežīmu opcija, atbalsta 100GBASE-SR4/LR4; |
| MONITORA MODULIS | |
| MON-MOD-L16XG | 16*10GE SFP+ uzraudzības porta modulis; nav optiskā raidītāja/uztvērēja moduļa; |
| MON-MOD-L8XG | 8*10GE SFP+ uzraudzības portu modulis; nav optiskā raidītāja/uztvērēja moduļa; |
| MON-MOD-L2CG | 2*100GE QSFP28 uzraudzības porta modulis; nav optiskā raidītāja moduļa; |
| MON-MOD-L8QXG | 8* 40GE QSFP+ uzraudzības portu modulis; nav optiskā raidītāja moduļa; |
Tīkla TAP apvedceļa slēdža specifikācijas
| Produkta modalitāte | ML-BYPASS-M100 iebūvētais tīkla pieskāriena apvada slēdzis | |
| Saskarnes veids | MGT saskarne | 1*10/100/1000BASE-T adaptīvā pārvaldības saskarne; Atbalsta attālo HTTP/IP pārvaldību |
| Moduļa slots | 2*APIEŠANAS moduļa slots;1*MONITORA moduļa slots; | |
| Saites, kas atbalsta maksimālo | Ierīce atbalsta maksimāli 4 * 10GE saites vai 4 * 40GE saites vai 1 * 100GE saites | |
| Uzraudzība | Ierīce atbalsta maksimāli 16 * 10GE uzraudzības portus vai 8 * 40GE uzraudzības portus vai 2 * 100GE uzraudzības portus; | |
| Funkcija | Pilna dupleksa apstrādes iespēja | 640 Gb/s |
| Balstoties uz IP/protokolu/piecu portu korteža specifisku datplūsmas kaskādes aizsardzību | Atbalstīts | |
| Kaskādes aizsardzība, kuras pamatā ir pilna datplūsma | Atbalstīts | |
| Vairāku slodžu līdzsvarošana | Atbalstīts | |
| Pielāgojama sirdsdarbības noteikšanas funkcija | Atbalstīts | |
| Atbalsta Ethernet pakotnes neatkarību | Atbalstīts | |
| APVIENOTĀ SLĒDZIS | Atbalstīts | |
| BYPASS slēdzis bez zibspuldzes | Atbalstīts | |
| KONSOLES VADĪBA | Atbalstīts | |
| IP/WEB pārvaldība | Atbalstīts | |
| SNMP V1/V2C MGT | Atbalstīts | |
| TELNET/SSH pārvaldība | Atbalstīts | |
| SYSLOG protokols | Atbalstīts | |
| Lietotāja autorizācija | Pamatojoties uz paroles autorizāciju/AAA/TACACS+ | |
| Elektriskās | Nominālais barošanas spriegums | Maiņstrāva - 220 V/līdzstrāva - 48 V【pēc izvēles】 |
| Nominālā jaudas frekvence | 50 Hz | |
| Nominālā ieejas strāva | Maiņstrāva 3A / Līdzstrāva 10A | |
| Nominālā jauda | 100 W | |
| Vide | Darba temperatūra | 0–50 ℃ |
| Uzglabāšanas temperatūra | -20–70 ℃ | |
| Darba mitrums | 10%-95%, bez kondensāta | |
| Lietotāja konfigurācija | Konsoles konfigurācija | RS232 saskarne, 115200,8,N,1 |
| Ārpus joslas MGT saskarne | 1 * 10/100/1000M Ethernet saskarne | |
| Paroles autorizācija | Atbalstīts | |
| Šasijas augstums | Šasijas telpa (U) | 1U 19 collas, 485 mm * 44,5 mm * 350 mm |
Tīkla TAP apvedceļa slēdža lietojumprogramma (kā norādīts tālāk)
5.1 Iebūvēto drošības iekārtu (IPS/FW) risks
Tālāk ir parādīts tipisks IPS (ielaušanās novēršanas sistēmas) un FW (ugunsmūra) izvietošanas režīms, kurā IPS/FW tiek izvietots kā iekļauts tīkla aprīkojums (piemēram, maršrutētāji, komutatori utt.) starp datplūsmu, ieviešot drošības pārbaudes, saskaņā ar atbilstošo drošības politiku, lai noteiktu atbilstošās datplūsmas atbrīvošanu vai bloķēšanu, lai panāktu drošības aizsardzības efektu.
Vienlaikus mēs varam novērot IPS (ielaušanās novēršanas sistēmu)/FW (ugunsmūri) kā iekārtu iebūvētu izvietojumu, kas parasti tiek izvietots uzņēmuma tīkla galvenajā vietā, lai ieviestu iebūvētu drošību, un pievienoto ierīču uzticamība tieši ietekmē kopējo uzņēmuma tīkla pieejamību. Kad iebūvētās drošības ierīces tiek pārslogotas, avarē, notiek programmatūras atjauninājumi, politikas atjauninājumi utt., visa uzņēmuma tīkla pieejamība tiek ievērojami ietekmēta. Šajā brīdī tīkla atjaunošanu var veikt tikai ar tīkla pārtraukšanu un fizisku apvedceļu, taču tas nopietni ietekmē tīkla uzticamību. IPS (ielaušanās novēršanas sistēma)/FW (ugunsmūris) un citas iebūvētās ierīces, no vienas puses, uzlabo uzņēmuma tīkla drošības izvietojumu, bet, no otras puses, arī samazina uzņēmuma tīklu uzticamību, palielinot tīkla nepieejamības risku.
5.2 Inline Link sērijas iekārtu aizsardzība
Mylinking™ "Apvedceļa slēdzis" tiek izvietots kā iekšēja savienojuma ierīce starp tīkla ierīcēm (maršrutētājiem, komutatoriem utt.), un datu plūsma starp tīkla ierīcēm vairs neved tieši uz IPS (ielaušanās novēršanas sistēmu)/FW (ugunsmūri). "Apvedceļa slēdzis" pārslēdzas uz IPS/FW, kad IPS/FW pārslodzes, avārijas, programmatūras atjauninājumu, politikas atjauninājumu un citu kļūmes apstākļu dēļ darbojas. "Apvedceļa slēdzis" izmanto viedās sirdsdarbības ziņojumu noteikšanas funkciju, lai savlaicīgi atklātu bojāto ierīci un izvairītos no bojājumiem, nepārtraucot tīkla darbību. Tīkla iekārtas tiek ātri savienotas tieši ar tīkla ierīcēm, lai aizsargātu normālu sakaru tīklu. IPS/FW kļūmes gadījumā tiek veikta arī viedās sirdsdarbības pakešu noteikšanas funkcija, kas savlaicīgi atklāj sākotnējo savienojumu un atjauno uzņēmuma tīkla drošības pārbaudes.
Mylinking™ "Apvedceļa slēdzim" ir jaudīga intelektuāla sirdsdarbības ziņojumu noteikšanas funkcija, lietotājs var pielāgot sirdsdarbības intervālu un maksimālo atkārtotu mēģinājumu skaitu, izmantojot pielāgotu sirdsdarbības ziņojumu IPS/FW veselības pārbaudei, piemēram, nosūtīt sirdsdarbības pārbaudes ziņojumu uz IPS/FW augšupējo/lejupējo portu un pēc tam saņemt to no IPS/FW augšupējās/lejupējās porta, kā arī noteikt, vai IPS/FW darbojas normāli, nosūtot un saņemot sirdsdarbības ziņojumu.
5.3 “SpecFlow” politikas plūsmas iebūvētās vilces sērijas aizsardzība
Ja drošības tīkla ierīcei ir jāapstrādā tikai konkrēta datplūsma sērijveida drošības aizsardzībā, izmantojot Mylinking™ "Network Tap Bypass Switch" datplūsmas apstrādes funkciju, drošības ierīce, izmantojot datplūsmas pārbaudes stratēģiju, savieno "attiecīgo" datplūsmu ar drošības ierīci, kas tiek nosūtīta tieši atpakaļ uz tīkla saiti, un "attiecīgā datplūsmas sadaļa" tiek novirzīta uz iebūvēto drošības ierīci drošības pārbaužu veikšanai. Tas ne tikai uzturēs drošības ierīces drošības noteikšanas funkcijas normālu darbību, bet arī samazinās drošības aprīkojuma neefektīvo plūsmu, lai tiktu galā ar spiedienu; vienlaikus "Network Tap Bypass Switch" var reāllaikā noteikt drošības ierīces darbības stāvokli. Drošības ierīce, kas darbojas neparasti, tieši apiet datu plūsmu, lai izvairītos no tīkla pakalpojumu pārtraukumiem.
Mylinking™ iebūvētais trafika apvedceļš var identificēt trafiku, pamatojoties uz L2-L4 slāņa galvenes identifikatoru, piemēram, VLAN tagu, avota/mērķa MAC adresi, avota IP adresi, IP paketes tipu, transporta slāņa protokola portu, protokola galvenes atslēgas tagu utt. Var elastīgi definēt dažādas atbilstības nosacījumu kombinācijas, lai definētu konkrētus trafika veidus, kas ir interesanti konkrētai drošības ierīcei, un tos var plaši izmantot īpašu drošības audita ierīču (RDP, SSH, datubāzes audits utt.) izvietošanai.
5.4 Slodzes līdzsvarota sērijas aizsardzība
Mylinking™ "tīkla pieskāriena apvedceļa slēdzis" tiek izvietots kā iekšējs savienojums starp tīkla ierīcēm (maršrutētājiem, komutatoriem utt.). Ja viena IPS/FW apstrādes veiktspēja nav pietiekama, lai tiktu galā ar tīkla saites maksimālo datplūsmu, aizsarga datplūsmas slodzes līdzsvarošanas funkcija, kas apvieno vairāku IPS/FW klastera apstrādes tīkla saites datplūsmu, var efektīvi samazināt viena IPS/FW apstrādes slodzi, uzlabojot kopējo apstrādes veiktspēju, lai atbilstu izvietošanas vides augstajam joslas platumam.
Mylinking™ "tīkla pieskāriena apvedceļa slēdzim" ir jaudīga slodzes līdzsvarošanas funkcija, kas atbilstoši kadra VLAN tagam, MAC informācijai, IP informācijai, porta numuram, protokolam un citai informācijai sadala datplūsmu, izmantojot jaucējkodu, lai nodrošinātu katra IPS/FW saņemtās datu plūsmas sesijas integritāti.
5.5 Daudzsēriju iebūvēto iekārtu plūsmas vilkmes aizsardzība (seriālā savienojuma maiņa uz paralēlo savienojumu)
Dažos galvenajos savienojumos (piemēram, interneta pieslēgvietās, serveru zonas apmaiņas savienojumos) atrašanās vieta bieži vien ir saistīta ar drošības elementu nepieciešamību un vairāku tiešsaistes drošības testēšanas iekārtu (piemēram, ugunsmūra (FW), pret-DDOS uzbrukumu iekārtu, tīmekļa lietojumprogrammu ugunsmūra (WAF), ielaušanās novēršanas sistēmu (IPS) utt.) izvietošanu, vienlaikus savienojumā savienojot vairākas drošības noteikšanas iekārtas virknē, lai palielinātu viena atteices punkta risku, tādējādi samazinot tīkla kopējo uzticamību. Iepriekš minētajā drošības iekārtu tiešsaistes izvietošana, modernizācija, nomaiņa un citas darbības izraisīs ilgstošus tīkla pakalpojumu pārtraukumus un lielāku projektu pārtraukšanu, lai pabeigtu šādu projektu veiksmīgu īstenošanu.
Vienoti izvietojot "tīkla pieskāriena apvedceļa slēdzi", vairāku vienā saitē virknē savienotu drošības ierīču izvietošanas režīmu var mainīt no "fiziskās konkatenācijas režīma" uz "fiziskās konkatenācijas, loģiskās konkatenācijas režīmu". Saitei esot viena kļūmes punktam, var uzlabot saites uzticamību, savukārt "apvedceļa slēdzis" nodrošina plūsmas plūsmu pēc pieprasījuma, lai panāktu tādu pašu plūsmu ar sākotnējo drošās apstrādes efektu.
Vairāk nekā viena drošības ierīce vienlaikus ar iekļauto izvietošanas shēmu:
Mylinking™ tīkla TAP apvedceļa slēdža izvietošanas shēma:
5.6. Balstoties uz satiksmes sastrēgumu drošības noteikšanas aizsardzības dinamisko stratēģiju
"Tīkla pieskāriena apvedceļa slēdzis". Vēl viens uzlabots lietojumprogrammas scenārijs ir balstīts uz satiksmes vilces drošības noteikšanas aizsardzības lietojumprogrammu dinamisko stratēģiju, kuras izvietošanas veids ir parādīts tālāk:
Piemēram, drošības testēšanas iekārtas “Anti-DDoS uzbrukumu aizsardzība un noteikšana”, izmantojot “Network Tap Bypass Switch” izvietošanu priekšējā galā un pēc tam anti-DDOS aizsardzības iekārtu, kas pēc tam tiek savienota ar “Network Tap Bypass Switch”, parastajā “Traction Protector” režīmā nodrošina pilnu datplūsmas apjomu, vienlaikus pārsūtot plūsmas spoguļattēlu uz “anti-DDos uzbrukumu aizsardzības ierīci”. Pēc uzbrukuma noteikšanas servera IP adresei (vai tīkla IP segmentam) “anti-DDos uzbrukumu aizsardzības ierīce” ģenerē mērķa datplūsmas saskaņošanas noteikumus un nosūta tos uz “Network Tap Bypass Switch”, izmantojot dinamiskās politikas piegādes saskarni. “Network Tap Bypass Switch” var atjaunināt “datplūsmas vilkmes dinamiku” pēc dinamiskās politikas noteikumu kopas saņemšanas un nekavējoties novirzīt uzbrukuma servera datplūsmas “vilces” noteikumu uz “anti-DDoS uzbrukumu aizsardzības un noteikšanas” iekārtu apstrādei, lai tā būtu efektīva pēc uzbrukuma plūsmas pabeigšanas un pēc tam atkārtoti ievadīta tīklā.
Lietojumprogrammas shēma, kuras pamatā ir "tīkla pieskāriena apvedceļa slēdzis", ir vieglāk ieviešama nekā tradicionālā BGP maršruta injekcija vai cita datplūsmas vilces shēma, un vide ir mazāk atkarīga no tīkla un uzticamība ir augstāka.
"Tīkla pieskāriena apvedceļa slēdzim" ir šādas īpašības, lai atbalstītu dinamiskās politikas drošības noteikšanas aizsardzību:
1. "Tīkla pieskāriena apvedceļa slēdzis", lai nodrošinātu ārpus noteikumiem, pamatojoties uz WEBSERIVCE saskarni, ērtu integrāciju ar trešo pušu drošības ierīcēm.
2. "BNetwork Tap Bypass Switch", kas balstīts uz aparatūras tīru ASIC mikroshēmu, kas pārsūta līdz 10 Gbps vadu ātruma paketes, nebloķējot slēdža pārsūtīšanu, un "satiksmes vilces dinamisko noteikumu bibliotēku" neatkarīgi no skaita.
3. Iebūvētā profesionālā BYPASS funkcija "Tīkla pieskāriena apvedceļa slēdzis" pat aizsarga kļūmes gadījumā var nekavējoties apiet sākotnējo seriālo saiti, neietekmējot parastās komunikācijas sākotnējo saiti.
