Bộ xử lý gói mạng Mylinking™ tích hợp bộ chuyển mạch bỏ qua nội tuyến ML-NPB-M2000
Mô-đun bỏ qua: 8*10G SFP+ & 4*100GE, Mô-đun giám sát: 16*10GE SFP+ & 4*100GE, Tốc độ tối đa 2.4Tbps
1-Tổng quan
Với sự phát triển nhanh chóng của Internet, mối đe dọa đối với an ninh thông tin mạng ngày càng trở nên nghiêm trọng, do đó, nhiều ứng dụng bảo vệ an ninh thông tin được sử dụng ngày càng rộng rãi. Cho dù đó là thiết bị kiểm soát truy cập truyền thống (tường lửa) hay các phương tiện bảo vệ tiên tiến hơn như hệ thống ngăn chặn xâm nhập (IPS), nền tảng quản lý mối đe dọa thống nhất (UTM), hệ thống chống tấn công từ chối dịch vụ (Anti-DDoS), cổng chống thư rác, hệ thống nhận dạng và kiểm soát lưu lượng DPI thống nhất, và nhiều thiết bị bảo mật được triển khai nối tiếp tại các nút quan trọng của mạng, thực hiện chính sách bảo mật dữ liệu tương ứng để xác định và xử lý lưu lượng truy cập hợp pháp/bất hợp pháp. Tuy nhiên, đồng thời, trong môi trường ứng dụng mạng sản xuất đòi hỏi độ tin cậy cao, mạng máy tính sẽ tạo ra độ trễ mạng lớn hoặc thậm chí gián đoạn mạng trong trường hợp chuyển đổi dự phòng, bảo trì, nâng cấp, thay thế thiết bị, v.v., điều này là không thể chấp nhận được đối với người dùng.
ML-NPB-M2000 Mylinking™ Network Packet Broker plus Inline Bypass Switch được nghiên cứu và phát triển để sử dụng cho việc triển khai linh hoạt nhiều loại thiết bị an ninh nối tiếp khác nhau, đồng thời cung cấp độ tin cậy cao cho mạng.
Bằng cách triển khai Mylinking™ Network Packet Broker kết hợp với Inline Bypass Switch:
●Người dùng có thể linh hoạt cài đặt/gỡ bỏ các thiết bị bảo vệ an ninh mà không ảnh hưởng hoặc làm gián đoạn mạng hiện có;
● Thiết bị có chức năng phát hiện tình trạng hoạt động thông minh để giám sát trạng thái hoạt động bình thường của các thiết bị an ninh được kết nối trong thời gian thực. Khi một thiết bị an ninh được kết nối gặp sự cố, thiết bị bảo vệ sẽ tự động chuyển sang chế độ bỏ qua để duy trì kết nối mạng bình thường.
●Công nghệ bảo vệ lưu lượng truy cập có chọn lọc có thể được sử dụng để triển khai các thiết bị bảo mật lọc lưu lượng truy cập cụ thể, thiết bị kiểm toán dựa trên mã hóa, v.v. Nó thực hiện hiệu quả việc bảo vệ truy cập trực tuyến cho các loại lưu lượng truy cập cụ thể, giảm tải xử lý lưu lượng truy cập cho các thiết bị nội tuyến.
● Công nghệ bảo vệ lưu lượng cân bằng tải có thể được sử dụng để triển khai các thiết bị nội tuyến an toàn theo cụm nhằm đáp ứng nhu cầu bảo vệ an ninh nội tuyến trong môi trường chịu áp lực băng thông cao.
●Nó có khả năng proxy SSL, đáp ứng các yêu cầu giám sát và phân tích của các thiết bị bảo vệ an ninh đối với nội dung dữ liệu dạng văn bản thuần.
● Nó sở hữu các khả năng xử lý lưu lượng cơ bản như sao chép, tổng hợp, lọc và gắn nhãn lưu lượng, cũng như các khả năng xử lý lưu lượng nâng cao như loại bỏ trùng lặp, che giấu, nhận dạng giao thức lớp ứng dụng và định hình lưu lượng.
2-Bộ điều phối gói mạng Mylinking™ kết hợp với bộ chuyển mạch bỏ qua nội tuyến: Các tính năng và công nghệ nâng cao
Công nghệ Chế độ bảo vệ “SpecFlow” và Chế độ bảo vệ “FullLink” của Mylinking™
Công nghệ bảo vệ chuyển mạch bỏ qua nhanh Mylinking™
Công nghệ Mylinking™ “LinkSafeSwitch”
Công nghệ chuyển tiếp/phát hành chính sách động “WebService” của Mylinking™
Công nghệ phát hiện gói tín hiệu nhịp tim thông minh Mylinking™
Mylinking™ Công nghệ gói nhịp tim có thể xác định
Mylinking™ Công nghệ cân bằng tải đa liên kết
Mylinking™ Công nghệ phân phối giao thông thông minh
Mylinking™ Công nghệ cân bằng tải động
Mylinking™ Công nghệ quản lý từ xa (HTTP/WEB, TELNET/SSH, đặc điểm “Cấu hình dễ dàng/Cấu hình nâng cao”)
3-Hướng dẫn cấu hình bộ điều phối gói mạng Mylinking™ kèm bộ chuyển mạch bỏ qua nội tuyến
Như thể hiện trong sơ đồ trên, toàn bộ thiết bị bao gồm bốn khe cắm mô-đun:
Các khe cắm mô-đun SLOT1, SLOT2, SLOT3 và SLOT4 đều có thể chứa các mô-đun cổng bảo vệ BYPASS hoặc mô-đun cổng MONITOR với tốc độ và số cổng khác nhau. Bằng cách thay thế các mô-đun khác nhau, có thể hỗ trợ bảo vệ BYPASS cho nhiều liên kết 10G/40G/100G, cũng như triển khai thiết bị giám sát Inline Bypass cho nhiều liên kết 10G/40G/100G.
Lưu ý: Cả mô-đun BYPASS và mô-đun MONITOR đều hỗ trợ thay thế nóng.
3.1-Danh sách thông số kỹ thuật mô-đun
| Mô hình sản phẩm | Chức năngPcác thông số |
| Chassis | |
| ML-NPB-M2000-CHS/AC | Chuẩn rack 2U 19 inch; công suất tiêu thụ tối đa 300W; bộ phận chính bảo vệ BYPASS dạng mô-đun; 4 khe cắm mô-đun; 1 giao diện Console RS232, 1 giao diện RJ45 10/100/1000M với quản lý mạng bên ngoài; nguồn điện kép AC-220V; |
| NT-BYPASS-M2000-CHS/DC | Chuẩn rack 19 inch 2U; công suất tiêu thụ tối đa 300W; bộ phận chính bảo vệ BYPASS dạng mô-đun; 4 khe cắm mô-đun; 1 giao diện Console RS232, 1 giao diện RJ45 10/100/1000M với quản lý mạng bên ngoài; nguồn điện kép DC-48V; |
| ĐƯỜNG VÒNGMmô-đun | |
| INL-I8XM8X(LM/SM) | Hỗ trợ bảo vệ kết nối nối tiếp 4 chiều 10GE (tương thích với 1G), với tổng cộng 8 giao diện 10GE; hỗ trợ 8 cổng giám sát 10G SFP+ (không bao gồm module quang). |
| INL-I4HM2H (LM/SM) | Hỗ trợ bảo vệ nối tiếp liên kết 2 chiều 100GE (tương thích 40GE), với tổng cộng 4 giao diện 100GE; hỗ trợ 2 cổng giám sát 100GE QSFP28 (không bao gồm các mô-đun quang). |
| Mô-đun GIÁM SÁT | |
| MON-M16X | 16 cổng giám sát 10GE SFP+ (không bao gồm các mô-đun quang); |
| MON-M16X-CN98 | 16 cổng giám sát 10GE SFP+ (không bao gồm mô-đun quang); được trang bị bộ xử lý chức năng tiên tiến, hỗ trợ các chức năng xử lý lưu lượng nâng cao như bỏ qua giải mã SSL, proxy SSL và loại bỏ trùng lặp lưu lượng; |
| Thứ Hai - Thứ Tư - 4 giờ | 4 cổng giám sát 100GE QSFP28 (không bao gồm module quang); |
| MON-M4H-CN98 | 4 cổng giám sát 100GE QSFP28 (không bao gồm module quang); được trang bị bộ xử lý chức năng tiên tiến, hỗ trợ các chức năng xử lý lưu lượng nâng cao như bỏ qua giải mã SSL, proxy SSL và loại bỏ trùng lặp lưu lượng; |
3.2-Quy tắc lựa chọn mô-đun
Dựa trên các yêu cầu triển khai thiết bị giám sát và liên kết được bảo vệ khác nhau, bạn có thể linh hoạt lựa chọn các cấu hình mô-đun khác nhau để đáp ứng nhu cầu thực tế của môi trường; vui lòng tuân theo các quy tắc sau khi lựa chọn:
1) Bộ khung máy là một thành phần bắt buộc và phải được lựa chọn trước khi chọn bất kỳ mô-đun nào khác. Vui lòng chọn phương pháp cấp nguồn phù hợp (AC/DC) theo nhu cầu của bạn.
2) Thiết bị hỗ trợ tối đa 4 khe cắm mô-đun; bạn không thể chọn nhiều mô-đun hơn số khe cắm để cấu hình. Dựa trên sự kết hợp linh hoạt của các mô-đun khác nhau, thiết bị có thể hỗ trợ bảo vệ nối tiếp cho tối đa 16 liên kết 10GE/GE hoặc 8 liên kết 100GE/40GE.
4-Khả năng xử lý giao thông thông minh
4.1-Triển khai nội tuyến
Bảo vệ giao thông cụ thể theo tuyến
Nó hỗ trợNội tuyến(nối tiếp)chế độ bảo vệ cho các loại lưu lượng truy cập cụ thể trong bất kỳnội tuyếnliên kết.Tochuyển tiếp một số loại lưu lượng truy cập do người dùng chỉ định trênnội tuyếnliên kết đếnNội tuyến San ninhthiết bịđể xử lý, và lưu lượng truy cập còn lại được chuyển tiếp trực tiếp mà không cần đi qua.Nội tuyến San ninhthiết bịĐồng thời,itthực hiện giám sát thời gian thực trạng thái hoạt động củaNội tuyến San ninhthiết bịKhi phát hiện trạng thái xử lý lưu lượng truy cập bất thường,itsẽ được tự động loại bỏ khỏi đường truyền lưu lượng để đảm bảo tính liên tục của dịch vụ mạng.
Bảo vệ toàn diện giao thông
Nó hỗ trợNội tuyến(nối tiếp)chế độ bảo vệ cho tất cả các loại lưu lượng truy cập trong mọi trường hợpnội tuyếnliên kết.Totruyền tải tất cả lưu lượng truy cập trongnội tuyếnliên kết đếnNội tuyến San ninhthiết bịđể xử lý và giám sát trạng thái hoạt động của Bảo mật Nội tuyến.thiết bịtrong thời gian thực. Khi phát hiện trạng thái xử lý lưu lượng truy cập bất thường,itsẽ được tự động loại bỏ khỏi đường truyền lưu lượng để đảm bảo tính liên tục của dịch vụ mạng.
Cân bằng tải
Nó có khả năng cân bằng tải lưu lượng thông minh. Khi hiệu năng xử lý của một máy chủ duy nhấtNội tuyến San ninhthiết bịkhông đủ để giải quyết vấn đềnội tuyếnlưu lượng giao tiếp liên kết, nó có thể phân bổnội tuyếnLiên kết lưu lượng truy cập đến các giao diện N Monitor bằng cách cấu hình nhóm cân bằng tải. Dựa trên thông tin MAC, IP, số cổng, giao thức và các thông tin khác,itthực hiện cân bằng tải đầu ra bằng thuật toán băm tùy chọn, sao chonội tuyếnLưu lượng truy cập liên kết được phân bổ đều cho nhiềunội tuyếnbảo vệdụng cụs dùng cho xử lý cụm, giúp cải thiện hiệu quả hiệu năng xử lý tổng thể của hệ thống.nội tuyếnbảo vệdụng cụĐể thích ứng với các yêu cầu của các kịch bản ứng dụng băng thông cao và lưu lượng truy cập lớn.
Phát hiện gói nhịp tim
Nó hỗ trợTxVàRxcác gói phát hiện nhịp tim thông qua đường truyền lên và xuống của các thiết bị được kết nốinội tuyếncác thiết bị an ninh và phát hiệncông cụ nội tuyếnTrạng thái hoạt động và liệu quy trình xử lý lưu lượng truy cập có bình thường hay không. Nhịp tim hai chiềugóiCơ chế phát hiện có thể phản ánh chính xác hơn trạng thái hoạt động hiện tại của thiết bị.nội tuyếnbảo vệthiết bịvà đảm bảo hoạt động bình thường của mạng lưới một cách hiệu quả hơn.
Nó có thể tùy chỉnh các thông số nhịp tim của bất kỳ thiết bị nào.nội tuyếnthiết bị an ninh, chẳng hạn như nhịp timTxkhoảng thời gian, số lần thử lại nhịp tim tối đa, nhịp timTxhướng, v.v. Nó có thể phát hiện và đánh giá trạng thái lỗi củanội tuyếnCác thiết bị an ninh được kích hoạt kịp thời và thực hiện chuyển mạch nhanh chóng qua các liên kết bảo vệ.
Các gói tin phát hiện nhịp tim mặc định là các khung Ethernet lớp 2. Khi chế độ cầu nối lớp 2 trong suốt (như IPS/FW) được triển khai, các khung Ethernet lớp 2 sẽ được chuyển tiếp bình thường mà không bị chặn hoặc mất mát. Đồng thời, nó cũng có thể hỗ trợ các gói tin phát hiện nhịp tim Ethernet lớp 2, lớp 3 và lớp 4 tùy chỉnh để thích ứng với một số trường hợp đặc biệt.nội tuyếnCác thiết bị bảo mật thường không thể chuyển tiếp các khung Ethernet lớp 2 thông thường.
Dựa trên cơ chế nêu trên, người dùng có thể nhận biết được hiệu quả phát hiện tình trạng hoạt động của các thiết bị an ninh được kết nối, từ đó đảm bảo hoạt động bình thường của các dịch vụ an ninh một cách hiệu quả hơn.
Chuyển mạch bỏ qua
Nó hỗ trợ chế độ bỏ qua rất thấp.chuyển đổiđộ trễ (<8ms), và người dùng hầu như không cảm nhận được tác động lên mạng khi thiết bị thực hiện thao tác bỏ qua.chuyển đổiĐồng thời, công nghệ chuyển mạch liên kết dành riêng cho thiết bị có thể đảm bảo rằng trạng thái liên kết của liên kết chính không bị ảnh hưởng trong quá trình bỏ qua.chuyển đổiCông nghệ này sẽ đảm bảo đường vòng.chuyển đổiPhương pháp này an toàn hơn và sẽ không khiến giao thức cấu trúc liên kết lớp 2/lớp 3 của các liên kết được bảo vệ phải tính toán lại và hội tụ, nhằm giảm thiểu tác động đến mạng người dùng trong quá trình này.chuyển đổi.
Chặn đường giao thông
Khi thiết bị bảo mật phát hiện các kết nối phiên bất hợp pháp hoặc bất thường trong lưu lượng truy cập và cần chặn chúng kịp thời, thiết bị có thể chặn bất kỳ gói tin nào được chỉ định trong lưu lượng truy cập lên/xuống.nội tuyếnLiên kết dựa trên các điều kiện lọc khớp bộ dữ liệu để đảm bảo hoạt động an toàn của các dịch vụ mạng.
Gương giao thông
Ngoài việc bảo vệ lưu lượng truy cập của liên kết nội tuyến và thiết bị bảo mật nội tuyến (như IPS, WAF), bất kỳ lưu lượng truy cập được sao chép SPAN nào cũng có thể được xuất ra hệ thống giám sát bảo mật SPAN (như IDS, APT), để đáp ứng các yêu cầu triển khai giám sát dữ liệu lưu lượng SPAN hoặc kiểm tra và xác minh lưu lượng.
Máy chủ proxy SSL
Thông qua chức năng proxy SSL, gói dữ liệu được mã hóa ban đầu được giải mã và gửi đến hệ thống bảo vệ an ninh nội tuyến, sau đó dữ liệu đã giải mã được khôi phục và gửi lại liên kết ban đầu, nhằm cung cấp dữ liệu đã giải mã cho hệ thống bảo vệ an ninh nội tuyến mà không ảnh hưởng đến việc truyền dữ liệu được mã hóa trên liên kết ban đầu của người dùng, đồng thời thực hiện việc giám sát và phân tích dữ liệu được mã hóa bởi hệ thống phân tích.
4.2-Triển khai SPAN
Sao chép lưu lượng mạng
Nó hỗ trợNội tuyến(nối tiếp)chế độ bảo vệ cho các loại lưu lượng truy cập cụ thể trong bất kỳnội tuyếnliên kết.Tochuyển tiếp một số loại lưu lượng truy cập do người dùng chỉ định trênnội tuyếnliên kết đếnNội tuyến San ninhthiết bịđể xử lý, và lưu lượng truy cập còn lại được chuyển tiếp trực tiếp mà không cần đi qua.Nội tuyến San ninhthiết bịĐồng thời,itthực hiện giám sát thời gian thực trạng thái hoạt động củaNội tuyến San ninhthiết bịKhi phát hiện trạng thái xử lý lưu lượng truy cập bất thường,itsẽ được tự động loại bỏ khỏi đường truyền lưu lượng để đảm bảo tính liên tục của dịch vụ mạng.
Tổng hợp lưu lượng mạng
Lưu lượng đầu vào ban đầu và lưu lượng đã được xử lý trước có thể được sao chép thành tín hiệu kênh N theo tín hiệu kênh 1 hoặc sao chép thành tín hiệu kênh M sau khi tổng hợp tín hiệu kênh N ở tốc độ đường truyền GE, 10GE, 40G và 100G, giải quyết hoàn hảo nhu cầu triển khai đồng thời nhiều hơn hai thiết bị bỏ qua lắng nghe đa cổng trong mạng.
Phân phối/Chuyển tiếp dữ liệu
Phân loại chính xác siêu dữ liệu đến và loại bỏ hoặc chuyển tiếp các dịch vụ dữ liệu khác nhau đến nhiều đầu ra giao diện theo các quy tắc do người dùng định trước.
Lọc dữ liệu gói
Dữ liệu đầu vàogiao thôngCó thể phân loại chính xác, các dịch vụ dữ liệu khác nhau có thể được thiết lập quy tắc danh sách trắng hoặc danh sách đen, và nhiều đầu ra giao diện có thể bị loại bỏ hoặc chuyển tiếp. Nó hỗ trợ kết hợp linh hoạt dựa trên loại Ethernet, thẻ VLAN, bộ năm thông tin IP.TCPMã định danh, đặc điểm gói tin và các yếu tố khác nhằm đáp ứng tốt hơn các yêu cầu triển khai của nhiều thiết bị an ninh mạng, phân tích giao thức, phân tích tín hiệu và các hoạt động giám sát lưu lượng khác.
Cân bằng tải
Việc cân bằng tải của thuật toán băm tùy chọn có thể được thực hiện dựa trên đặc điểm của lớp trong và lớp ngoài L2-L4 để đảm bảo tính toàn vẹn của phiên dữ liệu được nhận bởi hệ thống.SPANthiết bị giám sát. Khi trạng thái liên kết thay đổi, các thành viên của nhóm cổng chuyển tải có thể linh hoạt rời khỏi (liên kết DOWN) hoặc tham gia (liên kết UP), và nhóm chuyển tải có thể tự động phân phối lại lưu lượng để đảm bảo cân bằng tải động của lưu lượng đầu ra của cổng.
Được gắn thẻ VLAN
VLAN không gắn thẻ
VLAN đã được thay thế
Hỗ trợ khớp bất kỳ trường khóa nào trong 128 byte đầu tiên của gói tin. Người dùng có thể tùy chỉnh giá trị bù, độ dài và nội dung trường khóa, đồng thời xác định chính sách đầu ra lưu lượng truy cập theo cấu hình của người dùng.
Ghi dấu thời gian
Được hỗ trợ cho Đồng bộ hóa máy chủ NTP để hiệu chỉnh thời gian và ghi thông báo vào gói dữ liệu dưới dạng thẻ thời gian tương đối có dấu thời gian ở cuối khung, với độ chính xác đến nano giây.
Bóc tách lớp bọc đường hầm
Hỗ trợ VxLAN, VLAN, GRE, GTP, MPLS, IPIP với phần tiêu đề được loại bỏ trong gói dữ liệu gốc và được chuyển tiếp đến đầu ra.
Phân chia dữ liệu/gói dữ liệu
Nó hỗ trợlát góiDữ liệu gốc được tạo dựa trên giao diện đầu vào và đầu ra lưu lượng truy cập cấp chính sách (64, 96, 128, 160, 192, 224, 256, 288, 320, 384, 512, 640, 768, 896, 960 byte là tùy chọn), và chính sách đầu ra lưu lượng truy cập có thể được thực hiện theo cấu hình của người dùng.
Xác định giao thức đường hầm
Hỗ trợ tự động nhận diện nhiều giao thức đường hầm khác nhau như GTP / GRE / VxLAN / PPTP / L2TP / PPPOE / IPIP. Tùy thuộc vào cấu hình của người dùng, chiến lược đầu ra lưu lượng có thể được thực hiện theo lớp bên trong hoặc bên ngoài của đường hầm.
Ưu tiên chuyển tiếp gói tin
Nó hỗ trợ việc xác định mức độ ưu tiên của các gói dữ liệu dựa trên tầm quan trọng của dịch vụ tại cổng đến, và các gói có độ ưu tiên cao sẽ được ưu tiên chuyển tiếp tại cổng ra. Sau khi các gói có độ ưu tiên cao được chuyển tiếp, các gói có độ ưu tiên trung bình và thấp hơn sẽ được chuyển tiếp tiếp. Điều này giúp tránh tình trạng hệ thống phân tích báo động do bỏ sót các gói dữ liệu quan trọng.
Báo động bất thường
Nó hỗ trợ cảnh báo giám sát thời gian thực và ghi lại lịch sử cảnh báo về xu hướng lưu lượng giao diện dựa trên cài đặt ngưỡng. Nó hỗ trợ cảnh báo giám sát thời gian thực và ghi lại lịch sử cảnh báo dựa trên tình trạng hoạt động của phần cứng thiết bị (CPU, bộ nhớ, nhiệt độ, quạt, nguồn điện, v.v.).
Giao diện sao lưu nóng
Thiết bị hỗ trợ cấu hình giao diện đầu vào 1+1 chính/dự phòng, cấu hình giao diện đầu ra 1+1 chính/dự phòng và cấu hình nhóm cân bằng tải N+1 chính/dự phòng để đạt được độ tin cậy cao trong quá trình truyền tải dữ liệu từ đầu vào đến đầu ra.
Đo lưu lượng truy cập đột biến
Nó có thể phát hiện thời gian xảy ra, thời lượng và tốc độ bùng nổ của lưu lượng truy cập vi mô trong thời gian thực, đồng thời cung cấp khả năng lưu trữ hồ sơ đo lường lịch sử, cung cấp phương tiện và cơ sở định lượng và quan sát được cho việc khắc phục sự cố vận hành và bảo trì cũng như phát hiện mất gói dữ liệu.
Bảo vệ dao động giao diện
Nó hỗ trợ phát hiện và bảo vệ các sự kiện dao động trạng thái kết nối/ngắt kết nối của bất kỳ giao diện nào, nhằm tránh mất lưu lượng đầu vào và đầu ra do việc kết nối/ngắt kết nối thường xuyên của các giao diện, đồng thời cải thiện tính ổn định của việc thu thập và chuyển tiếp lưu lượng.
Đầu ra đóng gói đường hầm
Nó hỗ trợ mã hóa đường hầm kiểu ERSPAN2, GRE, VXLAN, NVGRE cho bất kỳ lưu lượng truy cập nào được thu thập và xuất ra để đáp ứng các yêu cầu ứng dụng về truyền tải lưu lượng truy cập đã thu thập đến hệ thống phân tích từ xa.
Kết thúc gói tin đường hầm
Nó hỗ trợ chức năng kết thúc thông báo đường hầm. Chức năng này cho phép cấu hình địa chỉ IP/mặt nạ mạng và địa chỉ MAC tại cổng đầu vào lưu lượng. Nó cho phép truyền trực tiếp lưu lượng cần được thu thập trong mạng người dùng thông qua các phương thức đóng gói đường hầm như GRE, GTP và VXLAN đến cổng thu thập của thiết bị.
Giải mã SSL SPAN
Hỗ trợ tải giải mã chứng chỉ SSL tương ứng. Sau khi giải mã dữ liệu được mã hóa HTTPS cho lưu lượng truy cập được chỉ định, dữ liệu sẽ được chuyển tiếp đến các hệ thống giám sát và phân tích phía máy chủ theo yêu cầu. Hỗ trợ TLS1.0, TLS1.2 và SSL3.0.
Khử trùng lặp dữ liệu/gói dữ liệu
Hỗ trợ độ chi tiết thống kê dựa trên cổng hoặc cấp độ chính sách để so sánh dữ liệu từ nhiều nguồn thu thập và các gói dữ liệu giống nhau được lặp lại tại một thời điểm cụ thể. Người dùng có thể chọn các định danh gói khác nhau (dst.ip, src.port, dst.port, tcp.seq, tcp.ack, dst.mac, src.mac, vlan.id).
Che giấu ngày tháng phân loại
Hỗ trợ độ chi tiết dựa trên chính sách để thay thế bất kỳ trường khóa nào trong dữ liệu thô nhằm mục đích bảo vệ thông tin nhạy cảm. Chính sách đầu ra lưu lượng truy cập có thể được thực hiện theo cấu hình của người dùng.
Nhận dạng giao thức lớp APP
Nó hỗ trợ nhận dạng, xuất và loại bỏ các giao thức lớp ứng dụng dựa trên chế độ khớp DNS/URL. Thư viện tính năng DPI có thể được tích hợp để nhận dạng, xuất và loại bỏ không dưới 1800 loại tính năng giao thức ứng dụng (như âm thanh và video, trò chơi, nhắn tin tức thời, cơ sở dữ liệu, email, P2P, v.v.), và thư viện tính năng DPI có thể được nâng cấp và cập nhật. Nếu có nhu cầu đặc biệt, việc phát triển thứ cấp cũng có thể được thực hiện.
Giải mã gói tin do người dùng định nghĩa
Nó hỗ trợ chức năng giải mã gói tin tự định nghĩa, có thể loại bỏ các trường và nội dung đóng gói tại bất kỳ vị trí nào trong 128 byte đầu tiên của gói tin và xuất ra.
Điều chỉnh lưu lượng giao thông
Đồng thời, công nghệ định hình lưu lượng được sử dụng trong giao diện đầu ra để xuất luồng dữ liệu một cách mượt mà đến công cụ phân tích, về cơ bản giải quyết hiện tượng mất gói do các xung đột nhỏ và tránh cảnh báo bất thường do mất lưu lượng trong hệ thống phân tích.
Đối sánh từ khóa gói tin
Sau khi nội dung của bất kỳ trường nào trong phần dữ liệu của gói tin được khớp và tìm thấy, gói tin hoặc luồng phiên liên quan sẽ được chuyển tiếp và xuất ra hoặc loại bỏ để đáp ứng các yêu cầu xử lý trước của dữ liệu lưu lượng cụ thể.
Bóc tách lớp bọc đường hầm
Nó hỗ trợ xuất ra các tiêu đề gói VXLAN, MPLS, GRE, SRV6, FABRICPATCH, GENEVE và các tiêu đề khác trong gói dữ liệu gốc sau khi loại bỏ.
Giảm tải kết nối kéo dài
Theo nhu cầu của người dùng, bất kỳ luồng phiên nào cũng có thể được chuyển tiếp và xuất ra dựa trên số byte đã truyền và số gói đã truyền, và luồng phiên tiếp theo có thể bị loại bỏ, nhằm đáp ứng yêu cầu của hệ thống phân tích phía máy chủ trong một số trường hợp cụ thể, chỉ cần thu thập một phần lưu lượng của luồng phiên, giảm áp lực phân tích lưu lượng và nâng cao hiệu quả của hệ thống phân tích.
Phân tích thống kê giao thông
Phần mềm hỗ trợ thống kê các thành phần của lưu lượng truy cập giao diện đầu vào bất kỳ, và có thể hiển thị quy mô xu hướng lưu lượng, quy mô/tỷ lệ TOPN của địa chỉ IP, quy mô/tỷ lệ TOPN của loại giao thức ứng dụng, quy mô/tỷ lệ TOPN của tên giao thức ứng dụng và thông tin phiên lưu lượng dưới dạng biểu đồ theo thời gian thực, đồng thời cung cấp khả năng xuất kết quả thống kê ra các tệp cục bộ. Nhờ đó, người dùng có thể nắm bắt rõ hơn cấu trúc thành phần của bất kỳ lưu lượng truy cập nào được thu thập, và cung cấp cơ sở hỗ trợ dữ liệu trực tiếp nhất để tùy chỉnh chiến lược lưu lượng và đáp ứng các yêu cầu kinh doanh thay đổi.
Khả năng quan sát giao thông - Phân tích dữ liệu cơ bản
Mô-đun phân tích cơ bản của chức năng phát hiện trực quan lưu lượng có thể hiển thị thông tin cơ bản của dữ liệu lưu lượng mục tiêu đã thu thập, chẳng hạn như số lượng gói tin, phân bố gói tin đơn hướng/đa hướng/phát sóng, số lượng kết nối phiên, phân bố giao thức gói tin và kích thước lưu lượng đã thu thập.
Khả năng hiển thị lưu lượng giao thông - Phân tích chuyên sâu DPI
Mô-đun phân tích chuyên sâu DPI của chức năng phát hiện lưu lượng giao thông có thể tiến hành phân tích chuyên sâu dữ liệu giao thông mục tiêu thu được từ nhiều góc độ và trình bày số liệu thống kê chi tiết dưới dạng biểu đồ và bảng.
Khả năng quan sát giao thông - Phân tích tỷ lệ giao thông
● Phân tích tỷ lệ giao thức lớp vận chuyển: chẳng hạn như TCP, UDP, ICMP, IGMP, ARP và các giao thức khác, thống kê lưu lượng và hiển thị biểu đồ hình tròn.
● Phân tích tỷ lệ lưu lượng IP: chẳng hạn như thống kê lưu lượng được tạo ra bởi các địa chỉ IP khác nhau, xếp hạng lưu lượng dựa trên IP (TOP N) và hiển thị biểu đồ cột.
● Phân tích tỷ lệ ứng dụng DPI: hiển thị số byte, phân bố thống kê lưu lượng truyền thông và biểu đồ hình tròn, ví dụ như HTTP, QQ, FTP và các giao thức ứng dụng khác.
Khả năng quan sát giao thông - Phân tích dòng thời gian giao thông
Dựa trên các điều kiện lọc khác nhau, chẳng hạn như địa chỉ IP, cổng, giao thức lớp vận chuyển, giao thức lớp ứng dụng và các nội dung được chỉ định khác, dữ liệu lưu lượng truy cập mục tiêu hiện tại có thể được phân tích và trình bày dựa trên thời gian lấy mẫu, và kích thước cũng như xu hướng lưu lượng có thể được truy vấn bằng cách di chuyển thanh trượt thời gian và điều chỉnh tỷ lệ chi tiết thống kê, với độ chính xác có thể đạt tới 1 mili giây.
Khả năng quan sát giao thông – Phân tích lưu lượng
Dựa trên các điều kiện lọc khác nhau, chẳng hạn như ID luồng, IP, cổng, giao thức lớp vận chuyển, giao thức lớp ứng dụng và các nội dung được chỉ định khác, dữ liệu lưu lượng truy cập mục tiêu hiện tại được thu thập có thể được phân tích và đếm dựa trên chế độ luồng phiên, tức là trình bày chi tiết thông tin luồng phiên, bao gồm thông tin năm thành phần của mỗi luồng, loại ứng dụng mang theo, số lượng và dung lượng byte truyền gói, và luồng dữ liệu liên quan. Và có một màn hình hiển thị xếp hạng dựa trên các thông tin trên. Dựa trên thông tin này, người dùng có thể dễ dàng chọn các loại lưu lượng truy cập mà họ quan tâm, cung cấp cơ sở trực tiếp nhất để người dùng xây dựng các chính sách chuyển tiếp lưu lượng.
Khả năng hiển thị lưu lượng – Phân tích gói tin
Dựa trên các tiêu chí lọc khác nhau, chẳng hạn như ID gói tin, địa chỉ IP, cổng, giao thức lớp vận chuyển, giao thức lớp ứng dụng và các nội dung được chỉ định khác, dữ liệu lưu lượng mục tiêu thu được có thể được cung cấp dưới dạng phân tích chi tiết từng gói tin, bao gồm:
● Phân tích dấu thời gian thu thập gói tin
● Phân tích thông tin gói tin quan trọng, chẳng hạn như sip, dip, smac, dmac, giao thức, cờ, TTL, độ dài tin nhắn, các sự kiện quan trọng.
● Phân tích đường truyền gói tin và hiển thị hoạt ảnh, ví dụ: số lần chuyển tiếp, độ trễ chuyển tiếp, loại chuyển tiếp (định tuyến, chuyển mạch, tường lửa, cân bằng tải, NAT)
● Tóm tắt thông tin gói tin và hiển thị cấu trúc chi tiết
● Phân tích số lượng gói tin được thu thập lặp lại
Tầm nhìn giao thông – Phân tích lỗi chính xác
Mô-đun phân tích lỗi của chức năng phát hiện tầm nhìn giao thông có thể cung cấp các vị trí phân tích lỗi trực quan khác nhau cho dữ liệu giao thông mục tiêu đã thu thập, bao gồm:
● Tổng quan về các bất thường, chẳng hạn như: kết quả phân tích dịch vụ mạng, kết quả phân tích sự kiện bất thường, phân tích hành vi dựa trên quy trình mạng (như số lượng thiết bị định tuyến, thiết bị NAT, thiết bị tường lửa, thiết bị cân bằng tải đi qua quá trình truyền gói tin).
● Phân tích lỗi ở cấp độ bảng luồng, chẳng hạn như các loại sự kiện bất thường (kết nối bị từ chối/kết nối không phản hồi/kết nối không truyền dữ liệu/kết nối bán mở/không thể truy cập tuyến phiên, v.v.), ● Phân tích lỗi ở cấp độ gói tin, chẳng hạn như: loại sự kiện bất thường (lỗi kiểm tra tổng gói tin/TTL 0/lỗi không thể truy cập/lỗi kiểm tra tổng FCS, v.v.), mô tả chi tiết thông tin bất thường và chi tiết luồng dữ liệu liên quan.
● Phân tích lỗi bảo mật, chẳng hạn như: loại sự kiện bất thường (tấn công DDOS/chặn tường lửa/tấn công ARP/tấn công tràn UDP/tấn công tràn SYN, v.v.), mô tả chi tiết thông tin bất thường và chi tiết luồng dữ liệu liên quan.
● Phân tích lỗi mạng, ví dụ: loại sự kiện bất thường (vòng lặp chuyển mạch/vòng lặp định tuyến/đường dẫn không thể truy cập/gián đoạn liên kết, v.v.), mô tả chi tiết thông tin bất thường và chi tiết luồng dữ liệu liên quan.
5-Thông số kỹ thuật của bộ điều phối gói mạng Mylinking™ kèm bộ chuyển mạch bỏ qua nội tuyến
| ML-NPB-M2000 Bộ điều phối gói mạng Mylinking™ cộng với bộ chuyển mạch bỏ qua nội tuyến Thông số kỹ thuật chức năng | ||||
| Giao diện mạng | Khe cắm mô-đun | 4 khe cắm mô-đun BYPASS hoặc MONITOR | ||
| Số lượng liên kết nội tuyến | Hỗ trợ bảo vệ tối đa 16 liên kết quang 1G/10G hoặc 8 liên kết quang 40G/100G. | |||
| Giao diện giám sát màn hình | Hỗ trợ tối đa 64 giao diện giám sát 1G/10GE hoặc 16 giao diện giám sát 40G/100G. | |||
| Giao diện quản lý ngoài băng tần | 1 cổng Ethernet 10/100/1000M; | |||
| Chế độ triển khai | Triển khai nội tuyến | Ủng hộ | ||
| Triển khai SPAN | Ủng hộ | |||
| Chức năng hệ thống | Chế độ triển khai nội tuyến | Bảo vệ nối tiếp dòng chảy cụ thể | Ủng hộ | |
| Bảo vệ toàn bộ dòng chảy | Ủng hộ | |||
| Cân bằng tải | Ủng hộ | |||
| Phát hiện nhịp tim | Ủng hộ | |||
| Chuyển mạch BYPASS | Ủng hộ | |||
| Chặn giao thông | Ủng hộ | |||
| Phản chiếu lưu lượng giao thông | Ủng hộ | |||
| Máy chủ proxy SSL | Ủng hộ | |||
| Chế độ triển khai SPAN | Xử lý lưu lượng cơ bản | Sao chép/tổng hợp/phân phối lưu lượng truy cập | Ủng hộ | |
| Cân bằng tải | Ủng hộ | |||
| Lọc lưu lượng truy cập dựa trên bộ năm thông tin định danh (5-tuple) gồm địa chỉ IP/giao thức/cổng. | Ủng hộ | |||
| Gắn thẻ/sửa đổi/xóa VLAN | Ủng hộ | |||
| Ghi dấu thời gian | Ủng hộ | |||
| bóc tách lớp vỏ bọc đường hầm | Ủng hộ | |||
| Phân tích dữ liệu | Ủng hộ | |||
| Nhận dạng giao thức đường hầm | Ủng hộ | |||
| Ưu tiên chuyển tiếp gói tin | Ủng hộ | |||
| Cảnh báo bất thường | Ủng hộ | |||
| Chế độ chờ nóng giao diện | Ủng hộ | |||
| Đo lường xung vi mô | Ủng hộ | |||
| bảo vệ dao động giao diện | Ủng hộ | |||
| Đầu ra đóng gói đường hầm | Ủng hộ | |||
| Kết thúc gói đường hầm | Ủng hộ | |||
| Xử lý lưu lượng truy cập nâng cao | Vượt qua quá trình giải mã SSL | Ủng hộ | ||
| Khử trùng lặp dữ liệu | Ủng hộ | |||
| Che giấu dữ liệu | Ủng hộ | |||
| Nhận dạng giao thức lớp ứng dụng | Ủng hộ | |||
| Bóc vỏ theo yêu cầu | Ủng hộ | |||
| Định hình dòng chảy | Ủng hộ | |||
| Đối sánh từ khóa | Ủng hộ | |||
| bóc tách lớp vỏ bọc đường hầm | Ủng hộ | |||
| Giải phóng kết nối tồn tại lâu dài | Ủng hộ | |||
| Quan sát thành phần dòng chảy | Ủng hộ | |||
| Chẩn đoán và theo dõi | Giám sát thời gian thực | Ủng hộ | ||
| Truy vấn lưu lượng truy cập lịch sử | Ủng hộ | |||
| Thu thập lưu lượng giao thông | Ủng hộ | |||
| phát hiện trực quan hóa giao thông | Phân tích cơ bản | Hỗ trợ hiển thị thống kê tóm tắt dựa trên các thông tin cơ bản như số lượng gói tin, phân bố loại gói tin, số lượng kết nối phiên và phân bố giao thức gói tin. | ||
| Phân tích chuyên sâu DPI | Nó hỗ trợ phân tích tỷ lệ các giao thức lớp vận chuyển, tỷ lệ unicast, broadcast và multicast, tỷ lệ lưu lượng IP và tỷ lệ các ứng dụng DPI. Nó hỗ trợ phân tích và trình bày nội dung dữ liệu dựa trên thời gian lấy mẫu và khối lượng dữ liệu. Nó hỗ trợ phân tích dữ liệu và thống kê dựa trên luồng phiên. | |||
| Phân tích lỗi chính xác | Hỗ trợ phân tích và định vị lỗi bằng cách sử dụng dữ liệu lưu lượng từ nhiều góc độ khác nhau, bao gồm: phân tích hành vi truyền gói tin, phân tích lỗi ở cấp độ luồng dữ liệu, phân tích lỗi ở cấp độ gói dữ liệu, phân tích lỗi liên quan đến bảo mật và phân tích lỗi liên quan đến mạng. | |||
| Khả năng xử lý | 2,4 Tbps | |||
| Quản lý | Quản lý mạng CONSOLE | Ủng hộ | ||
| Quản lý mạng IP/WEB | Ủng hộ | |||
| Quản lý mạng SNMP | Ủng hộ | |||
| Quản lý mạng TELNET/SSH | Ủng hộ | |||
| Giao thức SYSLOG | Ủng hộ | |||
| Xác thực ủy quyền tập trung RADIUS hoặc TADACS+ | Ủng hộ | |||
| Chức năng xác thực người dùng | Xác thực bằng tên người dùng và mật khẩu | |||
| Điện | Điện áp nguồn định mức | AC-220V/DC-48V [Tùy chọn] | ||
| Tần số công suất định mức | AC-50HZ | |||
| Dòng điện đầu vào định mức | AC-3A / DC-10A | |||
| Công suất hoạt động định mức | Công suất tối đa 300W | |||
| Môi trường | Nhiệt độ hoạt động | 0-50℃ | ||
| Nhiệt độ bảo quản | -20-70℃ | |||
| Độ ẩm hoạt động | 10%-95%, không ngưng tụ | |||
| Cấu hình người dùng | Cấu hình bảng điều khiển | Giao diện RS232, 115200, 8, N, 1 | ||
| Xác thực mật khẩu | Shỗ trợ | |||
| Kích thước giá đỡ | Không gian giá đỡ (U) | 2U 444mm*88mm*670mm | ||
6-Ứng dụng Mylinking™ Network Packet Broker cộng với Inline Bypass Switch
6.1CáiRrủi ro củaInline San ninhEthiết bị (IPS / FW)
Sau đây là một ví dụ điển hình về chế độ triển khai IPS (Hệ thống ngăn chặn xâm nhập) và FW (Tường lửa): IPS/FW được triển khai nối tiếp trên các thiết bị mạng (bộ định tuyến, bộ chuyển mạch, v.v.) để thực hiện kiểm tra an ninh giữa các lưu lượng truy cập, dựa trên chính sách an ninh tương ứng để xác định việc cho phép hoặc chặn lưu lượng truy cập đó, nhằm đạt được hiệu quả bảo vệ an ninh.
Sau đây là một ví dụ điển hình về chế độ triển khai IPS (Hệ thống ngăn chặn xâm nhập) và FW (Tường lửa): IPS/FW được triển khai nối tiếp trên các thiết bị mạng (bộ định tuyến, bộ chuyển mạch, v.v.) để thực hiện kiểm tra an ninh giữa các lưu lượng truy cập, dựa trên chính sách an ninh tương ứng để xác định việc cho phép hoặc chặn lưu lượng truy cập đó, nhằm đạt được hiệu quả bảo vệ an ninh.
6.2 Bảo vệ thiết bị dòng Inline Link
Bộ điều phối gói mạng Mylinking™ kết hợp với bộ chuyển mạch bỏ qua nội tuyến được triển khai nối tiếp giữa các thiết bị mạng (bộ định tuyến, bộ chuyển mạch, v.v.), và luồng dữ liệu giữa các thiết bị mạng không còn dẫn trực tiếp đến IPS/FW nữa. Khi IPS/FW gặp sự cố do quá tải, treo máy, cập nhật phần mềm, cập nhật chính sách hoặc các điều kiện khác, "Bộ chuyển mạch bỏ qua nội tuyến thông minh" sẽ phát hiện kịp thời lỗi thông qua chức năng phát hiện thông báo nhịp tim thông minh, từ đó bỏ qua thiết bị bị lỗi mà không làm gián đoạn mạng, nhanh chóng kết nối trực tiếp với thiết bị mạng để bảo vệ mạng truyền thông bình thường; khi IPS/FW bị lỗi và phục hồi, nó cũng thông qua chức năng phát hiện gói nhịp tim thông minh để kịp thời phát hiện, khôi phục lại kết nối ban đầu và đảm bảo an ninh mạng doanh nghiệp.
Bộ điều khiển gói mạng Mylinking™ tích hợp chức năng chuyển mạch bỏ qua nội tuyến có tính năng phát hiện thông báo nhịp tim thông minh mạnh mẽ. Người dùng có thể tùy chỉnh khoảng thời gian nhịp tim và số lần thử lại tối đa, thông qua một thông báo nhịp tim tùy chỉnh trên IPS/FW để kiểm tra tình trạng hoạt động. Ví dụ: gửi thông báo kiểm tra nhịp tim đến cổng thượng nguồn/hạ nguồn của IPS/FW, sau đó nhận từ cổng thượng nguồn/hạ nguồn của IPS/FW, và đánh giá xem IPS/FW có hoạt động bình thường hay không bằng cách gửi và nhận thông báo nhịp tim.
6.3 Luồng chính sách “SpecFlow” nội tuyếnBảo vệBảo vệ hàng loạt
Khi thiết bị mạng bảo mật chỉ cần xử lý lưu lượng cụ thể trong chuỗi bảo vệ an ninh, thông qua bộ môi giới gói mạng Mylinking™ kết hợp với chức năng xử lý lưu lượng theo từng bước của bộ chuyển mạch bỏ qua nội tuyến, thông qua chính sách sàng lọc lưu lượng để kết nối với thiết bị an ninh nội tuyến, lưu lượng "quan tâm" sẽ được gửi trực tiếp trở lại liên kết mạng, và "phần lưu lượng quan tâm" sẽ được kéo đến thiết bị an toàn nội tuyến để thực hiện kiểm tra an toàn. Điều này không chỉ duy trì hoạt động bình thường của chức năng phát hiện an toàn của thiết bị an toàn mà còn giảm áp lực xử lý lưu lượng không hiệu quả của thiết bị an toàn; đồng thời, "Bộ chuyển mạch bỏ qua nội tuyến thông minh" có thể phát hiện tình trạng hoạt động của thiết bị an toàn trong thời gian thực. Nếu thiết bị an toàn hoạt động bất thường, nó sẽ trực tiếp bỏ qua lưu lượng dữ liệu để tránh gián đoạn dịch vụ mạng.
Bộ điều phối gói mạng Mylinking™ kết hợp với bộ chuyển mạch bỏ qua nội tuyến có thể xác định lưu lượng dựa trên định danh tiêu đề lớp L2-L4, chẳng hạn như thẻ VLAN, địa chỉ MAC nguồn/đích, địa chỉ IP nguồn, loại gói IP, cổng giao thức lớp vận chuyển, thẻ khóa tiêu đề giao thức, v.v. Có thể định nghĩa linh hoạt nhiều điều kiện khớp kết hợp khác nhau để xác định các loại lưu lượng cụ thể mà thiết bị bảo mật quan tâm và có thể được sử dụng rộng rãi để triển khai các thiết bị kiểm toán bảo mật đặc biệt (RDP, SSH, kiểm toán cơ sở dữ liệu, v.v.).
6.4Ltải cân bằngBảo mật nội tuyếnBảo vệ hàng loạt
Bộ điều phối gói mạng Mylinking™ kết hợp với bộ chuyển mạch bỏ qua nội tuyến được triển khai nối tiếp giữa các thiết bị mạng (bộ định tuyến, bộ chuyển mạch, v.v.). Khi hiệu năng xử lý của một IPS/FW đơn lẻ không đủ để đáp ứng lưu lượng truy cập cao điểm của liên kết mạng, chức năng cân bằng tải lưu lượng của bộ bảo vệ, việc "gộp" nhiều cụm IPS/FW xử lý lưu lượng liên kết mạng, có thể giảm thiểu hiệu quả áp lực xử lý của từng IPS/FW, cải thiện hiệu năng xử lý tổng thể để đáp ứng yêu cầu băng thông cao của môi trường triển khai.
Bộ điều phối gói mạng Mylinking™ tích hợp với bộ chuyển mạch bỏ qua nội tuyến có chức năng cân bằng tải mạnh mẽ, dựa trên thẻ VLAN của khung dữ liệu, thông tin MAC, thông tin IP, số cổng, giao thức và các thông tin khác để phân phối lưu lượng cân bằng tải bằng hàm băm, đảm bảo tính toàn vẹn của luồng dữ liệu mà mỗi IPS/FW nhận được.
60,5Nhiều dòngThiết bị lắp đặt FthấpTphản ứngPbảo vệ(Thay đổiThuộc vật chấtKết nối nối tiếp vớiHợp lý(Kết nối song song)
Tại một số liên kết quan trọng (như các điểm truy cập Internet, liên kết trao đổi khu vực máy chủ), vị trí đặt thường do nhu cầu về các tính năng bảo mật và việc triển khai nhiều thiết bị kiểm tra bảo mật nội tuyến (như tường lửa, thiết bị chống tấn công DDoS, tường lửa ứng dụng WEB, thiết bị ngăn chặn xâm nhập, v.v.), việc đặt đồng thời nhiều thiết bị phát hiện bảo mật nối tiếp trên liên kết sẽ làm tăng điểm lỗi đơn lẻ trên liên kết, làm giảm độ tin cậy tổng thể của mạng. Và trong quá trình triển khai trực tuyến các thiết bị bảo mật nêu trên, việc nâng cấp thiết bị, thay thế thiết bị và các hoạt động khác sẽ gây ra gián đoạn dịch vụ mạng trong thời gian dài và đòi hỏi chi phí cắt giảm dự án lớn hơn để hoàn thành việc thực hiện thành công các dự án đó.
Bằng cách triển khai đồng bộ bộ điều phối gói mạng Mylinking™ và bộ chuyển mạch bỏ qua nội tuyến, chế độ triển khai của nhiều thiết bị bảo mật được kết nối nối tiếp trên cùng một liên kết có thể được thay đổi từ "Chế độ kết nối nối tiếp vật lý" sang "Chế độ kết nối song song vật lý nhưng kết nối nối tiếp logic". Điều này giúp giảm thiểu hiệu quả các nguồn lỗi điểm đơn trên liên kết nối tiếp và cải thiện độ tin cậy của liên kết. Đồng thời, bộ điều phối gói mạng Mylinking™ và bộ chuyển mạch bỏ qua nội tuyến có thể điều hướng lưu lượng liên kết theo yêu cầu, đạt được hiệu quả xử lý bảo mật lưu lượng tương tự như chế độ kết nối nối tiếp ban đầu.
Sơ đồ triển khai nhiều thiết bị Inline Security cùng lúc theo kiểu nối tiếp:
Sơ đồ triển khai bộ điều phối gói mạng Mylinking™ kết hợp với bộ chuyển mạch bỏ qua nội tuyến:
(Chuyển kết nối nối tiếp vật lý thành kết nối song song logic)
6.6Dựa trênDChính sách năng động củaTlưu lượng truy cập InlineSan ninhDsự bảo vệPbảo vệ
Bộ điều phối gói mạng Mylinking™ kết hợp với bộ chuyển mạch bỏ qua nội tuyến, một kịch bản ứng dụng nâng cao khác dựa trên chính sách động về bảo vệ phát hiện an ninh lưu lượng truy cập, cách triển khai như hình dưới đây:
Ví dụ, hãy xem xét thiết bị kiểm thử bảo mật "Chống và phát hiện tấn công DDoS". Thông qua việc triển khai "Bộ chuyển mạch bỏ qua thông minh" ở phía trước, thiết bị chống DDoS được kết nối với "Bộ chuyển mạch bỏ qua thông minh". Trong "Bộ chuyển mạch bỏ qua thông minh", toàn bộ lưu lượng truy cập được chuyển tiếp với tốc độ đường truyền tối đa, đồng thời xuất tín hiệu phản chiếu đến "Thiết bị chống tấn công DDoS". Khi phát hiện thấy một địa chỉ IP máy chủ (hoặc phân đoạn mạng IP) bị tấn công, "Thiết bị chống tấn công DDoS" sẽ tạo ra các quy tắc khớp luồng lưu lượng mục tiêu và gửi chúng đến "Bộ chuyển mạch bỏ qua thông minh" thông qua giao diện phân phối chính sách động. "Bộ chuyển mạch bỏ qua" có thể cập nhật "lưu lượng truy cập động" sau khi nhận được "kho quy tắc" và ngay lập tức "kéo lưu lượng truy cập máy chủ bị tấn công" đến "thiết bị chống và phát hiện tấn công DDoS" để xử lý, nhằm ngăn chặn hiệu quả luồng tấn công và sau đó đưa trở lại mạng.
Phương án ứng dụng dựa trên "Bộ chuyển mạch bỏ qua thông minh" dễ thực hiện hơn so với phương án chèn tuyến BGP truyền thống hoặc các phương án điều khiển lưu lượng khác, đồng thời môi trường ít phụ thuộc vào mạng và độ tin cậy cao hơn.
"Công tắc chuyển mạch thông minh" có các đặc điểm sau để hỗ trợ bảo vệ phát hiện an ninh chính sách động:
1. "Công tắc bỏ qua thông minh" cung cấp các quy tắc bên ngoài dựa trên giao diện WEBSERVICE, dễ dàng tích hợp với các thiết bị an ninh của bên thứ ba.
2. "Bộ chuyển mạch bỏ qua thông minh" dựa trên chip ASIC phần cứng thuần túy, chuyển tiếp các gói dữ liệu tốc độ cao lên đến 100Gbps mà không làm tắc nghẽn quá trình chuyển mạch, và "thư viện quy tắc động điều khiển lưu lượng" bất kể số lượng.
3. "Công tắc bỏ qua thông minh" tích hợp chức năng bỏ qua chuyên nghiệp, ngay cả khi bản thân thiết bị bảo vệ bị lỗi, vẫn có thể ngay lập tức bỏ qua liên kết nối tiếp ban đầu mà không ảnh hưởng đến hoạt động giao tiếp bình thường của liên kết ban đầu.
6.7Phản chiếu lưu lượng truy cập nối tiếp nội tuyếnDành cho bảo mật ngoài băng tần (Nội tuyến + SPAN)
Bộ điều phối gói mạng Mylinking™ kèm theo bộ chuyển mạch bỏ qua nội tuyến thường được triển khai trong mạng CNTT hoặc mạng nền tảng đám mây của khách hàng để cung cấp khả năng bảo vệ nội tuyến cho các thiết bị WAF/IPS và liên kết gốc. Người dùng cũng có thể có các yêu cầu bổ sung về thử nghiệm, xác minh hoặc triển khai các thiết bị giám sát bỏ qua, đòi hỏi phải thu thập dữ liệu lưu lượng trên liên kết này.
Do đó, bằng cách sử dụng chức năng phản chiếu lưu lượng của bộ môi giới gói mạng Mylinking™ kết hợp với bộ chuyển mạch bỏ qua nội tuyến, lưu lượng của liên kết nối tiếp nội tuyến có thể được phản chiếu từ cổng giám sát, như thể hiện trong hình sau:
Sơ đồ bên dưới minh họa một kịch bản ứng dụng mở rộng của lưu lượng liên kết nội tuyến và lưu lượng cổng phản chiếu của bộ chuyển mạch. Điều này cho phép bảo vệ lưu lượng liên kết nội tuyến mà không bị ảnh hưởng bởi lưu lượng cổng phản chiếu của bộ chuyển mạch. Hệ thống phân tích IDS có thể đồng thời thu thập cả lưu lượng liên kết nội tuyến và lưu lượng cổng phản chiếu của bộ chuyển mạch. Phương pháp triển khai được thể hiện trong sơ đồ bên dưới:
6.8Khử trùng lặp dữ liệu/gói dữ liệuỨng dụng
Như thể hiện trong cấu trúc triển khai ứng dụng ở trên, để đảm bảo tính toàn vẹn của việc thu thập dữ liệu gốc dọc theo toàn bộ liên kết, một số gói dữ liệu giống hệt nhau có thể được thu thập nhiều lần trong cùng một đường dẫn. Điều này dẫn đến gia tăng các cảnh báo sai và việc truyền lại trong hệ thống phụ trợ, làm tăng gánh nặng hiệu năng của hệ thống phân tích và ảnh hưởng đến độ chính xác và hiệu quả của việc phân tích. Dựa trên giải pháp này, trước tiên, các gói dữ liệu trùng lặp được loại bỏ trùng lặp tại các nút thu thập khác nhau. Chỉ một gói dữ liệu được chuyển tiếp đến hệ thống phân tích hiệu năng mạng NPM và hệ thống phân tích hiệu năng ứng dụng APM ở phía máy chủ, nhờ đó tiết kiệm hiệu năng của hệ thống phân tích và nâng cao hiệu quả cũng như độ chính xác của việc phân tích.
6.9Dữ liệu/GóiThẻ VLANingỨng dụng
Trong môi trường mạng được thể hiện trong sơ đồ trên, giải pháp này được sử dụng để gắn nhãn dữ liệu thô từ các thiết bị mạng và các nút liên kết khác nhau. Khi lưu lượng truy cập hoặc gói dữ liệu bất thường xảy ra trong mạng, thiết bị phân tích phía máy chủ có thể nhanh chóng và chính xác xác định vị trí nguồn gốc của dữ liệu bất thường bằng cách truy vết dựa trên các nhãn dữ liệu.
6.10 Lưu lượng mạngLịch trình thống nhấtỨng dụng
Trong môi trường mạng được thể hiện trong sơ đồ trên, nhiều dữ liệu liên kết nguồn 10GE, 25GE, 40GE và 100GE được nhập đầy đủ vào bộ xử lý gói mạng Mylinking™ Network Packet Broker cộng với bộ chuyển mạch Inline Bypass Switch bằng cách sử dụng phân tách quang học hoặc phản chiếu cổng. Sau đó, việc lọc và phân tách lưu lượng được sử dụng để xuất các lưu lượng dữ liệu dịch vụ khác nhau đến các thiết bị giám sát mạng ngoài băng tần và hệ thống bảo mật phía sau. Khi các bất thường về gói mạng hoặc biến động lưu lượng bất thường yêu cầu can thiệp thủ công, việc thu thập và phân tích gói dữ liệu gốc theo thời gian thực có thể được thực hiện ngay lập tức để giúp người dùng nhanh chóng phân tích và xác định vị trí lỗi.
6.11MạngPhân tích khả năng hiển thị dữ liệu giao thôngỨng dụng
Nó có thể trình bày mọi dữ liệu được phát hiện và thu thập theo nhiều chiều và nhiều góc nhìn thông qua giao diện tương tác đồ họa và văn bản thân thiện với người dùng, bao gồm cấu trúc thành phần lưu lượng, phân phối giao thức ứng dụng, phân phối lưu lượng của tất cả các nút mạng, đường dẫn truyền dữ liệu, phát hiện sự kiện bất thường, vị trí chính xác của lỗi phần tử/liên kết mạng, trạng thái tương tác thông báo, xu hướng phát triển lưu lượng và các khía cạnh khác để giám sát và phân tích, nhằm thiết lập một nền tảng thu thập dữ liệu và bảo mật tổng thể toàn diện, trực quan và có thể kiểm soát được cho mạng doanh nghiệp.
Danh mục sản phẩm
-
Bộ điều phối gói mạng Mylinking™ (NPB) ML-NPB-4810P
-
Bộ điều phối gói mạng Mylinking™ (NPB) ML-NPB-54...
-
Bộ điều phối gói mạng Mylinking™ (NPB) ML-NPB-3210+
-
Bộ điều phối gói mạng Mylinking™ (NPB) ML-NPB-6410+
-
Bộ điều phối gói mạng Mylinking™ (NPB) ML-NPB-3210L
-
Bộ điều phối gói mạng Mylinking™ (NPB) ML-NPB-2410
