Công tắc bỏ qua mạng Mylinking™ ML-BYPASS-200
Thiết kế mô-đun 2*Bypass cộng với 1*Màn hình, Liên kết 10/40/100GE, Tối đa 640Gbps
1-Tổng quan
Bằng cách triển khai Công tắc bỏ qua thông minh Mylinking™:
- Người dùng có thể linh hoạt cài đặt/gỡ bỏ thiết bị an ninh mà không ảnh hưởng đến mạng hiện tại và không làm gián đoạn;
- Công tắc bỏ qua Mylinking™ Network Tap với chức năng phát hiện tình trạng hoạt động thông minh để theo dõi thời gian thực trạng thái hoạt động bình thường của thiết bị bảo mật nối tiếp, khi thiết bị bảo mật nối tiếp hoạt động ngoại lệ, chế độ bảo vệ sẽ tự động bỏ qua để duy trì liên lạc mạng bình thường;
- Công nghệ bảo vệ giao thông chọn lọc có thể được sử dụng để triển khai thiết bị bảo mật làm sạch giao thông cụ thể, công nghệ mã hóa dựa trên thiết bị kiểm toán. Thực hiện hiệu quả bảo vệ truy cập tuần tự cho loại giao thông cụ thể, dỡ bỏ áp suất xử lý lưu lượng của thiết bị tuần tự;
- Công nghệ Bảo vệ lưu lượng cân bằng tải có thể được sử dụng để triển khai theo cụm các thiết bị nối tiếp an toàn nhằm đáp ứng nhu cầu bảo mật nối tiếp trong môi trường băng thông cao.
Với sự phát triển nhanh chóng của Internet, mối đe dọa về an ninh thông tin mạng ngày càng trở nên nghiêm trọng hơn, vì vậy nhiều ứng dụng bảo vệ an ninh thông tin được sử dụng ngày càng rộng rãi. Cho dù đó là thiết bị kiểm soát truy cập truyền thống (tường lửa) hay một loại phương tiện bảo vệ tiên tiến hơn mới như hệ thống ngăn chặn xâm nhập (IPS), nền tảng quản lý mối đe dọa thống nhất (UTM), hệ thống chống tấn công từ chối dịch vụ (Anti-DDoS), Cổng chống tràn, Hệ thống nhận dạng và kiểm soát lưu lượng DPI thống nhất và nhiều thiết bị bảo mật được triển khai theo chuỗi trong các nút chính của mạng, việc thực hiện chính sách bảo mật dữ liệu tương ứng để xác định và xử lý lưu lượng hợp pháp / bất hợp pháp. Tuy nhiên, đồng thời, mạng máy tính sẽ tạo ra độ trễ mạng lớn hoặc thậm chí là gián đoạn mạng trong trường hợp chuyển đổi dự phòng, bảo trì, nâng cấp, thay thế thiết bị, v.v. trong môi trường ứng dụng mạng sản xuất có độ tin cậy cao, người dùng không thể chịu đựng được.
2-Network Tap Bypass Switch Tính năng và công nghệ tiên tiến
Công nghệ chế độ bảo vệ “SpecFlow” và chế độ bảo vệ “FullLink” của Mylinking™
Công nghệ bảo vệ chuyển mạch bỏ qua nhanh Mylinking™
Công nghệ Mylinking™ “LinkSafeSwitch”
Công nghệ chuyển tiếp/phát hành chiến lược động Mylinking™ “WebService”
Công nghệ phát hiện tin nhắn nhịp tim thông minh Mylinking™
Công nghệ tin nhắn nhịp tim có thể xác định Mylinking™
Công nghệ cân bằng tải đa liên kết Mylinking™
Công nghệ phân phối giao thông thông minh Mylinking™
Công nghệ cân bằng tải động Mylinking™
Công nghệ quản lý từ xa Mylinking™ (HTTP/WEB, TELNET/SSH, Đặc điểm “EasyConfig/AdvanceConfig”)
Hướng dẫn cấu hình công tắc bỏ qua mạng 3-Network Tap
ĐƯỜNG VÒNGKhe cắm mô-đun cổng bảo vệ:
Khe cắm này có thể được chèn vào mô-đun cổng bảo vệ BYPASS với tốc độ/số cổng khác nhau. Bằng cách thay thế các loại mô-đun khác nhau, nó có thể hỗ trợ bảo vệ BYPASS của nhiều liên kết 10G/40G/100G.
MÀN HÌNHKhe cắm mô-đun cổng;
Khe cắm này có thể được lắp vào mô-đun cổng MONITOR với các tốc độ/cổng khác nhau. Nó có thể hỗ trợ triển khai nhiều thiết bị giám sát nối tiếp trực tuyến liên kết 10G/40G/100G bằng cách thay thế các mô hình khác nhau.
Quy tắc lựa chọn mô-đun
Dựa trên các liên kết triển khai khác nhau và yêu cầu triển khai thiết bị giám sát, bạn có thể linh hoạt lựa chọn các cấu hình mô-đun khác nhau để đáp ứng nhu cầu môi trường thực tế của mình; vui lòng tuân theo các quy tắc sau khi lựa chọn:
1. Các thành phần khung máy là bắt buộc và bạn phải chọn các thành phần khung máy trước khi chọn bất kỳ mô-đun nào khác. Đồng thời, vui lòng chọn các phương pháp cung cấp điện khác nhau (AC/DC) theo nhu cầu của bạn.
2. Toàn bộ máy hỗ trợ tối đa 2 khe cắm mô-đun BYPASS và 1 khe cắm mô-đun MONITOR; bạn không thể chọn nhiều hơn số khe cắm để cấu hình. Dựa trên sự kết hợp của số khe cắm và kiểu mô-đun, thiết bị có thể hỗ trợ tối đa bốn bảo vệ liên kết 10GE; hoặc có thể hỗ trợ tối đa bốn liên kết 40GE; hoặc có thể hỗ trợ tối đa một liên kết 100GE.
3. Mô-đun "BYP-MOD-L1CG" chỉ có thể được lắp vào SLOT1 để hoạt động bình thường.
4. Mô-đun loại "BYP-MOD-XXX" chỉ có thể được lắp vào khe cắm mô-đun BYPASS; mô-đun loại "MON-MOD-XXX" chỉ có thể được lắp vào khe cắm mô-đun MONITOR để hoạt động bình thường.
| Mô hình sản phẩm | Tham số chức năng |
| Khung gầm (Máy chủ) | |
| ML-BỎ QUA-M200 | Giá đỡ tiêu chuẩn 1U 19 inch; công suất tiêu thụ tối đa 250W; máy chủ bảo vệ BYPASS dạng mô-đun; 2 khe cắm mô-đun BYPASS; 1 khe cắm mô-đun MONITOR; tùy chọn AC và DC; |
| MODULE BỎ QUA | |
| BYP-MOD-L2XG((LM/SM) | Hỗ trợ bảo vệ nối tiếp liên kết 10GE 2 chiều, giao diện 4*10GE, đầu nối LC; bộ thu phát quang tích hợp; liên kết quang đơn/đa chế độ tùy chọn, hỗ trợ 10GBASE-SR/ LR; |
| BYP-MOD-L2QXG(LM/SM) | Hỗ trợ bảo vệ nối tiếp liên kết 2 chiều 40GE, giao diện 4*40GE, đầu nối LC; bộ thu phát quang tích hợp; liên kết quang đơn/đa chế độ tùy chọn, hỗ trợ 40GBASE-SR4/ LR4; |
| BYP-MOD-L1CG (LM/SM) | Hỗ trợ bảo vệ nối tiếp liên kết 1 kênh 100GE, giao diện 2*100GE, đầu nối LC; bộ thu phát quang tích hợp; tùy chọn liên kết quang đơn đa chế độ, hỗ trợ 100GBASE-SR4/LR4; |
| MODULE GIÁM SÁT | |
| MON-MOD-L16XG | Mô-đun cổng giám sát 16*10GE SFP+; không có mô-đun thu phát quang; |
| MON-MOD-L8XG | Mô-đun cổng giám sát 8*10GE SFP+; không có mô-đun thu phát quang; |
| MON-MOD-L2CG | 2*Mô-đun cổng giám sát 100GE QSFP28; không có mô-đun thu phát quang; |
| MON-MOD-L8QXG | Mô-đun cổng giám sát 8* 40GE QSFP+; không có mô-đun thu phát quang; |
Thông số kỹ thuật của công tắc bỏ qua TAP 4 mạng
| Hình thức sản phẩm | ML-BYPASS-M200 nối tiếp Công tắc bỏ qua | |
| Loại giao diện | Giao diện MGT | 1*10/100/1000BASE-T Giao diện quản lý thích ứng; Hỗ trợ quản lý HTTP/IP từ xa |
| Khe cắm mô-đun | 2*Khe cắm module BYPASS;1*Khe cắm module MONITOR; | |
| Liên kết hỗ trợ tối đa | Thiết bị hỗ trợ tối đa 4*10GE links hoặc 4*40GE links hoặc 1*100GE links | |
| Màn hình | Thiết bị hỗ trợ tối đa 16 cổng giám sát 10GE hoặc 8 cổng giám sát 40GE hoặc 2 cổng giám sát 100GE; | |
| Chức năng | Khả năng xử lý song công hoàn toàn | 640Gbps |
| Dựa trên IP/giao thức/cổng năm lớp bảo vệ lưu lượng truy cập cụ thể | Ủng hộ | |
| Bảo vệ theo tầng dựa trên lưu lượng truy cập đầy đủ | Ủng hộ | |
| Cân bằng tải nhiều | Ủng hộ | |
| Chức năng phát hiện nhịp tim tùy chỉnh | Ủng hộ | |
| Hỗ trợ độc lập gói Ethernet | Ủng hộ | |
| CÔNG TẮC BỎ QUA | Ủng hộ | |
| Công tắc BYPASS không có đèn flash | Ủng hộ | |
| CONSOLE MGT | Ủng hộ | |
| Quản lý IP/WEB | Ủng hộ | |
| SNMP V1/V2C MGT | Ủng hộ | |
| Quản lý TELNET/SSH | Ủng hộ | |
| Giao thức SYSLOG | Ủng hộ | |
| Quyền hạn của người dùng | Dựa trên xác thực mật khẩu/AAA/TACACS+ | |
| Điện | Điện áp cung cấp định mức | AC-220V/DC-48V【Tùy chọn】 |
| Tần số công suất định mức | 50HZ | |
| Dòng điện đầu vào định mức | AC-3A / DC-10A | |
| Công suất định mức | 100W | |
| Môi trường | Nhiệt độ làm việc | 0-50℃ |
| Nhiệt độ lưu trữ | -20-70℃ | |
| Độ ẩm làm việc | 10%-95%, Không ngưng tụ | |
| Cấu hình người dùng | Cấu hình bảng điều khiển | Giao diện RS232, 115200, 8, N, 1 |
| Giao diện MGT ngoài băng tần | 1*Giao diện Ethernet 10/100/1000M | |
| Xác thực mật khẩu | Ủng hộ | |
| Chiều cao khung gầm | Không gian khung gầm (U) | 1U 19 inch, 485mm*44.5mm*350mm |
Ứng dụng chuyển mạch bỏ qua TAP 5 mạng (như sau)
Sau đây là chế độ triển khai IPS (Hệ thống phòng chống xâm nhập), FW (Tường lửa) điển hình, IPS/FW được triển khai nối tiếp tới các thiết bị mạng (bộ định tuyến, bộ chuyển mạch, v.v.) giữa lưu lượng truy cập thông qua việc thực hiện các kiểm tra bảo mật, theo chính sách bảo mật tương ứng để xác định việc phát hành hoặc chặn lưu lượng truy cập tương ứng, để đạt được hiệu quả phòng thủ an ninh.
Đồng thời, chúng ta có thể quan sát IPS / FW như một triển khai nối tiếp của thiết bị, thường được triển khai ở vị trí quan trọng của mạng doanh nghiệp để thực hiện bảo mật nối tiếp, độ tin cậy của các thiết bị được kết nối của nó ảnh hưởng trực tiếp đến tính khả dụng của toàn bộ mạng doanh nghiệp. Một khi các thiết bị nối tiếp quá tải, sập, cập nhật phần mềm, cập nhật chính sách, v.v., tính khả dụng của toàn bộ mạng doanh nghiệp sẽ bị ảnh hưởng rất lớn. Tại thời điểm này, chúng ta chỉ thông qua việc cắt mạng, jumper bỏ qua vật lý có thể khiến mạng được khôi phục, ảnh hưởng nghiêm trọng đến độ tin cậy của mạng. IPS / FW và các thiết bị nối tiếp khác một mặt cải thiện việc triển khai bảo mật mạng doanh nghiệp, mặt khác cũng làm giảm độ tin cậy của mạng doanh nghiệp, làm tăng nguy cơ mạng không khả dụng.
5.2 Bảo vệ thiết bị nối tiếp Inline Link
Mylinking™ "Bypass Switch" được triển khai nối tiếp giữa các thiết bị mạng (bộ định tuyến, bộ chuyển mạch, v.v.) và luồng dữ liệu giữa các thiết bị mạng không còn dẫn trực tiếp đến IPS / FW, "Bypass Switch" đến IPS / FW, khi IPS / FW do quá tải, sự cố, cập nhật phần mềm, cập nhật chính sách và các điều kiện lỗi khác, "Bypass Switch" thông qua chức năng phát hiện tin nhắn nhịp tim thông minh để phát hiện kịp thời và do đó bỏ qua thiết bị bị lỗi, mà không làm gián đoạn tiền đề của mạng, thiết bị mạng nhanh chóng được kết nối trực tiếp để bảo vệ mạng truyền thông bình thường; khi IPS / FW phục hồi lỗi, mà còn thông qua các gói tin nhịp tim thông minh Phát hiện chức năng phát hiện kịp thời, liên kết ban đầu để khôi phục bảo mật của các kiểm tra bảo mật mạng doanh nghiệp.
Mylinking™ "Bypass Switch" có chức năng phát hiện tin nhắn nhịp tim thông minh mạnh mẽ, người dùng có thể tùy chỉnh khoảng thời gian nhịp tim và số lần thử lại tối đa, thông qua tin nhắn nhịp tim tùy chỉnh trên IPS / FW để kiểm tra tình trạng, chẳng hạn như gửi tin nhắn kiểm tra nhịp tim đến cổng thượng nguồn / hạ nguồn của IPS / FW, sau đó nhận từ cổng thượng nguồn / hạ nguồn của IPS / FW và đánh giá xem IPS / FW có hoạt động bình thường hay không bằng cách gửi và nhận tin nhắn nhịp tim.
5.3 Chính sách “SpecFlow” Dòng bảo vệ kéo thẳng hàng
Khi thiết bị mạng an ninh chỉ cần xử lý lưu lượng cụ thể trong bảo vệ an ninh nối tiếp, thông qua chức năng xử lý lưu lượng theo từng lần xử lý của Mylinking™ "Bypass Switch", thông qua chiến lược sàng lọc lưu lượng để kết nối lưu lượng "Có liên quan" của thiết bị an ninh được gửi trực tiếp trở lại liên kết mạng và "phần lưu lượng có liên quan" được kéo đến thiết bị an toàn trực tuyến để thực hiện kiểm tra an toàn. Điều này không chỉ duy trì ứng dụng bình thường của chức năng phát hiện an toàn của thiết bị an toàn mà còn giảm lưu lượng không hiệu quả của thiết bị an toàn để xử lý áp suất; đồng thời, "Bypass Switch" có thể phát hiện tình trạng hoạt động của thiết bị an toàn theo thời gian thực. Thiết bị an toàn hoạt động bất thường bỏ qua lưu lượng dữ liệu trực tiếp để tránh gián đoạn dịch vụ mạng.
Mylinking™ Traffic Bypass Protector có thể xác định lưu lượng dựa trên định danh tiêu đề lớp L2-L4, chẳng hạn như thẻ VLAN, địa chỉ MAC nguồn/đích, địa chỉ IP nguồn, loại gói IP, cổng giao thức lớp vận chuyển, thẻ khóa tiêu đề giao thức, v.v. Nhiều điều kiện kết hợp linh hoạt có thể được xác định một cách linh hoạt để xác định các loại lưu lượng cụ thể mà một thiết bị bảo mật cụ thể quan tâm và có thể được sử dụng rộng rãi để triển khai các thiết bị kiểm toán bảo mật đặc biệt (RDP, SSH, kiểm toán cơ sở dữ liệu, v.v.).
5.4 Bảo vệ chuỗi cân bằng tải
Mylinking™ "Bypass Switch" được triển khai theo chuỗi giữa các thiết bị mạng (bộ định tuyến, bộ chuyển mạch, v.v.). Khi hiệu suất xử lý của một IPS / FW duy nhất không đủ để xử lý lưu lượng truy cập cao điểm của liên kết mạng, chức năng cân bằng tải lưu lượng của bộ bảo vệ, "gói" nhiều cụm IPS / FW xử lý lưu lượng truy cập liên kết mạng, có thể giảm hiệu quả áp lực xử lý IPS / FW đơn lẻ, cải thiện hiệu suất xử lý tổng thể để đáp ứng yêu cầu băng thông cao của môi trường triển khai.
Mylinking™ "Bypass Switch" có chức năng cân bằng tải mạnh mẽ, theo thẻ VLAN của khung, thông tin MAC, thông tin IP, số cổng, giao thức và các thông tin khác trên phân phối cân bằng tải Hash của lưu lượng để đảm bảo rằng mỗi IPS/FW nhận được luồng dữ liệu toàn vẹn của phiên.
5.5 Bảo vệ lực kéo dòng thiết bị nội tuyến nhiều chuỗi (Thay đổi kết nối nối tiếp thành kết nối song song)
Trong một số liên kết chính (như ổ cắm Internet, liên kết trao đổi khu vực máy chủ) vị trí thường là do nhu cầu về các tính năng bảo mật và triển khai nhiều thiết bị kiểm tra bảo mật trực tuyến (như tường lửa, thiết bị chống tấn công DDOS, tường lửa ứng dụng WEB, Thiết bị phòng chống xâm nhập, v.v.), nhiều thiết bị phát hiện bảo mật cùng lúc theo chuỗi trên liên kết để tăng liên kết của một điểm lỗi duy nhất, làm giảm độ tin cậy tổng thể của mạng. Và trong việc triển khai thiết bị bảo mật trực tuyến nêu trên, nâng cấp thiết bị, thay thế thiết bị và các hoạt động khác, sẽ khiến mạng bị gián đoạn dịch vụ trong thời gian dài và hành động cắt giảm dự án lớn hơn để hoàn thành việc triển khai thành công các dự án như vậy.
Bằng cách triển khai "Công tắc bỏ qua" theo cách thống nhất, chế độ triển khai nhiều thiết bị bảo mật được kết nối nối tiếp trên cùng một liên kết có thể được thay đổi từ "chế độ nối vật lý" thành "chế độ nối vật lý, nối logic". Liên kết trên liên kết của một điểm lỗi duy nhất để cải thiện độ tin cậy của liên kết, trong khi "công tắc bỏ qua" trên liên kết lưu lượng theo yêu cầu kéo, để đạt được cùng một lưu lượng với chế độ ban đầu của hiệu ứng xử lý an toàn.
Sơ đồ triển khai nhiều thiết bị bảo mật cùng lúc trong chuỗi:
Sơ đồ triển khai công tắc bỏ qua TAP mạng Mylinking™:
5.6 Dựa trên Chiến lược động của Bảo vệ phát hiện an ninh lực kéo giao thông
"Công tắc bỏ qua" Một kịch bản ứng dụng nâng cao khác dựa trên chiến lược động của các ứng dụng bảo vệ phát hiện an ninh lực kéo giao thông, cách triển khai như minh họa bên dưới:
Lấy thiết bị kiểm tra bảo mật "Bảo vệ và phát hiện tấn công chống DDoS", ví dụ, thông qua việc triển khai "Chuyển mạch bỏ qua" ở phía trước và sau đó là thiết bị bảo vệ chống DDOS và sau đó được kết nối với "Chuyển mạch bỏ qua", trong "Bộ bảo vệ lực kéo" thông thường để chuyển tiếp toàn bộ lưu lượng tốc độ dây cùng lúc với đầu ra gương luồng đến "Thiết bị bảo vệ chống tấn công DDOS", sau khi phát hiện ra IP máy chủ (hoặc phân đoạn mạng IP) sau cuộc tấn công, "Thiết bị bảo vệ chống tấn công DDOS" sẽ tạo ra các quy tắc khớp luồng lưu lượng mục tiêu và gửi chúng đến "Chuyển mạch bỏ qua" thông qua giao diện phân phối chính sách động. "Chuyển mạch bỏ qua" có thể cập nhật "Động lực kéo lưu lượng" sau khi nhận được nhóm quy tắc chính sách động "và ngay lập tức" quy tắc đánh vào lưu lượng máy chủ tấn công "Lực kéo đến thiết bị "Bảo vệ và phát hiện tấn công chống DDoS" để xử lý, có hiệu lực sau khi luồng tấn công và sau đó được đưa trở lại mạng.
Sơ đồ ứng dụng dựa trên "Chuyển mạch bỏ qua" dễ triển khai hơn so với phương pháp tiêm tuyến BGP truyền thống hoặc sơ đồ kéo lưu lượng khác, môi trường ít phụ thuộc vào mạng và độ tin cậy cũng cao hơn.
"Bypass Switch" có các đặc điểm sau để hỗ trợ bảo vệ phát hiện bảo mật chính sách động:
1, "Công tắc bỏ qua" cung cấp các quy tắc bên ngoài dựa trên giao diện WEBSERIVCE, dễ dàng tích hợp với các thiết bị bảo mật của bên thứ ba.
2, "Công tắc bỏ qua" dựa trên chip ASIC phần cứng thuần túy chuyển tiếp các gói tin tốc độ dây lên đến 10Gbps mà không chặn chuyển tiếp công tắc và "thư viện quy tắc động về lực kéo lưu lượng" bất kể số lượng.
3, "Công tắc bỏ qua" tích hợp chức năng BỎ QUA chuyên nghiệp, ngay cả khi bộ bảo vệ bị hỏng, cũng có thể bỏ qua liên kết nối tiếp ban đầu ngay lập tức, không ảnh hưởng đến liên kết ban đầu của giao tiếp bình thường.
