1- Gói Define Heartbeat là gì?
Các gói tín hiệu nhịp tim của bộ chuyển mạch bỏ qua điểm kiểm soát mạng Mylinking™ mặc định là các khung Ethernet lớp 2. Khi triển khai chế độ cầu nối lớp 2 trong suốt (chẳng hạn như IPS/FW), các khung Ethernet lớp 2 thường được chuyển tiếp, chặn hoặc loại bỏ. Đồng thời, bộ chuyển mạch bỏ qua điểm kiểm soát mạng Mylinking™ hỗ trợ định dạng thông báo nhịp tim tùy chỉnh để đáp ứng trường hợp một số thiết bị bảo mật nối tiếp đặc biệt không thể chuyển tiếp bình thường các khung Ethernet lớp 2 thông thường.
Thiết bị chuyển mạch Mylinking™ Network Tap Bypass Switch cũng hỗ trợ phát hiện gói tin nhịp tim dựa trên thẻ VLAN, các loại thông báo tùy chỉnh Lớp 3 và Lớp 4. Dựa trên cơ chế này, người dùng có thể triển khai chức năng kiểm tra an toàn dịch vụ của thiết bị an toàn kết nối để đảm bảo hiệu quả hơn rằng các dịch vụ bảo mật tương ứng hoạt động đúng cách.
Bộ chuyển mạch bỏ qua điểm kết nối mạng Mylinking™ hỗ trợ bộ giám sát gửi các gói tin nhịp tim khác nhau theo cả hai hướng. Ví dụ, các gói tin nhịp tim loại TCP và UDP được tùy chỉnh trên “Bộ bảo vệ kéo lưu lượng chiến lược”, theo đặc thù của thiết bị nối tiếp. Bạn có thể cấu hình việc gửi các gói tin nhịp tim TCP trên cổng giám sát đường lên A và gửi các gói tin nhịp tim UDP trên cổng giám sát đường xuống B để phù hợp với cơ chế chuyển tiếp tin nhắn của thiết bị an ninh nối tiếp. Chức năng này có thể đảm bảo hiệu quả hơn việc kết nối chuỗi thiết bị an toàn với hoạt động bình thường.
Bộ chuyển mạch bypass nội tuyến mạng Mylinking™ được nghiên cứu và phát triển để sử dụng cho việc triển khai linh hoạt nhiều loại thiết bị an ninh nối tiếp khác nhau, đồng thời cung cấp độ tin cậy cao cho mạng.
Các tính năng và công nghệ nâng cao của bộ chuyển mạch bypass nội tuyến 2 mạng
Công nghệ Chế độ bảo vệ “SpecFlow” và Chế độ bảo vệ “FullLink” của Mylinking™
Công nghệ bảo vệ chuyển mạch bỏ qua nhanh Mylinking™
Công nghệ Mylinking™ “LinkSafeSwitch”
Công nghệ chuyển tiếp/phát hành chiến lược động “Dịch vụ Web” Mylinking™
Công nghệ phát hiện tin nhắn nhịp tim thông minh Mylinking™
Công nghệ tin nhắn nhịp tim có thể định nghĩa Mylinking™
Công nghệ cân bằng tải đa liên kết Mylinking™
Công nghệ phân phối lưu lượng thông minh Mylinking™
Công nghệ cân bằng tải động Mylinking™
Công nghệ quản lý từ xa Mylinking™ (HTTP/WEB, TELNET/SSH, tính năng “EasyConfig/AdvanceConfig”)
Ứng dụng chuyển mạch bypass nội tuyến 3 mạng (như sau)
3.1 Rủi ro của thiết bị bảo mật nội tuyến (IPS / FW)
Sau đây là một ví dụ điển hình về chế độ triển khai IPS (Hệ thống ngăn chặn xâm nhập) và FW (Tường lửa): IPS/FW được triển khai nối tiếp trên các thiết bị mạng (bộ định tuyến, bộ chuyển mạch, v.v.) để thực hiện kiểm tra an ninh giữa các lưu lượng truy cập, dựa trên chính sách an ninh tương ứng để xác định việc cho phép hoặc chặn lưu lượng truy cập đó, nhằm đạt được hiệu quả bảo vệ an ninh.
Đồng thời, chúng ta có thể thấy IPS/FW được triển khai nối tiếp như một hệ thống thiết bị, thường được đặt tại các vị trí trọng yếu của mạng doanh nghiệp để thực hiện bảo mật nối tiếp. Độ tin cậy của các thiết bị kết nối trực tiếp ảnh hưởng đến tính khả dụng tổng thể của mạng doanh nghiệp. Khi các thiết bị nối tiếp bị quá tải, gặp sự cố, cập nhật phần mềm, cập nhật chính sách, v.v., tính khả dụng của toàn bộ mạng doanh nghiệp sẽ bị ảnh hưởng nghiêm trọng. Tại thời điểm này, chúng ta chỉ có thể khôi phục mạng bằng cách cắt mạng hoặc sử dụng cầu nối vật lý, điều này ảnh hưởng nghiêm trọng đến độ tin cậy của mạng. IPS/FW và các thiết bị nối tiếp khác một mặt cải thiện việc triển khai bảo mật mạng doanh nghiệp, mặt khác cũng làm giảm độ tin cậy của mạng doanh nghiệp, làm tăng nguy cơ mạng không khả dụng.
3.2 Bảo vệ thiết bị dòng Inline Link
Giải pháp "Network Inline Bypass" của Mylinking™ được triển khai nối tiếp giữa các thiết bị mạng (bộ định tuyến, bộ chuyển mạch, v.v.), và luồng dữ liệu giữa các thiết bị mạng không còn dẫn trực tiếp đến IPS/FW nữa. Khi IPS/FW gặp sự cố do quá tải, treo máy, cập nhật phần mềm, cập nhật chính sách hoặc các điều kiện khác, "Network Inline Bypass" sẽ thông qua chức năng phát hiện thông báo nhịp tim thông minh để kịp thời phát hiện và bỏ qua thiết bị bị lỗi, mà không làm gián đoạn mạng, nhanh chóng kết nối trực tiếp với thiết bị mạng để bảo vệ mạng truyền thông bình thường; khi IPS/FW bị lỗi và phục hồi, nó cũng thông qua chức năng phát hiện gói tin nhịp tim thông minh để kịp thời phát hiện, khôi phục lại liên kết ban đầu và đảm bảo an ninh mạng doanh nghiệp.
Chức năng “Network Inline Bypass” của Mylinking™ sở hữu khả năng phát hiện tín hiệu nhịp tim thông minh mạnh mẽ. Người dùng có thể tùy chỉnh khoảng thời gian gửi tín hiệu nhịp tim và số lần thử lại tối đa, thông qua một tín hiệu nhịp tim tùy chỉnh gửi đến IPS/FW để kiểm tra tình trạng hoạt động. Ví dụ: gửi tín hiệu kiểm tra nhịp tim đến cổng thượng nguồn/hạ nguồn của IPS/FW, sau đó nhận tín hiệu từ cổng thượng nguồn/hạ nguồn của IPS/FW và đánh giá xem IPS/FW có hoạt động bình thường hay không bằng cách gửi và nhận tín hiệu nhịp tim.
3.3 Chính sách “SpecFlow” Dòng chảy thẳng hàng Bảo vệ
Khi thiết bị mạng an ninh chỉ cần xử lý lưu lượng cụ thể trong chuỗi bảo vệ an ninh, thông qua chức năng xử lý lưu lượng “Network Inline Bypass” của Mylinking™, bằng chiến lược sàng lọc lưu lượng, lưu lượng “Cần quan tâm” được kết nối với thiết bị an ninh và được gửi trực tiếp trở lại liên kết mạng, và phần “lưu lượng cần quan tâm” được kéo đến thiết bị an ninh nội tuyến để thực hiện kiểm tra an toàn. Điều này không chỉ duy trì hoạt động bình thường của chức năng phát hiện an toàn của thiết bị an ninh mà còn giảm áp lực xử lý lưu lượng không hiệu quả của thiết bị an ninh; đồng thời, “Network Inline Bypass” có thể phát hiện tình trạng hoạt động của thiết bị an ninh trong thời gian thực. Nếu thiết bị an ninh hoạt động bất thường, nó sẽ trực tiếp bỏ qua lưu lượng dữ liệu để tránh gián đoạn dịch vụ mạng.
3.4 Bảo vệ nối tiếp cân bằng tải
Giải pháp “Network Inline Bypass” của Mylinking™ được triển khai nối tiếp giữa các thiết bị mạng (bộ định tuyến, bộ chuyển mạch, v.v.). Khi hiệu năng xử lý của một IPS/FW đơn lẻ không đủ để đáp ứng lưu lượng truy cập cao điểm của liên kết mạng, chức năng cân bằng tải của bộ bảo vệ, bằng cách “gộp” nhiều cụm IPS/FW xử lý lưu lượng liên kết mạng, có thể giảm thiểu hiệu quả áp lực xử lý của từng IPS/FW, cải thiện hiệu năng xử lý tổng thể để đáp ứng yêu cầu băng thông cao của môi trường triển khai.
Chức năng “Network Inline Bypass” của Mylinking™ sở hữu khả năng cân bằng tải mạnh mẽ, dựa trên thẻ VLAN, thông tin MAC, thông tin IP, số cổng, giao thức và các thông tin khác của khung dữ liệu để phân phối lưu lượng cân bằng tải, đảm bảo tính toàn vẹn của mỗi phiên dữ liệu mà IPS/FW nhận được.
3.5 Bảo vệ chống mất cân bằng dòng chảy thiết bị đa series (Thay đổi kết nối nối tiếp thành kết nối song song)
Tại một số liên kết quan trọng (như các điểm truy cập Internet, liên kết trao đổi khu vực máy chủ), vị trí đặt thường do nhu cầu về các tính năng bảo mật và việc triển khai nhiều thiết bị kiểm tra bảo mật nội tuyến (như tường lửa, thiết bị chống tấn công DDoS, tường lửa ứng dụng WEB, thiết bị ngăn chặn xâm nhập, v.v.), việc đặt đồng thời nhiều thiết bị phát hiện bảo mật nối tiếp trên liên kết sẽ làm tăng điểm lỗi đơn lẻ trên liên kết, làm giảm độ tin cậy tổng thể của mạng. Và trong quá trình triển khai trực tuyến các thiết bị bảo mật nêu trên, việc nâng cấp thiết bị, thay thế thiết bị và các hoạt động khác sẽ gây ra gián đoạn dịch vụ mạng trong thời gian dài và đòi hỏi chi phí cắt giảm dự án lớn hơn để hoàn thành việc thực hiện thành công các dự án đó.
Bằng cách triển khai "Network Inline Bypass" một cách thống nhất, chế độ triển khai của nhiều thiết bị an ninh được kết nối nối tiếp trên cùng một liên kết có thể được thay đổi từ "chế độ nối tiếp vật lý" sang "chế độ nối tiếp vật lý, nối tiếp logic". Điều này giúp cải thiện độ tin cậy của liên kết, đồng thời "Network Inline Bypass" cho phép truyền tải dữ liệu theo yêu cầu, đạt được hiệu quả xử lý an toàn tương tự như chế độ ban đầu.
Sơ đồ triển khai nhiều thiết bị an ninh cùng lúc theo kiểu nối tiếp:
Sơ đồ triển khai bộ chuyển mạch bypass nội tuyến mạng:
3.6 Dựa trên Chiến lược Động về Bảo vệ Phát hiện An ninh Lực kéo Giao thông
“Phương pháp bỏ qua mạng nội tuyến” Một kịch bản ứng dụng nâng cao khác dựa trên chiến lược động của các ứng dụng bảo vệ phát hiện an ninh lưu lượng truy cập, cách triển khai như hình dưới đây:
Ví dụ, hãy xem xét thiết bị kiểm thử bảo mật “Chống tấn công DDoS và phát hiện”, thông qua việc triển khai “Network Inline Bypass” ở phía trước, sau đó kết nối với thiết bị chống DDoS và “Network Inline Bypass”. Thông thường, “Bộ bảo vệ lưu lượng” sẽ chuyển tiếp toàn bộ lưu lượng với tốc độ đường truyền, đồng thời sao chép luồng dữ liệu xuất ra “thiết bị bảo vệ chống tấn công DDoS”. Khi phát hiện thấy một địa chỉ IP máy chủ (hoặc phân đoạn mạng IP) bị tấn công, “thiết bị bảo vệ chống tấn công DDoS” sẽ tạo ra các quy tắc khớp luồng lưu lượng mục tiêu và gửi chúng đến “Network Inline Bypass” thông qua giao diện phân phối chính sách động. “Network Inline Bypass” có thể cập nhật “lưu lượng động” sau khi nhận được nhóm quy tắc chính sách động và ngay lập tức chuyển hướng lưu lượng truy cập máy chủ bị tấn công đến thiết bị “chống tấn công và phát hiện” để xử lý, nhằm ngăn chặn luồng tấn công và sau đó tái đưa lưu lượng đó vào mạng.
Phương án ứng dụng dựa trên "Phương pháp bỏ qua mạng nội tuyến" dễ thực hiện hơn so với phương pháp chèn tuyến BGP truyền thống hoặc các phương án điều khiển lưu lượng khác, đồng thời môi trường ít phụ thuộc vào mạng hơn và độ tin cậy cao hơn.
“Phương thức bỏ qua mạng nội tuyến” có các đặc điểm sau để hỗ trợ bảo vệ phát hiện an ninh chính sách động:
1. Chức năng “Bỏ qua mạng nội tuyến” cho phép vượt qua các quy tắc bên ngoài dựa trên giao diện WEBSERVICE, dễ dàng tích hợp với các thiết bị bảo mật của bên thứ ba.
2. Chức năng “Network Inline Bypass” dựa trên chip ASIC thuần túy phần cứng, chuyển tiếp các gói dữ liệu tốc độ cao lên đến 10Gbps mà không làm tắc nghẽn quá trình chuyển tiếp của switch, và “thư viện quy tắc động điều khiển lưu lượng” bất kể số lượng.
3. Chức năng BYPASS chuyên nghiệp tích hợp sẵn trong "Network Inline Bypass", ngay cả khi bản thân thiết bị bảo vệ bị lỗi, vẫn có thể ngay lập tức bỏ qua liên kết nối tiếp ban đầu mà không ảnh hưởng đến hoạt động giao tiếp bình thường của liên kết ban đầu.
Thời gian đăng bài: 23/12/2021
