1- Gói Define Heartbeat là gì?
Các gói tin nhịp tim của Mylinking™ Network Tap Bypass Switch mặc định là khung Ethernet Lớp 2. Khi triển khai chế độ cầu nối Lớp 2 trong suốt (chẳng hạn như IPS / FW), các khung Ethernet Lớp 2 thường được chuyển tiếp, chặn hoặc loại bỏ. Đồng thời, Mylinking™ Network Tap Bypass Switch hỗ trợ định dạng tin nhắn nhịp tim tùy chỉnh để đáp ứng tình huống một số thiết bị bảo mật nối tiếp đặc biệt thường không thể chuyển tiếp các khung Ethernet Lớp 2 thông thường.
Bộ chuyển mạch Mylinking™ Network Tap Bypass còn hỗ trợ phát hiện gói tin heartbeat dựa trên thẻ VLAN, các loại tin nhắn tùy chỉnh Lớp 3 và Lớp 4. Dựa trên cơ chế này, người dùng có thể triển khai chức năng kiểm tra an toàn dịch vụ của thiết bị an toàn kết nối để đảm bảo các dịch vụ bảo mật tương ứng hoạt động hiệu quả hơn.
Bộ chuyển mạch Mylinking™ Network Tap Bypass có thể hỗ trợ màn hình gửi các gói tin heartbeat khác nhau theo cả hai hướng. Ví dụ, các gói tin heartbeat loại TCP và UDP được tùy chỉnh trên "Strategy Traffic Traction Protector", tùy theo đặc thù của thiết bị nối tiếp. Bạn có thể cấu hình việc gửi các gói tin heartbeat TCP trên cổng A của màn hình uplink và gửi các gói tin heartbeat UDP trên cổng B của màn hình downlink để phù hợp với cơ chế chuyển tiếp tin nhắn của thiết bị bảo mật nối tiếp. Chức năng này có thể đảm bảo hiệu quả hơn cho chuỗi. Kết nối thiết bị an toàn với hoạt động bình thường.
Thiết bị chuyển mạch bỏ qua mạng Mylinking™ được nghiên cứu và phát triển để sử dụng cho việc triển khai linh hoạt nhiều loại thiết bị bảo mật nối tiếp khác nhau đồng thời vẫn đảm bảo độ tin cậy cao cho mạng.
Công tắc bỏ qua nội tuyến 2 mạng Tính năng và công nghệ tiên tiến
Công nghệ chế độ bảo vệ “SpecFlow” và chế độ bảo vệ “FullLink” của Mylinking™
Công nghệ bảo vệ chuyển mạch bỏ qua nhanh Mylinking™
Công nghệ Mylinking™ “LinkSafeSwitch”
Công nghệ chuyển tiếp/phát hành chiến lược động “WebService” của Mylinking™
Công nghệ phát hiện tin nhắn nhịp tim thông minh Mylinking™
Công nghệ tin nhắn nhịp tim có thể xác định Mylinking™
Công nghệ cân bằng tải đa liên kết Mylinking™
Công nghệ phân phối giao thông thông minh Mylinking™
Công nghệ cân bằng tải động Mylinking™
Công nghệ quản lý từ xa Mylinking™ (HTTP/WEB, TELNET/SSH, Đặc điểm “EasyConfig/AdvanceConfig”)
Ứng dụng chuyển mạch bỏ qua nội tuyến 3 mạng (như sau)
3.1 Rủi ro của thiết bị an ninh nội tuyến (IPS / FW)
Sau đây là chế độ triển khai IPS (Hệ thống phòng chống xâm nhập), FW (Tường lửa) điển hình, IPS/FW được triển khai nối tiếp tới các thiết bị mạng (bộ định tuyến, bộ chuyển mạch, v.v.) giữa lưu lượng thông qua việc thực hiện kiểm tra bảo mật, theo chính sách bảo mật tương ứng để xác định việc phát hành hoặc chặn lưu lượng tương ứng, nhằm đạt được hiệu quả phòng thủ bảo mật.
Đồng thời, chúng ta có thể quan sát IPS/FW như một thiết bị triển khai nối tiếp, thường được triển khai tại vị trí quan trọng của mạng doanh nghiệp để thực hiện bảo mật nối tiếp, độ tin cậy của các thiết bị được kết nối ảnh hưởng trực tiếp đến tính khả dụng của toàn bộ mạng doanh nghiệp. Một khi các thiết bị nối tiếp quá tải, sự cố, cập nhật phần mềm, cập nhật chính sách, v.v., tính khả dụng của toàn bộ mạng doanh nghiệp sẽ bị ảnh hưởng rất lớn. Lúc này, chỉ có thể khôi phục mạng thông qua việc cắt mạng, jumper bypass vật lý, ảnh hưởng nghiêm trọng đến độ tin cậy của mạng. IPS/FW và các thiết bị nối tiếp khác một mặt cải thiện việc triển khai bảo mật mạng doanh nghiệp, mặt khác cũng làm giảm độ tin cậy của mạng doanh nghiệp, làm tăng nguy cơ mạng không khả dụng.
3.2 Bảo vệ thiết bị nối tiếp liên kết nội tuyến
Mylinking™ ” Network Inline Bypass ” được triển khai theo chuỗi giữa các thiết bị mạng (bộ định tuyến, bộ chuyển mạch, v.v.) và luồng dữ liệu giữa các thiết bị mạng không còn dẫn trực tiếp đến IPS / FW nữa, ” Network Inline Bypass ” đến IPS / FW, khi IPS / FW quá tải, sập, cập nhật phần mềm, cập nhật chính sách và các điều kiện lỗi khác, ” Network Inline Bypass ” thông qua chức năng phát hiện tin nhắn nhịp tim thông minh để phát hiện kịp thời và do đó bỏ qua thiết bị bị lỗi mà không làm gián đoạn tiền đề của mạng, thiết bị mạng nhanh chóng được kết nối trực tiếp để bảo vệ mạng truyền thông bình thường; khi IPS / FW phục hồi lỗi, cũng thông qua chức năng phát hiện kịp thời các gói tin nhịp tim thông minh, liên kết ban đầu để khôi phục lại bảo mật của các kiểm tra bảo mật mạng doanh nghiệp.
Mylinking™ “Network Inline Bypass” có chức năng phát hiện tin nhắn nhịp tim thông minh mạnh mẽ, người dùng có thể tùy chỉnh khoảng thời gian nhịp tim và số lần thử lại tối đa, thông qua tin nhắn nhịp tim tùy chỉnh trên IPS/FW để kiểm tra tình trạng hoạt động, chẳng hạn như gửi tin nhắn kiểm tra nhịp tim đến cổng thượng nguồn/hạ nguồn của IPS/FW, sau đó nhận tin nhắn từ cổng thượng nguồn/hạ nguồn của IPS/FW và đánh giá xem IPS/FW có hoạt động bình thường hay không bằng cách gửi và nhận tin nhắn nhịp tim.
3.3 Chính sách “SpecFlow” Bảo vệ dòng kéo nội tuyến
Khi thiết bị mạng bảo mật chỉ cần xử lý lưu lượng cụ thể trong bảo vệ an ninh chuỗi, thông qua chức năng xử lý lưu lượng theo từng lần xử lý của Mylinking™ "Network Inline Bypass", thông qua chiến lược sàng lọc lưu lượng để kết nối lưu lượng của thiết bị bảo mật "Liên quan" được gửi trực tiếp trở lại liên kết mạng, và "phần lưu lượng liên quan" được kéo đến thiết bị an toàn trực tuyến để thực hiện kiểm tra an toàn. Điều này không chỉ duy trì ứng dụng bình thường của chức năng phát hiện an toàn của thiết bị an toàn mà còn giảm lưu lượng không hiệu quả của thiết bị an toàn để xử lý áp lực; đồng thời, "Network Inline Bypass" có thể phát hiện tình trạng hoạt động của thiết bị an toàn theo thời gian thực. Thiết bị an toàn hoạt động bất thường sẽ bỏ qua lưu lượng dữ liệu trực tiếp để tránh gián đoạn dịch vụ mạng.
3.4 Bảo vệ nối tiếp cân bằng tải
Giải pháp Mylinking™ "Network Inline Bypass" được triển khai nối tiếp giữa các thiết bị mạng (router, switch, v.v.). Khi hiệu suất xử lý của một IPS/FW đơn lẻ không đủ để xử lý lưu lượng đỉnh của liên kết mạng, chức năng cân bằng tải lưu lượng của bộ bảo vệ, tức là "gộp" nhiều cụm IPS/FW xử lý lưu lượng liên kết mạng, có thể giảm hiệu quả áp lực xử lý của một IPS/FW đơn lẻ, cải thiện hiệu suất xử lý tổng thể để đáp ứng yêu cầu băng thông cao của môi trường triển khai.
Mylinking™ “Network Inline Bypass” có chức năng cân bằng tải mạnh mẽ, theo thẻ VLAN của khung, thông tin MAC, thông tin IP, số cổng, giao thức và các thông tin khác trên phân phối cân bằng tải Hash của lưu lượng để đảm bảo rằng mỗi IPS/FW nhận được luồng dữ liệu Tính toàn vẹn của phiên.
3.5 Bảo vệ lực kéo dòng thiết bị nội tuyến đa chuỗi (Thay đổi kết nối nối tiếp thành kết nối song song)
Tại một số liên kết quan trọng (như ổ cắm Internet, liên kết trao đổi khu vực máy chủ), vị trí thường được xác định do nhu cầu bảo mật và việc triển khai nhiều thiết bị kiểm tra bảo mật nội tuyến (như tường lửa, thiết bị chống tấn công DDOS, tường lửa ứng dụng web, thiết bị phòng chống xâm nhập, v.v.), nhiều thiết bị phát hiện bảo mật được đặt đồng thời trên liên kết, làm tăng nguy cơ xảy ra lỗi liên kết, làm giảm độ tin cậy tổng thể của mạng. Trong quá trình triển khai thiết bị bảo mật trực tuyến, việc nâng cấp, thay thế thiết bị và các hoạt động khác đã đề cập ở trên, sẽ khiến mạng bị gián đoạn dịch vụ trong thời gian dài và cần phải cắt giảm quy mô dự án lớn hơn để hoàn thành thành công các dự án đó.
Bằng cách triển khai “Network Inline Bypass” theo cách thống nhất, chế độ triển khai nhiều thiết bị bảo mật được kết nối nối tiếp trên cùng một liên kết có thể được thay đổi từ “chế độ nối kết vật lý” thành “chế độ nối kết vật lý, nối kết logic”. Liên kết trên liên kết của một điểm lỗi duy nhất để cải thiện độ tin cậy của liên kết, trong khi “Network Inline Bypass” trên liên kết luồng theo yêu cầu kéo, để đạt được cùng một luồng với chế độ ban đầu của hiệu ứng xử lý an toàn.
Sơ đồ triển khai nhiều thiết bị bảo mật cùng lúc trong chuỗi:
Sơ đồ triển khai chuyển mạch bỏ qua mạng nội tuyến:
3.6 Dựa trên Chiến lược Động của Bảo vệ Phát hiện An ninh Lực kéo Giao thông
“Bỏ qua nội tuyến mạng” Một kịch bản ứng dụng nâng cao khác dựa trên chiến lược động của các ứng dụng bảo vệ phát hiện an ninh lực kéo lưu lượng, cách triển khai như minh họa bên dưới:
Lấy thiết bị kiểm tra bảo mật "Bảo vệ và phát hiện tấn công Anti-DDoS", ví dụ, thông qua việc triển khai front-end của "Network Inline Bypass" và sau đó là thiết bị bảo vệ chống DDOS và sau đó được kết nối với "Network Inline Bypass", trong "Traction protector" thông thường để chuyển tiếp toàn bộ lưu lượng tốc độ dây cùng lúc với luồng phản chiếu đầu ra đến "thiết bị bảo vệ chống tấn công DDOS", một khi được phát hiện cho một IP máy chủ (hoặc phân đoạn mạng IP) sau cuộc tấn công, "thiết bị bảo vệ chống tấn công DDOS" sẽ tạo ra các quy tắc khớp luồng lưu lượng mục tiêu và gửi chúng đến "Network Inline Bypass" thông qua giao diện phân phối chính sách động. "Network Inline Bypass" có thể cập nhật "traffic traction dynamic" sau khi nhận được nhóm quy tắc chính sách động "và ngay lập tức" quy tắc tấn công "traction" lưu lượng máy chủ tấn công đến "thiết bị bảo vệ và phát hiện tấn công chống DDoS" để xử lý, để có hiệu lực sau khi luồng tấn công và sau đó được đưa trở lại mạng.
Sơ đồ ứng dụng dựa trên “Bỏ qua nội tuyến mạng” dễ triển khai hơn so với phương pháp chèn tuyến BGP truyền thống hoặc sơ đồ kéo lưu lượng khác, môi trường ít phụ thuộc vào mạng và độ tin cậy cũng cao hơn.
“Network Inline Bypass” có các đặc điểm sau để hỗ trợ bảo vệ phát hiện bảo mật chính sách động:
1, ” Network Inline Bypass ” cung cấp các quy tắc bên ngoài dựa trên giao diện WEBSERIVCE, dễ dàng tích hợp với các thiết bị bảo mật của bên thứ ba.
2, ” Network Inline Bypass ” dựa trên chip ASIC phần cứng thuần túy chuyển tiếp các gói tin tốc độ dây lên đến 10Gbps mà không chặn chuyển tiếp chuyển mạch và “thư viện quy tắc động về lực kéo lưu lượng” bất kể số lượng.
3, ” Network Inline Bypass ” chức năng BYPASS chuyên nghiệp tích hợp, ngay cả khi bộ bảo vệ bị lỗi, cũng có thể bỏ qua liên kết nối tiếp ban đầu ngay lập tức, không ảnh hưởng đến liên kết ban đầu của giao tiếp bình thường.
Thời gian đăng: 23-12-2021