1- Gói nhịp tim xác định là gì?
Các gói nhịp tim của Mylinking™ Network Tap Bypass Switch mặc định là khung Ethernet Lớp 2. Khi triển khai chế độ cầu nối Lớp 2 trong suốt (chẳng hạn như IPS/FW), các khung Ethernet Lớp 2 thường được chuyển tiếp, chặn hoặc loại bỏ. Đồng thời, Mylinking™ Network Tap Bypass Switch hỗ trợ định dạng thông báo nhịp tim tùy chỉnh để đáp ứng tình huống mà một số thiết bị bảo mật nối tiếp đặc biệt không thể chuyển tiếp các khung Ethernet Lớp 2 thông thường.
Và Mylinking™ Network Tap Bypass Switch cũng hỗ trợ phát hiện gói nhịp tim dựa trên thẻ Vlan, các loại thông báo tùy chỉnh Lớp 3 và Lớp 4. Dựa trên cơ chế này, người dùng có thể triển khai chức năng kiểm tra an toàn dịch vụ của thiết bị an toàn kết nối để đảm bảo các dịch vụ bảo mật tương ứng hoạt động hiệu quả hơn.
Mylinking™ Network Tap Bypass Switch có thể hỗ trợ màn hình gửi các gói nhịp tim khác nhau theo cả hai hướng. Ví dụ: các gói nhịp tim loại TCP và UDP được tùy chỉnh trên “Bộ bảo vệ lực kéo giao thông chiến lược”, tùy theo đặc điểm của thiết bị nối tiếp. Bạn có thể định cấu hình việc gửi các gói nhịp tim TCP trên cổng A của màn hình đường lên và gửi các gói nhịp tim UDP trên cổng B của màn hình đường xuống để phù hợp với cơ chế chuyển tiếp tin nhắn của thiết bị bảo mật nối tiếp. Chức năng này có thể đảm bảo chuỗi hiệu quả hơn. Kết nối thiết bị an toàn để hoạt động bình thường.
Mylinking™ Network Inline Bypass Switch được nghiên cứu và phát triển để sử dụng nhằm triển khai linh hoạt nhiều loại thiết bị bảo mật nối tiếp khác nhau đồng thời mang lại độ tin cậy mạng cao.
Công nghệ và tính năng nâng cao của Bộ chuyển mạch bỏ qua nội tuyến 2 mạng
Chế độ bảo vệ Mylinking™ “SpecFlow” và Công nghệ chế độ bảo vệ “FullLink”
Công nghệ bảo vệ chuyển mạch nhanh Mylinking™
Công nghệ Mylinking™ “LinkSafeSwitch”
Công nghệ chuyển tiếp/phát hành chiến lược động Mylinking™ “WebService”
Công nghệ phát hiện tin nhắn nhịp tim thông minh Mylinking™
Công nghệ tin nhắn nhịp tim có thể xác định Mylinking™
Công nghệ cân bằng tải đa liên kết Mylinking™
Công nghệ phân phối lưu lượng truy cập thông minh Mylinking™
Công nghệ cân bằng tải động Mylinking™
Công nghệ quản lý từ xa Mylinking™(HTTP/WEB, TELNET/SSH, Đặc tính “EasyConfig/AdvanceConfig”)
Ứng dụng chuyển mạch bỏ qua nội tuyến 3 mạng (như sau)
3.1 Rủi ro của thiết bị bảo mật nội tuyến (IPS/FW)
Sau đây là chế độ triển khai IPS (Intrusion Prevention System), FW (Firewall) điển hình, IPS/FW được triển khai nối tiếp đến các thiết bị mạng (bộ định tuyến, bộ chuyển mạch, v.v.) giữa lưu lượng thông qua việc thực hiện kiểm tra bảo mật, theo chính sách bảo mật tương ứng để xác định việc giải phóng hoặc chặn lưu lượng truy cập tương ứng, để đạt được hiệu quả bảo vệ an ninh.
Đồng thời, chúng ta có thể quan sát IPS / FW dưới dạng triển khai nối tiếp thiết bị, thường được triển khai ở vị trí quan trọng của mạng doanh nghiệp để thực hiện bảo mật nối tiếp, độ tin cậy của các thiết bị được kết nối của nó ảnh hưởng trực tiếp đến tính khả dụng chung của mạng doanh nghiệp. Một khi các thiết bị nối tiếp bị quá tải, gặp sự cố, cập nhật phần mềm, cập nhật chính sách, v.v., toàn bộ tính khả dụng của mạng doanh nghiệp sẽ bị ảnh hưởng rất lớn. Tại thời điểm này, chúng ta chỉ thông qua việc cắt mạng, nhảy vòng vật lý mới có thể khiến mạng được khôi phục, ảnh hưởng nghiêm trọng đến độ tin cậy của mạng. IPS/FW và các thiết bị nối tiếp khác một mặt cải thiện việc triển khai bảo mật mạng doanh nghiệp, mặt khác cũng làm giảm độ tin cậy của mạng doanh nghiệp, làm tăng nguy cơ mạng không khả dụng.
3.2 Bảo vệ thiết bị dòng liên kết nội tuyến
Mylinking™ ” Network Inline Bypass ” được triển khai nối tiếp giữa các thiết bị mạng (bộ định tuyến, bộ chuyển mạch, v.v.) và luồng dữ liệu giữa các thiết bị mạng không còn dẫn trực tiếp đến IPS / FW, “ Network Inline Bypass ” tới IPS / FW, khi IPS / FW do quá tải, sự cố, cập nhật phần mềm, cập nhật chính sách và các tình trạng lỗi khác, “Bỏ qua nội tuyến mạng” thông qua phát hiện thông báo nhịp tim thông minh Chức năng phát hiện kịp thời và do đó bỏ qua thiết bị bị lỗi mà không làm gián đoạn tiền đề của mạng, các thiết bị mạng nhanh chóng được kết nối trực tiếp để bảo vệ mạng truyền thông thông thường; khi khôi phục lỗi IPS / FW, mà còn thông qua các gói nhịp tim thông minh. Phát hiện chức năng phát hiện kịp thời, liên kết ban đầu để khôi phục tính bảo mật của kiểm tra an ninh mạng doanh nghiệp.
Mylinking™ “Network Inline Bypass” có chức năng phát hiện thông báo nhịp tim thông minh mạnh mẽ, người dùng có thể tùy chỉnh khoảng thời gian nhịp tim và số lần thử lại tối đa, thông qua thông báo nhịp tim tùy chỉnh trên IPS / FW để kiểm tra sức khỏe, chẳng hạn như gửi kiểm tra nhịp tim tin nhắn đến cổng ngược dòng / hạ lưu của IPS / FW, sau đó nhận từ cổng ngược dòng / hạ lưu của IPS / FW và đánh giá xem IPS / FW có hoạt động bình thường hay không bằng cách gửi và nhận tin nhắn nhịp tim.
3.3 Bảo vệ chuỗi chính sách “SpecFlow” Dòng lực kéo nội tuyến
Khi thiết bị mạng bảo mật chỉ cần xử lý lưu lượng truy cập cụ thể trong bảo vệ bảo mật hàng loạt, thông qua chức năng xử lý lưu lượng trên mỗi lần xử lý lưu lượng truy cập Mylinking™ ” Network Inline Bypass ”, thông qua chiến lược sàng lọc lưu lượng truy cập để kết nối thiết bị bảo mật “Có liên quan” lưu lượng truy cập được gửi trở lại trực tiếp đến liên kết mạng và “phần giao thông liên quan” được kéo đến thiết bị an toàn nội tuyến để thực hiện kiểm tra an toàn. Điều này sẽ không chỉ duy trì ứng dụng bình thường của chức năng phát hiện an toàn của thiết bị an toàn mà còn làm giảm dòng chảy không hiệu quả của thiết bị an toàn để xử lý áp suất; đồng thời, ” Network Inline Bypass ” có thể phát hiện tình trạng hoạt động của thiết bị an toàn trong thời gian thực. Thiết bị an toàn hoạt động bất thường bỏ qua lưu lượng dữ liệu trực tiếp để tránh gián đoạn dịch vụ mạng.
3.4 Bảo vệ dòng cân bằng tải
Mylinking™ “Network Inline Bypass” được triển khai nối tiếp giữa các thiết bị mạng (bộ định tuyến, bộ chuyển mạch, v.v.). Khi hiệu suất xử lý IPS / FW đơn lẻ không đủ để đối phó với lưu lượng truy cập cao nhất của liên kết mạng, Chức năng cân bằng tải lưu lượng của bộ bảo vệ, “gói” lưu lượng truy cập liên kết mạng xử lý nhiều cụm IPS / FW, có thể giảm một cách hiệu quả IPS / FW đơn lẻ. Áp lực xử lý FW, cải thiện hiệu suất xử lý tổng thể để đáp ứng yêu cầu băng thông cao của môi trường triển khai.
Mylinking™ “Network Inline Bypass” có chức năng cân bằng tải mạnh mẽ, theo khung VLAN tag, thông tin MAC, thông tin IP, số cổng, giao thức và các thông tin khác về phân phối lưu lượng cân bằng tải Hash để đảm bảo rằng mỗi IPS / FW nhận được luồng dữ liệu Tính toàn vẹn của phiên.
3.5 Bảo vệ lực kéo dòng thiết bị nội tuyến nhiều dòng (Thay đổi kết nối nối tiếp thành kết nối song song)
Trong một số liên kết chính (như ổ cắm Internet, liên kết trao đổi khu vực máy chủ) vị trí thường do nhu cầu về tính năng bảo mật và triển khai nhiều thiết bị kiểm tra bảo mật nội tuyến (như tường lửa, thiết bị chống tấn công DDOS, tường lửa ứng dụng WEB , Thiết bị ngăn chặn xâm nhập, v.v.), nhiều thiết bị phát hiện bảo mật cùng lúc nối tiếp trên liên kết để tăng liên kết của một điểm lỗi duy nhất, làm giảm độ tin cậy tổng thể của mạng. Và trong việc triển khai trực tuyến thiết bị an ninh nêu trên, nâng cấp thiết bị, thay thế thiết bị và các hoạt động khác sẽ khiến mạng bị gián đoạn dịch vụ trong thời gian dài và phải thực hiện hành động cắt giảm dự án lớn hơn để hoàn thành việc thực hiện thành công các dự án đó.
Bằng cách triển khai “Network Inline Bypass” một cách thống nhất, chế độ triển khai của nhiều thiết bị bảo mật được kết nối nối tiếp trên cùng một liên kết có thể được thay đổi từ “chế độ ghép nối vật lý” thành “chế độ ghép nối vật lý, chế độ ghép nối logic” Liên kết trên liên kết về một điểm lỗi duy nhất để cải thiện độ tin cậy của liên kết, trong khi “Bỏ qua nội tuyến mạng” trên luồng liên kết theo lực kéo theo yêu cầu, để đạt được cùng một luồng với chế độ ban đầu có hiệu quả xử lý an toàn.
Nhiều thiết bị bảo mật cùng lúc trong sơ đồ triển khai chuỗi:
Sơ đồ triển khai chuyển mạch bỏ qua nội tuyến mạng:
3.6 Dựa trên Chiến lược năng động Bảo vệ phát hiện an ninh lực kéo giao thông
“Đường vòng nội tuyến qua mạng” Một kịch bản ứng dụng nâng cao khác dựa trên chiến lược động của các ứng dụng bảo vệ phát hiện an ninh lực kéo giao thông, việc triển khai đường đi như dưới đây:
Lấy ví dụ: thiết bị kiểm tra bảo mật “Phát hiện và bảo vệ chống tấn công DDoS”, thông qua việc triển khai giao diện người dùng của “Bỏ qua nội tuyến mạng” và sau đó là thiết bị bảo vệ chống DDOS, sau đó được kết nối với “Bỏ qua nội tuyến mạng”, trong thông thường ” Bộ bảo vệ lực kéo “để chuyển tiếp toàn bộ tốc độ dây lưu lượng đồng thời đầu ra của nhân bản luồng tới” thiết bị bảo vệ chống tấn công DDOS “, sau khi được phát hiện đối với IP máy chủ (hoặc phân đoạn mạng IP) sau cuộc tấn công, “Thiết bị bảo vệ chống tấn công DDOS” sẽ tạo ra các quy tắc phù hợp với luồng lưu lượng truy cập mục tiêu và gửi chúng đến “Bỏ qua nội tuyến mạng” thông qua giao diện phân phối chính sách động. “Bỏ qua nội tuyến mạng” có thể cập nhật “động lực kéo lưu lượng truy cập” sau khi nhận được các quy tắc chính sách động Nhóm quy tắc “và ngay lập tức” quy tắc tấn công “lực kéo” lưu lượng truy cập của máy chủ tấn công đến thiết bị “bảo vệ và phát hiện tấn công chống DDoS” để xử lý, để có hiệu lực sau luồng tấn công và sau đó được đưa lại vào mạng.
Lược đồ ứng dụng dựa trên ” Network Inline Bypass ” dễ thực hiện hơn so với việc chèn tuyến đường BGP truyền thống hoặc sơ đồ kéo giao thông khác, đồng thời môi trường ít phụ thuộc vào mạng hơn và độ tin cậy cao hơn.
“Bỏ qua nội tuyến mạng” có các đặc điểm sau để hỗ trợ bảo vệ phát hiện bảo mật chính sách động:
1, ” Network Inline Bypass ” để cung cấp các quy tắc bên ngoài dựa trên giao diện WEBSERIVCE, tích hợp dễ dàng với các thiết bị bảo mật của bên thứ ba.
2, "Bỏ qua nội tuyến mạng" dựa trên chip ASIC thuần phần cứng chuyển tiếp các gói tốc độ dây lên tới 10Gbps mà không chặn chuyển tiếp chuyển mạch và "thư viện quy tắc động lực kéo lưu lượng" bất kể số lượng.
3, Chức năng BYPASS chuyên nghiệp tích hợp sẵn, ngay cả khi bộ bảo vệ bị lỗi, cũng có thể bỏ qua liên kết nối tiếp ban đầu ngay lập tức, không ảnh hưởng đến liên kết ban đầu của giao tiếp thông thường.
Thời gian đăng: 23-12-2021