Mylinking™ ネットワークタップバイパススイッチ ML-BYPASS-200
2*バイパス+1*モニター モジュラー設計、10/40/100GEリンク、最大640Gbps
1-概要
Mylinking™ スマートバイパススイッチを導入することで、次のことが可能になります。
- ユーザーはセキュリティ機器を柔軟にインストール/アンインストールでき、現在のネットワークに影響を与えず、中断することもありません。
- Mylinking™ ネットワークタップバイパススイッチには、インテリジェントなヘルス検出機能が搭載されており、シリアルセキュリティデバイスの正常な動作状態をリアルタイムで監視します。シリアルセキュリティデバイスの動作に例外が発生すると、保護が自動的にバイパスされ、正常なネットワーク通信が維持されます。
- 選択的トラフィック保護技術は、特定のトラフィックをクリーニングするセキュリティ機器や、監査機器に基づく暗号化技術を導入する際に活用できます。特定のトラフィック種別に対するシリアルアクセス保護を効果的に実行し、シリアルデバイスのフロー処理負荷を軽減します。
- 負荷分散トラフィック保護テクノロジーは、高帯域幅環境でのシリアル セキュリティのニーズを満たすために、安全なシリアル デバイスのクラスター展開に使用できます。
インターネットの急速な発展に伴い、ネットワーク情報セキュリティの脅威はますます深刻化しており、さまざまな情報セキュリティ保護アプリケーションがますます広く使用されています。従来のアクセス制御機器(ファイアウォール)であれ、侵入防止システム(IPS)、統合脅威管理プラットフォーム(UTM)、サービス拒否攻撃対策システム(アンチDDoS)、アンチスパンゲートウェイ、統合DPIトラフィック識別および制御システムなどの新しいタイプのより高度な保護手段であれ、多くのセキュリティデバイスがネットワークの主要ノードに直列に導入され、合法/違法なトラフィックを識別して処理するための対応するデータセキュリティポリシーが実装されています。しかし同時に、コンピュータネットワークは、信頼性の高い実稼働ネットワークアプリケーション環境では、フェイルオーバー、メンテナンス、アップグレード、機器の交換などの場合に大きなネットワーク遅延が発生したり、ネットワークが中断したりすることがあり、ユーザーはそれに耐えることができません。
2ネットワークタップバイパススイッチの高度な機能とテクノロジー
Mylinking™「SpecFlow」保護モードと「FullLink」保護モードテクノロジー
Mylinking™ 高速バイパススイッチング保護テクノロジー
Mylinking™「LinkSafeSwitch」テクノロジー
Mylinking™「Webサービス」ダイナミック戦略転送/発行テクノロジー
Mylinking™ インテリジェントハートビートメッセージ検出テクノロジー
Mylinking™ 定義可能なハートビートメッセージテクノロジー
Mylinking™ マルチリンク負荷分散テクノロジー
Mylinking™ インテリジェントトラフィック分散テクノロジー
Mylinking™ ダイナミックロードバランシングテクノロジー
Mylinking™ リモート管理テクノロジー(HTTP/WEB、TELNET/SSH、「EasyConfig/AdvanceConfig」特性)
3ネットワークタップバイパススイッチ構成ガイド
バイパス保護ポートモジュールスロット:
このスロットには、異なる速度/ポート番号のバイパス保護ポートモジュールを挿入できます。異なる種類のモジュールを交換することで、複数の10G/40G/100Gリンクのバイパス保護をサポートできます。
モニターポート モジュール スロット。
このスロットには、異なる速度/ポートのMONITORポートモジュールを挿入できます。異なるモデルを交換することで、複数の10G/40G/100Gリンクオンラインシリアルモニタリングデバイスの導入をサポートできます。
モジュール選択ルール
展開されているさまざまなリンクと監視機器の展開要件に基づいて、実際の環境のニーズを満たすさまざまなモジュール構成を柔軟に選択できます。選択するときは、次のルールに従ってください。
1. シャーシコンポーネントは必須です。他のモジュールを選択する前にシャーシコンポーネントを選択してください。同時に、ニーズに応じて異なる電源方式(AC/DC)を選択してください。
2. マシン全体で最大2つのBYPASSモジュールスロットと1つのMONITORモジュールスロットをサポートします。スロット数を超えて設定することはできません。スロット数とモジュールモデルの組み合わせに応じて、デバイスは最大4つの10GEリンク保護、最大4つの40GEリンク、または最大1つの100GEリンクをサポートできます。
3. モジュールモデル「BYP-MOD-L1CG」は、SLOT1にのみ挿入して正常に動作します。
4. モジュール タイプ「BYP-MOD-XXX」は BYPASS モジュール スロットにのみ挿入でき、モジュール タイプ「MON-MOD-XXX」は MONITOR モジュール スロットにのみ挿入して通常の操作を行うことができます。
| 製品モデル | 関数パラメータ |
| シャーシ(ホスト) | |
| ML-バイパス-M200 | 1U 標準 19 インチ ラックマウント、最大消費電力 250W、モジュラー BYPASS プロテクター ホスト、2 つの BYPASS モジュール スロット、1 つの MONITOR モジュール スロット、AC および DC オプション。 |
| バイパスモジュール | |
| BYP-MOD-L2XG(LM/SM) | 2 方向 10GE リンク シリアル保護、4*10GE インターフェイス、LC コネクタをサポート。内蔵光トランシーバー、光リンク シングル/マルチモード (オプション)、10GBASE-SR/LR をサポート。 |
| BYP-MOD-L2QXG(LM/SM) | 2 方向 40GE リンク シリアル保護、4 * 40GE インターフェイス、LC コネクタをサポート。内蔵光トランシーバー。光リンク シングル/マルチモード (オプション)、40GBASE-SR4/LR4 をサポート。 |
| BYP-MOD-L1CG(LM/SM) | 1 チャネル 100GE リンク シリアル保護、2 * 100GE インターフェイス、LC コネクタをサポート。内蔵光トランシーバー。光リンク シングル マルチモードはオプション、100GBASE-SR4/LR4 をサポート。 |
| モニターモジュール | |
| MON-MOD-L16XG | 16*10GE SFP+ 監視ポート モジュール。光トランシーバー モジュールなし。 |
| MON-MOD-L8XG | 8*10GE SFP+ 監視ポート モジュール。光トランシーバー モジュールなし。 |
| MON-MOD-L2CG | 2*100GE QSFP28 モニタリング ポート モジュール。光トランシーバー モジュールなし。 |
| MON-MOD-L8QXG | 8* 40GE QSFP+ モニタリング ポート モジュール。光トランシーバー モジュールなし。 |
4ネットワークTAPバイパススイッチの仕様
| 製品モダリティ | ML-BYPASS-M200 シリアルバイパススイッチ | |
| インターフェースの種類 | MGTインターフェース | 1*10/100/1000BASE-T 適応型管理インターフェース; リモート HTTP/IP 管理をサポート |
| モジュールスロット | 2*BYPASSモジュールスロット;1*MONITORモジュールスロット; | |
| 最大限をサポートするリンク | デバイスは最大 4*10GE リンクまたは 4*40GE リンクまたは 1*100GE リンクをサポートします | |
| モニター | デバイスは最大 16 * 10GE 監視ポートまたは 8 * 40GE 監視ポートまたは 2 * 100GE 監視ポートをサポートします。 | |
| 関数 | 全二重処理能力 | 640Gbps |
| IP/プロトコル/ポートの5タプルに基づく特定のトラフィックカスケード保護 | サポート | |
| 完全なトラフィックに基づくカスケード保護 | サポート | |
| 複数の負荷分散 | サポート | |
| カスタムハートビート検出機能 | サポート | |
| イーサネットパッケージの独立性をサポート | サポート | |
| バイパススイッチ | サポート | |
| フラッシュなしのバイパススイッチ | サポート | |
| コンソール管理 | サポート | |
| IP/WEB管理 | サポート | |
| SNMP V1/V2C 管理 | サポート | |
| TELNET/SSH 管理 | サポート | |
| SYSLOGプロトコル | サポート | |
| ユーザー認証 | パスワード認証/AAA/TACACS+に基づく | |
| 電気 | 定格供給電圧 | AC-220V/DC-48V【オプション】 |
| 定格電力周波数 | 50Hz | |
| 定格入力電流 | AC-3A / DC-10A | |
| 定格出力 | 100W | |
| 環境 | 動作温度 | 0-50℃ |
| 保管温度 | -20~70℃ | |
| 動作湿度 | 10%~95%、結露なし | |
| ユーザー設定 | コンソール構成 | RS232インターフェース、115200、8、N、1 |
| 帯域外MGTインターフェース | 1*10/100/1000M イーサネット インターフェース | |
| パスワード認証 | サポート | |
| シャーシの高さ | シャーシスペース(U) | 1U 19インチ、485mm×44.5mm×350mm |
5-ネットワークTAPバイパススイッチアプリケーション(以下の通り)
以下は、一般的な IPS(侵入防止システム)、FW(ファイアウォール)の展開モードです。IPS / FW は、ネットワーク機器(ルーター、スイッチなど)間のトラフィックに直列に展開され、セキュリティ チェックを実施することで、対応するセキュリティ ポリシーに従って、対応するトラフィックの解放またはブロックを決定し、セキュリティ防御の効果を実現します。
同時に、IPS / FWはシリアル機器の導入として観察できます。通常、シリアルセキュリティを実現するために企業ネットワークの重要な場所に導入されますが、接続されたデバイスの信頼性は、企業ネットワーク全体の可用性に直接影響を及ぼします。シリアルデバイスが過負荷、クラッシュ、ソフトウェア更新、ポリシー更新などを行うと、企業ネットワーク全体の可用性に大きな影響が出ます。このような状況では、ネットワークを切断し、物理的なバイパスジャンパーを介してのみネットワークを復旧できますが、ネットワークの信頼性に深刻な影響を与えます。IPS / FWなどのシリアルデバイスは、一方では企業ネットワークのセキュリティ導入を向上させますが、他方では企業ネットワークの信頼性を低下させ、ネットワークが利用できなくなるリスクを高めます。
5.2 インラインリンクシリーズ機器保護
Mylinking™ の「バイパス スイッチ」は、ネットワーク デバイス (ルーター、スイッチなど) 間に直列に導入され、ネットワーク デバイス間のデータ フローが IPS/FW に直接つながらなくなります。「バイパス スイッチ」は IPS/FW に対して、過負荷、クラッシュ、ソフトウェア更新、ポリシー更新などの障害状態が発生した場合に、インテリジェントなハートビート メッセージ検出機能によってタイムリーに検出し、障害のあるデバイスをスキップすることで、ネットワークの前提を中断することなく、直接接続されているネットワーク デバイスを迅速に保護して、正常な通信ネットワークを保護します。IPS/FW 障害回復時にも、インテリジェントなハートビート メッセージ検出機能によってタイムリーに検出し、元のリンクのセキュリティ チェックを実行して、企業ネットワークのセキュリティを復元します。
Mylinking™「バイパススイッチ」には、強力なインテリジェントハートビートメッセージ検出機能があり、ユーザーはIPS/FWのカスタムハートビートメッセージを通じて、ハートビート間隔と最大再試行回数をカスタマイズしてヘルステストを行うことができます。たとえば、IPS/FWのアップストリーム/ダウンストリームポートにハートビートチェックメッセージを送信し、IPS/FWのアップストリーム/ダウンストリームポートから受信し、ハートビートメッセージの送受信によってIPS/FWが正常に動作しているかどうかを判断します。
5.3 「SpecFlow」ポリシーフローインライントラクションシリーズ保護
セキュリティネットワークデバイスが直列セキュリティ保護における特定のトラフィックのみを処理する必要がある場合、Mylinking™の「バイパススイッチ」トラフィック単位処理機能により、トラフィックスクリーニング戦略を通じてセキュリティデバイスに接続され、「該当」トラフィックが直接ネットワークリンクに送り返され、「該当トラフィックセクション」がインラインセキュリティデバイスに牽引されて安全チェックが実行されます。これにより、セキュリティデバイスの安全検出機能の正常な適用が維持されるだけでなく、セキュリティ機器の処理にかかる非効率的なフローが軽減されます。同時に、「バイパススイッチ」はセキュリティデバイスの動作状態をリアルタイムで検出できます。セキュリティデバイスが異常動作した場合、データトラフィックを直接バイパスすることで、ネットワークサービスの中断を回避します。
Mylinking™ Traffic Bypass Protectorは、VLANタグ、送信元/宛先MACアドレス、送信元IPアドレス、IPパケットタイプ、トランスポート層プロトコルポート、プロトコルヘッダーキータグなど、L2-L4層のヘッダー識別子に基づいてトラフィックを識別できます。様々なマッチング条件を柔軟に組み合わせることで、特定のセキュリティデバイスにとって重要なトラフィックタイプを定義でき、特殊なセキュリティ監査デバイス(RDP、SSH、データベース監査など)の導入に幅広く活用できます。
5.4 負荷バランス型直列保護
Mylinking™「バイパススイッチ」は、ネットワークデバイス(ルーター、スイッチなど)間に直列に導入されます。単一のIPS/FW処理性能ではネットワークリンクのピークトラフィックに対応しきれない場合、プロテクターのトラフィック負荷分散機能により、複数のIPS/FWクラスタがネットワークリンクトラフィックを「束ねる」ことで、単一のIPS/FW処理負荷を効果的に軽減し、全体的な処理性能を向上させ、導入環境の高帯域幅に対応します。
Mylinking™「バイパス スイッチ」は強力な負荷分散機能を備えており、フレームの VLAN タグ、MAC 情報、IP 情報、ポート番号、プロトコルなどのハッシュ情報に基づいてトラフィックを負荷分散し、各 IPS/FW が受信したデータ フローのセッション整合性を確保します。
5.5 マルチシリーズインライン機器のフロートラクション保護(直列接続を並列接続に変更)
一部の重要なリンク(インターネットコンセント、サーバーエリアの交換リンクなど)では、セキュリティ機能の要件により、複数のインラインセキュリティテスト機器(ファイアウォール、DDoS攻撃対策機器、WEBアプリケーションファイアウォール、侵入防御機器など)が配置されていることがよくあります。複数のセキュリティ検出機器が同時にリンク上に直列に接続されると、リンクの単一障害点が増加し、ネットワーク全体の信頼性が低下します。また、前述のセキュリティ機器のオンライン展開、機器のアップグレード、機器の交換などの操作は、ネットワークの長時間のサービス中断を引き起こし、プロジェクトの円滑な実施のために大規模なプロジェクト削減措置を講じることになります。
「バイパス スイッチ」を統一的に展開することにより、同一リンク上に直列接続された複数のセキュリティ デバイスの展開モードを「物理連結モード」から「物理連結、論理連結モード」に変更できます。リンク上の単一障害点のリンクの信頼性を向上させると同時に、「バイパス スイッチ」がリンク フローをオンデマンドで牽引し、元のモードと同じフローで安全な処理効果を実現します。
複数のセキュリティデバイスを同時に直列に配置する展開図:
Mylinking™ ネットワーク TAP バイパス スイッチの展開図:
5.6 交通牽引セキュリティ検出保護の動的戦略に基づく
「バイパス スイッチ」のもう 1 つの高度なアプリケーション シナリオは、トラフィック トラクション セキュリティ検出保護アプリケーションの動的戦略に基づいており、展開方法は次のようになります。
「アンチDDoS攻撃防御・検知」セキュリティテスト装置を例に挙げると、フロントエンドに「バイパススイッチ」を配置し、アンチDDoS防御装置を「バイパススイッチ」に接続します。通常の「トラクションプロテクター」は、全トラフィックをワイヤースピードで転送すると同時に、フローミラー出力を「アンチDDoS攻撃防御装置」に送ります。攻撃を受けたサーバIP(またはIPネットワークセグメント)が「アンチDDoS攻撃防御装置」に攻撃されたことを検出すると、「アンチDDoS攻撃防御装置」は対象のトラフィックフローにマッチするルールを生成し、動的ポリシー配信インターフェースを介して「バイパススイッチ」に送信します。「バイパススイッチ」は、動的ポリシールールを受信した後に「トラフィックトラクション」を更新し、「ルールプール」にルールを即座に適用し、攻撃を受けたサーバのトラフィックを「アンチDDoS攻撃防御・検知」装置に転送して処理します。これにより、攻撃フローがネットワークに再投入されます。
「バイパススイッチ」に基づくアプリケーションスキームは、従来の BGP ルートインジェクションやその他のトラフィックトラクションスキームよりも実装が容易で、環境のネットワークへの依存度が低く、信頼性が高くなります。
「バイパス スイッチ」は、動的ポリシー セキュリティ検出保護をサポートするために次の特性を備えています。
1、「バイパス スイッチ」は、WEBSERIVCE インターフェースに基づいてルール外を提供し、サードパーティのセキュリティ デバイスとの統合を容易にします。
2、「バイパス スイッチ」は、スイッチ転送をブロックすることなく最大 10Gbps のワイヤ スピード パケットを転送するハードウェア ピュア ASIC チップと、数に関係なく「トラフィック トラクション ダイナミック ルール ライブラリ」に基づいています。
3、「バイパススイッチ」はプロのBYPASS機能を内蔵しており、プロテクター自体が故障した場合でも、元のシリアルリンクを直ちにバイパスすることができ、元のリンクの正常な通信に影響を与えません。
