Mylinking™ ネットワークタップバイパススイッチ ML-BYPASS-M200
バイパスポート2個とモニターポート1個を搭載したモジュール設計、10/40/100GEリンク、最大640Gbps
1-概要
Mylinking™スマートバイパススイッチを導入することで:
- ユーザーはセキュリティ機器を柔軟に設置/取り外しでき、現在のネットワークに影響を与えたり、中断させたりすることはありません。
- Mylinking™ネットワークタップバイパススイッチは、インテリジェントな健康検出機能を備え、シリアルセキュリティデバイスの正常な動作状態をリアルタイムで監視します。シリアルセキュリティデバイスの動作に異常が発生した場合、保護機能が自動的にバイパスされ、正常なネットワーク通信が維持されます。
- 選択的トラフィック保護技術は、特定のトラフィッククリーニングセキュリティ機器、監査機器に基づく暗号化技術を導入するために使用できます。特定のトラフィックタイプに対するシリアルアクセス保護を効果的に実行し、シリアルデバイスのフロー処理負荷を軽減します。
- ロードバランシング型トラフィック保護技術は、セキュアなシリアルデバイスをクラスタリングして展開する際に使用することで、高帯域幅環境におけるシリアルセキュリティのニーズを満たすことができます。
インターネットの急速な発展に伴い、ネットワーク情報セキュリティの脅威はますます深刻化しており、さまざまな情報セキュリティ保護アプリケーションがますます広く使用されています。従来のアクセス制御機器(ファイアウォール)であれ、侵入防御システム(IPS)、統合脅威管理プラットフォーム(UTM)、サービス拒否攻撃対策システム(Anti-DDoS)、アンチスパンゲートウェイ、統合DPIトラフィック識別制御システムなどの新しいタイプのより高度な保護手段であれ、多くのセキュリティデバイスがネットワークのキーノードに直列に配置され、対応するデータセキュリティポリシーを実行して、合法/違法トラフィックを識別して処理します。しかし同時に、コンピュータネットワークは、フェイルオーバー、メンテナンス、アップグレード、機器交換などの場合に、高い信頼性が求められる本番ネットワークアプリケーション環境では、大きなネットワーク遅延やネットワーク障害を引き起こす可能性があり、ユーザーはそれを許容できません。
2-ネットワークタップバイパススイッチの高度な機能と技術
Mylinking™「SpecFlow」保護モードおよび「FullLink」保護モード技術
Mylinking™ 高速バイパススイッチング保護技術
Mylinking™「LinkSafeSwitch」テクノロジー
Mylinking™「Webサービス」動的ポリシー転送/発行テクノロジー
Mylinking™ インテリジェント心拍パケット検出技術
Mylinking™ 定義可能なハートビートパケット技術
Mylinking™ マルチリンク負荷分散技術
Mylinking™ インテリジェント交通分散技術
Mylinking™ ダイナミックロードバランシングテクノロジー
Mylinking™リモート管理テクノロジー(HTTP/WEB、TELNET/SSH、「EasyConfig/AdvanceConfig」機能)
3-ネットワークタップバイパススイッチ設定ガイド
バイパス保護ポートモジュールスロット:
このスロットは、速度やポート数の異なるバイパス保護ポートモジュールに挿入できます。異なる種類のモジュールを交換することで、複数の10G/40G/100Gリンクのバイパス保護をサポートできます。
モニターポートモジュールスロット;
このスロットは、異なる速度/ポート数のモニターポートモジュールに挿入できます。異なるモデルに交換することで、複数の10G/40G/100Gリンクオンラインシリアル監視デバイスの展開をサポートできます。
モジュール選択ルール
展開するリンクや監視機器の展開要件に応じて、実際の環境ニーズに合わせてさまざまなモジュール構成を柔軟に選択できます。選択する際は、以下のルールに従ってください。
1. シャーシ部品は必須です。他のモジュールを選択する前に、必ずシャーシ部品を選択してください。同時に、必要に応じて電源方式(AC/DC)を選択してください。
2. 本機は最大2つのBYPASSモジュールスロットと1つのMONITORモジュールスロットをサポートします。構成するスロット数を超えるスロットを選択することはできません。スロット数とモジュールモデルの組み合わせにより、本機は最大4つの10GEリンク保護、または最大4つの40GEリンク、または最大1つの100GEリンクをサポートできます。
3. モジュールモデル「BYP-MOD-L1CG」は、SLOT1に挿入した場合のみ正常に動作します。
4. モジュールタイプ「BYP-MOD-XXX」はBYPASSモジュールスロットにのみ挿入できます。モジュールタイプ「MON-MOD-XXX」は、通常動作のためにMONITORモジュールスロットにのみ挿入できます。
| 製品モデル | 機能パラメータ |
| シャーシ(ホスト) | |
| ML-BYPASS-M200 | 1U標準19インチラックマウント、最大消費電力250W、モジュラーBYPASSプロテクターホスト、BYPASSモジュールスロット2個、MONITORモジュールスロット1個、ACおよびDCオプション。 |
| バイパスモジュール | |
| BYP-MOD-L2XG(LM/SM) | 双方向10GEリンクシリアル保護、4*10GEインターフェース、LCコネクタをサポート。光トランシーバー内蔵。光リンクシングル/マルチモードを選択可能、10GBASE-SR/LRをサポート。 |
| BYP-MOD-L2QXG(LM/SM) | 双方向40GEリンクシリアル保護、4*40GEインターフェース、LCコネクタをサポート。光トランシーバー内蔵。光リンクシングル/マルチモードを選択可能、40GBASE-SR4/LR4をサポート。 |
| BYP-MOD-L1CG (LM/SM) | 1チャンネル100GEリンクシリアル保護、2*100GEインターフェース、LCコネクタをサポート。光トランシーバー内蔵。光リンクシングルマルチモードオプション、100GBASE-SR4/LR4をサポート。 |
| モニターモジュール | |
| MON-MOD-L16XG | 16個の10GE SFP+モニタリングポートモジュール。光トランシーバーモジュールは付属しません。 |
| MON-MOD-L8XG | 8*10GE SFP+モニタリングポートモジュール。光トランシーバーモジュールは付属しません。 |
| MON-MOD-L2CG | 2*100GE QSFP28モニタリングポートモジュール。光トランシーバーモジュールは付属しません。 |
| MON-MOD-L8QXG | 8* 40GE QSFP+モニタリングポートモジュール。光トランシーバーモジュールは付属しません。 |
4-ネットワークTAPバイパススイッチの仕様
| 製品形態 | ML-BYPASS-M200 シリアルバイパススイッチ | |
| インターフェースの種類 | MGTインターフェース | 10/100/1000BASE-T対応の管理インターフェースを1つ搭載。リモートHTTP/IP管理に対応。 |
| モジュールスロット | バイパスモジュールスロット×2、モニターモジュールスロット×1 | |
| 最大をサポートするリンク | このデバイスは、最大で4*10GEリンク、4*40GEリンク、または1*100GEリンクをサポートします。 | |
| モニター | 本デバイスは、最大16個の10GE監視ポート、または8個の40GE監視ポート、または2個の100GE監視ポートをサポートします。 | |
| 関数 | 全二重処理機能 | 640Gbps |
| IP/プロトコル/ポートの5つのタプルに基づくトラフィックカスケード保護 | サポート | |
| フルトラフィックに基づくカスケード保護 | サポート | |
| 複数の負荷分散 | サポート | |
| カスタム心拍検出機能 | サポート | |
| イーサネットパッケージの独立性をサポート | サポート | |
| バイパススイッチ | サポート | |
| フラッシュなしのバイパススイッチ | サポート | |
| コンソール管理 | サポート | |
| IP/ウェブ管理 | サポート | |
| SNMP V1/V2C MGT | サポート | |
| TELNET/SSH管理 | サポート | |
| SYSLOGプロトコル | サポート | |
| ユーザー認証 | パスワード認証/AAA/TACACS+に基づく | |
| 電気 | 定格供給電圧 | AC-220V/DC-48V【オプション】 |
| 定格電力周波数 | 50Hz | |
| 定格入力電流 | AC-3A / DC-10A | |
| 定格電力 | 100W | |
| 環境 | 動作温度 | 0~50℃ |
| 保管温度 | -20~70℃ | |
| 動作湿度 | 湿度10~95%、結露なし | |
| ユーザー設定 | コンソール設定 | RS232インターフェース、115200、8、N、1 |
| 帯域外管理インターフェース | 10/100/1000Mイーサネットインターフェース×1 | |
| パスワード認証 | サポート | |
| シャーシの高さ | シャーシスペース(U) | 1U 19インチ、485mm×44.5mm×350mm |
5.ネットワークTAPバイパススイッチアプリケーション(以下参照)
以下は、典型的なIPS(侵入防御システム)、FW(ファイアウォール)の展開モードです。IPS/FWは、ネットワーク機器(ルーター、スイッチなど)間に直列に配置され、トラフィックを介してセキュリティチェックを実行します。対応するセキュリティポリシーに従って、対応するトラフィックの解放またはブロックを決定し、セキュリティ防御効果を実現します。
同時に、IPS/FWは機器の直列配置として捉えることができ、通常は企業ネットワークの重要な場所に配置されて直列セキュリティを実装します。そのため、接続されている機器の信頼性は、企業ネットワーク全体の可用性に直接影響します。直列機器が過負荷、クラッシュ、ソフトウェアアップデート、ポリシーアップデートなどを受けると、企業ネットワーク全体の可用性が大きく損なわれます。この場合、ネットワークを切断し、物理的にバイパスジャンパーを接続する以外にネットワークを復旧する方法はなく、ネットワークの信頼性に深刻な影響を与えます。IPS/FWなどの直列機器は、一方では企業ネットワークのセキュリティ配置を向上させますが、他方では企業ネットワークの信頼性を低下させ、ネットワークが利用できなくなるリスクを高めます。
5.2 インラインリンクシリーズ機器の保護
Mylinking™「バイパススイッチ」は、ネットワーク機器(ルーター、スイッチなど)間に直列に配置され、ネットワーク機器間のデータフローはIPS/FWに直接接続されなくなります。IPS/FWが過負荷、クラッシュ、ソフトウェアアップデート、ポリシーアップデートなどの障害状態になった場合、「バイパススイッチ」はインテリジェントなハートビートメッセージ検出機能により障害をタイムリーに検出し、障害のある機器をスキップして、ネットワークの前提を中断することなく、ネットワーク機器を直接接続して正常な通信ネットワークを迅速に保護します。IPS/FWの障害復旧時にも、インテリジェントなハートビートパケット検出機能により、元のリンクを復元して企業ネットワークのセキュリティチェックを行います。
Mylinking™「バイパススイッチ」は、強力なインテリジェントハートビートメッセージ検出機能を備えています。ユーザーはハートビート間隔と最大再試行回数をカスタマイズでき、IPS/FW上のカスタムハートビートメッセージを使用して健全性テストを行うことができます。たとえば、ハートビートチェックメッセージをIPS/FWの上流/下流ポートに送信し、その後、IPS/FWの上流/下流ポートから受信して、ハートビートメッセージの送受信によってIPS/FWが正常に動作しているかどうかを判断します。
5.3 「SpecFlow」ポリシーフロー インライントラクションシリーズ保護
セキュリティネットワークデバイスが、直列セキュリティ保護において特定のトラフィックのみを処理する必要がある場合、Mylinking™の「バイパススイッチ」トラフィック処理機能を介して、トラフィックスクリーニング戦略によりセキュリティデバイスに接続された「対象」トラフィックがネットワークリンクに直接送り返され、「対象トラフィックセクション」がインラインのセキュリティデバイスに引き渡されてセキュリティチェックが実行されます。これにより、セキュリティデバイスのセキュリティ検出機能の正常な動作が維持されるだけでなく、セキュリティ機器の処理負荷の非効率な流れも軽減されます。同時に、「バイパススイッチ」はセキュリティデバイスの動作状態をリアルタイムで検出できます。セキュリティデバイスが異常動作している場合は、データトラフィックを直接バイパスしてネットワークサービスの中断を回避します。
Mylinking™ Traffic Bypass Protectorは、VLANタグ、送信元/宛先MACアドレス、送信元IPアドレス、IPパケットタイプ、トランスポート層プロトコルポート、プロトコルヘッダーキータグなど、L2~L4レイヤーヘッダー識別子に基づいてトラフィックを識別できます。さまざまなマッチング条件を柔軟に組み合わせることで、特定のセキュリティデバイスにとって重要なトラフィックタイプを定義でき、RDP、SSH、データベース監査などの特別なセキュリティ監査デバイスの展開に幅広く活用できます。
5.4 負荷分散型シリーズ保護
Mylinking™の「バイパススイッチ」は、ネットワーク機器(ルーター、スイッチなど)間に直列に配置されます。単一のIPS/FW処理性能ではネットワークリンクのピークトラフィックに対応できない場合、プロテクタのトラフィック負荷分散機能により、複数のIPS/FWクラスタがネットワークリンクトラフィックを「束ねて」処理することで、単一のIPS/FWの処理負荷を効果的に軽減し、全体的な処理性能を向上させて、展開環境の高い帯域幅の要求を満たすことができます。
Mylinking™「バイパススイッチ」は強力な負荷分散機能を備えており、フレームのVLANタグ、MAC情報、IP情報、ポート番号、プロトコルなどの情報に基づいてハッシュ負荷分散トラフィックを分散し、各IPS/FWが受信するデータフローのセッションの完全性を保証します。
5.5 マルチシリーズインライン機器の流量牽引保護(直列接続を並列接続に変更)
インターネット接続やサーバーエリア間のリンクなど、一部の重要なリンクでは、セキュリティ機能の必要性から、ファイアウォール、DDoS攻撃対策機器、Webアプリケーションファイアウォール、侵入防止機器など、複数のインラインセキュリティテスト機器が配置されることがよくあります。複数のセキュリティ検出機器が同時にリンク上に直列に接続されることで、リンクの単一障害点が増加し、ネットワーク全体の信頼性が低下します。また、上記のセキュリティ機器のオンライン展開、機器のアップグレード、機器の交換などの操作では、ネットワークのサービスが長時間中断され、大規模なプロジェクトカットアクションが発生して、これらのプロジェクトが正常に完了する必要があります。
「バイパススイッチ」を統一的に導入することで、同一リンク上に直列接続された複数のセキュリティデバイスの導入モードを「物理的連結モード」から「物理的連結、論理的連結モード」に変更し、単一障害点となるリンク上のリンクの信頼性を向上させるとともに、リンク上の「バイパススイッチ」が要求に応じてトラフィックを牽引し、元のモードと同じトラフィックで安全な処理効果を実現します。
複数のセキュリティデバイスを同時に直列接続する配置図:
Mylinking™ネットワークTAPバイパススイッチの導入図:
5.6 交通牽引セキュリティ検出保護の動的戦略に基づく
「バイパススイッチ」もう1つの高度なアプリケーションシナリオは、交通牽引セキュリティ検出保護アプリケーションの動的戦略に基づいており、その展開方法は以下のとおりです。
例えば、「アンチDDoS攻撃防御および検出」セキュリティテスト機器では、フロントエンドに「バイパススイッチ」を配置し、アンチDDoS防御機器を接続してから「バイパススイッチ」に接続します。通常の「トラクションプロテクター」では、トラフィックの全量をワイヤースピードで転送すると同時に、フローミラー出力を「アンチDDoS攻撃防御デバイス」に送信します。サーバーIP(またはIPネットワークセグメント)が攻撃を受けたことが検出されると、「アンチDDoS攻撃防御デバイス」はターゲットトラフィックフローのマッチングルールを生成し、動的ポリシー配信インターフェースを介して「バイパススイッチ」に送信します。「バイパススイッチ」は、動的ポリシールールルールプール「トラフィックトラクションダイナミック」を更新し、ルールが攻撃サーバートラフィック「トラクション」にヒットするとすぐに「アンチDDoS攻撃防御および検出」機器に処理され、攻撃後のフローが有効になり、ネットワークに再注入されます。
「バイパススイッチ」に基づくアプリケーション方式は、従来のBGPルートインジェクションやその他のトラフィック牽引方式よりも実装が容易であり、ネットワークへの依存度が低く、信頼性が高い。
「バイパススイッチ」は、動的ポリシーセキュリティ検出保護をサポートするために、以下の特性を備えています。
1. 「バイパススイッチ」は、WEBSERIVCEインターフェースに基づいてルール外のアクセスを提供し、サードパーティのセキュリティデバイスとの統合を容易にします。
2. 「バイパススイッチ」は、ハードウェア純粋なASICチップに基づいて、ブロッキングスイッチ転送なしで最大10Gbpsのワイヤースピードパケットを転送し、「トラフィック牽引動的ルールライブラリ」は数に関係なく機能します。
3. 「バイパススイッチ」内蔵のプロフェッショナルなバイパス機能により、プロテクター自体が故障した場合でも、元のシリアルリンクを即座にバイパスでき、元のリンクの正常な通信に影響を与えません。
