1- ハートビート パケットの定義とは何ですか?
Mylinking™ ネットワーク タップ バイパス スイッチのハートビート パケットは、デフォルトでイーサネット レイヤ 2 フレームになります。透過的なレイヤ 2 ブリッジング モード (IPS/FW など) を展開する場合、通常、レイヤ 2 イーサネット フレームは転送、ブロック、または破棄されます。同時に、Mylinking™ ネットワーク タップ バイパス スイッチは、一部の特別なシリアル セキュリティ デバイスが通常は通常のレイヤー 2 イーサネット フレームを転送できない状況に対応するために、カスタム ハートビート メッセージ形式をサポートします。
また、Mylinking™ ネットワーク タップ バイパス スイッチは、VLAN タグ、レイヤー 3 およびレイヤー 4 のカスタム メッセージ タイプに基づくハートビート パケット検出もサポートしています。このメカニズムに基づいて、ユーザーは接続安全デバイスのサービス安全テスト機能を実装して、対応するセキュリティ サービスが適切に機能することをより効果的に確認できます。
Mylinking™ ネットワーク タップ バイパス スイッチは、モニターが異なるハートビート パケットを両方向に送信することをサポートできます。たとえば、TCP および UDP タイプのハートビート パケットは、シリアル デバイスの特性に応じて「Strategy Traffic Traction Protector」上でカスタマイズされます。シリアル セキュリティ デバイスのメッセージ転送メカニズムに対応するために、アップリンク モニタ A ポートでの TCP ハートビート パケットの送信と、ダウンリンク モニタ B ポートでの UDP ハートビート パケットの送信を設定できます。この関数により、より効果的に文字列を保証できます。安全装置を通常の動作に接続します。
Mylinking™ ネットワーク インライン バイパス スイッチは、高いネットワーク信頼性を提供しながら、さまざまな種類のシリアル セキュリティ機器を柔軟に導入できるように研究開発されています。
2 ネットワーク インライン バイパス スイッチの高度な機能とテクノロジー
Mylinking™「SpecFlow」保護モードおよび「FullLink」保護モードテクノロジー
Mylinking™ 高速バイパス スイッチング保護テクノロジー
Mylinking™「LinkSafeSwitch」テクノロジー
Mylinking™「WebService」 動的戦略転送・発行技術
Mylinking™ インテリジェント ハートビート メッセージ検出テクノロジー
Mylinking™ 定義可能なハートビート メッセージ テクノロジー
Mylinking™ マルチリンク負荷分散テクノロジー
Mylinking™ インテリジェントトラフィック分散テクノロジー
Mylinking™ 動的負荷分散テクノロジー
Mylinking™ リモート管理技術(HTTP/WEB、TELNET/SSH、「EasyConfig/AdvanceConfig」特性)
3-ネットワークインラインバイパススイッチアプリケーション(以下の通り)
3.1 インラインセキュリティ機器(IPS/FW)のリスク
以下は一般的な IPS (侵入防止システム)、FW (ファイアウォール) の展開モードです。セキュリティ チェックの実装によると、IPS/FW はトラフィック間のネットワーク機器 (ルーター、スイッチなど) に直列に展開されます。対応するセキュリティ ポリシーを使用して、対応するトラフィックのリリースまたはブロックを決定し、セキュリティ防御の効果を実現します。
同時に、IPS/FW は機器のシリアル展開であり、通常はシリアル セキュリティを実装するために企業ネットワークの主要な場所に展開され、接続されたデバイスの信頼性が企業ネットワーク全体の可用性に直接影響することがわかります。シリアル デバイスの過負荷、クラッシュ、ソフトウェア アップデート、ポリシー アップデートなどが発生すると、企業ネットワーク全体の可用性が大きな影響を受けます。現時点では、物理的なバイパス ジャンパを介してネットワークを切断するだけでネットワークを復元できるため、ネットワークの信頼性に重大な影響を及ぼします。 IPS/FW およびその他のシリアル デバイスは、企業ネットワーク セキュリティの導入を向上させる一方で、企業ネットワークの信頼性を低下させ、ネットワークが利用できないリスクを高めます。
3.2 インラインリンクシリーズ機器の保護
Mylinking™「ネットワーク インライン バイパス」は、ネットワーク デバイス (ルーター、スイッチなど) 間で直列に展開され、ネットワーク デバイス間のデータ フローが IPS / FW に直接接続されなくなり、「ネットワーク インライン バイパス」は IPS / FW に接続されます。過負荷、クラッシュ、ソフトウェア更新、ポリシー更新およびその他の障害条件による IPS / FW、インテリジェントなハートビート メッセージ検出機能による「ネットワーク インライン バイパス」によるタイムリーな検出機能により、障害のあるデバイスをスキップします。ネットワークの前提を中断することなく、高速ネットワーク機器を直接接続して通常の通信ネットワークを保護します。 IPS / FW障害回復時だけでなく、インテリジェントなハートビートパケット検出機能を介してタイムリーに検出し、元のリンクのセキュリティを復元して企業ネットワークのセキュリティチェックを行います。
Mylinking™「ネットワーク インライン バイパス」には強力なインテリジェント ハートビート メッセージ検出機能があり、ユーザーはハートビート チェックの送信などの健全性テスト用に IPS / FW 上のカスタム ハートビート メッセージを通じてハートビート間隔と最大再試行回数をカスタマイズできます。ハートビートメッセージを IPS/FW の上流/下流ポートに送信し、IPS/FW の上流/下流ポートから受信し、ハートビートメッセージの送受信により IPS/FW が正常に動作しているかどうかを判断します。
3.3 「SpecFlow」ポリシー フロー インライン Traction シリーズ保護
セキュリティ ネットワーク デバイスが一連のセキュリティ保護で特定のトラフィックのみを処理する必要がある場合、Mylinking™ の「ネットワーク インライン バイパス」トラフィックごとの処理機能を通じて、トラフィック スクリーニング戦略を通じてセキュリティ デバイスに接続する「懸念される」トラフィックが送り返されます。ネットワークリンクに直接接続され、「関係する交通セクション」はインライン安全装置に接続されて安全チェックを実行します。これにより、安全装置の安全検出機能の正常な適用が維持されるだけでなく、圧力に対処するための安全装置の非効率な流れも削減されます。同時に、「ネットワークインラインバイパス」により、安全装置の作動状態をリアルタイムに検出できます。安全装置が異常に動作し、ネットワーク サービスの中断を避けるためにデータ トラフィックを直接バイパスします。
3.4 負荷分散された直列保護
Mylinking™「ネットワーク インライン バイパス」は、ネットワーク デバイス (ルーター、スイッチなど) 間に直列に導入されます。単一の IPS / FW 処理パフォーマンスがネットワーク リンクのピーク トラフィックに対処するのに十分でない場合、プロテクターのトラフィック ロード バランシング機能、つまりネットワーク リンク トラフィックを処理する複数の IPS / FW クラスターを「バンドル」することで、単一の IPS / FW 処理パフォーマンスを効果的に削減できます。 FW の処理圧力により、導入環境の高帯域幅を満たすために全体的な処理パフォーマンスが向上すると主張します。
Mylinking™「ネットワーク インライン バイパス」は、フレームの VLAN タグ、MAC 情報、IP 情報、ポート番号、プロトコル、およびトラフィックのハッシュ ロード バランシングに関するその他の情報に従って、各 IPS / FW が確実に受信できるようにする強力なロード バランシング機能を備えています。データ フロー セッションの整合性。
3.5 多直列インライン機器の流量トラクション保護(直列接続から並列接続への変更)
一部の主要なリンク (インターネット アウトレット、サーバー エリア交換リンクなど) では、多くの場合、セキュリティ機能の必要性と、複数のインライン セキュリティ テスト機器 (ファイアウォール、DDOS 攻撃対策機器、WEB アプリケーション ファイアウォールなど) の導入が原因で位置が決まります。 、侵入防止装置など)、複数のセキュリティ検出装置をリンク上で同時に直列に接続すると、単一障害点のリンクが増加し、ネットワーク全体の信頼性が低下します。また、上記のセキュリティ機器のオンライン展開では、機器のアップグレード、機器の交換、その他の作業により、ネットワークのサービスが長時間中断され、そのようなプロジェクトを成功裏に完了するには大規模なプロジェクト削減措置が発生します。
「ネットワークインラインバイパス」を統一的に導入することで、同一リンク上に直列接続された複数のセキュリティ装置の導入モードを「物理コンカチネーションモード」から「物理コンカチネーション、論理コンカチネーションモード」に変更することができます。単一障害点を除去してリンクの信頼性を向上させると同時に、リンク上の「ネットワーク インライン バイパス」はオンデマンドのトラクション フローを実現し、元のモードと同じフローの安全な処理効果を実現します。
複数のセキュリティ デバイスを同時に直列に配置する図:
ネットワーク インライン バイパス スイッチの配置図:
3.6 交通トラクションセキュリティ検出保護の動的戦略に基づく
「ネットワーク インライン バイパス」 もう 1 つの高度なアプリケーション シナリオは、トラフィック トラクション セキュリティ検出保護アプリケーションの動的戦略に基づいており、以下に示す方法を展開します。
たとえば、「アンチ DDoS 攻撃保護および検出」セキュリティ テスト装置を、フロントエンドに「ネットワーク インライン バイパス」を導入し、次にアンチ DDOS 保護装置を導入してから「ネットワーク インライン バイパス」に接続します。通常の「トラクション プロテクター」は、攻撃後にサーバー IP (または IP ネットワーク セグメント) が検出されると、フロー ミラー出力を「アンチ DDOS 攻撃保護デバイス」に出力すると同時に、トラフィックの全量をワイヤースピードで転送します。 」 DDOS 攻撃防止デバイス」は、ターゲット トラフィック フローの一致ルールを生成し、動的ポリシー配信インターフェイスを介して「ネットワーク インライン バイパス」に送信します。 「ネットワーク インライン バイパス」は、動的ポリシー ルール ルール プールを受信した後、「トラフィック トラクション ダイナミック」を更新し、ルールが攻撃サーバーに「ヒットするとすぐに」トラフィック トラクションを「DDoS 攻撃対策保護および検出」装置に処理して、攻撃フローの後に有効になり、ネットワークに再注入されます。
「ネットワーク インライン バイパス」に基づくアプリケーション スキームは、従来の BGP ルート インジェクションやその他のトラフィック トラクション スキームよりも実装が容易で、環境のネットワーク依存性が低く、信頼性が高くなります。
「ネットワーク インライン バイパス」には、動的なポリシー セキュリティ検出保護をサポートする次の特性があります。
1、「ネットワーク インライン バイパス」は、WEBSERIVCE インターフェイスに基づいてルールの外に提供し、サードパーティのセキュリティ デバイスと簡単に統合します。
2、スイッチ転送をブロックすることなく最大 10Gbps のワイヤスピード パケットを転送するハードウェア純粋な ASIC チップに基づく「ネットワーク インライン バイパス」と、数に関係なく「トラフィック トラクション ダイナミック ルール ライブラリ」。
3、「ネットワークインラインバイパス」内蔵の専門的なバイパス機能は、プロテクター自体に障害が発生した場合でも、元のシリアルリンクをすぐにバイパスすることができ、通常の通信の元のリンクには影響を与えません。
投稿時間: 2021 年 12 月 23 日