1- Define Heartbeat Packet とは何ですか?
Mylinking™ ネットワークタップバイパススイッチのハートビートパケットは、デフォルトでイーサネットレイヤー2フレームです。透過型レイヤー2ブリッジモード(IPS / FWなど)を導入している場合、レイヤー2イーサネットフレームは通常、転送、ブロック、または破棄されます。同時に、Mylinking™ ネットワークタップバイパススイッチは、一部の特殊なシリアルセキュリティデバイスが通常のレイヤー2イーサネットフレームを正常に転送できない状況に対応するため、カスタムハートビートメッセージフォーマットをサポートしています。
Mylinking™ ネットワークタップバイパススイッチは、VLANタグ、レイヤー3およびレイヤー4のカスタムメッセージタイプに基づくハートビートパケット検出もサポートしています。このメカニズムにより、ユーザーは接続安全デバイスのサービス安全テスト機能を実装し、対応するセキュリティサービスが適切に動作していることをより効果的に確認できます。
Mylinking™ ネットワークタップバイパススイッチは、モニターが双方向に異なるハートビートパケットを送信することをサポートします。例えば、「Strategy Traffic Traction Protector」では、シリアルデバイスの特性に合わせて、TCPおよびUDPタイプのハートビートパケットをカスタマイズできます。アップリンクモニターAポートでTCPハートビートパケットを送信し、ダウンリンクモニターBポートでUDPハートビートパケットを送信するように設定することで、シリアルセキュリティデバイスのメッセージ転送メカニズムに対応できます。この機能により、より効果的にストリングを保証できます。安全装置を通常動作に接続します。
Mylinking™ ネットワーク インライン バイパス スイッチは、高いネットワーク信頼性を提供しながら、さまざまなタイプのシリアル セキュリティ機器を柔軟に導入できるように研究開発されています。
2ネットワークインラインバイパススイッチの高度な機能とテクノロジー
Mylinking™「SpecFlow」保護モードと「FullLink」保護モードテクノロジー
Mylinking™ 高速バイパススイッチング保護テクノロジー
Mylinking™「LinkSafeSwitch」テクノロジー
Mylinking™「Webサービス」ダイナミック戦略転送/発行テクノロジー
Mylinking™ インテリジェントハートビートメッセージ検出テクノロジー
Mylinking™ 定義可能なハートビートメッセージテクノロジー
Mylinking™ マルチリンク負荷分散テクノロジー
Mylinking™ インテリジェントトラフィック分散テクノロジー
Mylinking™ ダイナミックロードバランシングテクノロジー
Mylinking™ リモート管理テクノロジー(HTTP/WEB、TELNET/SSH、「EasyConfig/AdvanceConfig」特性)
3ネットワークインラインバイパススイッチアプリケーション(以下の通り)
3.1 インラインセキュリティ機器(IPS / FW)のリスク
以下は、一般的な IPS(侵入防止システム)、FW(ファイアウォール)の展開モードです。IPS / FW は、ネットワーク機器(ルーター、スイッチなど)間のトラフィックに直列に展開され、セキュリティ チェックを実施することで、対応するセキュリティ ポリシーに従って、対応するトラフィックの解放またはブロックを決定し、セキュリティ防御の効果を実現します。
同時に、IPS / FWはシリアル機器の導入として観察できます。通常、シリアルセキュリティを実現するために企業ネットワークの重要な場所に導入されますが、接続されたデバイスの信頼性は、企業ネットワーク全体の可用性に直接影響を及ぼします。シリアルデバイスが過負荷、クラッシュ、ソフトウェア更新、ポリシー更新などを行うと、企業ネットワーク全体の可用性に大きな影響が出ます。このような状況では、ネットワークを切断し、物理的なバイパスジャンパーを介してのみネットワークを復旧できますが、ネットワークの信頼性に深刻な影響を与えます。IPS / FWなどのシリアルデバイスは、一方では企業ネットワークのセキュリティ導入を向上させますが、他方では企業ネットワークの信頼性を低下させ、ネットワークが利用できなくなるリスクを高めます。
3.2 インラインリンクシリーズ機器保護
Mylinking™の「Network Inline Bypass」は、ネットワークデバイス(ルーター、スイッチなど)間に直列に導入され、ネットワークデバイス間のデータフローがIPS/FWに直接つながらなくなります。「Network Inline Bypass」はIPS/FWに対して、過負荷、クラッシュ、ソフトウェア更新、ポリシー更新などの障害状態が発生した場合、「Network Inline Bypass」はインテリジェントなハートビートメッセージ検出機能を通じてタイムリーに検出し、障害のあるデバイスをスキップすることで、ネットワークの前提を中断することなく、直接接続されているネットワーク機器の正常な通信ネットワークを迅速に保護します。IPS/FW障害回復時も、インテリジェントなハートビートパケット検出機能を通じてタイムリーに検出し、元のリンクのセキュリティをチェックして企業ネットワークのセキュリティを復元します。
Mylinking™「Network Inline Bypass」には、強力でインテリジェントなハートビート メッセージ検出機能があり、ユーザーは IPS/FW のカスタム ハートビート メッセージを通じてハートビート間隔と最大再試行回数をカスタマイズし、ヘルス テストを行うことができます。たとえば、IPS/FW のアップストリーム/ダウンストリーム ポートにハートビート チェック メッセージを送信し、IPS/FW のアップストリーム/ダウンストリーム ポートから受信し、ハートビート メッセージの送受信によって IPS/FW が正常に動作しているかどうかを判断します。
3.3 「SpecFlow」ポリシーフローインライントラクションシリーズ保護
セキュリティネットワークデバイスが直列セキュリティ保護における特定のトラフィックのみを処理する必要がある場合、Mylinking™の「ネットワークインラインバイパス」トラフィック個別処理機能により、トラフィックスクリーニング戦略を通じてセキュリティデバイスに接続している「該当」トラフィックが直接ネットワークリンクに送り返され、「該当トラフィック区間」はインラインセキュリティデバイスに牽引され、安全チェックが行われます。これにより、セキュリティデバイスの安全検出機能の正常な適用が維持されるだけでなく、セキュリティデバイスが処理する非効率的なフローの負荷も軽減されます。同時に、「ネットワークインラインバイパス」はセキュリティデバイスの動作状況をリアルタイムで検出し、セキュリティデバイスが異常動作した場合にデータトラフィックを直接バイパスすることで、ネットワークサービスの中断を回避します。
3.4 負荷バランス型直列保護
Mylinking™「ネットワークインラインバイパス」は、ネットワークデバイス(ルーター、スイッチなど)間に直列に導入されます。単一のIPS/FW処理性能ではネットワークリンクのピークトラフィックに対応できない場合、プロテクターのトラフィック負荷分散機能により、複数のIPS/FWクラスタがネットワークリンクトラフィックを「バンドル」することで、単一のIPS/FW処理負荷を効果的に軽減し、全体的な処理性能を向上させ、導入環境の高帯域幅に対応します。
Mylinking™「ネットワーク インライン バイパス」は強力な負荷分散機能を備えており、フレームのVLANタグ、MAC情報、IP情報、ポート番号、プロトコルなどのハッシュ情報に基づいてトラフィックを負荷分散し、各IPS/FWが受信したデータフローのセッション整合性を確保します。
3.5 マルチシリーズインライン機器のフロートラクション保護(直列接続を並列接続に変更)
一部の重要なリンク(インターネットコンセント、サーバーエリアの交換リンクなど)では、セキュリティ機能の要件により、複数のインラインセキュリティテスト機器(ファイアウォール、DDoS攻撃対策機器、WEBアプリケーションファイアウォール、侵入防御機器など)が配置されていることがよくあります。複数のセキュリティ検出機器が同時にリンク上に直列に接続されると、リンクの単一障害点が増加し、ネットワーク全体の信頼性が低下します。また、前述のセキュリティ機器のオンライン展開、機器のアップグレード、機器の交換などの操作は、ネットワークの長時間のサービス中断を引き起こし、プロジェクトの円滑な実施のために大規模なプロジェクト削減措置を講じることになります。
「ネットワーク インライン バイパス」を統一的に導入することで、同一リンク上に直列接続された複数のセキュリティ デバイスの導入モードを「物理連結モード」から「物理連結、論理連結モード」に変更することができます。リンク上の単一障害点のリンクの信頼性を向上させると同時に、「ネットワーク インライン バイパス」がリンク上のフローをオンデマンドで牽引し、同じフローを元のモードの安全な処理効果で実現します。
複数のセキュリティデバイスを同時に直列に配置する展開図:
ネットワーク インライン バイパス スイッチの展開図:
3.6 交通牽引セキュリティ検出保護の動的戦略に基づく
「ネットワークインラインバイパス」もう一つの高度な応用シナリオは、トラフィック牽引セキュリティ検出保護アプリケーションの動的戦略に基づいており、展開方法は以下のとおりです。
「アンチDDoS攻撃防御および検知」セキュリティテスト装置を例に挙げると、フロントエンドに「ネットワークインラインバイパス」を配置し、アンチDDoS防御装置を「ネットワークインラインバイパス」に接続します。通常の「トラクションプロテクター」では、トラフィックの全量をワイヤースピード転送すると同時にフローミラーリングして「アンチDDoS攻撃防御装置」に出力します。サーバーIP(またはIPネットワークセグメント)への攻撃が検出されると、「アンチDDoS攻撃防御装置」は対象のトラフィックフローに一致するルールを生成し、動的ポリシー配信インターフェースを介して「ネットワークインラインバイパス」に送信します。「ネットワークインラインバイパス」は、動的ポリシールールを受信した後に「トラフィックトラクション」ルールプールを更新し、「すぐに」ルールが攻撃サーバーにヒットしたトラフィックを「アンチDDoS攻撃防御および検知」装置に転送して処理し、攻撃フローがネットワークに再投入された後に有効になります。
「ネットワークインラインバイパス」に基づくアプリケーションスキームは、従来のBGPルートインジェクションやその他のトラフィックトラクションスキームよりも実装が容易で、環境のネットワークへの依存度が低く、信頼性が高くなります。
「ネットワーク インライン バイパス」は、動的ポリシー セキュリティ検出保護をサポートする次の特性を備えています。
1、「ネットワークインラインバイパス」は、WEBSERIVCEインターフェースに基づいてルールの外側を提供し、サードパーティのセキュリティデバイスとの統合が容易です。
2、ハードウェア純粋なASICチップに基づく「ネットワークインラインバイパス」は、スイッチ転送をブロックすることなく最大10Gbpsのワイヤスピードパケットを転送し、数に関係なく「トラフィックトラクション動的ルールライブラリ」を使用します。
3、「ネットワークインラインバイパス」内蔵の専門的なBYPASS機能により、プロテクター自体が故障した場合でも、元のシリアルリンクを直ちにバイパスすることができ、元のリンクの正常な通信に影響を与えません。
投稿日時: 2021年12月23日
