1- Define Heartbeat Packet とは何ですか?
Mylinking™ ネットワークタップバイパススイッチのハートビートパケットは、デフォルトでイーサネットレイヤー2フレームです。透過型レイヤー2ブリッジモード(IPS / FWなど)を導入している場合、レイヤー2イーサネットフレームは通常、転送、ブロック、または破棄されます。同時に、Mylinking™ ネットワークタップバイパススイッチは、一部の特殊なシリアルセキュリティデバイスが通常のレイヤー2イーサネットフレームを正常に転送できない状況に対応するため、カスタムハートビートメッセージフォーマットをサポートしています。
Mylinking™ ネットワークタップバイパススイッチは、VLANタグ、レイヤー3およびレイヤー4のカスタムメッセージタイプに基づくハートビートパケット検出もサポートしています。このメカニズムにより、ユーザーは接続安全デバイスのサービス安全テスト機能を実装し、対応するセキュリティサービスが適切に動作していることをより効果的に確認できます。
Mylinking™ ネットワークタップバイパススイッチは、モニターが双方向に異なるハートビートパケットを送信することをサポートします。例えば、「Strategy Traffic Traction Protector」では、シリアルデバイスの特性に合わせて、TCPおよびUDPタイプのハートビートパケットをカスタマイズできます。アップリンクモニターAポートでTCPハートビートパケットを送信し、ダウンリンクモニターBポートでUDPハートビートパケットを送信するように設定することで、シリアルセキュリティデバイスのメッセージ転送メカニズムに対応できます。この機能により、より効果的にセキュリティを確保できます。安全装置を通常動作に接続してください。
Mylinking™ ネットワーク インライン バイパス スイッチは、高いネットワーク信頼性を提供しながら、さまざまなタイプのシリアル セキュリティ機器を柔軟に導入できるように研究開発されています。
2ネットワークインラインバイパススイッチの高度な機能とテクノロジー
Mylinking™「SpecFlow」保護モードと「FullLink」保護モードテクノロジー
Mylinking™ 高速バイパススイッチング保護テクノロジー
Mylinking™「LinkSafeSwitch」テクノロジー
Mylinking™「Webサービス」動的戦略転送/問題テクノロジー
Mylinking™ インテリジェントハートビートメッセージ検出テクノロジー
Mylinking™ 定義可能なハートビートメッセージテクノロジー
Mylinking™ マルチリンク負荷分散テクノロジー
Mylinking™ インテリジェントトラフィック分散テクノロジー
Mylinking™ 動的負荷分散テクノロジー
Mylinking™ リモート管理テクノロジー(HTTP/WEB、TELNET/SSH、「EasyConfig/AdvanceConfig」特性)
3ネットワークインラインバイパススイッチアプリケーション(次のとおり)
3.1 インラインセキュリティ機器(IPS / FW)のリスク
以下は、一般的な IPS (侵入防止システム)、FW (ファイアウォール) の展開モードです。IPS / FW は、ネットワーク機器 (ルーター、スイッチなど) 間のトラフィックに直列に展開され、セキュリティ チェックを実施することで、対応するセキュリティ ポリシーに従って、対応するトラフィックの解放またはブロックを決定し、セキュリティ防御の効果を実現します。
同時に、IPS / FWはシリアル機器の導入として捉えることができます。通常、シリアルセキュリティを実現するために企業ネットワークの重要な場所に導入されますが、接続されたデバイスの信頼性は企業ネットワーク全体の可用性に直接影響を及ぼします。シリアルデバイスが過負荷、クラッシュ、ソフトウェアアップデート、ポリシーアップデートなどによって一時的に影響を受けると、企業ネットワーク全体の可用性に大きな影響が生じます。このような状況では、ネットワークを切断し、物理的なバイパスジャンパーを介してのみネットワークを復旧できますが、ネットワークの信頼性に深刻な影響を与えます。IPS / FWなどのシリアルデバイスは、企業ネットワークのセキュリティ導入を向上させる一方で、企業ネットワークの信頼性を低下させ、ネットワークが利用できなくなるリスクを高めます。
3.2 インラインリンクシリーズ機器保護
Mylinking™の「Network Inline Bypass」は、ネットワークデバイス(ルーター、スイッチなど)間に直列に導入され、ネットワークデバイス間のデータフローがIPS/FWに直接流れなくなります。「Network Inline Bypass」はIPS/FWに対して、過負荷、クラッシュ、ソフトウェア更新、ポリシー更新などの障害状態が発生した場合、「Network Inline Bypass」はインテリジェントなハートビートメッセージ検出機能によってタイムリーに検出し、障害のあるデバイスをスキップすることで、ネットワークの前提を中断することなく、直接接続されているネットワーク機器の正常な通信ネットワークを迅速に保護します。IPS/FW障害回復時も、インテリジェントなハートビートメッセージ検出機能によってタイムリーに検出し、元のリンクのセキュリティをチェックして企業ネットワークのセキュリティを復元します。
Mylinking™「Network Inline Bypass」には、強力でインテリジェントなハートビート メッセージ検出機能があり、ユーザーは IPS/FW のカスタム ハートビート メッセージを通じてハートビート間隔と最大再試行回数をカスタマイズし、ヘルス テストを行うことができます。たとえば、IPS/FW のアップストリーム/ダウンストリーム ポートにハートビート チェック メッセージを送信し、IPS/FW のアップストリーム/ダウンストリーム ポートから受信し、ハートビート メッセージの送受信によって IPS/FW が正常に動作しているかどうかを判断します。
3.3 「SpecFlow」ポリシーフローインライントラクションシリーズ保護
セキュリティネットワークデバイスが直列セキュリティ保護における特定のトラフィックのみを処理する必要がある場合、Mylinking™の「ネットワークインラインバイパス」トラフィック個別処理機能により、トラフィックスクリーニング戦略を通じてセキュリティデバイスに接続する「該当」トラフィックをネットワークリンクに直接送り返し、「該当トラフィック区間」をインラインセキュリティデバイスに引き込み、セキュリティチェックを実施します。これにより、セキュリティデバイスの安全検出機能の正常な適用が維持されるだけでなく、セキュリティデバイスへの非効率的なフロー負荷も軽減されます。同時に、「ネットワークインラインバイパス」はセキュリティデバイスの動作状態をリアルタイムで検知し、セキュリティデバイスの異常動作によるデータトラフィックの直接バイパスを回避して、ネットワークサービスの中断を回避します。
3.4 負荷バランス型直列保護
Mylinking™「ネットワークインラインバイパス」は、ネットワークデバイス(ルーター、スイッチなど)間に直列に導入されます。単一のIPS/FW処理性能ではネットワークリンクのピークトラフィックに対応できない場合、プロテクターのトラフィック負荷分散機能により、複数のIPS/FWクラスタでネットワークリンクトラフィックを「バンドル」することで、単一のIPS/FW処理負荷を効果的に軽減し、全体的な処理性能を向上させ、導入環境の高帯域幅に対応できます。
Mylinking™「ネットワーク インライン バイパス」は強力な負荷分散機能を備えており、フレームのVLANタグ、MAC情報、IP情報、ポート番号、プロトコルなどのハッシュ情報に基づいてトラフィックを負荷分散し、各IPS/FWが受信したデータフローのセッション整合性を確保します。
3.5 マルチシリーズインライン機器のフロートラクション保護(直列接続を並列接続に変更)
一部の主要リンク(インターネットコンセント、サーバーエリア交換リンクなど)では、セキュリティ機能の要件により、複数のインラインセキュリティテスト機器(ファイアウォール、DDoS攻撃対策機器、WEBアプリケーションファイアウォール、侵入防御機器など)を導入することがよくあります。複数のセキュリティ検出機器をリンク上に同時に直列接続すると、リンクの単一障害点が増加し、ネットワーク全体の信頼性が低下します。また、前述のセキュリティ機器のオンライン展開、機器のアップグレード、機器の交換などの操作は、ネットワークの長時間のサービス中断や、プロジェクトの大規模なダウンタイムを引き起こし、これらのプロジェクトの成功を阻む可能性があります。
「ネットワーク インライン バイパス」を統一的に展開することにより、同一リンク上に直列接続された複数のセキュリティ デバイスの展開モードを「物理連結モード」から「物理連結、論理連結モード」に変更できます。リンク上の単一障害点のリンクの信頼性を向上させると同時に、「ネットワーク インライン バイパス」がリンク上のフローをオンデマンドで牽引し、同じフローを元のモードの安全な処理効果で実現します。
複数のセキュリティデバイスを同時に直列に配置する展開図:
ネットワーク インライン バイパス スイッチの展開図:
3.6 交通牽引セキュリティ検出保護の動的戦略に基づく
「ネットワークインラインバイパス」のもう1つの高度なアプリケーションシナリオは、トラフィックトラクションセキュリティ検出保護アプリケーションの動的戦略に基づいており、展開方法は次のようになります。
「アンチDDoS攻撃防御および検知」セキュリティテスト装置を例に挙げると、フロントエンドに「ネットワークインラインバイパス」を配置し、アンチDDoS防御装置を「ネットワークインラインバイパス」に接続することで、通常の「トラクションプロテクター」で全トラフィックをワイヤースピード転送すると同時にフローミラーリングして「アンチDDoS攻撃防御装置」に出力します。サーバーIP(またはIPネットワークセグメント)への攻撃が検出されると、「アンチDDoS攻撃防御装置」は対象のトラフィックフローに一致するルールを生成し、動的ポリシー配信インターフェースを介して「ネットワークインラインバイパス」に送信します。「ネットワークインラインバイパス」は動的ポリシールールを受信した後に「トラフィックトラクション」のルールプールを更新し、「即時」ルールが攻撃サーバーにヒットしたトラフィックを「アンチDDoS攻撃防御および検知」装置に転送して処理し、攻撃フローがネットワークに再投入された後に有効になります。
「ネットワークインラインバイパス」に基づくアプリケーションスキームは、従来のBGPルートインジェクションやその他のトラフィックトラクションスキームよりも実装が容易で、環境のネットワークへの依存度が低く、信頼性が高くなります。
「ネットワーク インライン バイパス」は、動的ポリシー セキュリティ検出保護をサポートするために次の特性を備えています。
1、「ネットワークインラインバイパス」は、WEBSERIVCEインターフェースに基づいてルールの外側を提供し、サードパーティのセキュリティデバイスとの統合を容易にします。
2、ハードウェア純粋なASICチップに基づく「ネットワークインラインバイパス」は、スイッチ転送をブロックすることなく最大10Gbpsのワイヤスピードパケットを転送し、数に関係なく「トラフィックトラクション動的ルールライブラリ」を使用します。
3、「ネットワークインラインバイパス」内蔵の専門的なBYPASS機能により、プロテクター自体が故障した場合でも、元のシリアルリンクを直ちにバイパスすることができ、元のリンクの正常な通信に影響を与えません。
投稿日時: 2021年12月23日
