1. Define Heartbeat Packetとは何ですか?
Mylinking™ Network Tap Bypass Switchのハートビートパケットは、デフォルトではイーサネットレイヤ2フレームです。透過レイヤ2ブリッジングモード(IPS/FWなど)を導入する場合、レイヤ2イーサネットフレームは通常、転送、ブロック、または破棄されます。同時に、Mylinking™ Network Tap Bypass Switchは、一部の特殊なシリアルセキュリティデバイスが通常のレイヤ2イーサネットフレームを正常に転送できない状況に対応するため、カスタムハートビートメッセージフォーマットをサポートしています。
また、Mylinking™ネットワークタップバイパススイッチは、VLANタグ、レイヤ3およびレイヤ4のカスタムメッセージタイプに基づいたハートビートパケット検出もサポートしています。このメカニズムに基づき、ユーザーは接続セキュリティデバイスのサービス安全性テスト機能を実装することで、対応するセキュリティサービスが正しく動作することをより効果的に保証できます。
Mylinking™ネットワークタップバイパススイッチは、モニターが双方向で異なるハートビートパケットを送信することをサポートします。たとえば、シリアルデバイスの特性に応じて、「戦略トラフィックトラクションプロテクター」上でTCPおよびUDPタイプのハートビートパケットをカスタマイズできます。アップリンクモニターAポートでTCPハートビートパケットを送信し、ダウンリンクモニターBポートでUDPハートビートパケットを送信するように設定することで、シリアルセキュリティデバイスのメッセージ転送メカニズムに対応できます。この機能により、ストリング接続セキュリティ機器の正常な動作をより効果的に保証できます。
Mylinking™ネットワークインラインバイパススイッチは、様々なタイプのシリアルセキュリティ機器を柔軟に導入できるように研究開発されており、高いネットワーク信頼性を提供します。
2-ネットワークインラインバイパススイッチの高度な機能と技術
Mylinking™「SpecFlow」保護モードおよび「FullLink」保護モード技術
Mylinking™ 高速バイパススイッチング保護技術
Mylinking™「LinkSafeSwitch」テクノロジー
Mylinking™「Webサービス」動的戦略転送/発行テクノロジー
Mylinking™ インテリジェント心拍メッセージ検出技術
Mylinking™ 定義可能なハートビートメッセージ技術
Mylinking™ マルチリンク負荷分散技術
Mylinking™ インテリジェント交通分散技術
Mylinking™ ダイナミックロードバランシングテクノロジー
Mylinking™リモート管理テクノロジー(HTTP/WEB、TELNET/SSH、「EasyConfig/AdvanceConfig」機能)
3.ネットワークインラインバイパススイッチの応用例(以下参照)
3.1 インラインセキュリティ機器(IPS/FW)のリスク
以下は、典型的なIPS(侵入防御システム)、FW(ファイアウォール)の展開モードです。IPS/FWは、ネットワーク機器(ルーター、スイッチなど)間に直列に配置され、トラフィックを介してセキュリティチェックを実行します。対応するセキュリティポリシーに従って、対応するトラフィックの解放またはブロックを決定し、セキュリティ防御効果を実現します。
同時に、IPS/FWは機器の直列配置として捉えることができ、通常は企業ネットワークの重要な場所に配置されて直列セキュリティを実装します。そのため、接続されている機器の信頼性は、企業ネットワーク全体の可用性に直接影響します。直列機器が過負荷、クラッシュ、ソフトウェアアップデート、ポリシーアップデートなどを受けると、企業ネットワーク全体の可用性が大きく損なわれます。この場合、ネットワークを切断し、物理的にバイパスジャンパーを接続する以外にネットワークを復旧する方法はなく、ネットワークの信頼性に深刻な影響を与えます。IPS/FWなどの直列機器は、一方では企業ネットワークのセキュリティ配置を向上させますが、他方では企業ネットワークの信頼性を低下させ、ネットワークが利用できなくなるリスクを高めます。
3.2 インラインリンクシリーズ機器の保護
Mylinking™「ネットワークインラインバイパス」は、ネットワーク機器(ルーター、スイッチなど)間に直列に配置され、ネットワーク機器間のデータフローはIPS/FWに直接接続されなくなります。IPS/FWが過負荷、クラッシュ、ソフトウェアアップデート、ポリシーアップデートなどの障害状態になった場合、「ネットワークインラインバイパス」はインテリジェントなハートビートメッセージ検出機能によりタイムリーに障害を検出し、障害のある機器をスキップして、ネットワークの前提を中断することなく、ネットワーク機器が直接接続されて正常な通信ネットワークを保護します。IPS/FWの障害復旧時にも、インテリジェントなハートビートパケット検出機能によりタイムリーに検出され、元のリンクが復元されて企業ネットワークのセキュリティチェックが行われます。
Mylinking™「Network Inline Bypass」は、強力なインテリジェントハートビートメッセージ検出機能を備えています。ユーザーは、ハートビート間隔と最大再試行回数をカスタマイズできます。IPS/FW上のカスタムハートビートメッセージを使用して、IPS/FWのアップストリーム/ダウンストリームポートにハートビートチェックメッセージを送信し、その後、IPS/FWのアップストリーム/ダウンストリームポートから受信して、ハートビートメッセージの送受信によってIPS/FWが正常に動作しているかどうかを判断します。
3.3 「SpecFlow」ポリシーフロー インライントラクションシリーズ保護
セキュリティネットワークデバイスが特定のトラフィックのみを直列セキュリティ保護で処理する必要がある場合、Mylinking™の「ネットワークインラインバイパス」トラフィック処理機能により、トラフィックスクリーニング戦略を介してセキュリティデバイスに接続された「対象」トラフィックがネットワークリンクに直接送り返され、「対象トラフィックセクション」がインラインセキュリティデバイスに牽引されてセキュリティチェックが実行されます。これにより、セキュリティデバイスのセキュリティ検出機能の正常な動作が維持されるだけでなく、セキュリティ機器の処理負荷の非効率な流れも軽減されます。同時に、「ネットワークインラインバイパス」はセキュリティデバイスの動作状態をリアルタイムで検出できます。セキュリティデバイスが異常動作している場合は、データトラフィックを直接バイパスしてネットワークサービスの中断を回避します。
3.4 負荷分散型シリーズ保護
Mylinking™「ネットワークインラインバイパス」は、ネットワーク機器(ルーター、スイッチなど)間に直列に配置されます。単一のIPS/FW処理性能ではネットワークリンクのピークトラフィックに対応できない場合、プロテクタのトラフィック負荷分散機能により、複数のIPS/FWクラスタがネットワークリンクトラフィックを「束ねる」ことで、単一のIPS/FWの処理負荷を効果的に軽減し、全体的な処理性能を向上させて、展開環境の高い帯域幅要求を満たすことができます。
Mylinking™「Network Inline Bypass」は強力な負荷分散機能を備えており、フレームのVLANタグ、MAC情報、IP情報、ポート番号、プロトコルなどの情報に基づいてハッシュ負荷分散トラフィックを分散し、各IPS/FWが受信するデータフローのセッションの完全性を保証します。
3.5 マルチシリーズインライン機器の流量牽引保護(直列接続を並列接続に変更)
インターネット接続やサーバーエリア間のリンクなど、一部の重要なリンクでは、セキュリティ機能の必要性から、ファイアウォール、DDoS攻撃対策機器、Webアプリケーションファイアウォール、侵入防止機器など、複数のインラインセキュリティテスト機器が配置されることがよくあります。複数のセキュリティ検出機器が同時にリンク上に直列に接続されることで、リンクの単一障害点が増加し、ネットワーク全体の信頼性が低下します。また、上記のセキュリティ機器のオンライン展開、機器のアップグレード、機器の交換などの操作では、ネットワークのサービスが長時間中断され、大規模なプロジェクトカットアクションが発生して、これらのプロジェクトが正常に完了する必要があります。
「ネットワークインラインバイパス」を統一的に展開することで、同一リンク上に直列接続された複数のセキュリティデバイスの展開モードを「物理的連結モード」から「物理的連結、論理連結モード」に変更し、単一障害点となるリンク上のリンクの信頼性を向上させるとともに、「ネットワークインラインバイパス」によるリンクフローの要求に応じた牽引により、元のモードと同じフローで安全な処理効果を実現します。
複数のセキュリティデバイスを同時に直列接続する配置図:
ネットワークインラインバイパススイッチの設置図:
3.6 交通牽引セキュリティ検出保護の動的戦略に基づく
「ネットワークインラインバイパス」もう1つの高度なアプリケーションシナリオは、トラフィック牽引セキュリティ検出保護アプリケーションの動的戦略に基づいており、その展開方法は以下のとおりです。
例えば、「DDoS攻撃対策および検出」セキュリティテスト機器では、フロントエンドに「ネットワークインラインバイパス」を配置し、次にDDoS対策機器を接続して「ネットワークインラインバイパス」に接続します。通常の「トラクションプロテクター」では、トラフィックの全量をワイヤースピードで転送すると同時に、フローミラー出力を「DDoS攻撃対策デバイス」に送信します。サーバーIP(またはIPネットワークセグメント)が攻撃を受けたことが検出されると、「DDoS攻撃対策デバイス」はターゲットトラフィックフローのマッチングルールを生成し、動的ポリシー配信インターフェースを介して「ネットワークインラインバイパス」に送信します。「ネットワークインラインバイパス」は、動的ポリシールール「ルールプール」を受信すると、「トラフィックトラクションダイナミック」を更新し、ルールが攻撃サーバートラフィック「トラクション」にヒットすると、すぐに「DDoS攻撃対策および検出」機器に処理され、攻撃後のフローが有効になり、ネットワークに再注入されます。
「ネットワークインラインバイパス」に基づくアプリケーション方式は、従来のBGPルートインジェクションやその他のトラフィックトラクション方式よりも実装が容易であり、ネットワークへの依存度が低く、信頼性が高い。
「ネットワークインラインバイパス」は、動的ポリシーセキュリティ検出保護をサポートするために、以下の特徴を備えています。
1. 「ネットワークインラインバイパス」は、WEBSERIVCEインターフェースに基づいてルール外を提供し、サードパーティのセキュリティデバイスとの統合を容易にします。
2. 「ネットワークインラインバイパス」は、ハードウェア純粋なASICチップに基づいて、ブロッキングスイッチ転送なしで最大10Gbpsのワイヤースピードパケットを転送し、「トラフィック牽引動的ルールライブラリ」は数に関係なく機能します。
3. 「ネットワークインラインバイパス」内蔵のプロフェッショナルバイパス機能により、プロテクター自体が故障した場合でも、元のシリアルリンクを即座にバイパスでき、元のリンクの正常な通信に影響を与えません。
投稿日時:2021年12月23日
