Абыходны перамыкач крана Mylinking™ ML-BYPASS-200
2*Байпас плюс 1*Модульная канструкцыя манітора, 10/40/100GE спасылкі, макс. 640 Гбіт/с
1- Агляды
Пры разгортванні Mylinking™ Smart Bypass Switch:
- Карыстальнікі могуць гнутка ўсталёўваць/выдаляць ахоўнае абсталяванне і не ўплываць на бягучую сетку і не перарывацца;
- Mylinking™ Пераключальнік абыходу сеткавага крана з інтэлектуальнай функцыяй выяўлення спраўнасці для маніторынгу нармальнага працоўнага стану паслядоўнай прылады бяспекі ў рэжыме рэальнага часу. Як толькі паслядоўная прылада бяспекі спрацуе, абарона будзе аўтаматычна абыходзіць, каб падтрымліваць нармальную сеткавую сувязь;
- Тэхналогія селектыўнай абароны трафіку можа быць выкарыстана для разгортвання спецыяльнага абсталявання бяспекі ачысткі трафіку, тэхналогіі шыфравання на аснове аўдытарскага абсталявання.Эфектыўна ажыццяўляць абарону паслядоўнага доступу для канкрэтнага тыпу трафіку, разгружаючы ціск апрацоўкі патоку прылады серыі;
- Тэхналогія Load Balanced Traffic Protection можа быць выкарыстана для кластарнага разгортвання бяспечных паслядоўных прылад, каб задаволіць патрэбу ў паслядоўнай бяспецы ў асяроддзях з высокай прапускной здольнасцю.
З хуткім развіццём Інтэрнэту пагроза інфармацыйнай бяспецы сеткі становіцца ўсё больш і больш сур'ёзнай, таму разнастайныя прыкладанні для абароны інфармацыйнай бяспекі выкарыстоўваюцца ўсё шырэй.Няхай гэта будзе традыцыйнае абсталяванне кантролю доступу (брандмаўэр) або новы тып больш дасканалых сродкаў абароны, такіх як сістэма прадухілення ўварванняў (IPS), уніфікаваная платформа кіравання пагрозамі (UTM), сістэма атакі супраць адмовы ў абслугоўванні (Anti-DDoS), анты- span Gateway, уніфікаваная сістэма ідэнтыфікацыі і кантролю трафіку DPI і мноства прылад бяспекі разгорнуты паслядоўна ў ключавых вузлах сеткі, рэалізацыя адпаведнай палітыкі бяспекі дадзеных для выяўлення і барацьбы з легальным / нелегальным трафікам.У той жа час, аднак, камп'ютэрная сетка будзе ствараць вялікую затрымку ў сетцы або нават збой у сетцы ў выпадку пераключэння, тэхнічнага абслугоўвання, абнаўлення, замены абсталявання і гэтак далей у вельмі надзейным асяроддзі вытворчых сеткавых прыкладанняў, карыстальнікі не могуць гэтага вытрымаць.
2- Пашыраныя функцыі і тэхналогіі абыходнага перамыкача сеткі
Рэжым абароны Mylinking™ «SpecFlow» і тэхналогія рэжыму абароны «FullLink».
Тэхналогія абароны ад пераключэння хуткага абыходу Mylinking™
Тэхналогія Mylinking™ "LinkSafeSwitch".
Тэхналогія дынамічнай стратэгіі перанакіравання/выдачы Mylinking™ “WebService”.
Інтэлектуальная тэхналогія выяўлення сардэчных паведамленняў Mylinking™
Тэхналогія Mylinking™ Definable Heartbeat Messages
Тэхналогія шматканальнай балансіроўкі нагрузкі Mylinking™
Інтэлектуальная тэхналогія размеркавання трафіку Mylinking™
Тэхналогія дынамічнай балансіроўкі нагрузкі Mylinking™
Тэхналогія аддаленага кіравання Mylinking™ (характарыстыкі HTTP/WEB, TELNET/SSH, EasyConfig/AdvanceConfig)
3- Кіраўніцтва па канфігурацыі пераключальніка абыходу сеткі
АБХОДСлот для модуля порта абароны:
Гэты слот можна ўставіць у модуль порта абароны BYPASS з рознай хуткасцю/нумарам порта.Замяняючы розныя тыпы модуляў, ён можа падтрымліваць абарону BYPASS некалькіх каналаў 10G/40G/100G.
МАНІТОРСлот для модуля порта;
Гэты слот можа быць устаўлены ў модуль порта MONITOR з рознымі хуткасцямі/партамі.Ён можа падтрымліваць некалькі 10G/40G/100G спасылкі паслядоўнага разгортвання прылады маніторынгу шляхам замены розных мадэляў.
Правілы выбару модуля
На падставе розных разгорнутых злучэнняў і патрабаванняў да разгортвання абсталявання для маніторынгу вы можаце гнутка выбіраць розныя канфігурацыі модуляў для задавальнення вашых рэальных патрэб асяроддзя;пры выбары прытрымлівайцеся наступных правілаў:
1. Кампаненты шасі з'яўляюцца абавязковымі, і вы павінны выбраць кампаненты шасі перад выбарам іншых модуляў.У той жа час, калі ласка, выбірайце розныя метады сілкавання (AC/DC) у адпаведнасці з вашымі патрэбамі.
2. Уся машына падтрымлівае да 2 слотаў для модуля BYPASS і 1 слота для модуля MONITOR;вы не можаце выбраць больш, чым колькасць слотаў для канфігурацыі.У залежнасці ад колькасці слотаў і мадэлі модуля, прылада можа падтрымліваць да чатырох сродкаў абароны 10GE;або можа падтрымліваць да чатырох спасылак 40GE;або ён можа падтрымліваць да адной спасылкі 100GE.
3. Мадэль модуля “BYP-MOD-L1CG” можа быць устаўлена толькі ў SLOT1 для належнай працы.
4. Модуль тыпу «BYP-MOD-XXX» можа быць устаўлены толькі ў слот для модуля BYPASS;модуль тыпу «MON-MOD-XXX» можа быць устаўлены толькі ў слот модуля MONITOR для нармальнай працы.
| Мадэль прадукту | Параметры функцыі |
| Шасі (хост) | |
| ML-BYPASS-M200 | 1U стандартная 19-цалевая стойка;максімальная спажываная магутнасць 250W;модульны BYPASS пратэктар хост;2 слота для модуля BYPASS;1 слот для модуля MONITOR;Пераменны і пастаянны ток па жаданні; |
| АБХОДНЫ МОДУЛЬ | |
| BYP-MOD-L2XG(LM/SM) | Падтрымлівае 2-канальную паслядоўную абарону 10GE, інтэрфейс 4*10GE, раз'ём LC;убудаваны аптычны трансівер;аптычная адна/шматмодавая апцыя, падтрымлівае 10GBASE-SR/ LR; |
| BYP-MOD-L2QXG(LM/SM) | Падтрымлівае 2-канальную паслядоўную абарону 40GE, інтэрфейс 4*40GE, раз'ём LC;убудаваны аптычны трансівер;аптычная адна/шматмодавая апцыя, падтрымлівае 40GBASE-SR4/ LR4; |
| BYP-MOD-L1CG (LM/SM) | Падтрымка 1 канала паслядоўнай абароны 100GE, інтэрфейс 2*100GE, раз'ём LC;убудаваны аптычны трансівер;аптычная адна шматмодавая аптычная сувязь, падтрымлівае 100GBASE-SR4/LR4 ; |
| МОДУЛЬ манітора | |
| MON-MOD-L16XG | 16*10GE SFP+ модуль порта маніторынгу;адсутнасць аптычнага модуля прыёмаперадатчыка; |
| MON-MOD-L8XG | 8*10GE SFP+ модуль порта маніторынгу;адсутнасць аптычнага модуля прыёмаперадатчыка; |
| MON-MOD-L2CG | 2*100GE QSFP28 модуль порта маніторынгу;адсутнасць аптычнага модуля прыёмаперадатчыка; |
| MON-MOD-L8QXG | 8* модуль порта маніторынгу 40GE QSFP+;адсутнасць аптычнага модуля прыёмаперадатчыка; |
4- Тэхнічныя характарыстыкі пераключальніка абыходу сеткі TAP
| Мадальнасць прадукту | ML-BYPASS-M200 паслядоўны перамыкач байпаса | |
| Тып інтэрфейсу | Інтэрфейс MGT | 1*10/100/1000BASE-T Адаптыўны інтэрфейс кіравання;Падтрымка аддаленага кіравання HTTP/IP |
| Слот для модуля | 2*Слот для модуля BYPASS;1*Слот для модуля MONITOR; | |
| Спасылкі, якія падтрымліваюць максімум | Прылада падтрымлівае максімум 4*10GE спасылкі або 4*40GE спасылкі або 1*100GE спасылкі | |
| Манітор | Прылада падтрымлівае максімум 16*10GE партоў маніторынгу або 8*40GE партоў маніторынгу або 2*100GE партоў маніторынгу; | |
| Функцыя | Здольнасць поўнадуплекснай апрацоўкі | 640 Гбіт/с |
| Заснаваны на каскаднай абароне трафіку IP/пратакола/порта з пяццю картэжамі | Падтрымка | |
| Каскадная абарона на аснове поўнага трафіку | Падтрымка | |
| Шматразовая балансіроўка нагрузкі | Падтрымка | |
| Карыстальніцкая функцыя выяўлення сэрцабіцця | Падтрымка | |
| Падтрымка незалежнасці пакета Ethernet | Падтрымка | |
| АБХОДНЫ ВЫКЛЮЧАЧ | Падтрымка | |
| Пераключальнік BYPASS без успышкі | Падтрымка | |
| КАНСОЛЬ MGT | Падтрымка | |
| IP/WEB MGT | Падтрымка | |
| SNMP V1/V2C MGT | Падтрымка | |
| TELNET/SSH MGT | Падтрымка | |
| Пратакол SYSLOG | Падтрымка | |
| Аўтарызацыя карыстальніка | На падставе пароля аўтарызацыі/AAA/TACACS+ | |
| Электрычныя | Намінальнае напружанне харчавання | AC-220V/DC-48V【Дадаткова】 |
| Намінальная частата электрасілкавання | 50 Гц | |
| Намінальны ўваходны ток | AC-3A / DC-10A | |
| Намінальная магутнасць | 100 Вт | |
| Асяроддзе | Працоўная тэмпература | 0-50 ℃ |
| Тэмпература захоўвання | -20-70℃ | |
| Працоўная вільготнасць | 10%-95%, без кандэнсацыі | |
| Канфігурацыя карыстальніка | Канфігурацыя кансолі | Інтэрфейс RS232,115200,8,N,1 |
| Пазадыяпазонны інтэрфейс MGT | Інтэрфейс Ethernet 1*10/100/1000M | |
| Аўтарызацыя паролем | Падтрымка | |
| Вышыня шасі | Прастора шасі (U) | 1U 19 цаляў, 485 мм * 44,5 мм * 350 мм |
5- Дадатак пераключальніка абыходу сеткі TAP (як паказана ніжэй)
Ніжэй прыведзены тыповы рэжым разгортвання IPS (сістэма прадухілення ўварванняў), FW (брандмаўэр), IPS / FW разгортваецца паслядоўна да сеткавага абсталявання (маршрутызатараў, камутатараў і г.д.) паміж трафікам праз рэалізацыю праверак бяспекі, у адпаведнасці з адпаведная палітыка бяспекі, каб вызначыць вызваленне або блакіроўку адпаведнага трафіку, каб дасягнуць эфекту абароны бяспекі.
У той жа час мы можам назіраць IPS / FW як паслядоўнае разгортванне абсталявання, якое звычайна разгортваецца ў ключавым месцы карпаратыўнай сеткі для рэалізацыі паслядоўнай бяспекі, надзейнасць падлучаных прылад непасрэдна ўплывае на агульную даступнасць карпаратыўнай сеткі.Пасля перагрузкі паслядоўных прылад, збою, абнаўлення праграмнага забеспячэння, абнаўлення палітык і г.д. даступнасць усёй карпаратыўнай сеткі будзе моцна закранута.На дадзены момант, мы толькі праз сетку выразаць, фізічная перамычка абыход можа зрабіць сетку для аднаўлення, сур'ёзна ўплывае на надзейнасць сеткі.IPS / FW і іншыя паслядоўныя прылады, з аднаго боку, паляпшаюць разгортванне бяспекі карпаратыўнай сеткі, з другога боку, таксама зніжаюць надзейнасць карпаратыўных сетак, павялічваючы рызыку недаступнасці сеткі.
5.2 Абарона абсталявання серыі Inline Link
«Пераключальнік абыходу» Mylinking™ разгортваецца паслядоўна паміж сеткавымі прыладамі (маршрутызатарамі, камутатарамі і г.д.), і паток даных паміж сеткавымі прыладамі больш не вядзе непасрэдна да IPS / FW, «Пераключальнік абыходу» да IPS / FW, калі IPS / FW з-за перагрузкі, збою, абнаўлення праграмнага забеспячэння, абнаўлення палітыкі і іншых умоў адмовы, «Пераключальнік абыходу» праз інтэлектуальнае выяўленне паведамлення сэрцабіцця Функцыя своечасовага выяўлення, і, такім чынам, прапусціць няспраўнае прылада, не перарываючы перадумовы сеткі, хуткае сеткавае абсталяванне, непасрэдна падлучанае для абароны звычайнай сеткі сувязі;пры аднаўленні збояў IPS / FW, але і праз інтэлектуальныя пакеты пульса Выяўленне своечасовага выяўлення функцыі, першапачатковая спасылка для аднаўлення бяспекі праверкі бяспекі карпаратыўнай сеткі.
Mylinking™ «Bypass Switch» мае магутную інтэлектуальную функцыю выяўлення паведамлення аб сардэчным рытме, карыстальнік можа наладзіць інтэрвал сардэчнага рытму і максімальную колькасць паўторных спроб праз карыстальніцкае паведамленне сардэчнага рытму на IPS / FW для праверкі спраўнасці, напрыклад, адправіць паведамленне праверкі сардэчнага рытму. да ўваходнага/ніжэйшага порта IPS/FW, а потым прымайце з вышэйшага/ніжэйшага порта IPS/FW і ацэньвайце, ці нармальна працуе IPS/FW, адпраўляючы і прымаючы паведамленне пра пульс.
5.3 «SpecFlow» Паток палітыкі Inline Traction Series Protection
Калі ахоўнай сеткавай прыладзе трэба мець справу толькі з пэўным трафікам у паслядоўнай абароне бяспекі, праз функцыю апрацоўкі трафіку Mylinking™ «Абыходны перамыкач» праз стратэгію праверкі трафіку для падлучэння ахоўнай прылады «Зацікаўлены» трафік адпраўляецца назад непасрэдна да сеткавай сувязі, а "зацікаўлены ўчастак трафіку" - гэта цяга да ўбудаванай прылады бяспекі для выканання праверак бяспекі.Гэта дазволіць не толькі падтрымліваць нармальнае прымяненне функцыі выяўлення бяспекі ахоўнай прылады, але і паменшыць неэфектыўны паток ахоўнага абсталявання для барацьбы з ціскам;у той жа час «байпасны перамыкач» можа вызначыць працоўны стан прылады бяспекі ў рэжыме рэальнага часу.Прылада бяспекі працуе ненармальна, абыходзіць трафік даных напрамую, каб пазбегнуць зрыву сеткавай службы.
Mylinking™ Traffic Bypass Protector можа ідэнтыфікаваць трафік на аснове ідэнтыфікатара загалоўка ўзроўню L2-L4, такога як тэг VLAN, MAC-адрас крыніцы/прызначэння, IP-адрас крыніцы, тып IP-пакета, порт пратакола транспартнага ўзроўню, тэг ключа загалоўка пратаколу і г.д. на.Мноства гнуткіх камбінацый супастаўлення ўмоў можа быць гнутка вызначана для вызначэння канкрэтных тыпаў трафіку, якія ўяўляюць цікавасць для пэўнай прылады бяспекі і можа шырока выкарыстоўвацца для разгортвання спецыяльных прылад аўдыту бяспекі (RDP, SSH, аўдыт базы дадзеных і г.д.) .
5.4 Серыйная абарона з балансам нагрузкі
«Пераключальнік абыходу» Mylinking™ разгортваецца паслядоўна паміж сеткавымі прыладамі (маршрутызатарамі, камутатарамі і г.д.).Калі адной прадукцыйнасці апрацоўкі IPS / FW недастаткова, каб справіцца з пікавым трафікам сеткавага канала, функцыя балансавання нагрузкі трафіку пратэктара, «аб'яднанне» некалькіх IPS / FW кластарнай апрацоўкі трафіку сеткавага канала, можа эфектыўна паменшыць адзін IPS / Ціск апрацоўкі FW, павышэнне агульнай прадукцыйнасці апрацоўкі для задавальнення высокай прапускной здольнасці асяроддзя разгортвання.
Mylinking™ “Bypass Switch” мае магутную функцыю балансавання нагрузкі ў адпаведнасці з тэгам VLAN кадра, інфармацыяй MAC, інфармацыяй IP, нумарам порта, пратаколам і іншай інфармацыяй аб размеркаванні нагрузкі Hash балансавання трафіку, каб пераканацца, што кожны IPS / FW атрымаў дадзеныя Цэласнасць сесіі патоку.
5.5 Шматсерыйная абарона ад цягі патоку абсталявання (змена паслядоўнага злучэння на паралельнае)
У некаторых ключавых звёнах (напрыклад, інтэрнэт-разеткі, канал абмену зонай сервера) месцазнаходжанне часта абумоўлена патрэбамі ў функцыях бяспекі і разгортваннем некалькіх убудаваных сродкаў тэсціравання бяспекі (такіх як брандмаўэр, абсталяванне супраць DDOS-атак, брандмаўэр вэб-праграм , абсталяванне для прадухілення ўварванняў і г.д.), некалькі абсталявання для выяўлення бяспекі адначасова паслядоўна па спасылцы, каб павялічыць сувязь з адной кропкай адмовы, зніжаючы агульную надзейнасць сеткі.І ў вышэйзгаданым ахоўным абсталяваннем онлайн-разгортванне, мадэрнізацыя абсталявання, замена абсталявання і іншыя аперацыі, выклічуць сетку на працягу доўгага часу перапынку ў абслугоўванні і больш буйны праект скараціць дзеянне для завяршэння паспяховай рэалізацыі такіх праектаў.
Пры ўніфікаваным разгортванні «абыходнага пераключальніка» рэжым разгортвання некалькіх прылад бяспекі, злучаных паслядоўна па адной спасылцы, можна змяніць з «рэжыму фізічнай канкатэнацыі» на «рэжым фізічнай канкатэнацыі, лагічнай канкатэнацыі». Спасылка па спасылцы адна кропка адмовы для павышэння надзейнасці сувязі, у той час як «абыходны перамыкач» на лініі патоку па патрабаванні цягі, каб дасягнуць таго ж патоку з арыгінальным рэжымам бяспечнага эфекту апрацоўкі.
Адначасова больш чым адна прылада бяспекі на схеме паслядоўнага разгортвання:
Схема разгортвання пераключальніка абыходу сеткі TAP Mylinking™:
5.6 На аснове дынамічнай стратэгіі бяспекі выяўлення бяспекі цягі
«Пераключальнік абходу» Яшчэ адзін пашыраны сцэнар прымянення заснаваны на дынамічнай стратэгіі прыкладанняў абароны выяўлення бяспекі цягі трафіку, разгортванне спосабу, як паказана ніжэй:
Возьмем абсталяванне для тэсціравання бяспекі «Абарона і выяўленне атак супраць DDoS», напрыклад, праз разгортванне «Переключальніка абходу», а затым абсталяванне абароны ад DDOS, а затым падлучанае да «Пераключальніка абыходу» ў звычайным рэжыме. Пратэктар ад цягі "да поўнага аб'ёму трафіку, хуткасці праваднога перанакіравання ў той жа час люстэрка патоку, які выводзіцца на" прыладу абароны ад DDOS-атакі ", пасля выяўлення для IP сервера (або сегмента IP сеткі) пасля атакі," анты -Прылада абароны ад атак DDOS» будзе генераваць правілы супастаўлення мэтавага патоку трафіку і адпраўляць іх на «Пераключальнік абходу» праз інтэрфейс дынамічнай дастаўкі палітыкі.«Пераключальнік абыходу» можа абнавіць «дынаміку цягі трафіку» пасля атрымання правілаў дынамічнай палітыкі Пул правілаў «і неадкладна» правіла «ўдарыць трафік сервера атакі» «цягу да» абароны і выяўлення нападаў супраць DDoS «абсталявання для апрацоўкі, якое будзе эфектыўны пасля патоку атакі, а затым паўторна ўведзены ў сетку.
Прыкладную схему, заснаваную на «абыходным камутатары», лягчэй рэалізаваць, чым традыцыйную ін'екцыю маршруту BGP або іншую схему цягі трафіку, а асяроддзе менш залежыць ад сеткі, а надзейнасць вышэй.
«Пераключальнік абходу» мае наступныя характарыстыкі для падтрымкі абароны ад выяўлення дынамічнай палітыкі бяспекі:
1, «Пераключальнік абходу», каб забяспечыць па-за правіламі на аснове інтэрфейсу WEBSERIVCE, лёгкай інтэграцыі з прыладамі бяспекі іншых вытворцаў.
2, «Абыходны перамыкач», заснаваны на апаратным чыстым чыпе ASIC, які пераадрасоўвае пакеты з хуткасцю да 10 Гбіт/с без блакіроўкі пераадрасацыі пераключальніка, і «бібліятэцы дынамічных правілаў трафіку» незалежна ад колькасці.
3, «Пераключальнік байпаса» убудаваная прафесійная функцыя BYPASS, нават калі сам пратэктар няспраўны, таксама можа неадкладна абыйсці арыгінальны паслядоўны канал, не ўплывае на арыгінальны канал нармальнай сувязі.
