Mylinking™ Netzwerk Tap Bypass Switch ML-BYPASS-200
2*Bypass plus 1*Monitor Modulares Design, 10/40/100GE-Links, max. 640 Gbit/s
1- Übersichten
Durch den Einsatz von Mylinking™ Smart Bypass Switch:
- Benutzer können Sicherheitsausrüstung flexibel installieren/deinstallieren und werden das aktuelle Netzwerk nicht beeinträchtigen und unterbrechen;
- Mylinking™ Network Tap Bypass Switch mit intelligenter Gesundheitserkennungsfunktion zur Echtzeitüberwachung des normalen Betriebszustands des seriellen Sicherheitsgeräts, sobald die serielle Sicherheitsgerät-Arbeitsausnahme besteht, wird der Schutz automatisch umgangen, um die normale Netzwerkkommunikation aufrechtzuerhalten;
- Selektive Verkehrsschutztechnologie kann verwendet werden, um spezielle Verkehrsreinigungssicherheitsausrüstung und Verschlüsselungstechnologie basierend auf der Prüfausrüstung bereitzustellen.Führen Sie effektiv den seriellen Zugriffsschutz für den spezifischen Verkehrstyp durch, indem Sie den Durchflusshandhabungsdruck des Seriengeräts entladen;
- Die Load Balanced Traffic Protection-Technologie kann für die geclusterte Bereitstellung sicherer serieller Geräte verwendet werden, um den Bedarf an serieller Sicherheit in Umgebungen mit hoher Bandbreite zu decken.
Mit der schnellen Entwicklung des Internets wird die Bedrohung der Netzwerkinformationssicherheit immer ernster, so dass eine Vielzahl von Anwendungen zum Schutz der Informationssicherheit immer häufiger verwendet werden.Ob es sich um traditionelle Zugangskontrollgeräte (Firewall) oder eine neue Art fortschrittlicherer Schutzmittel wie Intrusion Prevention System (IPS), Unified Threat Management Platform (UTM), Anti-Denial Service Attack System (Anti-DDoS), Anti- Span Gateway, Unified DPI Traffic Identification and Control System und viele Sicherheitsgeräte werden in Reihe in den Netzwerkschlüsselknoten eingesetzt, um die entsprechende Datensicherheitsrichtlinie zu implementieren, um legalen / illegalen Verkehr zu identifizieren und zu behandeln.Gleichzeitig erzeugt das Computernetzwerk jedoch eine große Netzwerkverzögerung oder sogar Netzwerkunterbrechung im Fall von Failover, Wartung, Upgrade, Geräteaustausch usw. in einer hochzuverlässigen Produktionsnetzwerk-Anwendungsumgebung, die Benutzer nicht ertragen können.
2- Network Tap Bypass Switch Erweiterte Funktionen und Technologien
Mylinking™ „SpecFlow“-Schutzmodus und „FullLink“-Schutzmodus-Technologie
Mylinking™ Fast Bypass Switching Protection-Technologie
Mylinking™ „LinkSafeSwitch“-Technologie
Mylinking™ „WebService“ Dynamische Strategie Weiterleitungs-/Ausgabetechnologie
Mylinking™ Intelligent Heartbeat-Nachrichtenerkennungstechnologie
Mylinking™ Technologie für definierbare Heartbeat-Nachrichten
Mylinking™ Multi-Link-Load-Balancing-Technologie
Intelligente Mylinking™-Traffic-Distribution-Technologie
Mylinking™ Dynamic Load Balancing-Technologie
Mylinking™-Fernverwaltungstechnologie (HTTP/WEB, TELNET/SSH, „EasyConfig/AdvanceConfig“-Eigenschaft)
3- Konfigurationsanleitung für Netzwerk-Tap-Bypass-Schalter
BYPASSSchutz-Port-Modul-Steckplatz:
Dieser Steckplatz kann in ein BYPASS-Schutzportmodul mit unterschiedlicher Geschwindigkeit/Portnummer eingefügt werden.Durch den Austausch verschiedener Modultypen kann es den BYPASS-Schutz mehrerer 10G/40G/100G-Verbindungen unterstützen.
MONITORAnschlussmodulsteckplatz;
Dieser Steckplatz kann mit unterschiedlichen Geschwindigkeiten/Ports in das MONITOR-Portmodul gesteckt werden.Es kann die Bereitstellung mehrerer serieller Online-Überwachungsgeräte mit 10G/40G/100G-Verbindung unterstützen, indem es verschiedene Modelle ersetzt.
Modulauswahlregeln
Basierend auf unterschiedlichen bereitgestellten Verbindungen und Anforderungen an die Bereitstellung von Überwachungsgeräten können Sie flexibel verschiedene Modulkonfigurationen auswählen, um Ihre tatsächlichen Umgebungsanforderungen zu erfüllen.Bitte beachten Sie bei der Auswahl folgende Regeln:
1. Die Chassis-Komponenten sind obligatorisch und Sie müssen die Chassis-Komponenten auswählen, bevor Sie andere Module auswählen.Gleichzeitig wählen Sie bitte je nach Bedarf verschiedene Stromversorgungsmethoden (AC/DC).
2. Die gesamte Maschine unterstützt bis zu 2 BYPASS-Modulsteckplätze und 1 MONITOR-Modulsteckplatz;Sie können nicht mehr als die Anzahl der zu konfigurierenden Steckplätze auswählen.Basierend auf der Kombination aus Anzahl der Steckplätze und Modulmodell kann das Gerät bis zu vier 10GE-Verbindungsschutzfunktionen unterstützen;oder es kann bis zu vier 40GE-Links unterstützen;oder es kann bis zu eine 100GE-Verbindung unterstützen.
3. Das Modulmodell „BYP-MOD-L1CG“ kann nur in SLOT1 eingesetzt werden, um ordnungsgemäß zu funktionieren.
4. Der Modultyp „BYP-MOD-XXX“ kann nur in den BYPASS-Modulsteckplatz eingesteckt werden;Der Modultyp „MON-MOD-XXX“ kann nur für den normalen Betrieb in den MONITOR-Modulsteckplatz gesteckt werden.
| Produktmodell | Funktionsparameter |
| Gehäuse (Host) | |
| ML-BYPASS-M200 | 1 HE Standard-19-Zoll-Rackmount;maximale Leistungsaufnahme 250W;modularer BYPASS-Protector-Host;2 Steckplätze für BYPASS-Module;1 MONITOR-Modulsteckplatz;AC und DC optional; |
| BYPASS-MODUL | |
| BYP-MOD-L2XG(LM/SM) | Unterstützt seriellen 2-Wege-10GE-Verbindungsschutz, 4*10GE-Schnittstelle, LC-Anschluss;eingebauter optischer Transceiver;optische Verbindung Single/Multimode optional, unterstützt 10GBASE-SR/ LR; |
| BYP-MOD-L2QXG(LM/SM) | Unterstützt seriellen 2-Wege-40GE-Verbindungsschutz, 4*40GE-Schnittstelle, LC-Anschluss;eingebauter optischer Transceiver;optische Verbindung Single/Multimode optional, unterstützt 40GBASE-SR4/LR4; |
| BYP-MOD-L1CG (LM/SM) | Unterstützt 1 Kanal 100GE Link Serial Protection, 2*100GE Schnittstelle, LC-Anschluss;eingebauter optischer Transceiver;optischer Link Single Multimode optional, unterstützt 100GBASE-SR4/LR4; |
| MONITOR-MODUL | |
| MON-MOD-L16XG | 16*10GE SFP+ Überwachungsportmodul;kein optisches Transceiver-Modul; |
| MON-MOD-L8XG | 8*10GE SFP+ Überwachungsportmodul;kein optisches Transceiver-Modul; |
| MON-MOD-L2CG | 2 * 100GE QSFP28-Überwachungsanschlussmodul;kein optisches Transceiver-Modul; |
| MON-MOD-L8QXG | 8* 40GE QSFP+ Überwachungsportmodul;kein optisches Transceiver-Modul; |
4- Technische Daten des Netzwerk-TAP-Bypass-Schalters
| Produktmodalität | Serieller Bypass-Schalter ML-BYPASS-M200 | |
| Art der Schnittstelle | MGT-Schnittstelle | 1*10/100/1000BASE-T Adaptive Verwaltungsschnittstelle;Unterstützt Remote-HTTP/IP-Verwaltung |
| Modulsteckplatz | 2*BYPASS-Modulsteckplatz;1*MONITOR-Modulsteckplatz; | |
| Links unterstützen maximal | Das Gerät unterstützt maximal 4*10GE-Links oder 4*40GE-Links oder 1*100GE-Links | |
| Monitor | Gerät unterstützt maximal 16 * 10-GE-Überwachungsports oder 8 * 40-GE-Überwachungsports oder 2 * 100-GE-Überwachungsports; | |
| Funktion | Vollduplex-Verarbeitungsfähigkeit | 640 Gbit/s |
| Basierend auf IP/Protokoll/Port-Fünf-Tupel-spezifischem Verkehrskaskadenschutz | Unterstützung | |
| Kaskadenschutz basierend auf vollständigem Datenverkehr | Unterstützung | |
| Mehrfaches Load-Balancing | Unterstützung | |
| Benutzerdefinierte Herzschlagerkennungsfunktion | Unterstützung | |
| Unterstützung der Ethernet-Paketunabhängigkeit | Unterstützung | |
| BYPASS-SCHALTER | Unterstützung | |
| BYPASS-Schalter ohne Blitz | Unterstützung | |
| KONSOLEN-MGT | Unterstützung | |
| IP/WEB-MGT | Unterstützung | |
| SNMP V1/V2C-MGT | Unterstützung | |
| TELNET/SSH-MGT | Unterstützung | |
| SYSLOG-Protokoll | Unterstützung | |
| Benutzerberechtigung | Basierend auf Passwortautorisierung/AAA/TACACS+ | |
| Elektrisch | Bemessungsversorgungsspannung | AC-220V/DC-48V【Optional】 |
| Nennleistungsfrequenz | 50 Hz | |
| Nenneingangsstrom | AC-3A / DC-10A | |
| Nennleistung | 100W | |
| Umfeld | Arbeitstemperatur | 0-50℃ |
| Lagertemperatur | -20-70℃ | |
| Arbeitsfeuchtigkeit | 10 % - 95 %, keine Kondensation | |
| Benutzer Konfiguration | Konsolenkonfiguration | RS232-Schnittstelle,115200,8,N,1 |
| Out-of-Band-MGT-Schnittstelle | 1 * 10/100/1000M Ethernet-Schnittstelle | |
| Passwort-Autorisierung | Unterstützung | |
| Fahrgestellhöhe | Fahrgestellraum (U) | 1 HE 19 Zoll, 485 mm x 44,5 mm x 350 mm |
5- Netzwerk-TAP-Bypass-Switch-Anwendung (wie folgt)
Das Folgende ist ein typischer IPS (Intrusion Prevention System), FW (Firewall)-Bereitstellungsmodus, IPS / FW wird in Reihe zu den Netzwerkgeräten (Router, Switches usw.) zwischen dem Datenverkehr durch die Implementierung von Sicherheitsüberprüfungen bereitgestellt die entsprechende Sicherheitsrichtlinie, um die Freigabe oder Blockierung des entsprechenden Verkehrs zu bestimmen, um die Wirkung der Sicherheitsverteidigung zu erzielen.
Gleichzeitig können wir IPS / FW als serielle Bereitstellung der Geräte beobachten, die normalerweise an der Schlüsselstelle des Unternehmensnetzwerks bereitgestellt werden, um serielle Sicherheit zu implementieren. Die Zuverlässigkeit der angeschlossenen Geräte wirkt sich direkt auf die Verfügbarkeit des gesamten Unternehmensnetzwerks aus.Sobald die seriellen Geräte überlastet sind, abstürzen, Software-Updates, Richtlinien-Updates usw. durchführen, wird die Verfügbarkeit des gesamten Unternehmensnetzwerks stark beeinträchtigt.An diesem Punkt können wir nur durch den Netzwerkschnitt, den physischen Bypass-Jumper, das Netzwerk wiederherstellen, was die Zuverlässigkeit des Netzwerks ernsthaft beeinträchtigt.IPS / FW und andere serielle Geräte verbessern einerseits die Bereitstellung von Unternehmensnetzwerksicherheit, verringern andererseits aber auch die Zuverlässigkeit von Unternehmensnetzwerken und erhöhen das Risiko, dass das Netzwerk nicht verfügbar ist.
5.2 Geräteschutz der Inline-Link-Serie
Mylinking™ „Bypass Switch“ wird in Reihe zwischen Netzwerkgeräten (Router, Switches usw.) bereitgestellt, und der Datenfluss zwischen Netzwerkgeräten führt nicht mehr direkt zu IPS/FW, „Bypass Switch“ zu IPS/FW, wenn das IPS / FW aufgrund von Überlastung, Absturz, Software-Updates, Richtlinienaktualisierungen und anderen Fehlerzuständen, der „Bypass Switch“ durch intelligente Heartbeat-Message-Erkennungsfunktion der rechtzeitigen Erkennung und damit Überspringen des fehlerhaften Geräts, ohne die Prämisse des Netzwerks zu unterbrechen, die schnelle Netzwerkausrüstung, die direkt angeschlossen ist, um das normale Kommunikationsnetzwerk zu schützen;wenn die IPS / FW-Fehlerwiederherstellung, sondern auch durch intelligente Heartbeat-Pakete Erkennung der rechtzeitigen Erkennung der Funktion, die ursprüngliche Verbindung zur Wiederherstellung der Sicherheit von Unternehmensnetzwerksicherheitsprüfungen.
Mylinking™ „Bypass Switch“ verfügt über eine leistungsstarke intelligente Erkennungsfunktion für Heartbeat-Nachrichten. Der Benutzer kann das Heartbeat-Intervall und die maximale Anzahl von Wiederholungen durch eine benutzerdefinierte Heartbeat-Nachricht auf dem IPS / der FW für Gesundheitstests anpassen, z. B. das Senden der Heartbeat-Check-Nachricht an den Upstream-/Downstream-Port von IPS/FW und empfangen Sie dann vom Upstream-/Downstream-Port von IPS/FW und beurteilen Sie, ob das IPS/FW normal funktioniert, indem Sie die Heartbeat-Nachricht senden und empfangen.
5.3 „SpecFlow“-Richtlinienfluss Inline-Traktionsserienschutz
Wenn das Sicherheitsnetzwerkgerät nur den spezifischen Datenverkehr im Seriensicherheitsschutz bewältigen muss, wird der Datenverkehr über die Mylinking™ „Bypass Switch“-Verkehrspro-Verarbeitungsfunktion durch die Verkehrsprüfungsstrategie zum Verbinden des Sicherheitsgeräts „Betroffener“ Datenverkehr direkt zurückgesendet an die Netzverbindung, und der „betroffene Verkehrsabschnitt“ wird an die Längssicherungsanlage gefahren, um Sicherheitsüberprüfungen durchzuführen.Dies wird nicht nur die normale Anwendung der Sicherheitserkennungsfunktion der Sicherheitsvorrichtung aufrechterhalten, sondern auch den ineffizienten Fluss der Sicherheitsausrüstung reduzieren, um mit dem Druck fertig zu werden;Gleichzeitig kann der „Bypass-Schalter“ den Betriebszustand der Sicherheitsvorrichtung in Echtzeit erkennen.Die Sicherheitsvorrichtung arbeitet anormal und umgeht den Datenverkehr direkt, um eine Unterbrechung des Netzwerkdienstes zu vermeiden.
Der Mylinking™ Traffic Bypass Protector kann Datenverkehr basierend auf der L2-L4-Layer-Header-Kennung identifizieren, wie z. B. VLAN-Tag, Quell-/Ziel-MAC-Adresse, Quell-IP-Adresse, IP-Pakettyp, Port des Transportschichtprotokolls, Key-Tag des Protokollheaders usw An.Eine Vielzahl von Anpassungsbedingungen kann flexibel kombiniert werden, um die spezifischen Verkehrstypen zu definieren, die für ein bestimmtes Sicherheitsgerät von Interesse sind, und kann für den Einsatz spezieller Sicherheitsprüfgeräte (RDP, SSH, Datenbankprüfung usw.) verwendet werden. .
5.4 Reihenschutz mit Lastausgleich
Der Mylinking™ „Bypass Switch“ wird in Reihe zwischen Netzwerkgeräten (Router, Switches usw.) eingesetzt.Wenn eine einzelne IPS / FW-Verarbeitungsleistung nicht ausreicht, um den Spitzenverkehr der Netzwerkverbindung zu bewältigen, kann die Verkehrslastausgleichsfunktion des Schutzes, die „Bündelung“ mehrerer IPS / FW-Cluster, die den Netzwerkverbindungsverkehr verarbeiten, den einzelnen IPS / FW-Verarbeitungsdruck, Verbesserung der Gesamtverarbeitungsleistung, um die hohe Bandbreite des Anspruchs der Bereitstellungsumgebung zu erfüllen.
Mylinking™ „Bypass Switch“ verfügt über eine leistungsstarke Load-Balancing-Funktion, die gemäß dem Frame-VLAN-Tag, MAC-Informationen, IP-Informationen, Portnummer, Protokoll und anderen Informationen über die Hash-Load-Balancing-Verteilung des Datenverkehrs sicherstellt, dass jedes IPS / FW Daten empfängt Fluss Sitzungsintegrität.
5.5 Traktionsschutz für Inline-Geräte mehrerer Serien (von serieller Verbindung zu paralleler Verbindung wechseln)
Bei einigen wichtigen Links (wie Internet-Outlets, Exchange-Links im Serverbereich) ist der Standort häufig auf die Anforderungen von Sicherheitsfunktionen und den Einsatz mehrerer Inline-Sicherheitstestgeräte (wie Firewall, Anti-DDOS-Angriffsausrüstung, Firewall für WEB-Anwendungen) zurückzuführen , Intrusion Prevention Equipment usw.), mehrere Sicherheitserkennungsgeräte gleichzeitig in Reihe auf der Verbindung, um die Verbindung eines Single Point of Failure zu erhöhen und die Gesamtzuverlässigkeit des Netzwerks zu verringern.Und bei der oben erwähnten Online-Bereitstellung von Sicherheitsausrüstung, Ausrüstungs-Upgrades, Ausrüstungsaustausch und anderen Operationen wird das Netzwerk für eine lange Zeit eine Dienstunterbrechung und eine größere Projektkürzungsaktion verursachen, um die erfolgreiche Implementierung solcher Projekte abzuschließen.
Durch die einheitliche Bereitstellung des „Bypass-Schalters“ kann der Bereitstellungsmodus mehrerer Sicherheitsgeräte, die auf derselben Verbindung in Reihe geschaltet sind, von „physischer Verkettungsmodus“ in „physikalischer Verkettungsmodus, logischer Verkettungsmodus“ geändert werden ein Single Point of Failure, um die Zuverlässigkeit der Verbindung zu verbessern, während der „Bypass-Schalter“ auf dem Link Flow on Demand Traction, um den gleichen Flow mit dem ursprünglichen Modus der sicheren Verarbeitung zu erreichen.
Mehr als ein Sicherheitsgerät gleichzeitig im Reiheneinsatzdiagramm:
Bereitstellungsdiagramm des Mylinking™ Network TAP Bypass Switch:
5.6 Basierend auf der dynamischen Strategie des Traffic Traction Security Detection Protection
„Umgehungsschalter“ Ein weiteres fortgeschrittenes Anwendungsszenario basiert auf der dynamischen Strategie von Verkehrstraktionssicherheitserkennungsschutzanwendungen, die wie unten gezeigt bereitgestellt werden:
Nehmen Sie zum Beispiel die Sicherheitstestausrüstung „Anti-DDoS-Angriffsschutz und -erkennung“ durch die Front-End-Bereitstellung von „Bypass-Schalter“ und dann Anti-DDOS-Schutzausrüstung und dann verbunden mit dem „Bypass-Schalter“ auf die übliche Weise. Traktionsschutz „um die volle Menge an Datenverkehr mit Leitungsgeschwindigkeit weiterzuleiten und gleichzeitig den Flow Mirror-Ausgang an das „Anti-DDOS-Angriffsschutzgerät“ zu senden, sobald es nach dem Angriff für eine Server-IP (oder ein IP-Netzwerksegment) erkannt wurde“, anti -DDOS-Angriffsschutzgerät“ generiert die Übereinstimmungsregeln für den Zielverkehrsfluss und sendet sie über die dynamische Richtlinienbereitstellungsschnittstelle an den „Umgehungsschalter“.Der „Umgehungsschalter“ kann nach Erhalt der dynamischen Richtlinienregeln den Regelpool „Dynamic Traffic Traction“ aktualisieren und sofort „Regel trifft den Traffic des Angriffsservers“ zur „Anti-DDoS-Angriffsschutz- und Erkennungs“-Ausrüstung zur Verarbeitung leiten wirksam nach dem Angriffsfluss und dann wieder in das Netzwerk eingespeist.
Das auf dem „Bypass Switch“ basierende Anwendungsschema ist einfacher zu implementieren als das herkömmliche BGP-Routeninjektions- oder andere Traktionsschema, und die Umgebung ist weniger abhängig vom Netzwerk und die Zuverlässigkeit ist höher.
„Umgehungsschalter“ hat die folgenden Eigenschaften, um den Erkennungsschutz für dynamische Richtliniensicherheit zu unterstützen:
1, „Bypass Switch“, um außerhalb der Regeln basierend auf der WEBSERIVCE-Schnittstelle eine einfache Integration mit Sicherheitsgeräten von Drittanbietern bereitzustellen.
2, „Bypass Switch“, basierend auf dem reinen Hardware-ASIC-Chip, der Pakete mit bis zu 10 Gbit/s Leitungsgeschwindigkeit weiterleitet, ohne die Switch-Weiterleitung zu blockieren, und „Traffic Traction Dynamic Rule Library“ unabhängig von der Anzahl.
3, „Bypass-Schalter“ eingebaute professionelle BYPASS-Funktion, auch wenn der Protektor selbst ausfällt, kann die ursprüngliche serielle Verbindung auch sofort umgehen, hat keinen Einfluss auf die ursprüngliche Verbindung der normalen Kommunikation.
