1- ¿Qué es el paquete Definir latido del corazón?
Los paquetes de latidos del conmutador Mylinking™ Network Tap Bypass tienen por defecto tramas de capa 2 de Ethernet.Al implementar el modo puente transparente de Capa 2 (como IPS/FW), las tramas Ethernet de Capa 2 normalmente se reenvían, bloquean o descartan.Al mismo tiempo, Mylinking™ Network Tap Bypass Switch admite un formato de mensaje de latido personalizado para resolver la situación en la que algunos dispositivos de seguridad en serie especiales normalmente no pueden reenviar tramas Ethernet de capa 2 ordinarias.
Y Mylinking™ Network Tap Bypass Switch también admite la detección de paquetes de latidos basada en etiquetas VLAN y tipos de mensajes personalizados de Capa 3 y Capa 4.Con base en este mecanismo, el usuario puede implementar una función de prueba de seguridad del servicio del dispositivo de seguridad de conexión para hacerlo más efectivo para garantizar que los servicios de seguridad correspondientes funcionen correctamente.
Mylinking™ Network Tap Bypass Switch puede permitir que el monitor envíe diferentes paquetes de latidos en ambas direcciones.Por ejemplo, los paquetes de latidos de tipo TCP y UDP se personalizan en el “Strategy Traffic Traction Protector”, según la particularidad del dispositivo serie.Puede configurar el envío de paquetes de latidos TCP en el puerto A del monitor de enlace ascendente y el envío de paquetes de latidos UDP en el puerto B del monitor de enlace descendente para acomodar el mecanismo de reenvío de mensajes del dispositivo de seguridad en serie.Esta función puede garantizar más eficazmente la cadena.Conecte el equipo de seguridad al funcionamiento normal.
El conmutador de derivación en línea de red Mylinking™ se ha investigado y desarrollado para su uso en la implementación flexible de varios tipos de equipos de seguridad en serie y, al mismo tiempo, proporciona una alta confiabilidad de la red.
Funciones y tecnologías avanzadas del conmutador de derivación en línea de 2 redes
Modo de protección Mylinking™ “SpecFlow” y tecnología de modo de protección “FullLink”
Tecnología de protección de conmutación de derivación rápida Mylinking™
Tecnología Mylinking™ “LinkSafeSwitch”
Mylinking™ “WebService” Tecnología de emisión/reenvío de estrategia dinámica
Tecnología inteligente de detección de mensajes de latidos del corazón Mylinking™
Tecnología de mensajes de latidos definibles Mylinking™
Tecnología de equilibrio de carga multienlace Mylinking™
Tecnología inteligente de distribución de tráfico Mylinking™
Tecnología de equilibrio de carga dinámica Mylinking™
Tecnología de administración remota Mylinking™ (HTTP/WEB, TELNET/SSH, característica “EasyConfig/AdvanceConfig”)
Aplicación de interruptor de derivación en línea de 3 redes (como se muestra a continuación)
3.1 El riesgo de los equipos de seguridad en línea (IPS/FW)
El siguiente es un modo de implementación típico de IPS (Sistema de prevención de intrusiones), FW (Firewall). IPS / FW se implementa en serie en los equipos de red (enrutadores, conmutadores, etc.) entre el tráfico mediante la implementación de controles de seguridad, de acuerdo con la política de seguridad correspondiente para determinar la liberación o bloqueo del tráfico correspondiente, para lograr el efecto de defensa de seguridad.
Al mismo tiempo, podemos observar IPS/FW como una implementación en serie del equipo, generalmente implementado en la ubicación clave de la red empresarial para implementar la seguridad en serie; la confiabilidad de sus dispositivos conectados afecta directamente la disponibilidad general de la red empresarial.Una vez que los dispositivos serie se sobrecargan, fallan, se actualizan el software, se actualizan las políticas, etc., la disponibilidad de toda la red empresarial se verá muy afectada.En este punto, solo a través del corte de la red, el puente de derivación física puede restaurar la red, lo que afecta seriamente la confiabilidad de la red.IPS/FW y otros dispositivos seriales, por un lado, mejoran la implementación de la seguridad de la red empresarial y, por otro lado, también reducen la confiabilidad de las redes empresariales, lo que aumenta el riesgo de que la red no esté disponible.
3.2 Protección del equipo de la serie Inline Link
Mylinking™ “Network Inline Bypass” se implementa en serie entre dispositivos de red (enrutadores, conmutadores, etc.), y el flujo de datos entre dispositivos de red ya no conduce directamente a IPS/FW, “Network Inline Bypass” a IPS/FW, cuando el IPS / FW debido a sobrecarga, falla, actualizaciones de software, actualizaciones de políticas y otras condiciones de falla, la función "Network Inline Bypass" a través de detección inteligente de mensajes de latido del corazón de detección oportuna y, por lo tanto, omitir el dispositivo defectuoso, sin interrumpir la premisa de la red, el equipo de red rápida conectado directamente para proteger la red de comunicación normal;cuando la recuperación de fallos IPS / FW, sino también a través de paquetes de latidos inteligentes Detección de la función de detección oportuna, el enlace original para restaurar la seguridad de los controles de seguridad de la red empresarial.
Mylinking™ “Network Inline Bypass” tiene una poderosa función inteligente de detección de mensajes de latido, el usuario puede personalizar el intervalo de latido y el número máximo de reintentos, a través de un mensaje de latido personalizado en el IPS/FW para pruebas de salud, como enviar la verificación de latido mensaje al puerto ascendente/descendente de IPS/FW, y luego recibir desde el puerto ascendente/descendente de IPS/FW, y juzgar si el IPS/FW está funcionando normalmente enviando y recibiendo el mensaje de latido.
3.3 Protección de la serie de tracción en línea de flujo de política “SpecFlow”
Cuando el dispositivo de red de seguridad solo necesita lidiar con el tráfico específico en la protección de seguridad en serie, a través de la función de procesamiento de tráfico "Network Inline Bypass" de Mylinking™, a través de la estrategia de detección de tráfico para conectar el dispositivo de seguridad, el tráfico "preocupado" se devuelve directamente al enlace de red, y la “sección de tráfico en cuestión” es tracción al dispositivo de seguridad en línea para realizar controles de seguridad.Esto no sólo mantendrá la aplicación normal de la función de detección de seguridad del dispositivo de seguridad, sino que también reducirá el flujo ineficiente del equipo de seguridad para lidiar con la presión;al mismo tiempo, el "Bypass en línea de red" puede detectar el estado de funcionamiento del dispositivo de seguridad en tiempo real.El dispositivo de seguridad funciona de manera anormal y evita el tráfico de datos directamente para evitar la interrupción del servicio de red.
3.4 Protección en serie con carga equilibrada
El “Network Inline Bypass” de Mylinking™ se implementa en serie entre dispositivos de red (enrutadores, conmutadores, etc.).Cuando el rendimiento de procesamiento de un único IPS/FW no es suficiente para hacer frente al tráfico máximo del enlace de red, la función de equilibrio de carga de tráfico del protector, la “agrupación” de múltiples tráficos de enlace de red de procesamiento de clústeres IPS/FW, puede reducir eficazmente el rendimiento de procesamiento de un único IPS/FW. La presión de procesamiento de FW mejora el rendimiento general del procesamiento para cumplir con el gran ancho de banda del entorno de implementación.
Mylinking™ “Network Inline Bypass” tiene una potente función de equilibrio de carga, de acuerdo con la etiqueta VLAN del marco, información MAC, información IP, número de puerto, protocolo y otra información sobre la distribución del tráfico de equilibrio de carga Hash para garantizar que cada IPS/FW recibido flujo de datos Integridad de la sesión.
3.5 Protección de tracción de flujo de equipos en línea multiserie (cambie la conexión en serie a una conexión en paralelo)
En algunos enlaces clave (como puntos de venta de Internet, enlaces de intercambio de áreas de servidores), la ubicación a menudo se debe a las necesidades de funciones de seguridad y al despliegue de múltiples equipos de prueba de seguridad en línea (como cortafuegos, equipos de ataque anti-DDOS, cortafuegos de aplicaciones WEB). , equipos de prevención de intrusiones, etc.), múltiples equipos de detección de seguridad al mismo tiempo en serie en el enlace para aumentar el enlace de un único punto de falla, lo que reduce la confiabilidad general de la red.Y en el despliegue en línea de equipos de seguridad mencionado anteriormente, las actualizaciones de equipos, el reemplazo de equipos y otras operaciones, provocarán que la red se interrumpa durante mucho tiempo y se requieran acciones de corte de proyectos más grandes para completar la implementación exitosa de dichos proyectos.
Al implementar el "Network Inline Bypass" de manera unificada, el modo de implementación de múltiples dispositivos de seguridad conectados en serie en el mismo enlace se puede cambiar de "modo de concatenación física" a "concatenación física, modo de concatenación lógica" El enlace en el enlace de un único punto de falla para mejorar la confiabilidad del enlace, mientras que el “Network Inline Bypass” en el flujo del enlace según la tracción de la demanda, para lograr el mismo flujo con el modo original de efecto de procesamiento seguro.
Diagrama de implementación de más de un dispositivo de seguridad al mismo tiempo en serie:
Diagrama de implementación del conmutador de derivación en línea de red:
3.6 Basado en la estrategia dinámica de protección de detección de seguridad de tracción del tráfico
"Network Inline Bypass" Otro escenario de aplicación avanzada se basa en la estrategia dinámica de las aplicaciones de protección de detección de seguridad de tracción del tráfico, y su implementación se muestra a continuación:
Tome el equipo de prueba de seguridad "Protección y detección de ataques anti-DDoS", por ejemplo, a través de la implementación frontal de "Network Inline Bypass" y luego el equipo de protección anti-DDOS y luego conéctelo a "Network Inline Bypass", en el El "protector de tracción" habitual para reenviar la cantidad total de tráfico a velocidad de cable al mismo tiempo que la salida del espejo de flujo al "dispositivo de protección contra ataques anti-DDOS", una vez detectado para una IP de servidor (o segmento de red IP) después del ataque, El “dispositivo de protección contra ataques anti-DDOS” generará las reglas de coincidencia del flujo de tráfico objetivo y las enviará a la “Red Inline Bypass” a través de la interfaz de entrega de políticas dinámicas.El “Network Inline Bypass” puede actualizar la “dinámica de tracción del tráfico” después de recibir las reglas de políticas dinámicas del grupo de reglas “e inmediatamente” la regla golpea la tracción del tráfico del servidor de ataque al equipo de “protección y detección de ataques anti-DDoS” para su procesamiento, para ser efectivo después del flujo de ataque y luego reinyectado en la red.
El esquema de aplicación basado en "Network Inline Bypass" es más fácil de implementar que la inyección de ruta BGP tradicional u otro esquema de tracción de tráfico, y el entorno depende menos de la red y la confiabilidad es mayor.
“Network Inline Bypass” tiene las siguientes características para admitir la protección de detección de seguridad de políticas dinámicas:
1, "Red Inline Bypass" para proporcionar fuera de las reglas basadas en la interfaz WEBSERIVCE, una fácil integración con dispositivos de seguridad de terceros.
2, "Network Inline Bypass" basado en el chip ASIC puro de hardware que reenvía paquetes de velocidad de cable de hasta 10 Gbps sin bloquear el reenvío de conmutadores y "biblioteca de reglas dinámicas de tracción de tráfico" independientemente del número.
3, función BYPASS profesional incorporada "Network Inline Bypass", incluso si el propio protector falla, también puede omitir el enlace serial original inmediatamente, no afecta el enlace original de comunicación normal.
Hora de publicación: 23-dic-2021
