Mylinking™ ネットワーク タップ バイパス スイッチ ML-BYPASS-200
2 * バイパスと 1 * モニターのモジュラー設計、10/40/100GE リンク、最大 640 Gbps
1- 概要
Mylinking™ スマート バイパス スイッチを導入すると、次のことが可能になります。
- ユーザーはセキュリティ機器を柔軟にインストール/アンインストールでき、現在のネットワークに影響を与えたり中断したりすることはありません。
- Mylinking™ ネットワーク タップ バイパス スイッチは、シリアル セキュリティ デバイスの通常の動作状態をリアルタイムで監視するインテリジェントな健全性検出機能を備えています。シリアル セキュリティ デバイスの動作が例外になると、保護は自動的にバイパスされ、通常のネットワーク通信が維持されます。
- 選択的トラフィック保護テクノロジーを使用して、特定のトラフィック クリーニング セキュリティ機器、監査機器に基づく暗号化テクノロジーを展開できます。特定のトラフィック タイプに対してシリアル アクセス保護を効果的に実行し、シリーズ デバイスのフロー処理圧力を軽減します。
- 負荷分散トラフィック保護テクノロジーは、高帯域幅環境でのシリアル セキュリティのニーズを満たすセキュア シリアル デバイスのクラスタ化された展開に使用できます。
インターネットの急速な発展に伴い、ネットワーク情報セキュリティの脅威はますます深刻になっており、さまざまな情報セキュリティ保護アプリケーションがますます広く使用されています。従来のアクセス制御装置 (ファイアウォール) であっても、侵入防御システム (IPS)、統合脅威管理プラットフォーム (UTM)、拒否サービス攻撃防止システム (アンチ DDoS)、アンチスパンゲートウェイ、統合 DPI トラフィック識別および制御システム、および多くのセキュリティ デバイスがネットワーク キー ノードに直列に導入され、合法/違法トラフィックを識別して処理するための対応するデータ セキュリティ ポリシーが実装されます。しかし同時に、信頼性の高い本番ネットワークアプリケーション環境では、フェイルオーバー、メンテナンス、アップグレード、機器交換などの場合、コンピュータネットワークにより大きなネットワーク遅延やネットワーク中断が発生するため、ユーザーはこれに耐えることができません。
2- ネットワーク タップ バイパス スイッチの高度な機能とテクノロジー
Mylinking™「SpecFlow」保護モードおよび「FullLink」保護モードテクノロジー
Mylinking™ 高速バイパス スイッチング保護テクノロジー
Mylinking™「LinkSafeSwitch」テクノロジー
Mylinking™「WebService」 動的戦略転送・発行技術
Mylinking™ インテリジェント ハートビート メッセージ検出テクノロジー
Mylinking™ 定義可能なハートビート メッセージ テクノロジー
Mylinking™ マルチリンク負荷分散テクノロジー
Mylinking™ インテリジェントトラフィック分散テクノロジー
Mylinking™ 動的負荷分散テクノロジー
Mylinking™ リモート管理技術(HTTP/WEB、TELNET/SSH、「EasyConfig/AdvanceConfig」特性)
3- ネットワーク タップ バイパス スイッチ構成ガイド
バイパス保護ポートモジュールスロット:
このスロットは、異なる速度/ポート番号の BYPASS 保護ポート モジュールに挿入できます。さまざまな種類のモジュールを交換することで、複数の 10G/40G/100G リンクのバイパス保護をサポートできます。
モニターポートモジュールスロット。
このスロットは、さまざまな速度/ポートの MONITOR ポート モジュールに挿入できます。異なるモデルを交換することで、複数の 10G/40G/100G リンクのオンライン シリアル モニタリング デバイスの導入をサポートできます。
モジュール選択ルール
導入されたさまざまなリンクと監視機器の導入要件に基づいて、実際の環境のニーズを満たすためにさまざまなモジュール構成を柔軟に選択できます。選択する際は次のルールに従ってください。
1. シャーシ コンポーネントは必須であり、他のモジュールを選択する前にシャーシ コンポーネントを選択する必要があります。同時に、ニーズに応じて異なる電源方式(AC/DC)を選択してください。
2. マシン全体は、最大 2 つの BYPASS モジュール スロットと 1 つの MONITOR モジュール スロットをサポートします。構成するスロットの数を超えるものを選択することはできません。スロットの数とモジュール モデルの組み合わせに基づいて、デバイスは最大 4 つの 10GE リンク保護をサポートできます。または、最大 4 つの 40GE リンクをサポートできます。または、最大 1 つの 100GE リンクをサポートできます。
3. モジュール モデル「BYP-MOD-L1CG」は、SLOT1 にのみ挿入して正常に動作します。
4. モジュール タイプ「BYP-MOD-XXX」は、BYPASS モジュール スロットにのみ挿入できます。モジュール タイプ「MON-MOD-XXX」は、通常動作の場合のみ MONITOR モジュール スロットに挿入できます。
| 製品モデル | 関数パラメータ |
| シャーシ(ホスト) | |
| ML-バイパス-M200 | 1U 標準 19 インチ ラックマウント。最大消費電力250W。モジュラー BYPASS プロテクター ホスト。2 BYPASS モジュール スロット。1 MONITORモジュールスロット;AC および DC はオプションです。 |
| バイパスモジュール | |
| BYP-MOD-L2XG(LM/SM) | 2ウェイ10GEリンクシリアル保護、4*10GEインターフェイス、LCコネクタをサポート。内蔵光トランシーバー;光リンク シングル/マルチモード オプション、10GBASE-SR/LR をサポート。 |
| BYP-MOD-L2QXG(LM/SM) | 2ウェイ40GEリンクシリアル保護、4*40GEインターフェイス、LCコネクタをサポート。内蔵光トランシーバー;光リンク シングル/マルチモード オプション、40GBASE-SR4/LR4 をサポート。 |
| BYP-MOD-L1CG (LM/SM) | 1 チャネル 100GE リンク シリアル保護、2*100GE インターフェイス、LC コネクタをサポート。内蔵光トランシーバー;光リンク シングル マルチモード オプション、100GBASE-SR4/LR4 をサポート。 |
| モニターモジュール | |
| MON-MOD-L16XG | 16*10GE SFP+ モニタリング ポート モジュール;光トランシーバモジュールはありません。 |
| MON-MOD-L8XG | 8*10GE SFP+ モニタリング ポート モジュール;光トランシーバモジュールはありません。 |
| MON-MOD-L2CG | 2*100GE QSFP28 モニタリング ポート モジュール;光トランシーバモジュールはありません。 |
| MON-MOD-L8QXG | 8* 40GE QSFP+ モニタリング ポート モジュール;光トランシーバモジュールはありません。 |
4- ネットワーク TAP バイパス スイッチの仕様
| 製品モダリティ | ML-BYPASS-M200 シリアル バイパス スイッチ | |
| インターフェースの種類 | MGTインターフェース | 1*10/100/1000BASE-T 適応管理インターフェイス;リモートHTTP/IP管理をサポート |
| モジュールスロット | 2*BYPASS モジュール スロット;1*MONITOR モジュール スロット; | |
| 最大値をサポートするリンク | デバイスサポート最大 4*10GE リンク、4*40GE リンク、または 1*100GE リンク | |
| モニター | デバイスは最大 16*10GE モニタリング ポート、または 8*40GE モニタリング ポート、または 2*100GE モニタリング ポートをサポートします。 | |
| 関数 | 全二重処理能力 | 640Gbps |
| IP/プロトコル/ポートに基づいた 5 つのタプル固有のトラフィック カスケード保護 | サポート | |
| フルトラフィックに基づくカスケード保護 | サポート | |
| 複数の負荷分散 | サポート | |
| カスタム心拍検出機能 | サポート | |
| イーサネットパッケージの独立性をサポート | サポート | |
| バイパススイッチ | サポート | |
| バイパススイッチ(フラッシュなし) | サポート | |
| コンソール管理 | サポート | |
| IP/WEB管理 | サポート | |
| SNMP V1/V2C MGT | サポート | |
| TELNET/SSH MGT | サポート | |
| SYSLOGプロトコル | サポート | |
| ユーザー認証 | パスワード認証/AAA/TACACS+ に基づく | |
| 電気 | 定格電源電圧 | AC-220V/DC-48V【オプション】 |
| 定格電源周波数 | 50Hz | |
| 定格入力電流 | AC-3A / DC-10A | |
| 定格出力 | 100W | |
| 環境 | 作業温度 | 0-50℃ |
| 保管温度 | -20~70℃ | |
| 使用湿度 | 10%-95%、結露なきこと | |
| ユーザー設定 | コンソール構成 | RS232 インターフェース、115200、8、N、1 |
| 帯域外 MGT インターフェイス | 1*10/100/1000Mイーサネットインターフェイス | |
| パスワード認証 | サポート | |
| シャーシの高さ | シャーシスペース(U) | 1U 19インチ、485mm*44.5mm*350mm |
5- ネットワーク TAP バイパス スイッチ アプリケーション (以下のように)
以下は一般的な IPS (侵入防止システム)、FW (ファイアウォール) の展開モードです。セキュリティ チェックの実装によると、IPS/FW はトラフィック間のネットワーク機器 (ルーター、スイッチなど) に直列に展開されます。対応するセキュリティ ポリシーを使用して、対応するトラフィックのリリースまたはブロックを決定し、セキュリティ防御の効果を実現します。
同時に、IPS/FW は機器のシリアル展開として観察でき、通常はシリアル セキュリティを実装するために企業ネットワークの主要な場所に展開され、接続されたデバイスの信頼性が企業ネットワーク全体の可用性に直接影響します。シリアル デバイスの過負荷、クラッシュ、ソフトウェア アップデート、ポリシー アップデートなどが発生すると、企業ネットワーク全体の可用性が大きな影響を受けます。現時点では、物理的なバイパス ジャンパを介してネットワークを切断するだけでネットワークを復元できるため、ネットワークの信頼性に重大な影響を及ぼします。IPS/FW およびその他のシリアル デバイスは、企業ネットワーク セキュリティの導入を向上させる一方で、企業ネットワークの信頼性を低下させ、ネットワークが利用できないリスクを高めます。
5.2 インラインリンクシリーズ機器の保護
Mylinking™ の「バイパス スイッチ」は、ネットワーク デバイス (ルーター、スイッチなど) 間に直列に配置され、ネットワーク デバイス間のデータ フローが IPS / FW に直接接続されなくなり、IPS が停止した場合に「バイパス スイッチ」が IPS / FW に接続されます。 /ファームウェアの過負荷、クラッシュ、ソフトウェアアップデート、ポリシーアップデートおよびその他の障害条件による、インテリジェントなハートビートメッセージ検出機能による「バイパススイッチ」のタイムリーな検出機能により、ネットワークの前提を中断することなく、障害のあるデバイスをスキップします。通常の通信ネットワークを保護するために直接接続された高速ネットワーク機器。IPS / FW障害回復時だけでなく、インテリジェントなハートビートパケット検出機能によりタイムリーに検出し、元のリンクのセキュリティを復元してエンタープライズネットワークのセキュリティチェックを行います。
Mylinking™「バイパス スイッチ」には強力なインテリジェント ハートビート メッセージ検出機能があり、ユーザーはハートビート チェック メッセージの送信など、ヘルス テスト用に IPS / FW 上のカスタム ハートビート メッセージを通じてハートビート間隔と最大再試行回数をカスタマイズできます。ハートビートメッセージをIPS/FWの上流/下流ポートに送信し、IPS/FWの上流/下流ポートから受信し、ハートビートメッセージを送受信することでIPS/FWが正常に動作しているか判断します。
5.3 「SpecFlow」ポリシー フロー インライン Traction シリーズ保護
セキュリティ ネットワーク デバイスが一連のセキュリティ保護で特定のトラフィックのみを処理する必要がある場合、Mylinking™ の「バイパス スイッチ」トラフィックごとの処理機能を通じて、トラフィック スクリーニング戦略を通じてセキュリティ デバイスに接続する「懸念される」トラフィックが直接送り返されます。ネットワークリンクに接続され、「該当する交通セクション」はインライン安全装置に接続され、安全チェックが実行されます。これにより、安全装置の安全検出機能の正常な適用が維持されるだけでなく、圧力に対処するための安全装置の非効率な流れも削減されます。同時に、「バイパススイッチ」は安全装置の作動状態をリアルタイムに検出できます。安全装置が異常に動作し、ネットワーク サービスの中断を避けるためにデータ トラフィックを直接バイパスします。
Mylinking™ Traffic Bypass Protector は、VLAN タグ、送信元/宛先 MAC アドレス、送信元 IP アドレス、IP パケット タイプ、トランスポート層プロトコル ポート、プロトコル ヘッダー キー タグなどの L2 ~ L4 層ヘッダー識別子に基づいてトラフィックを識別できます。の上。さまざまな一致条件の柔軟な組み合わせを柔軟に定義して、特定のセキュリティ デバイスに関係する特定のトラフィック タイプを定義でき、特別なセキュリティ監査デバイス (RDP、SSH、データベース監査など) の展開に広く使用できます。 。
5.4 負荷分散された直列保護
Mylinking™「バイパス スイッチ」は、ネットワーク デバイス (ルーター、スイッチなど) 間に直列に導入されます。単一の IPS / FW 処理パフォーマンスがネットワーク リンクのピーク トラフィックに対処するのに十分でない場合、プロテクターのトラフィック ロード バランシング機能、つまりネットワーク リンク トラフィックを処理する複数の IPS / FW クラスターを「バンドル」することで、単一の IPS / FW 処理パフォーマンスを効果的に削減できます。 FW の処理圧力により、導入環境の高帯域幅を満たすために全体的な処理パフォーマンスが向上すると主張します。
Mylinking™「バイパス スイッチ」は、フレームの VLAN タグ、MAC 情報、IP 情報、ポート番号、プロトコル、およびトラフィックのハッシュ ロード バランシング分散に関するその他の情報に従って、各 IPS / FW がデータを確実に受信できるようにする強力なロード バランシング機能を備えています。フロー セッションの整合性。
5.5 多直列インライン機器の流量トラクション保護(直列接続から並列接続への変更)
一部の主要なリンク (インターネット アウトレット、サーバー エリア交換リンクなど) では、多くの場合、セキュリティ機能の必要性と、複数のインライン セキュリティ テスト機器 (ファイアウォール、DDOS 攻撃対策機器、WEB アプリケーション ファイアウォールなど) の導入が原因で位置が決まります。 、侵入防止装置など)、複数のセキュリティ検出装置をリンク上で同時に直列に接続すると、単一障害点のリンクが増加し、ネットワーク全体の信頼性が低下します。また、上記のセキュリティ機器のオンライン展開では、機器のアップグレード、機器の交換、その他の作業により、ネットワークのサービスが長時間中断され、そのようなプロジェクトを成功裏に完了するには大規模なプロジェクト削減措置が発生します。
「バイパススイッチ」を統一的に導入することで、同一リンク上に直列接続された複数のセキュリティ装置の導入モードを「物理コンカチネーションモード」から「物理コンカチネーション、論理コンカチネーションモード」に変更することができます。単一障害点を改善してリンクの信頼性を向上させ、リンク上の「バイパス スイッチ」はオンデマンドのトラクション フローを実現し、元のモードでの安全な処理効果と同じフローを実現します。
複数のセキュリティ デバイスを同時に直列に配置する図:
Mylinking™ ネットワーク TAP バイパス スイッチの配置図:
5.6 交通トラクションセキュリティ検出保護の動的戦略に基づく
「バイパス スイッチ」 もう 1 つの高度なアプリケーション シナリオは、交通トラクション セキュリティ検出保護アプリケーションの動的戦略に基づいており、以下に示すような方法で展開されます。
たとえば、「アンチ DDoS 攻撃保護および検出」セキュリティ テスト装置を例に挙げます。まず、フロントエンドに「バイパス スイッチ」を導入し、次にアンチ DDOS 保護装置を「バイパス スイッチ」に接続します。トラクション プロテクターは、「攻撃後にサーバー IP (または IP ネットワーク セグメント) が検出されると、トラフィックの全量をワイヤスピードで転送すると同時に、フロー ミラーが「対 DDOS 攻撃保護デバイス」に出力します。 -DDOS 攻撃保護デバイス」は、ターゲット トラフィック フローの一致ルールを生成し、動的ポリシー配信インターフェイスを介して「バイパス スイッチ」に送信します。「バイパス スイッチ」は、動的ポリシー ルールを受信した後、「トラフィック トラクションの動的」を更新できます。ルール プールは、ルールが攻撃サーバーに「ヒットすると、直ちに」トラフィックを「DDoS 攻撃防御および検出」装置に処理して処理します。攻撃フローの後に有効になり、ネットワークに再注入されます。
「バイパス スイッチ」に基づくアプリケーション スキームは、従来の BGP ルート インジェクションやその他のトラフィック トラクション スキームよりも実装が容易で、環境のネットワーク依存性が低く、信頼性が高くなります。
「バイパス スイッチ」には、動的なポリシー セキュリティ検出保護をサポートする次の特性があります。
1、「バイパス スイッチ」は、WEBSERIVCE インターフェイスに基づいてルールの外側を提供し、サードパーティのセキュリティ デバイスと簡単に統合できます。
2、スイッチ転送をブロックすることなく最大 10Gbps のワイヤスピード パケットを転送するハードウェア純粋な ASIC チップに基づく「バイパス スイッチ」と、数に関係なく「トラフィック トラクション ダイナミック ルール ライブラリ」。
3、「バイパススイッチ」内蔵の専門的なBYPASS機能は、プロテクター自体に障害が発生した場合でも、元のシリアルリンクをすぐにバイパスすることもでき、通常の通信の元のリンクには影響を与えません。
