Mylinking™ netwerktik bypass-schakelaar ML-BYPASS-200
2*Bypass plus 1*Monitor Modulair Ontwerp, 10/40/100GE Links, Max 640Gbps
1- Overzichten
Door Mylinking™ Smart Bypass Switch te implementeren:
- Gebruikers kunnen beveiligingsapparatuur flexibel installeren/verwijderen en hebben geen invloed op het huidige netwerk en onderbreken;
- Mylinking™ Network Tap Bypass Switch met intelligente gezondheidsdetectiefunctie voor realtime bewaking van de normale werkstatus van het seriële beveiligingsapparaat. Zodra het seriële beveiligingsapparaat werkt, wordt de beveiliging automatisch omzeild om de normale netwerkcommunicatie te behouden;
- Selectieve verkeersbeveiligingstechnologie kan worden gebruikt om specifieke verkeersreinigingsbeveiligingsapparatuur in te zetten, encryptietechnologie op basis van de auditapparatuur.Voer effectief de seriële toegangsbeveiliging uit voor het specifieke verkeerstype, waarbij de stroombehandelingsdruk van het serieapparaat wordt ontlast;
- Load Balanced Traffic Protection-technologie kan worden gebruikt voor geclusterde implementatie van veilige seriële apparaten om te voldoen aan de behoefte aan seriële beveiliging in omgevingen met hoge bandbreedte.
Met de snelle ontwikkeling van internet wordt de dreiging van netwerkinformatiebeveiliging steeds ernstiger, dus een verscheidenheid aan toepassingen voor informatiebeveiliging wordt steeds vaker gebruikt.Of het nu gaat om traditionele toegangscontroleapparatuur (firewall) of een nieuw type geavanceerdere beveiligingsmiddelen zoals inbraakpreventiesysteem (IPS), Unified Threat Management Platform (UTM), Anti-denial Service Attack System (Anti-DDoS), Anti- span Gateway, Unified DPI Traffic Identification and Control System, en veel beveiligingsapparaten worden in serie ingezet in de netwerksleutelknooppunten, de implementatie van het bijbehorende gegevensbeveiligingsbeleid om legaal / illegaal verkeer te identificeren en af te handelen.Tegelijkertijd zal het computernetwerk echter een grote netwerkvertraging of zelfs netwerkonderbreking veroorzaken in het geval van failover, onderhoud, upgrade, vervanging van apparatuur, enzovoort, in een zeer betrouwbare productienetwerktoepassingsomgeving kunnen gebruikers er niet tegen.
2- Network Tap Bypass Switch Geavanceerde functies en technologieën
Mylinking™ "SpecFlow"-beschermingsmodus en "FullLink"-beschermingsmodustechnologie
Mylinking™ snelle bypass-schakelbeveiligingstechnologie
Mylinking™ "LinkSafeSwitch"-technologie
Mylinking™ “WebService” Dynamische Strategie Doorsturen/Issue Technologie
Mylinking™ Intelligent Heartbeat Message Detection-technologie
Mylinking™ definieerbare hartslagberichtentechnologie
Mylinking™ Multi-link Load Balancing-technologie
Mylinking™ intelligente verkeersdistributietechnologie
Mylinking™ Dynamic Load Balancing-technologie
Mylinking™-technologie voor beheer op afstand (HTTP/WEB, TELNET/SSH, kenmerk "EasyConfig/AdvanceConfig")
3- Network Tap Bypass Switch Configuratiehandleiding
BYPASSSleuf voor beschermingspoortmodule:
Deze sleuf kan in de BYPASS-beveiligingspoortmodule met een ander snelheids-/poortnummer worden geplaatst.Door verschillende soorten modules te vervangen, kan het BYPASS-beveiliging van meerdere 10G/40G/100G-links ondersteunen.
MONITORSleuf voor poortmodule;
Deze sleuf kan met verschillende snelheden/poorten in de MONITOR-poortmodule worden gestoken.Het kan de implementatie van meerdere 10G/40G/100G-link online seriële bewakingsapparaten ondersteunen door verschillende modellen te vervangen.
Regels voor moduleselectie
Op basis van verschillende geïmplementeerde koppelingen en implementatievereisten voor bewakingsapparatuur, kunt u flexibel verschillende moduleconfiguraties kiezen om aan uw werkelijke omgevingsbehoeften te voldoen;volg de volgende regels bij het selecteren:
1. De chassiscomponenten zijn verplicht en u moet de chassiscomponenten selecteren voordat u andere modules selecteert.Kies tegelijkertijd verschillende voedingsmethoden (AC/DC) op basis van uw behoeften.
2. De hele machine ondersteunt maximaal 2 BYPASS-moduleslots en 1 MONITOR-moduleslot;u kunt niet meer selecteren dan het aantal te configureren slots.Op basis van de combinatie van het aantal slots en het modulemodel kan het apparaat maximaal vier 10GE-verbindingsbeveiligingen ondersteunen;of het kan maximaal vier 40GE-links ondersteunen;of het kan maximaal één 100GE-link ondersteunen.
3. Het modulemodel "BYP-MOD-L1CG" kan alleen in SLOT1 worden geplaatst om correct te werken.
4. Het moduletype “BYP-MOD-XXX” kan alleen in het BYPASS-moduleslot worden geplaatst;het moduletype "MON-MOD-XXX" kan alleen in de MONITOR-modulesleuf worden geplaatst voor normaal gebruik.
| product Model | Functie parameters |
| Chassis (gastheer) | |
| ML-BYPASS-M200 | 1U standaard 19-inch rackmontage;maximaal stroomverbruik 250W;modulaire BYPASS-beveiligingshost;2 BYPASS-modulesleuven;1 MONITOR-moduleslot;AC en DC optioneel; |
| BYPASS-MODULE | |
| BYP-MOD-L2XG(LM/SM) | Ondersteunt 2-weg 10GE-link seriële bescherming, 4*10GE-interface, LC-connector;ingebouwde optische zendontvanger;optische link single/multimode optioneel, ondersteunt 10GBASE-SR/LR; |
| BYP-MOD-L2QXG(LM/SM) | Ondersteunt 2-weg 40GE-link seriële bescherming, 4*40GE-interface, LC-connector;ingebouwde optische zendontvanger;optische link single/multimode optioneel, ondersteunt 40GBASE-SR4/LR4; |
| BYP-MOD-L1CG (LM/SM) | Ondersteunt 1 kanaal 100GE link seriële bescherming, 2*100GE interface, LC connector;ingebouwde optische zendontvanger;optische link single multimode optioneel, ondersteunt 100GBASE-SR4/LR4; |
| MONITORMODULE | |
| MON-MOD-L16XG | 16*10GE SFP+ bewakingspoortmodule;geen optische transceivermodule; |
| MON-MOD-L8XG | 8*10GE SFP+ bewakingspoortmodule;geen optische transceivermodule; |
| MON-MOD-L2CG | 2*100GE QSFP28 bewakingspoortmodule;geen optische transceivermodule; |
| MON-MOD-L8QXG | 8* 40GE QSFP+ bewakingspoortmodule;geen optische transceivermodule; |
4- Specificaties netwerk TAP bypass-schakelaar
| Productmodaliteit | ML-BYPASS-M200 seriële bypass-schakelaar | |
| Type interface | MGT-interface | 1*10/100/1000BASE-T Adaptieve beheerinterface;Ondersteuning van extern HTTP/IP-beheer |
| Modulesleuf | 2*BYPASS-modulesleuf;1*MONITOR-modulesleuf; | |
| Links ondersteunen maximaal | Apparaat ondersteunt maximaal 4*10GE links of 4*40GE links of 1*100GE links | |
| Monitor | Apparaat ondersteunt maximaal 16 * 10GE-bewakingspoorten of 8 * 40GE-bewakingspoorten of 2 * 100GE-bewakingspoorten; | |
| Functie | Full-duplex verwerkingscapaciteit | 640Gbps |
| Gebaseerd op IP/protocol/poort vijf tuple-specifieke verkeerscascadebeveiliging | Steun | |
| Cascadebeveiliging op basis van vol verkeer | Steun | |
| Meerdere loadbalancing | Steun | |
| Aangepaste hartslagdetectiefunctie | Steun | |
| Ondersteuning van de onafhankelijkheid van het Ethernet-pakket | Steun | |
| BYPASS-SCHAKELAAR | Steun | |
| BYPASS Schakelaar zonder flitser | Steun | |
| CONSOLE MGT | Steun | |
| IP/WEB MGT | Steun | |
| SNMP V1/V2C MGT | Steun | |
| TELNET/SSH MGT | Steun | |
| SYSLOG-protocol | Steun | |
| Autorisatie van de gebruiker | Gebaseerd op wachtwoord autorisatie/AAA/TACACS+ | |
| Elektrisch | Nominale voedingsspanning | AC-220V/DC-48V【Optioneel】 |
| Nominale vermogensfrequentie | 50HZ | |
| Nominale ingangsstroom | AC-3A / DC-10A | |
| Nominaal vermogen | 100W | |
| Omgeving | Werktemperatuur | 0-50℃ |
| Bewaar temperatuur | -20-70℃ | |
| Werkvochtigheid | 10%-95%, Geen condensatie | |
| Gebruikersconfiguratie | Consoleconfiguratie | RS232-interface, 115200,8,N,1 |
| Out-of-band MGT-interface | 1*10/100/1000M Ethernet-interface | |
| Wachtwoord autorisatie | Steun | |
| Chassishoogte | Chassisruimte (U) | 1U 19 duim, 485mm*44.5mm*350mm |
5- Network TAP Bypass Switch-toepassing (zoals hieronder)
Het volgende is een typische IPS (Intrusion Prevention System), FW (Firewall) implementatiemodus, IPS / FW wordt in serie ingezet om de netwerkapparatuur (routers, switches, etc.) tussen het verkeer door de implementatie van beveiligingscontroles, volgens het overeenkomstige beveiligingsbeleid om de vrijgave te bepalen of het overeenkomstige verkeer te blokkeren, om het effect van veiligheidsverdediging te bereiken.
Tegelijkertijd kunnen we IPS / FW waarnemen als een seriële implementatie van de apparatuur, meestal ingezet op de sleutellocatie van het bedrijfsnetwerk om seriële beveiliging te implementeren, de betrouwbaarheid van de aangesloten apparaten heeft een directe invloed op de algehele beschikbaarheid van het bedrijfsnetwerk.Zodra de seriële apparaten overbelast raken, crashen, software-updates, beleidsupdates, enz., zal de beschikbaarheid van het volledige bedrijfsnetwerk sterk worden beïnvloed.Op dit moment kunnen we alleen via de netwerkonderbreking een fysieke bypass-jumper maken om het netwerk te herstellen, wat de betrouwbaarheid van het netwerk ernstig aantast.IPS / FW en andere seriële apparaten verbeteren enerzijds de inzet van bedrijfsnetwerkbeveiliging, anderzijds vermindert ook de betrouwbaarheid van bedrijfsnetwerken, waardoor het risico groter wordt dat het netwerk niet beschikbaar is.
5.2 Inline Link-serie apparatuurbescherming
Mylinking™ "Bypass Switch" wordt in serie ingezet tussen netwerkapparaten (routers, switches, enz.), en de gegevensstroom tussen netwerkapparaten leidt niet langer rechtstreeks naar IPS / FW, "Bypass Switch" naar IPS / FW, wanneer de IPS / FW als gevolg van overbelasting, crash, software-updates, beleidsupdates en andere faalcondities, de "Bypass Switch" door intelligente hartslagberichtdetectie Functie van de tijdige ontdekking, en dus het defecte apparaat overslaan, zonder het uitgangspunt van het netwerk te onderbreken, de snelle netwerkapparatuur die direct is aangesloten om het normale communicatienetwerk te beschermen;wanneer de IPS / FW-foutherstel, maar ook door middel van intelligente hartslagpakketten Detectie van tijdige detectie van de functie, de originele link om de beveiliging van bedrijfsnetwerkbeveiligingscontroles te herstellen.
Mylinking™ "Bypass Switch" heeft een krachtige intelligente functie voor het detecteren van hartslagberichten, de gebruiker kan het hartslaginterval en het maximale aantal pogingen aanpassen via een aangepast hartslagbericht op de IPS/FW voor gezondheidstesten, zoals het verzenden van het hartslagcontrolebericht naar de upstream / downstream-poort van IPS / FW, en ontvang vervolgens van de upstream / downstream-poort van IPS / FW, en beoordeel of de IPS / FW normaal werkt door het hartslagbericht te verzenden en te ontvangen.
5.3 "SpecFlow"-beleid Flow Inline Traction Series-bescherming
Wanneer het beveiligingsnetwerkapparaat alleen het specifieke verkeer in serie hoeft af te handelen, wordt via de Mylinking™ "Bypass Switch" verkeer-per-verwerkingsfunctie, via de verkeersscreeningstrategie het beveiligingsapparaat "Bezorgd" aangesloten, wordt het verkeer direct teruggestuurd naar de netwerkverbinding, en de "betreffende verkeerssectie" is tractie naar de in-line veiligheidsvoorziening om veiligheidscontroles uit te voeren.Dit zal niet alleen de normale toepassing van de veiligheidsdetectiefunctie van het veiligheidsapparaat behouden, maar ook de inefficiënte stroom van de veiligheidsapparatuur verminderen om met de druk om te gaan;tegelijkertijd kan de "Bypass-schakelaar" de werkende staat van het veiligheidsapparaat in realtime detecteren.Het beveiligingsapparaat werkt abnormaal en omzeilt het dataverkeer direct om verstoring van de netwerkdienst te voorkomen.
De Mylinking™ Traffic Bypass Protector kan verkeer identificeren op basis van de L2-L4 layer header identifier, zoals VLAN-tag, bron-/bestemmings-MAC-adres, bron-IP-adres, IP-pakkettype, transportlaagprotocolpoort, protocolheader-keytag, enzovoort. op.Een verscheidenheid aan flexibele combinaties van overeenkomende voorwaarden kan flexibel worden gedefinieerd om de specifieke verkeerstypen te definiëren die van belang zijn voor een bepaald beveiligingsapparaat en kan op grote schaal worden gebruikt voor de inzet van speciale beveiligingscontroleapparatuur (RDP, SSH, database-auditing, enz.) .
5.4 Load balanced seriebeveiliging
De Mylinking™ "Bypass Switch" wordt in serie ingezet tussen netwerkapparaten (routers, switches, enz.).Wanneer een enkele IPS / FW-verwerkingsprestatie niet voldoende is om het piekverkeer van netwerklinks aan te kunnen, kan de load balancing-functie van de beschermer, de "bundeling" van meerdere IPS / FW-clusterverwerkingsnetwerklinkverkeer, het enkele IPS / FW-verwerkingsverkeer effectief verminderen. FW-verwerkingsdruk, verbeter de algehele verwerkingsprestaties om te voldoen aan de hoge bandbreedte van de claim van de implementatieomgeving.
Mylinking™ "Bypass Switch" heeft een krachtige load balancing-functie, volgens de frame VLAN-tag, MAC-informatie, IP-informatie, poortnummer, protocol en andere informatie over de hash load balancing-distributie van verkeer om ervoor te zorgen dat elke IPS / FW gegevens ontvangt stroom Sessie-integriteit.
5.5 Multi-serie inline-apparatuur stroomtractiebeveiliging (verander seriële verbinding in parallelle verbinding)
In sommige belangrijke links (zoals internetwinkels, uitwisselingslink in servergebied) is de locatie vaak te wijten aan de behoefte aan beveiligingsfuncties en de inzet van meerdere in-line beveiligingstestapparatuur (zoals firewall, anti-DDOS-aanvalsapparatuur, WEB-applicatiefirewall , apparatuur voor inbraakpreventie, enz.), meerdere beveiligingsdetectieapparatuur tegelijkertijd in serie op de link om de link van een single point of failure te vergroten, waardoor de algehele betrouwbaarheid van het netwerk afneemt.En bij de bovengenoemde online implementatie van beveiligingsapparatuur zullen upgrades van apparatuur, vervanging van apparatuur en andere operaties ervoor zorgen dat het netwerk voor een lange tijd wordt onderbroken en een grotere projectverlagingsactie wordt uitgevoerd om de succesvolle implementatie van dergelijke projecten te voltooien.
Door de "Bypass Switch" op een uniforme manier in te zetten, kan de implementatiemodus van meerdere beveiligingsapparaten die in serie op dezelfde link zijn aangesloten, worden gewijzigd van "fysieke aaneenschakelingsmodus" naar "fysieke aaneenschakeling, logische aaneenschakelingsmodus". een single point of failure om de betrouwbaarheid van de link te verbeteren, terwijl de "bypass-schakelaar" op de link flow on demand tractie, om dezelfde flow te bereiken met de originele modus van veilig verwerkingseffect.
Meer dan één beveiligingsapparaat tegelijkertijd in serie-implementatieschema:
Mylinking™ Network TAP Bypass Switch Implementatieschema:
5.6 Gebaseerd op de dynamische strategie van verkeerstractiebeveiliging Detectiebescherming
"Omleidingsschakelaar" Een ander geavanceerd toepassingsscenario is gebaseerd op de dynamische strategie van verkeerstractiebeveiligingsdetectiebeschermingstoepassingen, de implementatie van de manier zoals hieronder weergegeven:
Neem bijvoorbeeld de “Anti-DDoS-aanvalsbeveiliging en -detectie”-beveiligingstestapparatuur door de front-end-implementatie van “Bypass Switch” en vervolgens anti-DDOS-beveiligingsapparatuur en vervolgens aangesloten op de “Bypass Switch”, op de gebruikelijke manier” Tractiebeschermer "om de volledige hoeveelheid verkeer met draadsnelheid door te sturen en tegelijkertijd de stroomspiegeluitvoer naar het" anti-DDOS-aanvalsbeveiligingsapparaat "door te sturen, zodra gedetecteerd voor een server-IP (of IP-netwerksegment) na de aanval," anti -DDOS-apparaat voor aanvalsbeveiliging "zal de regels voor het matchen van de doelverkeersstroom genereren en deze naar de" Bypass Switch "sturen via de interface voor dynamische beleidslevering.De "Bypass Switch" kan de "verkeerstractie dynamisch" bijwerken na ontvangst van de dynamische beleidsregels Regelpool "en onmiddellijk" regel raakt de aanvalsserver verkeer "tractie naar de" anti-DDoS-aanvalsbescherming en detectie "apparatuur voor verwerking, te zijn effectief na de aanvalsstroom en vervolgens opnieuw in het netwerk geïnjecteerd.
Het applicatieschema op basis van de "Bypass Switch" is eenvoudiger te implementeren dan de traditionele BGP-route-injectie of ander verkeerstractieschema, en de omgeving is minder afhankelijk van het netwerk en de betrouwbaarheid is hoger.
"Bypass Switch" heeft de volgende kenmerken om dynamische beleidsbeveiligingsdetectie te ondersteunen:
1, "Bypass-schakelaar" om buiten de regels te voorzien op basis van de WEBSERIVCE-interface, eenvoudige integratie met beveiligingsapparaten van derden.
2, "Bypass Switch", gebaseerd op de hardware pure ASIC-chip die tot 10 Gbps draadsnelheidspakketten doorstuurt zonder het doorsturen van schakelaars te blokkeren, en "verkeerstractie dynamische regelbibliotheek", ongeacht het aantal.
3, "Bypass Switch" ingebouwde professionele BYPASS-functie, zelfs als de beschermer zelf faalt, kan ook de originele seriële link onmiddellijk omzeilen, heeft geen invloed op de originele link van normale communicatie.
