Công tắc bỏ qua mạng Mylinking™ ML-BYPASS-200
2*Bypass cộng với 1*Thiết kế mô-đun màn hình, Liên kết 10/40/100GE, Tối đa 640Gbps
1- Tổng quan
Bằng cách triển khai Công tắc bỏ qua thông minh Mylinking™:
- Người dùng có thể linh hoạt cài đặt/gỡ bỏ các thiết bị an ninh mà không làm ảnh hưởng, gián đoạn mạng hiện tại;
- Mylinking™ Network Tap Bypass Switch với chức năng phát hiện tình trạng thông minh để theo dõi thời gian thực trạng thái hoạt động bình thường của thiết bị bảo mật nối tiếp, khi thiết bị bảo mật nối tiếp hoạt động ngoại lệ, tính năng bảo vệ sẽ tự động bỏ qua để duy trì liên lạc mạng bình thường;
- Công nghệ bảo vệ giao thông chọn lọc có thể được sử dụng để triển khai thiết bị an ninh làm sạch giao thông cụ thể, công nghệ mã hóa dựa trên thiết bị kiểm tra.Thực hiện hiệu quả việc bảo vệ truy cập nối tiếp cho loại lưu lượng cụ thể, giảm áp lực xử lý luồng của thiết bị nối tiếp;
- Công nghệ Bảo vệ Lưu lượng Cân bằng Tải có thể được sử dụng để triển khai theo cụm các thiết bị nối tiếp an toàn nhằm đáp ứng nhu cầu bảo mật nối tiếp trong môi trường băng thông cao.
Với sự phát triển nhanh chóng của Internet, mối đe dọa về an toàn thông tin mạng ngày càng trở nên nghiêm trọng nên nhiều ứng dụng bảo vệ an toàn thông tin ngày càng được sử dụng rộng rãi.Cho dù đó là thiết bị kiểm soát truy cập truyền thống (tường lửa) hay một loại phương tiện bảo vệ mới tiên tiến hơn như hệ thống ngăn chặn xâm nhập (IPS), Nền tảng quản lý mối đe dọa thống nhất (UTM), Hệ thống tấn công chống từ chối dịch vụ (Anti-DDoS), Anti- span Gateway, Hệ thống kiểm soát và nhận dạng lưu lượng truy cập PP thống nhất và nhiều thiết bị bảo mật được triển khai hàng loạt tại các nút chính của mạng, thực hiện chính sách bảo mật dữ liệu tương ứng để xác định và xử lý lưu lượng hợp pháp/bất hợp pháp.Tuy nhiên, đồng thời, mạng máy tính sẽ tạo ra độ trễ mạng lớn hoặc thậm chí gián đoạn mạng trong trường hợp gặp sự cố, bảo trì, nâng cấp, thay thế thiết bị, v.v. trong môi trường ứng dụng mạng sản xuất có độ tin cậy cao, người dùng không thể chịu đựng được.
2- Network Tap Bypass Switch Các tính năng và công nghệ nâng cao
Chế độ bảo vệ Mylinking™ “SpecFlow” và Công nghệ chế độ bảo vệ “FullLink”
Công nghệ bảo vệ chuyển mạch nhanh Mylinking™
Công nghệ Mylinking™ “LinkSafeSwitch”
Công nghệ chuyển tiếp/phát hành chiến lược động Mylinking™ “WebService”
Công nghệ phát hiện tin nhắn nhịp tim thông minh Mylinking™
Công nghệ tin nhắn nhịp tim có thể xác định Mylinking™
Công nghệ cân bằng tải đa liên kết Mylinking™
Công nghệ phân phối lưu lượng truy cập thông minh Mylinking™
Công nghệ cân bằng tải động Mylinking™
Công nghệ quản lý từ xa Mylinking™(HTTP/WEB, TELNET/SSH, Đặc tính “EasyConfig/AdvanceConfig”)
3- Hướng dẫn cấu hình chuyển mạch bỏ qua nhấn mạng
ĐƯỜNG VÒNGKhe cắm mô-đun cổng bảo vệ:
Khe này có thể được lắp vào mô-đun cổng bảo vệ BYPASS với tốc độ/số cổng khác nhau.Bằng cách thay thế các loại mô-đun khác nhau, nó có thể hỗ trợ bảo vệ BYPASS cho nhiều liên kết 10G/40G/100G.
MÀN HÌNHKhe cắm mô-đun cổng;
Khe này có thể được lắp vào mô-đun cổng MONITOR với các tốc độ/cổng khác nhau.Nó có thể hỗ trợ triển khai nhiều thiết bị giám sát nối tiếp trực tuyến liên kết 10G/40G/100G bằng cách thay thế các mô hình khác nhau.
Quy tắc lựa chọn mô-đun
Dựa trên các liên kết được triển khai khác nhau và yêu cầu triển khai thiết bị giám sát, bạn có thể linh hoạt lựa chọn các cấu hình mô-đun khác nhau để đáp ứng nhu cầu môi trường thực tế của mình;hãy tuân theo các quy tắc sau khi lựa chọn:
1. Các thành phần khung là bắt buộc và bạn phải chọn các thành phần khung trước khi chọn bất kỳ mô-đun nào khác.Đồng thời, vui lòng chọn các phương thức cấp nguồn khác nhau (AC/DC) tùy theo nhu cầu của bạn.
2. Toàn bộ máy hỗ trợ tối đa 2 khe cắm mô-đun BYPASS và 1 khe cắm mô-đun MONITOR;bạn không thể chọn nhiều hơn số lượng vị trí để định cấu hình.Dựa trên sự kết hợp giữa số lượng khe cắm và kiểu mô-đun, thiết bị có thể hỗ trợ tối đa bốn biện pháp bảo vệ liên kết 10GE;hoặc nó có thể hỗ trợ tối đa bốn liên kết 40GE;hoặc nó có thể hỗ trợ tối đa một liên kết 100GE.
3. Chỉ có thể lắp mô-đun “BYP-MOD-L1CG” vào SLOT1 để hoạt động bình thường.
4. Chỉ có thể lắp loại mô-đun “BYP-MOD-XXX” vào khe cắm mô-đun BYPASS;loại mô-đun “MON-MOD-XXX” chỉ có thể được lắp vào khe cắm mô-đun MONITOR để hoạt động bình thường.
| dòng sản phẩm | Thông số chức năng |
| Khung gầm (Máy chủ) | |
| ML-BỎ QUA-M200 | Giá đỡ 19 inch tiêu chuẩn 1U;điện năng tiêu thụ tối đa 250W;máy chủ bảo vệ BYPASS mô-đun;2 khe cắm mô-đun BYPASS;1 khe cắm mô-đun MONITOR;AC và DC tùy chọn; |
| BỎ QUA MODULE | |
| BYP-MOD-L2XG(LM/SM) | Hỗ trợ bảo vệ nối tiếp liên kết 10GE 2 chiều, giao diện 4 * 10GE, đầu nối LC;bộ thu phát quang tích hợp;liên kết quang đơn/đa chế độ tùy chọn, hỗ trợ 10GBASE-SR/LR; |
| BYP-MOD-L2QXG(LM/SM) | Hỗ trợ bảo vệ nối tiếp liên kết 40GE 2 chiều, giao diện 4 * 40GE, đầu nối LC;bộ thu phát quang tích hợp;liên kết quang đơn/đa chế độ tùy chọn, hỗ trợ 40GBASE-SR4/ LR4; |
| BYP-MOD-L1CG (LM/SM) | Hỗ trợ bảo vệ nối tiếp liên kết 1 kênh 100GE, giao diện 2 * 100GE, đầu nối LC;bộ thu phát quang tích hợp;liên kết quang đơn đa chế độ tùy chọn, hỗ trợ 100GBASE-SR4/LR4; |
| MÔ-ĐUN THEO DÕI | |
| MON-MOD-L16XG | Mô-đun cổng giám sát 16*10GE SFP+;không có mô-đun thu phát quang; |
| MON-MOD-L8XG | Mô-đun cổng giám sát 8*10GE SFP+;không có mô-đun thu phát quang; |
| MON-MOD-L2CG | Mô-đun cổng giám sát 2 * 100GE QSFP28;không có mô-đun thu phát quang; |
| MON-MOD-L8QXG | Mô-đun cổng giám sát 8*40GE QSFP+;không có mô-đun thu phát quang; |
4- Thông số kỹ thuật chuyển mạch bypass TAP mạng
| Phương thức sản phẩm | Công tắc bỏ qua nối tiếp ML-BYPASS-M200 | |
| Loại giao diện | Giao diện MGT | Giao diện quản lý thích ứng 1*10/100/1000BASE-T;Hỗ trợ quản lý HTTP/IP từ xa |
| Khe cắm mô-đun | 2*khe mô-đun BYPASS; 1*khe mô-đun THEO DÕI; | |
| Link hỗ trợ tối đa | Thiết bị hỗ trợ tối đa liên kết 4*10GE hoặc liên kết 4*40GE hoặc liên kết 1*100GE | |
| Màn hình | Thiết bị hỗ trợ tối đa cổng giám sát 16 * 10GE hoặc cổng giám sát 8 * 40GE hoặc cổng giám sát 2 * 100GE; | |
| Chức năng | Khả năng xử lý song công hoàn toàn | 640Gbps |
| Dựa trên IP/giao thức/cổng bảo vệ tầng lưu lượng truy cập cụ thể năm bộ dữ liệu | Ủng hộ | |
| Bảo vệ tầng dựa trên lưu lượng truy cập đầy đủ | Ủng hộ | |
| Cân bằng tải đa dạng | Ủng hộ | |
| Chức năng phát hiện nhịp tim tùy chỉnh | Ủng hộ | |
| Hỗ trợ tính độc lập của gói Ethernet | Ủng hộ | |
| BỎ QUA CÔNG TẮC | Ủng hộ | |
| BỎ QUA Công tắc không có đèn flash | Ủng hộ | |
| CONSOLE MGT | Ủng hộ | |
| IP/WEB MGT | Ủng hộ | |
| SNMP V1/V2C MGT | Ủng hộ | |
| TELNET/SSH MGT | Ủng hộ | |
| Giao thức SYSLOG | Ủng hộ | |
| Ủy quyền người dùng | Dựa trên ủy quyền mật khẩu/AAA/TACACS+ | |
| Điện | Điện áp cung cấp định mức | AC-220V/DC-48V [Tùy chọn] |
| Tần số công suất định mức | 50HZ | |
| Dòng điện đầu vào định mức | AC-3A / DC-10A | |
| Công suất định mức | 100W | |
| Môi trường | Nhiệt độ làm việc | 0-50oC |
| Nhiệt độ bảo quản | -20-70oC | |
| Độ ẩm làm việc | 10%-95%, Không ngưng tụ | |
| Cấu hình người dùng | Cấu hình bảng điều khiển | Giao diện RS232, 115200,8,N,1 |
| Giao diện MGT ngoài băng tần | Giao diện Ethernet 1*10/100/1000M | |
| Ủy quyền mật khẩu | Ủng hộ | |
| Chiều cao khung gầm | Không gian khung gầm(U | 1U 19 inch,485mm*44.5mm*350mm |
5- Ứng dụng chuyển mạch bỏ qua TAP mạng (như sau)
Sau đây là chế độ triển khai IPS (Intrusion Prevention System), FW (Firewall) điển hình, IPS/FW được triển khai nối tiếp đến các thiết bị mạng (bộ định tuyến, bộ chuyển mạch, v.v.) giữa lưu lượng thông qua việc thực hiện kiểm tra bảo mật, theo chính sách bảo mật tương ứng để xác định việc giải phóng hoặc chặn lưu lượng truy cập tương ứng, để đạt được hiệu quả bảo vệ an ninh.
Đồng thời, chúng ta có thể quan sát IPS / FW dưới dạng triển khai nối tiếp thiết bị, thường được triển khai ở vị trí quan trọng của mạng doanh nghiệp để thực hiện bảo mật nối tiếp, độ tin cậy của các thiết bị được kết nối của nó ảnh hưởng trực tiếp đến tính khả dụng chung của mạng doanh nghiệp.Một khi các thiết bị nối tiếp bị quá tải, gặp sự cố, cập nhật phần mềm, cập nhật chính sách, v.v., toàn bộ tính khả dụng của mạng doanh nghiệp sẽ bị ảnh hưởng rất lớn.Tại thời điểm này, chúng ta chỉ thông qua việc cắt mạng, nhảy vòng vật lý mới có thể khiến mạng được khôi phục, ảnh hưởng nghiêm trọng đến độ tin cậy của mạng.IPS/FW và các thiết bị nối tiếp khác một mặt cải thiện việc triển khai bảo mật mạng doanh nghiệp, mặt khác cũng làm giảm độ tin cậy của mạng doanh nghiệp, làm tăng nguy cơ mạng không khả dụng.
5.2 Bảo vệ thiết bị dòng liên kết nội tuyến
Mylinking™ ” Bypass Switch ” được triển khai nối tiếp giữa các thiết bị mạng (bộ định tuyến, bộ chuyển mạch, v.v.) và luồng dữ liệu giữa các thiết bị mạng không còn dẫn trực tiếp đến IPS/FW, “Bypass Switch” sang IPS/FW, khi IPS / FW do quá tải, sự cố, cập nhật phần mềm, cập nhật chính sách và các tình trạng lỗi khác, “Bypass Switch” thông qua chức năng phát hiện thông báo nhịp tim thông minh để phát hiện kịp thời và do đó bỏ qua thiết bị bị lỗi mà không làm gián đoạn tiền đề của mạng, các thiết bị mạng nhanh được kết nối trực tiếp để bảo vệ mạng truyền thông thông thường;khi khôi phục lỗi IPS / FW, mà còn thông qua các gói nhịp tim thông minh. Phát hiện chức năng phát hiện kịp thời, liên kết ban đầu để khôi phục tính bảo mật của kiểm tra an ninh mạng doanh nghiệp.
Mylinking™ “Bypass Switch” có chức năng phát hiện thông báo nhịp tim thông minh mạnh mẽ, người dùng có thể tùy chỉnh khoảng thời gian nhịp tim và số lần thử lại tối đa, thông qua thông báo nhịp tim tùy chỉnh trên IPS / FW để kiểm tra sức khỏe, chẳng hạn như gửi tin nhắn kiểm tra nhịp tim đến cổng ngược dòng / hạ lưu của IPS / FW, sau đó nhận từ cổng ngược dòng / hạ lưu của IPS / FW và đánh giá xem IPS / FW có hoạt động bình thường hay không bằng cách gửi và nhận tin nhắn nhịp tim.
5.3 Bảo vệ chuỗi chính sách “SpecFlow” Dòng lực kéo nội tuyến
Khi thiết bị mạng bảo mật chỉ cần xử lý lưu lượng truy cập cụ thể trong bảo vệ bảo mật hàng loạt, thông qua chức năng xử lý lưu lượng trên mỗi lần xử lý lưu lượng truy cập Mylinking™ “Bypass Switch”, thông qua chiến lược sàng lọc lưu lượng truy cập để kết nối thiết bị bảo mật “Có liên quan” lưu lượng truy cập được gửi trở lại trực tiếp đến liên kết mạng và “phần giao thông liên quan” là lực kéo đến thiết bị an toàn nội tuyến để thực hiện kiểm tra an toàn.Điều này sẽ không chỉ duy trì ứng dụng bình thường của chức năng phát hiện an toàn của thiết bị an toàn mà còn làm giảm dòng chảy không hiệu quả của thiết bị an toàn để xử lý áp suất;đồng thời, “Công tắc bỏ qua” có thể phát hiện tình trạng hoạt động của thiết bị an toàn trong thời gian thực.Thiết bị an toàn hoạt động bất thường bỏ qua lưu lượng dữ liệu trực tiếp để tránh gián đoạn dịch vụ mạng.
Mylinking™ Traffic Bypass Protector có thể xác định lưu lượng truy cập dựa trên mã định danh tiêu đề lớp L2-L4, chẳng hạn như thẻ Vlan, địa chỉ MAC nguồn / đích, địa chỉ IP nguồn, loại gói IP, cổng giao thức lớp vận chuyển, thẻ khóa tiêu đề giao thức, v.v. TRÊN.Một loạt các điều kiện phù hợp, sự kết hợp linh hoạt có thể được xác định một cách linh hoạt để xác định các loại lưu lượng cụ thể mà một thiết bị bảo mật cụ thể quan tâm và có thể được sử dụng rộng rãi để triển khai các thiết bị kiểm tra bảo mật đặc biệt (RDP, SSH, kiểm tra cơ sở dữ liệu, v.v.) .
5.4 Bảo vệ dòng cân bằng tải
“Bypass Switch” Mylinking™ được triển khai nối tiếp giữa các thiết bị mạng (bộ định tuyến, bộ chuyển mạch, v.v.).Khi hiệu suất xử lý IPS / FW đơn lẻ không đủ để đối phó với lưu lượng truy cập cao nhất của liên kết mạng, Chức năng cân bằng tải lưu lượng của bộ bảo vệ, “gói” lưu lượng truy cập liên kết mạng xử lý nhiều cụm IPS / FW, có thể giảm một cách hiệu quả IPS / FW đơn lẻ. Áp lực xử lý FW, cải thiện hiệu suất xử lý tổng thể để đáp ứng yêu cầu băng thông cao của môi trường triển khai.
Mylinking™ “Bypass Switch” có chức năng cân bằng tải mạnh mẽ, theo khung VLAN tag, thông tin MAC, thông tin IP, số cổng, giao thức và các thông tin khác về phân phối lưu lượng cân bằng tải Hash để đảm bảo rằng mỗi IPS / FW đều nhận được dữ liệu luồng Tính toàn vẹn của phiên.
5.5 Bảo vệ lực kéo dòng thiết bị nội tuyến nhiều dòng (Thay đổi kết nối nối tiếp thành kết nối song song)
Trong một số liên kết chính (như ổ cắm Internet, liên kết trao đổi khu vực máy chủ) vị trí thường do nhu cầu về tính năng bảo mật và triển khai nhiều thiết bị kiểm tra bảo mật nội tuyến (như tường lửa, thiết bị chống tấn công DDOS, tường lửa ứng dụng WEB , Thiết bị ngăn chặn xâm nhập, v.v.), nhiều thiết bị phát hiện bảo mật cùng lúc nối tiếp trên liên kết để tăng liên kết của một điểm lỗi duy nhất, làm giảm độ tin cậy chung của mạng.Và trong việc triển khai trực tuyến thiết bị an ninh nêu trên, nâng cấp thiết bị, thay thế thiết bị và các hoạt động khác sẽ khiến mạng bị gián đoạn dịch vụ trong thời gian dài và phải thực hiện hành động cắt giảm dự án lớn hơn để hoàn thành việc thực hiện thành công các dự án đó.
Bằng cách triển khai “Bypass Switch” một cách thống nhất, chế độ triển khai của nhiều thiết bị bảo mật được kết nối nối tiếp trên cùng một liên kết có thể được thay đổi từ “chế độ ghép nối vật lý” thành “chế độ ghép nối vật lý, chế độ ghép nối logic”. một điểm lỗi duy nhất nhằm cải thiện độ tin cậy của liên kết, trong khi “công tắc bỏ qua” trên luồng liên kết theo lực kéo theo yêu cầu, để đạt được cùng một luồng với chế độ ban đầu có hiệu quả xử lý an toàn.
Nhiều thiết bị bảo mật cùng lúc trong sơ đồ triển khai chuỗi:
Sơ đồ triển khai Switch Bypass TAP của Mylinking™ Network:
5.6 Dựa trên Chiến lược năng động Bảo vệ phát hiện an ninh lực kéo giao thông
“Chuyển đường vòng” Một kịch bản ứng dụng nâng cao khác dựa trên chiến lược động của các ứng dụng bảo vệ phát hiện an ninh lực kéo giao thông, việc triển khai đường đi như dưới đây:
Lấy ví dụ như thiết bị kiểm tra bảo mật “Phát hiện và bảo vệ chống tấn công DDoS”, thông qua việc triển khai giao diện người dùng của “Bypass Switch” và sau đó là thiết bị bảo vệ chống DDOS, sau đó được kết nối với “Bypass Switch”, như thông thường ” Bộ bảo vệ lực kéo “để chuyển tiếp toàn bộ tốc độ dây lưu lượng truy cập đồng thời đầu ra của nhân bản luồng tới” thiết bị bảo vệ chống tấn công DDOS “, sau khi được phát hiện đối với IP máy chủ (hoặc phân đoạn mạng IP) sau cuộc tấn công,” chống -Thiết bị bảo vệ tấn công DDOS ” sẽ tạo ra các quy tắc phù hợp với luồng lưu lượng truy cập mục tiêu và gửi chúng đến ” Bypass Switch ” thông qua giao diện phân phối chính sách động." Công tắc bỏ qua " có thể cập nhật "động lực kéo lưu lượng truy cập" sau khi nhận được các quy tắc chính sách động Nhóm quy tắc "và ngay lập tức" quy tắc đánh vào "lực kéo" lưu lượng truy cập của máy chủ tấn công đến thiết bị "bảo vệ và phát hiện tấn công chống DDoS" để xử lý, được có hiệu lực sau luồng tấn công và sau đó được đưa lại vào mạng.
Lược đồ ứng dụng dựa trên ” Bypass Switch ” dễ thực hiện hơn so với việc chèn tuyến đường BGP truyền thống hoặc sơ đồ kéo giao thông khác, đồng thời môi trường ít phụ thuộc vào mạng hơn và độ tin cậy cao hơn.
“Bypass Switch” có các đặc điểm sau để hỗ trợ bảo vệ phát hiện bảo mật chính sách động:
1, ” Bypass Switch ” để cung cấp các quy tắc bên ngoài dựa trên giao diện WEBSERIVCE, tích hợp dễ dàng với các thiết bị bảo mật của bên thứ ba.
2, "Bypass Switch" dựa trên chip ASIC thuần phần cứng chuyển tiếp các gói tốc độ dây lên tới 10Gbps mà không chặn chuyển tiếp chuyển mạch và "thư viện quy tắc động lực kéo lưu lượng" bất kể số lượng.
3, "Bypass Switch" chức năng BYPASS chuyên nghiệp tích hợp sẵn, ngay cả khi bộ bảo vệ bị lỗi, cũng có thể bỏ qua liên kết nối tiếp ban đầu ngay lập tức, không ảnh hưởng đến liên kết ban đầu của giao tiếp thông thường.
