מתג עוקף רשת Mylinking™ ML-BYPASS-100
2* מעקפים ועוד 1* צג עיצוב מודולרי, קישורי 10/40/100GE, מקסימום 640Gbps
סקירות
מתג עוקף הרשת Mylinking™ נחקר ופותח לשימוש לפריסה גמישה של סוגים שונים של ציוד אבטחה מובנה תוך מתן אמינות רשת גבוהה.
על ידי פריסת Mylinking™ Smart Bypass Switch Tap:
- משתמשים יכולים להתקין/להסיר ציוד/כלי אבטחה באופן גמיש מבלי להשפיע או להפריע לרשת הנוכחית;
- מתג עוקף רשת Mylinking™ עם פונקציית זיהוי בריאות חכמה לניטור בזמן אמת של מצב העבודה הרגיל של התקני האבטחה המובנים. ברגע שהתקני האבטחה המובנים פועלים באופן חריג, פונקציית ההגנה תעקוף אוטומטית כדי לשמור על תקשורת רשת תקינה;
- ניתן להשתמש בטכנולוגיית הגנה סלקטיבית על תנועה כדי לפרוס ציוד אבטחה ספציפי לניקוי תנועה, טכנולוגיית הצפנה המבוססת על ציוד ביקורת. לבצע ביעילות את הגנת הגישה המוטבעת עבור סוג התנועה הספציפי, לפרוק את לחץ הטיפול בזרימה של המכשיר המוטבע;
- ניתן להשתמש בטכנולוגיית הגנה על תעבורה מאוזנת עומס לפריסה מקובצת של התקני אבטחה טוריים מאובטחים בתוך השורה כדי לעמוד בדרישות האבטחה בתוך השורה בסביבות בעלות רוחב פס גבוה.
מתג עקיפת הקש ברשת, תכונות וטכנולוגיות מתקדמות
מצב הגנה "SpecFlow" ומצב הגנה "FullLink" של Mylinking™
הגנת מיתוג מעקף מהיר של Mylinking™
Mylinking™ "LinkSafeSwitch"
אסטרטגיית Mylinking™ "WebService" דינמית להעברה/הנפקה
זיהוי הודעות פעימות לב חכם של Mylinking™
הודעות פעימות לב מוגדרות של Mylinking™ (חבילות פעימות לב)
איזון עומסים רב-קישורי של Mylinking™
חלוקת תנועה חכמה של Mylinking™
איזון עומסים דינמי של Mylinking™
טכנולוגיית ניהול מרחוק Mylinking™ (HTTP/WEB, TELNET/SSH, מאפיין “EasyConfig/AdvanceConfig”)
מדריך תצורה אופציונלי למעקף ברז רשת
מודול מעקףחריץ מודול יציאת הגנה:
ניתן להכניס חריץ זה למודול יציאת הגנת מעקף עם מהירות/מספר יציאות שונים. על ידי החלפת סוגים שונים של מודולים, הוא יכול לתמוך בהגנה מעקף של דרישות מרובות של קישורי 10G/40G/100G.
מודול צגחריץ מודול היציאה;
בחריץ זה ניתן להכניס את מודול ה-MONITOR עם מהירויות/פורטים שונים. הוא יכול לתמוך בקישורים מרובים של 10G/40G/100G לפריסת התקן ניטור טורי מובנה על ידי החלפת מודולים שונים.
כללי בחירת מודולים
בהתבסס על קישורים שונים שנפרסו ודרישות פריסת ציוד ניטור, באפשרותך לבחור באופן גמיש תצורות מודול שונות כדי לענות על בקשת הסביבה בפועל שלך; אנא פעל לפי הכללים הבאים במהלך בחירת המודול:
1. רכיבי המארז הם חובה ועליך לבחור את רכיבי המארז לפני שתבחר מודולים אחרים. במקביל, אנא בחר שיטות אספקת חשמל שונות (AC/DC) בהתאם לצרכים שלך.
2. כל המכשיר תומך בעד 2 חריצי מודול BYPASS וחריץ מודול MONITOR אחד; לא ניתן לבחור יותר ממספר החריצים להגדרה. בהתבסס על שילוב מספר החריצים ודגם המודול, המכשיר יכול לתמוך בעד ארבע הגנות קישור 10GE; או שהוא יכול לתמוך בעד ארבעה קישורי 40GE; או שהוא יכול לתמוך בעד קישור 100GE אחד.
3. ניתן להכניס את דגם המודול "BYP-MOD-L1CG" רק ל-SLOT1 כדי שיפעל כראוי.
4. ניתן להכניס את המודול מסוג "BYP-MOD-XXX" רק לחריץ מודול BYPASS; ניתן להכניס את המודול מסוג "MON-MOD-XXX" רק לחריץ מודול MONITOR לפעולה רגילה.
| דגם מוצר | פרמטרים של פונקציה |
| שלדה (מארח) | |
| ML-BYPASS-M100 | כונן סטנדרטי בגודל 19 אינץ', 1U, להתקנה בארון תקשורת; צריכת חשמל מרבית של 250W; מארח מודולרי להגנה על מעקף; 2 חריצי מודול מעקף; חריץ מודול אחד ל-MONITOR; AC ו-DC אופציונליים; |
| מודול מעקף | |
| BYP-MOD-L2XG (LM/SM) | תומך בהגנה טורית דו-כיוונית של קישור 10GE, ממשק 4*10GE, מחבר LC; משדר-מקלט אופטי מובנה; קישור אופטי יחיד/רב-מודדי אופציונלי, תומך ב-10GBASE-SR/LR; |
| BYP-MOD-L2QXG (LM/SM) | תומך בהגנה טורית דו-כיוונית של קישור 40GE, ממשק 4*40GE, מחבר LC; משדר-מקלט אופטי מובנה; קישור אופטי יחיד/רב-מודדי אופציונלי, תומך ב-40GBASE-SR4/LR4; |
| BYP-MOD-L1CG (LM/SM) | תומך בהגנה טורית של ערוץ אחד בקישור 100GE, ממשק 2*100GE, מחבר LC; משדר-מקלט אופטי מובנה; קישור אופטי יחיד רב-מצבי אופציונלי, תומך ב-100GBASE-SR4/LR4; |
| מודול צג | |
| MON-MOD-L16XG | מודול יציאת ניטור SFP+ 16*10GE; ללא מודול משדר-מקלט אופטי; |
| MON-MOD-L8XG | מודול יציאת ניטור SFP+ 8*10GE; ללא מודול משדר-מקלט אופטי; |
| שני-מוד-L2CG | מודול יציאת ניטור QSFP28 100GE 2*; ללא מודול משדר-מקלט אופטי; |
| MON-MOD-L8QXG | מודול יציאת ניטור QSFP+ 8* 40GE; ללא מודול משדר-מקלט אופטי; |
מפרט מתג עוקף TAP ברשת
| אופן המוצר | מתג מעקף רשת מובנה ML-BYPASS-M100 | |
| סוג הממשק | ממשק MGT | ממשק ניהול אדפטיבי 10/100/1000BASE-T אחד; תמיכה בניהול HTTP/IP מרחוק |
| חריץ מודול | 2 * חריץ מודול מעקף; 1 * חריץ מודול צג; | |
| קישורים התומכים במקסימום | תמיכה במכשירים מקסימליים של 4 קישורים של 10GE* או 4 קישורים של 40GE* או קישורים של 100GE* | |
| ניטור | תמיכה במכשירים מקסימליים של 16 יציאות ניטור של 10GE* או 8 יציאות ניטור של 40GE* או 2 יציאות ניטור של 100GE*; | |
| פוּנקצִיָה | יכולת עיבוד דו-צדדי מלא | 640 ג'יגה-ביט לשנייה |
| מבוסס על IP/פרוטוקול/פורט חמש יציאות ספציפיות להגנה על תעבורה | נתמך | |
| הגנה מדורגת המבוססת על תעבורה מלאה | נתמך | |
| איזון עומסים מרובה | נתמך | |
| פונקציית גילוי דופק מותאמת אישית | נתמך | |
| תמיכה בעצמאות חבילת Ethernet | נתמך | |
| מתג עוקף | נתמך | |
| מתג עוקף ללא פלאש | נתמך | |
| ניהול קונסולות | נתמך | |
| ניהול IP/אינטרנט | נתמך | |
| ניהול SNMP V1/V2C | נתמך | |
| ניהול TELNET/SSH | נתמך | |
| פרוטוקול SYSLOG | נתמך | |
| הרשאת משתמש | מבוסס על אישור סיסמה/AAA/TACACS+ | |
| חַשׁמַלִי | מתח אספקה מדורג | AC-220V/DC-48V 【אופציונלי】 |
| תדר הספק מדורג | 50 הרץ | |
| זרם קלט מדורג | AC-3A / DC-10A | |
| הספק מדורג | 100W | |
| סְבִיבָה | טמפרטורת עבודה | 0-50℃ |
| טמפרטורת אחסון | -20-70 ℃ | |
| לחות עבודה | 10%-95%, ללא עיבוי | |
| תצורת משתמש | תצורת קונסולה | ממשק RS232, 115200, 8, N, 1 |
| ממשק MGT מחוץ לפס הלהקה | ממשק אתרנט 1*10/100/1000M | |
| אישור סיסמה | נתמך | |
| גובה שלדה | מרווח שלדה (U) | 1U 19 אינץ', 485 מ"מ * 44.5 מ"מ * 350 מ"מ |
יישום מתג עקיפת TAP ברשת (כדלקמן)
5.1 הסיכון של ציוד אבטחה מובנה (IPS / FW)
להלן מצב פריסה טיפוסי של IPS (מערכת למניעת חדירות), FW (חומת אש). IPS/FW נפרסים כציוד רשת מוטבע (כגון נתבים, מתגים וכו') בין התעבורה באמצעות יישום בדיקות אבטחה, בהתאם למדיניות האבטחה המתאימה כדי לקבוע את שחרור או חסימת התעבורה המתאימה, על מנת להשיג את אפקט ההגנה הביטחונית.
במקביל, ניתן לראות את IPS (מערכת למניעת חדירות) / FW (חומת אש) כפריסת ציוד מובנה, שבדרך כלל נפרסת במיקום מרכזי ברשת הארגונית כדי ליישם אבטחה מובנה. אמינות המכשירים המחוברים אליה משפיעה ישירות על זמינות הרשת הכוללת של הארגון. כאשר התקני האבטחה המובנים עומדים בעומס יתר, קריסה, עדכוני תוכנה, עדכוני מדיניות וכו', זמינות הרשת הארגונית כולה תושפע מאוד. בשלב זה, רק באמצעות ניתוק הרשת ומגשר מעקף פיזי ניתן לשחזר את הרשת, אך הדבר משפיע קשות על אמינות הרשת. IPS (מערכת למניעת חדירות) / FW (חומת אש) והתקני מובנה אחרים מצד אחד משפרים את פריסת אבטחת הרשת הארגונית, ומצד שני גם מפחיתים את אמינות הרשתות הארגוניות, ומגדילים את הסיכון שהרשת לא תהיה זמינה.
5.2 הגנה על ציוד מסדרת Inline Link
"מתג העקיפה" של Mylinking™ נפרס כחיבור מקוון בין התקני רשת (נתבים, מתגים וכו'), וזרימת הנתונים בין התקני הרשת אינה מובילה עוד ישירות ל-IPS (מערכת למניעת חדירות) / FW (חומת אש), מ"מתג העקיפה" ל-IPS/FW. כאשר ה-IPS/FW נובע מעומס יתר, קריסה, עדכוני תוכנה, עדכוני מדיניות ומצבים אחרים של כשל, "מתג העקיפה" מאפשר גילוי בזמן באמצעות פונקציית זיהוי הודעות פעימות לב חכמה, ובכך מדלגת על התקן פגום, מבלי להפריע לרשת, ציוד הרשת מחובר ישירות במהירות כדי להגן על רשת התקשורת הרגילה; כאשר ה-IPS/FW מתאושש, ניתן גם לבצע בדיקות אבטחה בזמן באמצעות פונקציית זיהוי חבילות פעימות לב חכמה, המאפשרת בדיקה מחדש של אבטחת הרשת הארגונית.
ל-Mylinking™ "מתג עוקף" פונקציית זיהוי הודעות פעימות לב חכמה וחזקה. המשתמש יכול להתאים אישית את מרווח פעימות הלב ואת מספר הניסיונות החוזרים המרבי, באמצעות הודעת פעימות לב מותאמת אישית ב-IPS/FW לצורך בדיקת תקינות, כגון שליחת הודעת בדיקת פעימות הלב ליציאת upstream/downstream של IPS/FW, ולאחר מכן קבלת הודעת פעימות הלב מיציאת upstream/downstream של IPS/FW, ולשפוט האם ה-IPS/FW פועל כרגיל על ידי שליחה וקבלה של הודעת פעימות הלב.
5.3 הגנה על סדרת משיכה מקוונת של מדיניות "SpecFlow"
כאשר התקן רשת האבטחה צריך להתמודד רק עם תעבורה ספציפית בהגנה טורית, באמצעות פונקציית "מתג עוקף רשת" של Mylinking™, תעבורה לפי עיבוד באמצעות אסטרטגיית סינון תעבורה לחיבור התקן האבטחה, התעבורה "הנוגעת בדבר" נשלחת ישירות לקישור הרשת, ו"מקטע התעבורה הנוגעת בדבר" נמשך להתקן הבטיחות המקוון כדי לבצע בדיקות בטיחות. זה לא רק ישמור על היישום הרגיל של פונקציית גילוי הבטיחות של התקן הבטיחות, אלא גם יפחית את הזרימה הלא יעילה של ציוד הבטיחות להתמודדות עם הלחץ; במקביל, "מתג עוקף רשת" יכול לזהות את מצב העבודה של התקן הבטיחות בזמן אמת. התקן הבטיחות פועל באופן חריג ועוקף את תעבורת הנתונים ישירות כדי למנוע שיבושים בשירות הרשת.
מעקף התעבורה המוטבע של Mylinking™ יכול לזהות תעבורה על סמך מזהה כותרת שכבה L2-L4, כגון תג VLAN, כתובת MAC של מקור/יעד, כתובת IP של מקור, סוג חבילת IP, יציאת פרוטוקול שכבת התעבורה, תג מפתח של כותרת פרוטוקול וכן הלאה. ניתן להגדיר גמישות מגוון של תנאי התאמה, שילובים גמישים, כדי להגדיר את סוגי התעבורה הספציפיים המעניינים התקן אבטחה מסוים, וניתן להשתמש בהם באופן נרחב לפריסה של התקני ביקורת אבטחה מיוחדים (RDP, SSH, ביקורת מסדי נתונים וכו').
5.4 הגנה טורית מאוזנת עומסים
מתג "עקיפת רשת" של Mylinking™ נפרס כמתג מובנה בין התקני רשת (נתבים, מתגים וכו'). כאשר ביצועי עיבוד של IPS/FW יחיד אינם מספיקים כדי להתמודד עם תעבורת שיא של קישורי רשת, פונקציית איזון עומסי התעבורה של המגן, "איגוד" של תעבורת קישורי רשת מרובים של עיבוד אשכולות IPS/FW, יכולה להפחית ביעילות את לחץ העיבוד של IPS/FW יחיד, לשפר את ביצועי העיבוד הכוללים כדי לעמוד בדרישות רוחב הפס הגבוה של סביבת הפריסה.
ל-Mylinking™ "מתג עוקף רשת" פונקציית איזון עומסים חזקה, בהתאם לתג VLAN של המסגרת, מידע MAC, מידע IP, מספר פורט, פרוטוקול ומידע נוסף על פיזור איזון עומסי ה-Hash של התעבורה כדי להבטיח שכל IPS/FW מקבל זרימת נתונים שלמות סשן.
5.5 הגנה מפני גרימת זרימה בציוד מרוב סדרות (שינוי חיבור טורי לחיבור מקבילי)
בכמה קישורים מרכזיים (כגון שקעי אינטרנט, קישורי חילוף אזורי שרתים) מיקום נובע לעיתים קרובות מצורך בתכונות אבטחה ופריסת ציוד בדיקת אבטחה מרובים בקו (כגון חומת אש (FW), ציוד נגד התקפות DDOS, חומת אש של יישומי WEB (WAF), מערכת למניעת חדירות (IPS) וכו'), מספר ציוד גילוי אבטחה בו זמנית בטור על הקישור כדי להגדיל את הקישור לנקודת כשל יחידה, ולהפחית את האמינות הכוללת של הרשת. ובפריסה מקוונת של ציוד אבטחה, שדרוגי ציוד, החלפת ציוד ופעולות אחרות שהוזכרו לעיל, יגרמו להפרעות שירות ארוכות טווח ברשת ולפעולת קיצוץ גדולה יותר של הפרויקט כדי להשלים את היישום המוצלח של פרויקטים כאלה.
על ידי פריסת "מתג עוקף רשת" באופן מאוחד, ניתן לשנות את מצב הפריסה של מספר התקני אבטחה המחוברים בטור באותו קישור מ"מצב שרשור פיזי" ל"מצב שרשור פיזי, שרשור לוגי". הקישור בקישור של נקודת כשל יחידה כדי לשפר את אמינות הקישור, בעוד ש"מתג העוקף" בקישור יזרום לפי דרישה, כדי להשיג את אותה זרימה עם מצב עיבוד בטוח המקורי.
יותר מהתקן אבטחה אחד בו זמנית כמו דיאגרמת פריסה מוטבעת:
תרשים פריסת מתג עוקף TAP של רשת Mylinking™:
5.6 בהתבסס על האסטרטגיה הדינמית של הגנה מפני גילוי אבטחת אחיזת תנועה
"מתג עוקף רשת" תרחיש יישום מתקדם נוסף מבוסס על האסטרטגיה הדינמית של יישומי הגנה מפני זיהוי אבטחת תנועה, פריסת הדרך כפי שמוצג להלן:
קחו לדוגמה את ציוד בדיקת האבטחה "הגנה וגילוי מפני התקפות DDoS", באמצעות פריסה חזיתית של "מתג מעקף רשת" ולאחר מכן ציוד הגנה מפני DDoS, ולאחר מכן חיבור ל"מתג מעקף רשת". ב"מגן משיכה" הרגיל, כמות מלאה של תעבורה מועברת במהירות חוטית, ובמקביל פלט מראה הזרימה מועבר ל"התקן הגנה מפני התקפות DDOS". לאחר זיהוי כתובת IP של שרת (או מקטע IP של רשת) לאחר ההתקפה, התקן הגנה מפני התקפות DDOS ייצור את כללי התאמת זרימת התעבורה היעד וישלח אותם ל"מתג מעקף רשת" דרך ממשק מסירת מדיניות דינמית. "מתג מעקף רשת" יכול לעדכן את "דינמיקת משיכת התעבורה" לאחר קבלת מאגר כללי המדיניות הדינמיים, ומיד "משיכה" של תעבורת השרת לציוד "הגנה וגילוי מפני התקפות DDoS" לצורך עיבוד, כדי שיהיה יעיל לאחר ההתקפה וזרימת התעבורה תגיע שוב לרשת.
סכמת היישום המבוססת על "מתג עוקף רשת" קלה יותר ליישום מאשר הזרקת מסלול BGP מסורתית או סכמת גרירת תנועה אחרת, והסביבה פחות תלויה ברשת והאמינות גבוהה יותר.
"מתג עקיפת רשת" כולל את המאפיינים הבאים לתמיכה בהגנה על זיהוי אבטחה באמצעות מדיניות דינמית:
1, "מתג עוקף רשת" כדי לספק מחוץ לכללים המבוססים על ממשק WEBSERIVCE, שילוב קל עם התקני אבטחה של צד שלישי.
2, "מתג עוקף ברז BNetwork" מבוסס על שבב ASIC טהור בחומרה המעביר מנות במהירות חוט של עד 10Gbps מבלי לחסום העברת מתג, ו"ספריית כללים דינמית למתיחת תעבורה" ללא קשר למספר.
3, "מתג עוקף רשת" פונקציית עוקף מקצועית מובנית, גם אם המגן עצמו כשל, יכול לעקוף את הקישור הסידורי המקורי באופן מיידי, ואינו משפיע על הקישור המקורי של תקשורת רגילה.
