Mylinking™ Network הקש על מתג עוקף ML-BYPASS-100
2*עוקף פלוס 1*עיצוב מודולרי צג, קישורי 10/40/100GE, מקסימום 640Gbps
סקירות כלליות
Mylinking™ Network Tap Bypass Switch נחקר ופותח כדי לשמש לפריסה גמישה של סוגים שונים של ציוד אבטחה מוטבע תוך מתן אמינות רשת גבוהה.
על ידי פריסת Mylinking™ Smart Bypass Switch הקש:
- משתמשים יכולים להתקין/להסיר ציוד/כלי אבטחה בצורה גמישה ולא ישפיעו ויפריעו לרשת הנוכחית;
- Mylinking™ Network Tap Bypass Switch עם פונקציית זיהוי בריאות חכמה לניטור בזמן אמת של מצב העבודה הרגיל של התקני האבטחה המוטבעים. ברגע שמכשירי האבטחה המוטבעים פועלים חריג, פונקציית ההגנה תעקוף אוטומטית כדי לשמור על תקשורת רשת רגילה;
- ניתן להשתמש בטכנולוגיית הגנת תעבורה סלקטיבית לפריסת ציוד אבטחה ספציפי לניקוי תעבורה, טכנולוגיית הצפנה המבוססת על ציוד הביקורת. בצע ביעילות את הגנת הגישה המוטבעת עבור סוג התעבורה הספציפי, תוך פריקת לחץ הטיפול בזרימה של ההתקן המוטבע;
- ניתן להשתמש בטכנולוגיית Load Balanced Traffic Protection עבור פריסה מקבצת של התקני אבטחה טוריים מאובטחים כדי לעמוד באבטחה המוטבעת בסביבות עם רוחב פס גבוה.
תכונות וטכנולוגיות מתקדמות של הקשה על רשת
Mylinking™ מצב הגנה "SpecFlow" ומצב הגנה "FullLink".
Mylinking™ הגנה על מיתוג מהיר לעקוף
Mylinking™ "LinkSafeSwitch"
Mylinking™ "WebService" אסטרטגיה דינמית העברה/בעיה
Mylinking™ Intelligent Heartbeat Message Detection
הודעות קצב לב להגדרה Mylinking™(מנות קצב לב)
Mylinking™ Multi-Link איזון עומסים
Mylinking™ הפצת תנועה חכמה
Mylinking™ איזון עומסים דינמי
טכנולוגיית ניהול מרחוק של Mylinking™ (מאפיין HTTP/WEB, TELNET/SSH, "EasyConfig/AdvanceConfig")
מדריך תצורה אופציונלי של רשת הקש עוקף מתג
מודול עוקףחריץ מודול יציאת הגנה:
ניתן להכניס חריץ זה למודול יציאת BYPASS עם מהירות/מספר יציאה שונה. על ידי החלפת סוגים שונים של מודולים, הוא יכול לתמוך בהגנה מעקיפה על דרישות קישורים מרובות של 10G/40G/100G.
מודול MONITORחריץ מודול יציאה;
ניתן להכניס חריץ זה במודול MONITOR במהירויות/יציאות שונות. זה יכול לתמוך במספר קישורים של 10G/40G/100G לפריסת התקני ניטור טוריים מוטבעים על ידי החלפת מודולים שונים.
כללי בחירת מודול
בהתבסס על קישורים פרוסים שונים ודרישות פריסת ציוד ניטור, אתה יכול לבחור בגמישות תצורות מודול שונות כדי לענות על בקשת הסביבה שלך בפועל; אנא עקוב אחר הכללים הבאים במהלך בחירת המודול שלך:
1. רכיבי השלדה הם חובה ועליך לבחור את רכיבי השלדה לפני שתבחר מודולים אחרים. במקביל, אנא בחר שיטות אספקת חשמל שונות (AC/DC) בהתאם לצרכים שלך.
2. ההתקן כולו תומך בעד 2 חריצי מודול BYPASS וחריץ מודול MONITOR אחד; אתה לא יכול לבחור יותר ממספר המשבצות להגדרה. בהתבסס על השילוב של מספר החריצים ודגם המודול, המכשיר יכול לתמוך בעד ארבע הגנות קישור 10GE; או שהוא יכול לתמוך בעד ארבעה קישורי 40GE; או שהוא יכול לתמוך עד קישור אחד של 100GE.
3. ניתן להכניס את דגם המודול "BYP-MOD-L1CG" ל-SLOT1 רק כדי לעבוד כראוי.
4. ניתן להכניס את סוג המודול "BYP-MOD-XXX" לחריץ מודול BYPASS בלבד; ניתן להכניס את סוג המודול "MON-MOD-XXX" לחריץ מודול MONITOR רק לצורך פעולה רגילה.
דגם מוצר | פרמטרים של פונקציה |
מארז (מארח) | |
ML-BYPASS-M100 | 1U מתלה סטנדרטי בגודל 19 אינץ'; צריכת חשמל מקסימלית 250W; מארח מגן BYPASS מודולרי; 2 חריצי מודול עוקף; חריץ מודול MONITOR 1; AC ו-DC אופציונליים; |
מודול עוקף | |
BYP-MOD-L2XG(LM/SM) | תומך בהגנה טורית 10GE קישור דו-כיווני, ממשק 4*10GE, מחבר LC; מקלט משדר אופטי מובנה; קישור אופטי יחיד/מולטימוד אופציונלי, תומך ב-10GBASE-SR/LR; |
BYP-MOD-L2QXG(LM/SM) | תומך בהגנה טורית 40GE קישור דו-כיווני, ממשק 4*40GE, מחבר LC; מקלט משדר אופטי מובנה; קישור אופטי יחיד/מולטימוד אופציונלי, תומך ב-40GBASE-SR4/LR4; |
BYP-MOD-L1CG (LM/SM) | תומך בערוץ 1 הגנה טורית קישור 100GE, ממשק 2*100GE, מחבר LC; מקלט משדר אופטי מובנה; קישור אופטי יחיד מולטי-מוד אופציונלי, תומך ב-100GBASE-SR4/LR4; |
מודול מוניטור | |
MON-MOD-L16XG | מודול יציאת ניטור 16*10GE SFP+; אין מודול משדר אופטי; |
MON-MOD-L8XG | מודול יציאת ניטור 8*10GE SFP+; אין מודול משדר אופטי; |
MON-MOD-L2CG | מודול יציאת ניטור 2*100GE QSFP28; אין מודול משדר אופטי; |
MON-MOD-L8QXG | מודול יציאת ניטור 8* 40GE QSFP+; אין מודול משדר אופטי; |
מפרטי מתג עקיפת TAP ברשת
מודאליות המוצר | ML-BYPASS-M100 רשת מוטבעת הקש על מתג עוקף | |
סוג ממשק | ממשק MGT | ממשק ניהול אדפטיבי 1*10/100/1000BASE-T; תמיכה בניהול HTTP/IP מרחוק |
חריץ מודול | 2*חריץ מודול עוקף;1*חריץ מודול מוניטור; | |
קישורים תומכים מקסימום | תמיכה במכשיר מקסימום קישורי 4*10GE או קישורי 4*40GE או קישורי 1*100GE | |
ניטור | תמיכה במכשיר מקסימום 16*10GE יציאות ניטור או 8*40GE יציאות ניטור או 2*100GE יציאות ניטור; | |
פוּנקצִיָה | יכולת עיבוד דופלקס מלא | 640Gbps |
מבוסס על IP/פרוטוקול/יציאות הגנה על מפל תעבורה ספציפי | נתמך | |
הגנת אשד המבוססת על תעבורה מלאה | נתמך | |
איזון עומסים מרובה | נתמך | |
פונקציית זיהוי פעימות לב מותאמת אישית | נתמך | |
תמיכה בעצמאות חבילת Ethernet | נתמך | |
מתג מעקף | נתמך | |
מתג עוקף ללא הבזק | נתמך | |
קונסולה MGT | נתמך | |
IP/WEB MGT | נתמך | |
SNMP V1/V2C MGT | נתמך | |
TELNET/SSH MGT | נתמך | |
פרוטוקול SYSLOG | נתמך | |
הרשאת משתמש | מבוסס על הרשאת סיסמה/AAA/TACACS+ | |
חַשׁמַלִי | מתח אספקה מדורג | AC-220V/DC-48V【אופציונלי】 |
תדר כוח מדורג | 50HZ | |
זרם כניסה מדורג | AC-3A / DC-10A | |
כוח מדורג | 100W | |
סְבִיבָה | טמפרטורת עבודה | 0-50℃ |
טמפרטורת אחסון | -20-70℃ | |
לחות עבודה | 10%-95%, ללא עיבוי | |
תצורת משתמש | תצורת קונסולה | ממשק RS232,115200,8,N,1 |
ממשק MGT מחוץ ללהקה | ממשק Ethernet 1*10/100/1000M | |
הרשאת סיסמה | נתמך | |
גובה השלדה | חלל שלדה (U) | 1U 19 אינץ', 485 מ"מ*44.5 מ"מ*350 מ"מ |
אפליקציית מתג עקיפת רשת TAP (לפי הבא)
5.1 הסיכון של ציוד אבטחה מוטבע (IPS / FW)
להלן IPS טיפוסי (מערכת מניעת חדירות), FW (חומת אש) מצב פריסה, IPS / FW פרוסים כציוד רשת מוטבע (כגון נתבים, מתגים וכו') בין התעבורה באמצעות ביצוע בדיקות אבטחה, על פי את מדיניות האבטחה המתאימה כדי לקבוע את השחרור או חסימת התנועה המתאימה, כדי להשיג את ההשפעה של הגנה ביטחונית.
במקביל, אנו יכולים לראות את IPS (מערכת מניעת חדירות) / FW (חומת אש) כפריסה מוטבעת של הציוד, הנפרסת בדרך כלל במיקום המפתח של הרשת הארגונית כדי ליישם אבטחה מוטבעת, האמינות של המכשירים המחוברים שלה משפיעה ישירות הזמינות הכוללת של הרשת הארגונית. ברגע שמכשירי האבטחה המוטבעים עומסים יתר על המידה, קורסים, עדכוני תוכנה, עדכוני מדיניות וכו', זמינות הרשת הארגונית כולה תושפע מאוד. בשלב זה, אנו רק דרך הרשת, מגשר עוקף פיזי יכול לגרום לשחזור הרשת, אבל זה משפיע באופן רציני על האמינות של הרשת. IPS(Intrusion Prevention System) / FW(Firewall) והתקנים מוטבעים אחרים מצד אחד משפרים את הפריסה של אבטחת הרשת הארגונית, מצד שני מפחיתה גם את האמינות של רשתות ארגוניות, מה שמגדיל את הסיכון שהרשת אינה זמינה.
5.2 הגנה על ציוד מסדרת Inline Link
Mylinking™ "מתג עוקף" נפרס בתור מוטבע בין התקני רשת (נתבים, מתגים וכו'), וזרימת הנתונים בין התקני רשת אינה מובילה עוד ישירות ל-IPS(מערכת למניעת חדירות) / FW(חומת אש), "מתג עוקף" ל-IPS/FW, כאשר ה-IPS/FW עקב עומס יתר, קריסה, עדכוני תוכנה, עדכוני מדיניות ומצבים אחרים של כשל, ה-"עוקף מתג" באמצעות הודעת פעימות לב חכמה זיהוי פונקציה של גילוי בזמן, ובכך לדלג על המכשיר הפגום, מבלי להפריע להנחת היסוד של הרשת, ציוד הרשת המהירה מחובר ישירות כדי להגן על רשת התקשורת הרגילה; כאשר IPS / FW שחזור כישלון, אלא גם באמצעות אינטליגנטי Heartbeat Packets זיהוי של זיהוי בזמן של הפונקציה, הקישור המקורי לשחזר את האבטחה של בדיקות אבטחה ברשת הארגונית.
ל-Mylinking™ "Bypass Switch" יש פונקציה חכמה עוצמתית לזיהוי הודעות לב, המשתמש יכול להתאים אישית את מרווח פעימות הלב ואת המספר המרבי של ניסיונות חוזרים, באמצעות הודעת דופק מותאמת אישית ב-IPS / FW לבדיקת בריאות, כגון שליחת הודעת בדיקת פעימות הלב ליציאה במעלה הזרם / במורד הזרם של IPS / FW, ולאחר מכן לקבל מהנמל במעלה הזרם / במורד הזרם של IPS / FW, ולשפוט אם ה-IPS / FW פועל כרגיל על ידי שליחת וקבלת הודעת פעימות הלב.
5.3 זרימת מדיניות "SpecFlow" הגנת סדרת מתיחה מוטבעת
כאשר התקן רשת האבטחה צריך להתמודד רק עם התעבורה הספציפית בהגנה על אבטחה סדרתית, באמצעות פונקציית ה-Mylinking™ "Network Tap Bypass Switch" תעבורה לכל עיבוד, דרך אסטרטגיית סינון התעבורה לחיבור מכשיר האבטחה "מודאג" נשלחת תנועה חזרה ישירות לקישור הרשת, ו"קטע התעבורה המודאג" הוא משיכה אל התקן הבטיחות המקוון כדי לבצע בדיקות בטיחות. זה לא רק ישמור על היישום הרגיל של פונקציית זיהוי הבטיחות של התקן הבטיחות, אלא גם יפחית את הזרימה הלא יעילה של ציוד הבטיחות להתמודדות עם הלחץ; במקביל, "מתג מעקף ברז רשת" יכול לזהות את מצב העבודה של התקן הבטיחות בזמן אמת. התקן הבטיחות פועל בצורה חריגה עוקף את תעבורת הנתונים ישירות כדי למנוע הפרעה לשירות הרשת.
ה-Mylinking™ Inline Traffic Bypass Tap יכול לזהות תנועה בהתבסס על מזהה כותרת שכבת L2-L4, כגון תג VLAN, כתובת מקור/יעד MAC, כתובת IP מקור, סוג מנות IP, יציאת פרוטוקול שכבת תעבורה, תג מפתח כותרת פרוטוקול, ו וכן הלאה. ניתן להגדיר שילוב גמיש של תנאי התאמה באופן גמיש כדי להגדיר את סוגי התעבורה הספציפיים המעניינים התקן אבטחה מסוים וניתן להשתמש בו באופן נרחב לפריסה של התקני ביקורת אבטחה מיוחדים (RDP, SSH, ביקורת מסד נתונים וכו'). .
5.4 הגנת סדרה מאוזנת עומסים
Mylinking™ "Network Tap Bypass Switch" נפרס בתור מוטבע בין התקני רשת (נתבים, מתגים וכו'). כאשר ביצועי עיבוד IPS/FW בודדים אינם מספיקים כדי להתמודד עם תעבורת שיא של קישורי רשת, פונקציית איזון עומסי התעבורה של המגן, "צירוף" של מספר תעבורת קישורי רשת IPS/FW של עיבוד אשכולות, יכולה להפחית ביעילות את ה-IPS/FW הבודד לחץ עיבוד, לשפר את ביצועי העיבוד הכוללים כדי לעמוד ברוחב הפס הגבוה של סביבת הפריסה.
ל-Mylinking™ "Network Tap Bypass Switch" יש פונקציית איזון עומסים רבת עוצמה, בהתאם לתג VLAN של המסגרת, מידע MAC, מידע IP, מספר יציאה, פרוטוקול ומידע אחר על התפלגות איזון עומס Hash של התעבורה כדי להבטיח שכל IPS / FW זרימת נתונים שהתקבלה שלמות הפעלה.
5.5 ציוד מוטבע רב-סדרה הגנה על זרימת מתיחה (שנה חיבור טורי לחיבור מקביל)
בחלק מהקישורים המרכזיים (כגון שקעי אינטרנט, קישור החלפת אזורי שרת) המיקום נובע לעתים קרובות מהצרכים של תכונות אבטחה ופריסה של מספר ציוד בדיקות אבטחה מקוון (כגון חומת אש (FW), ציוד התקפות נגד DDOS, WEB Application Firewall(WAF), Intrusion Prevention System(IPS) וכו'), ציוד זיהוי אבטחה מרובים בו-זמנית בסדרה על הקישור כדי להגדיל את הקישור של נקודת כשל בודדת, להקטין את סך הכל אמינות הרשת. ובפריסה מקוונת של ציוד האבטחה הנ"ל, שדרוגי ציוד, החלפת ציוד ופעולות אחרות, יגרמו לרשת לזמן ארוך להפסקת שירות ולפעולת קיצוץ גדולה יותר בפרויקט להשלמת יישום מוצלח של פרויקטים כאלה.
על ידי פריסת "מתג מעקף הקשה ברשת" בצורה אחידה, ניתן לשנות את מצב הפריסה של התקני אבטחה מרובים המחוברים בסדרה על אותו קישור מ"מצב שרשור פיזי" ל"שרשור פיזי, מצב שרשור לוגי" הקישור ב- קישור של נקודת כשל בודדת כדי לשפר את האמינות של הקישור, בעוד "מתג עוקף" על זרימת הקישור על פי דרישה מתיחה, כדי להשיג את אותה זרימה עם המצב המקורי של עיבוד בטוח השפעה.
יותר מהתקן אבטחה אחד בו-זמנית עם דיאגרמת פריסה מוטבעת:
תרשים פריסת מתג Mylinking™ Network TAP עוקף:
5.6 מבוסס על האסטרטגיה הדינמית של הגנת זיהוי אבטחת תנועה
"מתג מעקף הקשה ברשת" תרחיש יישום מתקדם נוסף מבוסס על האסטרטגיה הדינמית של יישומי הגנה על זיהוי אבטחת משיכה של תעבורה, פריסת הדרך כפי שמוצג להלן:
קח את ציוד בדיקת האבטחה "הגנה מפני התקפות וזיהוי נגד DDoS", למשל, דרך הפריסה הקדמית של "מתג מעקף רשת הקשה" ולאחר מכן ציוד הגנת הגנה נגד DDOS ולאחר מכן מחובר ל"מתג עקיף רשת הקשה ", ב"מגן מתיחה" הרגיל לכמות המלאה של העברת תעבורה במהירות חוט בו זמנית, פלט מראה הזרימה ל"התקן הגנת התקפות נגד DDOS", ברגע שזוהה עבור שרת IP (או פלח רשת IP) לאחר המתקפה, "התקן הגנה נגד התקפות נגד DDOS" יפיק את כללי התאמת זרימת התעבורה של היעד וישלח אותם אל "מתג עקיפת רשת הקשה" דרך ממשק מסירת המדיניות הדינמית. "מתג מעקף הקשה על רשת" יכול לעדכן את "דינמיקת המתיחה של התנועה" לאחר קבלת כללי המדיניות הדינמיים כלל מאגר הכללים "ומיידית" פגע בשרת ההתקפה "משיכה ל"הגנת התקפת אנטי-DDoS וזיהוי "ציוד לעיבוד, להיות יעיל לאחר זרימת ההתקפה ולאחר מכן מוזרק מחדש לרשת.
סכימת היישום המבוססת על "מתג עקיפת רשתות" קלה יותר ליישום מאשר הזרקת מסלול ה-BGP המסורתית או ערכת מתיחה אחרת של תעבורה, והסביבה פחות תלויה ברשת והאמינות גבוהה יותר.
ל-"Network Tap Bypass Switch" יש את המאפיינים הבאים כדי לתמוך בהגנה דינאמית על זיהוי אבטחת מדיניות:
1, " Network Tap Bypass Switch " כדי לספק מחוץ לכללים המבוססים על ממשק WEBSERIVCE, אינטגרציה קלה עם התקני אבטחה של צד שלישי.
2, "BNetwork Tap Bypass Switch" המבוסס על העברת שבב ASIC טהור בחומרה המעביר עד 10Gbps מנות מהירות חוט ללא חסימת העברת מתגים, ו"ספריית כללים דינמיים של תנועה" ללא קשר למספר.
3, "מגש עוקף ברז רשת" מובנית פונקציית עוקף מקצועית, גם אם כשל המגן עצמו, יכול גם לעקוף את הקישור הטורי המקורי באופן מיידי, אינו משפיע על הקישור המקורי של תקשורת רגילה.