מתג עוקף רשת Mylinking™ ML-BYPASS-200
2* מעקפים ועוד 1* צג עיצוב מודולרי, קישורי 10/40/100GE, מקסימום 640Gbps
1-סקירות
על ידי פריסת מתג העקיפה החכם של Mylinking™:
- משתמשים יכולים להתקין/להסיר ציוד אבטחה באופן גמיש ולא ישפיעו על הרשת הנוכחית ולא יפריעו;
- מתג עוקף רשת Mylinking™ עם פונקציית זיהוי בריאות חכמה לניטור בזמן אמת של מצב העבודה הרגיל של התקן האבטחה הטורי. ברגע שהתקן האבטחה הטורי יוצא מכלל פעולה, ההגנה תעקוף אוטומטית כדי לשמור על תקשורת רשת תקינה;
- ניתן להשתמש בטכנולוגיית הגנה סלקטיבית על תנועה כדי לפרוס ציוד אבטחה ספציפי לניקוי תנועה, טכנולוגיית הצפנה המבוססת על ציוד ביקורת. לבצע ביעילות את הגנת הגישה הטורית עבור סוג תעבורה ספציפי, לפרוק את לחץ הטיפול בזרימה של התקן הטורית;
- ניתן להשתמש בטכנולוגיית הגנה מפני תעבורה מאוזנת עומס (Load Balanced Traffic Protection) לפריסה מקובצת של התקנים טוריים מאובטחים כדי לענות על הצורך באבטחה טורית בסביבות בעלות רוחב פס גבוה.
עם ההתפתחות המהירה של האינטרנט, האיום על אבטחת מידע ברשת הופך להיות רציני יותר ויותר, ולכן מגוון יישומי הגנה על אבטחת מידע נמצאים בשימוש נרחב יותר ויותר. בין אם מדובר בציוד בקרת גישה מסורתי (חומת אש) או בסוג חדש של אמצעי הגנה מתקדמים יותר כגון מערכת מניעת חדירות (IPS), פלטפורמת ניהול איומים מאוחדת (UTM), מערכת התקפות נגד מניעת שירות (Anti-DDoS), שער אנטי-ספאן, מערכת זיהוי ובקרה מאוחדת של תעבורה DPI, והתקני אבטחה רבים נפרסים בטור בצמתי מפתח הרשת, יישום מדיניות אבטחת המידע המתאימה כדי לזהות ולטפל בתעבורה חוקית/בלתי חוקית. יחד עם זאת, רשת המחשבים תיצור עיכוב רשת גדול או אפילו שיבוש רשת במקרה של כשל, תחזוקה, שדרוג, החלפת ציוד וכן הלאה בסביבת יישומי רשת ייצור אמינה ביותר, המשתמשים לא יכולים לסבול זאת.
מתג עוקף 2-רשתות עם מאפיינים וטכנולוגיות מתקדמות
מצב הגנה "SpecFlow" וטכנולוגיית מצב הגנה "FullLink" של Mylinking™
טכנולוגיית הגנת מיתוג מעקף מהיר Mylinking™
טכנולוגיית Mylinking™ "LinkSafeSwitch"
Mylinking™ "WebService" טכנולוגיית העברת/הנפקת אסטרטגיה דינמית
טכנולוגיית זיהוי הודעות פעימות לב חכמה של Mylinking™
טכנולוגיית הודעות פעימות לב מוגדרות של Mylinking™
טכנולוגיית איזון עומסים מרובת קישורים של Mylinking™
טכנולוגיית פיזור תעבורה חכמה של Mylinking™
טכנולוגיית איזון עומסים דינמית של Mylinking™
טכנולוגיית ניהול מרחוק Mylinking™ (HTTP/WEB, TELNET/SSH, מאפיין “EasyConfig/AdvanceConfig”)
מדריך תצורה של מתג עקיפת רשת 3-רשתות
לַעֲקוֹףחריץ מודול יציאת הגנה:
ניתן להכניס חריץ זה למודול יציאת הגנת מעקף עם מהירות/מספר יציאות שונים. על ידי החלפת סוגים שונים של מודולים, הוא יכול לתמוך בהגנה מעקף של קישורי 10G/40G/100G מרובים.
צגחריץ מודול היציאה;
ניתן להכניס חריץ זה למודול יציאת ה-MONITOR עם מהירויות/יציאות שונות. הוא יכול לתמוך בפריסה מרובת התקני ניטור טוריים מקוונים בעלי קישור 10G/40G/100G על ידי החלפת דגמים שונים.
כללי בחירת מודולים
בהתבסס על קישורים שונים שנפרסו ודרישות פריסת ציוד ניטור, באפשרותך לבחור בגמישות תצורות מודול שונות כדי לענות על צרכי הסביבה בפועל שלך; אנא פעל לפי הכללים הבאים בעת הבחירה:
1. רכיבי המארז הם חובה ועליך לבחור את רכיבי המארז לפני שתבחר מודולים אחרים. במקביל, אנא בחר שיטות אספקת חשמל שונות (AC/DC) בהתאם לצרכים שלך.
2. כל המכונה תומכת בעד 2 חריצי מודול BYPASS וחריץ מודול MONITOR אחד; לא ניתן לבחור יותר ממספר החריצים להגדרה. בהתבסס על שילוב מספר החריצים ודגם המודול, ההתקן יכול לתמוך בעד ארבע הגנות קישור 10GE; או שהוא יכול לתמוך בעד ארבעה קישורי 40GE; או שהוא יכול לתמוך בעד קישור 100GE אחד.
3. ניתן להכניס את דגם המודול "BYP-MOD-L1CG" רק ל-SLOT1 כדי שיפעל כראוי.
4. ניתן להכניס את המודול מסוג "BYP-MOD-XXX" רק לחריץ מודול BYPASS; ניתן להכניס את המודול מסוג "MON-MOD-XXX" רק לחריץ מודול MONITOR לפעולה רגילה.
| דגם מוצר | פרמטרים של פונקציה |
| שלדה (מארח) | |
| ML-BYPASS-M200 | כונן סטנדרטי בגודל 19 אינץ', 1U, להתקנה בארון תקשורת; צריכת חשמל מרבית של 250W; מארח מודולרי להגנה על מעקף; 2 חריצי מודול מעקף; חריץ מודול אחד ל-MONITOR; AC ו-DC אופציונליים; |
| מודול מעקף | |
| BYP-MOD-L2XG(LM/SM) | תומך בהגנה טורית דו-כיוונית של קישור 10GE, ממשק 4*10GE, מחבר LC; משדר-מקלט אופטי מובנה; קישור אופטי יחיד/רב-מודדי אופציונלי, תומך ב-10GBASE-SR/LR; |
| BYP-MOD-L2QXG (LM/SM) | תומך בהגנה טורית דו-כיוונית של קישור 40GE, ממשק 4*40GE, מחבר LC; משדר-מקלט אופטי מובנה; קישור אופטי יחיד/רב-מודדי אופציונלי, תומך ב-40GBASE-SR4/LR4; |
| BYP-MOD-L1CG (LM/SM) | תומך בהגנה טורית של ערוץ אחד בקישור 100GE, ממשק 2*100GE, מחבר LC; משדר-מקלט אופטי מובנה; קישור אופטי יחיד רב-מצבי אופציונלי, תומך ב-100GBASE-SR4/LR4; |
| מודול צג | |
| MON-MOD-L16XG | מודול יציאת ניטור SFP+ 16*10GE; ללא מודול משדר-מקלט אופטי; |
| MON-MOD-L8XG | מודול יציאת ניטור SFP+ 8*10GE; ללא מודול משדר-מקלט אופטי; |
| שני-מוד-L2CG | מודול יציאת ניטור QSFP28 100GE 2*; ללא מודול משדר-מקלט אופטי; |
| MON-MOD-L8QXG | מודול יציאת ניטור QSFP+ 8* 40GE; ללא מודול משדר-מקלט אופטי; |
מפרט מתג עוקף TAP 4-רשתות
| אופן המוצר | מתג עוקף טורי ML-BYPASS-M200 | |
| סוג הממשק | ממשק MGT | ממשק ניהול אדפטיבי 10/100/1000BASE-T אחד; תמיכה בניהול HTTP/IP מרחוק |
| חריץ מודול | 2 * חריץ מודול מעקף; 1 * חריץ מודול צג; | |
| קישורים התומכים במקסימום | תמיכה במכשירים מקסימליים של 4 קישורים של 10GE* או 4 קישורים של 40GE* או קישורים של 100GE* | |
| צג | תמיכה במכשירים מקסימליים של 16 יציאות ניטור של 10GE* או 8 יציאות ניטור של 40GE* או 2 יציאות ניטור של 100GE*; | |
| פוּנקצִיָה | יכולת עיבוד דו-צדדי מלא | 640 ג'יגה-ביט לשנייה |
| מבוסס על IP/פרוטוקול/פורט חמש יציאות ספציפיות להגנה על תעבורה | תְמִיכָה | |
| הגנה מדורגת המבוססת על תעבורה מלאה | תְמִיכָה | |
| איזון עומסים מרובה | תְמִיכָה | |
| פונקציית גילוי דופק מותאמת אישית | תְמִיכָה | |
| תמיכה בעצמאות חבילת Ethernet | תְמִיכָה | |
| מתג עוקף | תְמִיכָה | |
| מתג עוקף ללא פלאש | תְמִיכָה | |
| ניהול קונסולות | תְמִיכָה | |
| ניהול IP/אינטרנט | תְמִיכָה | |
| ניהול SNMP V1/V2C | תְמִיכָה | |
| ניהול TELNET/SSH | תְמִיכָה | |
| פרוטוקול SYSLOG | תְמִיכָה | |
| הרשאת משתמש | מבוסס על אישור סיסמה/AAA/TACACS+ | |
| חַשׁמַלִי | מתח אספקה מדורג | AC-220V/DC-48V 【אופציונלי】 |
| תדר הספק מדורג | 50 הרץ | |
| זרם קלט מדורג | AC-3A / DC-10A | |
| הספק מדורג | 100W | |
| סְבִיבָה | טמפרטורת עבודה | 0-50℃ |
| טמפרטורת אחסון | -20-70 ℃ | |
| לחות עבודה | 10%-95%, ללא עיבוי | |
| תצורת משתמש | תצורת קונסולה | ממשק RS232, 115200, 8, N, 1 |
| ממשק MGT מחוץ לפס הלהקה | ממשק אתרנט 1*10/100/1000M | |
| אישור סיסמה | תְמִיכָה | |
| גובה שלדה | מרווח שלדה (U) | 1U 19 אינץ', 485 מ"מ * 44.5 מ"מ * 350 מ"מ |
יישום מתג עוקף TAP 5-רשת (כדלקמן)
להלן מצב פריסה טיפוסי של IPS (מערכת למניעת חדירות), FW (חומת אש). IPS/FW נפרסים בטור לציוד הרשת (נתבים, מתגים וכו') באמצעות בדיקות אבטחה, בהתאם למדיניות האבטחה המתאימה כדי לקבוע אם לשחרר או לחסום את התעבורה המתאימה, על מנת להשיג את אפקט ההגנה הביטחונית.
במקביל, ניתן לראות IPS/FW כפריסת ציוד טורית, שבדרך כלל נפרס במיקום מרכזי ברשת הארגונית כדי ליישם אבטחה טורית. אמינות המכשירים המחוברים אליהם משפיעה ישירות על זמינות הרשת הכוללת של הארגון. כאשר המכשירים הטוריים עומדים בעומס יתר, קריסה, עדכוני תוכנה, עדכוני מדיניות וכו', זמינות הרשת הארגונית כולה תושפע מאוד. בשלב זה, רק באמצעות ניתוק הרשת ומגשר פיזי ניתן לשחזר את הרשת, מה שמשפיע קשות על אמינות הרשת. IPS/FW והתקנים טוריים אחרים מצד אחד משפרים את פריסת אבטחת הרשת הארגונית, ומצד שני גם מפחיתים את אמינות הרשתות הארגוניות, ומגדילים את הסיכון שהרשת לא תהיה זמינה.
5.2 הגנה על ציוד מסדרת Inline Link
"מתג העקיפה" של Mylinking™ פרוס בטור בין התקני רשת (נתבים, מתגים וכו'), וזרימת הנתונים בין התקני הרשת אינה מובילה עוד ישירות ל-IPS/FW. "מתג העקיפה" עובר ל-IPS/FW. כאשר ה-IPS/FW נובע מעומס יתר, קריסה, עדכוני תוכנה, עדכוני מדיניות ומצבים אחרים של כשל. "מתג העקיפה" מאפשר גילוי בזמן באמצעות פונקציית זיהוי הודעות פעימות לב חכמה, ובכך מדלגת על התקן פגום, מבלי להפריע לרשת. ציוד הרשת מחובר ישירות במהירות כדי להגן על רשת התקשורת הרגילה; כאשר ה-IPS/FW מתאושש, ניתן גם לבצע בדיקות אבטחה בזמן באמצעות פונקציית זיהוי מנות פעימות לב חכמות, המאפשרת בדיקה מחדש של אבטחת הרשת הארגונית.
ל-Mylinking™ "Bypass Switch" פונקציית זיהוי הודעות פעימות לב חכמה וחזקה. המשתמש יכול להתאים אישית את מרווח פעימות הלב ואת מספר הניסיונות החוזרים המרבי, באמצעות הודעת פעימות לב מותאמת אישית ב-IPS/FW לצורך בדיקת תקינות, כגון שליחת הודעת בדיקת פעימות הלב ליציאת upstream/downstream של IPS/FW, ולאחר מכן קבלת הודעת פעימות הלב מיציאת upstream/downstream של IPS/FW, ולשפוט האם ה-IPS/FW פועל כרגיל על ידי שליחה וקבלה של הודעת פעימות הלב.
5.3 הגנה על סדרת משיכה מקוונת של מדיניות "SpecFlow"
כאשר התקן רשת האבטחה צריך להתמודד רק עם תעבורה ספציפית בהגנה טורית, באמצעות פונקציית "מתג עוקף" של Mylinking™, תעבורה לפי עיבוד באמצעות אסטרטגיית סינון תעבורה לחיבור התקן האבטחה, התעבורה "הנוגעת בדבר" נשלחת ישירות לקישור הרשת, ו"מקטע התעבורה הנוגעת בדבר" נמשך להתקן הבטיחות המובנה כדי לבצע בדיקות בטיחות. זה לא רק ישמור על היישום הרגיל של פונקציית גילוי הבטיחות של התקן הבטיחות, אלא גם יפחית את הזרימה הלא יעילה של ציוד הבטיחות להתמודדות עם הלחץ; במקביל, "מתג העוקף" יכול לזהות את מצב העבודה של התקן הבטיחות בזמן אמת. התקן הבטיחות פועל באופן חריג ועוקף את תעבורת הנתונים ישירות כדי למנוע שיבושים בשירות הרשת.
מגן עוקף התעבורה Mylinking™ יכול לזהות תעבורה על סמך מזהה כותרת שכבה L2-L4, כגון תג VLAN, כתובת MAC של מקור/יעד, כתובת IP של מקור, סוג חבילת IP, יציאת פרוטוקול שכבת התעבורה, תג מפתח של כותרת פרוטוקול וכן הלאה. ניתן להגדיר גמישות מגוון של תנאי התאמה, שילובים גמישים, כדי להגדיר את סוגי התעבורה הספציפיים המעניינים התקן אבטחה מסוים, וניתן להשתמש בהם באופן נרחב לפריסה של התקני ביקורת אבטחה מיוחדים (RDP, SSH, ביקורת מסדי נתונים וכו').
5.4 הגנה טורית מאוזנת עומסים
"מתג העוקף" של Mylinking™ נפרס בטור בין התקני רשת (נתבים, מתגים וכו'). כאשר ביצועי עיבוד של IPS/FW יחיד אינם מספיקים כדי להתמודד עם תעבורת שיא של קישורי רשת, פונקציית איזון עומסי התעבורה של המגן, "איחוד" של תעבורת קישורי רשת מרובים של עיבוד אשכולות IPS/FW, יכולה להפחית ביעילות את לחץ העיבוד של IPS/FW יחיד, לשפר את ביצועי העיבוד הכוללים כדי לעמוד בדרישות רוחב הפס הגבוה של סביבת הפריסה.
ל-"Bypass Switch" של Mylinking™ יש פונקציית איזון עומסים חזקה, בהתאם לתג VLAN של המסגרת, מידע MAC, מידע IP, מספר פורט, פרוטוקול ומידע נוסף על פיזור איזון עומסי ה-Hash של התעבורה כדי להבטיח שכל IPS/FW מקבל זרימת נתונים שלמות סשן.
5.5 הגנה מפני גרימת זרימה בציוד מרוב סדרות (שינוי חיבור טורי לחיבור מקבילי)
בכמה קישורים מרכזיים (כגון שקעי אינטרנט, קישורי חילופי שרתים), מיקום הרשת נובע לעיתים קרובות מצורך בתכונות אבטחה ופריסת ציוד בדיקת אבטחה מרובים בקו (כגון חומת אש, ציוד נגד התקפות DDOS, חומת אש של יישומי WEB, ציוד למניעת חדירות וכו'), כאשר ציוד גילוי אבטחה מרובים בו זמנית בטור על הקישור מגדיל את נקודת הכשל היחידה, מה שמפחית את האמינות הכוללת של הרשת. ובפריסת ציוד האבטחה המקוונת הנזכרת לעיל, שדרוגי ציוד, החלפת ציוד ופעולות אחרות, יגרמו להפרעות שירות ארוכות טווח ברשת ולפעולת קיצוץ גדולה יותר של הפרויקט כדי להשלים את היישום המוצלח של פרויקטים כאלה.
על ידי פריסת "מתג עוקף" בצורה מאוחדת, ניתן לשנות את מצב הפריסה של מספר התקני אבטחה המחוברים בטור באותו קישור מ"מצב שרשור פיזי" ל"מצב שרשור פיזי, שרשור לוגי". הקישור בקישור של נקודת כשל יחידה כדי לשפר את אמינות הקישור, בעוד ש"מתג עוקף" בקישור יזרום לפי דרישה, כדי להשיג את אותה זרימה עם מצב עיבוד בטוח המקורי.
יותר מהתקן אבטחה אחד בו זמנית בתרשים פריסה טורי:
תרשים פריסת מתג עוקף TAP של רשת Mylinking™:
5.6 בהתבסס על האסטרטגיה הדינמית של הגנה מפני גילוי אבטחת אחיזת תנועה
"מתג עוקף" תרחיש יישום מתקדם נוסף מבוסס על האסטרטגיה הדינמית של יישומי הגנה מפני זיהוי אבטחת תנועה, פריסת הדרך כפי שמוצג להלן:
קחו לדוגמה את ציוד בדיקת האבטחה "הגנה וגילוי מפני התקפות DDoS", באמצעות פריסה חזיתית של "מתג מעקף" ולאחר מכן חיבור ציוד הגנה מפני התקפות DDoS ל"מתג מעקף", ב"מגן משיכה" הרגיל, כמות מלאה של תעבורה מועברת במהירות חוטית, ובמקביל פלט מראה הזרימה ל"התקן הגנה מפני התקפות DDoS". לאחר זיהוי כתובת IP של שרת (או מקטע IP של רשת) לאחר ההתקפה, התקן הגנה מפני התקפות DDoS ייצור את כללי התאמת זרימת התעבורה היעד וישלח אותם ל"מתג מעקף" דרך ממשק מסירת מדיניות דינמית. "מתג המעקף" יכול לעדכן את "דינמיקת משיכת התעבורה" לאחר קבלת מאגר כללי המדיניות הדינמיים "ולמשוך מיד את תעבורת השרת לציוד "הגנה וגילוי מפני התקפות DDoS" לצורך עיבוד, כדי שיהיה יעיל לאחר ההתקפה וזרימת התעבורה תגיע מחדש לרשת.
סכמת היישום המבוססת על "מתג עוקף" קלה יותר ליישום מאשר הזרקת מסלול BGP מסורתית או סכמת גרירת תנועה אחרת, והסביבה פחות תלויה ברשת והאמינות גבוהה יותר.
ל"מתג עקיפה" יש את המאפיינים הבאים לתמיכה בהגנה על זיהוי אבטחה דינמי של מדיניות:
1, "מתג עוקף" כדי לספק מחוץ לכללים המבוססים על ממשק WEBSERIVCE, שילוב קל עם התקני אבטחה של צד שלישי.
2, "מתג עוקף" המבוסס על שבב ASIC טהור בחומרה, המעביר חבילות במהירות חוט של עד 10Gbps מבלי לחסום העברת מתג, ו"ספריית כללים דינמית למתיחת תעבורה" ללא קשר למספר.
3, "מתג עוקף" פונקציית עוקף מקצועית מובנית, גם אם המגן עצמו כשל, יכולה לעקוף באופן מיידי את הקישור הסידורי המקורי, מבלי להשפיע על הקישור המקורי של תקשורת רגילה.
