מה יכול לעשות עבורך מתג עוקף הרשת החכם המוטבע?

1- מהי חבילת Define Heartbeat?

חבילות פעימת הלב של מתג עוקף הרשת Mylinking™ מוגדרות כברירת מחדל למסגרות Ethernet Layer 2. בעת פריסת מצב גישור שקוף של Layer 2 (כגון IPS / FW), מסגרות Ethernet Layer 2 בדרך כלל מועברות, חסומות או נמחקות. במקביל, מתג עוקף הרשת Mylinking™ תומך בפורמט הודעת פעימת לב מותאם אישית כדי להתמודד עם מצב שבו התקני אבטחה טוריים מיוחדים מסוימים אינם יכולים בדרך כלל להעביר מסגרות Ethernet Layer 2 רגילות.

ומתג עוקף הרשת Mylinking™ Network Tap תומך גם בזיהוי חבילות פעימות לב המבוסס על תג VLAN, סוגי הודעות מותאמות אישית בשכבה 3 ושכבה 4. בהתבסס על מנגנון זה, המשתמש יכול ליישם פונקציית בדיקת בטיחות שירות של התקן בטיחות החיבור כדי להפוך אותו ליעיל יותר ולהבטיח ששירותי האבטחה המתאימים יפעלו כראוי.

מתג עוקף הרשת Mylinking™ יכול לתמוך בצג בשליחת חבילות פעימות לב שונות בשני הכיוונים. לדוגמה, חבילות פעימות לב מסוג TCP ו-UDP מותאמות אישית ב-"Strategy Traffic Traction Protector", בהתאם למאפייני ההתקן הטורי. ניתן להגדיר את שליחת חבילות פעימות הלב של TCP ביציאת צג העולה A ואת שליחת חבילות פעימות הלב של UDP ביציאת צג המורד B כדי להתאים למנגנון העברת ההודעות של התקן האבטחה הטורי. פונקציה זו יכולה להבטיח בצורה יעילה יותר את המחרוזת. חבר את ציוד הבטיחות לפעולה רגילה.

מתג עוקף רשת Mylinking™ נחקר ופותח לשימוש גמיש של סוגים שונים של ציוד אבטחה סדרתי תוך מתן אמינות רשת גבוהה.

מתג מעקף מובנה עם 2 רשתות - תכונות וטכנולוגיות מתקדמות
מצב הגנה "SpecFlow" וטכנולוגיית מצב הגנה "FullLink" של Mylinking™
טכנולוגיית הגנת מיתוג מעקף מהיר Mylinking™
טכנולוגיית Mylinking™ "LinkSafeSwitch"
Mylinking™ "WebService" טכנולוגיית העברת/הנפקת אסטרטגיה דינמית
טכנולוגיית זיהוי הודעות פעימות לב חכמה של Mylinking™
טכנולוגיית הודעות פעימות לב מוגדרות של Mylinking™
טכנולוגיית איזון עומסים מרובת קישורים של Mylinking™
טכנולוגיית פיזור תעבורה חכמה של Mylinking™
טכנולוגיית איזון עומסים דינמית של Mylinking™
טכנולוגיית ניהול מרחוק Mylinking™‎ (HTTP/WEB, TELNET/SSH, מאפיין “EasyConfig/AdvanceConfig”)

יישום מתג מעקף רשת 3-רשתות (כדלקמן)

3.1 הסיכון של ציוד אבטחה מובנה (IPS / FW)
להלן מצב פריסה טיפוסי של IPS (מערכת למניעת חדירות), FW (חומת אש). IPS/FW נפרסים בטור לציוד הרשת (נתבים, מתגים וכו') באמצעות בדיקות אבטחה, בהתאם למדיניות האבטחה המתאימה כדי לקבוע אם לשחרר או לחסום את התעבורה המתאימה, על מנת להשיג את אפקט ההגנה הביטחונית.

במקביל, ניתן לראות IPS/FW כפריסת ציוד טורית, שבדרך כלל נפרס במיקום מרכזי ברשת הארגונית כדי ליישם אבטחה טורית. אמינות המכשירים המחוברים אליהם משפיעה ישירות על זמינות הרשת הכוללת של הארגון. כאשר המכשירים הטוריים עומדים בעומס יתר, קריסה, עדכוני תוכנה, עדכוני מדיניות וכו', זמינות הרשת הארגונית כולה תושפע מאוד. בשלב זה, רק באמצעות ניתוק הרשת ומגשר פיזי ניתן לשחזר את הרשת, מה שמשפיע קשות על אמינות הרשת. IPS/FW והתקנים טוריים אחרים מצד אחד משפרים את פריסת אבטחת הרשת הארגונית, ומצד שני גם מפחיתים את אמינות הרשתות הארגוניות, ומגדילים את הסיכון שהרשת לא תהיה זמינה.

3.2 הגנה על ציוד מסדרת Inline Link

"עקף רשת מוטבע" של Mylinking™‎ פרוס בטור בין התקני רשת (נתבים, מתגים וכו'), וזרימת הנתונים בין התקני הרשת אינה מובילה עוד ישירות ל-IPS/FW. "עקף רשת מוטבע" מוביל ל-IPS/FW. כאשר ה-IPS/FW נובע מעומס יתר, קריסה, עדכוני תוכנה, עדכוני מדיניות ומצבים אחרים של כשל. "עקף רשת מוטבע" מאפשר גילוי בזמן באמצעות פונקציית זיהוי הודעות פעימות לב חכמה, ובכך מדלגת על התקן פגום, מבלי להפריע לפעילות הרשת. ציוד הרשת מחובר ישירות במהירות כדי להגן על רשת התקשורת הרגילה; כאשר ה-IPS/FW מתאושש, ניתן גם לבצע בדיקות אבטחה בזמן באמצעות פונקציית זיהוי מנות פעימות לב חכמות, המשחזרת את אבטחת הרשת הארגונית.

ל-Mylinking™ "רשת מעקף מובנה" פונקציית זיהוי הודעות פעימות לב חכמה וחזקה. המשתמש יכול להתאים אישית את מרווח פעימות הלב ואת מספר הניסיונות החוזרים המרבי, באמצעות הודעת פעימות לב מותאמת אישית ב-IPS/FW לצורך בדיקת תקינות, כגון שליחת הודעת בדיקת פעימות הלב ליציאת upstream/downstream של IPS/FW, ולאחר מכן קבלת הודעת פעימות הלב מיציאת upstream/downstream של IPS/FW, ולשפוט האם ה-IPS/FW פועל כרגיל על ידי שליחה וקבלה של הודעת פעימות הלב.

3.3 הגנה על סדרת משיכה מקוונת של מדיניות "SpecFlow"

כאשר התקן רשת האבטחה צריך להתמודד רק עם תעבורה ספציפית בהגנה טורית, באמצעות פונקציית "רשת מעקף מוטבע" של Mylinking™, באמצעות אסטרטגיית סינון תעבורה, התעבורה "הנוגעת" של התקן האבטחה נשלחת ישירות לקישור הרשת, ו"מקטע התעבורה הנוגעת" נמשך להתקן הבטיחות המוטבע כדי לבצע בדיקות בטיחות. זה לא רק ישמור על היישום הרגיל של פונקציית זיהוי הבטיחות של התקן הבטיחות, אלא גם יפחית את הזרימה הלא יעילה של ציוד הבטיחות להתמודדות עם הלחץ; במקביל, "רשת מעקף מוטבע" יכול לזהות את מצב העבודה של התקן הבטיחות בזמן אמת. התקן הבטיחות פועל באופן חריג ועוקף את תעבורת הנתונים ישירות כדי למנוע שיבושים בשירות הרשת.

3.4 הגנה טורית מאוזנת עומסים

"עקיפת הרשת המוטבעת" של Mylinking™‎ נפרסת בטור בין התקני רשת (נתבים, מתגים וכו'). כאשר ביצועי עיבוד של IPS/FW יחיד אינם מספיקים כדי להתמודד עם תעבורת שיא של קישורי רשת, פונקציית איזון עומסי התעבורה של המגן, "איחוד" של תעבורת קישורי רשת מרובים של עיבוד אשכולות IPS/FW, יכולה להפחית ביעילות את לחץ העיבוד של IPS/FW יחיד, לשפר את ביצועי העיבוד הכוללים כדי לעמוד בדרישות רוחב הפס הגבוה של סביבת הפריסה.
ל-Mylinking™ "Network Inline Bypass" פונקציית איזון עומסים חזקה, בהתאם לתג VLAN של המסגרת, מידע MAC, מידע IP, מספר פורט, פרוטוקול ומידע נוסף על פיזור איזון עומסי ה-Hash של התעבורה כדי להבטיח שכל IPS/FW מקבל זרימת נתונים שלמות סשן.

3.5 הגנה מפני גרימת זרימה בציוד מרוב סדרות (שינוי חיבור טורי לחיבור מקבילי)
בכמה קישורים מרכזיים (כגון שקעי אינטרנט, קישורי חילופי שרתים), מיקום הרשת נובע לעיתים קרובות מצורך בתכונות אבטחה ופריסת ציוד בדיקת אבטחה מרובים בקו (כגון חומת אש, ציוד נגד התקפות DDOS, חומת אש של יישומי WEB, ציוד למניעת חדירות וכו'), כאשר ציוד גילוי אבטחה מרובים בו זמנית בטור על הקישור מגדיל את נקודת הכשל היחידה, מה שמפחית את האמינות הכוללת של הרשת. ובפריסת ציוד האבטחה המקוונת הנזכרת לעיל, שדרוגי ציוד, החלפת ציוד ופעולות אחרות, יגרמו להפרעות שירות ארוכות טווח ברשת ולפעולת קיצוץ גדולה יותר של הפרויקט כדי להשלים את היישום המוצלח של פרויקטים כאלה.
על ידי פריסת "עקיפת רשת מוטבעת" באופן מאוחד, ניתן לשנות את מצב הפריסה של מספר התקני אבטחה המחוברים בטור באותו קישור מ"מצב שרשור פיזי" ל"מצב שרשור פיזי, שרשור לוגי". הקישור בנקודת כשל יחידה בקישור משפר את אמינות הקישור, בעוד ש"עקיפת רשת מוטבעת" בקישור מפעילה משיכה לפי דרישה, כדי להשיג את אותה זרימה עם אפקט העיבוד הבטוח המקורי.

יותר מהתקן אבטחה אחד בו זמנית בתרשים פריסה טורי:

תרשים פריסת מתג מעקף רשת מוטבע:

3.6 מבוסס על האסטרטגיה הדינמית של הגנה מפני גילוי אבטחת אחיזת תנועה
"עקיפת רשת מוטבעת" תרחיש יישום מתקדם נוסף מבוסס על האסטרטגיה הדינמית של יישומי הגנה מפני זיהוי תנועה, פריסת הדרך כפי שמוצג להלן:

קחו לדוגמה את ציוד בדיקת האבטחה "הגנה וגילוי מפני התקפות DDoS", באמצעות פריסה חזיתית של "רשת מעקפת מוטבעת" ולאחר מכן ציוד הגנה מפני DDoS, ולאחר מכן חיבור ל-"רשת מעקפת מוטבעת", ב-"מגן משיכה" הרגיל, "מגן משיכה" כדי להעביר את מלוא כמות התעבורה במהירות חוטית, ובמקביל לפלט את זרימת המראה ל"התקן הגנה מפני התקפות DDOS". לאחר זיהוי כתובת IP של שרת (או מקטע IP של רשת) לאחר ההתקפה, התקן הגנה מפני התקפות DDOS ייצור את כללי התאמת זרימת התעבורה היעד וישלח אותם ל"רשת מעקפת מוטבעת" דרך ממשק מסירת מדיניות דינמית. "רשת מעקפת מוטבעת" יכולה לעדכן את "דינמיקת משיכת התעבורה" לאחר קבלת מאגר כללי המדיניות הדינמיים, "ולמשוך מיד" את תעבורת השרת לציוד "הגנה וגילוי מפני התקפות DDoS" לצורך עיבוד, כדי שיהיה יעיל לאחר ההתקפה וזרימת התעבורה מוזרקת מחדש לרשת.

סכמת היישום המבוססת על "עקיפת רשת מוטבעת" קלה יותר ליישום מאשר הזרקת מסלול BGP מסורתית או סכמת גרירת תנועה אחרת, והסביבה פחות תלויה ברשת והאמינות גבוהה יותר.

"לעקיפת רשת מוטבעת" יש את המאפיינים הבאים לתמיכה בהגנה על זיהוי אבטחה של מדיניות דינמית:
1, "עקיפת רשת מוטבעת" כדי לספק מחוץ לחוקים המבוססים על ממשק WEBSERIVCE, שילוב קל עם התקני אבטחה של צד שלישי.
2, "עקיפת רשת מוטבעת" המבוססת על שבב ASIC טהור בחומרה, המעביר חבילות במהירות חוט של עד 10 ג'יגה-ביט לשנייה מבלי לחסום העברת מתגים, ו"ספריית כללים דינמית למניעת תעבורה" ללא קשר למספר.
3, "עקיפת רשת מוטבעת" פונקציית עקיפה מקצועית מובנית, גם אם המגן עצמו כשל, יכולה לעקוף את הקישור הסידורי המקורי באופן מיידי, מבלי להשפיע על הקישור המקורי של תקשורת רגילה.