نقاط الوصول إلى الشبكة النشطة Mylinking™ مع وحدة تجاوز 10/40/100G
تصميم معياري مزود بـ 2 منفذ تجاوز بالإضافة إلى منفذ مراقبة واحد، وصلات 10/40/100 جيجابت إيثرنت، سرعة قصوى 640 جيجابت في الثانية
يعتمد تقدمنا على المنتجات المتطورة، والكفاءات المتميزة، والتقنيات المتطورة باستمرار لأجهزة Mylinking™ Active Network Bypass TAPs المزودة بوحدة تجاوز 10/40/100G. لمزيد من الاستفسارات، لا تترددوا في التواصل معنا. شكرًا لكم، فدعمكم يُلهمنا باستمرار.
يعتمد تقدمنا على المنتجات المتطورة، والمواهب الرائعة، والقوى التكنولوجية المتنامية باستمرار لـصنبور تحويل 10/40/100G, النقر النشط, صنابير التجاوز, منفذ إيثرنت, الوصول إلى الشبكةنتطلع إلى التواصل معكم، سواء كنتم من عملائنا الدائمين أو الجدد. نأمل أن تجدوا ما تبحثون عنه هنا، وإن لم تجدوه، يُرجى التواصل معنا فورًا. نفخر بتقديم خدمة عملاء ممتازة واستجابة سريعة. شكرًا لكم على ثقتكم ودعمكم!
نظرة عامة
تم بحث وتطوير مفتاح تجاوز التنصت الشبكي Mylinking™ ليتم استخدامه في النشر المرن لأنواع مختلفة من معدات الأمان المدمجة مع توفير موثوقية عالية للشبكة.
عن طريق نشر مفتاح التجاوز الذكي Mylinking™:
- يمكن للمستخدمين تثبيت/إزالة معدات/أدوات الأمان بمرونة ولن يؤثر ذلك على الشبكة الحالية أو يعطلها؛
- مفتاح تجاوز التنصت الشبكي Mylinking™ مزود بوظيفة الكشف الذكي عن الحالة الصحية لمراقبة حالة التشغيل الطبيعية لأجهزة الأمان المدمجة في الوقت الفعلي. في حال حدوث أي خلل في عمل أجهزة الأمان المدمجة، يتم تجاوز وظيفة الحماية تلقائيًا للحفاظ على اتصال الشبكة بشكل طبيعي.
- يمكن استخدام تقنية الحماية الانتقائية لحركة المرور لنشر معدات أمنية محددة لتنظيف حركة المرور، وتقنية التشفير القائمة على معدات التدقيق. تُنفذ هذه التقنية بفعالية حماية الوصول المباشر لنوع حركة المرور المحدد، مما يخفف ضغط معالجة التدفق على الجهاز المدمج.
- يمكن استخدام تقنية حماية حركة المرور المتوازنة الأحمال لنشر أجهزة الأمان التسلسلية المضمنة بشكل مجمع لتلبية متطلبات الأمان المضمن في بيئات النطاق الترددي العالي.
ميزات وتقنيات متقدمة لمفتاح تجاوز التنصت على الشبكة
وضع الحماية "SpecFlow" ووضع الحماية "FullLink" من Mylinking™
حماية التبديل السريع Mylinking™
Mylinking™ "LinkSafeSwitch"
خدمة Mylinking™ "WebService" لإعادة توجيه/إصدار استراتيجية ديناميكية
تقنية Mylinking™ الذكية لاكتشاف رسائل نبضات القلب
رسائل نبضات القلب القابلة للتحديد من Mylinking™ (حزم نبضات القلب)
موازنة الأحمال متعددة الروابط Mylinking™
نظام توزيع حركة المرور الذكي Mylinking™
موازنة الأحمال الديناميكية Mylinking™
تقنية الإدارة عن بعد Mylinking™ (HTTP/WEB، TELNET/SSH، خاصية "EasyConfig/AdvanceConfig")
دليل التكوين الاختياري لمفتاح تجاوز الشبكة
وحدة التجاوزفتحة وحدة منفذ الحماية:
يمكن إدخال هذه الفتحة في وحدة منفذ الحماية BYPASS ذات سرعات/أرقام منافذ مختلفة. ومن خلال استبدال أنواع مختلفة من الوحدات، يمكنها دعم متطلبات الحماية BYPASS لوصلات متعددة بسرعة 10 جيجابت/40 جيجابت/100 جيجابت.
وحدة المراقبةفتحة وحدة المنفذ؛
يمكن إدخال وحدة المراقبة في هذه الفتحة بسرعات ومنافذ مختلفة. كما تدعم وصلات متعددة بسرعة 10/40/100 جيجابت في الثانية لنشر أجهزة مراقبة تسلسلية مضمنة عن طريق استبدال الوحدات المختلفة.
قواعد اختيار الوحدة
بناءً على الروابط المنشورة المختلفة ومتطلبات نشر معدات المراقبة، يمكنك اختيار تكوينات وحدات مختلفة بمرونة لتلبية متطلبات بيئتك الفعلية؛ يرجى اتباع القواعد التالية أثناء اختيار الوحدة:
١. مكونات الهيكل إلزامية، ويجب عليك اختيارها قبل اختيار أي وحدات أخرى. في الوقت نفسه، يُرجى اختيار طرق تزويد الطاقة المختلفة (تيار متردد/تيار مستمر) وفقًا لاحتياجاتك.
٢. يدعم الجهاز بالكامل ما يصل إلى فتحتين لوحدات التجاوز وفتحة واحدة لوحدة المراقبة؛ ولا يمكنك اختيار عدد فتحات أكثر من العدد المحدد للتكوين. بناءً على عدد الفتحات ونوع الوحدة، يمكن للجهاز دعم ما يصل إلى أربع حماية لوصلات 10 جيجابت إيثرنت؛ أو ما يصل إلى أربع وصلات 40 جيجابت إيثرنت؛ أو ما يصل إلى وصلة واحدة 100 جيجابت إيثرنت.
3. لا يمكن إدخال نموذج الوحدة النمطية "BYP-MOD-L1CG" إلا في الفتحة 1 لكي تعمل بشكل صحيح.
4. لا يمكن إدخال نوع الوحدة النمطية "BYP-MOD-XXX" إلا في فتحة وحدة التجاوز؛ ولا يمكن إدخال نوع الوحدة النمطية "MON-MOD-XXX" إلا في فتحة وحدة المراقبة للتشغيل العادي.
| نموذج المنتج | معلمات الدالة |
| الهيكل (المضيف) | |
| ML-BYPASS-M100 | وحدة تثبيت قياسية 1U مقاس 19 بوصة؛ أقصى استهلاك للطاقة 250 واط؛ وحدة حماية BYPASS معيارية؛ فتحتان لوحدة BYPASS؛ فتحة واحدة لوحدة MONITOR؛ التيار المتردد والتيار المستمر اختياريان؛ |
| وحدة التجاوز | |
| BYP-MOD-L2XG(LM/SM) | يدعم الحماية التسلسلية للوصلة 10GE ثنائية الاتجاه، واجهة 4*10GE، موصل LC؛ جهاز إرسال واستقبال ضوئي مدمج؛ وصلة ضوئية أحادية/متعددة الأوضاع اختيارية، يدعم 10GBASE-SR/LR؛ |
| BYP-MOD-L2QXG(LM/SM) | يدعم الحماية التسلسلية للوصلة 40GE ثنائية الاتجاه، واجهة 4*40GE، موصل LC؛ جهاز إرسال واستقبال ضوئي مدمج؛ وصلة ضوئية أحادية/متعددة الأوضاع اختيارية، يدعم 40GBASE-SR4/LR4؛ |
| BYP-MOD-L1CG (LM/SM) | يدعم حماية تسلسلية لوصلة 100GE لقناة واحدة، وواجهة 2*100GE، وموصل LC؛ وجهاز إرسال واستقبال ضوئي مدمج؛ ورابط ضوئي أحادي متعدد الأوضاع اختياري، ويدعم 100GBASE-SR4/LR4؛ |
| وحدة المراقبة | |
| MON-MOD-L16XG | وحدة منفذ مراقبة SFP+ 16*10GE؛ لا توجد وحدة إرسال واستقبال ضوئية؛ |
| MON-MOD-L8XG | وحدة منفذ مراقبة 8*10GE SFP+؛ لا توجد وحدة إرسال واستقبال ضوئية؛ |
| MON-MOD-L2CG | وحدة منفذ مراقبة 2*100GE QSFP28؛ لا توجد وحدة إرسال واستقبال ضوئية؛ |
| MON-MOD-L8QXG | 8* وحدة منفذ مراقبة 40GE QSFP+؛ لا توجد وحدة إرسال واستقبال ضوئية؛ |
مواصفات مفتاح تجاوز الشبكة TAP
| طريقة المنتج | مفتاح تجاوز التنصت الشبكي المدمج ML-BYPASS-M100 | |
| نوع الواجهة | واجهة الإدارة | واجهة إدارة تكيفية 1*10/100/1000BASE-T؛ تدعم الإدارة عن بُعد عبر HTTP/IP |
| فتحة الوحدة | فتحتان لوحدة التجاوز؛ فتحة واحدة لوحدة المراقبة؛ | |
| روابط تدعم أقصى قدر | يدعم الجهاز بحد أقصى 4 روابط بسرعة 10 جيجابت في الثانية أو 4 روابط بسرعة 40 جيجابت في الثانية أو رابط واحد بسرعة 100 جيجابت في الثانية | |
| يراقب | يدعم الجهاز ما يصل إلى 16 منفذ مراقبة بسرعة 10 جيجابت في الثانية، أو 8 منافذ مراقبة بسرعة 40 جيجابت في الثانية، أو منفذي مراقبة بسرعة 100 جيجابت في الثانية؛ | |
| وظيفة | قدرة المعالجة المزدوجة الكاملة | 640 جيجابت في الثانية |
| حماية متسلسلة لحركة المرور بناءً على بروتوكول IP/البروتوكول/المنفذ (خمسة عناصر محددة) | مدعوم | |
| حماية متسلسلة تعتمد على حركة المرور الكاملة | مدعوم | |
| موازنة الأحمال المتعددة | مدعوم | |
| وظيفة مخصصة للكشف عن نبضات القلب | مدعوم | |
| دعم استقلالية حزمة إيثرنت | مدعوم | |
| مفتاح التجاوز | مدعوم | |
| مفتاح التجاوز بدون وميض | مدعوم | |
| إدارة وحدة التحكم | مدعوم | |
| إدارة IP/الويب | مدعوم | |
| إدارة SNMP الإصدار 1/الإصدار 2C | مدعوم | |
| إدارة TELNET/SSH | مدعوم | |
| بروتوكول SYSLOG | مدعوم | |
| تفويض المستخدم | يعتمد على تفويض كلمة المرور/AAA/TACACS+ | |
| كهربائي | جهد التغذية المقنن | تيار متردد 220 فولت / تيار مستمر 48 فولت (اختياري) |
| تردد الطاقة المقنن | 50 هرتز | |
| تيار الإدخال المقنن | تيار متردد 3 أمبير / تيار مستمر 10 أمبير | |
| القدرة المقدرة | 100 واط | |
| بيئة | درجة حرارة التشغيل | 0-50 درجة مئوية |
| درجة حرارة التخزين | -20-70 درجة مئوية | |
| رطوبة التشغيل | 10%-95%، بدون تكثف | |
| إعدادات المستخدم | تهيئة وحدة التحكم | واجهة RS232، 115200، 8، N، 1 |
| واجهة إدارة خارج النطاق | واجهة إيثرنت واحدة بسرعة 10/100/1000 ميجابت في الثانية | |
| تفويض كلمة المرور | مدعوم | |
| ارتفاع الهيكل | مساحة الهيكل (U) | 1U 19 بوصة، 485 مم × 44.5 مم × 350 مم |
تطبيق مفتاح تجاوز الشبكة TAP (كما يلي)
5.1 مخاطر معدات الأمان المدمجة (IPS / FW)
فيما يلي نموذج نموذجي لنمط نشر نظام منع الاختراق (IPS) وجدار الحماية (FW)، حيث يتم نشر نظام منع الاختراق / جدار الحماية كمعدات شبكة مضمنة (مثل أجهزة التوجيه والمحولات وما إلى ذلك) بين حركة المرور من خلال تنفيذ عمليات التحقق الأمني، وفقًا لسياسة الأمان المقابلة لتحديد السماح أو حظر حركة المرور المقابلة، وذلك لتحقيق تأثير الدفاع الأمني.
في الوقت نفسه، يمكننا اعتبار نظام منع الاختراق (IPS) وجدار الحماية (FW) من الأجهزة المدمجة في الشبكة، حيث يتم نشرهما عادةً في المواقع الرئيسية لشبكة المؤسسة لتطبيق إجراءات أمنية مدمجة. وتؤثر موثوقية الأجهزة المتصلة بهما بشكل مباشر على توافر شبكة المؤسسة ككل. فعندما تتعرض أجهزة الأمان المدمجة للحمل الزائد، أو التعطل، أو تحديثات البرامج، أو تحديثات السياسات، وما إلى ذلك، سيتأثر توافر شبكة المؤسسة بشكل كبير. في هذه الحالة، لا يمكننا استعادة الشبكة إلا من خلال قطع الاتصال أو استخدام وصلة تجاوز مادية، ولكن هذا يؤثر بشكل خطير على موثوقية الشبكة. من ناحية، يُحسّن نظام منع الاختراق (IPS) وجدار الحماية (FW) والأجهزة المدمجة الأخرى من نشر أمان شبكة المؤسسة، ولكن من ناحية أخرى، يُقلل من موثوقية شبكات المؤسسة، مما يزيد من خطر انقطاع الشبكة.
5.2 حماية معدات سلسلة الوصلات المضمنة
يتم نشر "مفتاح التجاوز" من Mylinking™ كحلقة وصل بين أجهزة الشبكة (أجهزة التوجيه، والمحولات، وما إلى ذلك)، بحيث لا يمر تدفق البيانات بين أجهزة الشبكة مباشرةً عبر نظام منع الاختراق (IPS) أو جدار الحماية (FW). يقوم "مفتاح التجاوز" بتجاوز نظام منع الاختراق/جدار الحماية، وعندما يحدث عطل في نظام منع الاختراق/جدار الحماية نتيجةً للحمل الزائد، أو الأعطال، أو تحديثات البرامج، أو تحديثات السياسات، أو غيرها من حالات الفشل، يقوم "مفتاح التجاوز" بالكشف عن الجهاز المعطل في الوقت المناسب من خلال وظيفة الكشف الذكي عن رسائل نبضات القلب، وبالتالي يتجاوز الجهاز المعطل، دون انقطاع الشبكة، مما يسمح بتوصيل أجهزة الشبكة مباشرةً بسرعة لحماية شبكة الاتصال الطبيعية. عند استعادة نظام منع الاختراق/جدار الحماية من الفشل، يقوم "مفتاح التجاوز" أيضًا بالكشف عن حزم نبضات القلب في الوقت المناسب، لاستعادة الاتصال الأصلي وفحص أمان شبكة المؤسسة.
يحتوي Mylinking™ "Bypass Switch" على وظيفة قوية وذكية للكشف عن رسائل نبضات القلب، ويمكن للمستخدم تخصيص فاصل نبضات القلب والحد الأقصى لعدد المحاولات، من خلال رسالة نبضات قلب مخصصة على IPS / FW لاختبار الصحة، مثل إرسال رسالة فحص نبضات القلب إلى منفذ المنبع / المصب لـ IPS / FW، ثم استقبالها من منفذ المنبع / المصب لـ IPS / FW، والحكم على ما إذا كان IPS / FW يعمل بشكل طبيعي عن طريق إرسال واستقبال رسالة نبضات القلب.
5.3 حماية سلسلة الجر المضمنة لتدفق سياسة "SpecFlow"
عندما يحتاج جهاز شبكة الأمان فقط إلى معالجة حركة مرور محددة ضمن سلسلة الحماية الأمنية، فإنه يستخدم وظيفة معالجة حركة المرور "مفتاح تجاوز اعتراض الشبكة" في Mylinking™، حيث يتم من خلال استراتيجية فحص حركة المرور، إعادة توجيه حركة المرور "المعنية" مباشرةً إلى وصلة الشبكة، ثم يتم توجيه "جزء حركة المرور المعني" إلى جهاز الأمان المدمج لإجراء فحوصات السلامة. هذا لا يحافظ فقط على التشغيل الطبيعي لوظيفة كشف السلامة في جهاز الأمان، بل يقلل أيضًا من الضغط على تدفق البيانات غير الفعال في معدات الأمان. في الوقت نفسه، يستطيع "مفتاح تجاوز اعتراض الشبكة" اكتشاف حالة عمل جهاز الأمان في الوقت الفعلي. في حال عمل جهاز الأمان بشكل غير طبيعي، يتم تجاوز حركة البيانات مباشرةً لتجنب انقطاع خدمة الشبكة.
تستطيع وحدة Mylinking™ Inline Traffic Bypass Tap تحديد حركة البيانات بناءً على مُعرّف رأس الطبقة الثانية إلى الرابعة (L2-L4)، مثل علامة VLAN، وعنوان MAC المصدر/الوجهة، وعنوان IP المصدر، ونوع حزمة IP، ومنفذ بروتوكول طبقة النقل، وعلامة مفتاح رأس البروتوكول، وما إلى ذلك. ويمكن تعريف مجموعة متنوعة من شروط المطابقة بمرونة لتحديد أنواع حركة البيانات المحددة التي تهم جهاز أمان معين، ويمكن استخدامها على نطاق واسع لنشر أجهزة تدقيق أمني متخصصة (RDP، SSH، تدقيق قواعد البيانات، إلخ).
5.4 حماية متسلسلة متوازنة الأحمال
يُستخدم مفتاح تجاوز الشبكة Mylinking™ كوصلة مباشرة بين أجهزة الشبكة (أجهزة التوجيه، والمحولات، وما إلى ذلك). عندما لا يكون أداء معالجة نظام منع التطفل/جدار الحماية الواحد كافيًا للتعامل مع ذروة حركة مرور الشبكة، فإن وظيفة موازنة حمل حركة المرور في هذا المفتاح، والتي تقوم بتجميع حركة مرور الشبكة من خلال معالجة مجموعات متعددة من أنظمة منع التطفل/جدار الحماية، تُقلل بشكل فعال من الضغط على معالجة نظام منع التطفل/جدار الحماية الواحد، مما يُحسّن أداء المعالجة الإجمالي لتلبية متطلبات النطاق الترددي العالي لبيئة النشر.
يتمتع مفتاح تجاوز الشبكة Mylinking™ بوظيفة موازنة الأحمال القوية، حيث يقوم بتوزيع حركة المرور وفقًا لعلامة VLAN الخاصة بالإطار، ومعلومات MAC، ومعلومات IP، ورقم المنفذ، والبروتوكول، وغيرها من المعلومات، لضمان سلامة جلسة تدفق البيانات التي يتلقاها كل IPS / FW.
5.5 حماية جر التدفق للمعدات المضمنة متعددة السلاسل (تغيير التوصيل التسلسلي إلى التوصيل المتوازي)
في بعض الروابط الرئيسية (مثل منافذ الإنترنت، وروابط تبادل منطقة الخادم)، غالبًا ما يكون الموقع غير مناسب نظرًا لمتطلبات ميزات الأمان ونشر العديد من معدات اختبار الأمان المضمنة (مثل جدار الحماية، ومعدات مكافحة هجمات DDoS، وجدار حماية تطبيقات الويب، ونظام منع الاختراق، وما إلى ذلك). يؤدي وجود العديد من معدات الكشف الأمني في نفس الوقت على التوالي على الرابط إلى زيادة احتمالية وجود نقطة فشل واحدة، مما يقلل من الموثوقية الإجمالية للشبكة. وفي عمليات نشر معدات الأمان المذكورة أعلاه، وتحديث المعدات، واستبدالها، وغيرها من العمليات، سيؤدي ذلك إلى انقطاع الخدمة لفترة طويلة، وتقليص حجم المشروع بشكل كبير لإتمام تنفيذ هذه المشاريع بنجاح.
من خلال نشر "مفتاح تجاوز الشبكة" بطريقة موحدة، يمكن تغيير وضع نشر أجهزة الأمان المتعددة المتصلة على التوالي على نفس الرابط من "وضع الربط المادي" إلى "وضع الربط المادي، الربط المنطقي". يعمل هذا المفتاح على تحسين موثوقية الرابط، بينما يقوم "مفتاح التجاوز" بسحب تدفق الرابط عند الطلب، لتحقيق نفس التدفق مع الوضع الأصلي لتأثير المعالجة الآمنة.
أكثر من جهاز أمان واحد في نفس الوقت كما هو موضح في مخطط النشر المضمن:
مخطط نشر مفتاح تجاوز TAP لشبكة Mylinking™:
5.6 استنادًا إلى الاستراتيجية الديناميكية لحماية أمن الجر المروري
"مفتاح تجاوز التنصت على الشبكة" سيناريو تطبيق متقدم آخر يعتمد على الاستراتيجية الديناميكية لتطبيقات الحماية والكشف عن أمان حركة المرور، ويتم نشره بالطريقة الموضحة أدناه:
لنأخذ على سبيل المثال جهاز اختبار الأمان "الحماية من هجمات DDoS وكشفها". من خلال نشر "مفتاح تجاوز اعتراض الشبكة" في الواجهة الأمامية، ثم توصيل جهاز الحماية من هجمات DDoS بمفتاح تجاوز اعتراض الشبكة، يقوم "الحماية من هجمات DDoS" بتوجيه كامل حركة البيانات بسرعة السلك، مع إرسال نسخة طبق الأصل من تدفق البيانات إلى "جهاز الحماية من هجمات DDoS". بمجرد اكتشاف هجوم على عنوان IP لخادم (أو جزء من شبكة IP)، يقوم "جهاز الحماية من هجمات DDoS" بإنشاء قواعد مطابقة لتدفق البيانات المستهدف وإرسالها إلى "مفتاح تجاوز اعتراض الشبكة" عبر واجهة تسليم السياسات الديناميكية. يقوم "مفتاح تجاوز اعتراض الشبكة" بتحديث "تتبع حركة البيانات الديناميكي" بعد استلام قواعد السياسة الديناميكية، ثم يقوم بتوجيه حركة بيانات الخادم المهاجمة فورًا إلى "جهاز الحماية من هجمات DDoS وكشفها" للمعالجة، لتصبح فعالة بعد الهجوم، ثم يتم إعادة حقنها في الشبكة.
إن مخطط التطبيق القائم على "مفتاح تجاوز الشبكة" أسهل في التنفيذ من حقن مسار BGP التقليدي أو مخططات سحب حركة المرور الأخرى، كما أن البيئة أقل اعتمادًا على الشبكة وتكون الموثوقية أعلى.
يتميز "مفتاح تجاوز التنصت الشبكي" بالخصائص التالية لدعم الحماية الديناميكية للكشف عن أمان السياسات:
1- "مفتاح تجاوز التنصت على الشبكة" لتوفير إمكانية تجاوز القواعد القائمة على واجهة خدمة الويب، والتكامل السهل مع أجهزة الأمان التابعة لجهات خارجية.
2، "مفتاح تجاوز شبكة BNetwork Tap" يعتمد على شريحة ASIC نقية للأجهزة تقوم بإعادة توجيه حزم البيانات بسرعة تصل إلى 10 جيجابت في الثانية دون حظر إعادة توجيه المفتاح، و"مكتبة قواعد ديناميكية لجر حركة المرور" بغض النظر عن العدد.
3- "مفتاح تجاوز الشبكة" وظيفة التجاوز الاحترافية المدمجة، حتى في حالة فشل جهاز الحماية نفسه، يمكنه أيضًا تجاوز الرابط التسلسلي الأصلي على الفور، ولا يؤثر على الرابط الأصلي للاتصال الطبيعي.
