Mylinking™ Network Tap Bypass Switch ML-BYPASS-200
2*Bypass plus 1*تصميم معياري للشاشة، وصلات 10/40/100GE، بحد أقصى 640 جيجابت في الثانية
1-نظرات عامة
من خلال نشر Mylinking™ Smart Bypass Switch:
- يمكن للمستخدمين تثبيت/إلغاء تثبيت معدات الأمان بمرونة ولن يؤثر ذلك على الشبكة الحالية أو يقاطعها؛
- Mylinking™ Network Tap Bypass Switch مع وظيفة الكشف عن الصحة الذكية للمراقبة في الوقت الفعلي لحالة العمل العادية لجهاز الأمان التسلسلي، بمجرد عمل جهاز الأمان التسلسلي بشكل استثنائي، ستتجاوز الحماية تلقائيًا للحفاظ على اتصال الشبكة العادي؛
- يمكن استخدام تكنولوجيا حماية حركة المرور الانتقائية لنشر معدات أمان محددة لتنظيف حركة المرور، وتكنولوجيا التشفير القائمة على معدات التدقيق. تنفيذ حماية الوصول التسلسلي بشكل فعال لنوع حركة المرور المحدد، وتفريغ ضغط معالجة التدفق لجهاز السلسلة؛
- يمكن استخدام تقنية حماية حركة المرور المتوازنة للنشر المجمع للأجهزة التسلسلية الآمنة لتلبية الحاجة إلى الأمان التسلسلي في بيئات النطاق الترددي العالي.
مع التطور السريع للإنترنت، أصبح تهديد أمن معلومات الشبكة أكثر خطورة، لذلك يتم استخدام مجموعة متنوعة من تطبيقات حماية أمن المعلومات على نطاق واسع. سواء كان ذلك عبارة عن معدات تقليدية للتحكم في الوصول (جدار الحماية) أو نوع جديد من وسائل الحماية الأكثر تقدمًا مثل نظام منع التطفل (IPS)، ومنصة إدارة التهديدات الموحدة (UTM)، ونظام هجوم خدمة مكافحة الإنكار (Anti-DDoS)، ومكافحة- يتم نشر بوابة النطاق ونظام تحديد ومراقبة حركة المرور الموحد DPI والعديد من الأجهزة الأمنية بشكل متسلسل في العقد الرئيسية للشبكة، وتنفيذ سياسة أمان البيانات المقابلة لتحديد حركة المرور القانونية / غير القانونية والتعامل معها. ومع ذلك، في الوقت نفسه، ستؤدي شبكة الكمبيوتر إلى تأخير كبير في الشبكة أو حتى تعطيل الشبكة في حالة الفشل والصيانة والترقية واستبدال المعدات وما إلى ذلك في بيئة تطبيق شبكة إنتاج موثوقة للغاية، لا يمكن للمستخدمين تحملها.
2-الشبكة الحنفية تجاوز التبديل الميزات والتقنيات المتقدمة
وضع الحماية Mylinking™ "SpecFlow" وتقنية وضع الحماية "FullLink".
تقنية حماية التبديل السريع Mylinking™
تقنية Mylinking™ "LinkSafeSwitch".
Mylinking™ "WebService" إعادة توجيه الإستراتيجية الديناميكية/تقنية الإصدار
تقنية Mylinking™ الذكية للكشف عن رسائل نبضات القلب
تقنية رسائل نبضات القلب القابلة للتحديد Mylinking™
تقنية Mylinking™ لموازنة التحميل متعدد الارتباطات
تقنية Mylinking™ الذكية لتوزيع حركة المرور
تقنية Mylinking™ لموازنة التحميل الديناميكي
تقنية Mylinking™ للإدارة عن بعد (HTTP/WEB، TELNET/SSH، خاصية "EasyConfig/AdvanceConfig")
3- دليل تكوين مفتاح تجاوز الشبكة
تجاوزفتحة وحدة منفذ الحماية:
يمكن إدراج هذه الفتحة في وحدة منفذ الحماية BYPASS برقم مختلف للسرعة/المنفذ. من خلال استبدال أنواع مختلفة من الوحدات، يمكنه دعم حماية BYPASS لوصلات 10G/40G/100G المتعددة.
شاشةفتحة وحدة المنفذ؛
يمكن إدخال هذه الفتحة في وحدة منفذ MONITOR بسرعات/منافذ مختلفة. يمكن أن يدعم نشر جهاز المراقبة التسلسلي عبر الإنترنت بوصلة 10G/40G/100G المتعددة عن طريق استبدال نماذج مختلفة.
قواعد اختيار الوحدة
استنادًا إلى الروابط المنشورة المختلفة ومتطلبات نشر معدات المراقبة، يمكنك اختيار تكوينات مختلفة للوحدات النمطية بمرونة لتلبية احتياجات البيئة الفعلية الخاصة بك؛ يرجى اتباع القواعد التالية عند الاختيار:
1. مكونات الهيكل إلزامية ويجب عليك تحديد مكونات الهيكل قبل تحديد أي وحدات أخرى. وفي الوقت نفسه، يرجى اختيار طرق مختلفة لإمداد الطاقة (AC/DC) وفقًا لاحتياجاتك.
2. يدعم الجهاز بأكمله ما يصل إلى فتحتين لوحدة BYPASS وفتحة وحدة MONITOR واحدة؛ لا يمكنك تحديد أكثر من عدد الفتحات التي تريد تكوينها. استنادًا إلى مجموعة عدد الفتحات ونموذج الوحدة، يمكن للجهاز أن يدعم ما يصل إلى أربع وسائل حماية لوصلات 10GE؛ أو يمكنه دعم ما يصل إلى أربعة روابط 40GE؛ أو يمكنه دعم ما يصل إلى رابط 100GE واحد.
3. لا يمكن إدخال نموذج الوحدة "BYP-MOD-L1CG" إلا في SLOT1 ليعمل بشكل صحيح.
4. لا يمكن إدخال نوع الوحدة "BYP-MOD-XXX" إلا في فتحة وحدة BYPASS؛ لا يمكن إدخال نوع الوحدة "MON-MOD-XXX" إلا في فتحة وحدة MONITOR للتشغيل العادي.
| نموذج المنتج | معلمات الوظيفة |
| الهيكل (المضيف) | |
| مل-بايباس-M200 | 1U حامل قياسي مقاس 19 بوصة؛ الحد الأقصى لاستهلاك الطاقة 250 واط؛ مضيف حامي BYPASS المعياري ؛ فتحتان لوحدة BYPASS؛ 1 فتحة وحدة الشاشة؛ التيار المتردد والتيار المستمر اختياري؛ |
| وحدة التجاوز | |
| بي بي بي-MOD-L2XG(لم/سم) | يدعم الحماية التسلسلية للوصلة 10GE ثنائية الاتجاه، واجهة 4*10GE، موصل LC؛ جهاز الإرسال والاستقبال البصري المدمج. رابط بصري فردي/متعدد الأوضاع اختياري، يدعم 10GBASE-SR/ LR؛ |
| بي واي بي-MOD-L2QXG(LM/SM) | يدعم الحماية التسلسلية للوصلة 40GE ثنائية الاتجاه، واجهة 4*40GE، موصل LC؛ جهاز الإرسال والاستقبال البصري المدمج. رابط بصري فردي/متعدد الأوضاع اختياري، يدعم 40GBASE-SR4/ LR4؛ |
| بي واي بي-MOD-L1CG (LM/SM) | يدعم حماية تسلسلية لرابط 100GE بقناة واحدة، واجهة 2*100GE، موصل LC؛ جهاز الإرسال والاستقبال البصري المدمج. رابط بصري متعدد الأوضاع اختياري، يدعم 100GBASE-SR4/LR4؛ |
| وحدة المراقبة | |
| MON-MOD-L16XG | 16 * 10GE SFP + وحدة منفذ المراقبة؛ لا توجد وحدة إرسال واستقبال بصرية؛ |
| مون-MOD-L8XG | 8 * 10GE SFP + وحدة منفذ المراقبة؛ لا توجد وحدة إرسال واستقبال بصرية؛ |
| مون-MOD-L2CG | 2 * 100GE QSFP28 وحدة منفذ المراقبة ؛ لا توجد وحدة إرسال واستقبال بصرية؛ |
| MON-MOD-L8QXG | 8 * 40GE QSFP + وحدة منفذ المراقبة؛ لا توجد وحدة إرسال واستقبال بصرية؛ |
4-مواصفات مفتاح تجاوز الشبكة TAP
| طريقة المنتج | ML-BYPASS-M200 مفتاح التجاوز التسلسلي | |
| نوع الواجهة | واجهة إم جي تي | 1*10/100/1000BASE-T واجهة الإدارة التكيفية؛ دعم إدارة HTTP/IP عن بعد |
| فتحة الوحدة النمطية | 2 * فتحة وحدة BYPASS؛ 1 * فتحة وحدة الشاشة؛ | |
| روابط تدعم الحد الأقصى | يدعم الجهاز الحد الأقصى لروابط 4*10GE أو روابط 4*40GE أو روابط 1*100GE | |
| شاشة | يدعم الجهاز الحد الأقصى لمنافذ المراقبة 16*10GE أو منافذ المراقبة 8*40GE أو منافذ المراقبة 2*100GE؛ | |
| وظيفة | القدرة على المعالجة المزدوجة الكاملة | 640 جيجابت في الثانية |
| استنادًا إلى IP/البروتوكول/المنفذ الخامس، حماية سلسلة حركة المرور المحددة | يدعم | |
| الحماية المتتالية على أساس حركة المرور الكاملة | يدعم | |
| موازنة الأحمال المتعددة | يدعم | |
| وظيفة الكشف عن نبضات القلب المخصصة | يدعم | |
| دعم استقلالية حزمة إيثرنت | يدعم | |
| تجاوز التبديل | يدعم | |
| تجاوز التبديل دون فلاش | يدعم | |
| وحدة التحكم إم جي تي | يدعم | |
| IP/الويب إم جي تي | يدعم | |
| سنمب V1/V2C إم جي تي | يدعم | |
| تلنت/SSH إم جي تي | يدعم | |
| بروتوكول سيسلوغ | يدعم | |
| إذن المستخدم | بناءً على ترخيص كلمة المرور/AAA/TACACS+ | |
| كهربائي | تصنيف الجهد العرض | تيار متردد-220 فولت/تيار مستمر-48 فولت (اختياري) |
| تردد الطاقة المقدرة | 50 هرتز | |
| تصنيف الإدخال الحالي | ايه سي-3 ايه / دي سي-10 ايه | |
| القوة المقدرة | 100 واط | |
| بيئة | درجة حرارة العمل | 0-50 درجة مئوية |
| درجة حرارة التخزين | -20-70 درجة مئوية | |
| رطوبة العمل | 10%-95%، بدون تكثيف | |
| تكوين المستخدم | تكوين وحدة التحكم | واجهة RS232,115200,8,N,1 |
| واجهة MGT خارج النطاق | 1*10/100/1000 متر واجهة إيثرنت | |
| إذن كلمة المرور | يدعم | |
| ارتفاع الهيكل | مساحة الهيكل (U) | 1U 19 بوصة، 485 مم * 44.5 مم * 350 مم |
5-تطبيق تبديل TAP للشبكة (على النحو التالي)
ما يلي هو وضع نشر IPS (نظام منع التطفل) وFW (جدار الحماية) النموذجي، ويتم نشر IPS / FW بشكل متسلسل على أجهزة الشبكة (أجهزة التوجيه والمحولات وما إلى ذلك) بين حركة المرور من خلال تنفيذ عمليات التحقق الأمني، وفقًا لـ تحدد السياسة الأمنية المقابلة إصدار أو حظر حركة المرور المقابلة لتحقيق تأثير الدفاع الأمني.
في الوقت نفسه، يمكننا ملاحظة أن IPS / FW عبارة عن نشر تسلسلي للمعدات، يتم نشرها عادةً في الموقع الرئيسي لشبكة المؤسسة لتنفيذ الأمان التسلسلي، وتؤثر موثوقية أجهزتها المتصلة بشكل مباشر على التوفر العام لشبكة المؤسسة. بمجرد التحميل الزائد للأجهزة التسلسلية، والتعطل، وتحديثات البرامج، وتحديثات السياسة، وما إلى ذلك، سيتأثر توفر شبكة المؤسسة بالكامل بشكل كبير. عند هذه النقطة، نحن فقط من خلال قطع الشبكة، يمكن للتجاوز المادي أن يجعل الشبكة تتم استعادتها، مما يؤثر بشكل خطير على موثوقية الشبكة. يعمل IPS / FW والأجهزة التسلسلية الأخرى من ناحية على تحسين نشر أمان شبكات المؤسسات، ومن ناحية أخرى، يقلل أيضًا من موثوقية شبكات المؤسسات، مما يزيد من مخاطر عدم توفر الشبكة.
5.2 حماية معدات سلسلة الارتباط المضمنة
يتم نشر Mylinking™ "Bypass Switch" بشكل متسلسل بين أجهزة الشبكة (أجهزة التوجيه والمحولات وما إلى ذلك)، ولم يعد تدفق البيانات بين أجهزة الشبكة يؤدي مباشرة إلى IPS/FW، و"Bypass Switch" إلى IPS / FW، عندما يكون IPS / FW بسبب التحميل الزائد والتعطل وتحديثات البرامج وتحديثات السياسة وظروف الفشل الأخرى، فإن "مفتاح التجاوز" من خلال وظيفة الكشف الذكي عن رسائل نبضات القلب للاكتشاف في الوقت المناسب، وبالتالي تخطي الجهاز المعيب، دون مقاطعة فرضية الشبكة، معدات الشبكة السريعة المتصلة مباشرة لحماية شبكة الاتصالات العادية؛ عند استرداد فشل IPS / FW، ولكن أيضًا من خلال اكتشاف حزم نبضات القلب الذكية للكشف عن الوظيفة في الوقت المناسب، والرابط الأصلي لاستعادة أمن عمليات فحص أمان شبكة المؤسسة.
يحتوي Mylinking™ "Bypass Switch" على وظيفة ذكية قوية للكشف عن رسائل نبضات القلب، ويمكن للمستخدم تخصيص الفاصل الزمني لنبضات القلب والحد الأقصى لعدد مرات إعادة المحاولة، من خلال رسالة نبضات قلب مخصصة على IPS / FW للاختبار الصحي، مثل إرسال رسالة فحص نبضات القلب إلى المنفذ العلوي / السفلي لـ IPS / FW، ثم الاستلام من المنفذ العلوي / السفلي لـ IPS / FW، والحكم على ما إذا كان IPS / FW يعمل بشكل طبيعي عن طريق إرسال واستقبال رسالة نبضات القلب.
5.3 سياسة "SpecFlow" لحماية سلسلة الجر المضمنة
عندما يحتاج جهاز شبكة الأمان فقط إلى التعامل مع حركة مرور محددة في الحماية الأمنية المتسلسلة، من خلال وظيفة حركة المرور لكل معالجة Mylinking™ "Bypass Switch"، من خلال استراتيجية فحص حركة المرور لتوصيل حركة المرور "المعنية" بجهاز الأمان، يتم إعادة حركة المرور مباشرة مرة أخرى إلى رابط الشبكة، و"قسم المرور المعني" هو الجر إلى جهاز الأمان الموجود في الخط لإجراء فحوصات السلامة. وهذا لن يحافظ فقط على التطبيق الطبيعي لوظيفة الكشف عن السلامة لجهاز السلامة، ولكن أيضًا يقلل من التدفق غير الفعال لمعدات السلامة للتعامل مع الضغط؛ في الوقت نفسه، يمكن لـ "مفتاح الالتفافية" اكتشاف حالة عمل جهاز الأمان في الوقت الفعلي. يعمل جهاز الأمان بشكل غير طبيعي على تجاوز حركة البيانات مباشرة لتجنب انقطاع خدمة الشبكة.
يمكن لـ Mylinking™ Traffic Bypass Protector تحديد حركة المرور بناءً على معرف رأس طبقة L2-L4، مثل علامة VLAN وعنوان MAC المصدر / الوجهة وعنوان IP المصدر ونوع حزمة IP ومنفذ بروتوكول طبقة النقل وعلامة مفتاح رأس البروتوكول وما إلى ذلك على. يمكن تعريف مجموعة متنوعة من الشروط المطابقة المرنة بمرونة لتحديد أنواع حركة المرور المحددة التي تهم جهاز أمان معين ويمكن استخدامها على نطاق واسع لنشر أجهزة تدقيق الأمان الخاصة (RDP، SSH، تدقيق قاعدة البيانات، وما إلى ذلك) .
5.4 تحميل حماية السلسلة المتوازنة
يتم نشر Mylinking™ "Bypass Switch" بشكل متسلسل بين أجهزة الشبكة (أجهزة التوجيه والمحولات وما إلى ذلك). عندما لا يكون أداء معالجة IPS / FW واحدًا كافيًا للتعامل مع ذروة حركة مرور ارتباط الشبكة، فإن وظيفة موازنة تحميل حركة المرور الخاصة بالحامي، و"تجميع" حركة مرور وصلة شبكة معالجة مجموعة IPS / FW المتعددة، يمكن أن تقلل بشكل فعال من IPS / FW الفردي. يعمل ضغط معالجة FW على تحسين أداء المعالجة الإجمالي لتلبية النطاق الترددي العالي لمطالبة بيئة النشر.
يتمتع Mylinking™ "Bypass Switch" بوظيفة موازنة تحميل قوية، وفقًا لعلامة الإطار VLAN ومعلومات MAC ومعلومات IP ورقم المنفذ والبروتوكول وغيرها من المعلومات حول توزيع موازنة تحميل التجزئة لحركة المرور لضمان تلقي كل IPS / FW للبيانات سلامة جلسة التدفق.
5.5 حماية جر تدفق المعدات المضمنة متعددة السلاسل (تغيير الاتصال التسلسلي إلى الاتصال المتوازي)
في بعض الروابط الرئيسية (مثل منافذ الإنترنت، وصلة تبادل منطقة الخادم) غالبًا ما يكون الموقع بسبب احتياجات ميزات الأمان ونشر العديد من معدات اختبار الأمان المضمنة (مثل جدار الحماية، ومعدات هجوم مكافحة DDOS، وجدار حماية تطبيقات الويب ، معدات منع التسلل، وما إلى ذلك)، معدات كشف أمنية متعددة في نفس الوقت في سلسلة على الرابط لزيادة الارتباط بنقطة فشل واحدة، مما يقلل من الموثوقية الإجمالية للشبكة. وفي نشر المعدات الأمنية المذكورة أعلاه عبر الإنترنت، سيؤدي تحديث المعدات واستبدال المعدات والعمليات الأخرى إلى انقطاع خدمة الشبكة لفترة طويلة وإجراء قطع أكبر للمشروع لإكمال التنفيذ الناجح لمثل هذه المشاريع.
من خلال نشر "مفتاح التجاوز" بطريقة موحدة، يمكن تغيير وضع نشر أجهزة الأمان المتعددة المتصلة في سلسلة على نفس الرابط من "وضع التسلسل الفعلي" إلى "التسلسل المادي، وضع التسلسل المنطقي" الرابط الموجود على رابط نقطة فشل واحدة لتحسين موثوقية الارتباط، في حين أن "مفتاح الالتفافية" على الرابط يتدفق عند الجر الطلب، لتحقيق نفس التدفق مع الوضع الأصلي لتأثير المعالجة الآمنة.
أكثر من جهاز أمان في نفس الوقت في مخطط النشر المتسلسل:
مخطط نشر محول تجاوز شبكة Mylinking™ TAP:
5.6 استنادًا إلى الإستراتيجية الديناميكية لحماية الكشف الأمني عن الجر المروري
"Bypass Switch" يعتمد سيناريو تطبيق متقدم آخر على الإستراتيجية الديناميكية لتطبيقات حماية الكشف عن أمان الجر المروري، ونشر الطريقة كما هو موضح أدناه:
خذ على سبيل المثال معدات اختبار الأمان "الحماية من هجمات DDoS والكشف عنها" من خلال نشر الواجهة الأمامية لـ "Bypass Switch" ثم معدات الحماية ضد DDOS ثم توصيلها بـ "Bypass Switch"، بالطريقة المعتادة. واقي الجر "إلى المقدار الكامل من إعادة توجيه سرعة سلك المرور في نفس الوقت الذي يتم فيه إخراج مرآة التدفق إلى" جهاز الحماية من هجوم مكافحة DDOS "، بمجرد اكتشاف عنوان IP للخادم (أو شريحة شبكة IP) بعد الهجوم" - جهاز الحماية من هجمات DDOS "سيقوم بإنشاء قواعد مطابقة تدفق حركة المرور المستهدفة وإرسالها إلى" Bypass Switch "من خلال واجهة تسليم السياسة الديناميكية. يمكن لـ "Bypass Switch" تحديث "ديناميكية جر حركة المرور" بعد تلقي قواعد السياسة الديناميكية لتجمع القواعد "وعلى الفور" تضغط قاعدة "حركة مرور خادم الهجوم" على معدات "الحماية والكشف عن هجمات DDoS" للمعالجة. فعالة بعد تدفق الهجوم ومن ثم إعادة حقنها في الشبكة.
يعد مخطط التطبيق القائم على "Bypass Switch" أسهل في التنفيذ من حقن مسار BGP التقليدي أو مخطط جر حركة المرور الآخر، كما أن البيئة أقل اعتمادًا على الشبكة والموثوقية أعلى.
يتمتع "Bypass Switch" بالخصائص التالية لدعم الحماية الديناميكية للكشف عن أمان السياسة:
1، "Bypass Switch" لتوفير قواعد خارجية تعتمد على واجهة WEBSERIVCE، وسهولة التكامل مع أجهزة الأمان التابعة لجهات خارجية.
2، "مفتاح تجاوز" يعتمد على شريحة ASIC النقية للأجهزة التي تقوم بإعادة توجيه ما يصل إلى 10 جيجابت في الثانية من حزم السرعة السلكية دون حظر إعادة توجيه التبديل، و"مكتبة القواعد الديناميكية لجر حركة المرور" بغض النظر عن العدد.
3، "Bypass Switch" المدمج في وظيفة BYPASS الاحترافية، حتى لو فشل الحامي نفسه، يمكنه أيضًا تجاوز الرابط التسلسلي الأصلي على الفور، ولا يؤثر على الرابط الأصلي للاتصال العادي.
