مفتاح تجاوز الشبكة Mylinking™ ML-BYPASS-200
تصميم معياري لـ 2 تجاوز بالإضافة إلى 1 شاشة، وصلات 10/40/100 جيجابت، بحد أقصى 640 جيجابت في الثانية
1-نظرة عامة
من خلال نشر Mylinking™ Smart Bypass Switch:
- يمكن للمستخدمين تثبيت/إلغاء تثبيت معدات الأمان بمرونة دون التأثير على الشبكة الحالية أو مقاطعتها؛
- مفتاح تجاوز الشبكة Mylinking™ مع وظيفة الكشف عن الصحة الذكية لمراقبة الحالة التشغيلية الطبيعية لجهاز الأمان التسلسلي في الوقت الفعلي، بمجرد استثناء عمل جهاز الأمان التسلسلي، ستتجاوز الحماية تلقائيًا للحفاظ على الاتصال الطبيعي بالشبكة؛
- يمكن استخدام تقنية حماية حركة المرور الانتقائية لنشر معدات أمنية محددة لتنظيف حركة المرور، وتقنية تشفير تعتمد على معدات التدقيق. تُنفذ بفعالية حماية الوصول التسلسلي لنوع حركة المرور المحدد، مما يُخفف ضغط معالجة التدفق لجهاز التسلسل.
- يمكن استخدام تقنية حماية حركة المرور المتوازنة الحمل لنشر أجهزة تسلسلية آمنة بشكل مجمع لتلبية احتياجات الأمان التسلسلي في بيئات النطاق الترددي العالي.
مع التطور السريع للإنترنت، يتزايد خطر أمن معلومات الشبكة، مما يؤدي إلى استخدام مجموعة متنوعة من تطبيقات حماية أمن المعلومات على نطاق واسع. سواءً كانت معدات التحكم في الوصول التقليدية (جدران الحماية) أو نوعًا جديدًا من وسائل الحماية الأكثر تقدمًا، مثل نظام منع التطفل (IPS)، ومنصة إدارة التهديدات الموحدة (UTM)، ونظام مكافحة هجمات رفض الخدمة (Anti-DDoS)، وبوابة مكافحة الامتداد، ونظام تحديد ومراقبة حركة مرور DPI الموحد، يتم نشر العديد من أجهزة الأمان بشكل متسلسل في عقد الشبكة الرئيسية، وتطبيق سياسة أمن البيانات المقابلة لتحديد ومعالجة حركة المرور القانونية وغير القانونية. في الوقت نفسه، ومع ذلك، في بيئة تطبيقات شبكة إنتاج عالية الموثوقية، ستؤدي شبكة الكمبيوتر إلى تأخير كبير في الشبكة أو حتى انقطاعها في حالة الفشل أو الصيانة أو الترقية أو استبدال المعدات وما إلى ذلك، وهو أمر لا يطاق بالنسبة للمستخدمين.
2-الميزات والتقنيات المتقدمة لمفتاح تجاوز النقر على الشبكة
تقنية وضع الحماية "SpecFlow" و"FullLink" من Mylinking™
تقنية حماية التبديل السريع Mylinking™
تقنية Mylinking™ "LinkSafeSwitch"
تقنية إعادة التوجيه/الإصدار الاستراتيجية الديناميكية "خدمة الويب" من Mylinking™
تقنية الكشف عن رسائل نبضات القلب الذكية Mylinking™
تقنية رسائل نبضات القلب القابلة للتحديد Mylinking™
تقنية موازنة التحميل متعددة الروابط Mylinking™
تقنية توزيع حركة المرور الذكية Mylinking™
تقنية موازنة التحميل الديناميكية Mylinking™
تقنية الإدارة عن بُعد Mylinking™ (HTTP/WEB، TELNET/SSH، خاصية "EasyConfig/AdvanceConfig")
دليل تكوين مفتاح تجاوز الشبكة الثلاثية
تجاوزفتحة وحدة منفذ الحماية:
يمكن إدخال هذه الفتحة في وحدة منفذ حماية تجاوز السرعة بأرقام منافذ مختلفة. من خلال استبدال أنواع مختلفة من الوحدات، يمكنها دعم حماية تجاوز وصلات متعددة بسرعة 10 جيجابت/40 جيجابت/100 جيجابت.
شاشةفتحة وحدة المنفذ؛
يمكن إدخال هذه الفتحة في وحدة منفذ MONITOR بسرعات/منافذ مختلفة. تدعم هذه الفتحة نشر أجهزة مراقبة تسلسلية متعددة عبر الإنترنت بسرعات 10/40/100 جيجابت، وذلك عن طريق استبدال طرز مختلفة.
قواعد اختيار الوحدة
بناءً على الروابط المختلفة المنشورة ومتطلبات نشر معدات المراقبة، يمكنك اختيار تكوينات وحدات مختلفة بمرونة لتلبية احتياجات بيئتك الفعلية؛ يرجى اتباع القواعد التالية عند الاختيار:
١. مكونات الهيكل إلزامية، ويجب عليك اختيارها قبل اختيار أي وحدات أخرى. في الوقت نفسه، يُرجى اختيار طرق إمداد طاقة مختلفة (تيار متردد/تيار مستمر) وفقًا لاحتياجاتك.
٢. يدعم الجهاز بالكامل ما يصل إلى فتحتين لوحدة BYPASS وفتحة واحدة لوحدة MONITOR؛ لا يمكنك اختيار أكثر من عدد الفتحات المراد تكوينها. بناءً على عدد الفتحات وطراز الوحدة، يمكن للجهاز دعم ما يصل إلى أربع وصلات حماية 10GE؛ أو ما يصل إلى أربع وصلات 40GE؛ أو ما يصل إلى وصلة واحدة 100GE.
3. لا يمكن إدخال نموذج الوحدة "BYP-MOD-L1CG" إلا في SLOT1 للعمل بشكل صحيح.
4. لا يمكن إدخال نوع الوحدة "BYP-MOD-XXX" إلا في فتحة وحدة BYPASS؛ ولا يمكن إدخال نوع الوحدة "MON-MOD-XXX" إلا في فتحة وحدة MONITOR للتشغيل العادي.
| نموذج المنتج | معلمات الوظيفة |
| الهيكل (المضيف) | |
| ML-BYPASS-M200 | 1U قياسي 19 بوصة مثبت على الرف؛ أقصى استهلاك للطاقة 250 وات؛ مضيف حماية BYPASS معياري؛ 2 فتحة وحدة BYPASS؛ 1 فتحة وحدة MONITOR؛ تيار متردد ومستمر اختياري؛ |
| وحدة التجاوز | |
| BYP-MOD-L2XG(LM/SM) | يدعم حماية تسلسلية ثنائية الاتجاه 10GE، واجهة 4*10GE، موصل LC؛ جهاز إرسال واستقبال بصري مدمج؛ رابط بصري أحادي/متعدد الأوضاع اختياري، يدعم 10GBASE-SR/ LR؛ |
| BYP-MOD-L2QXG(LM/SM) | يدعم حماية تسلسلية ثنائية الاتجاه 40GE، واجهة 4*40GE، موصل LC؛ جهاز إرسال واستقبال بصري مدمج؛ رابط بصري أحادي/متعدد الأوضاع اختياري، يدعم 40GBASE-SR4/ LR4؛ |
| BYP-MOD-L1CG (LM/SM) | يدعم حماية تسلسلية لرابط 100GE بقناة واحدة، وواجهة 2*100GE، وموصل LC؛ وجهاز إرسال واستقبال بصري مدمج؛ ورابط بصري متعدد الأوضاع اختياري، ويدعم 100GBASE-SR4/LR4؛ |
| وحدة المراقبة | |
| مون-مود-L16XG | وحدة منفذ مراقبة SFP+ 16*10GE؛ لا تحتوي على وحدة إرسال واستقبال بصرية؛ |
| مون-مود-L8XG | وحدة منفذ مراقبة 8*10GE SFP+؛ لا تحتوي على وحدة إرسال واستقبال بصرية؛ |
| مون-مود-L2CG | وحدة منفذ مراقبة QSFP28 2*100GE؛ لا توجد وحدة إرسال واستقبال بصرية؛ |
| مون-مود-L8QXG | وحدة منفذ مراقبة QSFP+ 8* 40GE؛ لا تحتوي على وحدة إرسال واستقبال بصرية؛ |
مواصفات مفتاح تجاوز TAP رباعي الشبكات
| نمط المنتج | مفتاح التجاوز التسلسلي ML-BYPASS-M200 | |
| نوع الواجهة | واجهة الإدارة | 1*10/100/1000BASE-T واجهة إدارة تكيفية؛ تدعم إدارة HTTP/IP عن بعد |
| فتحة الوحدة | 2*فتحة وحدة تجاوز؛ 1*فتحة وحدة مراقبة؛ | |
| روابط تدعم الحد الأقصى | يدعم الجهاز الحد الأقصى من الروابط 4*10GE أو 4*40GE أو 1*100GE | |
| شاشة | يدعم الجهاز الحد الأقصى 16*10GE منافذ مراقبة أو 8*40GE منافذ مراقبة أو 2*100GE منافذ مراقبة؛ | |
| وظيفة | القدرة على معالجة مزدوجة الاتجاه بالكامل | 640 جيجابت في الثانية |
| استنادًا إلى حماية سلسلة حركة مرور محددة لخمسة أزواج من IP/البروتوكول/المنفذ | يدعم | |
| الحماية المتتالية القائمة على حركة المرور الكاملة | يدعم | |
| موازنة الأحمال المتعددة | يدعم | |
| وظيفة الكشف عن ضربات القلب المخصصة | يدعم | |
| دعم استقلال حزمة Ethernet | يدعم | |
| مفتاح التجاوز | يدعم | |
| مفتاح تجاوز بدون فلاش | يدعم | |
| إدارة وحدة التحكم | يدعم | |
| إدارة IP/WEB | يدعم | |
| إدارة SNMP V1/V2C | يدعم | |
| إدارة TELNET/SSH | يدعم | |
| بروتوكول SYSLOG | يدعم | |
| تفويض المستخدم | بناءً على تفويض كلمة المرور/AAA/TACACS+ | |
| كهربائي | جهد الإمداد المقدر | تيار متردد-220 فولت/تيار مستمر-48 فولت【اختياري】 |
| تردد الطاقة المقدر | 50 هرتز | |
| تيار الإدخال المقدر | AC-3A / DC-10A | |
| الطاقة المقدرة | 100 واط | |
| بيئة | درجة حرارة العمل | 0-50 درجة مئوية |
| درجة حرارة التخزين | -20-70 درجة مئوية | |
| رطوبة العمل | 10%-95%، بدون تكاثف | |
| تكوين المستخدم | تكوين وحدة التحكم | واجهة RS232، 115200، 8، N، 1 |
| واجهة إدارة خارج النطاق | واجهة إيثرنت 1*10/100/1000 متر | |
| تفويض كلمة المرور | يدعم | |
| ارتفاع الهيكل | مساحة الهيكل (U) | 1U 19 بوصة، 485 مم × 44.5 مم × 350 مم |
5- تطبيق تبديل تجاوز TAP للشبكة (كما يلي)
فيما يلي وضع نشر IPS (نظام منع التطفل)، FW (جدار الحماية) النموذجي، يتم نشر IPS / FW على التوالي على معدات الشبكة (أجهزة التوجيه، والمفاتيح، وما إلى ذلك) بين حركة المرور من خلال تنفيذ عمليات التحقق الأمنية، وفقًا لسياسة الأمان المقابلة لتحديد إصدار أو حظر حركة المرور المقابلة، لتحقيق تأثير الدفاع الأمني.
في الوقت نفسه، يُمكننا ملاحظة أن نظام IPS/FW عبارة عن نشر تسلسلي للمعدات، وعادةً ما يتم نشره في الموقع الرئيسي لشبكة المؤسسة لتطبيق الأمان التسلسلي، حيث تؤثر موثوقية الأجهزة المتصلة به بشكل مباشر على توافر شبكة المؤسسة بشكل عام. بمجرد زيادة تحميل الأجهزة التسلسلية أو تعطلها أو تحديث البرامج أو تحديثات السياسات وما إلى ذلك، سيتأثر توافر شبكة المؤسسة بالكامل بشكل كبير. في هذه المرحلة، لا يُمكن استعادة الشبكة إلا من خلال قطع الشبكة أو وصلة التجاوز المادية، مما يؤثر بشكل خطير على موثوقية الشبكة. يُحسّن نظام IPS/FW والأجهزة التسلسلية الأخرى من نشر أمان شبكة المؤسسة من ناحية، ومن ناحية أخرى، يُقلل أيضًا من موثوقية شبكات المؤسسة، مما يزيد من خطر عدم توفر الشبكة.
5.2 حماية معدات سلسلة الوصلات المضمنة
يتم نشر Mylinking™ " Bypass Switch " في سلسلة بين أجهزة الشبكة (أجهزة التوجيه، والمفاتيح، وما إلى ذلك)، وتدفق البيانات بين أجهزة الشبكة لم يعد يؤدي مباشرة إلى IPS / FW، " Bypass Switch " إلى IPS / FW، عندما IPS / FW بسبب التحميل الزائد، تعطل، تحديثات البرامج، تحديثات السياسة وغيرها من شروط الفشل، " Bypass Switch " من خلال الكشف عن رسالة نبضات القلب الذكية وظيفة الاكتشاف في الوقت المناسب، وبالتالي تخطي الجهاز الخاطئ، دون مقاطعة فرضية الشبكة، ومعدات الشبكة السريعة المتصلة مباشرة لحماية شبكة الاتصالات العادية؛ عندما فشل IPS / FW التعافي، ولكن أيضا من خلال الكشف عن حزم نبضات القلب الذكية الكشف في الوقت المناسب عن الوظيفة، والرابط الأصلي لاستعادة أمان فحوصات أمان شبكة المؤسسة.
يحتوي Mylinking™ "Bypass Switch" على وظيفة كشف رسائل ضربات القلب الذكية القوية، يمكن للمستخدم تخصيص فترة ضربات القلب والحد الأقصى لعدد المحاولات، من خلال رسالة ضربات قلب مخصصة على IPS / FW لاختبار الصحة، مثل إرسال رسالة فحص ضربات القلب إلى منفذ المنبع / المصب من IPS / FW، ثم الاستقبال من منفذ المنبع / المصب من IPS / FW، والحكم على ما إذا كان IPS / FW يعمل بشكل طبيعي عن طريق إرسال واستقبال رسالة ضربات القلب.
5.3 سياسة "SpecFlow" لحماية سلسلة الجر المضمنة
عندما يحتاج جهاز شبكة الأمان فقط إلى التعامل مع حركة مرور محددة ضمن نظام الحماية الأمنية التسلسلي، من خلال وظيفة معالجة حركة المرور "Bypass Switch" في Mylinking™، ومن خلال استراتيجية فحص حركة المرور، يتم توصيل جهاز الأمان "المعني" مباشرةً بوصلة الشبكة، ويتم توجيه قسم حركة المرور المعني إلى جهاز الأمان المباشر لإجراء فحوصات السلامة. هذا لا يحافظ على التشغيل العادي لوظيفة الكشف عن السلامة في جهاز الأمان فحسب، بل يقلل أيضًا من ضعف أداء معدات الأمان في التعامل مع الضغط؛ وفي الوقت نفسه، يمكن لـ "Bypass Switch" اكتشاف حالة عمل جهاز الأمان فورًا. يعمل جهاز الأمان بشكل غير طبيعي، متجاوزًا حركة البيانات مباشرةً لتجنب انقطاع خدمة الشبكة.
يستطيع Mylinking™ Traffic Bypass Protector تحديد حركة المرور بناءً على مُعرّف رأس طبقة L2-L4، مثل علامة VLAN، وعنوان MAC المصدر/الوجهة، وعنوان IP المصدر، ونوع حزمة IP، ومنفذ بروتوكول طبقة النقل، وعلامة مفتاح رأس البروتوكول، وغيرها. يمكن تعريف مجموعة متنوعة من شروط المطابقة بمرونة لتحديد أنواع حركة المرور المحددة التي تهم جهاز أمان معين، ويمكن استخدامها على نطاق واسع لنشر أجهزة تدقيق أمنية خاصة (RDP، SSH، تدقيق قواعد البيانات، إلخ).
5.4 حماية السلسلة المتوازنة للحمل
يُنشر "مفتاح التجاوز" Mylinking™ بالتتابع بين أجهزة الشبكة (أجهزة التوجيه، والمفاتيح، وغيرها). عندما لا يكون أداء معالجة IPS/FW واحد كافيًا للتعامل مع ذروة حركة البيانات على رابط الشبكة، فإن وظيفة موازنة حمل حركة البيانات في جهاز الحماية، التي تجمع بين معالجة مجموعات IPS/FW متعددة، يمكن أن تُخفف ضغط معالجة IPS/FW واحد بفعالية، وتُحسّن أداء المعالجة الإجمالي لتلبية النطاق الترددي العالي لبيئة النشر.
يتمتع Mylinking™ "Bypass Switch" بوظيفة موازنة تحميل قوية، وفقًا لعلامة إطار VLAN، ومعلومات MAC، ومعلومات IP، ورقم المنفذ، والبروتوكول، وغيرها من المعلومات حول توزيع موازنة تحميل Hash لحركة المرور لضمان سلامة تدفق البيانات المستلمة لكل IPS / FW.
5.5 حماية جر تدفق المعدات متعددة السلاسل المضمنة (تغيير الاتصال التسلسلي إلى اتصال متوازي)
في بعض الروابط الرئيسية (مثل منافذ الإنترنت، وروابط تبادل منطقة الخادم)، غالبًا ما يُعزى تحديد الموقع إلى متطلبات ميزات الأمان ونشر معدات اختبار أمان متعددة متصلة (مثل جدران الحماية، ومعدات مكافحة هجمات الحرمان من الخدمة الموزعة، وجدران حماية تطبيقات الويب، ومعدات منع التطفل، إلخ). يُسهم استخدام معدات كشف أمان متعددة في نفس الوقت وبشكل متتالي على الرابط في زيادة ارتباط نقطة العطل الواحدة، مما يُقلل من موثوقية الشبكة بشكل عام. وفي حالة نشر معدات الأمان المذكورة أعلاه، وتحديثها، واستبدالها، وغيرها من العمليات، سيؤدي ذلك إلى انقطاع خدمة الشبكة لفترة طويلة، وتقليص حجم المشروع بشكل كبير، مما يُعيق تنفيذ هذه المشاريع بنجاح.
من خلال نشر "مفتاح الالتفافية" بطريقة موحدة، يمكن تغيير وضع نشر أجهزة الأمان المتعددة المتصلة على التوالي على نفس الرابط من "وضع التسلسل المادي" إلى "وضع التسلسل المادي، وضع التسلسل المنطقي" الرابط على رابط نقطة فشل واحدة لتحسين موثوقية الرابط، في حين أن "مفتاح الالتفافية" على تدفق الرابط عند الطلب، لتحقيق نفس التدفق مع الوضع الأصلي لتأثير المعالجة الآمنة.
مخطط نشر متسلسل لأكثر من جهاز أمان في نفس الوقت:
مخطط نشر مفتاح تجاوز TAP لشبكة Mylinking™:
5.6 بناءً على الاستراتيجية الديناميكية لحماية أمن حركة المرور
"مفتاح التجاوز" هو سيناريو تطبيق متقدم آخر يعتمد على الاستراتيجية الديناميكية لتطبيقات حماية كشف أمان حركة المرور، ويتم نشر الطريقة كما هو موضح أدناه:
على سبيل المثال، لنأخذ معدات اختبار الأمان "الحماية من هجمات حجب الخدمة الموزعة وكشفها"، من خلال النشر الأولي لـ "مفتاح التجاوز" ثم معدات الحماية من هجمات حجب الخدمة الموزعة، ثم توصيلها بـ "مفتاح التجاوز". في "حامي الجر" المعتاد، يتم توجيه كامل سرعة حركة المرور، وفي الوقت نفسه، يتم إرسال مُخرَج التدفق إلى "جهاز الحماية من هجمات حجب الخدمة الموزعة". بمجرد اكتشاف عنوان IP للخادم (أو جزء من شبكة IP) بعد الهجوم، يُولّد "جهاز الحماية من هجمات حجب الخدمة الموزعة" قواعد مطابقة تدفق حركة المرور المستهدفة، ويرسلها إلى "مفتاح التجاوز" عبر واجهة تسليم السياسة الديناميكية. بعد استلام "مفتاح التجاوز" لقواعد السياسة الديناميكية، يُحدِّث "ديناميكية جر حركة المرور" مجموعة قواعد السياسة الديناميكية، وينقلها فورًا إلى جهاز الحماية من هجمات حجب الخدمة الموزعة للكشف عنها، ليتم معالجتها، لتصبح فعالة بعد تدفق الهجوم، ثم يُعاد حقنها في الشبكة.
يعد مخطط التطبيق المبني على "Bypass Switch" أسهل في التنفيذ من حقن مسار BGP التقليدي أو مخطط جذب حركة المرور الآخر، كما أن البيئة أقل اعتمادًا على الشبكة والموثوقية أعلى.
يتمتع "مفتاح التجاوز" بالخصائص التالية لدعم حماية اكتشاف أمان السياسة الديناميكية:
1، "تجاوز التبديل" لتوفير القواعد الخارجية استنادًا إلى واجهة WEBSERIVCE، والتكامل السهل مع أجهزة الأمان التابعة لجهات خارجية.
2، "مفتاح الالتفاف" الذي يعتمد على شريحة ASIC نقية للأجهزة تعمل على إعادة توجيه حزم البيانات بسرعة سلكية تصل إلى 10 جيجابت في الثانية دون منع إعادة توجيه المفتاح، و"مكتبة قواعد الجذب الديناميكي" بغض النظر عن العدد.
3، "مفتاح الالتفافية" المدمج في وظيفة الالتفافية المهنية، حتى لو فشل الحامي نفسه، يمكنه أيضًا تجاوز الرابط التسلسلي الأصلي على الفور، ولا يؤثر على الرابط الأصلي للاتصالات العادية.
