ما الذي يمكن أن يقدمه لك مفتاح التجاوز المدمج الذكي للشبكة؟

1- ما هي حزمة تعريف نبضات القلب؟

تُرسل حزم بيانات نبضات القلب الخاصة بمحول تجاوز التنصت الشبكي Mylinking™ افتراضيًا على شكل إطارات إيثرنت من الطبقة الثانية. عند تفعيل وضع الربط الشفاف للطبقة الثانية (مثل IPS/FW)، يتم عادةً إعادة توجيه إطارات إيثرنت من الطبقة الثانية أو حظرها أو تجاهلها. في الوقت نفسه، يدعم محول تجاوز التنصت الشبكي Mylinking™ تنسيقات رسائل نبضات قلب مخصصة لتلبية احتياجات الحالات التي لا تستطيع فيها بعض أجهزة الأمان التسلسلية الخاصة إعادة توجيه إطارات إيثرنت العادية من الطبقة الثانية.

كما يدعم مفتاح تجاوز التنصت الشبكي Mylinking™ خاصية اكتشاف حزم البيانات ذات النبضات القلبية بناءً على علامات VLAN وأنواع الرسائل المخصصة من الطبقتين الثالثة والرابعة. وبفضل هذه الآلية، يمكن للمستخدم تفعيل وظيفة اختبار أمان الخدمة لجهاز أمان الاتصال، مما يجعله أكثر فعالية في ضمان عمل خدمات الأمان المعنية بشكل سليم.

يدعم مفتاح تجاوز التنصت الشبكي Mylinking™ إرسال حزم نبضات قلب مختلفة في كلا الاتجاهين. على سبيل المثال، يتم تخصيص حزم نبضات القلب من نوعي TCP وUDP على "حماية حركة المرور الاستراتيجية" وفقًا لخصائص الجهاز التسلسلي. يمكنك ضبط إرسال حزم نبضات قلب TCP على منفذ الوصلة الصاعدة A وإرسال حزم نبضات قلب UDP على منفذ الوصلة الهابطة B، وذلك لتتوافق مع آلية إعادة توجيه الرسائل في جهاز الأمان التسلسلي. تضمن هذه الوظيفة بشكل أكثر فعالية استمرار عمل جهاز الأمان بشكل طبيعي.

تم بحث وتطوير مفتاح تجاوز الشبكة المضمن Mylinking™ لاستخدامه في النشر المرن لأنواع مختلفة من معدات الأمان التسلسلية مع توفير موثوقية عالية للشبكة.

2- مفتاح تجاوز الشبكة المدمج: الميزات والتقنيات المتقدمة
تقنية وضع الحماية "SpecFlow" ووضع الحماية "FullLink" من Mylinking™
تقنية الحماية من التبديل السريع Mylinking™
تقنية Mylinking™ "LinkSafeSwitch"
تقنية إعادة توجيه/إصدار استراتيجية ديناميكية لخدمة الويب Mylinking™
تقنية Mylinking™ الذكية للكشف عن رسائل نبضات القلب
تقنية رسائل نبضات القلب القابلة للتحديد Mylinking™
تقنية موازنة الأحمال متعددة الروابط Mylinking™
تقنية توزيع حركة المرور الذكية Mylinking™
تقنية موازنة الأحمال الديناميكية Mylinking™
تقنية الإدارة عن بعد Mylinking™ (HTTP/WEB، TELNET/SSH، خاصية "EasyConfig/AdvanceConfig")

3- تطبيق مفتاح تجاوز الشبكة المضمن (كما يلي)

3.1 مخاطر معدات الأمان المدمجة (IPS / FW)
فيما يلي نموذج نموذجي لنمط نشر نظام منع الاختراق (IPS) وجدار الحماية (FW)، حيث يتم نشر نظام منع الاختراق / جدار الحماية بشكل متسلسل على معدات الشبكة (أجهزة التوجيه، والمحولات، وما إلى ذلك) بين حركة المرور من خلال تنفيذ عمليات التحقق الأمني، وفقًا لسياسة الأمان المقابلة لتحديد السماح أو حظر حركة المرور المقابلة، وذلك لتحقيق تأثير الدفاع الأمني.

في الوقت نفسه، يمكننا اعتبار نظام منع الاختراق/جدار الحماية (IPS/FW) بمثابة نشر تسلسلي للمعدات، حيث يُنشر عادةً في المواقع الرئيسية لشبكة المؤسسة لتطبيق أمن تسلسلي، وتؤثر موثوقية الأجهزة المتصلة به بشكل مباشر على توافر شبكة المؤسسة ككل. فعند حدوث أي زيادة في الحمل على الأجهزة التسلسلية، أو تعطلها، أو تحديثات البرامج، أو تحديثات السياسات، وما إلى ذلك، سيتأثر توافر شبكة المؤسسة بشكل كبير. في هذه الحالة، لا يمكننا استعادة الشبكة إلا من خلال قطع الاتصال بالشبكة، أو استخدام وصلة تجاوز مادية، مما يؤثر بشكل خطير على موثوقية الشبكة. من ناحية، يُحسّن نظام منع الاختراق/جدار الحماية (IPS/FW) والأجهزة التسلسلية الأخرى من نشر أمن شبكة المؤسسة، ولكن من ناحية أخرى، يُقلل من موثوقية شبكات المؤسسة، مما يزيد من خطر انقطاع الشبكة.

3.2 حماية معدات سلسلة الوصلات المضمنة

يتم نشر تقنية "تجاوز الشبكة المضمنة" من Mylinking™ بشكل متسلسل بين أجهزة الشبكة (أجهزة التوجيه، والمحولات، وما إلى ذلك)، بحيث لا يمر تدفق البيانات بين أجهزة الشبكة مباشرةً عبر نظام منع الاختراق/جدار الحماية. عند حدوث أعطال في نظام منع الاختراق/جدار الحماية نتيجةً للحمل الزائد، أو الأعطال، أو تحديثات البرامج، أو تحديثات السياسات، أو غيرها من الظروف، تقوم تقنية "تجاوز الشبكة المضمنة" بالكشف الفوري عن الجهاز المعطل من خلال وظيفة الكشف الذكي عن رسائل نبضات القلب، وبالتالي تتجاوز الجهاز المعطل دون انقطاع الشبكة، مما يسمح بتوصيل أجهزة الشبكة مباشرةً بسرعة لحماية شبكة الاتصال الطبيعية. عند استعادة الشبكة في حالة فشل نظام منع الاختراق/جدار الحماية، يتم أيضًا الكشف الفوري عن حزم نبضات القلب الذكية، مما يسمح باستعادة الاتصال الأصلي وفحص أمان شبكة المؤسسة.

يتميز Mylinking™ "Network Inline Bypass" بوظيفة قوية للكشف عن رسائل نبض القلب الذكية، حيث يمكن للمستخدم تخصيص فاصل نبض القلب والحد الأقصى لعدد المحاولات، من خلال رسالة نبض قلب مخصصة على IPS / FW لاختبار الحالة، مثل إرسال رسالة فحص نبض القلب إلى منفذ المنبع / المصب لـ IPS / FW، ثم استقبالها من منفذ المنبع / المصب لـ IPS / FW، والحكم على ما إذا كان IPS / FW يعمل بشكل طبيعي عن طريق إرسال واستقبال رسالة نبض القلب.

3.3 حماية سلسلة الجر المضمنة لتدفق سياسة "SpecFlow"

عندما يحتاج جهاز شبكة الأمان فقط إلى معالجة حركة مرور محددة ضمن سلسلة الحماية الأمنية، فإنه يستخدم وظيفة معالجة حركة المرور "التجاوز المضمن للشبكة" في Mylinking™، حيث يتم توجيه حركة المرور "المعنية" مباشرةً إلى رابط الشبكة، ومن ثم يتم توجيه "جزء حركة المرور المعني" إلى جهاز الأمان المضمن لإجراء فحوصات السلامة. هذا لا يحافظ فقط على التشغيل الطبيعي لوظيفة الكشف عن الأمان في جهاز الأمان، بل يقلل أيضًا من الضغط على تدفق البيانات غير الفعال في معدات الأمان. في الوقت نفسه، يتيح "التجاوز المضمن للشبكة" اكتشاف حالة عمل جهاز الأمان في الوقت الفعلي. وفي حال عمل جهاز الأمان بشكل غير طبيعي، يتم تجاوز حركة البيانات مباشرةً لتجنب انقطاع خدمة الشبكة.

3.4 حماية متسلسلة متوازنة الأحمال

يتم نشر تقنية Mylinking™ "Network Inline Bypass" بشكل متسلسل بين أجهزة الشبكة (أجهزة التوجيه، والمحولات، وما إلى ذلك). عندما لا يكون أداء معالجة نظام منع التطفل/جدار الحماية (IPS/FW) الواحد كافيًا للتعامل مع ذروة حركة مرور الشبكة، فإن وظيفة موازنة حمل حركة المرور في نظام الحماية، والتي تقوم بتجميع حركة مرور الشبكة من خلال معالجة مجموعات متعددة من أنظمة منع التطفل/جدار الحماية، تُقلل بشكل فعال من ضغط المعالجة على نظام منع التطفل/جدار الحماية الواحد، مما يُحسّن أداء المعالجة الإجمالي لتلبية متطلبات النطاق الترددي العالي لبيئة النشر.
تتمتع تقنية Mylinking™ "Network Inline Bypass" بوظيفة موازنة الأحمال القوية، حيث تقوم بتوزيع حركة المرور وفقًا لعلامة VLAN الخاصة بالإطار، ومعلومات MAC، ومعلومات IP، ورقم المنفذ، والبروتوكول، وغيرها من المعلومات، وذلك لضمان سلامة جلسة تدفق البيانات التي يتلقاها كل IPS / FW.

3.5 حماية من جر التدفق للمعدات المضمنة متعددة السلاسل (تغيير التوصيل التسلسلي إلى التوصيل المتوازي)
في بعض الروابط الرئيسية (مثل منافذ الإنترنت، وروابط تبادل منطقة الخادم)، غالبًا ما يكون الموقع غير مناسب نظرًا لمتطلبات ميزات الأمان ونشر العديد من معدات اختبار الأمان المضمنة (مثل جدار الحماية، ومعدات مكافحة هجمات DDoS، وجدار حماية تطبيقات الويب، ومعدات منع الاختراق، وما إلى ذلك). يؤدي وجود العديد من معدات الكشف الأمني ​​في نفس الوقت على التوالي على الرابط إلى زيادة احتمالية وجود نقطة فشل واحدة، مما يقلل من الموثوقية الإجمالية للشبكة. وفي عمليات نشر معدات الأمان المذكورة أعلاه، وتحديث المعدات، واستبدالها، وغيرها من العمليات، سيؤدي ذلك إلى انقطاع الخدمة لفترة طويلة، وتقليص حجم المشروع بشكل كبير لإتمام تنفيذ هذه المشاريع بنجاح.
من خلال نشر "التجاوز المضمن للشبكة" بطريقة موحدة، يمكن تغيير نمط نشر أجهزة الأمان المتعددة المتصلة على التوالي على نفس الرابط من "نمط الربط المادي" إلى "نمط الربط المادي والمنطقي". يعمل هذا على تحسين موثوقية الرابط، بينما يعمل "التجاوز المضمن للشبكة" على سحب تدفق الرابط عند الطلب، لتحقيق نفس التدفق مع نمط المعالجة الآمنة الأصلي.

أكثر من جهاز أمان واحد في نفس الوقت في مخطط النشر التسلسلي:

مخطط نشر مفتاح تجاوز الشبكة المضمن:

3.6 استنادًا إلى الاستراتيجية الديناميكية لحماية أمن الجر المروري
"تجاوز الشبكة المضمنة" سيناريو تطبيق متقدم آخر يعتمد على الاستراتيجية الديناميكية لتطبيقات الحماية والكشف عن أمان حركة المرور، ويتم نشرها بالطريقة الموضحة أدناه:

لنأخذ على سبيل المثال جهاز اختبار الأمان "الحماية من هجمات DDoS وكشفها"، من خلال نشر "تجاوز الشبكة المضمن" في الواجهة الأمامية، ثم توصيل جهاز الحماية من هجمات DDoS بـ"تجاوز الشبكة المضمن". في "حماية التتبع" المعتادة، يتم توجيه كامل حركة البيانات بسرعة السلك، مع إرسال نسخة طبق الأصل من تدفق البيانات إلى "جهاز الحماية من هجمات DDoS". بمجرد اكتشاف هجوم على عنوان IP لخادم (أو جزء من شبكة IP)، يقوم "جهاز الحماية من هجمات DDoS" بإنشاء قواعد مطابقة لتدفق البيانات المستهدف وإرسالها إلى "تجاوز الشبكة المضمن" عبر واجهة تسليم السياسات الديناميكية. يقوم "تجاوز الشبكة المضمن" بتحديث "تتبع حركة البيانات الديناميكي" بعد استلام قواعد السياسة الديناميكية، ثم يقوم بتوجيه حركة بيانات خادم الهجوم فورًا إلى "جهاز الحماية من هجمات DDoS وكشفها" للمعالجة، لتصبح فعالة بعد الهجوم، ثم يتم إعادة حقنها في الشبكة.

إن مخطط التطبيق القائم على "التجاوز المضمن للشبكة" أسهل في التنفيذ من حقن مسار BGP التقليدي أو مخططات سحب حركة المرور الأخرى، كما أن البيئة أقل اعتمادًا على الشبكة وتكون الموثوقية أعلى.

يتميز "التجاوز المضمن للشبكة" بالخصائص التالية لدعم الحماية الديناميكية للكشف عن أمان السياسات:
1- "تجاوز الشبكة المضمنة" لتوفير تجاوز للقواعد القائمة على واجهة خدمة الويب، والتكامل السهل مع أجهزة الأمان التابعة لجهات خارجية.
2، "التجاوز المضمن للشبكة" يعتمد على شريحة ASIC النقية للأجهزة التي تقوم بإعادة توجيه حزم البيانات بسرعة تصل إلى 10 جيجابت في الثانية دون حظر إعادة توجيه المحول، و"مكتبة قواعد ديناميكية لجر حركة المرور" بغض النظر عن العدد.
3، "التجاوز المضمن للشبكة" وظيفة التجاوز الاحترافية المدمجة، حتى في حالة فشل جهاز الحماية نفسه، يمكنه أيضًا تجاوز الرابط التسلسلي الأصلي على الفور، ولا يؤثر على الرابط الأصلي للاتصال الطبيعي.