1- ما هي حزمة Define Heartbeat؟
يتم ضبط حزم نبضات القلب لمحول تجاوز الشبكة Mylinking™ Network Tap Bypass افتراضيًا على إطارات إيثرنت من الطبقة الثانية. عند استخدام وضع جسر الطبقة الثانية الشفاف (مثل IPS / FW)، عادةً ما يتم إعادة توجيه إطارات إيثرنت من الطبقة الثانية أو حظرها أو تجاهلها. في الوقت نفسه، يدعم محول تجاوز الشبكة Mylinking™ Network Tap Bypass تنسيق رسائل نبضات القلب المخصص، وذلك لمواجهة حالة عدم قدرة بعض أجهزة الأمان التسلسلية الخاصة على إعادة توجيه إطارات إيثرنت من الطبقة الثانية العادية.
يدعم مفتاح تجاوز الشبكة Mylinking™ أيضًا اكتشاف حزم البيانات السريعة استنادًا إلى وسم VLAN وأنواع الرسائل المخصصة من الطبقتين 3 و4. بناءً على هذه الآلية، يمكن للمستخدم تنفيذ وظيفة اختبار سلامة الخدمة لجهاز سلامة الاتصال لضمان عمل خدمات الأمان المقابلة بشكل صحيح.
يدعم مفتاح تجاوز الشبكة Mylinking™ جهاز المراقبة لإرسال حزم بيانات نبضات مختلفة في كلا الاتجاهين. على سبيل المثال، يتم تخصيص حزم بيانات نبضات TCP وUDP على "Strategy Traffic Traction Protector" وفقًا لخصوصية الجهاز التسلسلي. يمكنك ضبط إرسال حزم بيانات نبضات TCP على منفذ A في جهاز مراقبة الاتصال الصاعد، وإرسال حزم بيانات نبضات UDP على منفذ B في جهاز مراقبة الاتصال الهابط، بما يتوافق مع آلية إعادة توجيه الرسائل في جهاز الأمان التسلسلي. تضمن هذه الوظيفة سلامة الشبكة بشكل أكثر فعالية. وصّل جهاز الأمان بالتشغيل العادي.
تم البحث والتطوير لمفتاح تجاوز الشبكة Mylinking™ لاستخدامه في النشر المرن لمختلف أنواع معدات الأمان التسلسلية مع توفير موثوقية عالية للشبكة.
الميزات والتقنيات المتقدمة لمفتاح تجاوز الشبكة المضمنة 2
تقنية وضع الحماية "SpecFlow" و"FullLink" من Mylinking™
تقنية حماية التبديل السريع Mylinking™
تقنية Mylinking™ "LinkSafeSwitch"
تقنية إعادة التوجيه/الإصدار "خدمة الويب" الاستراتيجية الديناميكية Mylinking™
تقنية الكشف عن رسائل نبضات القلب الذكية Mylinking™
تقنية رسائل نبضات القلب القابلة للتحديد Mylinking™
تقنية موازنة التحميل متعددة الروابط Mylinking™
تقنية توزيع حركة المرور الذكية Mylinking™
تقنية موازنة التحميل الديناميكية Mylinking™
تقنية الإدارة عن بُعد Mylinking™ (HTTP/WEB، TELNET/SSH، خاصية "EasyConfig/AdvanceConfig")
3- تطبيق مفتاح تجاوز الشبكة المضمن (كما يلي)
3.1 مخاطر معدات الأمان المضمنة (IPS / FW)
فيما يلي وضع نشر IPS (نظام منع التطفل)، FW (جدار الحماية) النموذجي، يتم نشر IPS / FW على التوالي على معدات الشبكة (أجهزة التوجيه، والمفاتيح، وما إلى ذلك) بين حركة المرور من خلال تنفيذ عمليات التحقق من الأمان، وفقًا لسياسة الأمان المقابلة لتحديد إصدار أو حظر حركة المرور المقابلة، لتحقيق تأثير الدفاع الأمني.
في الوقت نفسه، يُمكننا ملاحظة أن نظام IPS/FW عبارة عن نشر تسلسلي للمعدات، وعادةً ما يتم نشره في الموقع الرئيسي لشبكة المؤسسة لتطبيق الأمان التسلسلي، حيث تؤثر موثوقية الأجهزة المتصلة به بشكل مباشر على توافر شبكة المؤسسة بشكل عام. بمجرد زيادة تحميل الأجهزة التسلسلية أو تعطلها أو تحديث البرامج أو تحديثات السياسات وما إلى ذلك، سيتأثر توافر شبكة المؤسسة بالكامل بشكل كبير. في هذه المرحلة، لا يُمكن استعادة الشبكة إلا من خلال قطع الشبكة أو وصلة التجاوز المادية، مما يؤثر بشكل خطير على موثوقية الشبكة. يُحسّن نظام IPS/FW والأجهزة التسلسلية الأخرى من نشر أمان شبكة المؤسسة من ناحية، ومن ناحية أخرى، يُقلل أيضًا من موثوقية شبكات المؤسسة، مما يزيد من خطر عدم توفر الشبكة.
3.2 حماية معدات سلسلة الوصلات المضمنة
يتم نشر Mylinking™ "Network Inline Bypass" في سلسلة بين أجهزة الشبكة (أجهزة التوجيه والمفاتيح وما إلى ذلك)، ولم يعد تدفق البيانات بين أجهزة الشبكة يؤدي مباشرة إلى IPS / FW، "Network Inline Bypass" إلى IPS / FW، عندما يكون IPS / FW بسبب التحميل الزائد أو التعطل أو تحديثات البرامج أو تحديثات السياسة وغيرها من ظروف الفشل، فإن "Network Inline Bypass" من خلال وظيفة الكشف عن رسالة نبضات القلب الذكية للاكتشاف في الوقت المناسب، وبالتالي تخطي الجهاز المعيب، دون مقاطعة فرضية الشبكة، تتصل معدات الشبكة السريعة مباشرة لحماية شبكة الاتصالات العادية؛ عندما يتعافى فشل IPS / FW، ولكن أيضًا من خلال حزم نبضات القلب الذكية للكشف عن الكشف في الوقت المناسب عن الوظيفة، فإن الرابط الأصلي لاستعادة أمان فحوصات أمان شبكة المؤسسة.
يحتوي Mylinking™ "Network Inline Bypass" على وظيفة قوية لاكتشاف رسائل ضربات القلب الذكية، يمكن للمستخدم تخصيص فترة ضربات القلب والحد الأقصى لعدد المحاولات، من خلال رسالة ضربات قلب مخصصة على IPS / FW لاختبار الصحة، مثل إرسال رسالة فحص ضربات القلب إلى منفذ المنبع / المصب من IPS / FW، ثم الاستقبال من منفذ المنبع / المصب من IPS / FW، والحكم على ما إذا كان IPS / FW يعمل بشكل طبيعي عن طريق إرسال واستقبال رسالة ضربات القلب.
3.3 سياسة "SpecFlow" لحماية سلسلة الجر المضمنة
عندما يحتاج جهاز شبكة الأمان فقط إلى التعامل مع حركة مرور محددة في نظام الحماية الأمنية التسلسلي، من خلال وظيفة معالجة حركة المرور "تجاوز الشبكة المضمنة" من Mylinking™، ومن خلال استراتيجية فحص حركة المرور، يتم توصيل جهاز الأمان "المعني" مباشرةً بوصلة الشبكة، ويتم توجيه "قسم الحركة المعني" إلى جهاز الأمان المضمن لإجراء فحوصات السلامة. هذا لا يحافظ فقط على التشغيل العادي لوظيفة الكشف عن السلامة لجهاز الأمان، بل يقلل أيضًا من التدفق غير الفعال لمعدات الأمان للتعامل مع الضغط؛ وفي الوقت نفسه، يمكن لـ "تجاوز الشبكة المضمنة" اكتشاف حالة عمل جهاز الأمان في الوقت الفعلي. يعمل جهاز الأمان بشكل غير طبيعي ويتجاوز حركة البيانات مباشرةً لتجنب انقطاع خدمة الشبكة.
3.4 حماية السلسلة المتوازنة للحمل
يتم نشر Mylinking™ "تجاوز الشبكة المضمن" على التوالي بين أجهزة الشبكة (أجهزة التوجيه، والمفاتيح، إلخ). عندما لا يكون أداء معالجة IPS/FW واحد كافيًا للتعامل مع ذروة حركة مرور رابط الشبكة، فإن وظيفة موازنة تحميل حركة المرور في جهاز الحماية، "تجميع" حركة مرور رابط الشبكة لمعالجة مجموعات IPS/FW متعددة، يمكن أن يقلل بشكل فعال من ضغط معالجة IPS/FW واحد، ويحسن أداء المعالجة الإجمالي لتلبية النطاق الترددي العالي لبيئة النشر.
يتمتع Mylinking™ "Network Inline Bypass" بوظيفة موازنة تحميل قوية، وفقًا لعلامة إطار VLAN، ومعلومات MAC، ومعلومات IP، ورقم المنفذ، والبروتوكول، وغيرها من المعلومات حول توزيع موازنة تحميل Hash لحركة المرور لضمان سلامة تدفق البيانات المستلمة لكل IPS / FW.
3.5 حماية جر تدفق المعدات متعددة السلاسل المضمنة (تغيير الاتصال التسلسلي إلى اتصال متوازي)
في بعض الروابط الرئيسية (مثل منافذ الإنترنت، وروابط تبادل منطقة الخادم)، غالبًا ما يُعزى تحديد الموقع إلى الحاجة إلى ميزات أمنية ونشر معدات اختبار أمنية متعددة متصلة (مثل جدران الحماية، ومعدات مكافحة هجمات الحرمان من الخدمة الموزعة، وجدران حماية تطبيقات الويب، ومعدات منع التطفل، إلخ). يُؤدي استخدام معدات كشف أمنية متعددة في نفس الوقت وبشكل متتالي على الرابط إلى زيادة ارتباط نقطة عطل واحدة، مما يُقلل من موثوقية الشبكة بشكل عام. وفي حالة نشر معدات الأمان المذكورة أعلاه، وتحديثها، واستبدالها، وغيرها من العمليات، سيؤدي ذلك إلى انقطاع خدمة الشبكة لفترة طويلة، وتقليص حجم المشروع بشكل كبير، مما يُعيق تنفيذ هذه المشاريع بنجاح.
من خلال نشر "Network Inline Bypass" بطريقة موحدة، يمكن تغيير وضع نشر أجهزة الأمان المتعددة المتصلة على التوالي على نفس الرابط من "وضع التجميع المادي" إلى "وضع التجميع المادي، التجميع المنطقي" الرابط على رابط نقطة فشل واحدة لتحسين موثوقية الرابط، في حين أن "Network Inline Bypass" على تدفق الرابط عند الطلب، لتحقيق نفس التدفق مع الوضع الأصلي لتأثير المعالجة الآمنة.
مخطط نشر متسلسل لأكثر من جهاز أمان في نفس الوقت:
مخطط نشر مفتاح تجاوز الشبكة المضمن:
3.6 بناءً على الاستراتيجية الديناميكية لحماية أمن حركة المرور
"تجاوز الشبكة المضمنة" يعتمد سيناريو تطبيق متقدم آخر على الاستراتيجية الديناميكية لتطبيقات حماية كشف أمان حركة المرور، ويتم نشر الطريقة كما هو موضح أدناه:
خذ على سبيل المثال معدات اختبار الأمان "حماية وكشف هجمات حجب الخدمة الموزعة"، من خلال النشر الأمامي لـ "تجاوز الشبكة المضمنة" ثم معدات حماية مكافحة حجب الخدمة الموزعة ثم الاتصال بـ "تجاوز الشبكة المضمنة"، في "حامي الجر" المعتاد إلى كامل كمية إعادة توجيه سرعة حركة المرور السلكية في نفس الوقت الذي يتم فيه إخراج مرآة التدفق إلى "جهاز حماية هجوم حجب الخدمة الموزعة"، بمجرد اكتشاف عنوان IP للخادم (أو جزء من شبكة IP) بعد الهجوم، سيقوم "جهاز حماية هجوم حجب الخدمة الموزعة" بإنشاء قواعد مطابقة تدفق حركة المرور المستهدفة وإرسالها إلى "تجاوز الشبكة المضمنة" من خلال واجهة تسليم السياسة الديناميكية. يمكن لـ "تجاوز الشبكة المضمنة" تحديث "ديناميكية جر حركة المرور" بعد تلقي مجموعة قواعد السياسة الديناميكية "وعلى الفور" تضرب القاعدة "جر حركة مرور خادم الهجوم إلى معدات" حماية وكشف هجمات حجب الخدمة الموزعة" للمعالجة، لتكون فعالة بعد تدفق الهجوم ثم إعادة حقنها في الشبكة.
يعد مخطط التطبيق المبني على "تجاوز الشبكة المضمنة" أسهل في التنفيذ من حقن مسار BGP التقليدي أو مخطط جذب حركة المرور الآخر، كما أن البيئة أقل اعتمادًا على الشبكة والموثوقية أعلى.
تتمتع ميزة "Network Inline Bypass" بالخصائص التالية لدعم حماية اكتشاف أمان السياسة الديناميكية:
1، "تجاوز الشبكة المضمنة" لتوفير القواعد الخارجية استنادًا إلى واجهة WEBSERIVCE، والتكامل السهل مع أجهزة الأمان التابعة لجهات خارجية.
2، "تجاوز الشبكة المضمن" استنادًا إلى شريحة ASIC نقية للأجهزة لتوجيه حزم بسرعة سلكية تصل إلى 10 جيجابت في الثانية دون حظر إعادة توجيه المفتاح، و"مكتبة قواعد الجذب الديناميكي" بغض النظر عن العدد.
3، وظيفة تجاوز الشبكة المضمنة الاحترافية المدمجة، حتى لو فشل الحامي نفسه، يمكنه أيضًا تجاوز الرابط التسلسلي الأصلي على الفور، دون التأثير على الرابط الأصلي للاتصالات العادية.
وقت النشر: ٢٣ ديسمبر ٢٠٢١
