1- ما هي حزمة تعريف نبضات القلب؟
حزم نبضات القلب الخاصة بـ Mylinking™ Network Tap Bypass Switch الافتراضية هي إطارات Ethernet Layer 2. عند نشر وضع جسر الطبقة الثانية الشفاف (مثل IPS / FW)، تتم عادةً إعادة توجيه إطارات إيثرنت الطبقة الثانية أو حظرها أو التخلص منها. وفي الوقت نفسه، يدعم Mylinking™ Network Tap Bypass Switch تنسيق رسالة نبضات القلب المخصص لمواجهة الموقف الذي لا تتمكن فيه بعض أجهزة الأمان التسلسلية الخاصة من إعادة توجيه إطارات Ethernet العادية من الطبقة الثانية.
ويدعم Mylinking™ Network Tap Bypass Switch أيضًا الكشف عن حزم نبضات القلب استنادًا إلى علامة VLAN وأنواع الرسائل المخصصة من الطبقة 3 والطبقة 4. بناءً على هذه الآلية، يمكن للمستخدم تنفيذ وظيفة اختبار سلامة الخدمة لجهاز أمان الاتصال لجعلها أكثر فعالية لضمان عمل خدمات الأمان المقابلة بشكل صحيح.
يمكن لـ Mylinking™ Network Tap Bypass Switch دعم الشاشة لإرسال حزم نبضات قلب مختلفة في كلا الاتجاهين. على سبيل المثال، يتم تخصيص حزم نبضات القلب من نوع TCP وUDP على "Strategy Traffic Traction Protector"، وفقًا لخصوصية الجهاز التسلسلي. يمكنك تكوين إرسال حزم نبضات قلب TCP على منفذ A لشاشة مراقبة الوصلة الصاعدة وإرسال حزم نبضات UDP على منفذ B لشاشة مراقبة الوصلة الهابطة لاستيعاب آلية إعادة توجيه الرسائل لجهاز الأمان التسلسلي. يمكن لهذه الوظيفة ضمان السلسلة بشكل أكثر فعالية. قم بتوصيل معدات السلامة إلى التشغيل العادي.
تم بحث وتطوير Mylinking™ Network Inline Bypass Switch لاستخدامه في النشر المرن لأنواع مختلفة من معدات الأمان التسلسلية مع توفير موثوقية عالية للشبكة.
2-مميزات وتقنيات متقدمة لمفتاح تجاوز الشبكة
وضع الحماية Mylinking™ "SpecFlow" وتقنية وضع الحماية "FullLink".
تقنية حماية التبديل السريع Mylinking™
تقنية Mylinking™ "LinkSafeSwitch".
Mylinking™ "WebService" إعادة توجيه الإستراتيجية الديناميكية/تقنية الإصدار
تقنية Mylinking™ الذكية للكشف عن رسائل نبضات القلب
تقنية رسائل نبضات القلب القابلة للتحديد Mylinking™
تقنية Mylinking™ لموازنة التحميل متعدد الارتباطات
تقنية Mylinking™ الذكية لتوزيع حركة المرور
تقنية Mylinking™ لموازنة التحميل الديناميكي
تقنية Mylinking™ للإدارة عن بعد (HTTP/WEB، TELNET/SSH، خاصية "EasyConfig/AdvanceConfig")
3-تطبيق تبديل تجاوز الشبكة (على النحو التالي)
3.1 مخاطر معدات الأمن المضمنة (IPS / FW)
ما يلي هو وضع نشر IPS (نظام منع التطفل) وFW (جدار الحماية) النموذجي، ويتم نشر IPS / FW بشكل متسلسل على أجهزة الشبكة (أجهزة التوجيه والمحولات وما إلى ذلك) بين حركة المرور من خلال تنفيذ عمليات التحقق الأمني، وفقًا لـ تحدد السياسة الأمنية المقابلة إصدار أو حظر حركة المرور المقابلة لتحقيق تأثير الدفاع الأمني.
في الوقت نفسه، يمكننا ملاحظة أن IPS / FW عبارة عن نشر تسلسلي للمعدات، يتم نشرها عادةً في الموقع الرئيسي لشبكة المؤسسة لتنفيذ الأمان التسلسلي، وتؤثر موثوقية أجهزتها المتصلة بشكل مباشر على التوفر العام لشبكة المؤسسة. بمجرد التحميل الزائد للأجهزة التسلسلية، والتعطل، وتحديثات البرامج، وتحديثات السياسة، وما إلى ذلك، سيتأثر توفر شبكة المؤسسة بالكامل بشكل كبير. عند هذه النقطة، نحن فقط من خلال قطع الشبكة، يمكن للتجاوز المادي أن يجعل الشبكة تتم استعادتها، مما يؤثر بشكل خطير على موثوقية الشبكة. يعمل IPS / FW والأجهزة التسلسلية الأخرى من ناحية على تحسين نشر أمان شبكات المؤسسات، ومن ناحية أخرى، يقلل أيضًا من موثوقية شبكات المؤسسات، مما يزيد من مخاطر عدم توفر الشبكة.
3.2 حماية معدات سلسلة الارتباط المضمنة
يتم نشر Mylinking™ “Network Inline Bypass” بشكل متسلسل بين أجهزة الشبكة (أجهزة التوجيه والمحولات وما إلى ذلك)، ولم يعد تدفق البيانات بين أجهزة الشبكة يؤدي مباشرة إلى IPS / FW، و”Network Inline Bypass” إلى IPS / FW، عندما IPS / FW بسبب التحميل الزائد والتعطل وتحديثات البرامج وتحديثات السياسة وظروف الفشل الأخرى، "تجاوز الشبكة المضمنة" من خلال وظيفة الكشف الذكي عن رسائل نبضات القلب للاكتشاف في الوقت المناسب، وبالتالي تخطي الجهاز المعيب، دون مقاطعة فرضية الشبكة، معدات الشبكة السريعة المتصلة مباشرة لحماية شبكة الاتصالات العادية؛ عند استرداد فشل IPS / FW، ولكن أيضًا من خلال اكتشاف حزم نبضات القلب الذكية للكشف عن الوظيفة في الوقت المناسب، والرابط الأصلي لاستعادة أمن عمليات فحص أمان شبكة المؤسسة.
يتمتع Mylinking™ "Network Inline Bypass" بوظيفة ذكية قوية للكشف عن رسائل نبضات القلب، ويمكن للمستخدم تخصيص الفاصل الزمني لنبضات القلب والحد الأقصى لعدد مرات إعادة المحاولة، من خلال رسالة نبضات قلب مخصصة على IPS / FW للاختبارات الصحية، مثل إرسال فحص نبضات القلب أرسل رسالة إلى المنفذ العلوي / السفلي لـ IPS / FW، ثم استلمها من المنفذ العلوي / السفلي لـ IPS / FW، وحكم على ما إذا كان IPS / FW يعمل بشكل طبيعي عن طريق إرسال واستقبال رسالة نبضات القلب.
3.3 سياسة "SpecFlow" لحماية سلسلة الجر المضمنة
عندما يحتاج جهاز شبكة الأمان فقط إلى التعامل مع حركة مرور محددة في الحماية الأمنية المتسلسلة، من خلال وظيفة معالجة حركة المرور لكل معالجة Mylinking™ "Network Inline Bypass"، من خلال استراتيجية فحص حركة المرور لتوصيل حركة مرور جهاز الأمان "المعني" يتم إرجاعها مرة أخرى مباشرة إلى رابط الشبكة، و"قسم المرور المعني" هو الجر إلى جهاز الأمان الموجود في الخط لإجراء فحوصات السلامة. وهذا لن يحافظ فقط على التطبيق الطبيعي لوظيفة الكشف عن السلامة لجهاز السلامة، ولكن أيضًا يقلل من التدفق غير الفعال لمعدات السلامة للتعامل مع الضغط؛ وفي الوقت نفسه، يمكن لـ "Network Inline Bypass" اكتشاف حالة عمل جهاز الأمان في الوقت الفعلي. يعمل جهاز الأمان بشكل غير طبيعي على تجاوز حركة البيانات مباشرة لتجنب انقطاع خدمة الشبكة.
3.4 تحميل حماية السلسلة المتوازنة
يتم نشر Mylinking™ "Network Inline Bypass" بشكل متسلسل بين أجهزة الشبكة (أجهزة التوجيه والمحولات وما إلى ذلك). عندما لا يكون أداء معالجة IPS / FW واحدًا كافيًا للتعامل مع ذروة حركة مرور ارتباط الشبكة، فإن وظيفة موازنة حمل حركة المرور الخاصة بالحامي، "تجميع" حركة مرور وصلة شبكة معالجة مجموعة IPS / FW المتعددة، يمكن أن تقلل بشكل فعال من IPS / FW الفردي. يعمل ضغط معالجة FW على تحسين أداء المعالجة الإجمالي لتلبية النطاق الترددي العالي لمطالبة بيئة النشر.
يتمتع Mylinking™ "Network Inline Bypass" بوظيفة موازنة تحميل قوية، وفقًا لعلامة الإطار VLAN ومعلومات MAC ومعلومات IP ورقم المنفذ والبروتوكول وغيرها من المعلومات حول توزيع موازنة تحميل التجزئة لحركة المرور لضمان تلقي كل IPS / FW تدفق البيانات سلامة الجلسة.
3.5 حماية جر تدفق المعدات المضمنة متعددة السلاسل (تغيير الاتصال التسلسلي إلى الاتصال المتوازي)
في بعض الروابط الرئيسية (مثل منافذ الإنترنت، وصلة تبادل منطقة الخادم) غالبًا ما يكون الموقع بسبب احتياجات ميزات الأمان ونشر العديد من معدات اختبار الأمان المضمنة (مثل جدار الحماية، ومعدات هجوم مكافحة DDOS، وجدار حماية تطبيقات الويب ، معدات منع التسلل، وما إلى ذلك)، معدات كشف أمنية متعددة في نفس الوقت في سلسلة على الرابط لزيادة الارتباط بنقطة فشل واحدة، مما يقلل من الموثوقية الإجمالية للشبكة. وفي نشر المعدات الأمنية المذكورة أعلاه عبر الإنترنت، سيؤدي تحديث المعدات واستبدال المعدات والعمليات الأخرى إلى انقطاع خدمة الشبكة لفترة طويلة وإجراء قطع أكبر للمشروع لإكمال التنفيذ الناجح لمثل هذه المشاريع.
من خلال نشر "Network Inline Bypass" بطريقة موحدة، يمكن تغيير وضع نشر أجهزة الأمان المتعددة المتصلة بشكل متسلسل على نفس الرابط من "وضع التسلسل الفعلي" إلى "التسلسل الفعلي، وضع التسلسل المنطقي" الرابط الموجود على الرابط من نقطة فشل واحدة لتحسين موثوقية الارتباط، في حين أن "تجاوز الشبكة المضمّن" على الرابط يتدفق عند سحب الطلب، لتحقيق نفس التدفق مع الوضع الأصلي لتأثير المعالجة الآمنة.
أكثر من جهاز أمان في نفس الوقت في مخطط النشر المتسلسل:
مخطط نشر محول التجاوز المضمن للشبكة:
3.6 استنادًا إلى الإستراتيجية الديناميكية لحماية الكشف الأمني عن الجر المروري
"تجاوز الشبكة المضمنة" يعتمد سيناريو التطبيق المتقدم الآخر على الإستراتيجية الديناميكية لتطبيقات حماية الكشف عن أمان الجر المروري، ونشر الطريقة كما هو موضح أدناه:
خذ على سبيل المثال معدات اختبار الأمان "الحماية من هجمات DDoS والكشف عنها" من خلال النشر الأمامي لـ "Network Inline Bypass" ثم معدات الحماية ضد DDOS ثم توصيلها بـ "Network Inline Bypass"، في المعتاد "حامي الجر" إلى المقدار الكامل من إعادة توجيه سرعة سلك المرور في نفس الوقت إخراج مرآة التدفق إلى "جهاز الحماية من هجوم مكافحة DDOS"، بمجرد اكتشافه لخادم IP (أو شريحة شبكة IP) بعد الهجوم، سيقوم "جهاز الحماية من هجمات DDOS" بإنشاء قواعد مطابقة تدفق حركة المرور المستهدفة وإرسالها إلى "Network Inline Bypass" من خلال واجهة تسليم السياسة الديناميكية. يمكن لـ "Network Inline Bypass" تحديث "ديناميكية جر حركة المرور" بعد تلقي قواعد السياسة الديناميكية، وتجمع القواعد "وعلى الفور" تضرب القاعدة حركة مرور خادم الهجوم "الجر إلى معدات" الحماية من هجمات DDoS واكتشافها "للمعالجة، إلى تكون فعالة بعد تدفق الهجوم ومن ثم إعادة حقنها في الشبكة.
يعد مخطط التطبيق القائم على "Network Inline Bypass" أسهل في التنفيذ من حقن مسار BGP التقليدي أو أي مخطط آخر لجر حركة المرور، كما أن البيئة أقل اعتمادًا على الشبكة والموثوقية أعلى.
يتمتع "Network Inline Bypass" بالخصائص التالية لدعم الحماية الديناميكية للكشف عن أمان السياسة:
1، "تجاوز الشبكة المضمنة" لتوفير قواعد خارجية تعتمد على واجهة WEBSERIVCE، وسهولة التكامل مع أجهزة الأمان التابعة لجهات خارجية.
2، "تجاوز الشبكة المضمنة" يعتمد على شريحة ASIC النقية للأجهزة التي تقوم بإعادة توجيه ما يصل إلى 10 جيجابت في الثانية من حزم السرعة السلكية دون حظر إعادة توجيه المحول، و"مكتبة القواعد الديناميكية لجر حركة المرور" بغض النظر عن العدد.
3، وظيفة "تجاوز الشبكة المضمنة" المدمجة في وظيفة BYPASS الاحترافية، حتى لو فشل الحامي نفسه، يمكنه أيضًا تجاوز الرابط التسلسلي الأصلي على الفور، ولا يؤثر على الرابط الأصلي للاتصال العادي.
وقت النشر: 23 ديسمبر 2021