Mylinking™ Sareko Paketeen Brokerra gehi Lineako Saihesbide Konmutadorea ML-BYPASS-M2000
Bypass modulua: 8*10G SFP+ eta 4*100GE, Monitore modulua: 16*10GE SFP+ eta 4*100GE, Gehienez 2.4Tbps
1-Ikuspegi orokorrak
Interneten garapen azkarrarekin, sareko informazioaren segurtasunaren mehatxua gero eta larriagoa bihurtzen ari da, beraz, informazioaren segurtasuna babesteko hainbat aplikazio gero eta gehiago erabiltzen dira. Sarbide-kontroleko ekipamendu tradizionala (suebakia) edo babes-bide aurreratuago mota berri bat izan, hala nola intrusioen prebentzio-sistema (IPS), mehatxuen kudeaketa bateratuaren plataforma (UTM), zerbitzu ukatze-erasoen aurkako sistema (Anti-DDoS), spamaren aurkako atebidea, DPI trafikoaren identifikazio eta kontrol sistema bateratua eta segurtasun-gailu asko seriean zabaltzen dira sareko nodo nagusietan, dagokion datuen segurtasun-politika ezartzeko trafiko legala/legez kanpokoa identifikatu eta kudeatzeko. Aldi berean, ordea, ordenagailu-sareak sareko atzerapen handia edo sareko etenaldia sortuko du huts egitean, mantentze-lanetan, eguneratzean, ekipamenduen ordezkapenean eta abar gertatzen direnean, ekoizpen-sareko aplikazio-ingurune oso fidagarri batean, erabiltzaileek ezin dute jasan.
ML-BYPASS-M2000 Mylinking™ Network Packet Broker gehi Inline Bypass Switch-a serieko segurtasun-ekipo mota desberdinak malgutasunez inplementatzeko ikertu eta garatu da, sarearen fidagarritasun handia eskainiz.
Mylinking™ Network Packet Broker gehi Inline Bypass Switch zabalduz:
●Erabiltzaileek segurtasun-babeserako gailuak malgutasunez instalatu/desinstalatu ditzakete, dauden sarea eragin edo eten gabe;
● Segurtasun-gailu konektatutakoen funtzionamendu-egoera normala denbora errealean kontrolatzeko osasun-detekzio funtzio adimenduna du. Segurtasun-gailu konektatuta batek huts egiten duenean, babesleak automatikoki saihestuko du sareko komunikazio normala mantentzeko.
●Trafiko babes selektiboko teknologiak trafikoa garbitzeko segurtasun-ekipo espezifikoak, enkriptazioan oinarritutako auditoria-ekipoak eta abar ezartzeko erabil daiteke. Trafiko mota espezifikoetarako lineako sarbide-babesa modu eraginkorrean ezartzen du, lineako gailuen trafiko-prozesatzeko karga arinduz.
● Karga-orekatzeko trafikoaren babes-teknologia erabil daiteke klusterretan lineako gailu seguruak zabaltzeko, banda-zabalera handiko inguruneetan lineako segurtasun-babesaren beharrak asetzeko.
●SSL proxy gaitasunak ditu, testu arrunteko datuen edukiaren segurtasun-babeserako gailuen monitorizazio- eta analisi-eskakizunak betetzen dituena.
● Oinarrizko trafikoa prozesatzeko gaitasunak ditu, hala nola trafikoa erreplikatzea, agregatzea, iragaztea eta etiketatzea, baita trafikoa prozesatzeko gaitasun aurreratuak ere, hala nola deduplikazioa, maskaratzea, aplikazio geruzako protokoloaren identifikazioa eta trafikoa moldatzea.
2-Mylinking™ Network Packet Broker gehi Inline Bypass Switch Ezaugarri eta Teknologia Aurreratuak
Mylinking™ “SpecFlow” Babes Modua eta “FullLink” Babes Moduaren Teknologia
Mylinking™ Saihesbide Azkarrerako Kommutazio Babeserako Teknologia
Mylinking™ “LinkSafeSwitch” teknologia
Mylinking™ “WebService” Politika Dinamikoen Birbidaltze/Arazo Teknologia
Mylinking™ bihotz-taupada paketeen detekzio teknologia adimenduna
Nire estekadura™ Bihotz-taupada pakete definigarrien teknologia
Nire estekadura™ Lotura anitzeko karga-oreka teknologia
Nire estekadura™ Trafiko Banaketa Teknologia Adimenduna
Nire estekadura™ Karga-oreka dinamikoaren teknologia
Nire estekadura™ Urruneko Kudeaketa Teknologia (HTTP/WEB, TELNET/SSH, “EasyConfig/AdvanceConfig” Ezaugarria)
3-Mylinking™ Network Packet Broker gehi Inline Bypass Switch konfigurazio gida
Goiko diagraman ikusten den bezala, unitate osoa lau zirrikitu modularrez osatuta dago:
SLOT1, SLOT2, SLOT3 eta SLOT4 moduluen zirrikitu guztiek BYPASS babes-ataka moduluak edo MONITOR ataka moduluak har ditzakete, abiadura eta ataka-zenbaki desberdinekin. Modulu-modelo desberdinak ordezkatuz, BYPASS babesa onartzea posible da 10G/40G/100G lotura anitzetarako, baita Inline Bypass monitorizazio-ekipoak zabaltzea ere 10G/40G/100G lotura anitzetarako.
Oharra: Bai BYPASS moduluak bai MONITOR moduluak beroan aldatzea onartzen dute.
3.1-Moduluen zehaztapenen zerrenda
| Produktuaren eredua | FuntzionalaPaurametroak |
| CHassis | |
| ML-BYPASS-M2000-CHS/AC | 2U estandar 19 hazbeteko rack muntatzeko sistema; gehienezko energia-kontsumoa 300W; BYPASS babesle modularraren unitate nagusia; 4 modulu-zirrikitu; RS232 kontsola-interfaze 1, 10/100/1000M RJ45 interfaze 1 kanpoko sare-kudeaketarekin; AC-220V-ko elikatze-iturri bikoitza; |
| NT-BYPASS-M2000-CHS/DC | 2U estandar 19 hazbeteko rack muntatzeko sistema; gehienezko energia-kontsumoa 300W; BYPASS babesle modularraren unitate nagusia; 4 modulu-zirrikitu; RS232 kontsola-interfaze 1, 10/100/1000M RJ45 interfaze 1 kanpoko sare-kudeaketarekin; DC-48V-ko elikatze-iturri bikoitza; |
| SAIHESTUBIDEAModule | |
| INL-I8XM8X(LM/SM) | 4 bideko 10GE (1G-rekin bateragarria) lotura serieko konexioaren babesa onartzen du, guztira 8 * 10GE interfazeekin; 8 * 10G SFP + monitorizazio atakak onartzen ditu (modulu optikoak izan ezik). |
| INL-I4HM2H (LM/SM) | 2 bideko 100GE (40GE bateragarria) lotura serieko babesa onartzen du, guztira 4 * 100GE interfazeekin; 2 * 100GE QSFP28 monitorizazio ataka onartzen ditu (modulu optikoak kenduta). |
| MONITOR modulua | |
| MON-M16X | 16 * 10GE SFP + monitorizazio atakak (modulu optikoak kenduta); |
| MON-M16X-CN98 | 16*10GE SFP+ monitorizazio ataka (modulu optikoa ez dago barne); funtzio aurreratuen motor batekin hornituta, trafikoa prozesatzeko funtzio aurreratuak onartzen ditu, hala nola SSL deszifratzea saihestea, SSL proxya eta trafikoa deduplikatzea; |
| AST-M4H | 4 * 100GE QSFP28 monitorizazio ataka (modulu optikoak ez daude barne); |
| AST-M4H-CN98 | 4*100GE QSFP28 monitorizazio ataka (modulu optikoak ez daude barne); funtzio aurreratuen motor batekin hornituta, trafikoa prozesatzeko funtzio aurreratuak onartzen ditu, hala nola SSL deszifratzea saihestea, SSL proxya eta trafikoa deduplikatzea; |
3.2-Moduluen Hautaketa Arauak
Babestutako esteka desberdinen eta monitorizazio-ekipoen hedapen-eskakizunen arabera, malgutasunez aukeratu ditzakezu modulu-konfigurazio desberdinak zure ingurunearen beharretara egokitzeko; jarraitu arau hauek hautatzerakoan:
1) Txasisaren muntaketa derrigorrezko osagaia da eta beste edozein modulu aukeratu aurretik hautatu behar da. Mesedez, aukeratu zure beharren arabera egokia den elikatze-hornidura metodoa (AC/DC).
2) Unitateak gehienez 4 modulu-zirrikitu onartzen ditu; ezin dituzu konfiguraziorako zirrikitu kopurua baino modulu gehiago hautatu. Modulu-eredu desberdinen konbinazio malguan oinarrituta, unitateak gehienez 16 10GE/GE lotura edo 8 100GE/40GE loturarako serieko babesa onar dezake.
4-Trafiko Prozesatzeko Gaitasun Adimendunak
4.1-Lerroko hedapena
Trafiko Espezifikoko Lerroko Babesa
Onartzen duLerroan(serieko)edozein trafiko mota espezifikoetarako babes modualerroanesteka.Toerabiltzaileak zehaztutako trafiko mota batzuk birbidalilerroanloturaLerroan Ssegurtasunagailuprozesatzeko, eta gainerako trafikoa zuzenean birbidaltzen da, zeharkatu gabeLerroan SsegurtasunagailuAldi berean,itfuntzionamendu-egoeraren jarraipena denbora errealean egiten duLerroan SsegurtasunagailuTrafiko-prozesamendu egoera anormala aurkitu ondoren,ittrafikoaren transmisio bidetik automatikoki saihestuko da sareko zerbitzuaren jarraitutasuna bermatzeko.
Trafiko Guztiaren Lerroko Babesa
Onartzen duLerroan(serieko)edozein trafiko motatarako babes modualerroanesteka.Totrafiko guztia transmititulerroanloturaLerroan Ssegurtasunagailuprozesatzeko, eta Inline Security-ren funtzionamendu-egoera kontrolatugailudenbora errealean. Trafiko-prozesamendu egoera anormala aurkitu ondoren,ittrafikoaren transmisio bidetik automatikoki saihestuko da sareko zerbitzuaren jarraitutasuna bermatzeko.
Karga-balantzea
Trafiko-karga orekatzeko gaitasun adimentsua du. Prozesatzeko errendimendua pertsona bakar baten...Lerroan Ssegurtasunagailuez da nahikoa aurre egitekolerroanlotura komunikazio trafikoa, esleitu dezakelerroanLotu trafikoa N Monitor interfazeetara karga-orekatze talde bat konfiguratuz. MAC, IP informazio, ataka zenbaki, protokolo eta bestelako informazioaren arabera,itaukerako Hash algoritmoaren karga orekatzeko irteera egiten du, horrelalerroanesteka trafikoa modu uniformean banatzen da hainbat arlotanlerroansegurtasunatresnas kluster prozesatzeko, eta horrek modu eraginkorrean hobetzen du prozesatzeko errendimendu orokorralerroansegurtasunatresnas. Banda-zabalera handiko eta trafiko handiko aplikazioen eszenatokietako eskakizunetara egokitzeko.
Bihotz-taupada paketeen detekzioa
Onartzen duTxetaRxbihotz-taupadak detektatzeko paketeak konektatutako goranzko eta beheranzko loturaren bidezlerroansegurtasun gailuak detektatzen ditu etalineako tresnakfuntzionamendu-egoera eta trafikoa prozesatzeko prozesua normala den ala ez. Bi norabideko bihotz-taupadakpaketedetekzio-mekanismoak zehatzago islatu dezake uneko funtzionamendu-egoeralerroansegurtasunagailu, eta sarearen funtzionamendu normala modu eraginkorragoan bermatzea.
Edozeinen bihotz-taupadaren parametroak pertsonaliza ditzakelerroansegurtasun-gailua, hala nola bihotz-taupadakTxtarte-denbora, gehienezko taupada-bihotz berriro saiatzeko denborak, taupadaTxnorabidea, etab. Akatsen egoera detektatu eta epaitu dezakelerroansegurtasun gailuak garaiz, eta babes-loturen saihesbide azkarra lortu.
Bihotz-taupadak detektatzeko paketeak Ethernet 2. geruzako marko lehenetsiak dira. 2. geruzako zubi modu gardena (IPS/FW adibidez) zabaltzen denean, 2. geruzako Ethernet markoak normal birbidaliko dira blokeatu edo galdu gabe. Aldi berean, Ethernet 2., 3. eta 4. geruzako bihotz-taupadak detektatzeko pakete pertsonalizatuak ere onar ditzake berezitasun batzuetara egokitzeko.lerroanSegurtasun-gailuek ezin dituzte normalean Ethernet 2. geruzako ohiko markoak birbidali.
Goiko mekanismoan oinarrituta, erabiltzaileek konektatutako segurtasun-gailuen zerbitzu-mailaren osasun-detekzio efektua lor dezakete, segurtasun-zerbitzuen ohiko funtzionamendua modu eraginkorragoan bermatzeko.
Saihesbide aldaketa
Bypass oso baxua onartzen dualdaketaatzerapena (<8ms), eta erabiltzaileek ia ez dute sarean duen eragina nabaritzen gailuak bypassa egiten dueneanaldaketaAldi berean, gailu espezifikoetarako lotura-aldaketa teknologiak berma dezake lotura nagusiaren lotura-egoera ez dela aldatzen bypass-ean zehar.aldaketaTeknologia honek saihesbidea bermatuko dualdaketaseguruagoa da, eta ez du babestutako esteken 2. / 3. geruzako topologia-protokoloa berriro kalkulatu eta konbergitzea eragingo, erabiltzaile-sarearen gaineko eragina minimizatzeko.aldaketa.
Trafiko blokeoa
Segurtasun-gailuak trafikoan saio-konexio ilegalak edo anormalak detektatzen dituenean eta garaiz blokeatu behar dituenean, gailuak goranzko/beheranzko trafikoan zehaztutako edozein pakete atzeman dezake.lerroanSareko zerbitzuen funtzionamendu segurua bermatzeko tupla bat etortzen diren iragazki-baldintzetan oinarritutako lotura.
Trafiko Ispilua
Lerroko estekaren eta Lerroko Segurtasun gailuaren (IPS, WAF bezalako) trafikoaren babesaz gain, edozein SPAN ispiluko trafiko SPAN segurtasun monitorizazio sistemara ere bidali daiteke (IDS, APT bezalakoak), trafiko datuen SPAN monitorizazioaren edo trafiko probak eta egiaztapenaren hedapen eskakizunak betetzeko.
SSL proxy-a
SSL proxy funtzioaren bidez, jatorrizko pakete enkriptatua desenkriptatu eta lineako segurtasun babes sistemara bidaltzen da, eta ondoren desenkriptatutako datuak leheneratu eta jatorrizko estekara bidaltzen dira, desenkriptatutako datuak lineako segurtasun babes sistemara emateko, erabiltzailearen jatorrizko estekan datu enkriptatuen transmisioan eraginik izan gabe, eta analisi sistemak datu enkriptatuen jarraipena eta azterketa egiteko.
4.2-SPAN hedapena
Sareko trafikoaren erreplikazioa
Onartzen duLerroan(serieko)edozein trafiko mota espezifikoetarako babes modualerroanesteka.Toerabiltzaileak zehaztutako trafiko mota batzuk birbidalilerroanloturaLerroan Ssegurtasunagailuprozesatzeko, eta gainerako trafikoa zuzenean birbidaltzen da, zeharkatu gabeLerroan SsegurtasunagailuAldi berean,itfuntzionamendu-egoeraren jarraipena denbora errealean egiten duLerroan SsegurtasunagailuTrafiko-prozesamendu egoera anormala aurkitu ondoren,ittrafikoaren transmisio bidetik automatikoki saihestuko da sareko zerbitzuaren jarraitutasuna bermatzeko.
Sareko trafikoaren agregazioa
Jatorrizko sarrerako trafikoa eta aurrez prozesatutako trafikoa N kanaleko seinalera kopiatu daitezke 1 kanaleko seinalearen arabera edo M kanaleko seinalera kopiatu daitezke N kanaleko seinalea GE, 10GE, 40G eta 100G linea-abiadurako birbidalketan agregatu ondoren, eta horrek sarean bi portu anitzeko entzuteko bypass gailu baino gehiago aldi berean zabaltzeko beharrak ezin hobeto konpontzen ditu.
Datuen banaketa/birbidalketa
Sarrerako metadatuak zehaztasunez sailkatu eta datu-zerbitzu desberdinak baztertu edo hainbat interfaze-irteerara bidali zituen erabiltzailearen arau aurrez definituen arabera.
Datu-paketeen iragazketa
Sarrerako datuak.trafikoazehaztasunez sailka daiteke, eta datu-zerbitzu desberdinak zerrenda zuriko edo zerrenda beltzeko arauak izan daitezke, eta interfazearen irteera anitz baztertu edo birbidali daitezke. Ethernet motaren, VLAN etiketaren, IP bost-tuplearen araberako konbinazio malgua onartzen du,TCPidentifikatzailea, paketeen ezaugarriak eta beste elementu batzuk sareko segurtasun ekipamenduen, protokoloen analisiak, seinaleztapenen analisiak eta bestelako trafikoaren monitorizazio-eskakizunak gehiago betetzeko.
Karga-balantzea
Aukerako Hash algoritmoaren karga-orekatzea L2-L4-ren barne- eta kanpoko geruzaren ezaugarrien arabera egin daiteke, jasotako datu-fluxuaren saioaren osotasuna bermatzeko.HEDAPENAmonitorizazio gailua. Loturaren egoera aldatzen denean, deskargatzen ari den portu taldeko kideek malgutasunez irten (lotura BEHERA) edo batu (lotura GORA) egin dezakete, eta deskargatzen ari den taldeak automatikoki birbanatu dezake trafikoa portuaren irteerako trafikoaren karga-oreka dinamikoa bermatzeko.
VLAN etiketatua
VLAN etiketatu gabea
VLANa ordezkatu da
Pakete baten lehen 128 byteetan edozein gako-eremuren bat etortzea onartzen da. Erabiltzaileak desplazamendu-balioa eta gako-eremuaren luzera eta edukia pertsonaliza ditzake, eta trafikoaren irteera-politika zehaztu erabiltzailearen konfigurazioaren arabera.
Denbora-zigilatzea
Onartua NTP zerbitzaria sinkronizatu ordua zuzentzeko eta mezua paketean idazteko denbora-etiketa erlatibo gisa, markoaren amaieran denbora-zigilu marka batekin, nanosegundoen zehaztasunarekin
Tunelaren kapsulatze-kentzea
Jatorrizko datu-paketean kendutako VxLAN, VLAN, GRE, GTP, MPLS eta IPIP goiburua onartzen da, eta irteera birbidali.
Datuen/Paketeen Mozketa
Onartzen dupakete zatiaJatorrizko datuak politika-mailako trafikoaren sarrera-interfazean eta irteera-interfazean oinarrituta sortzean (64, 96, 128, 160, 192, 224, 256, 288, 320, 384, 512, 640, 768, 896, 960 byte aukerakoak dira), eta trafikoaren irteera-politika erabiltzailearen konfigurazioaren arabera ezar daiteke.
Tunel Protokoloaren Identifikazioa
GTP / GRE / VxLAN / PPTP / L2TP / PPPOE / IPIP bezalako tunel-protokolo desberdinak automatikoki identifikatzen ditu. Erabiltzailearen konfigurazioaren arabera, trafikoaren irteerako estrategia tunelaren barneko edo kanpoko geruzaren arabera ezar daiteke.
Paketeen birbidaltze lehentasuna
Datu-paketeen lehentasunaren definizioa onartzen du sarrerako portuan zerbitzuaren garrantziaren arabera, eta lehentasun handiko paketeak irteeran lehentasunez birbidaltzen dira. Lehentasun handiko paketeak birbidaltzen direnean, lehentasun ertaineko eta baxuko beste pakete batzuk birbidaltzen dira. Saihestu datu-pakete garrantzitsuen faltagatik sortutako analisi-sistemaren alarmak.
Alarma anormala
Atalase-ezarpenetan oinarritutako interfazearen trafiko-joeren denbora errealeko monitorizazio-alarmak eta alarma-erregistro historikoak onartzen ditu. Gailuaren hardwarearen egoeran (CPU, memoria, tenperatura, haizagailua, elikatze-iturria, etab.) oinarritutako denbora errealeko monitorizazio-alarmak eta alarma-erregistro historikoak onartzen ditu.
Interfazearen babeskopia beroa
Sarrerako interfazearen 1+1 lehen mailako/egoitzako konfigurazioa, irteerako interfazearen 1+1 lehen mailako/egoitzako konfigurazioa eta karga-oreka taldearen N+1 lehen mailako/egoitzako konfigurazioa onartzen ditu sarreratik irteerarako trafiko-prozesuan fidagarritasun handia lortzeko.
Trafikoaren mikroizpien neurketa
Trafiko-mikro-leherketen gertatzeko ordua, iraupena eta leherketa-tasa denbora errealean detektatu ditzake, eta neurketa historikoen erregistroak gorde ditzake, eta horrek funtzionamendu eta mantentze-lanetarako arazoak konpontzeko eta pakete-galerak detektatzeko bide eta oinarri kuantifikagarriak eta behagarriak eskaintzen ditu.
Interfazearen Oszilazio Babesa
Edozein interfazeren lotura-igoera/jaitsiera oszilazio gertaerak detektatu eta babesten ditu, interfazeen lotura-igoera/jaitsiera maizengatik eragindako sarrera eta irteerako trafikoaren galera saihesteko eta trafikoaren bilketaren eta birbidalketaren egonkortasuna hobetzeko.
Tunelaren kapsulatze-irteera
ERSPAN2, GRE, VXLAN, NVGRE motako tunel-enkapsulazioa onartzen du bildutako trafikoaren eta irteeraren kasuan, bildutako trafikoa urruneko analisi-sistemara transmititzeko aplikazio-eskakizunak betetzeko.
Tunel Pakete Amaiera
Tunel mezuen amaiera funtzioa onartzen du. Funtzio honek IP helbideak/maskarak eta MAC helbideak konfiguratzeko aukera ematen du trafiko sarrera portuan. Erabiltzaile sarean bildu behar den trafikoa zuzenean transmititzea ahalbidetzen du tunel kapsulazio metodoen bidez, hala nola GRE, GTP eta VXLAN, gailuaren bilketa portuan.
SPAN SSL Deszifratzea
Dagokion SSL ziurtagiriaren deszifratzea kargatzea onartzen da. Zehaztutako trafikoaren HTTPS enkriptatutako datuak deszifratu ondoren, behar den moduan atzeko aldeko monitorizazio eta analisi sistemetara birbidaliko dira. TLS1.0, TLS1.2 eta SSL3.0 onartzen dira.
Datuen/Paketeen Desbikoizpena
Onartutako ataka-oinarritutako edo politika-mailako granularitate estatistikoa hainbat bilduma-iturri-datu eta datu-pakete beraren errepikapenak une jakin batean alderatzeko. Erabiltzaileek pakete-identifikatzaile desberdinak aukera ditzakete (dst.ip, src.port, dst.port, tcp.seq, tcp.ack, dst.mac, src.mac, vlan.id).
Sailkatutako datak maskaratzea
Informazio sentikorra babesteko helburua lortzeko datu gordinen edozein eremu gako ordezkatzeko politika-oinarritutako granularitatea onartzen da. Erabiltzailearen konfigurazioaren arabera, trafikoaren irteera-politika ezar daiteke.
APP Geruzako Protokoloaren Identifikazioa
DNS/URL bat etortze moduan oinarritutako Aplikazio Geruzako Protokoloen identifikazioa, irteera eta bazterketa onartzen ditu. DPI funtzioen liburutegia integra daiteke gutxienez 1800 aplikazio protokolo mota (adibidez, audioa eta bideoa, jokoak, berehalako mezularitza, datu-basea, posta elektronikoa, P2P, etab.) ezagutzeko, irteera eta baztertzeko, eta DPI funtzioen liburutegia eguneratu eta eguneratu daiteke. Behar bereziak badaude, bigarren mailako garapena ere egin daiteke.
Erabiltzaileak definitutako paketeen deskapsulazioa
Paketeen deskapsulazio autodefinituaren funtzioa onartzen du, paketearen lehen 128 byte-etako edozein posiziotan kapsulazio-eremuak eta edukia kendu eta irteerara bidaltzeko gai dena.
Trafikoa moldatzea
Aldi berean, trafikoaren moldaketa teknologia erabiltzen da irteera interfazean datu-fluxua analisi tresnara leunki bidaltzeko, eta horrek funtsean konpontzen du mikro-leherketak eragindako pakete-galera fenomenoa eta analisi sisteman trafiko-galerak eragindako alarma anormala saihesten du.
Paketeen gako-hitzaren parekatzea
Paketearen karga-zatiko edozein eremu-eduki bat etorri eta aurkitu ondoren, lotutako paketea edo saio-fluxua birbidaltzen eta irteeran bidaltzen edo baztertzen da trafiko-datu espezifikoen aurreprozesatzeko eskakizunak betetzeko.
Tunelaren kapsulatze-kentzea
VXLAN, MPLS, GRE, SRV6, FABRICPATCH, GENEVE eta beste pakete-goiburu batzuen irteera onartzen du jatorrizko datu-paketean, kendu ondoren.
Iraupen luzeko konexioen deskargatzea
Erabiltzailearen beharren arabera, edozein saio-fluxu birbidali eta irteerara bidali daiteke transmititutako byte kopuruaren eta transmititutako pakete kopuruaren arabera, eta ondorengo saio-fluxua baztertu daiteke, atzeko analisi-sistemaren eskakizunak betetzeko zenbait egoeratan, zeinak saio-fluxuaren trafikoaren zati bat bakarrik lortu behar duen, trafiko-analisiaren presioa murriztu eta analisi-sistemaren eraginkortasuna hobetu.
Trafikoaren analisi estatistikoa
Edozein sarrera-interfazeko trafikoaren osagaien estatistikak onartzen ditu, eta trafikoaren joeraren tamaina, IP helbidearen trafikoaren tamaina/proportzio TOPN, aplikazio-protokolo kategoriaren trafikoaren tamaina/proportzio TOPN, aplikazio-protokolo izenaren trafikoaren tamaina/proportzio TOPN eta trafiko-saioaren informazioa denbora errealeko grafiko moduan bistaratu ditzake, eta emaitza estatistikoak tokiko fitxategietara esportatzeko aukera ematen du. Horrela, erabiltzaileek bildutako edozein trafikoren osaera-egitura argiago uler dezakete, eta datu-laguntza oinarri zuzenena eskaintzen dute trafiko-estrategiak pertsonalizatzeko eta negozio-eskakizun aldakorrak egiteko.
Trafikoaren Ikusgarritasuna - Oinarrizko Datuen Analisia
Trafiko-bistaratze detekzio funtzioaren oinarrizko analisi moduluak jasotako helburuko trafiko-datuen oinarrizko informazioa erakuts dezake, hala nola pakete kopurua, unicast/multicast/broadcast paketeen banaketa, saio konexio zenbakia, pakete protokolo banaketa eta jasotako trafikoaren tamaina.
Trafikoaren ikusgarritasuna - DPI analisi sakona
Trafikoaren ikusgarritasuna detektatzeko funtzioaren DPI analisi sakonaren moduluak jasotako trafiko-datuen analisi sakona egin dezake hainbat ikuspegitatik, eta estatistika zehatzak aurkez ditzake grafiko eta taula moduan.
Trafikoaren Ikusgarritasuna - Trafikoaren Proportzioaren Azterketa
● Garraio geruzaren protokoloaren proportzioaren azterketa: hala nola TCP, UDP, ICMP, IGMP, ARP eta beste pakete-proportzio eta trafiko-estatistikak eta zirkulu-diagrama bistaratzea
● IP trafikoaren proportzioaren azterketa: IP helbide ezberdinek sortutako trafiko-estatistikak, IP oinarritutako trafikoaren sailkapena TOP N eta barra-diagramaren bistaratzea
● DPI aplikazioaren proportzioaren analisia: hala nola HTTP, QQ, FTP eta beste aplikazio-protokolo batzuk, byte kopurua, komunikazio-trafikoaren banaketa estatistikoa eta zirkulu-diagrama bistaratzea
Trafikoaren Ikusgarritasuna - Trafikoaren Denbora-lerroaren Azterketa
Iragazketa-baldintza desberdinen arabera, hala nola IP, ataka, garraio-geruzako protokoloa, aplikazio-geruzako protokoloa eta bestelako eduki zehaztuak, uneko helburuko trafiko-datuak aztertu eta aurkez daitezke laginketa-denboraren arabera, eta trafikoaren tamaina eta joera kontsulta daitezke denbora-graduatzailea eta granularitate-eskalatze estatistikoa mugituz, eta zehaztasuna 1 milisegundora irits daiteke.
Trafikoaren Ikusgarritasuna – Fluxu Taularen Azterketa
Iragazki-baldintza desberdinen arabera, hala nola fluxuaren IDa, IP helbidea, ataka, garraio-geruzako protokoloa, aplikazio-geruzako protokoloa eta bestelako eduki zehaztuak, uneko helburuko trafiko-datuak aztertu eta zenbatu daitezke saio-fluxuaren moduaren arabera, hau da, saio-fluxuaren informazioaren aurkezpen zehatza, fluxu bakoitzaren bost tuplako informazioa, garraiatzen duen aplikazio mota, paketeen transmisioaren kopurua eta byteak eta lotutako datu-fluxua barne. Eta goiko informazioan oinarritutako sailkapen-pantaila bat du. Informazio honetan oinarrituta, erabiltzaileek erraz aukeratu ditzakete interesatzen zaizkien trafiko motak, eta horrek oinarri zuzenena eskaintzen die erabiltzaileei trafikoa birbidaltzeko politikak formulatzeko.
Trafikoaren ikusgarritasuna – Paketeen azterketa
Iragazketa-irizpide desberdinetan oinarrituta, hala nola paketearen IDa, IP helbidea, ataka, garraio-geruzako protokoloa, aplikazio-geruzako protokoloa eta bestelako edukia, jasotako helburuko trafiko-datuak pakete bakoitzeko analisi-aurkezpen batekin eman daitezke, besteak beste:
● Paketeen bilketa denbora-zigiluaren azterketa
● Gako-paketeen informazioaren azterketa, hala nola sip, dip, smac, dmac, protokoloa, bandera, TTL, mezuaren luzera, gako-gertaerak
● Paketeen transmisio-bidearen analisia eta animazioen bistaratzea, hala nola: birbidaltze-denborak, birbidaltze-atzerapena, birbidaltze-mota (bideratzea, kommutazioa, suebakia, karga-orekatzea, NAT)
● Paketearen informazioaren laburpena eta egitura zehatzaren bistaratzea
● Paketeen bilduma errepikatuen kopuruaren azterketa
Trafikoaren Ikusgarritasuna – Akatsen Azterketa Zehatza
Trafikoaren ikusgarritasun detekzio funtzioaren akatsen analisi moduluak hainbat akatsen analisi bisualen kokapena eman dezake jasotako helburuko trafiko datuetarako, besteak beste:
● Ikuspegi anormala, adibidez: sareko zerbitzuen analisi emaitzak, gertakari anormalen analisi emaitzak, portaera analisian oinarritutako sareko prozesua (adibidez, bideratze gailuen kopurua, NAT gailuak, suebaki gailuak, paketeen transmisioak igarotako karga orekatzeko gailuak)
● Fluxu-taula mailan hutsegiteen azterketa, hala nola gertaera anormal motak (konexioa ukatuta/konexioa ez da erantzuten/konexioa ez da datu transmisiorik/konexioa erdi irekita/saioaren bidea eskuraezina, etab.), ● Pakete mailako hutsegiteen azterketa, hala nola: gertaera anormal mota (paketearen kontrol-baturaren errorea /TTL 0/ eskuraezina den errorea /FCS kontrol-baturaren errorea, etab.), informazio anormalaren deskribapen zehatza eta lotutako datu-fluxuaren xehetasunak.
● Segurtasun-akatsen azterketa, hala nola: gertaera anormal mota (DDOS erasoa/suebakiaren blokeoa/ARP erasoa/UDP uholdea/SYN FLOOD, etab.), informazio anormalaren deskribapen zehatza eta lotutako datu-fluxuaren xehetasunak.
● Sareko akatsen azterketa, hala nola: gertaera anormal mota (kommutazio begizta/bideratze begizta/bide iristezina/lotura etenaldia, etab.), informazio anormalaren deskribapen zehatza eta lotutako datu-fluxuaren xehetasunak.
5-Mylinking™ Sareko Paketeen Brokerra gehi Inline Bypass Switch-aren zehaztapenak
| ML-SAIHESTUBIDEA-M2000 Mylinking™ Sareko Paketeen Brokerra gehi Lineako Saihesbide Etengailua Funtzio-espezifikazioak | ||||
| Sareko interfazea | Moduluaren zirrikitua | 4 BYPASS edo MONITOR modulu zirrikitu | ||
| Lerroko esteken kopurua | Gehienez 16 1G/10G lotura optiko edo 8 40G/100G lotura optiko babesten ditu. | |||
| Monitorearen monitorizazio interfazea | Gehienez 64 * 1G / 10GE monitorizazio interfaze edo 16 * 40G / 100G monitorizazio interfaze onartzen ditu. | |||
| Bandatik kanpoko kudeaketa interfazea | 1*10/100/1000M Ethernet ataka; | |||
| Hedapen modua | Lerroko hedapena | Laguntza | ||
| SPAN hedapena | Laguntza | |||
| Sistemaren funtzioak | Lerroko hedapen modua | Fluxu espezifikoaren kateatze babesa | Laguntza | |
| Fluxu-serieko babes osoa | Laguntza | |||
| Karga-orekatzea | Laguntza | |||
| Bihotz-taupadak detektatzea | Laguntza | |||
| BYPASS kommutazioa | Laguntza | |||
| Trafiko blokeoa | Laguntza | |||
| Trafiko islatzea | Laguntza | |||
| SSL proxy-a | Laguntza | |||
| SPAN hedapen modua | Oinarrizko trafikoaren prozesamendua | Trafikoaren erreplikazioa/agregazioa/banaketa | Laguntza | |
| Karga-orekatzea | Laguntza | |||
| Trafiko-iragazketa IP/protokolo/portu 5-tupla identifikatzailean oinarrituta | Laguntza | |||
| VLAN etiketatzea/aldaketa/ezabatzea | Laguntza | |||
| Denbora-zigilatzea | Laguntza | |||
| Tunelaren kapsulatze-kentzea | Laguntza | |||
| Datuen xerratzea | Laguntza | |||
| Tunel Protokoloaren Identifikazioa | Laguntza | |||
| Paketeen birbidaltze lehentasuna | Laguntza | |||
| Abisu anormala | Laguntza | |||
| Interfazearen itxarote beroa | Laguntza | |||
| Mikro-leherketa neurketa | Laguntza | |||
| Interfazearen oszilazio babesa | Laguntza | |||
| Tunelaren kapsulatze-irteera | Laguntza | |||
| Tunel paketeen amaiera | Laguntza | |||
| Trafiko-prozesamendu aurreratua | Saihestu SSL deszifratzea | Laguntza | ||
| Datuen deduplikazioa | Laguntza | |||
| Datuen maskaratzea | Laguntza | |||
| Aplikazio geruzako protokoloaren identifikazioa | Laguntza | |||
| Deskapsulazio pertsonalizatua | Laguntza | |||
| Fluxuaren moldaketa | Laguntza | |||
| Gako-hitzaren parekatzea | Laguntza | |||
| Tunelaren kapsulatze-kentzea | Laguntza | |||
| Iraupen luzeko konexioaren deskargatzea | Laguntza | |||
| Fluxuaren osagaien behaketa | Laguntza | |||
| Diagnostikoa eta monitorizazioa | Denbora errealeko monitorizazioa | Laguntza | ||
| Trafiko historikoaren kontsulta | Laguntza | |||
| Trafiko-harrapaketa | Laguntza | |||
| Trafikoaren bistaratze detekzioa | Oinarrizko analisia | Pakete kopurua, pakete motaren banaketa, saio konexio kopurua eta pakete protokoloen banaketa bezalako oinarrizko informazioan oinarritutako laburpen estatistikoen bistaratzea onartzen du. | ||
| DPIren analisi sakona | Garraio geruzako protokoloen proportzioaren, unicast, broadcast eta multicast proportzioaren, IP trafikoaren proportzioaren eta DPI aplikazioen proportzioaren analisia onartzen du. Datuen edukiaren analisia eta aurkezpena onartzen ditu laginketa-denboraren eta datu-bolumenaren arabera. Datuen analisia eta estatistikak onartzen ditu saio-jarioetan oinarrituta. | |||
| Akatsen analisi zehatza | Trafiko-datuak hainbat ikuspegitatik erabiliz akatsen analisia eta lokalizazioa onartzen ditu, besteak beste: paketeen transmisio-portaeraren analisia, datu-jario mailako akatsen analisia, datu-pakete mailako akatsen analisia, segurtasunarekin lotutako akatsen analisia eta sarearekin lotutako akatsen analisia. | |||
| Prozesatzeko ahalmena | 2,4 Tbps | |||
| Kudeatu | KONTSOLA Sarearen Kudeaketa | Laguntza | ||
| IP/WEB Sarearen Kudeaketa | Laguntza | |||
| SNMP sarearen kudeaketa | Laguntza | |||
| TELNET/SSH sarearen kudeaketa | Laguntza | |||
| SYSLOG protokoloa | Laguntza | |||
| RADIUS edo TADACS+ baimen-autentifikazio zentralizatua | Laguntza | |||
| Erabiltzailearen autentifikazio funtzioa | Erabiltzaile-izenaren eta pasahitzaren autentifikazioa | |||
| Elektrikoa | Energia-iturri tentsio nominala | AC-220V/DC-48V [Aukerakoa] | ||
| Potentzia-maiztasun nominala | AC-50Hz | |||
| Sarrerako korronte nominala | AC-3A / DC-10A | |||
| Potentzia funtzional nominala | Gehienez 300W | |||
| Ingurumena | Funtzionamendu-tenperatura | 0-50℃ | ||
| Biltegiratze tenperatura | -20-70℃ | |||
| Funtzionamenduko hezetasuna | % 10-% 95, kondentsaziorik gabe | |||
| Erabiltzailearen konfigurazioa | Kontsolaren konfigurazioa | RS232 interfazea, 115200, 8, N, 1 | ||
| Pasahitz autentifikazioa | Slaguntza | |||
| Errakaldearen tamaina | Rack espazioa (U) | 2U 444mm*88mm*670mm | ||
6-Mylinking™ Sareko Paketeen Broker gehi Inline Bypass Switch Aplikazioa
6.1TheRisk ofS lerrokatuasegurtasunaEekipamendua (IPS / FW)
Jarraian, IPS (Intrusion Prevention System), FW (Firewall) hedapen modu tipikoa aurkezten da. IPS/FW sareko ekipoetan (routerretan, etengailuetan, etab.) seriean zabaltzen da trafikoaren artean, segurtasun-egiaztapenak ezarriz, dagokion segurtasun-politikaren arabera dagokion trafikoa askatu edo blokeatu zehazteko, segurtasun-defentsaren efektua lortzeko.
Jarraian, IPS (Intrusion Prevention System), FW (Firewall) hedapen modu tipikoa aurkezten da. IPS/FW sareko ekipoetan (routerretan, etengailuetan, etab.) seriean zabaltzen da trafikoaren artean, segurtasun-egiaztapenak ezarriz, dagokion segurtasun-politikaren arabera dagokion trafikoa askatu edo blokeatu zehazteko, segurtasun-defentsaren efektua lortzeko.
6.2 Inline Link Serieko Ekipamenduen Babesa
Mylinking™ Network Packet Broker gehi Inline Bypass Switch sareko gailuen (routerrak, switchak, etab.) artean seriean zabaltzen da, eta sareko gailuen arteko datu-fluxuak ez du zuzenean IPS/FWra eramaten, "Smart Inline Bypass Switch" IPS/FWra. IPS/FW gainkarga, kraskadura, software eguneratze, politika eguneratze edo bestelako akatsen ondorioz gertatzen denean, "Smart Inline Bypass Switch"-ek bihotz-taupada mezuen detekzio funtzio adimenduna erabiltzen du garaiz aurkitzeko, eta horrela gailu akastuna saltatzeko, sarearen premisa eten gabe. Sareko ekipamendua zuzenean konektatuta dago komunikazio sarea babesteko; IPS/FW akatsen berreskurapena egiten denean, baina baita bihotz-taupada paketeen detekzio funtzio adimendunaren bidez ere, jatorrizko esteka enpresaren sarearen segurtasun egiaztapenak berreskuratzeko.
Mylinking™ Network Packet Broker gehi Inline Bypass Switch-ek bihotz-taupada mezuak detektatzeko funtzio adimendun indartsua du. Erabiltzaileak bihotz-taupada tartea eta gehienezko saiakera kopurua pertsonaliza ditzake, IPS / FW-n osasun-probak egiteko bihotz-taupada mezu pertsonalizatu baten bidez, hala nola, bihotz-taupada egiaztatzeko mezua IPS / FW-ren goranzko / beheranzko portuan bidaliz, eta ondoren IPS / FW-ren goranzko / beheranzko portutik jasoz, eta IPS / FW-k normal funtzionatzen duen ala ez epaituz bihotz-taupada mezua bidaliz eta jasoz.
6.3 “SpecFlow” politika-fluxua lerroanSegurtasunaSeriearen Babesa
Segurtasun-sareko gailuak serieko segurtasun-babeseko trafiko espezifikoarekin bakarrik lan egin behar duenean, Mylinking™ Network Packet Broker gehi Inline Bypass Switch trafikoaren prozesaketa-funtzioaren bidez, trafiko-baheketa politikaren bidez lineako segurtasun-gailura konektatzeko. "Kezkatutako" trafikoa zuzenean sareko estekara bidaltzen da, eta "kezkatutako trafikoaren atala" lineako segurtasun-gailura eramaten da segurtasun-egiaztapenak egiteko. Horrek ez du segurtasun-gailuaren segurtasun-detekzio funtzioaren aplikazio normala mantenduko bakarrik, baita segurtasun-ekipoen presioari aurre egiteko fluxu ez-eraginkorra murriztuko ere; aldi berean, "Smart Inline Bypass Switch"-ek segurtasun-gailuaren funtzionamendu-egoera denbora errealean detektatu dezake. Segurtasun-gailuak modu anormalean funtzionatzen du eta datu-trafikoa zuzenean saihestu egiten du sareko zerbitzua etenik ez izateko.
Mylinking™ Network Packet Broker gehi Inline Bypass Switch-ak trafikoa identifikatu dezake L2-L4 geruzako goiburuaren identifikatzailean oinarrituta, hala nola VLAN etiketa, iturburu/helmugako MAC helbidea, iturburu IP helbidea, IP pakete mota, garraio geruzako protokolo ataka, protokolo goiburuaren gako etiketa, etab. Hainbat bat etortze baldintza konbinazio malgu defini daitezke segurtasun gailu jakin batentzat interesgarriak diren trafiko mota espezifikoak definitzeko, eta segurtasun auditoria gailu bereziak (RDP, SSH, datu-base auditoria, etab.) zabaltzeko erabil daitezke.
6.4Lkarga orekatuaSegurtasun linealaSeriearen Babesa
Mylinking™ Network Packet Broker gehi Inline Bypass Switch sareko gailuen (router, switch, etab.) artean seriean zabaltzen da. IPS/FW prozesatzeko errendimendu bakarra ez denean nahikoa sareko loturaren trafiko puntakoari aurre egiteko, babeslearen trafiko-karga orekatzeko funtzioak, hainbat IPS/FW kluster prozesatzeko sareko lotura trafikoa "multzokatzeak", IPS/FW bakarreko prozesatzeko presioa eraginkortasunez murriztu dezake, prozesatzeko errendimendu orokorra hobetuz hedapen-ingurunearen banda-zabalera handia asetzeko.
Mylinking™ Network Packet Broker gehi Inline Bypass Switch-ek karga-oreka funtzio indartsua du, VLAN etiketaren, MAC informazioaren, IP informazioaren, ataka-zenbakiaren, protokoloaren eta trafikoaren Hash karga-orekatzearen banaketaren arabera, IPS/FW bakoitzak jasotako datu-fluxuaren saioaren osotasuna bermatzeko.
6.5Serie anitzekoaLerroko ekipamendua FbaxuaTerrakzioPbabesa(AldatuFisikoaSerieko konexioaLogikoaKonexio paraleloa)
Lotura gako batzuetan (Interneteko entxufeak, zerbitzarien eremuko truke-loturak, adibidez), kokapena askotan segurtasun-ezaugarrien beharrengatik eta hainbat segurtasun-proba-ekipo lineal (suebakia, DDOS erasoen aurkako ekipoak, WEB aplikazioen suebakia, intrusioak prebenitzeko ekipoak, etab.) hedatzeagatik gertatzen da. Hainbat segurtasun-detekzio-ekipo aldi berean seriean jartzen dira estekan, hutsegite-puntu bakarreko lotura handitzeko, sarearen fidagarritasun orokorra murriztuz. Eta aipatutako segurtasun-ekipoen lineako hedapenean, ekipoen eguneratzeetan, ekipoen ordezkapenetan eta beste eragiketa batzuetan, sarearen zerbitzu-etenaldi luzeak eta proiektu handiagoen etenaldiak eragingo dira proiektu horien inplementazio arrakastatsua burutzeko.
Mylinking™ Network Packet Broker gehi Inline Bypass Switch modu bateratuan zabalduz, seriean konektatutako hainbat segurtasun-gailuren hedapen-modua "Serieko Konexio Fisiko Modutik" "Konexio Paralelo Fisiko baina Serieko Konexio Logiko Modura" alda daiteke. Horrek serieko loturan hutsegite-puntu bakarreko iturriak murrizten ditu eta loturaren fidagarritasuna hobetzen du. Aldi berean, Mylinking™ Network Packet Broker gehi Inline Bypass Switch-ek lotura-trafikoa eskaeraren arabera gidatu dezakete, jatorrizko serieko konexio moduaren trafiko-segurtasun-prozesamendu efektu bera lortuz.
Seriean aldi berean Inline Security gailu bat baino gehiagoren hedapen diagrama:
Mylinking™ Sareko Pakete Broker gehi Inline Bypass Switch-aren Hedapen Diagrama:
(Aldatu konexio serie fisikoa konexio paralelo logikora)
6.6Honetan oinarritutaDpolitika dinamikoaTLerroan trafikoaSsegurtasunaDhauteskundePbabesa
Mylinking™ Network Packet Broker gehi Inline Bypass Switch, beste aplikazio aurreratu baten eszenatokia, trafikoaren trakzio-segurtasun detekzioaren babes-aplikazioen politika dinamikoan oinarritzen da, behean erakusten den moduan hedatuta:
Adibidez, "Anti-DDoS erasoen aurkako babesa eta detekzioa" segurtasun-probak egiteko ekipoa hartu, "Smart Bypass Switch" aurrealdean zabalduz eta ondoren DDOS aurkako babes-ekipoa erabiliz, eta ondoren "Smart Bypass Switch"-era konektatuta. Ohiko "Smart Bypass Switch" moduan, trafikoaren kable-abiadura osoa birbidaltzen da, aldi berean fluxu-ispiluaren irteera "Anti-DDOS erasoen aurkako babes-gailura". Behin erasoaren ondoren zerbitzariaren IP bat (edo IP sare-segmentu bat) detektatu ondoren, "Anti-DDOS erasoen aurkako babes-gailuak" helburuko trafiko-fluxuaren parekatze-arauak sortuko ditu eta "Smart Bypass Switch"-era bidaliko ditu politika dinamikoen bidalketa-interfazearen bidez. "Bypass Switch"-ek "trafiko-trakzio dinamikoa" eguneratu dezake politika dinamikoen arauak jaso ondoren, "arau multzoa" eta berehala eraso-zerbitzariko trafikoaren "trakzioa" eragiten du "Anti-DDoS erasoen aurkako babesa eta detekzioa" ekipora prozesatzeko, eraso-fluxuaren ondoren eraginkorra izan dadin eta gero sarean berriro txertatzeko.
"Smart Bypass Switch"-ean oinarritutako aplikazio-eskema errazagoa da ezartzeko BGP ibilbide-injekzio tradizionala edo beste trafiko-trakzio eskema batzuk baino, eta ingurunea sarearekiko gutxiago menpekoa da eta fidagarritasuna handiagoa da.
"Smart Bypass Switch"-ek ezaugarri hauek ditu segurtasun-detekzio dinamikoaren babesa laguntzeko:
1. "Saihesbide Adimendunaren etengailua" WEBSERVICE interfazean oinarritutako arauetatik kanpo eskaintzeko, hirugarrenen segurtasun gailuekin integrazio erraza.
2. "Smart Bypass Switch", hardware puruko ASIC txipan oinarritutako "Smart Bypass Switch", 100 Gbps-ko kable-abiadurako paketeak birbidaltzen dituena etengailuaren birbidalketa blokeatu gabe, eta "trafiko-trakzioaren arau dinamikoen liburutegia", kopurua edozein dela ere.
3. "Smart Bypass Switch" funtzio profesional integratuak, babesleak berak huts egiten badu ere, jatorrizko serieko lotura berehala saihestu dezake, komunikazio normalaren jatorrizko loturan eraginik gabe.
6.7Serieko trafikoaren islatzea lineanBandatik kanpoko segurtasunerako (lerroan + SPAN)
Mylinking™ Network Packet Broker gehi Inline Bypass Switch normalean bezero baten IT sarean edo hodeiko plataforma sarean zabaltzen da WAF/IPS gailuentzako eta jatorrizko estekaren lineako babesa emateko. Erabiltzaileek probatzeko, egiaztatzeko edo bypass monitorizazio gailuak zabaltzeko eskakizun gehigarriak ere izan ditzakete, eta horrek esteka horretan trafiko datuak eskuratzea eskatzen du.
Beraz, Mylinking™ Network Packet Broker gehi Inline Bypass Switch-aren trafikoaren islatze funtzioa erabiliz, lineako serieko estekaren trafikoa monitore atakatik islatu daiteke, hurrengo irudian erakusten den bezala:
Beheko diagramak lineako esteka-trafikoaren eta etengailuaren islatutako ataka-trafikoaren aplikazio-eszenatoki zabaldu bat erakusten du. Horri esker, lineako esteka-trafikoaren babesa ahalbidetzen da etengailuaren islatutako ataka-trafikoaren eraginik gabe. IDS analisi-sistemak aldi berean lineako esteka-trafikoa eta etengailuaren islatutako ataka-trafikoa eskura ditzake. Hedapen-metodoa beheko diagraman erakusten da:
6.8Datuen/Paketeen DesbikoizpenaAplikazioa
Goiko aplikazioaren hedapen-egituran erakusten den bezala, jatorrizko datu-bilketaren osotasuna lotura osoan zehar bermatzeko, datu-pakete berdin batzuk hainbat aldiz bil daitezke bide bakarrean. Horrek alarma faltsuak eta birtransmisioak areagotzea dakar atzeko sisteman, analisi-sistemaren errendimendu-gainkarga handituz eta analisiaren zehaztasunean eta eraginkortasunean eraginez. Irtenbidean oinarrituta, lehenik eta behin, datu-pakete bikoiztuak nodo ezberdinetan desduplikatzen dira. Datu-pakete bakarra birbidaltzen da atzeko NPM sarearen errendimenduaren analisi-sistemara eta APM aplikazioaren errendimenduaren analisi-sistemara, horrela analisi-sistemaren errendimendua aurreztuz eta analisiaren eraginkortasuna eta zehaztasuna hobetuz.
6.9Datuak/PaketeaVLAN etiketaingAplikazioa
Goiko diagraman erakusten den sare-ingurunean, irtenbidea sareko gailu eta lotura-nodo desberdinetako datu gordinak etiketatzeko erabiltzen da. Sarean trafiko edo datu-pakete anormalak gertatzen direnean, backend analisi-ekipoek datu anormalen iturria azkar eta zehaztasunez aurki dezakete datu-etiketetan oinarrituta atzera eginez.
6.10 Sareko trafikoaOrdutegi bateratuaAplikazioa
Goiko diagraman erakusten den sare-ingurunean, 10GE, 25GE, 40GE eta 100GE iturburu-lotura-datu anitz sartzen dira Mylinking™ Network Packet Broker gehi Inline Bypass Switch-era, banaketa optikoa edo ataka-ispilua erabiliz. Ondoren, iragazketa eta trafiko-banaketa erabiltzen dira zerbitzu-datuen trafiko desberdina sareko monitorizazio eta segurtasun-sistemako gailu desberdinetara bidaltzeko. Sareko paketeen anomaliek edo trafiko-gorabehera anormalek eskuzko esku-hartzea behar dutenean, denbora errealeko paketeak harrapatzea eta jatorrizko datu-paketeen azterketa berehala egin daiteke, erabiltzaileei akatsa azkar aztertu eta kokatzen laguntzeko.
6.11SareaTrafiko Datuen Ikusgarritasun AzterketaAplikazioa
Detektatu eta jasotako edozein datu modu multidimentsional eta multiperspektiban aurkez dezake, erabiltzaileentzako interfaze grafiko eta testual interaktibo baten bidez, besteak beste, trafikoaren osaera-egitura, aplikazio-protokoloaren banaketa, sareko nodo guztien trafikoaren banaketa, datuen transmisio-bidea, gertaera anormalen detekzioa, sareko elementuen/loturaren akatsen kokapen zehatza, mezuen interakzio-egoera, trafikoaren garapen-joera eta monitorizazio eta analisietarako beste alderdi batzuk, enpresa-sareetarako datu-bilketa eta segurtasun-plataforma integral, ikusgarri eta kontrolagarri bat ezartzeko.
