Mylinking™ Sareko Haririketako Saihesbide Etengailua ML-BYPASS-100
2 * Bypass gehi 1 * Monitore Diseinu Modularra, 10/40/100GE Loturak, Gehienez 640 Gbps
Ikuspegi orokorrak
Mylinking™ Sareko Sareko Saihesbide Kommutadorea ikertu eta garatu da hainbat segurtasun-ekipo mota linealen hedapen malgurako erabiltzeko, sarearen fidagarritasun handia eskainiz.
Mylinking™ Smart Bypass Switch Tap zabalduz:
- Erabiltzaileek segurtasun-ekipoak/tresnak malgutasunez instalatu/desinstalatu ditzakete eta ez dute egungo sarea eragingo edo etengo;
- Mylinking™ Sareko Saihesbidearen etengailua osasuna detektatzeko funtzio adimendunarekin, lineako segurtasun-gailuen funtzionamendu-egoera normala denbora errealean monitorizatzeko. Lineako segurtasun-gailuek salbuespen bat egiten badute, babes-funtzioa automatikoki saihestuko da sareko komunikazio normala mantentzeko;
- Trafiko-babeserako teknologia selektiboa erabil daiteke trafikoa garbitzeko segurtasun-ekipo espezifikoak zabaltzeko, auditoria-ekipoetan oinarritutako enkriptazio-teknologia. Trafiko mota espezifikorako sarbide-babesa eraginkortasunez gauzatu, lineako gailuaren fluxu-manipulazio-presioa arinduz;
- Trafiko Karga Orekatuaren Babeserako teknologia erabil daiteke serieko segurtasun-gailu seguruak klusterizatuta zabaltzeko, banda-zabalera handiko inguruneetan lineako segurtasuna betetzeko.
Sarearen Saihesbidearen Aldagailua Ezaugarri eta Teknologia Aurreratuak
Mylinking™ “SpecFlow” Babes Modua eta “FullLink” Babes Modua
Mylinking™ Saihesbide Azkarrerako Kommutazio Babesa
Mylinking™ “LinkSafeSwitch”
Mylinking™ “WebService” estrategia dinamikoa birbidaltzea/arazoa
Mylinking™ Bihotz-taupada mezuen detekzio adimenduna
Mylinking™ Bihotz-taupada mezu definigarriak (bihotz-taupada paketeak)
Mylinking™ esteka anitzeko karga-orekatzea
Mylinking™ Trafiko Banaketa Adimenduna
Mylinking™ Karga-oreka dinamikoa
Mylinking™ Urruneko Kudeaketa Teknologia (HTTP/WEB, TELNET/SSH, “EasyConfig/AdvanceConfig” Ezaugarria)
Sareko Saihesbidearen Aukerako Konfigurazio Gida
BYPASS moduluaBabes-ataka moduluaren zirrikitua:
Zirrikitu hau abiadura/portu zenbaki desberdineko BYPASS babes ataka moduluan sar daiteke. Modulu mota desberdinak ordezkatuz, 10G/40G/100G lotura anitzen BYPASS babesa onar dezake.
MONITOR moduluaPortu Moduluaren Zirrikitua;
Zirrikitu honetan MONITOR modulua sartu daiteke abiadura/portu ezberdinekin. 10G/40G/100G-ko hainbat lotura onar ditzake serieko monitorizazio gailuen hedapenerako, modulu desberdinak ordezkatuz.
Moduluen Hautaketa Arauak
Hedapen-lotura desberdinen eta monitorizazio-ekipoen hedapen-eskakizunen arabera, malgutasunez aukeratu ditzakezu modulu-konfigurazio desberdinak zure benetako ingurunearen eskaera asetzeko; jarraitu arau hauek modulua hautatzerakoan:
1. Txasisaren osagaiak derrigorrezkoak dira eta beste edozein modulu aukeratu aurretik txasisaren osagaiak hautatu behar dituzu. Aldi berean, aukeratu zure beharren arabera elikatze-iturri desberdinak (AC/DC).
2. Gailu osoak gehienez 2 BYPASS modulu zirrikitu eta MONITOR modulu zirrikitu 1 onartzen ditu; ezin duzu konfiguratzeko zirrikitu kopurua baino gehiago hautatu. Zirrikitu kopuruaren eta modulu modeloaren konbinazioaren arabera, gailuak gehienez lau 10GE lotura babes onar ditzake; edo gehienez lau 40GE lotura onar ditzake; edo gehienez 100GE lotura bat onar dezake.
3. "BYP-MOD-L1CG" modulu-eredua SLOT1-en bakarrik sartu daiteke behar bezala funtzionatzeko.
4. "BYP-MOD-XXX" motako modulua BYPASS moduluaren zirrikituan bakarrik sar daiteke; "MON-MOD-XXX" motako modulua MONITOR moduluaren zirrikituan bakarrik sar daiteke funtzionamendu normalerako.
| Produktuaren eredua | Funtzio-parametroak |
| Txasisa (Ostalaria) | |
| ML-BYPASS-M100 | 1U estandar 19 hazbeteko rack muntatzeko sistema; gehienezko energia-kontsumoa 250W; BYPASS babesle modularra; 2 BYPASS modulu zirrikitu; MONITOR modulu zirrikitu 1; AC eta DC aukerakoak; |
| SAIHESTUBIDE MODULUA | |
| BYP-MOD-L2XG(LM/SM) | 2 bideko 10GE lotura serieko babesa onartzen du, 4 * 10GE interfazea, LC konektorea; integratutako transzeptore optikoa; lotura optikoa modu bakarrekoa/multimodea aukerakoa, 10GBASE-SR/LR onartzen du; |
| BYP-MOD-L2QXG(LM/SM) | 2 bideko 40GE lotura serieko babesa onartzen du, 4 * 40GE interfazea, LC konektorea; integratutako transzeptore optikoa; lotura optikoa modu bakarrekoa/multimodea aukerakoa, 40GBASE-SR4/LR4 onartzen du; |
| BYP-MOD-L1CG (LM/SM) | 1 kanaleko 100GE loturako serieko babesa onartzen du, 2 * 100GE interfazea, LC konektorea; integratutako transzeptore optikoa; lotura optiko bakarra multimode aukerakoa, 100GBASE-SR4/LR4 onartzen du; |
| MONITOR MODULUA | |
| MON-MOD-L16XG | 16*10GE SFP+ monitorizazio ataka modulua; ez dago transzeptore optiko modulurik; |
| MON-MOD-L8XG | 8*10GE SFP+ monitorizazio ataka modulua; ez dago transzeptore optiko modulurik; |
| AST-MOD-L2CG | 2*100GE QSFP28 monitorizazio ataka modulua; ez dago transzeptore optiko modulurik; |
| MON-MOD-L8QXG | 8* 40GE QSFP+ monitorizazio ataka modulua; ez dago transzeptore optiko modulurik; |
Sareko TAP Bypass etengailuaren zehaztapenak
| Produktuaren Modalitatea | ML-BYPASS-M100 Sareko Sareko Saihesbide Etengailua | |
| Interfaze mota | Kudeaketa interfazea | 1*10/100/1000BASE-T Kudeaketa interfaze moldagarria; Urruneko HTTP/IP kudeaketa onartzen du |
| Moduluaren zirrikitua | 2 * BYPASS moduluaren zirrikitua; 1 * MONITOR moduluaren zirrikitua; | |
| Gehienezko estekak onartzen dituzte | Gailuak gehienez 4 * 10GE loturak edo 4 * 40GE loturak edo 1 * 100GE lotura onartzen ditu | |
| Jarraipena | Gailuak gehienez 16 * 10GE monitorizazio-portu edo 8 * 40GE monitorizazio-portu edo 2 * 100GE monitorizazio-portu onartzen ditu; | |
| Funtzioa | Prozesatzeko gaitasun osoa duplex | 640 Gbps |
| IP/protokolo/portu bost tupla espezifikoko trafiko-kaskada babestean oinarrituta | Onartua | |
| Trafiko osoan oinarritutako kaskada-babesa | Onartua | |
| Karga anitzeko oreka | Onartua | |
| Bihotz-taupadak detektatzeko funtzio pertsonalizatua | Onartua | |
| Ethernet paketeen independentzia onartzen du | Onartua | |
| SAIBATZE-ETENDATZAILEA | Onartua | |
| BYPASS etengailua flashik gabe | Onartua | |
| KONTSOLA KUDEAKETA | Onartua | |
| IP/WEB kudeaketa | Onartua | |
| SNMP V1/V2C kudeaketa | Onartua | |
| TELNET/SSH kudeaketa | Onartua | |
| SYSLOG protokoloa | Onartua | |
| Erabiltzailearen baimena | Pasahitz baimenean/AAA/TACACS+ oinarrituta | |
| Elektrikoa | Hornidura-tentsio nominala | AC-220V/DC-48V【Aukerakoa】 |
| Potentzia-maiztasun nominala | 50Hz | |
| Sarrerako korronte nominala | AC-3A / DC-10A | |
| Potentzia nominala | 100W | |
| Ingurumena | Laneko tenperatura | 0-50℃ |
| Biltegiratze tenperatura | -20-70℃ | |
| Laneko hezetasuna | %10-%95, Kondentsaziorik gabe | |
| Erabiltzailearen konfigurazioa | Kontsolaren konfigurazioa | RS232 interfazea, 115200, 8, N, 1 |
| Bandatik kanpoko kudeaketa interfazea | 1 * 10/100/1000M Ethernet interfazea | |
| Pasahitz baimena | Onartua | |
| Txasisaren altuera | Txasisaren espazioa (U) | 1U 19 hazbeteko, 485 mm * 44,5 mm * 350 mm |
Sareko TAP Bypass etengailuaren aplikazioa (hurrengo moduan)
5.1 Segurtasun Ekipamendu Integratuen (IPS / FW) Arriskua
Jarraian, IPS (Intrusion Prevention System), FW (Firewall) hedapen modu tipikoa aurkezten da. IPS/FW sareko ekipamendu gisa (router, switch, etab. adibidez) zabaltzen da trafikoaren artean, segurtasun-egiaztapenak ezarriz, dagokion segurtasun-politikaren arabera, dagokion trafikoa askatu edo blokeatu zehazteko, segurtasun-defentsaren efektua lortzeko.
Aldi berean, IPS (Intrusion Prevention System) / FW (Firewall) ekipamenduen lerroko hedapen gisa ikus dezakegu, normalean enpresa-sarearen kokapen gakoetan zabaltzen dena lerroko segurtasuna ezartzeko. Konektatutako gailuen fidagarritasunak zuzenean eragiten dio enpresa-sarearen erabilgarritasun orokorrari. Lerroko segurtasun-gailuak gainkargatzen direnean, matxuratzen direnean, softwarearen eguneratzeak, politika-eguneratzeak eta abar egiten dituztenean, enpresa-sare osoaren erabilgarritasuna asko kaltetuko da. Puntu honetan, sarea moztu eta saihesbide fisiko baten bidez bakarrik berrezarri dezakegu sarea, baina sarearen fidagarritasunari eragin handia dio. IPS (Intrusion Prevention System) / FW (Firewall) eta beste lerroko gailu batzuek, alde batetik, enpresa-sarearen segurtasunaren hedapena hobetzen dute, eta, bestetik, enpresa-sareen fidagarritasuna murrizten dute, sarea erabilgarri ez egoteko arriskua handituz.
5.2 Inline Link Serieko Ekipamenduen Babesa
Mylinking™ "Bypass Switch" sareko gailuen (router, switch, etab.) artean linean ezartzen da, eta sareko gailuen arteko datu-fluxuak ez du zuzenean IPSra (Intrusion Prevention System) / FWra (Firewall) eramaten, "Bypass Switch" IPS/FWra pasatzen baita. IPS/FW gainkarga, matxura, software eguneratze, politika eguneratze edo bestelako akatsen ondorioz gertatzen denean, "Bypass Switch" funtzio adimendunak bihotz-taupada mezuen detekzio garaiz egiten du, eta horrela gailu akastuna saltatzen du, sarearen premisa eten gabe. Sareko ekipamendua zuzenean konektatuta dago komunikazio-sare normala babesteko; IPS/FW akatsen berreskurapena egiten denean, baina baita bihotz-taupada paketeen detekzio adimendunaren bidez ere, jatorrizko lotura enpresaren sarearen segurtasun-egiaztapenak leheneratzeko.
Mylinking™ "Bypass Switch"-ek bihotz-taupada mezuen detekzio funtzio adimendun indartsua du. Erabiltzaileak bihotz-taupada tartea eta gehienezko saiakera kopurua pertsonaliza ditzake, IPS / FW-an osasun-probak egiteko bihotz-taupada mezu pertsonalizatu baten bidez, hala nola, bihotz-taupada egiaztatzeko mezua IPS / FW-ren goranzko / beheranzko portuan bidaliz, eta ondoren IPS / FW-ren goranzko / beheranzko portutik jasoz, eta IPS / FW-a normal funtzionatzen duen ala ez epaituz bihotz-taupada mezua bidaliz eta jasoz.
5.3 “SpecFlow” Politika Fluxua Lerroko Trakzio Serieko Babesa
Segurtasun-sareko gailuak serieko segurtasun-babeseko trafiko espezifikoarekin bakarrik lan egin behar duenean, Mylinking™ "Network Tap Bypass Switch" trafikoaren prozesatzeko funtzioaren bidez, segurtasun-gailura konektatzeko trafiko-bahetze estrategiaren bidez, "Kezkatutako" trafikoa zuzenean sareko estekara bidaltzen da, eta "kezkatutako trafiko-atala" segurtasun-gailura eramaten da segurtasun-egiaztapenak egiteko. Horrek ez du soilik segurtasun-gailuaren segurtasun-detekzio funtzioaren aplikazio normala mantenduko, baita segurtasun-ekipoen presioari aurre egiteko fluxu ez-eraginkorra murriztuko ere; aldi berean, "Network Tap Bypass Switch"-ek segurtasun-gailuaren funtzionamendu-egoera denbora errealean detektatu dezake. Segurtasun-gailuak modu anormalean funtzionatzen du eta datu-trafikoa zuzenean saihestu egiten du sareko zerbitzua etenik ez izateko.
Mylinking™ Inline Traffic Bypass Tap-ak trafikoa identifikatu dezake L2-L4 geruzako goiburuaren identifikatzailean oinarrituta, hala nola VLAN etiketa, iturburu/helmugako MAC helbidea, iturburu IP helbidea, IP pakete mota, garraio geruzako protokolo ataka, protokolo goiburuaren gako etiketa, etab. Hainbat bat etortze baldintza konbinazio malgu defini daitezke segurtasun gailu jakin batentzat interesgarriak diren trafiko mota espezifikoak definitzeko, eta segurtasun auditoria gailu bereziak (RDP, SSH, datu-base auditoria, etab.) zabaltzeko erabil daitezke.
5.4 Serieko karga orekatuaren babesa
Mylinking™ "Network Tap Bypass Switch" sareko gailuen (router, switch, etab.) artean linean zabaltzen da. IPS/FW prozesatzeko errendimendu bakarra ez denean nahikoa sareko loturaren puntako trafikoari aurre egiteko, babeslearen trafiko-karga orekatzeko funtzioak, hainbat IPS/FW kluster prozesatzeko sareko loturaren trafikoa "multzokatzeak", IPS/FW prozesatzeko presioa eraginkortasunez murriztu dezake, prozesatzeko errendimendu orokorra hobetuz hedapen-ingurunearen banda-zabalera handia asetzeko.
Mylinking™ "Network Tap Bypass Switch"-ek karga-oreka funtzio indartsua du, VLAN etiketaren, MAC informazioaren, IP informazioaren, ataka zenbakiaren, protokoloaren eta trafikoaren Hash karga-oreka banaketaren arabera, IPS/FW bakoitzak jasotako datu-fluxuaren saioaren osotasuna bermatzeko.
5.5 Serie anitzeko lerroko ekipamenduen fluxu-trakzio babesa (serieko konexioa paralelo konexiora aldatu)
Lotura gako batzuetan (adibidez, Interneteko entxufeak, zerbitzarien eremuko truke-loturak), kokapena askotan segurtasun-ezaugarrien beharrengatik eta hainbat segurtasun-proba-ekipo linealen hedapenagatik gertatzen da (hala nola, suebakia (FW), DDOS erasoen aurkako ekipoak, WEB aplikazioen suebakia (WAF), intrusioen prebentzio-sistema (IPS), etab.). Hainbat segurtasun-detekzio-ekipo aldi berean seriean jartzen dira estekan, akats-puntu bakarreko lotura handitzeko, sarearen fidagarritasun orokorra murriztuz. Eta aipatutako segurtasun-ekipoen lineako hedapenean, ekipoen eguneratzeetan, ekipoen ordezkapenetan eta beste eragiketa batzuetan, sarearen zerbitzu-etenaldi luzeak eta proiektu handiagoen etenaldiak eragingo dira proiektu horien inplementazio arrakastatsua burutzeko.
"Network Tap Bypass Switch" modu bateratuan zabalduz, esteka berean seriean konektatutako hainbat segurtasun-gailuren hedapen-modua "kateatze fisiko modutik" "kateatze fisiko, kateatze logiko modura" alda daiteke. Esteka bateko hutsegite-puntu bakarreko estekak estekaren fidagarritasuna hobetzen du, eta "bypass switch"-ak eskaeraren araberako trakzio-fluxua duen bitartean, jatorrizko prozesatzeko efektu seguruaren moduarekin fluxu bera lortzeko.
Segurtasun gailu bat baino gehiago aldi berean, lineako hedapen diagraman:
Mylinking™ Sarearen TAP Saihesbide Etengailuaren Hedapen Diagrama:
5.6 Trafikoaren Segurtasun Detekzio Babeserako Estrategia Dinamikoan Oinarrituta
"Sareko Saihesbideen Konmutadorea" Beste aplikazio-eszenatoki aurreratu bat trafiko-trakzioaren segurtasun-detekzioaren babes-aplikazioen estrategia dinamikoan oinarritzen da, behean erakusten den moduan hedatuta:
Adibidez, "Anti-DDoS erasoen aurkako babesa eta detekzioa" segurtasun-probak egiteko ekipoa hartuz, "Network Tap Bypass Switch" aurrealdean zabalduz eta ondoren DDOS aurkako babes-ekipoa erabiliz, eta ondoren "Network Tap Bypass Switch"-era konektatuta, ohiko "Trakzio-babeslea" moduan trafikoaren kable-abiadura osoa birbidaltzen da aldi berean, fluxu-ispiluaren irteera "Anti-DDOS erasoen aurkako babes-gailura". Behin erasoaren ondoren zerbitzariaren IP bat (edo IP sare-segmentu bat) detektatu ondoren, "Anti-DDOS erasoen aurkako babes-gailuak" trafiko-fluxuaren parekatze-arauak sortuko ditu eta "Network Tap Bypass Switch"-era bidaliko ditu politika dinamikoen bidalketa-interfazearen bidez. "Network Tap Bypass Switch"-ek "trafiko-trakzio dinamikoa" eguneratu dezake politika dinamikoen arauak jaso ondoren, "Rule pool"-a, eta berehala "arauak eraso-zerbitzariko trafikoaren trakzioa jotzen du "Anti-DDoS erasoen aurkako babesa eta detekzioa" ekipora prozesatzeko, eraso-fluxuaren ondoren eraginkorra izan dadin eta gero sarean berriro txertatzeko.
"Network Tap Bypass Switch"-ean oinarritutako aplikazio-eskema errazagoa da ezartzeko BGP ibilbide-injekzio tradizionala edo beste trafiko-trakzio eskema batzuk baino, eta ingurunea sarearekiko gutxiago menpekoa da eta fidagarritasuna handiagoa da.
"Network Tap Bypass Switch"-ek ezaugarri hauek ditu segurtasun-detekzio dinamikoaren babesa laguntzeko:
1, "Sareko Saihesbide Kommutadorea" WEBSERVICE interfazean oinarritutako arauetatik kanpo eskaintzeko, hirugarrenen segurtasun gailuekin integrazio erraza eskaintzeko.
2, "BNetwork Tap Bypass Switch", hardware puruko ASIC txipan oinarrituta, 10 Gbps-ko hari-abiadurako paketeak birbidaltzen dituena etengailuaren birbidalketa blokeatu gabe, eta "trafiko-trakzio dinamikoaren arau-liburutegia", kopurua edozein dela ere.
3, "Sareko Saihesbide Kommutadorea" barneratutako BYPASS funtzio profesionalak, babesleak berak huts egiten badu ere, jatorrizko serieko lotura berehala saihestu dezake, komunikazio normalaren jatorrizko loturan eraginik gabe.
