Mylinking™ Sarea Sakatu Saihesteko etengailua ML-BYPASS-100
2 * Bypass gehi 1 * Monitorearen diseinu modularra, 10/40/100GE estekak, 640 Gbps gehienez
Ikuspegi orokorrak
Mylinking™ Network Tap Bypass Switch ikertu eta garatu da lineako segurtasun-ekipamendu mota ezberdinen hedapen malgua izateko sare fidagarritasun handia eskaintzen duen bitartean.
Mylinking™ Saihesbide adimendunaren etengailua zabalduz Sakatu:
- Erabiltzaileek malgutasunez instalatu/desinstalatu ditzakete segurtasun-ekipoak/tresnak eta ez dute uneko sarea eragingo eta etengo;
- Mylinking™ Sarea Ukitu Saihesteko etengailua osasuna hautemateko funtzio adimendunarekin lineako segurtasun-gailuen funtzionamendu-egoera normala denbora errealean kontrolatzeko. Lineako segurtasun-gailuek salbuespenean funtzionatzen dutenean, babes-funtzioak automatikoki saihestuko du sareko komunikazio normala mantentzeko;
- Trafiko selektiboa babesteko teknologia trafikoa garbitzeko segurtasun ekipamendu espezifikoak zabaltzeko erabil daiteke, ikuskaritza ekipoan oinarritutako enkriptazio teknologia. Eraginkortasunez gauzatu lineako sarbidearen babesa trafiko mota espezifikorako, lineako gailuaren fluxua kudeatzeko presioa deskargatuz;
- Load Balanced Traffic Protection teknologia serieko segurtasun gailu seguruak multzoka inplementatzeko erabil daiteke banda zabalera handiko inguruneetan lineako segurtasuna asetzeko.
Sarea Ukitu Bypass Switch Ezaugarri eta teknologia aurreratuak
Mylinking™ "SpecFlow" babes modua eta "FullLink" babes modua
Mylinking™ Saihesbide azkarra aldatzeko babesa
Mylinking™ "LinkSafeSwitch"
Mylinking™ “WebService” Estrategia dinamikoa birbidaltzea/arazoa
Mylinking™ Bihotz-taupadaren mezuen hautemate adimenduna
Mylinking™ Bihotz-taupada-mezu definigarriak (Bihotz-taupadak)
Mylinking™ Esteka anitzeko karga orekatzea
Mylinking™ Trafiko Banaketa Adimentsua
Mylinking™ karga oreka dinamikoa
Mylinking™ Urruneko Kudeaketa Teknologia (HTTP/WEB, TELNET/SSH, “EasyConfig/AdvanceConfig” Ezaugarria)
Sarea Ukitu Saihesteko etengailua Aukerako Konfigurazio Gida
BYPASS ModuluaBabes Portu Moduluaren zirrikitua:
Zirrikitu hau BYPASS babeserako ataka moduluan txerta daiteke abiadura/portu zenbaki ezberdinarekin. Modulu mota desberdinak ordezkatuz, 10G/40G/100G esteka-eskakizun anitzen BYPASS babesa onartzen du.
MONITOR ModuluaPortu Moduluaren zirrikitua;
Zirrikitu honetan MONITOR modulua txerta daiteke abiadura/portu ezberdinekin. 10G/40G/100G-ren esteka anitz onar ditzake linean serieko monitorizazio gailuak inplementatzeko, modulu desberdinak ordezkatuz.
Moduluak hautatzeko arauak
Inplementatutako esteka desberdinetan eta ekipamenduen hedapen-baldintzetan monitorizatzeko, malgutasunez hauta ditzakezu modulu-konfigurazio desberdinak zure benetako ingurunearen eskaerari erantzuteko; Mesedez, jarraitu arau hauek modulua hautatzerakoan:
1. Txasisaren osagaiak derrigorrezkoak dira eta xasisaren osagaiak hautatu behar dituzu beste modulu batzuk hautatu aurretik. Aldi berean, aukeratu elikatze-metodo desberdinak (AC/DC) zure beharren arabera.
2. Gailu osoak 2 BYPASS modulu zirrikitua eta MONITOR modulu zirrikitua 1 onartzen ditu; ezin duzu hautatu konfiguratu beharreko zirrikituen kopurua baino gehiago. Zirrikitu kopuruaren eta moduluaren ereduaren konbinazioan oinarrituta, gailuak lau 10GE esteka babes onartzen ditu; edo 40GE lau esteka onartzen ditu; edo 100GE esteka bat onartu dezake.
3. "BYP-MOD-L1CG" modulu eredua SLOT1-en bakarrik txerta daiteke behar bezala funtzionatzeko.
4. "BYP-MOD-XXX" modulua BYPASS moduluaren zirrikituan soilik sar daiteke; "MON-MOD-XXX" modulu mota MONITOR moduluaren zirrikituan soilik sar daiteke funtzionamendu arrunterako.
| Produktu Eredua | Funtzio-parametroak |
| Xasisa (ostalaria) | |
| ML-BYPASS-M100 | 1U estandarra 19 hazbeteko rackmount; gehienezko energia-kontsumoa 250W; BYPASS babesteko ostalari modularra; 2 BYPASS modulu zirrikituak; 1 MONITOR moduluaren zirrikitua; AC eta DC aukerakoa; |
| BYPASS MODULUA | |
| BYP-MOD-L2XG(LM/SM) | 2 bideko 10GE lotura serieko babesa onartzen du, 4 * 10GE interfazea, LC konektorea; Transceptor optiko integratua; lotura optiko bakarreko/modo anitzeko aukerakoa, 10GBASE-SR/ LR onartzen du; |
| BYP-MOD-L2QXG(LM/SM) | 2 bideko 40GE lotura serieko babesa onartzen du, 4 * 40GE interfazea, LC konektorea; Transceptor optiko integratua; lotura optiko bakarreko/modo anitzeko aukerakoa, 40GBASE-SR4/ LR4 onartzen du; |
| BYP-MOD-L1CG (LM/SM) | 1 kanal 100GE lotura serie babesa onartzen du, 2 * 100GE interfazea, LC konektorea; Transceptor optiko integratua; lotura optikoa multimode bakarra aukerakoa, 100GBASE-SR4/LR4 onartzen du; |
| MONITORE MODULUA | |
| MON-MOD-L16XG | 16 * 10GE SFP+ monitorizazio ataka modulua; transceptor modulu optikorik ez; |
| MON-MOD-L8XG | 8 * 10GE SFP+ monitorizazio ataka modulua; transceptor modulu optikorik ez; |
| MON-MOD-L2CG | 2 * 100GE QSFP28 monitorizazio ataka modulua; transceptor modulu optikorik ez; |
| MON-MOD-L8QXG | 8 * 40GE QSFP+ monitorizazio ataka modulua; transceptor modulu optikorik ez; |
Sareko TAP Bypass etengailuaren zehaztapenak
| Produktuen Modalitatea | ML-BYPASS-M100 Sareko Sareko Sakatu Saihesteko etengailua | |
| Interfaze mota | MGT Interfazea | 1 * 10/100/1000BASE-T Kudeaketa interfaze egokitzailea; Onartu urruneko HTTP/IP kudeaketa |
| Moduluaren zirrikitua | 2 * BYPASS modulu zirrikitua; 1 * MONITOR modulu zirrikitua; | |
| Gehienez onartzen duten estekak | Gailuak gehienez 4*10GE estekak edo 4*40GE estekak edo 1*100GE estekak onartzen ditu | |
| Jarraipena | Gailuak gehienez 16 * 10GE monitorizazio atakak edo 8 * 40GE monitorizazio atakak edo 2 * 100GE monitorizazio atakak onartzen ditu; | |
| Funtzioa | Duplex osoa prozesatzeko gaitasuna | 640 Gbps |
| IP/protokolo/portuko bost tuple trafiko-jauziaren babesean oinarrituta | Onartua | |
| Kaskadako babesa trafiko osoan oinarrituta | Onartua | |
| Hainbat karga orekatzeko | Onartua | |
| Taupadak hautemateko funtzio pertsonalizatua | Onartua | |
| Onartu Ethernet paketeen independentzia | Onartua | |
| SALIBAIDEA ERABIDEA | Onartua | |
| BYPASS Etengailua flashik gabe | Onartua | |
| KONTSOLA MGT | Onartua | |
| IP/WEB MGT | Onartua | |
| SNMP V1/V2C MGT | Onartua | |
| TELNET/SSH MGT | Onartua | |
| SYSLOG protokoloa | Onartua | |
| Erabiltzailearen baimena | Pasahitzaren baimenean/AAA/TACACS+-n oinarrituta | |
| Elektrikoa | Hornidura-tentsio nominala | AC-220V/DC-48V【Aukerakoa】 |
| Potentzia-maiztasun nominala | 50HZ | |
| Sarrerako korronte nominala | AC-3A / DC-10A | |
| Potentzia nominala | 100W | |
| Ingurumena | Laneko Tenperatura | 0-50 ℃ |
| Biltegiratze-tenperatura | -20-70 ℃ | |
| Laneko hezetasuna | %10-%95, kondentsaziorik gabe | |
| Erabiltzailearen konfigurazioa | Kontsolaren konfigurazioa | RS232 interfazea,115200,8,N,1 |
| Bandaz kanpoko MGT interfazea | 1*10/100/1000M Ethernet interfazea | |
| Pasahitzaren baimena | Onartua | |
| Txasisaren altuera | Txasisaren espazioa (U) | 1U 19 hazbete, 485 mm * 44,5 mm * 350 mm |
Sareko TAP Bypass Switch aplikazioa (ondoren bezala)
5.1 Lineako segurtasun-ekipoen arriskua (IPS / FW)
Honako hau IPS (Intrusion Prevention System), FW (Firewall) inplementazio modua da, IPS / FW sareko ekipamendu linean (adibidez, bideratzaileak, etengailuak, etab.) trafikoaren artean segurtasun egiaztapenen ezarpenaren bidez zabaltzen da, arabera. dagokion segurtasun-politika askatzea edo dagokion trafikoa blokeatzea zehazteko, segurtasun defentsaren eragina lortzeko.
Aldi berean, IPS (Intrusioen Prebentzio Sistema) / FW (Suebakia) ekipamenduaren inplementazio gisa ikus dezakegu, normalean enpresa-sarearen gako-kokapenean hedatzen dena lineako segurtasuna ezartzeko, konektatutako gailuen fidagarritasunak zuzenean eragiten du. enpresa sarearen erabilgarritasun orokorra. Lineako segurtasun-gailuak gainkargatu, huts egin, software-eguneratzeak, politika-eguneratzeak, etab., enpresa-sarearen erabilgarritasun osoa eragin handia izango du. Une honetan, sarearen mozketaren bidez soilik, saihesbide fisikoaren jumperak sarea leheneratu egin dezake, baina sarearen fidagarritasunari larriki eragiten dio. IPS (Intrusion Prevention System) / FW (Firewall) eta lineako beste gailu batzuek, alde batetik, enpresa-sareen segurtasunaren hedapena hobetzen dute, bestetik, enpresa-sareen fidagarritasuna murrizten dute, sarearen arriskua eskuragarri ez dagoela handituz.
5.2 Inline Link Series Ekipamenduen Babesa
Mylinking™ " Bypass Switch " sareko gailuen artean (bideratzaileak, etengailuak, etab.) linean zabaltzen da, eta sareko gailuen arteko datu-fluxuak jada ez du zuzenean IPS (Intrusioen Prebentzio Sistema) / FW (Firewall), " Saihespen Switch "era eramaten. IPS / FWra, IPS / FW gainkarga, hutsegite, software eguneratzeak, politika eguneratzeak eta beste hutsegite-baldintzak direla eta, "Bypass Switch" bihotz-taupadaren mezu adimendunaren bidez detekzio-funtzioa aurkikuntza puntuala, eta, beraz, akastunaren gailua saltatu, sarearen premisa eten gabe, sare azkarreko ekipamenduak zuzenean konektatutako komunikazio-sare normala babesteko; IPS / FW hutsegitearen berreskurapena denean, baina baita funtzioaren garaiz detektatzeko Heartbeat Packets adimendunen bidez ere, jatorrizko esteka enpresaren sareko segurtasun egiaztapenen segurtasuna berrezartzeko.
Mylinking™ "Bypass Switch"-ek Bihotz-taupadak hautemateko funtzio adimendun indartsua du, erabiltzaileak taupada-tartea eta gehieneko saiakera-kopurua pertsonaliza ditzake, IPS / FW-ko taupadak mezu pertsonalizatu baten bidez osasun-probak egiteko, esate baterako, taupadak egiaztatzeko mezua bidali. IPS / FW-ren gorako / beherako atakara, eta, ondoren, jaso IPS / FW-ren gorako / beherako atakatik eta epaitu IPS / FW-ak normalean funtzionatzen duen ala ez. taupada-mezua bidaltzea eta jasotzea.
5.3 "SpecFlow" Politika Flow Inline Traction Series Babesa
Segurtasun-sareko gailuak serieko segurtasun-babesean trafiko espezifikoari bakarrik aurre egin behar dionean, Mylinking™ " Network Tap Bypass Switch " trafikoaren prozesatzeko funtzioaren bidez, trafikoa bahetzeko estrategiaren bidez segurtasun gailua konektatzeko " kezkatuta " trafikoa bidaltzen da. zuzenean sareko estekara itzuli, eta "dagokion trafiko-atala" lineako segurtasun-gailuarekiko trakzioa da segurtasun-egiaztapenak egiteko. Horrek segurtasun-gailuaren segurtasun-detektatzeko funtzioaren aplikazio normala mantenduko ez ezik, segurtasun-ekipoaren fluxu ez-eraginkorra ere murriztuko du presioari aurre egiteko; aldi berean, " Network Tap Bypass Switch "-ek segurtasun-gailuaren lan-egoera detektatu dezake denbora errealean. Segurtasun-gailuak modu anormalean funtzionatzen du datu-trafikoa zuzenean saihesten du sare-zerbitzua eteteko.
Mylinking™ Inline Traffic Bypass Tap-ek L2-L4 geruzen goiburuaren identifikatzailean oinarritutako trafikoa identifika dezake, hala nola, VLAN etiketa, iturburu/helmuga MAC helbidea, iturburu IP helbidea, IP pakete mota, garraio-geruzaren protokoloaren ataka, protokoloaren goiburuko gako-etiketa eta abar. Konbinazio malguko hainbat baldintza konbinazio malgutasunez definitu daitezke segurtasun-gailu jakin baterako interesgarriak diren trafiko-mota zehatzak definitzeko eta asko erabil daitezke segurtasun-ikuskaritza-gailu bereziak (RDP, SSH, datu-baseen auditoretzak, etab.) hedatzeko. .
5.4 Karga orekatua serieen babesa
Mylinking™ "Network Tap Bypass Switch" sareko gailuen artean (bideratzaileak, etengailuak, etab.) lerro gisa zabaltzen da. IPS / FW prozesatzeko errendimendua nahikoa ez denean sareko estekaren gailurreko trafikoari aurre egiteko, babeslearen trafikoa karga orekatzeko funtzioak, IPS / FW kluster anitz prozesatzeko sareko esteken trafikoa modu eraginkorrean murrizten du. prozesatzeko presioa, hobetu prozesatzeko errendimendu orokorra hedapen-ingurunearen banda zabalera handia betetzeko.
Mylinking™ "Network Tap Bypass Switch"-ek karga orekatzeko funtzio indartsua du, VLAN etiketa markoaren, MAC informazioa, IP informazioa, ataka zenbakia, protokoloa eta trafikoaren Hash karga orekatzeko banaketari buruzko beste informazio batzuen arabera, IPS / FW bakoitza ziurtatzeko. jasotako datu-fluxua Saioaren osotasuna.
5.5 Serie anitzeko ekipoen fluxua trakzio-babesa (aldatu serie-konexioa paralelo-konexiora)
Funtsezko esteka batzuetan (esaterako, Interneteko saltokietan, zerbitzari-eremuaren truke-lotura) kokapena segurtasun-eginbideen beharrengatik eta lineako segurtasun-probak egiteko ekipamendu anitz (adibidez, suebakia (FW), DDOS-en aurkako eraso-ekipoa, adibidez) beharrengatik gertatzen da. WEB Aplikazioen Suebakia (WAF), Intrusioen Prebentzio Sistema (IPS), etab.), hainbat segurtasun detektatzeko ekipamendu aldi berean estekan seriean hutsegite puntu bakar baten esteka handitzeko, sarearen fidagarritasun orokorra murriztuz. Eta goian aipatutako segurtasun-ekipamenduen lineako hedapenean, ekipamendu-berritzeak, ekipamenduak ordezkatzea eta beste eragiketa batzuk, sarea denbora luzez eten egingo dute eta proiektuak moztu ekintza handiagoak izango dituzte proiektu horiek arrakastaz betetzeko.
"Network Tap Bypass Switch" modu bateratuan zabalduz, esteka berean seriean konektatuta dauden hainbat segurtasun-gailuen hedapen-modua "kateatze fisiko modua"tik "kateatze fisikoa, kateatze modu logikoa" alda daiteke. hutsegite puntu bakar baten lotura estekaren fidagarritasuna hobetzeko, "saihesbidearen etengailua" estekaren fluxua eskariaren trakzioan, jatorrizko moduarekin fluxu bera lortzeko. prozesatzeko efektu segurua.
Segurtasun-gailu bat baino gehiago aldi berean inplementazio-diagrama gisa:
Mylinking™ Sarearen TAP Bypass etengailuaren inplementazio-diagrama:
5.6 Trafiko Trakzioko Segurtasun Detektatzeko Babesaren Estrategia Dinamikoan oinarrituta
"Network Tap Bypass Switch" Beste aplikazio-eszenatoki aurreratu bat trafiko-trakzioko segurtasuna detektatzeko babeserako aplikazioen estrategia dinamikoan oinarritzen da, behean erakusten den moduaren hedapena:
Hartu "Anti-DDoS erasoen babesa eta detekzioa" segurtasun-probak egiteko ekipamendua, adibidez, " Network Tap Bypass Switch "-ren inplementazio-frontendaren bidez eta, ondoren, DDOS-en aurkako babes-ekipoa eta gero " Network Tap Bypass Switch "-ra konektatu. ohiko "Traction babesa" trafikoaren hari-abiadura birbidaltzearen kopuru osoa, aldi berean, fluxuaren ispiluaren irteera "DDOS aurkako erasoen babeserako gailura", zerbitzariaren IP (edo IP sarerako) detektatu ondoren. segmentua) erasoaren ondoren, "DDOS aurkako erasoen babeserako gailuak" helburuko trafiko-fluxuaren bat datozen arauak sortuko ditu eta "Sare Tap Bypass Switch"-era bidaliko ditu politikaren entrega dinamikoaren interfazearen bidez. "Sare Tap Bypass Switch"-ek "trafiko-trakzio dinamika" eguneratu dezake politika-arau dinamikoak jaso ondoren Arau multzoa "eta berehala" arauak eraso-zerbitzariaren trafikoa jo du DDoS-aren aurkako erasoen babeserako eta detektatzeko "prozesatzeko ekipamendurako trakzioa". eraso-fluxuaren ondoren eraginkorra izan dadin eta gero sarean berriro injektatu.
" Network Tap Bypass Switch "n oinarritutako aplikazio-eskema BGP ibilbide tradizionalaren injekzioa edo beste trafiko-trakzio-eskema bat baino errazagoa da inplementatzen, eta ingurunea sarearen menpe ez dago eta fidagarritasuna handiagoa da.
"Network Tap Bypass Switch"-ek ezaugarri hauek ditu politika dinamikoen segurtasuna hautemateko babesa onartzen duen:
1, " Network Tap Bypass Switch " WEBSERIVCE interfazean oinarritutako arauetatik kanpo eskaintzeko, hirugarrenen segurtasun gailuekin integratzeko erraza.
2, "BNetwork Tap Bypass Switch" hardware ASIC txip hutsean oinarritutako 10 Gbps-ko hari-abiadurako paketeak birbidaltzen ditu etengailuen birbidaltzea blokeatu gabe eta "trafiko-trakzioko arau dinamikoen liburutegian" kopurua edozein dela ere.
3, "Sare Tap Bypass Switch" BYPASS funtzio profesional integratua, babesleak berak huts egiten badu ere, jatorrizko serie-lotura berehala saihestu dezake, ez dio komunikazio arruntaren jatorrizko loturari eragiten.
