Mylinking™ Sarea Sakatu Saihesteko etengailua ML-BYPASS-200
2 * Bypass gehi 1 * Monitorearen diseinu modularra, 10/40/100GE estekak, 640 Gbps gehienez
1-Ikuspegi orokorrak
Mylinking™ Smart Bypass Switch zabalduz:
- Erabiltzaileek segurtasun-ekipoak malgutasunez instalatu/desinstalatu ditzakete eta ez diote eragingo egungo sareari eta etengo;
- Mylinking™ Network Tap Bypass Switch-a osasuna hautemateko funtzio adimendunarekin serieko segurtasun-gailuaren funtzionamendu-egoera normala denbora errealean monitorizatzeko, serieko segurtasun-gailuaren salbuespena denean, babesa automatikoki saihestuko da sareko komunikazio arrunta mantentzeko;
- Trafiko selektiboa babesteko teknologia trafikoa garbitzeko segurtasun ekipamendu espezifikoak zabaltzeko erabil daiteke, ikuskaritza ekipoan oinarritutako enkriptazio teknologia. Eraginkortasunez gauzatu serieko sarbideen babesa trafiko mota espezifikorako, serieko gailuaren fluxua kudeatzeko presioa deskargatuz;
- Load Balanced Traffic Protection teknologia serieko gailu seguruak multzoka inplementatzeko erabil daiteke, banda zabalera handiko inguruneetan serieko segurtasun beharra asetzeko.
Interneten garapen azkarrarekin, sareko informazioaren segurtasunaren mehatxua gero eta larriagoa da, beraz, informazioaren segurtasuna babesteko hainbat aplikazio gero eta gehiago erabiltzen dira. Sarbide-kontroleko ekipamendu tradizionala (suebakia) edo babes-bide aurreratuagoen mota berri bat den, hala nola, intrusioak prebenitzeko sistema (IPS), Mehatxuen kudeaketarako plataforma bateratua (UTM), ukazioaren aurkako zerbitzu-eraso sistema (Anti-DDoS), Anti- span Gateway, Unified DPI Trafikoa Identifikatzeko eta Kontrolatzeko Sistema, eta segurtasun-gailu asko sareko gako-nodoetan seriean zabaltzen dira, dagokion datuen segurtasun-politika ezartzea legezko / legez kanpoko trafikoa identifikatzeko eta aurre egiteko. Aldi berean, ordea, ordenagailu-sareak sareko atzerapen handia edo sarearen eten handia sortuko du hutsegiteen, mantentze-lanen, eguneratzearen, ekipamenduen ordezkapenaren eta abar oso fidagarrien ekoizpen sareko aplikazio-ingurunean, erabiltzaileek ezin dute jasan.
2-Sarea Ukitu Bypass Switch Ezaugarri eta teknologia aurreratuak
Mylinking™ "SpecFlow" Babes Modua eta "FullLink" Babes Modu Teknologia
Mylinking™ Saihesbide azkarra aldatzeko babesteko teknologia
Mylinking™ "LinkSafeSwitch" Teknologia
Mylinking™ “WebService” Estrategia dinamikoa birbidaltzeko/gaien teknologia
Mylinking™ Bihotz-taupaden mezuak hautemateko teknologia adimenduna
Mylinking™ Bihotz-taupadak definitzeko teknologia
Mylinking™ Lotura anitzeko karga orekatzeko teknologia
Mylinking™ Trafikoa Banatzeko Teknologia Adimenduna
Mylinking™ karga orekatzeko teknologia dinamikoa
Mylinking™ Urruneko Kudeaketa Teknologia (HTTP/WEB, TELNET/SSH, “EasyConfig/AdvanceConfig” Ezaugarria)
3-Sarea Ukitu Bypass Switch konfigurazio gida
SALIBAIDEABabes Portu Moduluaren zirrikitua:
Zirrikitu hau BYPASS babeserako ataka moduluan txerta daiteke abiadura/portu zenbaki ezberdinarekin. Modulu mota desberdinak ordezkatuz, 10G/40G/100G esteka anitzen BYPASS babesa onartzen du.
MONITOREAPortu Moduluaren zirrikitua;
Zirrikitu hau MONITOR ataka moduluan txerta daiteke abiadura/portu ezberdinekin. 10G/40G/100G esteka anitz onar ditzake lineako serieko monitorizazio gailuaren hedapena eredu desberdinak ordezkatuz.
Moduluak hautatzeko arauak
Inplementatutako esteka desberdinetan eta ekipamenduen hedapen-baldintzetan monitorizatzeko, modu malgu batean hauta ditzakezu modulu-konfigurazio desberdinak zure benetako ingurunearen beharrei erantzuteko; mesedez, jarraitu arau hauek hautatzerakoan:
1. Txasisaren osagaiak derrigorrezkoak dira eta xasisaren osagaiak hautatu behar dituzu beste modulu batzuk hautatu aurretik. Aldi berean, aukeratu elikatze-metodo desberdinak (AC/DC) zure beharren arabera.
2. Makina osoak 2 BYPASS modulu zirrikitu eta 1 MONITOR modulu zirrikitua onartzen ditu; ezin duzu hautatu konfiguratu beharreko zirrikituen kopurua baino gehiago. Zirrikitu kopuruaren eta moduluaren ereduaren konbinazioan oinarrituta, gailuak lau 10GE esteka babes onartzen ditu; edo 40GE lau esteka onartzen ditu; edo 100GE esteka bat onartu dezake.
3. "BYP-MOD-L1CG" modulu eredua SLOT1-en bakarrik txerta daiteke behar bezala funtzionatzeko.
4. "BYP-MOD-XXX" modulua BYPASS moduluaren zirrikituan soilik sar daiteke; "MON-MOD-XXX" modulu mota MONITOR moduluaren zirrikituan soilik sar daiteke funtzionamendu arrunterako.
| Produktu Eredua | Funtzio-parametroak |
| Xasisa (ostalaria) | |
| ML-BYPASS-M200 | 1U estandarra 19 hazbeteko rackmount; gehienezko energia-kontsumoa 250W; BYPASS babesteko ostalari modularra; 2 BYPASS modulu zirrikituak; 1 MONITOR moduluaren zirrikitua; AC eta DC aukerakoa; |
| BYPASS MODULUA | |
| BYP-MOD-L2XG(LM/SM) | 2 bideko 10GE lotura serieko babesa onartzen du, 4 * 10GE interfazea, LC konektorea; Transceptor optiko integratua; lotura optiko bakarreko/modo anitzeko aukerakoa, 10GBASE-SR/ LR onartzen du; |
| BYP-MOD-L2QXG(LM/SM) | 2 bideko 40GE lotura serieko babesa onartzen du, 4 * 40GE interfazea, LC konektorea; Transceptor optiko integratua; lotura optiko bakarreko/modo anitzeko aukerakoa, 40GBASE-SR4/ LR4 onartzen du; |
| BYP-MOD-L1CG (LM/SM) | 1 kanal 100GE lotura serie babesa onartzen du, 2 * 100GE interfazea, LC konektorea; Transceptor optiko integratua; lotura optikoa multimode bakarra aukerakoa, 100GBASE-SR4/LR4 onartzen du; |
| MONITORE MODULUA | |
| MON-MOD-L16XG | 16 * 10GE SFP+ monitorizazio ataka modulua; transceptor modulu optikorik ez; |
| MON-MOD-L8XG | 8 * 10GE SFP+ monitorizazio ataka modulua; transceptor modulu optikorik ez; |
| MON-MOD-L2CG | 2 * 100GE QSFP28 monitorizazio ataka modulua; transceptor modulu optikorik ez; |
| MON-MOD-L8QXG | 8 * 40GE QSFP+ monitorizazio ataka modulua; transceptor modulu optikorik ez; |
4-Sare TAP Bypass etengailuaren zehaztapenak
| Produktuen Modalitatea | ML-BYPASS-M200 serieko Bypass etengailua | |
| Interfaze mota | MGT Interfazea | 1 * 10/100/1000BASE-T Kudeaketa interfaze egokitzailea; Onartu urruneko HTTP/IP kudeaketa |
| Moduluaren zirrikitua | 2 * BYPASS modulu zirrikitua; 1 * MONITOR modulu zirrikitua; | |
| Gehienez onartzen duten estekak | Gailuak gehienez 4*10GE estekak edo 4*40GE estekak edo 1*100GE estekak onartzen ditu | |
| Monitorea | Gailuak gehienez 16 * 10GE monitorizazio atakak edo 8 * 40GE monitorizazio atakak edo 2 * 100GE monitorizazio atakak onartzen ditu; | |
| Funtzioa | Duplex osoa prozesatzeko gaitasuna | 640 Gbps |
| IP/protokolo/portuko bost tuple trafiko-jauziaren babesean oinarrituta | Laguntza | |
| Kaskadako babesa trafiko osoan oinarrituta | Laguntza | |
| Hainbat karga orekatzeko | Laguntza | |
| Taupadak hautemateko funtzio pertsonalizatua | Laguntza | |
| Onartu Ethernet paketeen independentzia | Laguntza | |
| SALIBAIDEA ERABIDEA | Laguntza | |
| BYPASS Etengailua flashik gabe | Laguntza | |
| KONTSOLA MGT | Laguntza | |
| IP/WEB MGT | Laguntza | |
| SNMP V1/V2C MGT | Laguntza | |
| TELNET/SSH MGT | Laguntza | |
| SYSLOG protokoloa | Laguntza | |
| Erabiltzailearen baimena | Pasahitzaren baimenean/AAA/TACACS+-n oinarrituta | |
| Elektrikoa | Hornidura-tentsio nominala | AC-220V/DC-48V【Aukerakoa】 |
| Potentzia-maiztasun nominala | 50HZ | |
| Sarrerako korronte nominala | AC-3A / DC-10A | |
| Potentzia nominala | 100W | |
| Ingurumena | Laneko Tenperatura | 0-50 ℃ |
| Biltegiratze-tenperatura | -20-70 ℃ | |
| Laneko hezetasuna | %10-%95, kondentsaziorik gabe | |
| Erabiltzailearen konfigurazioa | Kontsolaren konfigurazioa | RS232 interfazea,115200,8,N,1 |
| Bandaz kanpoko MGT interfazea | 1*10/100/1000M Ethernet interfazea | |
| Pasahitzaren baimena | Laguntza | |
| Txasisaren altuera | Txasisaren espazioa (U) | 1U 19 hazbete, 485 mm * 44,5 mm * 350 mm |
5-Sareko TAP Bypass Switch aplikazioa (ondoren bezala)
Honako hau IPS (Intrusion Prevention System), FW (Firewall) hedapen modua da, IPS / FW sareko ekipamenduetan (bideratzaileak, etengailuak, etab.) sareko ekipamenduetan hedatzen da trafikoaren artean segurtasun egiaztapenen ezarpenaren bidez, arabera. dagokion segurtasun-politika askatzea edo dagokion trafikoa blokeatzea zehazteko, segurtasun defentsaren eragina lortzeko.
Aldi berean, IPS / FW ekipamenduaren inplementazio serie gisa ikus dezakegu, normalean enpresa-sarearen kokapen gakoan hedatzen den serieko segurtasuna ezartzeko, konektatutako gailuen fidagarritasunak zuzenean eragiten dio enpresa-sarearen erabilgarritasun orokorrari. Serieko gailuak gainkargatu, huts egin ondoren, software eguneratzeak, politika eguneratzeak eta abar, enpresa sarearen erabilgarritasun osoa eragin handia izango du. Puntu honetan, sarearen mozketaren bidez soilik, saihesbide fisikoaren jumperak sarea leheneratu egin dezake, sarearen fidagarritasunari larriki eraginez. IPS / FW eta beste serie gailu batzuek, alde batetik, enpresa-sarearen segurtasunaren hedapena hobetzen dute, bestetik enpresa-sareen fidagarritasuna ere murrizten dute, sarearen arriskua areagotuz ez dago eskuragarri.
5.2 Inline Link Series Ekipamenduen Babesa
Mylinking™ " Bypass Switch " sareko gailuen artean seriean zabaltzen da (bideratzaileak, etengailuak, etab.), eta sareko gailuen arteko datu-fluxuak jada ez du zuzenean IPS / FWra eramaten, " Bypass Switch " IPS / FWra, IPS-ra denean. / FW gainkargagatik, hutsegiteagatik, software eguneratzeak, politika eguneratzeak eta hutsegite beste baldintza batzuengatik, "Bypass Switch" bihotz-taupaden mezu adimendunaren detekzioaren bidez aurkikuntza puntualaren funtzioa, eta horrela Saltatu gailu akastunak, sarearen premisa eten gabe, sareko ekipamendu azkarra zuzenean konektatzen den komunikazio-sare normala babesteko; IPS / FW hutsegitearen berreskurapena denean, baina baita taupadak adimendunen bidez funtzioaren detekzioa puntuala detektatzeko, jatorrizko esteka enpresaren sareko segurtasun egiaztapenen segurtasuna berrezartzeko.
Mylinking™ "Bypass Switch"-ek bihotz-taupaden mezuak hautemateko funtzio adimendun indartsua du, erabiltzaileak taupada-tartea eta gehieneko saio-kopurua pertsonaliza ditzake, IPS / FW-ko taupadak mezu pertsonalizatu baten bidez osasun-probak egiteko, esate baterako, taupadak egiaztatzeko mezua bidali. IPS / FW-ren gorako / beherako atakara, eta, ondoren, jaso IPS / FW-ren gorako / beherako atakatik eta epaitu IPS / FW-ak normalean funtzionatzen duen ala ez. taupada-mezua bidaltzea eta jasotzea.
5.3 "SpecFlow" Politika Flow Inline Traction Series Babesa
Segurtasun-sareko gailuak serieko segurtasun-babesean trafiko espezifikoari soilik aurre egin behar dionean, Mylinking™ " Bypass Switch " trafikoa prozesatzeko funtzioaren bidez, trafikoa bahetzeko estrategiaren bidez segurtasun gailua konektatzeko " kezkatuta " trafikoa zuzenean bidaltzen da. sareko loturara, eta "dagokion trafiko-atala" lineako segurtasun-gailuarekiko trakzioa da segurtasun-egiaztapenak egiteko. Horrek segurtasun-gailuaren segurtasun-detektatzeko funtzioaren aplikazio normala mantenduko ez ezik, segurtasun-ekipoaren fluxu ez-eraginkorra ere murriztuko du presioari aurre egiteko; aldi berean, " Bypass Switch "-ek segurtasun-gailuaren funtzionamendu-egoera hauteman dezake denbora errealean. Segurtasun-gailuak modu anormalean funtzionatzen du datu-trafikoa zuzenean saihesten du sare-zerbitzua eteteko.
Mylinking™ Traffic Bypass Protector-ek trafikoa identifika dezake L2-L4 geruzen goiburuaren identifikatzailean oinarrituta, hala nola, VLAN etiketa, iturburu/helmuga MAC helbidea, iturburu IP helbidea, IP pakete mota, garraio-geruzen protokoloaren ataka, protokoloaren goiburuko gako-etiketa, etab. on. Konbinazio malguko hainbat baldintza konbinazio malgutasunez definitu daitezke segurtasun-gailu jakin baterako interesgarriak diren trafiko-mota zehatzak definitzeko eta asko erabil daitezke segurtasun-ikuskaritza-gailu bereziak (RDP, SSH, datu-baseen auditoretzak, etab.) hedatzeko. .
5.4 Karga orekatua serieen babesa
Mylinking™ "Bypass Switch" seriean zabaltzen da sareko gailuen artean (bideratzaileak, etengailuak, etab.). IPS / FW prozesatzeko errendimendua nahikoa ez denean sareko estekaren puntako trafikoari aurre egiteko, Babeslearen trafikoa karga orekatzeko funtzioak, IPS / FW kluster anitz prozesatzeko sareko esteka trafikoa modu eraginkorrean murrizten du. FW prozesatzeko presioa, hobetu prozesatzeko errendimendu orokorra hedapen-ingurunearen banda zabalera handia betetzeko.
Mylinking™ "Bypass Switch"-ek karga orekatzeko funtzio indartsua du, VLAN etiketa markoaren, MAC informazioa, IP informazioa, ataka zenbakia, protokoloa eta trafikoaren Hash karga orekatzeko banaketari buruzko beste informazio batzuen arabera, IPS / FW bakoitzak datuak jaso dituela ziurtatzeko. fluxua Saioaren osotasuna.
5.5 Serie anitzeko ekipoen fluxua trakzio-babesa (aldatu serie-konexioa paralelo-konexiora)
Funtsezko esteka batzuetan (esaterako, Interneteko saltokietan, zerbitzari-eremua trukatzeko esteka), kokapena segurtasun-eginbideen beharrengatik eta lineako segurtasun-probak egiteko ekipamendu anitz (adibidez, suebakia, DDOS-en aurkako eraso-ekipoa, WEB aplikazioen suebakia, adibidez) beharrengatik gertatzen da. , intrusioak prebenitzeko Ekipamendua, etab.), hainbat segurtasun detektatzeko ekipamendu aldi berean estekan seriean hutsegite puntu bakar baten esteka handitzeko, sarearen fidagarritasun orokorra murriztuz. Eta goian aipatutako segurtasun-ekipamenduen lineako hedapenean, ekipamendu-berritzeak, ekipamenduak ordezkatzea eta beste eragiketa batzuk, sarea denbora luzez eten egingo dute eta proiektuak moztu ekintza handiagoak izango dituzte proiektu horiek arrakastaz betetzeko.
"Bypass Switch" modu bateratuan zabalduz, esteka berean seriean konektatuta dauden hainbat segurtasun-gailuen hedapen-modua "kateatze fisiko modua"tik "kateatze fisikoa, kateatze modu logikoa" alda daiteke. estekaren fidagarritasuna hobetzeko hutsegite-puntu bakarra, "saihesteko etengailua" estekaren fluxuan eskaeraren trakzioan, fluxu bera lortzeko jatorrizko prozesatzeko modu seguruarekin efektua.
Segurtasun gailu bat baino gehiago aldi berean serie inplementazio diagraman:
Mylinking™ Sarearen TAP Bypass etengailuaren inplementazio-diagrama:
5.6 Trafiko Trakzioko Segurtasun Detektatzeko Babesaren Estrategia Dinamikoan oinarrituta
"Bypass Switch" Beste aplikazio-eszenatoki aurreratu bat trafiko-trakzioko segurtasuna detektatzeko babeserako aplikazioen estrategia dinamikoan oinarritzen da, behean erakusten den moduaren hedapena:
Hartu "Anti-DDoS erasoen babesa eta detekzioa" segurtasun-probak egiteko ekipamendua, adibidez, "Bypass Switch"-en aurre-end hedapenaren bidez eta, ondoren, DDOS-en aurkako babes-ekipoa eta gero "Bypass Switch"-era konektatu ohi den moduan. Trakzio babeslea "trafiko-hari-abiadura birbidaltzeko kopuru osoa, aldi berean, fluxuaren ispiluaren irteera" DDOS-en aurkako erasoen babeserako gailura ", erasoaren ondoren zerbitzariaren IP (edo IP sare-segmentuan) detektatu ondoren", DDOS-ren aurkako erasoen babeserako gailuak " helburuko trafiko-fluxua bat etortzeko arauak sortuko ditu eta " Bypass Switch "ra bidaliko ditu politikaren entrega dinamikoaren interfazearen bidez. " Bypass Switch "-ak "trafiko-trakzio dinamika" eguneratu dezake politika-arau dinamikoak jaso ondoren Arau multzoa "eta berehala" arauak eraso-zerbitzariaren trafikoari "trakzioa" DDoS aurkako erasoen babeserako eta detekziorako "prozesatzeko ekipamenduari" eragin diezaioke. eraginkorra eraso-fluxuaren ondoren eta gero berriro sarean injektatu.
"Bypass Switch"-ean oinarritutako aplikazio-eskema BGP bide-injekzio tradizionala edo beste trafiko-trakzio-eskema bat baino errazagoa da inplementatzen, eta ingurunea sarearen menpe ez dago eta fidagarritasuna handiagoa da.
"Bypass Switch"-ek ezaugarri hauek ditu politika dinamikoen segurtasuna hautemateko babesa laguntzeko:
1, " Bypass Switch " WEBSERIVCE interfazean oinarritutako arauetatik kanpo eskaintzeko, hirugarrenen segurtasun gailuekin integratzeko erraza.
2, " Bypass Switch " hardware ASIC txip hutsean oinarritutako 10 Gbps-ko hari-abiadurako paketeak birbidaltzen ditu etengailuen birbidaltzea blokeatu gabe eta "trafiko-trakzioko arau dinamikoen liburutegia" kopurua edozein dela ere.
3, " Bypass Switch " BYPASS funtzio profesional integratua, babesleak berak huts egiten badu ere, jatorrizko serie-lotura berehala saihestu dezake, ez dio komunikazio arruntaren jatorrizko loturari eragiten.
