Mylinking™ Sareko Haririketako Saihesbide Etengailua ML-BYPASS-200
2 * Bypass gehi 1 * Monitore Diseinu Modularra, 10/40/100GE Loturak, Gehienez 640 Gbps
1-Ikuspegi orokorrak
Mylinking™ Smart Bypass Switch-a zabalduz:
- Erabiltzaileek segurtasun-ekipoak malgutasunez instalatu/desinstalatu ditzakete eta ez dute eraginik izango uneko sarea eta etenaldia;
- Mylinking™ Sareko Sareko Saihesbidearen etengailua, serieko segurtasun-gailuaren funtzionamendu-egoera normala denbora errealean monitorizatzeko osasun-detekzio funtzio adimendunarekin. Serieko segurtasun-gailuak funtzionamendu-salbuespena gertatzen denean, babesa automatikoki saihestuko da sareko komunikazio normala mantentzeko.
- Trafiko-babeserako teknologia selektiboa erabil daiteke trafikoa garbitzeko segurtasun-ekipo espezifikoak zabaltzeko, auditoria-ekipoetan oinarritutako enkriptazio-teknologia. Serieko sarbide-babesa eraginkortasunez gauzatu trafiko mota espezifikorako, serieko gailuaren fluxu-kudeaketa presioa deskargatuz;
- Trafiko Karga Orekatuaren Babeserako teknologia serieko gailu seguruak klusterizatuta inplementatzeko erabil daiteke, banda-zabalera handiko inguruneetan serieko segurtasunaren beharra asetzeko.
Interneten garapen azkarrarekin, sareko informazioaren segurtasunaren mehatxua gero eta larriagoa bihurtzen ari da, beraz, informazioaren segurtasunaren babeserako hainbat aplikazio gero eta gehiago erabiltzen dira. Sarbide-kontroleko ekipamendu tradizionala (suebakia) edo babes-bide aurreratuago mota berri bat izan, hala nola intrusioen prebentzio-sistema (IPS), mehatxuen kudeaketa bateratuaren plataforma (UTM), zerbitzu ukatze-erasoen aurkako sistema (Anti-DDoS), Anti-span Gateway, DPI trafikoaren identifikazio eta kontrol sistema bateratua, eta segurtasun-gailu asko seriean zabaltzen dira sareko nodo nagusietan, dagokion datuen segurtasun-politika ezartzeko trafiko legala/legez kanpokoa identifikatu eta kudeatzeko. Aldi berean, ordea, ordenagailu-sareak sareko atzerapen handia edo sareko etenaldia sortuko du failover, mantentze-lanak, eguneratzeak, ekipamenduen ordezkapenak eta abar gertatzen badira, ekoizpen-sareko aplikazio-ingurune oso fidagarri batean, erabiltzaileek ezin dute jasan.
2-Sareko Saihesbidearen Aldagailua Ezaugarri eta Teknologia Aurreratuak
Mylinking™ “SpecFlow” Babes Modua eta “FullLink” Babes Moduaren Teknologia
Mylinking™ Saihesbide Azkarrerako Kommutazio Babeserako Teknologia
Mylinking™ “LinkSafeSwitch” teknologia
Mylinking™ “WebService” estrategia dinamikoaren birbidaltze/arazoen teknologia
Mylinking™ Bihotz-taupada adimenduneko mezuak detektatzeko teknologia
Mylinking™ Defini daitezkeen bihotz-taupada mezuen teknologia
Mylinking™ esteka anitzeko karga orekatzeko teknologia
Mylinking™ Trafiko Banaketa Adimendunaren Teknologia
Mylinking™ Karga-oreka dinamikoaren teknologia
Mylinking™ Urruneko Kudeaketa Teknologia (HTTP/WEB, TELNET/SSH, “EasyConfig/AdvanceConfig” Ezaugarria)
3-Sareko Tap Bypass etengailuaren konfigurazio gida
SAIHESTUBIDEABabes-ataka moduluaren zirrikitua:
Zirrikitu hau abiadura/portu zenbaki desberdineko BYPASS babes ataka moduluan sar daiteke. Modulu mota desberdinak ordezkatuz, 10G/40G/100G lotura anitzen BYPASS babesa onar dezake.
MONITOREAPortu Moduluaren Zirrikitua;
Zirrikitu hau MONITOR ataka moduluan sar daiteke abiadura/ataka desberdinekin. Hainbat 10G/40G/100G loturako lineako serieko monitorizazio gailuen hedapena onar dezake, modelo desberdinak ordezkatuz.
Moduluen Hautaketa Arauak
Hedapen-lotura desberdinen eta monitorizazio-ekipoen hedapen-eskakizunen arabera, malgutasunez aukeratu ditzakezu modulu-konfigurazio desberdinak zure benetako ingurunearen beharretara egokitzeko; jarraitu arau hauek hautatzerakoan:
1. Txasisaren osagaiak derrigorrezkoak dira eta beste edozein modulu aukeratu aurretik txasisaren osagaiak hautatu behar dituzu. Aldi berean, aukeratu zure beharren arabera elikatze-iturri desberdinak (AC/DC).
2. Makina osoak gehienez 2 BYPASS modulu zirrikitu eta MONITOR modulu zirrikitu 1 onartzen ditu; ezin duzu konfiguratzeko zirrikitu kopurua baino gehiago hautatu. Zirrikitu kopuruaren eta modulu modeloaren konbinazioaren arabera, gailuak gehienez lau 10GE lotura babes onar ditzake; edo gehienez lau 40GE lotura onar ditzake; edo gehienez 100GE lotura bat onar dezake.
3. "BYP-MOD-L1CG" modulu-eredua SLOT1-en bakarrik sartu daiteke behar bezala funtzionatzeko.
4. "BYP-MOD-XXX" motako modulua BYPASS moduluaren zirrikituan bakarrik sar daiteke; "MON-MOD-XXX" motako modulua MONITOR moduluaren zirrikituan bakarrik sar daiteke funtzionamendu normalerako.
| Produktuaren eredua | Funtzio-parametroak |
| Txasisa (Ostalaria) | |
| ML-BYPASS-M200 | 1U estandar 19 hazbeteko rack muntatzeko sistema; gehienezko energia-kontsumoa 250W; BYPASS babesle modularra; 2 BYPASS modulu zirrikitu; MONITOR modulu zirrikitu 1; AC eta DC aukerakoak; |
| SAIHESTUBIDE MODULUA | |
| BYP-MOD-L2XG(LM/SM) | 2 bideko 10GE lotura serieko babesa onartzen du, 4 * 10GE interfazea, LC konektorea; integratutako transzeptore optikoa; lotura optikoa modu bakarrekoa/multimodea aukerakoa, 10GBASE-SR/LR onartzen du; |
| BYP-MOD-L2QXG(LM/SM) | 2 bideko 40GE lotura serieko babesa onartzen du, 4 * 40GE interfazea, LC konektorea; integratutako transzeptore optikoa; lotura optikoa modu bakarrekoa/multimodea aukerakoa, 40GBASE-SR4/LR4 onartzen du; |
| BYP-MOD-L1CG (LM/SM) | 1 kanaleko 100GE loturako serieko babesa onartzen du, 2 * 100GE interfazea, LC konektorea; integratutako transzeptore optikoa; lotura optiko bakarra multimode aukerakoa, 100GBASE-SR4/LR4 onartzen du; |
| MONITOR MODULUA | |
| MON-MOD-L16XG | 16*10GE SFP+ monitorizazio ataka modulua; ez dago transzeptore optiko modulurik; |
| MON-MOD-L8XG | 8*10GE SFP+ monitorizazio ataka modulua; ez dago transzeptore optiko modulurik; |
| AST-MOD-L2CG | 2*100GE QSFP28 monitorizazio ataka modulua; ez dago transzeptore optiko modulurik; |
| MON-MOD-L8QXG | 8* 40GE QSFP+ monitorizazio ataka modulua; ez dago transzeptore optiko modulurik; |
4-Sareko TAP Bypass etengailuaren zehaztapenak
| Produktuaren Modalitatea | ML-BYPASS-M200 serieko bypass etengailua | |
| Interfaze mota | Kudeaketa interfazea | 1*10/100/1000BASE-T Kudeaketa interfaze moldagarria; Urruneko HTTP/IP kudeaketa onartzen du |
| Moduluaren zirrikitua | 2 * BYPASS moduluaren zirrikitua; 1 * MONITOR moduluaren zirrikitua; | |
| Gehienezko estekak onartzen dituzte | Gailuak gehienez 4 * 10GE loturak edo 4 * 40GE loturak edo 1 * 100GE lotura onartzen ditu | |
| Monitorea | Gailuak gehienez 16 * 10GE monitorizazio-portu edo 8 * 40GE monitorizazio-portu edo 2 * 100GE monitorizazio-portu onartzen ditu; | |
| Funtzioa | Prozesatzeko gaitasun osoa duplex | 640 Gbps |
| IP/protokolo/portu bost tupla espezifikoko trafiko-kaskada babestean oinarrituta | Laguntza | |
| Trafiko osoan oinarritutako kaskada-babesa | Laguntza | |
| Karga anitzeko oreka | Laguntza | |
| Bihotz-taupadak detektatzeko funtzio pertsonalizatua | Laguntza | |
| Ethernet paketeen independentzia onartzen du | Laguntza | |
| SAIBATZE-ETENDATZAILEA | Laguntza | |
| BYPASS etengailua flashik gabe | Laguntza | |
| KONTSOLA KUDEAKETA | Laguntza | |
| IP/WEB kudeaketa | Laguntza | |
| SNMP V1/V2C kudeaketa | Laguntza | |
| TELNET/SSH kudeaketa | Laguntza | |
| SYSLOG protokoloa | Laguntza | |
| Erabiltzailearen baimena | Pasahitz baimenean/AAA/TACACS+ oinarrituta | |
| Elektrikoa | Hornidura-tentsio nominala | AC-220V/DC-48V【Aukerakoa】 |
| Potentzia-maiztasun nominala | 50Hz | |
| Sarrerako korronte nominala | AC-3A / DC-10A | |
| Potentzia nominala | 100W | |
| Ingurumena | Laneko tenperatura | 0-50℃ |
| Biltegiratze tenperatura | -20-70℃ | |
| Laneko hezetasuna | %10-%95, Kondentsaziorik gabe | |
| Erabiltzailearen konfigurazioa | Kontsolaren konfigurazioa | RS232 interfazea, 115200, 8, N, 1 |
| Bandatik kanpoko kudeaketa interfazea | 1 * 10/100/1000M Ethernet interfazea | |
| Pasahitz baimena | Laguntza | |
| Txasisaren altuera | Txasisaren espazioa (U) | 1U 19 hazbeteko, 485 mm * 44,5 mm * 350 mm |
5-Sareko TAP Bypass etengailuaren aplikazioa (hurrengo moduan)
Jarraian, IPS (Intrusion Prevention System), FW (Firewall) hedapen modu tipikoa aurkezten da. IPS/FW sareko ekipoetan (routerretan, etengailuetan, etab.) seriean zabaltzen da trafikoaren artean, segurtasun-egiaztapenak ezarriz, dagokion segurtasun-politikaren arabera dagokion trafikoa askatu edo blokeatu zehazteko, segurtasun-defentsaren efektua lortzeko.
Aldi berean, IPS/FW ekipamenduen serieko hedapen gisa ikus dezakegu, normalean enpresa-sarearen kokapen gakoetan zabaltzen dena serieko segurtasuna ezartzeko. Konektatutako gailuen fidagarritasunak zuzenean eragiten dio enpresa-sarearen erabilgarritasun orokorrari. Serieko gailuak gainkargatzen direnean, matxuratzen direnean, software eguneratzen direnean, politika eguneratzen direnean, etab., enpresa-sare osoaren erabilgarritasuna asko kaltetuko da. Puntu honetan, sareko mozketa baten bidez bakarrik, bypass fisikoko jauzilari baten bidez, sarea lehenera daiteke, sarearen fidagarritasunari eraginez. IPS/FW eta beste serieko gailu batzuek, alde batetik, enpresa-sarearen segurtasunaren hedapena hobetzen dute, eta, bestetik, enpresa-sareen fidagarritasuna murrizten dute, sarea erabilgarri ez egoteko arriskua handituz.
5.2 Inline Link Serieko Ekipamenduen Babesa
Mylinking™ "Bypass Switch" sareko gailuen (router-ak, switch-ak, etab.) artean seriean zabaltzen da, eta sareko gailuen arteko datu-fluxuak ez du zuzenean IPS/FWra eramaten, "Bypass Switch" IPS/FWra baizik. IPS/FW gainkarga, matxura, software eguneratze, politika eguneratze edo bestelako akatsen ondorioz gertatzen denean, "Bypass Switch" funtzio adimendunak bihotz-taupada mezuen detekzio garaiz egiten du, eta horrela gailu akastuna saltatzen du, sarearen premisa eten gabe. Sareko ekipamendua zuzenean konektatuta dago komunikazio-sare normala babesteko; IPS/FW akatsen berreskurapena egiten denean, baina baita bihotz-taupada pakete adimendunen detekzio funtzioaren bidez ere, jatorrizko esteka enpresaren sarearen segurtasun-egiaztapenak leheneratzeko.
Mylinking™ "Bypass Switch"-ek bihotz-taupada mezuak detektatzeko funtzio adimendun indartsua du. Erabiltzaileak bihotz-taupada tartea eta gehienezko saiakera kopurua pertsonaliza ditzake, IPS / FW-an osasun-probak egiteko bihotz-taupada mezu pertsonalizatu baten bidez, hala nola, bihotz-taupada egiaztatzeko mezua IPS / FW-ren goranzko / beheranzko portuan bidaliz, eta ondoren IPS / FW-ren goranzko / beheranzko portutik jasoz, eta IPS / FW-a normal funtzionatzen duen ala ez epaituz bihotz-taupada mezua bidaliz eta jasoz.
5.3 “SpecFlow” Politika Fluxua Lerroko Trakzio Serieko Babesa
Segurtasun-sareko gailuak serieko segurtasun-babeseko trafiko espezifikoarekin bakarrik lan egin behar duenean, Mylinking™ "Bypass Switch" prozesatzeko trafikoaren funtzioaren bidez, segurtasun-gailura konektatzeko trafiko-baheketa estrategiaren bidez, "Kezkatutako" trafikoa zuzenean sareko estekara bidaltzen da, eta "kezkatutako trafiko-atala" segurtasun-gailura eramaten da segurtasun-egiaztapenak egiteko. Horrek ez du soilik segurtasun-gailuaren segurtasun-detekzio funtzioaren aplikazio normala mantenduko, baita segurtasun-ekipoen presioari aurre egiteko fluxu ez-eraginkorra murriztuko ere; aldi berean, "Bypass Switch"-ak segurtasun-gailuaren funtzionamendu-egoera denbora errealean detektatu dezake. Segurtasun-gailuak modu anormalean funtzionatzen du eta datu-trafikoa zuzenean saihestu egiten du sareko zerbitzua etenik ez izateko.
Mylinking™ Traffic Bypass Protector-ek trafikoa identifikatu dezake L2-L4 geruzako goiburuaren identifikatzailean oinarrituta, hala nola VLAN etiketa, iturburu/helmugako MAC helbidea, iturburu IP helbidea, IP pakete mota, garraio geruzako protokolo ataka, protokolo goiburuaren gako etiketa, etab. Hainbat bat etortze baldintza malguen konbinazio malguak malgutasunez defini daitezke segurtasun gailu jakin batentzat interesgarriak diren trafiko mota espezifikoak definitzeko, eta segurtasun auditoria gailu bereziak (RDP, SSH, datu-baseen auditoria, etab.) zabaltzeko erabil daitezke.
5.4 Serieko karga orekatuaren babesa
Mylinking™ "Bypass Switch" sareko gailuen (router, switch, etab.) artean seriean zabaltzen da. IPS/FW prozesatzeko errendimendu bakarra ez denean nahikoa sareko loturaren trafiko puntakoari aurre egiteko, babeslearen trafiko-karga orekatzeko funtzioak, hainbat IPS/FW kluster prozesatzeko sareko lotura trafikoa "multzokatzeak", IPS/FW bakarreko prozesatzeko presioa eraginkortasunez murriztu dezake, prozesatzeko errendimendu orokorra hobetuz hedapen-ingurunearen banda-zabalera handia asetzeko.
Mylinking™ "Bypass Switch"-ek karga-oreka funtzio indartsua du, VLAN etiketaren, MAC informazioaren, IP informazioaren, ataka zenbakiaren, protokoloaren eta trafikoaren Hash karga-oreka banatzen duena, IPS/FW bakoitzak jasotako datu-fluxuaren saioaren osotasuna bermatzeko.
5.5 Serie anitzeko lerroko ekipamenduen fluxu-trakzio babesa (serieko konexioa paralelo konexiora aldatu)
Lotura gako batzuetan (Interneteko entxufeak, zerbitzarien eremuko truke-loturak, adibidez), kokapena askotan segurtasun-ezaugarrien beharrengatik eta hainbat segurtasun-proba-ekipo lineal (suebakia, DDOS erasoen aurkako ekipoak, WEB aplikazioen suebakia, intrusioak prebenitzeko ekipoak, etab.) hedatzeagatik gertatzen da. Hainbat segurtasun-detekzio-ekipo aldi berean seriean jartzen dira estekan, hutsegite-puntu bakarreko lotura handitzeko, sarearen fidagarritasun orokorra murriztuz. Eta aipatutako segurtasun-ekipoen lineako hedapenean, ekipoen eguneratzeetan, ekipoen ordezkapenetan eta beste eragiketa batzuetan, sarearen zerbitzu-etenaldi luzeak eta proiektu handiagoen etenaldiak eragingo dira proiektu horien inplementazio arrakastatsua burutzeko.
"Bypass etengailua" modu bateratuan zabalduz, esteka berean seriean konektatutako hainbat segurtasun-gailuren hedapen-modua "kateatze fisiko modutik" "kateatze fisiko, kateatze logiko modura" alda daiteke. Esteka bateko hutsegite-puntu bakarreko estekak estekaren fidagarritasuna hobetzen du, eta "bypass etengailuak" estekan eskaeraren araberako trakzio-fluxua egiten du, jatorrizko prozesatzeko efektu seguruaren moduarekin fluxu bera lortzeko.
Segurtasun-gailu bat baino gehiago aldi berean seriean hedapen-diagrama:
Mylinking™ Sarearen TAP Saihesbide Etengailuaren Hedapen Diagrama:
5.6 Trafikoaren Segurtasun Detekzio Babeserako Estrategia Dinamikoan Oinarrituta
"Saihesbide-konmutadorea" Beste aplikazio-eszenatoki aurreratu bat trafiko-trakzioaren segurtasun-detekzioaren babes-aplikazioen estrategia dinamikoan oinarritzen da, behean erakusten den moduan hedatuta:
Adibidez, "Anti-DDoS erasoen aurkako babesa eta detekzioa" segurtasun-probak egiteko ekipoa hartu, "Bypass Switch" aurrealdean zabalduz eta ondoren DDOS aurkako babes-ekipoa erabiliz, eta ondoren "Bypass Switch"-era konektatuta. Ohiko "Trakzio-babeslea" moduan, trafikoaren kable-abiadura osoa birbidaltzen da, aldi berean fluxu-ispiluaren irteera "DDOS aurkako erasoen aurkako babes-gailura". Behin erasoaren ondoren zerbitzariaren IP bat (edo IP sare-segmentu bat) detektatu ondoren, "Anti-DDOS erasoen aurkako babes-gailuak" trafiko-fluxuaren parekatze-arauak sortuko ditu eta "Bypass Switch"-era bidaliko ditu politika dinamikoen bidalketa-interfazearen bidez. "Bypass Switch"-ek "trafiko-trakzio dinamikoa" eguneratu dezake politika dinamikoen arauak jaso ondoren, "arau multzoa" eta berehala eraso-zerbitzariko trafikoaren "trakzioa" eragiten du "DDoS aurkako erasoen aurkako babesa eta detekzioa" ekipora prozesatzeko, eraso-fluxuaren ondoren eraginkorra izan dadin eta gero sarean berriro txertatzeko.
"Bypass Switch"-ean oinarritutako aplikazio-eskema errazagoa da ezartzeko BGP ibilbide-injekzio tradizionala edo beste trafiko-trakzio eskema batzuk baino, eta ingurunea sarearekiko gutxiago menpekoa da eta fidagarritasuna handiagoa da.
"Saihesbide-etengailuak" ezaugarri hauek ditu segurtasun-detekzio dinamikoaren babesa laguntzeko:
1, "Saihesbide-konmutadorea" WEBSERVICE interfazean oinarritutako arauetatik kanpo eskaintzeko, hirugarrenen segurtasun-gailuekin integrazio erraza eskaintzeko.
2, "Bypass Switch" hardware puruko ASIC txipan oinarrituta, 10 Gbps-ko hari-abiadurako paketeak birbidaltzen dituena etengailuaren birbidalketa blokeatu gabe, eta "trafiko-trakzio dinamikoaren arau-liburutegia" kopurua edozein dela ere.
3, "Bypass etengailua" barneko BYPASS funtzio profesionalak, babesleak berak huts egiten badu ere, jatorrizko serieko lotura berehala saihestu dezake, komunikazio normalaren jatorrizko loturan eraginik gabe.
