1- Zer da Define Heartbeat paketea?
Mylinking™ Network Tap Bypass Switch-aren bihotz-taupada paketeak Ethernet 2. geruzako markoak dira lehenespenez. 2. geruzako zubi modu gardena zabaltzean (IPS / FW bezalakoa), 2. geruzako Ethernet markoak normalean birbidaltzen, blokeatzen edo baztertzen dira. Aldi berean, Mylinking™ Network Tap Bypass Switch-ak bihotz-taupada mezu formatu pertsonalizatua onartzen du serieko segurtasun gailu berezi batzuek normalean 2. geruzako Ethernet marko arruntak birbidaltzen ezin dituzten egoerari aurre egiteko.
Eta Mylinking™ Network Tap Bypass Switch-ek VLAN etiketa, 3. eta 4. geruzako mezu pertsonalizatuen motatan oinarritutako bihotz-taupadak detektatzea ere onartzen du. Mekanismo honetan oinarrituta, erabiltzaileak konexioaren segurtasun-gailuaren zerbitzu-segurtasun proba funtzio bat ezar dezake, dagokion segurtasun-zerbitzuek behar bezala funtzionatzen dutela ziurtatzeko eraginkorragoa izan dadin.
Mylinking™ Network Tap Bypass etengailuak monitoreari bi norabideetan bihotz-taupada pakete desberdinak bidaltzea onartzen dio. Adibidez, TCP eta UDP motako bihotz-taupada paketeak "Strategy Traction Protector"-en pertsonalizatzen dira, serieko gailuaren berezitasunen arabera. TCP bihotz-taupada paketeak goranzko monitorearen A atakan bidaltzea eta UDP bihotz-taupada paketeak beheranzko monitorearen B atakan bidaltzea konfigura dezakezu serieko segurtasun gailuaren mezuak birbidaltzeko mekanismoa egokitzeko. Funtzio honek katea modu eraginkorragoan berma dezake. Konektatu segurtasun ekipamendua funtzionamendu normalera.
Mylinking™ Sareko Lineako Bypass Kommutadorea hainbat serieko segurtasun-ekipo mota malgutasunez inplementatzeko ikertu eta garatu da, sarearen fidagarritasun handia eskainiz.
2-Sareko Lineako Bypass Kommutadorearen Ezaugarri eta Teknologia Aurreratuak
Mylinking™ “SpecFlow” Babes Modua eta “FullLink” Babes Moduaren Teknologia
Mylinking™ Saihesbide Azkarrerako Kommutazio Babeserako Teknologia
Mylinking™ “LinkSafeSwitch” teknologia
Mylinking™ “WebService” estrategia dinamikoaren birbidaltze/arazoen teknologia
Mylinking™ Bihotz-taupada adimenduneko mezuak detektatzeko teknologia
Mylinking™ Defini daitezkeen bihotz-taupada mezuen teknologia
Mylinking™ esteka anitzeko karga orekatzeko teknologia
Mylinking™ Trafiko Banaketa Adimendunaren Teknologia
Mylinking™ Karga-oreka dinamikoaren teknologia
Mylinking™ Urruneko Kudeaketa Teknologia (HTTP/WEB, TELNET/SSH, “EasyConfig/AdvanceConfig” Ezaugarria)
3-Sareko lineako bypass etengailuaren aplikazioa (hurrengo bezala)
3.1 Segurtasun Ekipamendu Integratuen (IPS / FW) Arriskua
Jarraian, IPS (Intrusion Prevention System), FW (Firewall) hedapen modu tipikoa aurkezten da. IPS/FW sareko ekipoetan (routerretan, etengailuetan, etab.) seriean zabaltzen da trafikoaren artean, segurtasun-egiaztapenak ezarriz, dagokion segurtasun-politikaren arabera dagokion trafikoa askatu edo blokeatu zehazteko, segurtasun-defentsaren efektua lortzeko.
Aldi berean, IPS/FW ekipamenduen serieko hedapen gisa ikus dezakegu, normalean enpresa-sarearen kokapen gakoetan zabaltzen dena serieko segurtasuna ezartzeko. Konektatutako gailuen fidagarritasunak zuzenean eragiten dio enpresa-sarearen erabilgarritasun orokorrari. Serieko gailuak gainkargatzen direnean, matxuratzen direnean, software eguneratzen direnean, politika eguneratzen direnean, etab., enpresa-sare osoaren erabilgarritasuna asko kaltetuko da. Puntu honetan, sareko mozketa baten bidez bakarrik, bypass fisikoko jauzilari baten bidez, sarea lehenera daiteke, sarearen fidagarritasunari eraginez. IPS/FW eta beste serieko gailu batzuek, alde batetik, enpresa-sarearen segurtasunaren hedapena hobetzen dute, eta, bestetik, enpresa-sareen fidagarritasuna murrizten dute, sarea erabilgarri ez egoteko arriskua handituz.
3.2 Inline Link Serieko Ekipamenduen Babesa
Mylinking™ "Network Inline Bypass" sareko gailuen (routerrak, etengailuak, etab.) artean seriean zabaltzen da, eta sareko gailuen arteko datu-fluxuak ez du zuzenean IPS/FWra eramaten, "Network Inline Bypass" IPS/FWra baizik. IPS/FW gainkarga, kraskadura, software eguneratze, politika eguneratze edo bestelako akatsen ondorioz gertatzen denean, "Network Inline Bypass" funtzioak bihotz-taupada mezuen detekzio adimendunaren bidez garaiz aurkitzen du gailu akastuna, eta horrela, sarearen premisa eten gabe, sareko ekipamendua azkar zuzenean konektatuta dago komunikazio-sare normala babesteko; IPS/FW akatsen berreskurapena egiten duenean, baina baita bihotz-taupada paketeen detekzio adimendunaren bidez ere, jatorrizko esteka enpresaren sarearen segurtasun-egiaztapenak leheneratzeko.
Mylinking™ “Network Inline Bypass”-ek bihotz-taupada mezuak detektatzeko funtzio adimendun indartsua du. Erabiltzaileak bihotz-taupada tartea eta gehienezko saiakera kopurua pertsonaliza ditzake, IPS/FW-n osasun-probak egiteko bihotz-taupada mezu pertsonalizatu baten bidez, hala nola, bihotz-taupada egiaztatzeko mezua IPS/FW-ren goranzko/beheranzko portuan bidaliz, eta ondoren IPS/FW-ren goranzko/beheranzko portutik jasoz, eta IPS/FW-a normal funtzionatzen duen ala ez epaituz bihotz-taupada mezua bidaliz eta jasoz.
3.3 “SpecFlow” Politika Fluxua Lerroko Trakzio Serieko Babesa
Segurtasun-sareko gailuak serieko segurtasun-babeseko trafiko espezifikoarekin bakarrik lan egin behar duenean, Mylinking™ "Network Inline Bypass" prozesatzeko trafikoaren funtzioaren bidez, trafiko-bahetze estrategiaren bidez segurtasun-gailura konektatzeko, "Kezkatutako" trafikoa zuzenean sareko estekara bidaltzen da, eta "kezkatutako trafiko-atala" segurtasun-gailura bidaltzen da segurtasun-egiaztapenak egiteko. Horrek ez du soilik segurtasun-gailuaren segurtasun-detekzio funtzioaren aplikazio normala mantenduko, baita segurtasun-ekipoen presioari aurre egiteko fluxu ez-eraginkorra murriztuko ere; aldi berean, "Network Inline Bypass"-ek segurtasun-gailuaren funtzionamendu-egoera denbora errealean detektatu dezake. Segurtasun-gailuak modu anormalean funtzionatzen du eta datu-trafikoa zuzenean saihestu egiten du sareko zerbitzua etenik ez izateko.
3.4 Serieko karga orekatuaren babesa
Mylinking™ “Network Inline Bypass” sareko gailuen (router, switch, etab.) artean seriean zabaltzen da. IPS/FW prozesatzeko errendimendu bakarra ez denean nahikoa sareko loturaren puntako trafikoari aurre egiteko, babeslearen trafiko-karga orekatzeko funtzioak, hainbat IPS/FW kluster prozesatzeko sareko loturaren trafikoa “multzokatzeak”, IPS/FW bakarreko prozesatzeko presioa eraginkortasunez murriztu dezake, prozesatzeko errendimendu orokorra hobetuz hedapen-ingurunearen banda-zabalera handia asetzeko.
Mylinking™ “Network Inline Bypass”-ek karga-oreka funtzio indartsua du, VLAN etiketaren, MAC informazioaren, IP informazioaren, ataka-zenbakiaren, protokoloaren eta trafikoaren Hash karga-orekatzearen banaketaren arabera, IPS/FW bakoitzak jasotako datu-fluxuaren saioaren osotasuna bermatzeko.
3.5 Serie anitzeko lerroko ekipamenduen fluxu-trakzio babesa (serieko konexioa paralelo konexiora aldatu)
Lotura gako batzuetan (Interneteko entxufeak, zerbitzarien eremuko truke-loturak, adibidez), kokapena askotan segurtasun-ezaugarrien beharrengatik eta hainbat segurtasun-proba-ekipo lineal (suebakia, DDOS erasoen aurkako ekipoak, WEB aplikazioen suebakia, intrusioak prebenitzeko ekipoak, etab.) hedatzeagatik gertatzen da. Hainbat segurtasun-detekzio-ekipo aldi berean seriean jartzen dira estekan, hutsegite-puntu bakarreko lotura handitzeko, sarearen fidagarritasun orokorra murriztuz. Eta aipatutako segurtasun-ekipoen lineako hedapenean, ekipoen eguneratzeetan, ekipoen ordezkapenetan eta beste eragiketa batzuetan, sarearen zerbitzu-etenaldi luzeak eta proiektu handiagoen etenaldiak eragingo dira proiektu horien inplementazio arrakastatsua burutzeko.
"Sareko lineako saihesbidea" modu bateratuan zabalduz, esteka berean seriean konektatutako segurtasun-gailu anitzen hedapen-modua "kateatze fisiko modutik" "kateatze fisiko, kateatze logiko modura" alda daiteke. Akats-puntu bakarreko estekan estekaren fidagarritasuna hobetzen da, eta "Sareko lineako saihesbideak" estekan eskaeraren araberako trakzio-fluxua areagotzen du, jatorrizko prozesatzeko efektu seguruaren moduarekin fluxu bera lortzeko.
Segurtasun-gailu bat baino gehiago aldi berean seriean hedapen-diagrama:
Sareko lineako bypass etengailuaren hedapen diagrama:
3.6 Trafikoaren Segurtasun Detekzio Babeserako Estrategia Dinamikoan Oinarrituta
"Sareko lineako saihesbidea" Beste aplikazio aurreratu baten eszenatokia trafikoaren trakzio-segurtasuneko detekzioaren babes-aplikazioen estrategia dinamikoan oinarritzen da, behean erakusten den moduan hedatuta:
Adibidez, hartu "Anti-DDoS erasoen aurkako babesa eta detekzioa" segurtasun-probak egiteko ekipoa, "Network Inline Bypass" aurrealdean zabalduz eta ondoren DDOS aurkako babes-ekipoa erabiliz, eta ondoren "Network Inline Bypass"-era konektatuta. Ohiko "Trakzio-babeslea" moduan, trafikoaren kable-abiadura osoa birbidaltzen da, aldi berean fluxu-ispiluaren irteera "Anti-DDOS erasoen aurkako babes-gailura". Behin erasoaren ondoren zerbitzariaren IP helbidea (edo IP sare segmentua) detektatu ondoren, "Anti-DDOS erasoen aurkako babes-gailuak" helburuko trafiko-fluxuaren parekatze-arauak sortuko ditu eta "Network Inline Bypass"-era bidaliko ditu politika dinamikoen entrega-interfazearen bidez. "Network Inline Bypass"-ek "trafiko-trakzio dinamikoa" eguneratu dezake politika dinamikoen arauak jaso ondoren, eta berehala arauak erasoko zerbitzariaren trafikoa "Anti-DDoS erasoen aurkako babesa eta detekzioa" ekipora bidaltzen du prozesatzeko, eraso-fluxuaren ondoren eraginkorra izan dadin eta gero sarean berriro txertatzeko.
"Sareko lineako saihesbidea" oinarri duen aplikazio-eskema errazagoa da ezartzeko BGP ibilbide-injekzio tradizionala edo beste trafiko-trakzio eskema bat baino, eta ingurunea sarearekiko gutxiago menpekoa da eta fidagarritasuna handiagoa da.
"Sareko lineako saihesbideak" ezaugarri hauek ditu segurtasun-detekzio dinamikoaren babesa laguntzeko:
1, "Sareko lineako saihesbidea" WEBSERVICE interfazean oinarritutako arauetatik kanpo eskaintzeko, hirugarrenen segurtasun gailuekin integrazio erraza eskaintzeko.
2, "Sareko lerroko saihesbidea", hardware puruko ASIC txipan oinarrituta, 10 Gbps-ko hari-abiadurako paketeak birbidaltzen dituena etengailuaren birbidaltzea blokeatu gabe, eta "trafiko-trakzioaren arau dinamikoen liburutegia", kopurua edozein dela ere.
3, "Sareko lineako saihesbidea" barneratutako BYPASS funtzio profesionalak, babesleak berak huts egiten badu ere, jatorrizko serieko lotura berehala saihestu dezake, komunikazio normalaren jatorrizko loturari eragin gabe.
Argitaratze data: 2021eko abenduaren 23a
