Mylinking™ Netzwierkpaketbroker plus Inline-Bypass-Switch ML-NPB-M2000
Bypassmodul: 8*10G SFP+ & 4*100GE, Monitormodul: 16*10GE SFP+ & 4*100GE, Max. 2,4Tbps
1-Iwwerblécker
Mat der schneller Entwécklung vum Internet gëtt d'Gefor vun der Netzwierkinformatiounssécherheet ëmmer méi eescht, dofir ginn eng Villfalt vun Informatiounssécherheetsschutzapplikatiounen ëmmer méi wäit verbreet agesat. Egal ob et sech ëm traditionell Zougangskontrollausrüstung (Firewall) handelt oder ëm eng nei Aart vu méi fortgeschrattene Schutzmëttel wéi Intrusiounsschutzsystem (IPS), Unified Threat Management Platform (UTM), Anti-Denial Service Attack System (Anti-DDoS), Anti-Spam Gateway, Unified DPI Traffic Identification and Control System, a vill Sécherheetsapparater, déi a Serie an de Schlësselknueten vum Netzwierk installéiert sinn, andeems déi entspriechend Datesécherheetspolitik ëmgesat gëtt fir legal/illegal Traffic z'identifizéieren an domat ëmzegoen. Gläichzäiteg wäert de Computernetz awer eng grouss Netzwierkverzögerung oder souguer Netzwierkstéierungen am Fall vun engem Failover, Ënnerhalt, Upgrade, Ausrüstungsersatz asw. an enger héich zouverléisseger Produktiounsnetzwierkapplikatiounsumgebung net ausstoen.
Den ML-NPB-M2000 Mylinking™ Network Packet Broker plus Inline Bypass Switch gouf erfuerscht an entwéckelt fir de flexibelen Asaz vu verschiddenen Aarte vu serieller Sécherheetsausrüstung ze benotzen, wärend gläichzäiteg eng héich Netzwierkzouverlässegkeet garantéiert gëtt.
Wann Dir Mylinking™ Network Packet Broker plus Inline Bypass Switch installéiert:
● Benotzer kënnen flexibel Sécherheetsschutzgeräter installéieren/deinstalléieren, ouni dat existent Netzwierk ze beaflossen oder ze ënnerbriechen;
● Et huet eng intelligent Gesondheetsdetektiounsfunktioun fir den normalen Aarbechtsstatus vun de verbonnene Sécherheetsapparater a Echtzäit ze iwwerwaachen. Soubal e verbonnene Sécherheetsapparat net richteg funktionéiert, bypasst de Schutz automatesch fir eng normal Netzwierkkommunikatioun z'erhalen.
● Selektiv Trafficschutztechnologie kann benotzt ginn fir spezifesch Traffic-Scrubbing-Sécherheetsausrüstung, verschlësselungsbaséiert Audit-Ausrüstung, etc. ze benotzen. Si implementéiert effektiv Inline-Zougangsschutz fir spezifesch Traffictypen, wouduerch d'Trafficveraarbechtungslaascht vun Inline-Geräter entlaascht gëtt.
● D'Technologie fir de Schutz vum Lastausgläich kann benotzt ginn, fir sécher Inline-Geräter a Cluster ze implementéieren, fir den Ufuerderunge vum Inline-Sécherheetsschutz ënner Ëmfeld mat héijem Bandbreetdrock gerecht ze ginn.
● Et huet SSL-Proxy-Fäegkeeten, déi d'Iwwerwaachungs- an Analyseufuerderunge vu Sécherheetsschutzgeräter fir Klartextdateninhalt erfëllen.
● Et huet Basis-Verkéiersveraarbechtungsméiglechkeeten wéi Verkéiersreplikatioun, Aggregatioun, Filterung a Markéierung, souwéi fortgeschratt Verkéiersveraarbechtungsméiglechkeeten wéi Deduplikatioun, Maskéierung, Applikatiounsschichtprotokollidentifikatioun a Verkéiersformung.
2-Mylinking™ Network Packet Broker plus Inline Bypass Switch Fortgeschratt Funktiounen an Technologien
Mylinking™ „SpecFlow“ Schutzmodus an „FullLink“ Schutzmodus Technologie
Mylinking™ Schnellbypass-Schaltschutztechnologie
Mylinking™ „LinkSafeSwitch“ Technologie
Mylinking™ „WebService“ Dynamesch Technologie fir d'Weiderleedung/Ausgab vu Politiken
Mylinking™ Intelligent Häerzschlag-Packet-Detektiounstechnologie
MengVerknëppung™ Definéierbar Heartbeat Packets Technologie
MengVerknëppung™ Multi-Link Load Balancing Technologie
MengVerknëppung™ Intelligent Verkéiersverdeelungstechnologie
MengVerknëppung™ Dynamesch Lastausgleichstechnologie
MengVerknëppung™ Technologie fir Fernmanagement (HTTP/WEB, TELNET/SSH, Charakteristik "EasyConfig/AdvanceConfig")
3-Mylinking™ Network Packet Broker plus Inline Bypass Switch Konfiguratiounsguide
Wéi am Diagramm uewen gewisen, besteet déi ganz Eenheet aus véier modulare Schlitzer:
D'Modulslots SLOT1, SLOT2, SLOT3 an SLOT4 kënnen all BYPASS-Schutzportmoduler oder MONITOR-Portmoduler mat verschiddene Raten an Portnummeren ophuelen. Duerch den Ersatz vu verschiddene Modulmodeller ass et méiglech, BYPASS-Schutz fir verschidde 10G/40G/100G-Links z'ënnerstëtzen, souwéi den Asaz vun Inline-Bypass-Iwwerwaachungsausrüstung fir verschidde 10G/40G/100G-Links.
Bemierkung: Souwuel de BYPASS-Modul wéi och de MONITOR-Modul ënnerstëtzen Hot-Swapping.
3.1-Lëscht vun de Modulspezifikatiounen
| Produktmodell | FunktionellPParameter |
| CHassis | |
| ML-NPB-M2000-CHS/AC | 2U Standard 19-Zoll Rackmount; maximalen Stroumverbrauch 300W; modulare BYPASS-Schutz-Haapteenheet; 4 Modulslots; 1*RS232 Konsoleschnittstell, 1*10/100/1000M RJ45 Schnittstell mat externem Netzwierkmanagement; duebel Stroumversuergung AC-220V; |
| NT-BYPASS-M2000-CHS/DC | 2U Standard 19-Zoll Rackmount; maximalen Stroumverbrauch 300W; modulare BYPASS-Schutz-Haapteenheet; 4 Modulslots; 1*RS232 Konsoleschnittstell, 1*10/100/1000M RJ45 Schnittstell mat externem Netzwierkmanagement; duebel Stroumversuergung DC-48V; |
| BYPASSMModul | |
| INL-I8XM8X(LM/SM) | Ënnerstëtzt 4-Wee 10GE (kompatibel mat 1G) Link Seriellverbindungsschutz, mat insgesamt 8*10GE Schnëttstellen; ënnerstëtzt 8*10G SFP+ Iwwerwaachungsports (ausser optesche Moduler). |
| INL-I4HM2H (LM/SM) | Ënnerstëtzt 2-Wee 100GE (40GE kompatibel) Link serielle Schutz, mat insgesamt 4*100GE Schnëttstellen; ënnerstëtzt 2*100GE QSFP28 Iwwerwaachungsports (ausser optesche Moduler). |
| MONITOR-Modul | |
| MÉE-M16X | 16*10GE SFP+ Iwwerwaachungsports (ouni optesch Moduler); |
| MON-M16X-CN98 | 16*10GE SFP+ Iwwerwaachungsports (optescht Modul net abegraff); equipéiert mat engem fortgeschrattene Funktiounsmotor, deen fortgeschratt Trafficveraarbechtungsfunktiounen ënnerstëtzt wéi Bypass SSL Entschlësselung, SSL Proxy an Traffic Deduplikatioun; |
| MÉI-M4H | 4*100GE QSFP28 Iwwerwaachungsports (optesch Moduler net abegraff); |
| MÉE-M4H-CN98 | 4*100GE QSFP28 Iwwerwaachungsports (optesch Moduler net abegraff); equipéiert mat engem fortgeschrattene Funktiounsmotor, deen fortgeschratt Trafficveraarbechtungsfunktiounen ënnerstëtzt wéi Bypass SSL Entschlësselung, SSL Proxy an Traffic Deduplikatioun; |
3.2-Reegele fir d'Auswiel vum Modul
Baséierend op déi verschidde geschützte Verbindungen an den Ufuerderunge fir d'Installatioun vun Iwwerwaachungsausrüstung, kënnt Dir flexibel verschidde Modulkonfiguratiounen auswielen, fir Är tatsächlech Ëmfeldbedürfnisser gerecht ze ginn; befollegt w.e.g. dës Reegele bei der Auswiel:
1) D'Chassisbaugrupp ass eng obligatoresch Komponent a muss ausgewielt ginn, ier Dir aner Moduler auswielt. Wielt w.e.g. och déi passend Stroumversuergungsmethod (AC/DC) no Äre Besoinen.
2) Den Apparat ënnerstëtzt maximal 4 Modulslots; Dir kënnt net méi Moduler auswielen wéi d'Zuel vun de Slots fir d'Konfiguratioun. Baséierend op der flexibeler Kombinatioun vu verschiddene Modulmodeller kann den Apparat serielle Schutz fir bis zu 16 10GE/GE Links oder 8 100GE/40GE Links ënnerstëtzen.
4-Intelligent Trafficveraarbechtungsfäegkeeten
4.1-Inline-Deployment
Spezifesche Verkéiersschutz am Line-Format
Et ënnerstëtztInline(Seriennummer)Schutzmodus fir spezifesch Verkéierstypen an allalineLink.Toe puer vum Benotzer spezifizéiert Verkéierstypen op der weiderleedenalineLink op denInline SSécherheetApparatfir d'Veraarbechtung, an de Rescht vum Traffic gëtt direkt weidergeleet ouni duerch deInline SSécherheetApparatGläichzäiteg,itféiert Echtzäit-Iwwerwaachung vum Lafzoustand duerchInline SSécherheetApparatSoubal den anormalen Trafficveraarbechtungszoustand festgestallt gouf,itgëtt automatesch vum Traffic-Transmissiounswee ëmgaangen, fir d'Kontinuitéit vum Netzdéngscht ze garantéieren.
All Traffic Inline Schutz
Et ënnerstëtztInline(Seriennummer)Schutzmodus fir all Verkéierstypen an allalineLink.Toden ganzen Traffic an deralineLink op denInline SSécherheetApparatfir d'Veraarbechtung, an den Lafzoustand vun der Inline Security iwwerwaachenApparata Echtzäit. Soubal den anormalen Trafficveraarbechtungszoustand festgestallt gouf,itgëtt automatesch vum Traffic-Transmissiounswee ëmgaangen, fir d'Kontinuitéit vum Netzdéngscht ze garantéieren.
Lastbilanz
Et huet intelligent Traffic Load Balance-Fäegkeeten. Wann d'Veraarbechtungsleistung vun engem eenzegenInline SSécherheetApparatass net genuch fir sech mat deralineLinkkommunikatiounsverkéier, et kann allokéierenalineVerkéier mat N Monitor Interfaces verbannen andeems eng Load Balancing Group konfiguréiert gëtt. Geméiss dem MAC, IP Informatioun, Portnummer, Protokoll an aner Informatiounen,itféiert optional Hash-Algorithmus-Load-Balance-Output aus, sou datt denalineLinkverkéier gëtt gläichméisseg op verschidde Weeër verdeeltalineSécherheetGeschirs fir Clusterveraarbechtung, wat effektiv d'Gesamtveraarbechtungsleistung vun der verbessertalineSécherheetGeschirs. Fir sech un d'Ufuerderunge vun Applikatiounsszenarie mat héijer Bandbreet a groussen Traffic unzepassen.
Häerzschlag-Paketdetektioun
Et ënnerstëtztTxanRxHäerzschlagdetektiounspakete iwwer den Uplink an Downlink vun de verbonnenealineSécherheetsapparater, an erkennt déiInline-ToolsAarbechtsstatus a wéi normal den Trafficveraarbechtungsprozess ass. Den bidirektionalen HäerzschlagPaketDen Detektiounsmechanismus kann den aktuellen Aarbechtszoustand vumalineSécherheetApparat, a méi effektiv den normale Betrib vum Netz garantéieren.
Et kann d'Häerzschlagparameter vun all Persoun personaliséierenalineSécherheetsapparat, wéi zum Beispill HäerzschlagTxIntervallzäit, maximal Häerzschlag-Widderhuelungszäiten, HäerzschlagTxRichtung, etc. Et kann den Zoustand vun der Feeler erkennen a beuerteelenalineSécherheetsapparater rechtzäiteg, a realiséieren e schnelle Bypass-Switching vu Schutzlinks.
D'Heartbeat-Detektiounspakete sinn Standard-Ethernet Layer-2-Frames. Wann den transparenten Layer-2-Bréckmodus (wéi IPS/FW) agesat gëtt, ginn d'Layer-2-Ethernet-Frames normal weidergeleet, ouni ze blockéieren oder ofzebriechen. Gläichzäiteg kann et och personaliséiert Ethernet Layer-2-, Layer-3- a Layer-4-Heartbeat-Detektiounspakete ënnerstëtzen, fir sech un spezifesch Astellungen unzepassen.alineSécherheetsapparater kënnen normalerweis keng normal Ethernet Layer-2-Frames weiderleeden.
Baséierend op dem uewe genannten Mechanismus kënnen d'Benotzer den Effekt vun der Detektioun vum Serviceniveau vun den ugeschlossene Sécherheetsapparater realiséieren, sou datt déi normal Aarbecht vun de Sécherheetsdéngschter méi effektiv garantéiert ka ginn.
Bypass-Schaltung
Et ënnerstëtzt ganz niddrege BypasswiesselenVerzögerung (<8ms), an d'Benotzer kënnen den Impakt um Netz kaum spieren, wann den Apparat e Bypass ausféiertwiesselenGläichzäiteg kann déi gerätespezifesch Link-Switching-Technologie garantéieren, datt den Zoustand vum primäre Link während dem Bypass net beaflosst gëtt.wiesselenDës Technologie garantéiert, datt de Bypasswiesselenass méi sécher, an et wäert net verursaachen, datt den Topologieprotokoll vun der Layer 2 / Layer 3 vun de geschützte Linken nei berechent a konvergéiert, fir den Impakt op de Benotzernetz während dem miniméieren.wiesselen.
Verkéiersblockéierung
Wann den Apparat illegal oder anormal Sessiounsverbindungen am Traffic erkennt a se rechtzäiteg muss blockéieren, kann en all spezifizéiert Paketen am Up/Down-Traffic vum ... offaangen.alineLink baséiert op den Tupel-Matching-Filterbedingungen, fir de séchere Betrib vun den Netzwierkservicer ze garantéieren.
Verkéiersspigel
Nieft dem Verkéiersschutz vum Inline-Link an dem Inline-Sécherheetsapparat (wéi IPS, WAF), kann all SPAN-gespigelten Traffic och un de SPAN-Sécherheets-Iwwerwaachungssystem (wéi IDS, APT) ausgeginn ginn, fir d'Deployment-Ufuerderunge vun der SPAN-Iwwerwaachung vun Trafficdaten oder dem Traffic-Test a -Verifizéierung ze erfëllen.
SSL-Proxy
Iwwer d'SSL-Proxy-Funktioun gëtt dat ursprénglecht verschlësselte Pak entschlësselt a un den Inline-Sécherheetsschutzsystem geschéckt, an duerno ginn déi entschlësselte Daten restauréiert a zeréck un den urspréngleche Link geschéckt, fir déi entschlësselte Daten un den Inline-Sécherheetsschutzsystem ze liwweren, ouni d'Iwwerdroung vun de verschlësselte Daten um urspréngleche Link vum Benotzer ze beaflossen, an d'Iwwerwaachung an d'Analyse vun de verschlësselte Daten duerch den Analysesystem ze realiséieren.
4.2-SPAN-Deployment
Replikatioun vum Netzwierkverkéier
Et ënnerstëtztInline(Seriennummer)Schutzmodus fir spezifesch Verkéierstypen an allalineLink.Toe puer vum Benotzer spezifizéiert Verkéierstypen op der weiderleedenalineLink op denInline SSécherheetApparatfir d'Veraarbechtung, an de Rescht vum Traffic gëtt direkt weidergeleet ouni duerch deInline SSécherheetApparatGläichzäiteg,itféiert Echtzäit-Iwwerwaachung vum Lafzoustand duerchInline SSécherheetApparatSoubal den anormalen Trafficveraarbechtungszoustand festgestallt gouf,itgëtt automatesch vum Traffic-Transmissiounswee ëmgaangen, fir d'Kontinuitéit vum Netzdéngscht ze garantéieren.
Netzwierkverkéiersaggregatioun
Den ursprénglechen Input-Traffic an de virveraarbechten Traffic kënnen op en N-Kanalsignal no engem 1-Kanalsignal kopéiert ginn oder op en M-Kanalsignal no der N-Kanalsignalaggregatioun bei GE-, 10GE-, 40G- an 100G-Linespeed-Forwarding kopéiert ginn, wat perfekt d'Bedierfnesser vun der gläichzäiteger Benotzung vu méi wéi zwee Multi-Port-Lauschter-Bypass-Geräter am Netz léist.
Datenverdeelung/Weiderleitung
Déi akommende Metadaten korrekt klasséiert an ënnerschiddlech Datenservicer un verschidden Interface-Ausgäng verworf oder weidergeleet no de virdefinéierte Reegele vum Benotzer.
Paketdatenfilterung
D'InputdatenVerkéierkann präzis klasséiert ginn, an ënnerschiddlech Datenservicer kënnen op Whitelist- oder Blacklist-Regele gesat ginn, a verschidde Interface-Ausgäng kënnen ofgewisen oder weidergeleet ginn. Et ënnerstëtzt flexibel Kombinatiounen baséiert op Ethernet-Typ, VLAN-Tag, IP-Fënnef-Tupel,TCPIdentifikator, Paketcharakteristiken an aner Elementer, fir d'Ufuerderunge fir d'Deployment vu verschiddene Netzwierksécherheetsausrüstung, Protokollanalyse, Signalanalyse an aner Trafficiwwerwaachung weider ze erfëllen.
Lastbilanz
D'Laaschtausgläichung vum optionalen Hash-Algorithmus kann no den Charakteristike vun der bannenzeger an der baussenzeger Schicht vun L2-L4 duerchgefouert ginn, fir d'Sessiounsintegritéit vum Datenfloss ze garantéieren, deen vum ... empfaange gëtt.SPANIwwerwaachungsgerät. Wann den Zoustand vum Link ännert, kënnen d'Membere vun der Offloading-Portgrupp flexibel austrieden (Link DOWN) oder bäitrieden (Link UP), an d'Offloading-Grupp kann den Traffic automatesch nei verdeelen, fir den dynamesche Lastausgläich vum Output-Traffic vum Port ze garantéieren.
VLAN Tagged
VLAN ouni Tag
VLAN ersat
Ënnerstëtzt d'Iwwereneestëmmung vun all Schlësselfeld an den éischten 128 Bytes vun engem Pakett. De Benotzer kann den Offset-Wäert an d'Längt an den Inhalt vum Schlësselfeld personaliséieren, an d'Verkéiersausgabepolitik no der Benotzerkonfiguratioun bestëmmen.
Zäitstempelung
Ënnerstëtzt fir den NTP-Server synchroniséieren fir d'Zäit ze korrigéieren an d'Noriicht an de Pakett a Form vun engem relativen Zäittag mat engem Zäitstempel um Enn vum Frame ze schreiwen, mat enger Genauegkeet vun Nanosekonnen.
Tunnelkapsulatiounsstrippen
Ënnerstëtzt den VxLAN, VLAN, GRE, GTP, MPLS, IPIP Header, deen am originelle Datenpaket ewechgeholl an ausgeschalt gouf.
Daten-/Packet-Slicing
Et ënnerstëtztPakettscheifD'Originaldaten baséieren op der Traffic-Input- an Output-Interface op Politikniveau (64, 96, 128, 160, 192, 224, 256, 288, 320, 384, 512, 640, 768, 896, 960 Bytes sinn optional), an d'Traffic-Output-Politik kann no der Benotzerkonfiguratioun implementéiert ginn.
Identifikatioun vum Tunneling Protokoll
Ënnerstëtzt automatesch Identifikatioun vu verschiddenen Tunnelprotokoller wéi GTP / GRE / VxLAN / PPTP / L2TP / PPPOE / IPIP. Jee no der Benotzerkonfiguratioun kann d'Verkéiersausgangsstrategie no der bannenzeger oder baussenzeger Schicht vum Tunnel implementéiert ginn.
Prioritéit fir d'Weiderleedung vu Paketen
Et ënnerstëtzt d'Definitioun vun der Prioritéit vun Datenpakete jee no der Wichtegkeet vum Service um ukommende Port, an déi héichprioritär Pakete ginn bevorzugt um Output weidergeleet. Nodeems déi héichprioritär Pakete weidergeleet sinn, ginn aner mëttel- a niddregprioritär Pakete weidergeleet. Vermeit en Alarm am Analysesystem, deen duerch fehlend wichteg Datenpakete verursaacht gëtt.
Anormal Alarméierung
Et ënnerstëtzt Echtzäit-Iwwerwaachung vun Alarmer an historesch Alarmopzeechnunge vun Interface-Verkéierstrends baséiert op der Schwellwäertastellung. Et ënnerstëtzt Echtzäit-Iwwerwaachung vun Alarmer an historesch Alarmopzeechnunge baséiert op dem Gesondheetszoustand vun der Hardware vum Apparat (CPU, Speicher, Temperatur, Ventilator, Stroumversuergung, etc.).
Interface Hot Backup
Et ënnerstëtzt Input-Interface 1+1 Primär-/Standby-Konfiguratioun, Output-Interface 1+1 Primär-/Standby-Konfiguratioun, an Lastausgleichsgrupp N+1 Primär-/Standby-Konfiguratioun fir eng héich Zouverlässegkeet am Prozess vum Traffic vum Input zum Output z'erreechen.
Miessung vu Verkéiersmikroburst
Et kann d'Optriedezäit, d'Dauer an d'Burstrate vu Traffic-Mikrobursts a Echtzäit erkennen a historesch Miessopzeechnunge späicheren, wat quantifizéierbar an observéierbar Mëttelen a Basis fir d'Troubleshooting an d'Detektioun vu Paketverloschter ubitt.
Schutz géint Schnittstelloszillatiounen
Et ënnerstëtzt d'Detektioun a Schutz vu Link Up/Down-Schwéngungsereignisser vun all Interface, fir de Verloscht vum Input- an Output-Verkéier ze vermeiden, deen duerch heefeg Link Up/Down vun Interfaces verursaacht gëtt, an d'Stabilitéit vun der Verkéiersammlung an -Weiderleedung ze verbesseren.
Tunnelkapsulatiounsausgang
Et ënnerstëtzt d'Tunnelverkapselung vun all gesammelten Traffic an Output vum Typ ERSPAN2, GRE, VXLAN, NVGRE, fir d'Applikatiounsufuerderunge vun der Iwwerdroung vum gesammelten Traffic un e Fernanalysesystem ze erfëllen.
Tunnelpaket-Beendigung
Et ënnerstëtzt d'Tunnel Message Termination Funktioun. Dës Funktioun erlaabt d'Konfiguratioun vun IP Adressen/Masken an MAC Adressen um Traffic Input Port. Et erméiglecht déi direkt Iwwerdroung vum Traffic, deen am Benotzernetz gesammelt muss ginn, iwwer Tunnel Encapsulation Methoden wéi GRE, GTP a VXLAN op de Sammelport vum Apparat.
SPAN SSL Entschlësselung
Ënnerstëtzt d'Luede vun der entspriechender SSL-Zertifikatsentschlësselung. Nom Entschlësselen vun HTTPS-verschlësselten Daten fir den spezifizéierten Traffic ginn dës no Bedarf un d'Backend-Iwwerwaachungs- an Analysesystemer weidergeleet. Ënnerstëtzt TLS1.0, TLS1.2 an SSL3.0
Daten-/Packet-Deduplikatioun
Ënnerstëtzt statistesch Granularitéit op Port- oder Politikniveau fir verschidde Sammelquellendaten a Widderhuelunge vum selwechte Datenpaket zu engem spezifizéierten Zäitpunkt ze vergläichen. Benotzer kënnen ënnerschiddlech Paketidentifizéierer wielen (dst.ip, src.port, dst.port, tcp.seq, tcp.ack, dst.mac, src.mac, vlan.id)
Datumsmaskéierung fir kleng Annoncen
Ënnerstëtzt richtlinnbaséiert Granularitéit fir all Schlësselfeld an de Rohdaten ze ersetzen, fir den Zweck z'erreechen, sensibel Informatiounen ofzesécheren. Jee no Benotzerkonfiguratioun kann d'Traffic-Output-Richtlinn implementéiert ginn.
APP Layer Protokoll Identifikatioun
Et ënnerstëtzt d'Identifikatioun, d'Ausgab an d'Verwerfung vun Applikatiounsschichtprotokoller baséiert op dem DNS/URL-Matching-Modus. D'DPI-Featurebibliothéik kann integréiert ginn, fir net manner wéi 1800 Aarte vun Applikatiounsprotokollfeatures (wéi Audio a Video, Spill, Instant Messaging, Datebank, E-Mail, P2P, etc.) z'erkennen, auszeginn an ze verwerfen, an d'DPI-Featurebibliothéik kann aktualiséiert a verbessert ginn. Wann et speziell Bedierfnesser gëtt, kann och eng sekundär Entwécklung duerchgefouert ginn.
Benotzerdefinéiert Entkapslung vum Paket
Et ënnerstëtzt d'Funktioun vun der selbstdefinéierter Pakett-Enkapsulatioun, déi d'Kapsulatiounsfelder an den Inhalt op all Positioun vun den éischten 128 Bytes vum Pakett entfernen an ausginn kann.
Verkéiersformung
Gläichzäiteg gëtt Traffic Shaping Technologie an der Output Interface benotzt fir den Datenfloss reibungslos un den Analysetool auszeginn, wat de Paketverloschtphänomen, deen duerch Mikro-Burst verursaacht gëtt, grondleeënd léist an den anormalen Alarm vermeit, deen duerch de Verloscht vum Traffic am Analysesystem verursaacht gëtt.
Paket Schlësselwuert Matching
Nodeems iergendeen Feldinhalt am Payload-Deel vum Pakett iwwereneestëmmt a getraff gouf, gëtt de associéierte Pakett- oder Sessiounsfloss weidergeleet an ausgeginn oder verworf, fir d'Virveraarbechtungsufuerderunge vun spezifeschen Trafficdaten ze erfëllen.
Tunnelkapsulatiounsstrippen
Et ënnerstëtzt d'Ausgab vu VXLAN, MPLS, GRE, SRV6, FABRICPATCH, GENEVE an aner Paketheaderen am ursprénglechen Datenpaket nom Strippen.
Laanglieweg Verbindungsentladung
Jee no de Bedierfnesser vum Benotzer kann all Sessiounsfloss no der Unzuel vun den iwwerdroene Bytes an der Unzuel vun den iwwerdroene Paketen weidergeleet an ausgeginn ginn, an de spéideren Sessiounsfloss kann ewechgehäit ginn, fir d'Ufuerderunge vum Backend-Analysesystem a bestëmmte Szenarien ze erfëllen, wat nëmmen en Deel vum Traffic vum Sessiounsfloss muss kréien, den Drock vun der Trafficanalyse reduzéiert an d'Effizienz vum Analysesystem verbessert.
Verkéiersstatistesch Analyse
Et ënnerstëtzt d'Statistike vun de Komponenten vun all Input-Interface-Verkéier a kann seng Verkéierstrendgréisst, Verkéiersgréisst/Proportioun TOPN vun der IP-Adress, Verkéiersgréisst/Proportioun TOPN vun der Applikatiounsprotokollkategorie, Verkéiersgréisst/Proportioun TOPN vum Applikatiounsprotokollnumm an Verkéierssitzungsinformatiounen a Form vu Grafiken a Echtzäit uweisen, an et bitt den Export vu statistesche Resultater an lokal Dateien. Sou kënnen d'Benotzer d'Zesummesetzungsstruktur vun all gesammelten Traffic méi kloer verstoen a bidden déi direktst Datenënnerstëtzungsbasis fir d'Upassung vun Trafficstrategien a verännerlech Geschäftsufuerderungen.
Verkéierssichtbarkeet - Basisdatenanalyse
De Basisanalysemodul vun der Trafficvisualiséierungserkennungsfunktioun kann déi grondleeënd Informatiounen iwwer erfaasst Zil-Trafficdaten uweisen, wéi z. B. Paketzuel, Unicast-/Multicast-/Broadcast-Paketverdeelung, Sessiounsverbindungsnummer, Paketprotokollverdeelung a Gréisst vum erfaassten Traffic.
Verkéiersvisibilitéit - DPI Déifanalyse
Den DPI-Déifanalysemodul vun der Verkéiersvisibilitéitserkennungsfunktioun kann eng detailléiert Analyse vun den erfaassten Zilverkéiersdaten aus verschiddene Perspektiven duerchféieren a detailléiert Statistiken a Form vu Grafiken an Tabellen presentéieren.
Verkéiersvisibilitéit - Analyse vum Verkéiersproportioun
● Analyse vum Transportschichtprotokoll-Proportioun: wéi TCP, UDP, ICMP, IGMP, ARP an aner Paketproportiouns- a Verkéiersstatistiken an Uweisung vum Kuchdiagramm
● IP-Verkéiersproportiounsanalyse: wéi zum Beispill Verkéiersstatistiken, déi vun ënnerschiddlechen IP-Adressen generéiert ginn, IP-baséiert Verkéiersranking TOP N an Balkendiagramm-Uweisung
● DPI Applikatiounsproportiounsanalyse: wéi HTTP, QQ, FTP an aner Applikatiounsprotokoller, d'Zuel vu Bytes, statistesch Verdeelung vum Kommunikatiounsverkéier an d'Affichage vum Kuchdiagramm
Verkéiersvisibilitéit - Analyse vun der Verkéierszäitlinn
Jee no verschiddene Filterbedingungen, wéi IP, Port, Transport Layer Protokoll, Applikatiouns Layer Protokoll an aner spezifizéiert Inhalter, kënnen déi aktuell Zil-Erfassungs-Verkéiersdaten analyséiert a presentéiert ginn op Basis vun der Samplingzäit, an d'Verkéiersgréisst an den Trend kënnen ofgefrot ginn andeems de Zäitslider beweegt gëtt an d'statistesch Granularitéitsskaléierung gemaach gëtt, an d'Genauegkeet kann bis zu 1 Millisekonn erreechen.
Verkéiersvisibilitéit – Analyse vum Flusstabell
Jee no verschiddene Filterbedingungen, wéi Flow-ID, IP, Port, Transport Layer Protokoll, Applikatiouns Layer Protokoll an aner spezifizéiert Inhalter, kënnen déi aktuell gezielt erfaasst Trafficdaten analyséiert a gezielt ginn op Basis vum Sessiounsflossmodus, dat heescht déi detailléiert Presentatioun vun de Sessiounsflossinformatiounen, inklusiv der fënnef-Tupel-Informatioun vun all Floss, dem Typ vun der Applikatioun, der Zuel a Bytes vun der Paketiwwerdroung, an dem associéierten Datenfloss. An et gëtt eng Ranking-Affichage baséiert op den uewe genannten Informatiounen. Baséierend op dësen Informatiounen kënnen d'Benotzer einfach déi Trafficzorten auswielen, déi hinnen interesséieren, wat déi direktst Basis fir d'Benotzer bitt, fir Traffic-Weiderleedungsrichtlinnen ze formuléieren.
Verkéiersvisibilitéit – Paketanalyse
Baséierend op verschiddene Filterkriterien, wéi Paket-ID, IP, Port, Transport Layer Protokoll, Applikatiounslaag Protokoll an aner spezifizéiert Inhalter, kënnen déi erfaasst Zil-Verkéiersdaten mat enger Analysepresentatioun pro Paket geliwwert ginn, dorënner:
● Analyse vum Zäitstempel vun der Paketsammlung
● Analyse vu wichtege Paketinformatiounen, wéi SIP, DIP, SMAC, DMAC, Protokoll, Flag, TTL, Messagelängt, Schlësselevenementer
● Analyse vum Pakettransmissiounswee an Animatiounsanzeige, wéi zum Beispill: Weiderleedungszäiten, Weiderleedungsverzögerung, Weiderleedungstyp (Routing, Switching, Firewall, Load Balancing, NAT)
● Zesummefassung vun den Informatiounen iwwer de Pakett an eng detailléiert Strukturanzeige
● Analyse vun der Zuel vun de widderhollte Paketsammlungen
Verkéiersvisibilitéit – Präzis Feeleranalyse
De Feeleranalysemodul vun der Verkéiersvisibilitéitsdetektiounsfunktioun kann ënnerschiddlech visuell Feeleranalysepositionéierunge fir déi erfaasst Zilverkéiersdaten ubidden, dorënner:
● Anormal Iwwersiicht, wéi zum Beispill: Resultater vun der Netzwierkserviceanalyse, Resultater vun der anormaler Eventanalyse, Netzwierkprozess baséiert op Verhalensanalyse (wéi zum Beispill d'Zuel vun de Routing-Geräter, NAT-Geräter, Firewall-Geräter, Lastausgleichs-Geräter, déi vun der Paketiwwerdroung passéiert ginn)
● Feeleranalyse op Niveau vum Flowtabell, wéi z.B. anormal Eventtypen (Verbindung refuséiert/Verbindung reagéiert net/Verbindung keng Dateniwwerdroung/Verbindung hallef oppe/Sessiounsroute net erreechbar, etc.), ● Feeleranalyse op Paketniveau, wéi z.B.: Aart vum anormalen Event (Paket-Checksum-Fehler /TTL 0/ net erreechbaren Feeler /FCS-Checksum-Fehler, etc.), detailléiert Beschreiwung vun anormalen Informatiounen, an Detailer vum associéierten Datenfloss
● Sécherheetsfehleranalyse, wéi zum Beispill: Aart vun anormalen Eventer (DDOS-Attack/Firewall-Blockéierung/ARP-Attack/UDP-Flood/SYN-FLOOD, etc.), detailléiert Beschreiwung vun anormalen Informatiounen, an Detailer vum associéierten Datenfloss
● Netzwierkfehleranalyse, wéi zum Beispill: Aart vun anormalen Eventer (Switching Loop/Routing Loop/Wee net erreechbar/Linkënnerbriechung, etc.), detailléiert Beschreiwung vun anormalen Informatiounen, an Detailer vum associéierten Datenfloss
5-Mylinking™ Network Packet Broker plus Inline Bypass Switch Spezifikatiounen
| ML-NPB-M2000 Mylinking™ Netzwierkpaketbroker plus Inline-Bypass-Switch Funktionell Spezifikatiounen | ||||
| Netzwierkinterface | Modul-Slot | 4 BYPASS- oder MONITOR-Modulslots | ||
| Zuel vun Inline-Linken | Ënnerstëtzt Schutz fir bis zu 16 1G/10G optesch Verbindungen oder 8 40G/100G optesch Verbindungen. | |||
| Iwwerwaachungsschnittstell vum Monitor | Ënnerstëtzt maximal 64*1G/10GE Iwwerwaachungsinterfaces oder 16*40G/100G Iwwerwaachungsinterfaces. | |||
| Out-of-Band-Gestiounsinterface | 1*10/100/1000M Ethernet-Port; | |||
| Asazmodus | Inline-Deployment | Ënnerstëtzung | ||
| SPAN-Asaz | Ënnerstëtzung | |||
| Systemfunktiounen | Inline-Deploymentmodus | Spezifesche Schutz géint d'Konkatenatioun vum Floss | Ënnerstëtzung | |
| Schutz vun alle Flow-Serien | Ënnerstëtzung | |||
| Lastausgleich | Ënnerstëtzung | |||
| Häerzschlagdetektioun | Ënnerstëtzung | |||
| BYPASS-Schaltung | Ënnerstëtzung | |||
| Verkéiersblockéierung | Ënnerstëtzung | |||
| Verkéiersspigelung | Ënnerstëtzung | |||
| SSL-Proxy | Ënnerstëtzung | |||
| SPAN-Asazmodus | Basis Trafficveraarbechtung | Verkéiersreplikatioun/Aggregatioun/Verdeelung | Ënnerstëtzung | |
| Lastausgleich | Ënnerstëtzung | |||
| Verkéiersfilterung baséiert op IP/Protokoll/Port 5-Tuple-Identifizéierer | Ënnerstëtzung | |||
| VLAN-Tagging/Modifikatioun/Läschen | Ënnerstëtzung | |||
| Zäitstempel | Ënnerstëtzung | |||
| Tunnelkapselungsstrippen | Ënnerstëtzung | |||
| Datenschneiden | Ënnerstëtzung | |||
| Identifikatioun vum Tunneling Protokoll | Ënnerstëtzung | |||
| Prioritéit vum Weiterleiten vum Paket | Ënnerstëtzung | |||
| Anormal Warnung | Ënnerstëtzung | |||
| Interface Hot-Standby | Ënnerstëtzung | |||
| Mikro-Burst-Miessung | Ënnerstëtzung | |||
| Schutz géint Schnittstellschwéngungen | Ënnerstëtzung | |||
| Tunnelkapsulatiounsausgang | Ënnerstëtzung | |||
| Tunnelpaket-Terminatioun | Ënnerstëtzung | |||
| Fortgeschratt Trafficveraarbechtung | SSL-Entschlësselung ëmgoen | Ënnerstëtzung | ||
| Datendeduplikatioun | Ënnerstëtzung | |||
| Datenmaskéierung | Ënnerstëtzung | |||
| Identifikatioun vum Protokoll vun der Applikatiounsschicht | Ënnerstëtzung | |||
| Benotzerdefinéiert Dekapsulatioun | Ënnerstëtzung | |||
| Flowformung | Ënnerstëtzung | |||
| Schlësselwuert-Iwwereneestëmmung | Ënnerstëtzung | |||
| Tunnelkapselungsstrippen | Ënnerstëtzung | |||
| Laanglieweg Verbindungsentladung | Ënnerstëtzung | |||
| Observatioun vu Flowkomponenten | Ënnerstëtzung | |||
| Diagnos a Kontroll | Echtzäit Iwwerwaachung | Ënnerstëtzung | ||
| Ufro iwwer den historesche Verkéier | Ënnerstëtzung | |||
| Verkéierserfassung | Ënnerstëtzung | |||
| Detektioun vu Verkéiersvisualiséierung | Fundamentalanalyse | Ënnerstëtzt eng zesummefaassend statistesch Uweisung baséiert op Basisinformatiounen wéi Paketzuel, Pakettypverdeelung, Sessiounsverbindungszuel a Paketprotokollverdeelung. | ||
| DPI Déifgräifend Analyse | Et ënnerstëtzt d'Analyse vum Undeel vun Transport Layer Protokoller, dem Undeel vun Unicast, Broadcast a Multicast, dem Undeel vum IP-Verkéier, an dem Undeel vun DPI Applikatiounen. Et ënnerstëtzt d'Analyse a Presentatioun vum Dateninhalt baséiert op der Samplingzäit an dem Volume vun den Daten. Et ënnerstëtzt Datenanalyse a Statistiken baséiert op Sessiounsstreams. | |||
| Präzis Feeleranalyse | Ënnerstëtzt Feeleranalyse a Lokaliséierung mat Hëllef vu Verkéiersdaten aus verschiddene Perspektiven, dorënner: Analyse vum Paketiwwerdroungsverhalen, Feeleranalyse op Datenstroumniveau, Feeleranalyse op Datenpaketniveau, Sécherheetsbezunnen Feeleranalyse an netzwëschbezunnen Feeleranalyse. | |||
| Veraarbechtungskapazitéit | 2,4 Tbps | |||
| Verwalten | CONSOLE Netzwierkverwaltung | Ënnerstëtzung | ||
| IP/WEB Netzwierkverwaltung | Ënnerstëtzung | |||
| SNMP-Netzwierkverwaltung | Ënnerstëtzung | |||
| TELNET/SSH Netzwierkverwaltung | Ënnerstëtzung | |||
| SYSLOG-Protokoll | Ënnerstëtzung | |||
| RADIUS oder TADACS+ zentraliséiert Autorisatiounsauthentifikatioun | Ënnerstëtzung | |||
| Benotzerauthentifikatiounsfunktioun | Authentifikatioun vu Benotzernumm a Passwuert | |||
| Elektresch | Nennspannung vun der Stroumversuergung | AC-220V/DC-48V [Optional] | ||
| Bewäertungsleistungsfrequenz | AC-50HZ | |||
| Nennstroum vum Input | AC-3A / DC-10A | |||
| Bewäert funktionell Leeschtung | Maximal 300W | |||
| Ëmwelt | Betribstemperatur | 0-50℃ | ||
| Lagertemperatur | -20-70℃ | |||
| Betribsfiichtegkeet | 10%-95%, net kondenséierend | |||
| Benotzerkonfiguratioun | Konsolekonfiguratioun | RS232-Schnittstell, 115200, 8, N, 1 | ||
| Passwuert-Authentifikatioun | SËnnerstëtzung | |||
| Gréisst vum Rack | Rackplatz (U) | 2U 444mm*88mm*670mm | ||
6-Mylinking™ Network Packet Broker plus Inline Bypass Switch Applikatioun
6.1DenRRisiko vunInline SSécherheetEAusrüstung (IPS / FW)
Dës ass en typeschen IPS (Intrusion Prevention System), FW (Firewall) Deployment-Modus. IPS/FW ginn a Serie mat Netzwierkausrüstung (Router, Switchen, asw.) tëscht dem Traffic duerch d'Ëmsetzung vu Sécherheetsprüfungen agesat, fir no der entspriechender Sécherheetspolitik ze bestëmmen, ob den entspriechende Traffic fräigesat oder blockéiert gëtt, fir den Effekt vun der Sécherheetsverdeedegung z'erreechen.
Dës ass en typeschen IPS (Intrusion Prevention System), FW (Firewall) Deployment-Modus. IPS/FW ginn a Serie mat Netzwierkausrüstung (Router, Switchen, asw.) tëscht dem Traffic duerch d'Ëmsetzung vu Sécherheetsprüfungen agesat, fir no der entspriechender Sécherheetspolitik ze bestëmmen, ob den entspriechende Traffic fräigesat oder blockéiert gëtt, fir den Effekt vun der Sécherheetsverdeedegung z'erreechen.
6.2 Schutz vun Inline-Link-Serie-Ausrüstung
De Mylinking™ Network Packet Broker plus Inline Bypass Switch gëtt a Serie tëscht Netzwierkapparater (Router, Switchen, etc.) agesat, an den Datenfloss tëscht Netzwierkapparater féiert net méi direkt op IPS/FW. De "Smart Inline Bypass Switch" gëtt op IPS/FW geschéckt, wann den IPS/FW wéinst Iwwerbelaaschtung, Ofstuerz, Softwareupdates, Politikupdates an aner Ausfallbedingungen entsteet. De "Smart Inline Bypass Switch" erkennt duerch intelligent Heartbeat-Message-Detektiounsfunktioun déi rechtzäiteg Entdeckung, an iwwerspréngt doduerch defekten Apparat, ouni d'Virrichtung vum Netzwierk ze stéieren. Déi séier direkt Verbindung tëscht Netzwierkausrüstung schützt dat normal Kommunikatiounsnetzwierk. Bei enger Ausfallerhuelung vum IPS/FW kann och duerch intelligent Heartbeat-Paket-Detektiounsfunktioun d'Sécherheet vum urspréngleche Link restauréiert ginn.
De Mylinking™ Network Packet Broker plus Inline Bypass Switch huet eng mächteg intelligent Häerzschlag-Message-Detektiounsfunktioun. De Benotzer kann den Häerzschlagintervall an déi maximal Unzuel vun de Widderhuelungsversich personaliséieren, iwwer eng personaliséiert Häerzschlag-Message um IPS / FW fir Gesondheetstester, wéi z.B. d'Häerzschlag-Check-Message un den Upstream / Downstream Port vum IPS / FW ze schécken, an dann vum Upstream / Downstream Port vum IPS / FW ze kréien, a beurteelen ob den IPS / FW normal funktionéiert andeems en d'Häerzschlag-Message schéckt an empfänkt.
6.3 „SpecFlow“-Politikfluss inlineSécherheetSerienschutz
Wann den Sécherheetsnetzwierkgerät nëmmen de spezifeschen Traffic am Serien-Sécherheetsschutz muss ofwéckelen, gëtt den "Concerned" Traffic iwwer d'Mylinking™ Network Packet Broker plus Inline Bypass Switch Traffic-Pro-Processing-Funktioun, iwwer d'Traffic-Screening-Politik fir den Inline-Sécherheetsgerät ze verbannen, direkt un d'Netzwierkverbindung zréckgeschéckt, an déi "concerned Traffic-Sektioun" gëtt un den Inline-Sécherheetsgerät weidergeleet fir Sécherheetsprüfungen duerchzeféieren. Dëst wäert net nëmmen déi normal Uwendung vun der Sécherheetsdetektiounsfunktioun vum Sécherheetsgerät erhalen, mee och den ineffizienten Oflaf vun der Sécherheetsausrüstung reduzéieren fir mam Drock ëmzegoen; gläichzäiteg kann den "Smart Inline Bypass Switch" den Aarbechtszoustand vum Sécherheetsgerät a Echtzäit erkennen. De Sécherheetsgerät funktionéiert anormal an ëmgeet den Datenverkéier direkt fir Stéierungen vum Netzwierkservice ze vermeiden.
De Mylinking™ Network Packet Broker plus Inline Bypass Switch kann den Traffic op Basis vum L2-L4 Layer Header Identifizéierer identifizéieren, wéi zum Beispill VLAN Tag, Quell-/Destinatiouns-MAC Adress, Quell-IP Adress, IP Paket Typ, Transport Layer Protokoll Port, Protokoll Header Key Tag, asw. Eng Vielfalt vu flexible Kombinatioune vu Matching Konditioune kënnen flexibel definéiert ginn, fir déi spezifesch Traffictypen ze definéieren, déi fir e bestëmmte Sécherheetsapparat interessant sinn, a kënne wäit verbreet fir den Asaz vu spezielle Sécherheetsauditingapparater (RDP, SSH, Datebankauditing, asw.) benotzt ginn.
6.4LausgeglachInline-SécherheetSerienschutz
De Mylinking™ Network Packet Broker plus Inline Bypass Switch gëtt a Serie tëscht Netzwierkapparater (Router, Switchen, etc.) installéiert. Wann d'Veraarbechtungsleistung vun enger eenzeger IPS/FW net duer geet, fir mat dem Spëtzeverkéier vum Netzwierklink eens ze ginn, kann d'Traffic Load Balance-Funktioun vum Protector, d'"Bündelung" vu verschiddene IPS/FW Cluster-Veraarbechtungsverkéier vum Netzwierklink, den Drock vun der Veraarbechtung vun enger eenzeger IPS/FW effektiv reduzéieren an d'Gesamtveraarbechtungsleistung verbesseren, fir déi héich Bandbreet vun der Installatiounsumgebung ze erfëllen.
De Mylinking™ Network Packet Broker plus Inline Bypass Switch huet eng mächteg Load Balancing-Funktioun, déi sech op d'Hash-Load Balancing-Verdeelung vum Traffic baséiert op dem Frame-VLAN-Tag, der MAC-Informatioun, der IP-Informatioun, der Portnummer, dem Protokoll an aner Informatiounen baséiert, fir sécherzestellen, datt all IPS/FW déi Datenfloss-Sessiounsintegritéit empfänkt.
6.5Multi-SerieInline-Ausrüstung FniddregTFraktiounPSchutz(ÄnnerungPhysikaleschSeriell Verbindung zuLogeschParallelverbindung)
Op verschiddene Schlësselverbindungen (wéi Internet-Steckdousen, Server-Area-Exchange-Verbindungen) ass d'Lag dacks wéinst dem Bedierfnes u Sécherheetsfeatures an dem Asaz vu verschiddenen Inline-Sécherheetstestgeräter (wéi Firewalls, Anti-DDOS-Attacken-Geräter, WEB-Applikatiouns-Firewalls, Intrusiounsschutzgeräter, asw.), wou verschidde Sécherheetsdetektiounsgeräter gläichzäiteg a Serie op der Verbindung agesat ginn, fir de Link vun engem Single-Point-of-Failure ze erhéijen, wat d'Gesamtzouverlässegkeet vum Netzwierk reduzéiert. An am uewe genannten Online-Asaz vu Sécherheetsgeräter, Ausrüstungsupgrades, Ausrüstungsersatz an aner Operatiounen, féieren zu enger laangfristeger Ënnerbriechung vum Netzwierkservice an zu gréissere Projetkürzungen, fir déi erfollegräich Ëmsetzung vun dëse Projeten ofzeschléissen.
Indem de Mylinking™ Network Packet Broker plus Inline Bypass Switch op eng eenheetlech Manéier installéiert gëtt, kann den Installatiounsmodus vu verschiddene Sécherheetsapparater, déi a Serie op der selwechter Verbindung ugeschloss sinn, vun "Physical Serial Connection Mode" op "Physical Parallel Connection but Logical Serial Connection Mode" geännert ginn. Dëst reduzéiert effektiv d'Quellen vu Single Point of Failure op der serieller Verbindung a verbessert d'Zouverlässegkeet vun der Verbindung. Gläichzäiteg kann de Mylinking™ Network Packet Broker plus Inline Bypass Switch den Verbindungsverkéier op Ufro leeden an deeselwechten Trafficsécherheetsveraarbechtungseffekt wéi den urspréngleche serielle Verbindungsmodus erreechen.
Méi wéi een Inline-Sécherheetsapparat gläichzäiteg am Serien-Asazdiagramm:
Mylinking™ Network Packet Broker plus Inline Bypass Switch Deployment Diagram:
(Ännert physikalesch seriell Verbindung op logesch parallel Verbindung)
6.6Baséierend op derDdynamesch Politik vunTRaffik InlineSSécherheetDDetektiounPSchutz
Mylinking™ Network Packet Broker plus Inline Bypass Switch, en anert fortgeschratt Applikatiounsszenario baséiert op der dynamescher Politik vun Traffic Traction Security Detection Schutzapplikatiounen, den Asaz vun der Method wéi hei ënnendrënner gewisen:
Zum Beispill, d'Sécherheetstestauschrüstung "Anti-DDoS-Attackschutz a -detektioun", andeems de "Smart Bypass Switch" am Frontend installéiert gëtt an dann den Anti-DDoS-Schutzausrüstung ugeschloss gëtt, an duerno un de "Smart Bypass Switch" ugeschloss gëtt. Am übleche "Smart Bypass Switch" gëtt de vollen Traffic-Betrag gläichzäiteg un den "Anti-DDoS-Attackschutzgerät" weidergeleet. Soubal d'IP-Adress (oder den IP-Netzwierksegment) vun engem Server no der Attack festgestallt gouf, generéiert den "Anti-DDoS-Attackschutzgerät" d'Zil-Traffic-Flow-Matching-Regele a schéckt se iwwer d'dynamesch Policy-Delivery-Interface un de "Smart Bypass Switch". De "Bypass Switch" kann d'"dynamesch Traffic-Traktioun" aktualiséieren, nodeems hien déi dynamesch Policy-Regele kritt huet. De "Bypass Switch" kann direkt d'"Traktioun" vum Traffic op d'"Anti-DDoS-Attackschutz- a -detektiounsausrüstung" veraarbechten, fir datt de Flow no der Attack effektiv ass an dann erëm an d'Netzwierk injizéiert gëtt.
D'Applikatiounsschema baséiert op dem "Smart Bypass Switch" ass méi einfach ëmzesetzen wéi déi traditionell BGP-Routeinjektioun oder en anert Traktiounsschema, an d'Ëmwelt ass manner ofhängeg vum Netz an d'Zouverlässegkeet ass méi héich.
"Smart Bypass Switch" huet déi folgend Charakteristiken fir den dynamesche Schutz duerch d'Sécherheetserkennung vun der Politik z'ënnerstëtzen:
1. "Smart Bypass Switch" fir ausserhalb vun de Reegelen baséiert op der WEBSERIVCE Interface, einfach Integratioun mat Sécherheetsapparater vun Drëttubidder.
2. "Smart Bypass Switch" baséiert op dem Hardware-puren ASIC-Chip, deen d'Päcketen mat bis zu 100 Gbps Kabelgeschwindegkeet weiderleet, ouni d'Weiderleedung vum Switch ze blockéieren, an eng "dynamesch Reegelbibliothéik fir Traffic Traction" onofhängeg vun der Zuel.
3. Déi agebaute professionell BYPASS-Funktioun "Smart Bypass Switch", och am Fall vun engem Ausfall vum Schutz selwer, kann och déi ursprénglech seriell Verbindung direkt ëmgoen, ouni d'ursprénglech Verbindung vun der normaler Kommunikatioun ze beaflossen.
6.7Inline Seriell Traffic Mirroringfir Out-of-Band Sécherheet (Inline + SPAN)
De Mylinking™ Network Packet Broker plus Inline Bypass Switch gëtt typescherweis am IT-Netzwierk oder Cloud-Plattformnetz vun engem Client installéiert, fir Inline-Schutz fir WAF/IPS-Geräter an den urspréngleche Link ze bidden. Benotzer kënnen och zousätzlech Ufuerderunge fir Tester, Verifizéierungen oder Installatioun vu Bypass-Iwwerwaachungsgeräter hunn, wat d'Erfassung vun Trafficdaten op dësem Link néideg mécht.
Dofir kann den Traffic vum Inline-Serielllink mat der Traffic-Spigelfunktioun vum Mylinking™ Network Packet Broker plus Inline Bypass Switch vum Monitorport gespigelt ginn, wéi an der folgender Figur gewisen:
D'Diagramm hei ënnendrënner illustréiert en erweiderten Uwendungsszenario vum Inline-Link-Traffic an dem Switch-Spiegelport-Traffic. Dëst erméiglecht de Schutz vum Inline-Link-Traffic ouni vum Switch-Spiegelport-Traffic beaflosst ze ginn. Den IDS-Analysesystem kann gläichzäiteg souwuel Inline-Link-Traffic wéi och Switch-Spiegelport-Traffic erfassen. D'Deploymentmethod gëtt am Diagramm hei ënnendrënner gewisen:
6.8Daten-/Packet-DeduplikatiounApplikatioun
Wéi an der uewe genannter Applikatiouns-Deployment-Struktur gewisen, kënnen, fir d'Integritéit vun der ursprénglecher Datensammlung iwwer de ganze Link ze garantéieren, e puer identesch Datenpakete méi Mol bannent engem eenzege Wee gesammelt ginn. Dëst féiert zu méi falschen Alarmer a Wiederiwwerdroungen am Backend-System, wat den Performance-Overhead vum Analysesystem erhéicht an d'Genauegkeet an d'Effektivitéit vun der Analyse beaflosst. Baséierend op der Léisung ginn als éischt Datenpakete duplizéiert, déi an ënnerschiddleche Capture-Knoten deduplizéiert ginn. Nëmmen een Datenpaket gëtt un den NPM-Netzwierk-Performance-Analysesystem vum Backend an den APM-Applikatiouns-Performance-Analysesystem weidergeleet, wouduerch d'Performance vum Analysesystem gespuert an d'Effizienz an d'Genauegkeet vun der Analyse verbessert gëtt.
6.9Donnéeën/PakVLAN TaggingApplikatioun
An der Netzwierkëmfeld, déi am Diagramm uewen gewisen ass, gëtt d'Léisung benotzt fir d'Rohdaten vun ënnerschiddlechen Netzwierkapparater a Linkknueten ze markéieren. Wann anormalen Traffic oder Datenpaketer am Netzwierk optrieden, kann d'Backend-Analyseausrüstung d'Quell vun den anormalen Daten séier a präzis lokaliséieren, andeems se op Basis vun den Datenlabels zréckverfollegt ginn.
6.10 NetzwierkverkéierEenheetleche PlangApplikatioun
An der Netzwierkëmfeld, déi am Diagramm uewen gewisen ass, ginn verschidde 10GE, 25GE, 40GE an 100GE Quelllinkdaten komplett an de Mylinking™ Network Packet Broker plus Inline Bypass Switch aginn, andeems se optesch Splitting oder Port Mirror benotzen. Duerno ginn Filterung an Traffic-Splitting benotzt, fir verschidden Servicedatenverkéier un verschidden Out-of-Band Netzwierk-Iwwerwaachungs- a Sécherheetssystemgeräter vum Backend auszeginn. Wann Netzwierkpaket-Anomalien oder anormal Trafficschwankungen eng manuell Interventioun erfuerderen, kann Echtzäit-Paketerfassung an Analyse vun den originelle Datenpaketen direkt duerchgefouert ginn, fir de Benotzer ze hëllefen, de Feeler séier ze analyséieren a lokaliséieren.
6.11NetzwierkAnalyse vun der Visibilitéit vun de VerkéiersdatenApplikatioun
Et kann all detektéiert an erfaasst Daten op eng multidimensional a multiperspektivesch Manéier iwwer eng benotzerfrëndlech grafesch an textuell interaktiv Interface presentéieren, dorënner d'Struktur vun der Verkéierszesummesetzung, d'Verdeelung vun der Applikatiounsprotokoll, d'Verdeelung vum Verkéier vun allen Netzwierkknueten, den Dateniwwerdroungswee, d'Detektioun vun anormalen Eventer, déi genee Plaz vun Netzwierkelement-/Linkfehler, den Interaktiounsstatus vun de Messagen, den Trend vun der Verkéiersentwécklung an aner Aspekter fir d'Iwwerwaachung an d'Analyse, fir eng ëmfaassend, siichtbar a kontrolléierbar Gesamtplattform fir d'Datenerfassung a Sécherheet fir Firmennetzwierker opzebauen.
Produktkategorien
-
Mylinking™ Netzwierkpaketbroker (NPB) ML-NPB-4810P
-
Mylinking™ Netzwierkpaketbroker (NPB) ML-NPB-54...
-
Mylinking™ Netzwierkpaketbroker (NPB) ML-NPB-3210+
-
Mylinking™ Netzwierkpaketbroker (NPB) ML-NPB-6410+
-
Mylinking™ Netzwierkpaketbroker (NPB) ML-NPB-3210L
-
Mylinking™ Netzwierkpaketbroker (NPB) ML-NPB-2410
