1- Wat ass den Define Heartbeat Packet?
D'Heartbeat-Päckete vum Mylinking™ Network Tap Bypass Switch gi standardméisseg op Ethernet Layer-2-Frames agestallt. Beim Asaz vum transparenten Layer-2-Bridge-Modus (wéi IPS / FW) ginn Layer-2-Ethernet-Frames normalerweis weidergeleet, blockéiert oder verworf. Gläichzäiteg ënnerstëtzt de Mylinking™ Network Tap Bypass Switch e personaliséierten Heartbeat-Message-Format, fir der Situatioun gerecht ze ginn, datt verschidde speziell seriell Sécherheetsapparater normalerweis keng normal Layer-2-Ethernet-Frames weiderleede kënnen.
An de Mylinking™ Network Tap Bypass Switch ënnerstëtzt och d'Heartbeat-Paket-Detektioun baséiert op VLAN-Tag, Layer-3- a Layer-4-Benotzerdefinéierten Messagetypen. Baséierend op dësem Mechanismus kann de Benotzer eng Service-Sécherheetstestfunktioun vum Verbindungssécherheetsapparat implementéieren, fir méi effektiv ze garantéieren, datt déi entspriechend Sécherheetsservicer richteg funktionéieren.
De Mylinking™ Network Tap Bypass Switch kann de Monitor ënnerstëtzen, fir verschidden Heartbeat-Päcketen a béid Richtungen ze schécken. Zum Beispill ginn TCP- an UDP-Heartbeat-Päcketen um "Strategy Traffic Traction Protector" personaliséiert, jee no der Besonderheet vum seriellen Apparat. Dir kënnt d'Senden vun TCP-Heartbeat-Päcketen um Uplink-Monitor A-Port an d'Senden vun UDP-Heartbeat-Päcketen um Downlink-Monitor B-Port konfiguréieren, fir de Message-Weiderleitungsmechanismus vum seriellen Sécherheetsapparat z'ënnerstëtzen. Dës Funktioun kann d'String méi effektiv garantéieren. Verbënnt d'Sécherheetsausrüstung mam normale Betrib.
De Mylinking™ Network Inline Bypass Switch gouf erfuerscht an entwéckelt fir de flexibelen Asaz vu verschiddenen Aarte vu serieller Sécherheetsausrüstung ze benotzen, wärend gläichzäiteg eng héich Netzwierkzouverlässegkeet garantéiert gëtt.
2-Netzwierk Inline Bypass Switch Fortgeschratt Funktiounen an Technologien
Mylinking™ „SpecFlow“ Schutzmodus an „FullLink“ Schutzmodus Technologie
Mylinking™ Schnellbypass-Schaltschutztechnologie
Mylinking™ „LinkSafeSwitch“ Technologie
Mylinking™ „WebService“ Dynamesch Strategie Weiterleitung/Ausgabetechnologie
Mylinking™ Intelligent Häerzschlag-Message-Detektiounstechnologie
Mylinking™ Definéierbar Häerzschlagmeldungen Technologie
Mylinking™ Multi-Link Load Balancing Technologie
Mylinking™ Intelligent Trafficverdeelungstechnologie
Mylinking™ Dynamesch Lastausgleichstechnologie
Mylinking™ Fernmanagementtechnologie (HTTP/WEB, TELNET/SSH, Charakteristik "EasyConfig/AdvanceConfig")
3-Netzwierk Inline Bypass Switch Applikatioun (wéi follegt)
3.1 De Risiko vun Inline-Sécherheetsausrüstung (IPS / FW)
Dës ass en typeschen IPS (Intrusion Prevention System), FW (Firewall) Deployment-Modus. IPS/FW ginn a Serie mat Netzwierkausrüstung (Router, Switchen, asw.) tëscht dem Traffic duerch d'Ëmsetzung vu Sécherheetsprüfungen agesat, fir no der entspriechender Sécherheetspolitik ze bestëmmen, ob den entspriechende Traffic fräigesat oder blockéiert gëtt, fir den Effekt vun der Sécherheetsverdeedegung z'erreechen.
Gläichzäiteg kënne mir IPS/FW als seriell Asaz vun Ausrüstung observéieren, déi normalerweis op Schlësselplazen am Firmennetz installéiert gëtt, fir seriell Sécherheet ëmzesetzen. D'Zouverlässegkeet vun den ugeschlossene Geräter beaflosst direkt d'Gesamtverfügbarkeet vum Firmennetz. Wann déi seriell Geräter iwwerlaascht ginn, ofstürzen, Softwareupdates, Politikupdates usw. optrieden, gëtt d'Verfügbarkeet vum gesamte Firmennetz staark beaflosst. Zu dësem Zäitpunkt kënne mir nëmmen duerch den Netzwierkofbroch an e physesche Bypass-Jumper d'Netzwierk restauréieren, wat d'Zouverlässegkeet vum Netzwierk eescht beaflosst. IPS/FW an aner seriell Geräter verbesseren op der enger Säit d'Sécherheet vum Firmennetzwierk, reduzéieren op der anerer Säit och d'Zouverlässegkeet vun den Firmennetzwierker, wouduerch de Risiko erhéicht gëtt, datt den Netzwierk net verfügbar ass.
3.2 Schutz vun Inline-Link-Serie-Ausrüstung
De Mylinking™ „Network Inline Bypass“ gëtt a Serie tëscht Netzwierkapparater (Router, Switchen, asw.) agesat, an den Datenfloss tëscht Netzwierkapparater féiert net méi direkt op IPS/FW. „Network Inline Bypass“ op IPS/FW. Wann den IPS/FW wéinst Iwwerbelaaschtung, Ofstuerz, Softwareupdates, Politikupdates an aner Ausfallzoustänn entsteet, entdeckt den „Network Inline Bypass“ duerch déi intelligent Heartbeat-Message-Detektiounsfunktioun defekt Apparater rechtzäiteg, ouni d'Virrichtung vum Netzwierk ze stéieren. Déi séier direkt Verbindung tëscht den Netzwierkapparater schützt dat normal Kommunikatiounsnetzwierk. Bei enger IPS/FW-Ausfallrecuperatioun gëtt och duerch déi intelligent Heartbeat-Paket-Detektiounsfunktioun d'Sécherheet vum urspréngleche Link iwwerpréift.
Mylinking™ „Network Inline Bypass“ huet eng mächteg intelligent Häerzschlag-Message-Detektiounsfunktioun. De Benotzer kann den Häerzschlagintervall an déi maximal Unzuel vun de Widderhuelungsversich personaliséieren, iwwer eng personaliséiert Häerzschlag-Message um IPS/FW fir Gesondheetstester, wéi zum Beispill d'Häerzschlag-Check-Message un den Upstream/Downstream-Port vum IPS/FW ze schécken, an dann vum Upstream/Downstream-Port vum IPS/FW ze kréien, a beurteelen, ob den IPS/FW normal funktionéiert, andeems en d'Häerzschlag-Message schéckt an empfänkt.
3.3 „SpecFlow“-Politik Flow Inline Traktiounsserieschutz
Wann den Sécherheetsnetzwierkgerät nëmmen de spezifeschen Traffic am Serien-Sécherheetsschutz muss ofwéckelen, gëtt den Traffic-Per-Veraarbechtungsfunktioun vum Mylinking™ "Network Inline Bypass" an d'Traffic-Screening-Strategie fir de Sécherheetsgerät "Concerned" direkt un d'Netzwierkverbindung zréckgeschéckt, an déi "concerned Traffic-Sektioun" gëtt un den Inline-Sécherheetsgerät weidergeleet fir Sécherheetsprüfungen duerchzeféieren. Dëst wäert net nëmmen déi normal Uwendung vun der Sécherheetsdetektiounsfunktioun vum Sécherheetsgerät erhalen, mä och den ineffiziente Flux vun der Sécherheetsausrüstung reduzéieren, fir mam Drock ëmzegoen; gläichzäiteg kann den "Network Inline Bypass" den Aarbechtszoustand vum Sécherheetsgerät a Echtzäit erkennen. De Sécherheetsgerät funktionéiert anormal an ëmgeet den Datenverkéier direkt, fir Stéierungen am Netzwierkservice ze vermeiden.
3.4 Lastausgleich Serienschutz
De Mylinking™ "Network Inline Bypass" gëtt a Serie tëscht Netzwierkapparater (Router, Switchen, etc.) agesat. Wann d'Veraarbechtungsleistung vun enger eenzeger IPS/FW net duer geet, fir mat dem Spëtzeverkéier vum Netzwierklink eens ze ginn, kann d'Traffic Load Balance-Funktioun vum Protector, d'"Bündelung" vu verschiddene IPS/FW Cluster-Veraarbechtungs-Netzwierklink-Verkéier, den Drock vun der eenzelner IPS/FW-Veraarbechtung effektiv reduzéieren an d'Gesamtveraarbechtungsleistung verbesseren, fir déi héich Bandbreet vun der Asazumgebung ze erfëllen.
Mylinking™ „Network Inline Bypass“ huet eng mächteg Load Balancing-Funktioun, déi baséiert op dem Frame VLAN Tag, MAC Informatiounen, IP Informatiounen, Portnummer, Protokoll an aner Informatiounen iwwer d'Hash Load Balancing Verdeelung vum Traffic, fir sécherzestellen, datt all IPS/FW d'Datenfluss Sessiounsintegritéit empfänkt.
3.5 Schutz géint de Flowtraktioun vun Inline-Ausrüstung a verschiddene Serien (Seriell Verbindung op Parallel Verbindung änneren)
Op verschiddene Schlësselverbindungen (wéi Internet-Steckdousen, Server-Area-Exchange-Verbindungen) ass d'Lag dacks wéinst dem Bedierfnes u Sécherheetsfeatures an dem Asaz vu verschiddenen Inline-Sécherheetstestgeräter (wéi Firewalls, Anti-DDOS-Attacken-Geräter, WEB-Applikatiouns-Firewalls, Intrusiounsschutzgeräter, asw.), wou verschidde Sécherheetsdetektiounsgeräter gläichzäiteg a Serie op der Verbindung agesat ginn, fir de Link vun engem Single-Point-of-Failure ze erhéijen, wat d'Gesamtzouverlässegkeet vum Netzwierk reduzéiert. An am uewe genannten Online-Asaz vu Sécherheetsgeräter, Ausrüstungsupgrades, Ausrüstungsersatz an aner Operatiounen, féieren zu enger laangfristeger Ënnerbriechung vum Netzwierkservice an zu gréissere Projetkürzungen, fir déi erfollegräich Ëmsetzung vun dëse Projeten ofzeschléissen.
Indem den "Network Inline Bypass" op eng eenheetlech Manéier agesat gëtt, kann den Asazmodus vu verschiddene Sécherheetsapparater, déi a Serie op der selwechter Verbindung ugeschloss sinn, vu "physesche Verkettungsmodus" op "physesch Verkettungs-, logesche Verkettungsmodus" geännert ginn. De Verbindungsmodus um Verbindungspunkt vun engem eenzege Feelerpunkt verbessert d'Zouverlässegkeet vun der Verbindung, während den "Network Inline Bypass" um Verbindungsfloss op Ufro Traktioun benotzt, fir dee selwechte Floss mam urspréngleche Modus vum sécheren Veraarbechtungseffekt z'erreechen.
Méi wéi ee Sécherheetsapparat gläichzäiteg am Serien-Asazdiagramm:
Diagramm vum Netzwierk-Inline-Bypass-Switch-Deployment:
3.6 Baséiert op der dynamescher Strategie vum Traktiounssécherheetsdetektiounsschutz
„Network Inline Bypass“ En anert fortgeschratt Applikatiounsszenario baséiert op der dynamescher Strategie vun Applikatioune fir d'Sécherheetsdetektioun vum Traffic Traction, wou d'Astellung wéi hei ënnendrënner gewisen ass:
Zum Beispill, d'Sécherheetstestauschrüstung "Anti-DDoS-Attackschutz- a Detektiounsausrüstung", andeems een "Network Inline Bypass" am Frontend installéiert, duerno Anti-DDOS-Schutzausrüstung ugeschloss gëtt an dann un den "Network Inline Bypass" ugeschloss gëtt. Am übleche "Traction Protector" gëtt de vollen Traffic-Betrag mat Wire-Speed-Forwarding un den "Anti-DDOS-Attackschutzgerät" weidergeleet. Soubal d'Server-IP (oder IP-Netzwierksegment) no der Attack festgestallt gouf, generéiert den "Anti-DDOS-Attackschutzgerät" d'Zil-Traffic-Flow-Matching-Regele a schéckt se iwwer d'dynamesch Policy-Delivery-Interface un den "Network Inline Bypass". Den "Network Inline Bypass" kann d'"Traffic-Traction-Dynamik" aktualiséieren, nodeems en déi dynamesch Policy-Regele kritt huet, "an direkt" d'Regel vum Attackserver-Traffic "Traction" un d'"Anti-DDoS-Attackschutz- a Detektiounsausrüstung fir d'Veraarbechtung iwwerdroen, fir datt de Flow nom Attack effektiv ass an dann erëm an d'Netzwierk injizéiert gëtt.
D'Applikatiounsschema baséiert op dem "Network Inline Bypass" ass méi einfach ëmzesetzen wéi déi traditionell BGP Routeninjektioun oder aner Traktiounsschemaen, an d'Ëmwelt ass manner ofhängeg vum Netz an d'Zouverlässegkeet ass méi héich.
„Network Inline Bypass“ huet déi folgend Charakteristiken fir den dynamesche Schutz duerch d'Sécherheetserkennung vun der Politik z'ënnerstëtzen:
1, „Network Inline Bypass“ fir ausserhalb vun de Reegelen baséiert op der WEBSERIVCE Interface ze bidden, einfach Integratioun mat Sécherheetsapparater vun Drëttubidder.
2, „Network Inline Bypass“ baséiert op dem Hardware-puren ASIC-Chip, deen bis zu 10 Gbps Kabelgeschwindegkeetspaketer weiderleet, ouni d'Switch-Weiderleedung ze blockéieren, an eng „Traffic Traction Dynamic Rule Library“ onofhängeg vun der Zuel.
3, Déi agebaute professionell BYPASS-Funktioun „Network Inline Bypass“ kann, och am Fall vum Ausfall vum Schutz selwer, déi ursprénglech seriell Verbindung direkt ëmgoen, ouni d'normal Kommunikatioun vun der ursprénglecher Verbindung ze beaflossen.
Zäitpunkt vun der Verëffentlechung: 23. Dezember 2021
