Mylinking™ Network Packet Broker plus commutateur de contournement en ligne ML-NPB-M2000
Module de contournement : 8 ports SFP+ 10G et 4 ports 100GE, module de surveillance : 16 ports SFP+ 10GE et 4 ports 100GE, débit maximal : 2,4 Tbit/s
1-Aperçus
Avec le développement rapide d'Internet, les menaces pesant sur la sécurité des informations en réseau s'intensifient, ce qui explique la généralisation des applications de protection. Qu'il s'agisse d'équipements de contrôle d'accès traditionnels (pare-feu) ou de solutions plus avancées comme les systèmes de prévention d'intrusion (IPS), les plateformes de gestion unifiée des menaces (UTM), les systèmes anti-DDoS, les passerelles anti-spam, les systèmes unifiés d'identification et de contrôle du trafic DPI, de nombreux dispositifs de sécurité sont déployés en série sur les nœuds clés du réseau. Ces dispositifs mettent en œuvre des politiques de sécurité des données adaptées afin d'identifier et de traiter le trafic légal et illégal. Cependant, dans un environnement de production exigeant une haute disponibilité, les basculements, les opérations de maintenance, les mises à niveau et les remplacements d'équipements peuvent engendrer d'importantes latences, voire des interruptions de réseau, inacceptables pour les utilisateurs.
Le ML-NPB-M2000 Mylinking™ Network Packet Broker plus Inline Bypass Switch est conçu et développé pour permettre le déploiement flexible de différents types d'équipements de sécurité série tout en assurant une haute fiabilité du réseau.
En déployant Mylinking™ Network Packet Broker plus Inline Bypass Switch :
●Les utilisateurs peuvent installer/désinstaller des dispositifs de protection de sécurité en toute flexibilité sans affecter ni interrompre le réseau existant ;
● Il est doté d'une fonction intelligente de détection de l'état de santé permettant de surveiller en temps réel le bon fonctionnement des dispositifs de sécurité connectés. En cas de dysfonctionnement d'un dispositif de sécurité connecté, le protecteur prend automatiquement le relais afin de maintenir une communication réseau normale.
●La technologie de protection sélective du trafic peut être utilisée pour déployer des équipements de sécurité de nettoyage de trafic spécifiques, des équipements d'audit basés sur le chiffrement, etc. Elle met en œuvre efficacement une protection d'accès en ligne pour des types de trafic spécifiques, déchargeant ainsi la charge de traitement du trafic des dispositifs en ligne.
● La technologie de protection du trafic par équilibrage de charge peut être utilisée pour déployer des dispositifs en ligne sécurisés en clusters afin de répondre aux besoins de protection de sécurité en ligne dans des environnements à forte pression sur la bande passante.
●Il possède des capacités de proxy SSL, répondant aux exigences de surveillance et d'analyse des dispositifs de protection de sécurité pour le contenu des données en texte clair.
● Il possède des capacités de traitement du trafic de base telles que la réplication, l'agrégation, le filtrage et l'étiquetage du trafic, ainsi que des capacités de traitement du trafic avancées telles que la déduplication, le masquage, l'identification du protocole de la couche application et la mise en forme du trafic.
2-Mylinking™ Network Packet Broker plus commutateur de contournement en ligne : fonctionnalités et technologies avancées
Technologie de mode de protection Mylinking™ « SpecFlow » et « FullLink ».
Technologie de protection contre la commutation rapide Mylinking™
Technologie Mylinking™ « LinkSafeSwitch »
Technologie de transfert/émission dynamique de politiques « WebService » Mylinking™
Technologie de détection intelligente des paquets de battements cardiaques Mylinking™
Mylinking™ Technologie des paquets de battements cardiaques définissables
Mylinking™ Technologie d'équilibrage de charge multi-liens
Mylinking™ Technologie de distribution intelligente du trafic
Mylinking™ Technologie d'équilibrage de charge dynamique
Mylinking™ Technologie de gestion à distance (HTTP/WEB, TELNET/SSH, fonctionnalité « EasyConfig/AdvanceConfig »)
3-Guide de configuration du courtier de paquets réseau Mylinking™ et du commutateur de contournement en ligne
Comme le montre le schéma ci-dessus, l'unité complète se compose de quatre emplacements modulaires :
Les emplacements SLOT1, SLOT2, SLOT3 et SLOT4 peuvent accueillir des modules de protection BYPASS ou des modules de surveillance (MONITOR) avec différents débits et nombres de ports. Le remplacement de ces modules permet de prendre en charge la protection BYPASS pour plusieurs liaisons 10G/40G/100G, ainsi que le déploiement d'équipements de surveillance de contournement en ligne pour ces mêmes liaisons.
Remarque : Les modules BYPASS et MONITOR prennent tous deux en charge le remplacement à chaud.
3.1-Liste des spécifications des modules
| Modèle de produit | FonctionnelPparamètres |
| Chassis | |
| ML-NPB-M2000-CHS/AC | Format rack 19 pouces standard 2U ; consommation électrique maximale 300 W ; unité principale de protection BYPASS modulaire ; 4 emplacements pour modules ; 1 interface console RS232, 1 interface RJ45 10/100/1000M avec gestion de réseau externe ; double alimentation AC-220V ; |
| NT-BYPASS-M2000-CHS/DC | Format rack 19 pouces standard 2U ; consommation électrique maximale 300 W ; unité principale de protection BYPASS modulaire ; 4 emplacements pour modules ; 1 interface console RS232, 1 interface RJ45 10/100/1000M avec gestion de réseau externe ; double alimentation DC-48V ; |
| BY-PASSMmodule | |
| INL-I8XM8X(LM/SM) | Prend en charge la protection de connexion série à 4 voies 10GE (compatible avec 1G), avec un total de 8 interfaces 10GE ; prend en charge 8 ports de surveillance SFP+ 10G (modules optiques exclus). |
| INL-I4HM2H (LM/SM) | Prend en charge la protection de liaison série bidirectionnelle 100GE (compatible 40GE), avec un total de 4 interfaces 100GE ; prend en charge 2 ports de surveillance QSFP28 100GE (modules optiques exclus). |
| Module de surveillance | |
| MON-M16X | 16 ports de surveillance SFP+ 10GE (modules optiques exclus) ; |
| MON-M16X-CN98 | 16 ports de surveillance SFP+ 10GE (module optique non inclus) ; équipé d'un moteur de fonctions avancé, prenant en charge des fonctions de traitement du trafic avancées telles que le contournement du décryptage SSL, le proxy SSL et la déduplication du trafic ; |
| MON-M4H | 4 ports de surveillance QSFP28 100GE (modules optiques non inclus) ; |
| MON-M4H-CN98 | 4 ports de surveillance QSFP28 100GE (modules optiques non inclus) ; équipé d'un moteur de fonctions avancé, prenant en charge des fonctions de traitement du trafic avancées telles que le contournement du décryptage SSL, le proxy SSL et la déduplication du trafic ; |
3.2-Règles de sélection des modules
En fonction des différentes liaisons protégées et des exigences de déploiement des équipements de surveillance, vous pouvez choisir différentes configurations de modules pour répondre aux besoins réels de votre environnement ; veuillez suivre ces règles lors de la sélection :
1) Le châssis est un élément obligatoire et doit être sélectionné avant tout autre module. Veuillez également choisir le mode d'alimentation (CA/CC) adapté à vos besoins.
2) L'unité prend en charge un maximum de 4 emplacements pour modules ; vous ne pouvez pas sélectionner plus de modules que le nombre d'emplacements disponibles pour la configuration. Grâce à la combinaison flexible de différents modèles de modules, l'unité peut prendre en charge la protection série pour un maximum de 16 liaisons 10GE/GE ou 8 liaisons 100GE/40GE.
4-Capacités de traitement intelligent du trafic
4.1-Déploiement en ligne
Protection spécifique en ligne du trafic
Il soutientEn ligne(en série)mode de protection pour des types de trafic spécifiques dans n'importe quelen lignelien.Totransférer certains types de trafic spécifiés par l'utilisateur sur leen lignelien vers leEn ligne Ssécuritéappareilpour le traitement, et le reste du trafic est acheminé directement sans transiter par leEn ligne Ssécuritéappareil. En même temps,iteffectue une surveillance en temps réel de l'état de fonctionnement deEn ligne SsécuritéappareilUne fois l'état anormal du traitement du trafic détecté,itsera automatiquement dévié du chemin de transmission du trafic afin d'assurer la continuité du service réseau.
Protection intégrale du trafic en ligne
Il soutientEn ligne(en série)mode de protection pour tous les types de trafic dans n'importe quelleen lignelien.Totransmettre tout le trafic dans leen lignelien vers leEn ligne Ssécuritéappareilpour le traitement et la surveillance de l'état d'exécution de la sécurité en ligneappareilen temps réel. Une fois l'état anormal du traitement du trafic détecté,itsera automatiquement dévié du chemin de transmission du trafic afin d'assurer la continuité du service réseau.
Équilibrage de charge
Il possède une capacité d'équilibrage de charge intelligent. Lorsque les performances de traitement d'un seulEn ligne Ssécuritéappareilne suffit pas à gérer leen ligneEn reliant le trafic de communication, il peut allouer leen ligneAcheminer le trafic vers N interfaces de surveillance en configurant un groupe d'équilibrage de charge. Selon l'adresse MAC, l'adresse IP, le numéro de port, le protocole et d'autres informations,iteffectue une équilibrage de charge optionnel de l'algorithme de hachage en sortie, de sorte que leen ligneLe trafic de liaison est réparti uniformément sur plusieursen lignesécuritéoutils pour le traitement en cluster, ce qui améliore efficacement les performances globales de traitement duen lignesécuritéoutils. Afin de s'adapter aux exigences des scénarios d'applications à large bande passante et à trafic important.
Détection de paquets de battements cardiaques
Il soutientTxetRxpaquets de détection de battements cardiaques via la liaison montante et descendante des connexionsen lignedispositifs de sécurité et détecte lesoutils en ligneÉtat de fonctionnement et normalité du traitement du trafic. Signal de présence bidirectionnel.paquetLe mécanisme de détection peut refléter plus précisément l'état de fonctionnement actuel deen lignesécuritéappareilet assurer plus efficacement le fonctionnement normal du réseau.
Il peut personnaliser les paramètres de battement cardiaque de n'importe quelen lignedispositif de sécurité, tel que le rythme cardiaqueTxintervalle de temps, nombre maximal de tentatives de battement cardiaque, battement cardiaqueTxdirection, etc. Il peut détecter et évaluer l'état de défaut deen ligneLes dispositifs de sécurité sont activés à temps, et permettent une commutation rapide des liaisons de protection.
Les paquets de détection de pulsation sont des trames Ethernet de couche 2 par défaut. En mode pont transparent de couche 2 (comme IPS/FW), les trames Ethernet de couche 2 sont transmises normalement, sans blocage ni perte. Il est également possible de prendre en charge des paquets de détection de pulsation Ethernet personnalisés de couches 2, 3 et 4 pour s'adapter à des besoins spécifiques.en ligneLes dispositifs de sécurité ne peuvent généralement pas transférer les trames Ethernet ordinaires de couche 2.
Grâce à ce mécanisme, les utilisateurs peuvent constater l'efficacité de la détection du niveau de service des dispositifs de sécurité connectés, ce qui permet d'assurer plus efficacement le bon fonctionnement des services de sécurité.
Commutation de contournement
Il supporte un courant de dérivation très faiblecommutationLe délai est inférieur à 8 ms et les utilisateurs ne ressentent pratiquement aucun impact sur le réseau lorsque l'appareil effectue un contournement.commutationParallèlement, la technologie de commutation de liaison spécifique au périphérique permet de garantir que l'état de la liaison principale n'est pas affecté pendant le contournement.commutationCette technologie garantira que le contournementcommutationest plus sûr et n'entraînera pas le recalcul ni la convergence du protocole de topologie de couche 2/couche 3 des liaisons protégées, minimisant ainsi l'impact sur le réseau de l'utilisateur pendant lacommutation.
Blocage de la circulation
Lorsque le dispositif de sécurité détecte des connexions de session illégales ou anormales dans le trafic et doit les bloquer à temps, il peut intercepter tout paquet spécifié dans le trafic montant/descendant.en ligneLien basé sur les conditions de filtrage de correspondance des tuples pour garantir le fonctionnement sûr des services réseau.
Rétroviseur de circulation
En plus de la protection du trafic de la liaison en ligne et du dispositif de sécurité en ligne (tel qu'IPS, WAF), tout trafic mis en miroir SPAN peut également être acheminé vers le système de surveillance de sécurité SPAN (tel qu'IDS, APT), afin de répondre aux exigences de déploiement de la surveillance des données de trafic SPAN ou des tests et de la vérification du trafic.
Proxy SSL
Grâce à la fonction de proxy SSL, le paquet chiffré d'origine est déchiffré et envoyé au système de protection de sécurité en ligne, puis les données déchiffrées sont restaurées et renvoyées à la liaison d'origine, afin de fournir les données déchiffrées au système de protection de sécurité en ligne sans affecter la transmission des données chiffrées sur la liaison d'origine de l'utilisateur, et de réaliser la surveillance et l'analyse des données chiffrées par le système d'analyse.
4.2-Déploiement SPAN
Réplication du trafic réseau
Il soutientEn ligne(en série)mode de protection pour des types de trafic spécifiques dans n'importe quelen lignelien.Totransférer certains types de trafic spécifiés par l'utilisateur sur leen lignelien vers leEn ligne Ssécuritéappareilpour le traitement, et le reste du trafic est acheminé directement sans transiter par leEn ligne Ssécuritéappareil. En même temps,iteffectue une surveillance en temps réel de l'état de fonctionnement deEn ligne SsécuritéappareilUne fois l'état anormal du traitement du trafic détecté,itsera automatiquement dévié du chemin de transmission du trafic afin d'assurer la continuité du service réseau.
Agrégation du trafic réseau
Le trafic d'entrée d'origine et le trafic prétraité peuvent être copiés sur un signal de canal N en fonction d'un signal de canal 1 ou copiés sur un signal de canal M après agrégation du signal de canal N à la vitesse de transmission de ligne GE, 10GE, 40G et 100G, ce qui répond parfaitement aux besoins de déploiement simultané de plus de deux dispositifs de contournement d'écoute multiport sur le réseau.
Distribution/Transfert de données
Les métadonnées entrantes ont été classées avec précision, et différents services de données ont été rejetés ou transférés vers plusieurs sorties d'interface selon les règles prédéfinies par l'utilisateur.
Filtrage des données par paquets
Les données d'entréetraficIl est possible de classer les services de données avec précision, d'appliquer des règles de liste blanche ou noire, et de gérer le rejet ou le transfert de plusieurs sorties d'interface. Il prend en charge une combinaison flexible basée sur le type Ethernet, l'étiquette VLAN et le quintuplet IP.TCPidentifiant, caractéristiques des paquets et autres éléments permettant de mieux répondre aux exigences de déploiement de divers équipements de sécurité réseau, d'analyse de protocole, d'analyse de signalisation et d'autres surveillances du trafic.
Équilibrage de charge
L'équilibrage de charge de l'algorithme de hachage optionnel peut être effectué en fonction des caractéristiques des couches internes et externes L2-L4 afin de garantir l'intégrité de session du flux de données reçu par lePORTÉEDispositif de surveillance. Lorsque l'état de la liaison change, les membres du groupe de ports de déchargement peuvent quitter (liaison DOWN) ou rejoindre (liaison UP) de manière flexible, et le groupe de déchargement peut redistribuer automatiquement le trafic pour assurer l'équilibrage de charge dynamique du trafic de sortie du port.
VLAN étiqueté
VLAN non étiqueté
VLAN remplacé
Prise en charge de la correspondance avec n'importe quel champ clé dans les 128 premiers octets d'un paquet. L'utilisateur peut personnaliser la valeur de décalage, la longueur et le contenu du champ clé, et définir la politique de sortie du trafic selon sa configuration.
Horodatage
Soutenu à Synchroniser le serveur NTP pour corriger l'heure et écrire le message dans le paquet sous la forme d'une étiquette temporelle relative avec un horodatage à la fin de la trame, avec une précision de nanosecondes.
Décapage d'encapsulation de tunnel
Prise en charge de la suppression de l'en-tête VxLAN, VLAN, GRE, GTP, MPLS et IPIP dans le paquet de données d'origine et la sortie transmise.
Découpage des données/paquets
Il soutientdécoupage de paqueten utilisant les données d'origine basées sur l'interface d'entrée et de sortie du trafic au niveau de la politique (64, 96, 128, 160, 192, 224, 256, 288, 320, 384, 512, 640, 768, 896, 960 octets sont optionnels), et la politique de sortie du trafic peut être mise en œuvre en fonction de la configuration de l'utilisateur.
Protocole de tunnelage Identifier
La prise en charge de l'identification automatique de divers protocoles de tunnelage tels que GTP, GRE, VxLAN, PPTP, L2TP, PPPoE et IPIP est assurée. Selon la configuration utilisateur, la stratégie de sortie du trafic peut être mise en œuvre en fonction de la couche interne ou externe du tunnel.
Priorité de transfert de paquets
Il permet de définir la priorité des paquets de données en fonction de l'importance du service au niveau du port d'entrée, les paquets prioritaires étant acheminés en priorité vers le port de sortie. Une fois ces paquets prioritaires acheminés, les paquets de priorité moyenne et faible sont transmis à leur tour. Ceci évite les alarmes du système d'analyse dues à la perte de paquets de données importants.
Anomalies alarmantes
Il prend en charge la surveillance en temps réel des alarmes et l'historique des alarmes relatives aux tendances du trafic d'interface, en fonction des seuils définis. Il prend également en charge la surveillance en temps réel des alarmes et l'historique des alarmes relatives à l'état de santé du matériel (processeur, mémoire, température, ventilateur, alimentation, etc.).
Sauvegarde à chaud de l'interface
Il prend en charge la configuration principale/de secours de l'interface d'entrée 1+1, la configuration principale/de secours de l'interface de sortie 1+1 et la configuration principale/de secours du groupe d'équilibrage de charge N+1 afin d'obtenir une haute fiabilité dans le processus de trafic de l'entrée vers la sortie.
Mesure des microrafales de trafic
Il peut détecter en temps réel l'heure d'apparition, la durée et le débit des micro-rafales de trafic, et assurer la conservation des enregistrements de mesures historiques, ce qui fournit des moyens et une base quantifiables et observables pour le dépannage des opérations et de la maintenance, ainsi que pour la détection des pertes de paquets.
Protection contre les oscillations d'interface
Il prend en charge la détection et la protection des événements d'oscillation de liaison (montée/descente) de n'importe quelle interface, afin d'éviter la perte de trafic d'entrée et de sortie causée par des liaisons fréquentes (montée/descente) des interfaces, et d'améliorer la stabilité de la collecte et du transfert du trafic.
Sortie d'encapsulation du tunnel
Il prend en charge l'encapsulation de tunnel de type ERSPAN2, GRE, VXLAN, NVGRE de tout trafic collecté et de sortie pour répondre aux exigences d'application de transmission du trafic collecté vers un système d'analyse distant.
Terminaison de paquets tunnel
Il prend en charge la fonction de terminaison des messages de tunnel. Cette fonction permet de configurer les adresses IP/masques et les adresses MAC au niveau du port d'entrée du trafic. Elle permet la transmission directe du trafic à collecter sur le réseau de l'utilisateur, via des méthodes d'encapsulation de tunnel telles que GRE, GTP et VXLAN, vers le port de collecte du périphérique.
Décryptage SSL SPAN
Prise en charge du déchiffrement du certificat SSL correspondant. Après le déchiffrement des données chiffrées HTTPS pour le trafic spécifié, celles-ci seront transmises aux systèmes de surveillance et d'analyse du serveur, le cas échéant. Prise en charge des protocoles TLS 1.0, TLS 1.2 et SSL 3.0.
Déduplication des données/paquets
Prise en charge d'une granularité statistique au niveau du port ou des politiques pour comparer les données de plusieurs sources de collecte et les répétitions d'un même paquet de données à un moment précis. Les utilisateurs peuvent choisir différents identifiants de paquet (dst.ip, src.port, dst.port, tcp.seq, tcp.ack, dst.mac, src.mac, vlan.id).
Masquage de données classifiées
La granularité basée sur des politiques permet de remplacer n'importe quel champ clé des données brutes afin de protéger les informations sensibles. La politique de sortie du trafic peut être mise en œuvre selon la configuration de l'utilisateur.
Protocole de couche APP : Identification de l’identification du protocole d’identification de la couche APP
Il prend en charge l'identification, la sortie et le rejet des protocoles de la couche application en fonction de la correspondance DNS/URL. La bibliothèque de fonctionnalités DPI peut être intégrée pour reconnaître, sortir et rejeter au moins 1 800 fonctionnalités de protocoles applicatifs (audio et vidéo, jeux, messagerie instantanée, bases de données, courriel, P2P, etc.). Cette bibliothèque est évolutive et peut être mise à jour. Des développements complémentaires sont également possibles en cas de besoins spécifiques.
Décapsulation définie par l'utilisateur des paquets
Il prend en charge la fonction de désencapsulation de paquets auto-définie, qui peut supprimer les champs et le contenu d'encapsulation à n'importe quelle position des 128 premiers octets du paquet et les afficher.
Modulation du trafic
Dans le même temps, une technologie de mise en forme du trafic est utilisée dans l'interface de sortie pour acheminer le flux de données de manière fluide vers l'outil d'analyse, ce qui résout fondamentalement le phénomène de perte de paquets causé par les micro-rafales et évite l'alarme anormale causée par la perte de trafic dans le système d'analyse.
Correspondance des mots clés des paquets
Une fois qu'un champ quelconque du contenu de la partie charge utile du paquet est mis en correspondance et atteint, le paquet ou le flux de session associé est transmis et affiché ou rejeté pour répondre aux exigences de prétraitement des données de trafic spécifiques.
Décapage d'encapsulation de tunnel
Il prend en charge la sortie des en-têtes de paquets VXLAN, MPLS, GRE, SRV6, FABRICPATCH, GENEVE et autres dans le paquet de données d'origine après suppression.
Déchargement de connexion de longue durée
En fonction des besoins de l'utilisateur, tout flux de session peut être transmis et traité en fonction du nombre d'octets et de paquets transmis, et le flux de session suivant peut être ignoré, afin de répondre aux exigences du système d'analyse back-end dans certains scénarios spécifiques, qui n'a besoin d'obtenir qu'une partie du trafic du flux de session, réduisant ainsi la charge d'analyse du trafic et améliorant l'efficacité du système d'analyse.
Analyse statistique du trafic
Il prend en charge les statistiques des composants du trafic de toute interface d'entrée et peut afficher en temps réel, sous forme de graphiques, la tendance du trafic, la taille/proportion du trafic par adresse IP, par catégorie de protocole applicatif et par nom de protocole applicatif, ainsi que les informations de session. Il permet également d'exporter les résultats statistiques vers des fichiers locaux. Ainsi, les utilisateurs peuvent mieux appréhender la structure de tout trafic collecté et disposer d'une base de données directe pour personnaliser leurs stratégies de trafic et s'adapter à l'évolution des besoins métiers.
Visibilité du trafic - Analyse de données de base
Le module d'analyse de base de la fonction de détection de visualisation du trafic peut afficher les informations de base des données de trafic cible capturées, telles que le nombre de paquets, la distribution des paquets unicast/multicast/broadcast, le nombre de connexions de session, la distribution des protocoles de paquets et la taille du trafic capturé.
Visibilité du trafic - Analyse approfondie DPI
Le module d'analyse approfondie DPI de la fonction de détection de la visibilité du trafic peut effectuer une analyse approfondie des données de trafic cible capturées sous de multiples angles et présenter des statistiques détaillées sous forme de graphiques et de tableaux.
Visibilité du trafic - Analyse des proportions de trafic
● Analyse de la répartition des protocoles de la couche transport : représentation graphique de la répartition des paquets et du trafic (TCP, UDP, ICMP, IGMP, ARP, etc.) sous forme de diagramme circulaire
● Analyse de la répartition du trafic IP : statistiques de trafic générées par différentes adresses IP, classement du trafic par adresse IP (TOP N) et affichage sous forme de graphique à barres
● Analyse de la proportion des applications DPI : affichage sous forme de graphique circulaire du nombre d’octets, de la distribution statistique du trafic de communication et de l’utilisation des protocoles HTTP, QQ, FTP et autres.
Visibilité du trafic - Analyse chronologique du trafic
En fonction de différentes conditions de filtrage, telles que l'adresse IP, le port, le protocole de couche transport, le protocole de couche application et d'autres contenus spécifiés, les données de trafic de capture de la cible actuelle peuvent être analysées et présentées en fonction du temps d'échantillonnage, et la taille et la tendance du trafic peuvent être interrogées en déplaçant le curseur temporel et en ajustant la granularité statistique, avec une précision pouvant atteindre 1 milliseconde.
Analyse de la visibilité du trafic – Tableau des flux
En fonction de différents critères de filtrage, tels que l'identifiant de flux, l'adresse IP, le port, le protocole de couche transport, le protocole de couche application et d'autres informations spécifiques, les données de trafic capturées par la cible peuvent être analysées et comptabilisées selon le mode de flux de session. Cela permet une présentation détaillée des informations de flux de session, incluant les cinq éléments de chaque flux, le type d'application transportante, le nombre et la taille des paquets transmis, ainsi que le flux de données associé. Un classement est également affiché en fonction de ces informations. Grâce à ces données, les utilisateurs peuvent facilement identifier les types de trafic qui les intéressent, ce qui leur fournit une base directe pour l'élaboration de politiques de routage du trafic.
Visibilité du trafic – Analyse des paquets
En fonction de différents critères de filtrage, tels que l'identifiant du paquet, l'adresse IP, le port, le protocole de la couche transport, le protocole de la couche application et d'autres contenus spécifiés, les données de trafic cible capturées peuvent être présentées sous forme d'analyse au niveau du paquet, incluant :
● Analyse de l'horodatage de collecte des paquets
● Analyse des informations clés des paquets, telles que SIP, DIP, SMAC, DMAC, protocole, indicateur, TTL, longueur du message et événements clés
● Analyse et affichage animé du chemin de transmission des paquets, notamment : nombre de transferts, délai de transfert, type de transfert (routage, commutation, pare-feu, équilibrage de charge, NAT)
● Affichage du résumé des informations du paquet et de sa structure détaillée
● Analyse du nombre de collectes de paquets répétées
Visibilité du trafic – Analyse précise des défauts
Le module d'analyse des défauts de la fonction de détection de la visibilité du trafic peut fournir différents positionnements d'analyse visuelle des défauts pour les données de trafic cibles capturées, notamment :
● Vue d'ensemble des anomalies, telles que : résultats d'analyse des services réseau, résultats d'analyse des événements anormaux, analyse comportementale des processus réseau (par exemple, le nombre de périphériques de routage, de périphériques NAT, de pare-feu et de périphériques d'équilibrage de charge ayant transité par la transmission des paquets).
• Analyse des défaillances au niveau de la table de flux, notamment les types d'événements anormaux (connexion rejetée/connexion non réactive/absence de transmission de données/connexion semi-ouverte/route de session inaccessible, etc.) ; • Analyse des défaillances au niveau des paquets, notamment : le type d'événement anormal (erreur de somme de contrôle du paquet/TTL 0/erreur d'accessibilité/erreur de somme de contrôle FCS, etc.), une description détaillée des informations anormales et les détails du flux de données associé.
● Analyse des failles de sécurité, notamment : type d’événement anormal (attaque DDoS, blocage par pare-feu, attaque ARP, inondation UDP, inondation SYN, etc.), description détaillée des informations anormales et détails du flux de données associé
● Analyse des pannes réseau, notamment : type d’événement anormal (boucle de commutation/boucle de routage/chemin inaccessible/interruption de liaison, etc.), description détaillée des informations anormales et détails du flux de données associé
5-Spécifications du courtier de paquets réseau Mylinking™ et du commutateur de contournement en ligne
| ML-NPB-M2000 Courtier de paquets réseau Mylinking™ plus commutateur de contournement en ligne Spécifications fonctionnelles | ||||
| interface réseau | Emplacement du module | 4 emplacements pour modules de contournement ou de surveillance | ||
| Nombre de liens intégrés | Prend en charge la protection de jusqu'à 16 liaisons optiques 1G/10G ou 8 liaisons optiques 40G/100G. | |||
| Interface de surveillance du moniteur | Prend en charge un maximum de 64 interfaces de surveillance 1G/10GE ou 16 interfaces de surveillance 40G/100G. | |||
| Interface de gestion hors bande | 1 port Ethernet 10/100/1000M ; | |||
| Mode de déploiement | Déploiement en ligne | Soutien | ||
| Déploiement SPAN | Soutien | |||
| Fonctions du système | Mode de déploiement en ligne | protection spécifique de concaténation de flux | Soutien | |
| Protection de la série Flow | Soutien | |||
| Équilibrage de charge | Soutien | |||
| Détection des battements cardiaques | Soutien | |||
| BYPASS commutation | Soutien | |||
| Blocage du trafic | Soutien | |||
| Mise en miroir du trafic | Soutien | |||
| Proxy SSL | Soutien | |||
| Mode de déploiement SPAN | traitement de base du trafic | Réplication/agrégation/distribution du trafic | Soutien | |
| Équilibrage de charge | Soutien | |||
| Filtrage du trafic basé sur l'identifiant à 5 éléments IP/protocole/port | Soutien | |||
| Étiquetage/modification/suppression des VLAN | Soutien | |||
| Horodatage | Soutien | |||
| encapsulation de tunnel décapage | Soutien | |||
| Découpage des données | Soutien | |||
| Identification du protocole de tunnelage | Soutien | |||
| Priorité de transfert de paquets | Soutien | |||
| Alerte anormale | Soutien | |||
| Interface en veille active | Soutien | |||
| Mesure des micro-éclatements | Soutien | |||
| protection contre les oscillations d'interface | Soutien | |||
| Sortie d'encapsulation du tunnel | Soutien | |||
| terminaison de paquet tunnel | Soutien | |||
| Traitement avancé du trafic | Contourner le décryptage SSL | Soutien | ||
| Déduplication des données | Soutien | |||
| masquage des données | Soutien | |||
| identification du protocole de la couche application | Soutien | |||
| Décapsulation personnalisée | Soutien | |||
| Façonnage du flux | Soutien | |||
| Correspondance des mots clés | Soutien | |||
| encapsulation de tunnel décapage | Soutien | |||
| Déchargement de la connexion de longue durée | Soutien | |||
| observation des composants du flux | Soutien | |||
| Diagnostic et surveillance | Surveillance en temps réel | Soutien | ||
| Requête historique sur le trafic | Soutien | |||
| Capture du trafic | Soutien | |||
| Détection de visualisation du trafic | Analyse fondamentale | Prend en charge l'affichage de statistiques récapitulatives basées sur des informations de base telles que le nombre de paquets, la distribution des types de paquets, le nombre de connexions par session et la distribution des protocoles de paquets. | ||
| Analyse approfondie de DPI | Il permet d'analyser la proportion des protocoles de la couche transport, la proportion de diffusion unique, de diffusion et de multidiffusion, la proportion du trafic IP et la proportion d'applications DPI. Il permet d'analyser et de présenter le contenu des données en fonction de la période d'échantillonnage et du volume des données. Il permet d'analyser les données et d'établir des statistiques basées sur les flux de session. | |||
| Analyse précise des défauts | Prend en charge l'analyse et la localisation des pannes à l'aide de données de trafic provenant de diverses perspectives, notamment : l'analyse du comportement de transmission des paquets, l'analyse des pannes au niveau du flux de données, l'analyse des pannes au niveau des paquets de données, l'analyse des pannes liées à la sécurité et l'analyse des pannes liées au réseau. | |||
| Capacité de traitement | 2,4 Tbit/s | |||
| Gérer | Gestion du réseau de la console | Soutien | ||
| Gestion de réseau IP/Web | Soutien | |||
| Gestion de réseau SNMP | Soutien | |||
| Gestion de réseau TELNET/SSH | Soutien | |||
| Protocole SYSLOG | Soutien | |||
| Authentification centralisée RADIUS ou TADACS+ | Soutien | |||
| fonction d'authentification de l'utilisateur | Authentification par nom d'utilisateur et mot de passe | |||
| Électrique | Tension d'alimentation nominale | AC-220V/DC-48V [Optionnel] | ||
| Fréquence de puissance nominale | 50 Hz | |||
| Courant d'entrée nominal | 3 A CA / 10 A CC | |||
| Puissance fonctionnelle nominale | Puissance maximale de 300 W | |||
| Environnement | Température de fonctionnement | 0-50℃ | ||
| température de stockage | -20 à 70 °C | |||
| Humidité de fonctionnement | 10 % à 95 %, sans condensation | |||
| Configuration utilisateur | Configuration de la console | Interface RS232, 115200, 8, N, 1 | ||
| Authentification par mot de passe | Ssoutien | |||
| Dimensions du rack | Espace rack (U) | 2U 444 mm x 88 mm x 670 mm | ||
6-Application Mylinking™ Network Packet Broker plus commutateur de contournement en ligne
6.1LeRrisque deEn ligne SsécuritéEéquipement (IPS / FW)
Voici un mode de déploiement typique d'un système IPS (Intrusion Prevention System) et d'un pare-feu (FW) : l'IPS/FW est déployé en série sur les équipements réseau (routeurs, commutateurs, etc.) et effectue des contrôles de sécurité sur le trafic. Conformément à la politique de sécurité correspondante, le trafic correspondant est autorisé ou bloqué, afin d'assurer la protection de la sécurité.
Voici un mode de déploiement typique d'un système IPS (Intrusion Prevention System) et d'un pare-feu (FW) : l'IPS/FW est déployé en série sur les équipements réseau (routeurs, commutateurs, etc.) et effectue des contrôles de sécurité sur le trafic. Conformément à la politique de sécurité correspondante, le trafic correspondant est autorisé ou bloqué, afin d'assurer la protection de la sécurité.
6.2 Protection des équipements de la série Inline Link
Mylinking™ Network Packet Broker plus Inline Bypass Switch est déployé en série entre les équipements réseau (routeurs, commutateurs, etc.). Le flux de données entre ces équipements n'est plus acheminé directement vers le système de prévention d'intrusion (IPS) ou le pare-feu (FW). En cas de surcharge, de panne, de mise à jour logicielle ou de modification de stratégie de sécurité, le « Smart Inline Bypass Switch » détecte rapidement le problème grâce à sa fonction intelligente de détection des messages de pulsation. Il contourne ainsi le périphérique défaillant sans interrompre le réseau et reconnecte directement les équipements pour garantir la continuité des communications. En cas de panne de l'IPS ou du pare-feu, la détection intelligente des paquets de pulsation permet également de rétablir la liaison d'origine et de garantir la sécurité du réseau d'entreprise.
Mylinking™ Network Packet Broker plus Inline Bypass Switch dispose d'une fonction puissante de détection intelligente des messages de pulsation. L'utilisateur peut personnaliser l'intervalle de pulsation et le nombre maximal de tentatives, grâce à un message de pulsation personnalisé envoyé au système IPS/FW pour effectuer des tests de santé. Par exemple, le message de contrôle de pulsation est envoyé au port amont/aval du système IPS/FW, puis reçu du même port, permettant ainsi de déterminer si le système IPS/FW fonctionne normalement.
6.3 Flux de politiques « SpecFlow » en ligneSécuritéProtection en série
Lorsque le dispositif de sécurité réseau doit gérer un trafic spécifique dans le cadre de la protection en série, grâce à la fonction de traitement par lots du courtier de paquets réseau Mylinking™ et du commutateur de contournement en ligne, et via une politique de filtrage du trafic, le trafic « préoccupé » est renvoyé directement à la liaison réseau, puis acheminé vers le dispositif de sécurité en ligne pour y effectuer des contrôles. Ceci permet non seulement de maintenir le fonctionnement normal de la fonction de détection de sécurité du dispositif, mais aussi de réduire la surcharge de ce dernier. Parallèlement, le commutateur de contournement en ligne intelligent détecte en temps réel l'état de fonctionnement du dispositif de sécurité. En cas de dysfonctionnement, le dispositif de sécurité contourne directement le trafic de données afin d'éviter toute interruption de service réseau.
Le courtier de paquets réseau Mylinking™ associé à un commutateur de contournement en ligne identifie le trafic en fonction des identifiants d'en-tête des couches L2 à L4, tels que l'étiquette VLAN, les adresses MAC source et de destination, l'adresse IP source, le type de paquet IP, le port du protocole de la couche transport, la clé d'en-tête du protocole, etc. Grâce à une grande flexibilité de combinaison de critères, il est possible de définir les types de trafic spécifiques qui intéressent un dispositif de sécurité particulier. Cette solution est particulièrement adaptée au déploiement de dispositifs d'audit de sécurité spécialisés (RDP, SSH, audit de bases de données, etc.).
6.4Lcharge équilibréeSécurité en ligneProtection en série
Le Mylinking™ Network Packet Broker avec Inline Bypass Switch est déployé en série entre les équipements réseau (routeurs, commutateurs, etc.). Lorsqu'un seul IPS/FW ne suffit pas à gérer les pics de trafic sur une liaison réseau, la fonction d'équilibrage de charge du Mylinking™ Network Packet Broker, en regroupant le trafic de plusieurs clusters IPS/FW, permet de réduire efficacement la charge sur chaque IPS/FW et d'améliorer les performances globales afin de répondre aux exigences de bande passante élevée des environnements de déploiement.
Mylinking™ Network Packet Broker plus Inline Bypass Switch dispose d'une fonction d'équilibrage de charge puissante, basée sur l'étiquette VLAN de la trame, les informations MAC, les informations IP, le numéro de port, le protocole et d'autres informations sur la distribution d'équilibrage de charge Hash du trafic pour garantir l'intégrité de session du flux de données reçu par chaque IPS / FW.
6.5Multi-sériesÉquipement en ligne FfaibleTactionPprotection(ChangementPhysiqueConnexion série àLogiqueConnexion parallèle)
Sur certaines liaisons critiques (telles que les points d'accès Internet et les points d'échange réseau), l'emplacement est souvent déterminé par les exigences de sécurité et le déploiement de plusieurs équipements de sécurité en ligne (pare-feu, protection anti-DDoS, pare-feu applicatif web, systèmes de prévention d'intrusion, etc.). La présence simultanée de plusieurs équipements de détection de sécurité en série sur la liaison augmente le risque de défaillance unique et réduit la fiabilité globale du réseau. De plus, le déploiement, la mise à niveau et le remplacement d'équipements de sécurité en ligne entraînent des interruptions de service prolongées et nécessitent des mesures d'urgence pour la bonne réalisation des projets.
En déployant le courtier de paquets réseau Mylinking™ et le commutateur de contournement en ligne de manière unifiée, le mode de déploiement de plusieurs dispositifs de sécurité connectés en série sur la même liaison peut passer du mode de connexion série physique au mode de connexion parallèle physique et série logique. Ceci réduit efficacement les sources de défaillance unique sur la liaison série et améliore sa fiabilité. Parallèlement, le courtier de paquets réseau Mylinking™ et le commutateur de contournement en ligne peuvent acheminer le trafic de la liaison à la demande, offrant ainsi le même niveau de sécurité de traitement du trafic qu'en mode de connexion série d'origine.
Diagramme de déploiement en série de plusieurs dispositifs de sécurité en ligne installés simultanément :
Diagramme de déploiement du courtier de paquets réseau Mylinking™ et du commutateur de contournement en ligne :
(Changer la connexion série physique en connexion parallèle logique)
6.6D'aprèsDPolitique dynamique deTTrafic en ligneSsécuritéDdétectionPprotection
Mylinking™ Network Packet Broker plus Inline Bypass Switch, un autre scénario d'application avancé, est basé sur la politique dynamique des applications de protection et de détection de sécurité de la traction du trafic, dont le déploiement est illustré ci-dessous :
Prenons l'exemple d'un équipement de test de sécurité de protection et de détection des attaques DDoS. Ce dispositif utilise un commutateur de contournement intelligent en amont, auquel est connecté un équipement de protection anti-DDoS. Le commutateur de contournement intelligent achemine simultanément l'intégralité du trafic à pleine vitesse vers le dispositif de protection anti-DDoS. Dès qu'une attaque est détectée sur une adresse IP de serveur (ou un segment de réseau IP), le dispositif de protection anti-DDoS génère des règles de correspondance avec le flux de trafic cible et les envoie au commutateur de contournement intelligent via l'interface de distribution de politiques dynamiques. Le commutateur de contournement met à jour le pool de règles de « trafic dynamique » après réception de ces règles et les applique immédiatement au dispositif de protection et de détection anti-DDoS pour traitement. Le flux d'attaque est ainsi neutralisé puis réinjecté dans le réseau.
Le schéma d'application basé sur le « commutateur de contournement intelligent » est plus facile à mettre en œuvre que l'injection de route BGP traditionnelle ou d'autres schémas de traction de trafic, et l'environnement est moins dépendant du réseau et la fiabilité est plus élevée.
Le « commutateur de contournement intelligent » possède les caractéristiques suivantes pour prendre en charge la protection par détection de sécurité des politiques dynamiques :
1. « Interrupteur de contournement intelligent » pour fournir, en dehors des règles basées sur une interface WEBSERVICE, une intégration facile avec des dispositifs de sécurité tiers.
2. « Commutateur de contournement intelligent » basé sur une puce ASIC matérielle pure transférant des paquets jusqu'à 100 Gbit/s à la vitesse du fil sans bloquer le transfert du commutateur, et « bibliothèque de règles dynamiques de traction du trafic » quel que soit le nombre.
3. La fonction BYPASS professionnelle intégrée « Smart Bypass Switch » permet, même en cas de défaillance du protecteur lui-même, de contourner immédiatement la liaison série d'origine, sans affecter la communication normale de cette dernière.
6.7Mise en miroir du trafic série en lignepour la sécurité hors bande (en ligne + SPAN)
Le courtier de paquets réseau Mylinking™ avec commutateur de contournement en ligne est généralement déployé sur le réseau informatique ou la plateforme cloud d'un client afin d'assurer une protection en ligne pour les dispositifs WAF/IPS et la liaison d'origine. Les utilisateurs peuvent également avoir des exigences supplémentaires pour les tests, la vérification ou le déploiement de dispositifs de surveillance de contournement, ce qui nécessite l'acquisition de données de trafic sur cette liaison.
Par conséquent, grâce à la fonction de duplication de trafic du commutateur de contournement en ligne Mylinking™ Network Packet Broker, le trafic de la liaison série en ligne peut être dupliqué à partir du port de surveillance, comme illustré dans la figure suivante :
Le schéma ci-dessous illustre un scénario d'application étendu du trafic des liaisons directes et du trafic des ports dupliqués par le commutateur. Ceci permet de protéger le trafic des liaisons directes sans être affecté par le trafic des ports dupliqués par le commutateur. Le système d'analyse IDS peut acquérir simultanément le trafic des liaisons directes et le trafic des ports dupliqués par le commutateur. La méthode de déploiement est présentée dans le schéma ci-dessous :
6.8Déduplication des données/paquetsApplication
Comme illustré dans la structure de déploiement de l'application ci-dessus, afin de garantir l'intégrité de la collecte des données initiales sur l'ensemble de la liaison, certains paquets de données identiques peuvent être collectés plusieurs fois sur un même chemin. Ceci entraîne une augmentation des fausses alarmes et des retransmissions dans le système dorsal, ce qui accroît la charge de travail du système d'analyse et affecte la précision et l'efficacité de l'analyse. La solution proposée consiste d'abord à dédupliquer les paquets de données dupliqués sur différents nœuds de capture. Un seul paquet de données est ensuite transmis au système d'analyse des performances réseau NPM et au système d'analyse des performances applicatives APM, ce qui permet d'optimiser les performances du système d'analyse et d'améliorer son efficacité et sa précision.
6.9Données/PaquetÉtiquetage VLANingApplication
Dans l'environnement réseau illustré dans le schéma ci-dessus, la solution sert à étiqueter les données brutes provenant de différents périphériques réseau et nœuds de liaison. En cas de trafic ou de paquets de données anormaux sur le réseau, l'équipement d'analyse en aval peut localiser rapidement et précisément la source de ces données anormales en remontant la chaîne de transmission à partir des étiquettes.
6.10 Trafic réseauCalendrier unifiéApplication
Dans l'environnement réseau illustré dans le schéma ci-dessus, les données de plusieurs liaisons sources 10GE, 25GE, 40GE et 100GE sont intégralement acheminées vers le Mylinking™ Network Packet Broker plus Inline Bypass Switch via un système de répartition optique ou de duplication de ports. Le filtrage et la répartition du trafic permettent ensuite d'acheminer les données de différents services vers divers dispositifs de surveillance et de sécurité réseau hors bande. En cas d'anomalies de paquets réseau ou de fluctuations anormales du trafic nécessitant une intervention manuelle, la capture et l'analyse en temps réel des paquets de données originaux peuvent être effectuées immédiatement, permettant ainsi aux utilisateurs d'identifier et de localiser rapidement la panne.
6.11RéseauAnalyse de la visibilité des données de traficApplication
Elle peut présenter toutes les données détectées et capturées de manière multidimensionnelle et multiperspective grâce à une interface graphique et textuelle interactive et conviviale, incluant la structure de composition du trafic, la distribution des protocoles d'application, la distribution du trafic de tous les nœuds du réseau, le chemin de transmission des données, la détection des événements anormaux, la localisation précise des défauts des éléments/liaisons du réseau, l'état d'interaction des messages, la tendance d'évolution du trafic et d'autres aspects de surveillance et d'analyse, afin d'établir une plateforme globale de collecte de données et de sécurité complète, visible et contrôlable pour les réseaux d'entreprise.
Catégories de produits
-
Mylinking™ Network Packet Broker (NPB) ML-NPB-4810P
-
Mylinking™ Network Packet Broker (NPB) ML-NPB-54...
-
Mylinking™ Network Packet Broker (NPB) ML-NPB-3210+
-
Mylinking™ Network Packet Broker (NPB) ML-NPB-6410+
-
Mylinking™ Network Packet Broker (NPB) ML-NPB-3210L
-
Courtier de paquets réseau Mylinking™ (NPB) ML-NPB-2410
