1- Qu'est-ce que le paquet « Définition du rythme cardiaque » ?
Par défaut, les paquets de pulsation du commutateur de contournement Mylinking™ Network Tap sont des trames Ethernet de couche 2. En mode de pontage transparent de couche 2 (comme pour les systèmes IPS/pare-feu), les trames Ethernet de couche 2 sont généralement transmises, bloquées ou ignorées. Le commutateur de contournement Mylinking™ Network Tap prend également en charge un format de message de pulsation personnalisé afin de pallier les problèmes rencontrés avec certains dispositifs de sécurité série spécifiques qui ne peuvent pas transmettre les trames Ethernet de couche 2 standard.
Le commutateur de contournement Mylinking™ Network Tap prend également en charge la détection des paquets de pulsation basée sur l'étiquette VLAN et les types de messages personnalisés de couche 3 et de couche 4. Grâce à ce mécanisme, l'utilisateur peut mettre en œuvre une fonction de test de sécurité des services du dispositif de sécurité de connexion afin de garantir plus efficacement le bon fonctionnement des services de sécurité associés.
Le commutateur de dérivation de connexion réseau Mylinking™ permet au moniteur d'envoyer différents paquets de pulsation dans les deux sens. Par exemple, les paquets de pulsation TCP et UDP sont personnalisés dans le « Protecteur de traction de trafic stratégique », en fonction des spécificités du périphérique série. Vous pouvez configurer l'envoi de paquets de pulsation TCP sur le port A du moniteur de liaison montante et l'envoi de paquets de pulsation UDP sur le port B du moniteur de liaison descendante afin de prendre en charge le mécanisme de transfert de messages du dispositif de sécurité série. Cette fonction permet de garantir plus efficacement le bon fonctionnement de la chaîne et de l'équipement de sécurité connecté.
Le commutateur de dérivation en ligne Mylinking™ Network est conçu et développé pour permettre un déploiement flexible de différents types d'équipements de sécurité série tout en assurant une haute fiabilité du réseau.
Commutateur de dérivation en ligne à 2 réseaux : fonctionnalités et technologies avancées
Technologie de mode de protection Mylinking™ « SpecFlow » et « FullLink ».
Technologie de protection contre la commutation rapide Mylinking™
Technologie Mylinking™ « LinkSafeSwitch »
Technologie de transfert/émission de stratégie dynamique « WebService » Mylinking™
Technologie de détection intelligente des messages de battements cardiaques Mylinking™
Technologie Mylinking™ de messages de battements cardiaques définissables
Technologie d'équilibrage de charge multi-liens Mylinking™
Technologie de distribution intelligente du trafic Mylinking™
Technologie d'équilibrage de charge dynamique Mylinking™
Technologie de gestion à distance Mylinking™ (HTTP/WEB, TELNET/SSH, fonctionnalité « EasyConfig/AdvanceConfig »)
3-Application de commutateur de dérivation en ligne du réseau (comme ci-dessous)
3.1 Risque lié aux équipements de sécurité en ligne (IPS / FW)
Voici un mode de déploiement typique d'un système IPS (Intrusion Prevention System) et d'un pare-feu (FW) : l'IPS/FW est déployé en série sur les équipements réseau (routeurs, commutateurs, etc.) et effectue des contrôles de sécurité sur le trafic. Conformément à la politique de sécurité correspondante, le trafic correspondant est autorisé ou bloqué, afin d'assurer la protection de la sécurité.
Parallèlement, on peut considérer les systèmes IPS/FW comme un déploiement en série d'équipements, généralement installés à des emplacements clés du réseau d'entreprise pour assurer une sécurité en série. La fiabilité des dispositifs qui y sont connectés influe directement sur la disponibilité globale du réseau. En cas de surcharge, de panne, de mise à jour logicielle ou de modification des politiques de sécurité, la disponibilité de l'ensemble du réseau est fortement compromise. Dans ce cas, la seule solution pour rétablir le réseau est la coupure du réseau, ou le recours à un cavalier de contournement physique, ce qui nuit gravement à sa fiabilité. Ainsi, si les systèmes IPS/FW et autres dispositifs en série améliorent la sécurité du réseau d'entreprise, ils peuvent aussi en réduire la fiabilité et accroître le risque d'indisponibilité.
3.2 Protection des équipements de la série Inline Link
Mylinking™ « Network Inline Bypass » est déployé en série entre les équipements réseau (routeurs, commutateurs, etc.). Le flux de données entre ces équipements n'est plus acheminé directement vers le système de prévention d'intrusion (IPS) ou le pare-feu (FW). En cas de défaillance de l'IPS ou du FW (surcharge, panne, mise à jour logicielle ou de politiques de sécurité, etc.), « Network Inline Bypass » détecte rapidement le problème grâce à sa fonction intelligente de détection des messages de pulsation. Il contourne ainsi le périphérique défaillant sans interrompre le réseau et reconnecte rapidement les équipements réseau pour assurer la continuité des communications. En cas de panne de l'IPS ou du FW, la fonction de détection intelligente des paquets de pulsation permet également de rétablir rapidement la liaison d'origine et de garantir la sécurité du réseau d'entreprise.
Mylinking™ « Network Inline Bypass » dispose d'une fonction puissante de détection intelligente des messages de pulsation. L'utilisateur peut personnaliser l'intervalle de pulsation et le nombre maximal de tentatives. Grâce à un message de pulsation personnalisé envoyé à l'IPS/FW pour tester son état de fonctionnement, par exemple en envoyant le message de contrôle de pulsation au port amont/aval de l'IPS/FW, puis en le recevant du même port, et en déterminant si l'IPS/FW fonctionne normalement en envoyant et en recevant le message de pulsation.
3.3 Protection de la série de traction en ligne « SpecFlow »
Lorsque le dispositif de sécurité réseau doit gérer un trafic spécifique dans le cadre d'une protection de sécurité en série, la fonction de prétraitement du trafic « Network Inline Bypass » de Mylinking™ effectue un filtrage du trafic vers le dispositif de sécurité. Le trafic concerné est alors renvoyé directement vers la liaison réseau, et la section de trafic concernée est acheminée vers le dispositif de sécurité intégré pour y effectuer des contrôles de sécurité. Ceci permet non seulement de maintenir le fonctionnement normal de la fonction de détection de sécurité du dispositif, mais aussi de réduire la surcharge de ce dernier. Parallèlement, la fonction « Network Inline Bypass » permet de détecter en temps réel l'état de fonctionnement du dispositif de sécurité. En cas de dysfonctionnement, le dispositif de sécurité contourne directement le trafic de données afin d'éviter toute interruption de service réseau.
3.4 Protection en série à charge équilibrée
Le système Mylinking™ « Network Inline Bypass » est déployé en série entre les équipements réseau (routeurs, commutateurs, etc.). Lorsqu'un seul IPS/FW ne suffit pas à gérer les pics de trafic sur une liaison réseau, la fonction d'équilibrage de charge du système, en regroupant le trafic de plusieurs clusters IPS/FW, permet de réduire efficacement la charge sur chaque IPS/FW et d'améliorer les performances globales afin de répondre aux exigences de bande passante élevée des environnements de déploiement.
Mylinking™ « Network Inline Bypass » dispose d'une fonction d'équilibrage de charge puissante, basée sur l'étiquette VLAN de la trame, les informations MAC, les informations IP, le numéro de port, le protocole et d'autres informations sur la distribution d'équilibrage de charge Hash du trafic pour garantir l'intégrité de session du flux de données reçu par chaque IPS / FW.
3.5 Protection contre la traction du flux pour équipements en ligne multi-séries (passage d'une connexion série à une connexion parallèle)
Sur certaines liaisons critiques (telles que les points d'accès Internet et les points d'échange réseau), l'emplacement est souvent déterminé par les exigences de sécurité et le déploiement de plusieurs équipements de sécurité en ligne (pare-feu, protection anti-DDoS, pare-feu applicatif web, systèmes de prévention d'intrusion, etc.). La présence simultanée de plusieurs équipements de détection de sécurité en série sur la liaison augmente le risque de défaillance unique et réduit la fiabilité globale du réseau. De plus, le déploiement, la mise à niveau et le remplacement d'équipements de sécurité en ligne entraînent des interruptions de service prolongées et nécessitent des mesures d'urgence pour la bonne réalisation des projets.
En déployant la « Network Inline Bypass » de manière unifiée, le mode de déploiement de plusieurs dispositifs de sécurité connectés en série sur la même liaison peut être modifié, passant du « mode de concaténation physique » au « mode de concaténation physique et logique ». La liaison constitue un point de défaillance unique, ce qui améliore sa fiabilité, tandis que la « Network Inline Bypass » active le flux de la liaison à la demande, permettant ainsi d'obtenir le même flux qu'avec le mode de traitement sécurisé d'origine.
Schéma de déploiement en série de plusieurs dispositifs de sécurité installés simultanément :
Schéma de déploiement d'un commutateur de dérivation en ligne du réseau :
3.6 Protection de détection de sécurité de traction du trafic basée sur la stratégie dynamique
« Contournement en ligne du réseau » Un autre scénario d’application avancé repose sur la stratégie dynamique des applications de protection et de détection de sécurité de la traction du trafic, dont le déploiement est illustré ci-dessous :
Prenons l'exemple d'un équipement de test de sécurité « Protection et détection des attaques anti-DDoS ». Ce dispositif utilise un « Contournement réseau en ligne » en amont, puis un équipement de protection anti-DDoS connecté au « Contournement réseau en ligne ». Le « Protecteur de traction » achemine simultanément l'intégralité du trafic à vitesse filaire vers le « Dispositif de protection anti-DDoS ». Dès qu'une attaque est détectée sur une adresse IP de serveur (ou un segment de réseau IP), le « Dispositif de protection anti-DDoS » génère des règles de correspondance avec le flux de trafic cible et les envoie au « Contournement réseau en ligne » via l'interface de distribution de politiques dynamiques. Le « Contournement réseau en ligne » met à jour le pool de règles de « Contournement dynamique du trafic » après réception de ces règles et les applique immédiatement au « Dispositif de protection et de détection des attaques anti-DDoS » pour traitement. Le flux d'attaque est ainsi neutralisé puis réinjecté dans le réseau.
Le schéma d'application basé sur le « contournement en ligne du réseau » est plus facile à mettre en œuvre que l'injection de route BGP traditionnelle ou d'autres schémas de traction de trafic, et l'environnement est moins dépendant du réseau et la fiabilité est plus élevée.
La fonction « Network Inline Bypass » présente les caractéristiques suivantes pour prendre en charge la protection par détection de sécurité des politiques dynamiques :
1. « Network Inline Bypass » pour fournir, en dehors des règles basées sur l’interface WEBSERVICE, une intégration facile avec des dispositifs de sécurité tiers.
2, « Network Inline Bypass » basé sur une puce ASIC pure matérielle transférant des paquets jusqu'à 10 Gbit/s à la vitesse du fil sans bloquer le transfert du commutateur, et « bibliothèque de règles dynamiques de traction du trafic » quel que soit le nombre.
3. La fonction BYPASS professionnelle intégrée « Network Inline Bypass » permet, même en cas de défaillance du protecteur lui-même, de contourner immédiatement la liaison série d'origine, sans affecter la communication normale de cette dernière.
Date de publication : 23 décembre 2021
