1- Qu'est-ce que le paquet Définir le rythme cardiaque ?
Les paquets de battements de cœur du commutateur de contournement réseau Mylinking™ sont par défaut des trames Ethernet de couche 2. Lors du déploiement d'un mode de pontage transparent de couche 2 (tel qu'IPS/FW), les trames Ethernet de couche 2 sont normalement transférées, bloquées ou rejetées. Dans le même temps, le commutateur de contournement réseau Mylinking™ prend en charge le format de message de battement de cœur personnalisé pour répondre à la situation dans laquelle certains dispositifs de sécurité série spéciaux ne peuvent normalement pas transmettre les trames Ethernet de couche 2 ordinaires.
Et le commutateur de contournement réseau Mylinking™ prend également en charge la détection des paquets de battement de cœur basée sur la balise VLAN et les types de messages personnalisés de couche 3 et de couche 4. Sur la base de ce mécanisme, l'utilisateur peut mettre en œuvre une fonction de test de sécurité de service du dispositif de sécurité de connexion pour le rendre plus efficace et garantir le bon fonctionnement des services de sécurité correspondants.
Le commutateur de dérivation réseau Mylinking™ peut prendre en charge le moniteur pour envoyer différents paquets de battements de cœur dans les deux sens. Par exemple, les paquets de battements de cœur de type TCP et UDP sont personnalisés sur le « Strategy Traffic Traction Protector », en fonction de la particularité du périphérique série. Vous pouvez configurer l'envoi de paquets de pulsation TCP sur le port A du moniteur de liaison montante et l'envoi de paquets de pulsation UDP sur le port B du moniteur de liaison descendante pour prendre en charge le mécanisme de transfert de messages du périphérique de sécurité série. Cette fonction peut garantir plus efficacement la chaîne. Connectez l'équipement de sécurité au fonctionnement normal.
Le commutateur de contournement réseau en ligne Mylinking™ est recherché et développé pour être utilisé pour le déploiement flexible de divers types d'équipements de sécurité série tout en offrant une fiabilité de réseau élevée.
Fonctionnalités et technologies avancées du commutateur de dérivation en ligne à 2 réseaux
Mode de protection Mylinking™ « SpecFlow » et technologie de mode de protection « FullLink »
Technologie de protection de commutation de contournement rapide Mylinking™
Technologie Mylinking™ « LinkSafeSwitch »
Technologie de transfert/problème de stratégie dynamique Mylinking™ « WebService »
Technologie intelligente de détection des messages de battement de cœur Mylinking™
Technologie de messages de battement de coeur définissable Mylinking™
Technologie d'équilibrage de charge multi-liens Mylinking™
Technologie de distribution intelligente du trafic Mylinking™
Technologie d'équilibrage de charge dynamique Mylinking™
Technologie de gestion à distance Mylinking™ (HTTP/WEB, TELNET/SSH, caractéristique « EasyConfig/AdvanceConfig »)
Application de commutateur de dérivation en ligne à 3 réseaux (comme suit)
3.1 Le risque des équipements de sécurité en ligne (IPS/FW)
Ce qui suit est un mode de déploiement IPS (Intrusion Prevention System), FW (Firewall) typique, IPS / FW est déployé en série sur les équipements réseau (routeurs, commutateurs, etc.) entre le trafic grâce à la mise en œuvre de contrôles de sécurité, selon la politique de sécurité correspondante pour déterminer la libération ou le blocage du trafic correspondant, pour obtenir l'effet de défense de sécurité.
Dans le même temps, nous pouvons observer IPS/FW comme un déploiement en série de l'équipement, généralement déployé à l'emplacement clé du réseau d'entreprise pour mettre en œuvre la sécurité en série, la fiabilité de ses appareils connectés affectant directement la disponibilité globale du réseau d'entreprise. En cas de surcharge, de panne, de mises à jour logicielles, de mises à jour de politiques, etc., la disponibilité du réseau d'entreprise dans son ensemble sera grandement affectée. À ce stade, nous ne pouvons que grâce au réseau coupé, le cavalier de dérivation physique peut restaurer le réseau, ce qui affecte sérieusement la fiabilité du réseau. IPS / FW et autres périphériques série améliorent d'une part le déploiement de la sécurité des réseaux d'entreprise, d'autre part réduisent également la fiabilité des réseaux d'entreprise, augmentant ainsi le risque que le réseau ne soit pas disponible.
3.2 Protection des équipements de la série Inline Link
Mylinking™ « Network Inline Bypass » est déployé en série entre les appareils réseau (routeurs, commutateurs, etc.), et le flux de données entre les appareils réseau ne mène plus directement à IPS/FW, « Network Inline Bypass » à IPS/FW, lorsque l'IPS/FW en raison d'une surcharge, d'un crash, de mises à jour logicielles, de mises à jour de politiques et d'autres conditions de défaillance, le « Network Inline Bypass » grâce à la détection intelligente des messages de battement de cœur. Fonction de découverte en temps opportun, et ainsi ignorer le périphérique défectueux, sans interrompant les prémisses du réseau, l'équipement de réseau rapide directement connecté pour protéger le réseau de communication normal ; lorsque la récupération d'échec IPS / FW, mais aussi grâce à des paquets de battement de coeur intelligents Détection de détection en temps opportun de la fonction, le lien d'origine pour restaurer la sécurité des contrôles de sécurité du réseau d'entreprise.
Mylinking™ « Network Inline Bypass » dispose d'une puissante fonction intelligente de détection des messages de battement de coeur, l'utilisateur peut personnaliser l'intervalle de battement de coeur et le nombre maximum de tentatives, via un message de battement de coeur personnalisé sur l'IPS/FW pour des tests de santé, tels que l'envoi du contrôle du rythme cardiaque. message au port amont/aval d'IPS/FW, puis recevez du port amont/aval d'IPS/FW, et jugez si l'IPS/FW fonctionne normalement en envoyant et en recevant le message de battement de cœur.
3.3 Protection des séries de traction en ligne de flux de politique « SpecFlow »
Lorsque le dispositif de sécurité du réseau n'a besoin que de gérer le trafic spécifique dans la protection de sécurité en série, via la fonction de traitement du trafic Mylinking™ « Network Inline Bypass », via la stratégie de filtrage du trafic pour connecter le dispositif de sécurité « concerné », le trafic est renvoyé directement au lien réseau, et la « section de trafic concernée » est la traction vers le dispositif de sécurité en ligne pour effectuer des contrôles de sécurité. Cela maintiendra non seulement l'application normale de la fonction de détection de sécurité du dispositif de sécurité, mais réduira également le débit inefficace de l'équipement de sécurité pour faire face à la pression ; en même temps, le « Network Inline Bypass » peut détecter l'état de fonctionnement du dispositif de sécurité en temps réel. Le dispositif de sécurité fonctionne anormalement et contourne directement le trafic de données pour éviter toute interruption du service réseau.
3.4 Protection série à charge équilibrée
Le Mylinking™ « Network Inline Bypass » est déployé en série entre les appareils réseau (routeurs, commutateurs, etc.). Lorsqu'une seule performance de traitement IPS/FW n'est pas suffisante pour faire face au trafic de pointe de la liaison réseau, la fonction d'équilibrage de la charge du trafic du protecteur, le « regroupement » de plusieurs clusters IPS/FW traitant le trafic de la liaison réseau, peut réduire efficacement le trafic IPS/FW unique. Pression de traitement FW, améliore les performances globales de traitement pour répondre à la bande passante élevée de l'environnement de déploiement.
Mylinking™ « Network Inline Bypass » dispose d'une puissante fonction d'équilibrage de charge, en fonction de la balise VLAN de trame, des informations MAC, des informations IP, du numéro de port, du protocole et d'autres informations sur la répartition de l'équilibrage de charge de hachage du trafic pour garantir que chaque IPS/FW reçu flux de données Intégrité de la session.
3.5 Protection contre la traction du flux d'équipement en ligne multisérie (changer la connexion série en connexion parallèle)
Dans certains liens clés (tels que les points de vente Internet, le lien d'échange de zone serveur), l'emplacement est souvent dû aux besoins de fonctionnalités de sécurité et au déploiement de plusieurs équipements de test de sécurité en ligne (tels que pare-feu, équipement d'attaque anti-DDOS, pare-feu d'application WEB). , équipement de prévention des intrusions, etc.), plusieurs équipements de détection de sécurité en même temps en série sur la liaison pour augmenter la liaison d'un point de défaillance unique, réduisant ainsi la fiabilité globale du réseau. Et dans le déploiement en ligne des équipements de sécurité mentionné ci-dessus, les mises à niveau des équipements, le remplacement des équipements et d'autres opérations entraîneront une interruption de service du réseau pendant une longue période et une action de suppression de projet plus importante pour achever la mise en œuvre réussie de tels projets.
En déployant le « Network Inline Bypass » de manière unifiée, le mode de déploiement de plusieurs dispositifs de sécurité connectés en série sur le même lien peut être modifié du « mode de concaténation physique » au « mode de concaténation physique, mode de concaténation logique ». Le lien sur le lien d'un point de défaillance unique pour améliorer la fiabilité du lien, tandis que le « Network Inline Bypass » sur le flux de lien sur demande de traction, pour obtenir le même flux avec le mode original d'effet de traitement sûr.
Plusieurs dispositifs de sécurité en même temps dans un schéma de déploiement en série :
Schéma de déploiement du commutateur de contournement réseau en ligne :
3.6 Basé sur la stratégie dynamique de protection de détection de sécurité de traction du trafic
« Network Inline Bypass » Un autre scénario d'application avancé est basé sur la stratégie dynamique des applications de protection de détection de sécurité de traction du trafic, le déploiement de la manière indiquée ci-dessous :
Prenons l'exemple de l'équipement de test de sécurité « Protection et détection des attaques anti-DDoS », via le déploiement frontal de « Network Inline Bypass », puis d'équipement de protection anti-DDOS puis connecté au « Network Inline Bypass », dans le habituel « Protecteur de traction » pour transférer la totalité du trafic à vitesse filaire en même temps que la sortie du miroir de flux vers le « Dispositif de protection contre les attaques DDOS », une fois détecté pour un serveur IP (ou un segment de réseau IP) après l'attaque, » Le dispositif de protection contre les attaques DDOS » générera les règles de correspondance du flux de trafic cible et les enverra au « Network Inline Bypass » via l'interface de livraison de politique dynamique. Le « Network Inline Bypass » peut mettre à jour la « dynamique de traction du trafic » après avoir reçu les règles de politique dynamique Pool de règles « et immédiatement » la règle frappe la « traction du trafic du serveur d'attaque » vers l'équipement de « protection et de détection des attaques DDoS » pour le traitement, pour être efficace après le flux d’attaque puis réinjecté dans le réseau.
Le schéma d'application basé sur le « Network Inline Bypass » est plus facile à mettre en œuvre que l'injection de route BGP traditionnelle ou tout autre schéma de traction du trafic, et l'environnement est moins dépendant du réseau et la fiabilité est plus élevée.
« Network Inline Bypass » présente les caractéristiques suivantes pour prendre en charge la protection par détection de sécurité par politique dynamique :
1, « Network Inline Bypass » pour fournir, en dehors des règles basées sur l'interface WEBSERIVCE, une intégration facile avec des dispositifs de sécurité tiers.
2, « Network Inline Bypass » basé sur la puce matérielle ASIC pure transmettant des paquets à vitesse filaire jusqu'à 10 Gbit/s sans bloquer le transfert du commutateur, et « bibliothèque de règles dynamiques de traction du trafic » quel que soit le nombre.
3, la fonction de contournement professionnelle intégrée « Network Inline Bypass », même si le protecteur lui-même tombe en panne, peut également contourner la liaison série d'origine immédiatement, n'affecte pas la liaison d'origine de la communication normale.
Heure de publication : 23 décembre 2021