1- Qu'est-ce que le paquet Define Heartbeat ?
Les paquets de pulsation du commutateur de dérivation réseau Mylinking™ utilisent par défaut des trames Ethernet de couche 2. Lors du déploiement d'un mode de pontage de couche 2 transparent (tel que IPS/FW), les trames Ethernet de couche 2 sont généralement transmises, bloquées ou ignorées. Parallèlement, le commutateur de dérivation réseau Mylinking™ prend en charge un format de message de pulsation personnalisé pour pallier l'impossibilité pour certains périphériques de sécurité série de transmettre normalement des trames Ethernet de couche 2 ordinaires.
Le commutateur de dérivation de tap réseau Mylinking™ prend également en charge la détection des paquets de pulsation basée sur les balises VLAN et les types de messages personnalisés de couche 3 et 4. Grâce à ce mécanisme, l'utilisateur peut implémenter une fonction de test de sécurité du dispositif de sécurité de connexion afin de garantir plus efficacement le bon fonctionnement des services de sécurité correspondants.
Le commutateur de dérivation de tap réseau Mylinking™ permet au moniteur d'envoyer différents paquets de pulsation dans les deux sens. Par exemple, les paquets de pulsation TCP et UDP sont personnalisés sur le « Strategy Traffic Traction Protector » en fonction des caractéristiques du périphérique série. Vous pouvez configurer l'envoi de paquets de pulsation TCP sur le port A du moniteur de liaison montante et l'envoi de paquets de pulsation UDP sur le port B du moniteur de liaison descendante afin de prendre en charge le mécanisme de transfert de messages du périphérique de sécurité série. Cette fonction permet de garantir une chaîne plus efficace. Connectez l'équipement de sécurité au fonctionnement normal.
Le commutateur de dérivation en ligne réseau Mylinking™ est étudié et développé pour être utilisé pour un déploiement flexible de divers types d'équipements de sécurité série tout en offrant une fiabilité réseau élevée.
Commutateur de dérivation en ligne à 2 réseaux, fonctionnalités et technologies avancées
Mode de protection Mylinking™ « SpecFlow » et technologie de mode de protection « FullLink »
Technologie de protection de commutation à dérivation rapide Mylinking™
Technologie Mylinking™ « LinkSafeSwitch »
Technologie de transmission/d'émission de stratégie dynamique Mylinking™ « WebService »
Technologie intelligente de détection des messages de battements de cœur Mylinking™
Technologie de messages de battement de cœur définissables Mylinking™
Technologie d'équilibrage de charge multi-liens Mylinking™
Technologie de distribution intelligente du trafic Mylinking™
Technologie d'équilibrage de charge dynamique Mylinking™
Technologie de gestion à distance Mylinking™ (HTTP/WEB, TELNET/SSH, caractéristique « EasyConfig/AdvanceConfig »)
Application de commutateur de dérivation en ligne à 3 réseaux (comme suit)
3.1 Le risque des équipements de sécurité en ligne (IPS / FW)
Ce qui suit est un mode de déploiement typique d'IPS (système de prévention d'intrusion), FW (pare-feu), IPS / FW est déployé en série sur l'équipement réseau (routeurs, commutateurs, etc.) entre le trafic via la mise en œuvre de contrôles de sécurité, selon la politique de sécurité correspondante pour déterminer la libération ou le blocage du trafic correspondant, pour obtenir l'effet de défense de sécurité.
Parallèlement, les équipements IPS/FW, généralement déployés aux emplacements stratégiques du réseau d'entreprise pour assurer la sécurité série, peuvent affecter directement la fiabilité des périphériques connectés. La disponibilité globale du réseau est fortement impactée par une surcharge, une panne, une mise à jour logicielle ou une mise à jour de politique des périphériques série. Dans ce cas, seule une coupure réseau ou un pont de dérivation physique permet de rétablir le réseau, ce qui compromet gravement sa fiabilité. Les équipements IPS/FW et autres périphériques série améliorent la sécurité du réseau d'entreprise, mais en réduisent également la fiabilité, augmentant ainsi le risque d'indisponibilité.
3.2 Protection des équipements en série Inline Link
Mylinking™ « Network Inline Bypass » est déployé en série entre les périphériques réseau (routeurs, commutateurs, etc.), et le flux de données entre les périphériques réseau ne mène plus directement à IPS / FW, « Network Inline Bypass » à IPS / FW, lorsque l'IPS / FW en raison d'une surcharge, d'un crash, de mises à jour logicielles, de mises à jour de politiques et d'autres conditions de défaillance, le « Network Inline Bypass » via la fonction de détection intelligente des messages de pulsation de la découverte en temps opportun, et ainsi ignorer l'appareil défectueux, sans interrompre les prémisses du réseau, l'équipement réseau rapide directement connecté pour protéger le réseau de communication normal ; lorsque la récupération de panne IPS / FW, mais aussi via la détection intelligente des paquets de pulsation de la détection en temps opportun de la fonction, le lien d'origine pour restaurer la sécurité des contrôles de sécurité du réseau d'entreprise.
Mylinking™ « Network Inline Bypass » dispose d'une puissante fonction de détection de message de pulsation intelligente, l'utilisateur peut personnaliser l'intervalle de pulsation et le nombre maximal de tentatives, via un message de pulsation personnalisé sur l'IPS / FW pour les tests de santé, comme envoyer le message de vérification de pulsation au port amont / aval de l'IPS / FW, puis recevoir du port amont / aval de l'IPS / FW, et juger si l'IPS / FW fonctionne normalement en envoyant et en recevant le message de pulsation.
3.3 Protection de la série de tractions en ligne du flux de politique « SpecFlow »
Lorsque le dispositif de sécurité réseau doit gérer uniquement un trafic spécifique dans le cadre d'une protection de sécurité en série, la fonction de traitement du trafic « Network Inline Bypass » de Mylinking™ permet de connecter le dispositif de sécurité au trafic « Concerné » via une stratégie de filtrage du trafic. Ce trafic est directement renvoyé vers la liaison réseau, et la section concernée est acheminée vers le dispositif de sécurité en ligne pour effectuer des contrôles de sécurité. Cela permet non seulement de maintenir le fonctionnement normal de la fonction de détection de sécurité du dispositif de sécurité, mais aussi de réduire l'inefficacité du flux de données. Parallèlement, le « Network Inline Bypass » détecte le fonctionnement du dispositif de sécurité en temps réel. Le dispositif de sécurité contourne directement le trafic de données en cas de dysfonctionnement afin d'éviter toute interruption du service réseau.
3.4 Protection série à charge équilibrée
Le « Network Inline Bypass » Mylinking™ est déployé en série entre les périphériques réseau (routeurs, commutateurs, etc.). Lorsque les performances de traitement d'un seul IPS/FW ne suffisent pas à gérer les pics de trafic sur les liaisons réseau, la fonction d'équilibrage de la charge du protecteur, qui regroupe plusieurs clusters IPS/FW traitant le trafic des liaisons réseau, permet de réduire efficacement la pression de traitement d'un seul IPS/FW et d'améliorer les performances globales pour répondre aux exigences de bande passante élevée de l'environnement de déploiement.
Mylinking™ « Network Inline Bypass » dispose d'une puissante fonction d'équilibrage de charge, en fonction de la balise VLAN de trame, des informations MAC, des informations IP, du numéro de port, du protocole et d'autres informations sur la distribution d'équilibrage de charge de hachage du trafic pour garantir que chaque IPS / FW a reçu l'intégrité de la session de flux de données.
3.5 Protection contre la traction du flux des équipements en ligne multi-séries (changement de connexion série en connexion parallèle)
Sur certaines liaisons clés (comme les points d'accès Internet et les liaisons d'échange de serveurs), la localisation est souvent liée aux exigences de sécurité et au déploiement de multiples équipements de test de sécurité en ligne (pare-feu, équipements anti-attaques DDoS, pare-feu d'applications Web, équipements de prévention des intrusions, etc.). Plusieurs équipements de détection de sécurité sont installés simultanément sur la liaison, augmentant ainsi le risque de défaillance d'un point unique, réduisant ainsi la fiabilité globale du réseau. Lors du déploiement en ligne des équipements de sécurité mentionnés ci-dessus, les mises à niveau, les remplacements et autres opérations peuvent entraîner une interruption prolongée du service du réseau et nécessiter des réductions de coûts plus importantes pour mener à bien ces projets.
En déployant le « Network Inline Bypass » de manière unifiée, le mode de déploiement de plusieurs dispositifs de sécurité connectés en série sur le même lien peut être modifié du « mode de concaténation physique » au « mode de concaténation physique, concaténation logique ». Le lien sur le lien d'un point de défaillance unique pour améliorer la fiabilité du lien, tandis que le « Network Inline Bypass » sur le lien exécute le flux à la demande de traction, pour obtenir le même flux avec le mode d'origine d'effet de traitement sécurisé.
Diagramme de déploiement en série de plusieurs dispositifs de sécurité simultanément :
Schéma de déploiement du commutateur de dérivation en ligne réseau :
3.6 Basé sur la stratégie dynamique de protection de détection de sécurité de traction de trafic
« Contournement en ligne du réseau » Un autre scénario d'application avancé est basé sur la stratégie dynamique des applications de protection de détection de sécurité de traction du trafic, le déploiement étant le suivant :
Prenons l'exemple de l'équipement de test de sécurité « Protection et détection des attaques DDoS ». Grâce au déploiement frontal du « Network Inline Bypass », puis à la connexion à l'équipement de protection anti-DDOS, le trafic est transmis à la vitesse du câble par le « Traction Protector » habituel, tandis que le flux est mis en miroir vers le « Anti-DDOS ». Une fois l'adresse IP d'un serveur (ou d'un segment de réseau IP) détectée après l'attaque, le « Anti-DDOS » génère les règles de correspondance du flux de trafic cible et les envoie au « Network Inline Bypass » via l'interface de diffusion de politiques dynamiques. Le « Network Inline Bypass » peut mettre à jour la « dynamique de traction du trafic » après réception du pool de règles de politiques dynamiques et, immédiatement, « la règle affecte la traction du trafic du serveur d'attaque vers l'équipement de protection et de détection anti-DDOS pour traitement, afin qu'elle soit effective après l'attaque et réinjectée dans le réseau.
Le schéma d'application basé sur le « Network Inline Bypass » est plus facile à mettre en œuvre que l'injection de route BGP traditionnelle ou d'autres schémas de traction de trafic, et l'environnement dépend moins du réseau et la fiabilité est plus élevée.
« Network Inline Bypass » présente les caractéristiques suivantes pour prendre en charge la protection de détection de sécurité des politiques dynamiques :
1, « Network Inline Bypass » pour fournir en dehors des règles basées sur l'interface WEBSERIVCE, une intégration facile avec des dispositifs de sécurité tiers.
2, « Network Inline Bypass » basé sur la puce ASIC matérielle pure transférant jusqu'à 10 Gbit/s de paquets à vitesse filaire sans bloquer le transfert du commutateur et « bibliothèque de règles dynamiques de traction du trafic » quel que soit le nombre.
3, « Network Inline Bypass » fonction BYPASS professionnelle intégrée, même si le protecteur lui-même tombe en panne, peut également contourner immédiatement la liaison série d'origine, n'affecte pas la liaison d'origine de la communication normale.
Date de publication : 23 décembre 2021
