سوئیچ بای پس شبکه Mylinking™ مدل ML-BYPASS-100
۲*بایپس به همراه ۱*طراحی ماژولار مانیتور، لینکهای ۱۰/۴۰/۱۰۰GE، حداکثر ۶۴۰ گیگابیت بر ثانیه
مرور کلی
سوئیچ بایپس شبکه Mylinking™ برای استفاده در استقرار انعطافپذیر انواع مختلف تجهیزات امنیتی درونخطی، ضمن ارائه قابلیت اطمینان بالای شبکه، مورد تحقیق و توسعه قرار گرفته است.
با استفاده از سوئیچ بای پس هوشمند Mylinking™:
- کاربران میتوانند تجهیزات/ابزارهای امنیتی را به صورت انعطافپذیر نصب/حذف کنند و این امر شبکه فعلی را تحت تأثیر قرار نداده و مختل نمیکند.
- سوئیچ بایپس شبکه Mylinking™ با عملکرد هوشمند تشخیص سلامت، وضعیت کارکرد عادی دستگاههای امنیتی درون خطی را به صورت بلادرنگ رصد میکند. به محض اینکه دستگاههای امنیتی درون خطی به حالت استثنا بروند، عملکرد حفاظتی به طور خودکار بایپس میشود تا ارتباط عادی شبکه حفظ شود.
- میتوان از فناوری حفاظت ترافیک انتخابی برای استقرار تجهیزات امنیتی خاص پاکسازی ترافیک، فناوری رمزگذاری مبتنی بر تجهیزات ممیزی استفاده کرد. حفاظت از دسترسی درون خطی را برای نوع ترافیک خاص به طور مؤثر انجام دهید و فشار جابجایی جریان دستگاه درون خطی را تخلیه کنید.
- فناوری حفاظت ترافیک متوازن بار میتواند برای استقرار خوشهای دستگاههای امنیتی سریال درونخطی امن مورد استفاده قرار گیرد تا امنیت درونخطی را در محیطهای با پهنای باند بالا برآورده کند.
ویژگیها و فناوریهای پیشرفته سوئیچ Network Tap Bypass
حالت محافظتی «SpectFlow» و حالت محافظتی «FullLink» با Mylinking™
محافظت در برابر سوئیچینگ بای پس سریع Mylinking™
Mylinking™ "LinkSafeSwitch"
مشکل/ارسال استراتژی پویای «وبسرویس» Mylinking™
تشخیص هوشمند پیام ضربان قلب Mylinking™
پیامهای ضربان قلب قابل تعریف Mylinking™ (بستههای ضربان قلب)
متعادلسازی بار چند لینکی Mylinking™
توزیع هوشمند ترافیک با Mylinking™
متعادلسازی بار پویای Mylinking™
فناوری مدیریت از راه دور Mylinking™ (HTTP/WEB، TELNET/SSH، با مشخصههای «EasyConfig/AdvanceConfig»)
راهنمای پیکربندی اختیاری سوئیچ Network Tap Bypass
ماژول بای پساسلات ماژول پورت حفاظتی:
این اسلات را میتوان در ماژول پورت محافظتی BYPASS با سرعت/شماره پورت متفاوت قرار داد. با جایگزینی انواع مختلف ماژولها، میتواند از محافظت BYPASS برای چندین لینک 10G/40G/100G پشتیبانی کند.
ماژول مانیتوراسلات ماژول پورت؛
این اسلات میتواند ماژول MONITOR با سرعتها/پورتهای مختلف را در خود جای دهد. این اسلات میتواند از چندین لینک 10G/40G/100G برای استقرار دستگاه مانیتورینگ سریال درون خطی با جایگزینی ماژولهای مختلف پشتیبانی کند.
قوانین انتخاب ماژول
بر اساس لینکهای مختلف مستقر شده و الزامات استقرار تجهیزات نظارتی، میتوانید پیکربندیهای مختلف ماژول را به صورت انعطافپذیر انتخاب کنید تا درخواست واقعی محیط خود را برآورده کنید؛ لطفاً در طول انتخاب ماژول، قوانین زیر را رعایت کنید:
۱. انتخاب اجزای شاسی الزامی است و شما باید قبل از انتخاب هر ماژول دیگری، اجزای شاسی را انتخاب کنید. در عین حال، لطفاً روشهای مختلف تأمین برق (AC/DC) را بر اساس نیاز خود انتخاب کنید.
۲. کل دستگاه تا ۲ اسلات ماژول BYPASS و ۱ اسلات ماژول MONITOR را پشتیبانی میکند؛ شما نمیتوانید بیش از تعداد اسلاتها را برای پیکربندی انتخاب کنید. بر اساس ترکیب تعداد اسلاتها و مدل ماژول، دستگاه میتواند تا چهار محافظت لینک ۱۰GE را پشتیبانی کند؛ یا میتواند تا چهار لینک ۴۰GE را پشتیبانی کند؛ یا میتواند تا یک لینک ۱۰۰GE را پشتیبانی کند.
۳. مدل ماژول "BYP-MOD-L1CG" فقط میتواند در SLOT1 قرار گیرد تا به درستی کار کند.
۴. ماژول نوع "BYP-MOD-XXX" فقط میتواند در شیار ماژول BYPASS قرار گیرد؛ ماژول نوع "MON-MOD-XXX" فقط میتواند برای عملکرد عادی در شیار ماژول MONITOR قرار گیرد.
| مدل محصول | پارامترهای تابع |
| شاسی (میزبان) | |
| ML-BYPASS-M100 | رکمونت استاندارد ۱۹ اینچی ۱U؛ حداکثر مصرف برق ۲۵۰ وات؛ میزبان ماژولار محافظ BYPASS؛ ۲ اسلات ماژول BYPASS؛ ۱ اسلات ماژول مانیتور؛ AC و DC اختیاری؛ |
| ماژول بای پس | |
| BYP-MOD-L2XG(LM/SM) | پشتیبانی از حفاظت سریال لینک دو طرفه 10GE، رابط 4*10GE، کانکتور LC؛ فرستنده-گیرنده نوری داخلی؛ لینک نوری تک/چندحالته اختیاری، پشتیبانی از 10GBASE-SR/LR؛ |
| BYP-MOD-L2QXG(LM/SM) | پشتیبانی از حفاظت سریال لینک 40GE دو طرفه، رابط 4*40GE، کانکتور LC؛ فرستنده-گیرنده نوری داخلی؛ لینک نوری تک/چند حالته اختیاری، پشتیبانی از 40GBASE-SR4/LR4؛ |
| BYP-MOD-L1CG (LM/SM) | پشتیبانی از حفاظت سریال لینک 1 کاناله 100GE، رابط 2*100GE، کانکتور LC؛ فرستنده-گیرنده نوری داخلی؛ لینک نوری تک حالته اختیاری، پشتیبانی از 100GBASE-SR4/LR4؛ |
| ماژول مانیتور | |
| مون-مد-L16XG | ماژول پورت مانیتورینگ SFP+ با ابعاد 16*10GE؛ بدون ماژول فرستنده-گیرنده نوری؛ |
| مون-مد-L8XG | ماژول پورت مانیتورینگ 8*10GE SFP+؛ بدون ماژول فرستنده-گیرنده نوری؛ |
| مون-مد-L2CG | ماژول پورت مانیتورینگ QSFP28 با ظرفیت 2*100GE؛ بدون ماژول فرستنده-گیرنده نوری؛ |
| دوشنبه-مد-L8QXG | ماژول پورت مانیتورینگ QSFP+ با فرکانس 8 گیگاهرتز (40GE)؛ بدون ماژول فرستنده-گیرنده نوری؛ |
مشخصات سوئیچ بای پس TAP شبکه
| روش محصول | سوئیچ بای پس شبکه درون خطی ML-BYPASS-M100 | |
| نوع رابط | رابط MGT | رابط مدیریت تطبیقی 1*10/100/1000BASE-T؛ پشتیبانی از مدیریت از راه دور HTTP/IP |
| اسلات ماژول | ۲ * اسلات ماژول بای پس؛ ۱ * اسلات ماژول مانیتور؛ | |
| لینکهایی که حداکثر را پشتیبانی میکنند | دستگاه حداکثر از لینکهای 4*10GE یا 4*40GE یا 1*100GE پشتیبانی میکند | |
| نظارت | دستگاه از حداکثر 16 پورت مانیتورینگ 10GE یا 8 پورت مانیتورینگ 40GE یا 2 پورت مانیتورینگ 100GE پشتیبانی میکند. | |
| عملکرد | قابلیت پردازش دوطرفه کامل | ۶۴۰ گیگابیت بر ثانیه |
| بر اساس IP/پروتکل/پورت پنج تاپل خاص، محافظت از آبشار ترافیک | پشتیبانی شده | |
| محافظت آبشاری بر اساس ترافیک کامل | پشتیبانی شده | |
| متعادلسازی بار چندگانه | پشتیبانی شده | |
| عملکرد تشخیص ضربان قلب سفارشی | پشتیبانی شده | |
| پشتیبانی از استقلال بسته اترنت | پشتیبانی شده | |
| سوئیچ بای پس | پشتیبانی شده | |
| سوئیچ بای پس بدون فلاش | پشتیبانی شده | |
| کنسول مدیریت | پشتیبانی شده | |
| مدیریت آیپی/وب | پشتیبانی شده | |
| مدیریت SNMP V1/V2C | پشتیبانی شده | |
| مدیریت TELNET/SSH | پشتیبانی شده | |
| پروتکل SYSLOG | پشتیبانی شده | |
| مجوز کاربر | بر اساس مجوز رمز عبور/AAA/TACACS+ | |
| برق | ولتاژ تغذیه نامی | AC-220V/DC-48V【اختیاری】 |
| فرکانس توان نامی | ۵۰ هرتز | |
| جریان ورودی نامی | AC-3A / DC-10A | |
| قدرت نامی | ۱۰۰ وات | |
| محیط زیست | دمای کار | 0-50℃ |
| دمای نگهداری | -20-70℃ | |
| رطوبت کاری | 10٪ -95٪، بدون تراکم | |
| پیکربندی کاربر | پیکربندی کنسول | رابط RS232، 115200، 8، N، 1 |
| رابط MGT خارج از باند | رابط اترنت 1 * 10/100 / 1000M | |
| مجوز رمز عبور | پشتیبانی شده | |
| ارتفاع شاسی | فضای شاسی (U) | ۱U 19 اینچ، ۴۸۵ میلیمتر * ۴۴.۵ میلیمتر * ۳۵۰ میلیمتر |
برنامه سوئیچ بای پس TAP شبکه (به شرح زیر)
۵.۱ خطر تجهیزات امنیتی درون خطی (IPS / FW)
در ادامه یک حالت استقرار IPS (سیستم پیشگیری از نفوذ) و FW (فایروال) معمولی آمده است. IPS/FW به عنوان تجهیزات شبکه درون خطی (مانند روترها، سوئیچها و غیره) بین ترافیک از طریق اجرای بررسیهای امنیتی مستقر میشوند و طبق سیاست امنیتی مربوطه، آزادسازی یا مسدود کردن ترافیک مربوطه را تعیین میکنند تا به اثر دفاع امنیتی دست یابند.
در عین حال، میتوانیم IPS (سیستم پیشگیری از نفوذ) / FW (فایروال) را به عنوان یک استقرار درون خطی از تجهیزات مشاهده کنیم که معمولاً در مکان کلیدی شبکه سازمانی برای پیادهسازی امنیت درون خطی مستقر میشوند و قابلیت اطمینان دستگاههای متصل به آن مستقیماً بر دسترسیپذیری کلی شبکه سازمانی تأثیر میگذارد. هنگامی که دستگاههای امنیتی درون خطی دچار اضافه بار، خرابی، بهروزرسانی نرمافزار، بهروزرسانی سیاست و غیره میشوند، دسترسیپذیری کل شبکه سازمانی به شدت تحت تأثیر قرار میگیرد. در این مرحله، ما فقط از طریق قطع شبکه، جامپر بایپس فیزیکی میتوانیم شبکه را بازیابی کنیم، اما این امر به طور جدی بر قابلیت اطمینان شبکه تأثیر میگذارد. IPS (سیستم پیشگیری از نفوذ) / FW (فایروال) و سایر دستگاههای درون خطی از یک سو استقرار امنیت شبکه سازمانی را بهبود میبخشند، از سوی دیگر قابلیت اطمینان شبکههای سازمانی را نیز کاهش میدهند و ریسک عدم دسترسی به شبکه را افزایش میدهند.
۵.۲ حفاظت از تجهیزات سری لینکهای درونخطی
«سوئیچ بایپس» Mylinking™ به صورت درونخطی بین دستگاههای شبکه (روترها، سوئیچها و غیره) مستقر میشود و جریان دادهها بین دستگاههای شبکه دیگر مستقیماً به IPS (سیستم پیشگیری از نفوذ) / FW (فایروال) منتهی نمیشود. «سوئیچ بایپس» به IPS / FW منتهی میشود. هنگامی که IPS / FW به دلیل اضافه بار، خرابی، بهروزرسانی نرمافزار، بهروزرسانی سیاست و سایر شرایط خرابی، دچار مشکل میشود، «سوئیچ بایپس» از طریق عملکرد تشخیص پیام هوشمند ضربان قلب، به موقع آن را کشف میکند و بنابراین دستگاه معیوب را بدون ایجاد وقفه در شبکه، از کار میاندازد. تجهیزات شبکه به سرعت و به طور مستقیم متصل میشوند تا از شبکه ارتباطی عادی محافظت کنند. هنگامی که IPS / FW دچار خرابی میشود، بازیابی انجام میشود، بلکه از طریق عملکرد تشخیص هوشمند بستههای ضربان قلب، لینک اصلی برای بازیابی امنیت شبکه سازمانی بررسی میشود.
Mylinking™ "Bypass Switch" دارای یک تابع تشخیص پیام ضربان قلب هوشمند و قدرتمند است، کاربر میتواند فاصله ضربان قلب و حداکثر تعداد تلاشهای مجدد را از طریق یک پیام ضربان قلب سفارشی روی IPS/FW برای آزمایش سلامت، سفارشی کند، مانند ارسال پیام بررسی ضربان قلب به پورت بالادست/پاییندست IPS/FW و سپس دریافت از پورت بالادست/پاییندست IPS/FW، و با ارسال و دریافت پیام ضربان قلب، تشخیص دهد که آیا IPS/FW به طور عادی کار میکند یا خیر.
۵.۳ سیاست «SpecFlow» حفاظت از سری کشش درون خطی جریان
هنگامی که دستگاه امنیتی شبکه فقط نیاز به رسیدگی به ترافیک خاص در حفاظت امنیتی سری دارد، از طریق تابع پردازش ترافیک Mylinking™ "Network Tap Bypass Switch" و از طریق استراتژی غربالگری ترافیک برای اتصال دستگاه امنیتی، ترافیک "Corregent" مستقیماً به لینک شبکه ارسال میشود و "بخش ترافیک مربوطه" برای انجام بررسیهای ایمنی به دستگاه ایمنی درون خطی منتقل میشود. این امر نه تنها عملکرد عادی تشخیص ایمنی دستگاه ایمنی را حفظ میکند، بلکه جریان ناکارآمد تجهیزات ایمنی برای مقابله با فشار را نیز کاهش میدهد. در عین حال، "Network Tap Bypass Switch" میتواند وضعیت کار دستگاه ایمنی را در زمان واقعی تشخیص دهد. دستگاه ایمنی به طور غیرعادی ترافیک داده را مستقیماً دور میزند تا از اختلال در سرویس شبکه جلوگیری شود.
ابزار Mylinking™ Inline Traffic Bypass Tap میتواند ترافیک را بر اساس شناسه هدر لایه L2-L4، مانند برچسب VLAN، آدرس MAC منبع/مقصد، آدرس IP منبع، نوع بسته IP، پورت پروتکل لایه انتقال، برچسب کلید هدر پروتکل و غیره، شناسایی کند. میتوان انواع مختلفی از شرایط تطبیق را به صورت انعطافپذیر تعریف کرد تا انواع ترافیک خاص مورد توجه یک دستگاه امنیتی خاص را تعریف کند و به طور گسترده برای استقرار دستگاههای حسابرسی امنیتی ویژه (RDP، SSH، حسابرسی پایگاه داده و غیره) مورد استفاده قرار گیرد.
۵.۴ حفاظت سری با بار متعادل
«سوئیچ بایپس Network Tap» از نوع Mylinking™ به صورت درونخطی بین دستگاههای شبکه (روترها، سوئیچها و غیره) مستقر میشود. هنگامی که عملکرد پردازشی یک IPS/FW واحد برای مقابله با اوج ترافیک لینک شبکه کافی نیست، عملکرد متعادلکننده بار ترافیکی محافظ، «بستهبندی» ترافیک لینک شبکه پردازش خوشهای IPS/FW چندگانه، میتواند به طور مؤثر فشار پردازشی IPS/FW واحد را کاهش دهد و عملکرد پردازش کلی را برای پاسخگویی به پهنای باند بالای محیط استقرار بهبود بخشد.
سوئیچ بایپس شبکه Mylinking™ دارای یک تابع متعادلسازی بار قدرتمند است که بر اساس برچسب VLAN فریم، اطلاعات MAC، اطلاعات IP، شماره پورت، پروتکل و سایر اطلاعات مربوط به توزیع متعادلسازی بار هش ترافیک، اطمینان حاصل میکند که هر IPS/FW جریان داده دریافتی را به طور کامل و بینقص دریافت میکند.
۵.۵ حفاظت از کشش جریان تجهیزات درون خطی چند سری (تغییر اتصال سریال به اتصال موازی)
در برخی از لینکهای کلیدی (مانند پریزهای اینترنت، لینک تبادل منطقه سرور)، مکانیابی اغلب به دلیل نیازهای امنیتی و استقرار چندین تجهیزات تست امنیتی درون خطی (مانند فایروال (FW)، تجهیزات ضد حمله DDOS، فایروال برنامه وب (WAF)، سیستم پیشگیری از نفوذ (IPS) و غیره) انجام میشود. چندین تجهیزات تشخیص امنیتی به طور همزمان و به صورت سری روی لینک قرار میگیرند تا لینک را از یک نقطه خرابی افزایش دهند و قابلیت اطمینان کلی شبکه را کاهش دهند. و در تجهیزات امنیتی فوقالذکر، استقرار آنلاین، ارتقاء تجهیزات، تعویض تجهیزات و سایر عملیات، باعث میشود شبکه برای مدت طولانی دچار وقفه در سرویسدهی شود و یک پروژه بزرگتر برای تکمیل اجرای موفقیتآمیز چنین پروژههایی متوقف شود.
با استقرار "سوئیچ بایپس Network Tap" به صورت یکپارچه، حالت استقرار چندین دستگاه امنیتی متصل به صورت سری در یک لینک میتواند از "حالت اتصال فیزیکی" به "حالت اتصال فیزیکی، حالت اتصال منطقی" تغییر یابد. لینک روی یک نقطه خرابی واحد برای بهبود قابلیت اطمینان لینک، در حالی که "سوئیچ بایپس" روی لینک جریان را بر اساس کشش تقاضا تنظیم میکند، تا به همان جریان با حالت اصلی اثر پردازش ایمن دست یابد.
بیش از یک دستگاه امنیتی همزمان با نمودار استقرار درون خطی:
نمودار استقرار سوئیچ بایپس TAP شبکه Mylinking™:
۵.۶ مبتنی بر استراتژی پویای حفاظت از تشخیص امنیت ترافیک
«سوئیچ بایپس تپ شبکه» یکی دیگر از سناریوهای پیشرفته کاربردی است که بر اساس استراتژی پویای برنامههای حفاظتی، تشخیص و ردیابی ترافیک بنا شده است و به روشی که در زیر نشان داده شده است، پیادهسازی میشود:
برای مثال، تجهیزات تست امنیتی «حفاظت و تشخیص حمله ضد DDoS» را در نظر بگیرید، به عنوان مثال، از طریق استقرار جلویی «سوئیچ بای پس شبکه» و سپس تجهیزات حفاظت ضد DDOS و سپس اتصال به «سوئیچ بای پس شبکه»، در «محافظ کشش» معمول، به طور همزمان کل ترافیک را با سرعت سیم ارسال میکند و خروجی آینه جریان را به «دستگاه حفاظت حمله ضد DDOS» ارسال میکند. پس از شناسایی برای یک IP سرور (یا بخش شبکه IP) پس از حمله، دستگاه حفاظت حمله ضد DDOS قوانین تطبیق جریان ترافیک هدف را تولید کرده و آنها را از طریق رابط تحویل سیاست پویا به «سوئیچ بای پس شبکه» ارسال میکند. «سوئیچ بای پس شبکه» میتواند پس از دریافت قوانین سیاست پویا، «کشش ترافیک پویا» را بهروزرسانی کند و بلافاصله «قانون» ترافیک سرور حمله را به «تجهیزات حفاظت و تشخیص حمله ضد DDoS» برای پردازش ارسال کند تا پس از جریان حمله مؤثر باشد و سپس دوباره به شبکه تزریق شود.
طرح کاربردی مبتنی بر «سوئیچ بایپس تپ شبکه» نسبت به تزریق مسیر سنتی BGP یا سایر طرحهای کشش ترافیک، پیادهسازی آسانتری دارد و محیط وابستگی کمتری به شبکه دارد و قابلیت اطمینان آن بالاتر است.
«سوئیچ بایپس تپ شبکه» دارای ویژگیهای زیر برای پشتیبانی از حفاظت تشخیص امنیت سیاست پویا است:
۱. «سوئیچ بایپس شیر شبکه» برای ارائه فراتر از قوانین مبتنی بر رابط WEBSERIVCE، ادغام آسان با دستگاههای امنیتی شخص ثالث.
۲. «سوئیچ بایپس Tap شبکه B» مبتنی بر تراشه ASIC سختافزاری خالص که بستههای با سرعت سیمی تا ۱۰ گیگابیت بر ثانیه را بدون مسدود کردن ارسال سوئیچ، و «کتابخانه قوانین پویای کشش ترافیک» صرف نظر از تعداد، ارسال میکند.
۳، "سوئیچ بای پس شیر شبکه" دارای عملکرد بای پس حرفه ای داخلی است که حتی در صورت خرابی خود محافظ، می تواند بلافاصله لینک سریال اصلی را بای پس کند و بر لینک اصلی ارتباط عادی تأثیر نمی گذارد.
